Archives du tag ◊ sécurité ◊

Auteur :
• 26 septembre 2010

Un moteur de recherche?Voilà que je découvre aujourd’hui via le blogue Linux et compagnie le moteur de recherche Ixquick. Dans son billet : »Ixquick, le moteur de recherche qui respecte votre vie privée! » nous apprends que Ixquick est un méta-moteur de recherche (consultation de 10 moteurs de recherche et site spécialisés). Ce moteur de recherche ne conserverait pas l’adresse IP.

Depuis quelque temps, j’utilise le moteur de recherche Scroogle,   un mandataire anonymiseur en open source affichant les résultats de Google (ajoutez l’extension Firefox ici).

Pour les paranos, notons que Ixquick est détenu par une société à capital privé (avec tous les sous-entendus). Et l’open-source vérifiable?

On peut toujours tester/utiliser Ixquick en installant l’extension Firefox.

Si vous connaissez d’autres moteurs « proxy », faut pas hésiter à utiliser les commentaires.

Bonne recherche!

Auteur :
• 9 mars 2009

Logo de ClamAVIl y a des demandes des fois qui nous prennent de court.

Dernièrement, j’avais à vérifier du contenu et ensuite à le diffuser. En me remettant la clé usb, mon interlocuteur me précise que je devrait peut-être faire un petit scan pour les virus avant de diffuser, puisque la clef avait circulé amplement.

Le seul hic, c’est que cela doit faire 3 ans que je n’ai plus d’antivirus….. J’ai bien couplé dans mon serveur mail, Postfix à ClamAV et Clamassassin, mais là j’étais sur mon portable.
En en cherchant les lignes de commandes de ClamAV (freshclam, clamscan et autres souvenirs), j’ai découvert sur une petite interface graphique de Clamav, basée sur la bibliothèque Gtk, donc utilisant les même librairies que Gnome.

Cette interface me permettra entre autre de faire la mise à jour des signatures des virus ainsi que de la vérification de la clé usb (et/ou de mon disque dur, si le coeur m’en dit).

Pour l’installer ClamTK clamtk :

sudo apt-get install clamtk
Interface graphique de Clamav

Interface graphique de Clamav

L’utilisation est extrêmement simple:

  • Le menu option permettra de vérifier ou nom les fichiers cachés, d’activé la journalisation, de gérer la grosseur des fichiers, etc.
  • Le menu fichier nous permettra de faire la vérification d’un fichier, d’un dossier de manière récursive ou non récursive.

Veuillez noter qu’afin de pouvoir mettre à jour ClamAV vous devez démarrer Clamtk en tant que superutilisateur :

sudo clamtk

J’ai testé sur Hardy Heron ainsi que sur un livecd Intrepi Ibex. Cela peut être utile lors d’une migration complète vers Ubuntu, afin de s’affranchir des vestiges de Windows……..

Catégorie : ubuntu | Tags : , , , ,  | 13 commentaires
Auteur :
• 2 mars 2009

3333643Pour faire suite à ce billet (et à la discussion qui a suivi), à propos de l’utilisation du SSH comme serveur SOCKS4, afin de naviguer un peu plus sécuritairement, voici quelques astuces supplémentaires quant à son utilisation.

Tout d’abord, le port d’écoute par défaut d’un serveur ssh est le port 22. Mais ce n’est pas un absolu. On peut indiquer à notre serveur, d’écouter sur un autre port, ou bien sur plusieurs ports à la fois. Un port intéressant à choisir est le