28 liens privés
- Petite keynote de clôture d'une journée au BreizhCamp 2022 👍
- Et dans la même veine, Comment j'ai infiltré un réseau d'arnaqueurs au SMS par Micode.
Parcourir/requêter les failles de sécurité, par année, par logiciel… depuis la ligne de commande :)
Reprend l'ajout d'un Dropbear à l'initramfs et évoque également le fait de requêter un serveur d'identification.
Mais… il n'y a pas (encore ?) d'article détaillant la partie serveur :) À suivre donc.
Github force le passage à la double authentification.
En tant qu'extension à l'excellent pass, pass-otp permet de générer des tokens :)
-
Éditer une nouvelle entrée pass :
pass edit mon-totp
otpauth://totp/mon-totp?secret=CODE_DE_16_CHARS&issuer=mon-totp -
Enregistrer et tenter de générer un nouveau code via :
pass otp mon-totp -
En ajoutant une entrée autotype qui appelle :otp, ça fonctionne même avec rofi-pass 😍
pass edit mon-totp
otpauth://totp/mon-totp…
autotype: :otp
And voila une bonne chose de faite 👍
La note en haut de page dit :
Le projet Debian a pris la décision en 2022-10 de créer un nouveau composant de dépôt non-free-firmware, et d'inclure son contenu sur les supports d'installation de la prochaine publication Debian bookworm afin de faciliter les choses pour nos utilisateurs.
Les informations ci-dessous s'appliquent toujours aux versions oldstable et stable (alias buster et bullseye), mais pourraient être dépassées pour les supports hebdomadaires et nocturnes de test publiés dans les semaines à venir, la situation évoluant rapidement pendant la mise en œuvre de la décision.
Nous vous demandons d'être indulgents avec nous jusqu'à ce que la situation soit réglée et puisse être documentée ici. Et si vous voulez aider à cette transition, n'hésitez pas à suivre le fil de la liste de diffusion.
Voir aussi : https://lists.debian.org/debian-devel-announce/2022/10/msg00001.html
Il est donc nécessaire de mettre à jour ses dépôts APT (2023/02/02 − au moins Sid et Bookworm pour le moment) pour éviter de se retrouver avec des paquets hors dépôts puis sans mise à jour.
Comment vérifier que la passphrase d'une clef GPG a bien été saisie.
Problème rencontré : Lorsque mon ordi passe en veille pendant >60 minutes, l'agent GPG ne dispose plus de clef GPG valide (TTL fixé à 60 minutes). Et donc, si je ne resaisi pas ma passphrase assez rapidement, mon service vdirsyncer va se lancer et tenter des commandes GPG pour récupérer les identifiants qui vont bien pour communiquer avec mes services distants…
Sauf que si une commande gpg est lancée sans passphrase valide, gpg va la demander cette passphrase… et donc :
- bloquer vdirsyncer
- bloquer la saisie de passphrase…
En ajoutant une petite vérification qu'une clef GPG est bien dans le cache de l'agent GPG avant d'utiliser les commandes qui vont bien pour récupérer mes identifiants, ça ne bloque plus 👌
La configuration de vdirsyncer est disponible ici : https://wiki.101010.fr/doku.php?id=documentation:securite:vdirsyncer#configuration
vdirsyncer : Permet de synchroniser des ressources CardDAV/CalDAV/… distantes en local 👍
Et en dehors de vdirsyncer :
gpg-connect-agent 'keyinfo --list' /bye 2>/dev/null | awk 'BEGIN{CACHED="nok"} /^S/ {if($7==1){CACHED="ok"}} END{if(CACHED=="ok"){exit 0} else {exit 1}}'
Avec la bonne version d'Android (~>= 12).
Avec la "récente" faille log4Shell il est maintenant demandé de filtrer tout le contenu des serveurs.
-
Proxy sortant au niveau du système, via /etc/profile :
MY_PROXY_URL=http://proxy.tld:PORT
HTTP_PROXY=$MY_PROXY_URL
HTTPS_PROXY=$MY_PROXY_URL
FTP_PROXY=$MY_PROXY_URL
http_proxy=$MY_PROXY_URL
https_proxy=$MY_PROXY_URL
ftp_proxy=$MY_PROXY_URL
export MY_PROXY_URL HTTP_PROXY HTTPS_PROXY FTP_PROXY http_proxy https_proxy ftp_proxy -
Pour APT, via /etc/apt/apt.conf.d/proxy.conf :
Acquire {
HTTP::proxy "http://proxy.tld:PORT";
HTTPS::proxy "http://proxy.tld:PORT";
} -
Pour YUM, via /etc/yum.conf :
proxy=http://proxy.tld:PORT -
Pour les services systemd via :
systemctl edit my-service
[Service]
Environment="HTTP_PROXY=http://proxy.tld:PORT/"
Environment="HTTPS_PROXY=http://proxy.tld:PORT/"systemctl restart my-service
Les serveurs web doivent maintenant spécifier que le tracker google ne doit pas être utilisé…
- Brièvement évoqué ici (dans la partie "Envoyer balader Google et son FLoC !") : https://framablog.org/2021/04/20/developpeurs-developpeuses-nettoyez-le-web/
-
PR DebOps pour Apache2/Nginx : https://github.com/debops/debops/commit/dbe228d7c876616e6d514b34e50c1cc91f51fb25
-
Ce qui se traduit dans Nginx par :
server { listen [::]:443 ssl http2 … add_header Permissions-Policy "interest-cohort=()"; -
Et dans Apache2 par :
<VirtualHost *:443> … Header set Permissions-Policy "interest-cohort=()"
-
Aaaahhhh ! Pourquoi j'ai pas vu plus tôt que ça existait !
Entre cette nouvelle (pour moi…) intégration à Git (utile quand pas d'accès SSH !) et rofi-pass qui me permet d'utiliser ma base password-store partout… Ça va être compliqué de passer à autre chose…
"partout" :
- Tous les navigateurs et sans extension. Toutes les applications susceptibles d'avoir des champs à remplir.
- Même pour authentifier des connexions git précédemment à coup de sleep/delay ^^
- Possibilité de modifier la façon dont vont être saisi les identifiants à coup de tabulation/retour chariot/délais/…. Le site des impots par exemple… (
autotype: user :delay 1 :enter pass :enter) :- Saisir l'identifiant.
- Valider
- Patienter une seconde
- Saisir le mot de passe
- Valider
Mise en place d'un pi-hole sur un ordinateur portable pour toujours limiter les pubs indépendament de la connexion internet utilisée ?
Utilisation de Smime avec Mutt
J'ai toujours un problème avec le flag 0x18 parfois dans Nftables. Pour note, quelques liens/recherches :
- Avec le générateur de configuration pour différents serveurs web : https://ssl-config.mozilla.org/
- Et tester ensuite son site web via SSL Labs : https://dev.ssllabs.com/ssltest/
Nettoyer les métadonnées des fichiers.
Toujours sur Xymon…
- hobbit-plugin fournit un paquet Debian rassemblant pas mal de plugins "standard" pour Xymon (apt, netstat, mq,…).
- skazi0 en propose quelques autres sur Github (smart, nginx,…).
- git.ipr en reprend aussi (principalement une réécriture des plugins SMART). Il y a aussi des scripts appelés en cas d'alerte afin de tenter de corriger "automatiquement" le problème une fois avant d'envoyer des alertes.
- Un petit tuto pour installer Xymon avec lighttpd+CGI.
Notamment, comment sécuriser un système GNU/Linux : http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/