Jcfrog est un hacktiviste utopiste musicien. Il joue de la guitare et de ses mots pour faire entendre ce qu'il a à dire sur le grand réseau. Ses vidéos sont drôles et réalisées sans prise de tête. J'aime bien. :-)

Sa page principale : http://jcfrog.com/
Son blog : http://jcfrog.com/blog/

Dans les logs d'apache, j'ai une ligne qui apparait souvent :
83.134.xx.xx - - [17/Aug/2014:15:38:15 +0200] "GET /favicon.ico HTTP/1.1" 404 504 "-" "Mozilla/5.0 (X11; Ubuntu; ...)"

J'ai donc cherché ce que c'était et apparemment, c'est une requête automatique pour trouver l'icône du site. On peut désactiver cette demande automatique sur firefox en suivant les instructions du lien. Ce qui n'empêche pas qu'il faut que je face une petite règle (iptables?) pour éviter de pourrir mes logs.

(Pour voir les logs apache : )
simon@ordi:~$ sudo cat /var/log/apache2/access.log

Korben a parlé du paramètre "vm.swappiness" dans un article ( http://korben.info/disque-dur-rame-ubuntu-swappiness.html ). J'ai cherché à en savoir un peu plus et je suis tombé cet article. Ce paramètre sert à choisir à partir de quel pourcentage de RAM utilisée l'OS commence à faire du SWAP sur le disque dur.

Par défaut, le paramètre est à 60, ce qui veut dire qu'on commence à utiliser le SWAP à partir de 40% d'utilisation de la RAM.
Le SWAP étant plus lent que la mise en RAM, j'ai envie de mettre ce paramètre à 10 pour ne "SWAPper" qu'à partir de 90% d'utilisation de la RAM.

Pour voir le réglage actuel (60 par défaut) :
| ========
| simon@ordi:~$ cat /proc/sys/vm/swappiness
| 60
| ========

Pour modifier le réglage, il faut ajouter ces lignes dans le fichier sysctl.conf :
| ========
| simon@ordi:~$ sudo nano /etc/sysctl.conf
| [sudo] password for simon:
| # SIMON
| # Swappiness : Choisir à partir de quand l'ordinateur utilise
| # le swap sur le DD comme RAM
| vm.swappiness = 10
| ========

J'ai ensuite tenté un swapoff / swapon comme conseillé dans l'article mais ça n'a pas changé le paramètrage.
| ========
| simon@ordi:~$ sudo swapoff -a
| simon@ordi:~$ sudo swapon -a
| simon@ordi:~$ cat /proc/sys/vm/swappiness
| 60
| ========

Je tente un redémarrage pour voir si le réglage est pris en compte.

[Edit: Après redémarrage :
| ========
| simon@debian:~$ cat /proc/sys/vm/swappiness
| 10
| ========

Il faut donc bien redémarrer pour que le changement soit pris en compte.

Utilisation d'iptables et de l'argument TARPIT pour contrer les attaques DDOS. Très intéressant !

Un article intéressant pour l'installation de Subsonic (gestion d'une bibliothèque musicale en ligne) avec des infos intéressantes sur la configuration du serveur.

Quand j'essaye avec l'adresse IP de mon serveur : 42.15.34.10
10.34.15.42.in-addr.arpa domain name pointer 10.ip-42-15-34.eu.

J'ai installé logwatch et j'ai vu quelque chose qui m'a semblé suspect dans les logs :
| ========
| --------------------- httpd Begin ------------------------
| Requests with error response codes
| 400 Bad Request
| /w00tw00t.at.ISC.SANS.DFind:): 1 Time(s)
| ========

(xx.xx.xx.xx est à remplacer par l'IP du serveur.)

On actualise iptables :
| ========
| simon@ordi:~$ sudo /etc/init.d/firewall
| ========

On peut vérifier que les deux règles sont bien prises en compte :
| ========
| simon@ordi:~$ sudo iptables -L INPUT -nvx
| Chain INPUT (policy DROP 15 packets, 1188 bytes)
| pkts bytes target prot opt in out source destination
| 7 2912 DROP tcp -- 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 STRING match "Host: xx.xx.xx.xx" ALGO name bm TO 700
| 0 0 DROP tcp -- 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 STRING match "GET /w00tw00t.at.ISC.SANS." ALGO name bm TO 70
| ========

J'ai testé en tapant http://xx.xx.xx.xx dans firefox, j'ai eu une erreur (timeout) et je vois que 7 paquets ont été rejetés. :-)

Quand on utilise ssh-keygen pour générer une clé, on laisse généralement la taille par défaut mais il est possible pour RSA de spécifier avec l'argument "-b" suivi de la taille.
| ========
| simon@ordi:~$ ssh-keygen -t rsa -b 8192
| ========

Un manuel de 175 pages pour apprendre à sécuriser sa Debian. De la lecture en perspective... :-)

J'ai depuis peu un serveur virtuel chez OVH et j'ai configuré le firewall iptables en partie grâce à ce tutoriel : http://fr.openclassrooms.com/informatique/cours/securiser-son-serveur-linux
Étonnement, il ne parle pas d'HTTPS et du port 443 à ouvrir au besoin.

Quand j'ai voulu installer Pelican via PIP (voir http://www.simonlefort.be/links/?TcVjJw ), j'ai eu l'erreur suivante :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Cannot fetch index base URL http://pypi.python.org/simple/
| Could not find any downloads that satisfy the requirement pelican
| No distributions at all found for pelican
| Storing complete log in /root/.pip/pip.log
| ========

J'ai donc rajouté les lignes suivantes dans le script de configuration d'iptables :
| ========
| simon@ordi:~$ sudo nano /etc/init.d/firewall
| iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
| iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
| ========

J'ai ensuite relancé le script :
| ========
| simon@ordi:~$ sudo /etc/init.d/firewall
| ========

J'ai enfin pu installer Pelican :
| ========
| simon@ordi:~$ sudo pip install pelican
| Downloading/unpacking pelican
| Real name of requirement pelican is pelican
| Downloading pelican-3.4.0.tar.gz (259Kb): 259Kb downloaded
| Running setup.py egg_info for package pelican
| (...)
| ========

J'ai aussi installé markdown :
| ========
| simon@vps89550:~$ sudo pip install markdown
| Downloading/unpacking markdown
| Real name of requirement markdown is Markdown
| Downloading Markdown-2.4.1.tar.gz (279Kb): 279Kb downloaded
| Running setup.py egg_info for package markdown
| (...)
| ========

Un article intéressant pour bien comprendre le principe des clés privées/publiques appliqué à SSH.

Quelques bases pour sécuriser son serveur GNU/Linux. Il y a pas mal de subtilités à comprendre encore mais fermer tous les ports inutilisés, installer quelques outils pour se protéger (fail2ban, portsentry..) et vérifier la configuration des programmes sur le serveur (ssh, apache, ..), c'est déjà une bonne base.

Pour changer le mot de passe sur GNU/Linux, on utilise la command "passwd" :
| ========
| root@ordi:~# passwd
| Enter new UNIX password:
| Retype new UNIX password:
| passwd: password updated successfully
| root@ordi:~#
| ========

L'aquaponie est une technique pour élever des poissons tout en utilisant les nutriments qu'ils rejettent dans l'eau comme engrais pour des plantes. Il y a donc toujours un espace de culture et un bac à poisson. L'idée est de produire des protéines chez soi tout en alimentant son jardin. :-)

J'ai une bonne expérience avec les NAS Synology mais ceux-ci semblent bien tentants aussi.

J'ai découvert Les Clébards au hasard de mes pérégrinations sur youtube. C'est du bon punk avec des paroles sympas.
( Album "Le genre humain" : http://youtu.be/nfb8QvEcE9A , les paroles de l'album : http://www.lesclebards.com/pages/paroles/le-genre-humain.html )

Chez moi le script ne trouve rien.

| ========
| simon@ordi:~/Programmes/Linux_Exploit_Suggester-master$ ./Linux_Exploit_Suggester.pl
| Kernel local: 3.2.0
| Searching among 65 exploits...
| Possible Exploits:
| ========

(via https://ecirtam.net/links/?Fp5fMQ )

La liste des choses que votre navigateur donne à un site web qui le demande est juste effrayante !

Adresse IP publique, adresse(s) IP locale(s), pays, FAI, plugin Flash, OS, résolution d'écran (même avec dual screen!), 32 ou 64 bits, nombre de fonts installées, utilisation d'Adblocks (avec listes utilisées!), relais TOR, proxy, ... Ouawh! Ça fait peur!

(via http://tuxicoman.jesuislibre.net/2014/08/browserleaks-montre-comment-identifier-votre-navigateur-web.html )

Continuons sur les objets connectés, ces petites merveilles technologiques qui vont bientôt pousser comme des champignons dans nos maisons ou comme des mycoses sur notre corps. Le thermostat "Nest" de Google est un thermostat connecté. On peut se poser la question de savoir quel est l'intérêt de connecter son thermostat à internet... (Faire des économies en diminuant le chauffage aux bons moments, d'après le site de Nest.) mais le plus gros problème avec ces équipements, c'est qu'ils deviennent aussi faillibles que des ordinateurs en termes de sécurité.

À quand les hackers qui coupent le chauffage chez vous ? Ou bien quand serons-nous réveillés en pleine nuit par des détecteurs de fumée déclenchés à distance ?

Ces objets connectés représentent une menace pour la vie privée car nous n'en aurons pas la maitrise. Si l'idée de base peut être défendue, il faut se méfier de toutes les dérives qui vont suivre. Ça promet. sort le popcorn

Je n'avais pas du tout pensé à ça... Les assureurs sont en train de se jeter sur les objets connectés. Pourquoi ? Pour nous surveiller et pouvoir encourager les pratiques "saines". Prenons l'exemple d'une assurance santé. Elle vous surveille grâce à un bracelet connecté et vous obtenez une remise si vous faites du sport régulièrement. Très bien. Et si vous n'en faites pas, le prix augmente ? Et si vous refusez de porter leur bracelet ? Serez-vous considéré comme suspect ?

On peut également décliner ça en de nombreux autres exemples. À quand une assurance auto qui impose un GPS dans votre voiture afin de savoir le nombre de kilomètres parcourus, vérifier si vous ne dépassez pas la limitation de vitesse, si vous ralentissez bien avant les priorités de droites, etc...

Je me méfiais de la NSA et des autres agences de surveillance gouvernementales. Je n'avais pas du tout vu arriver les assurances !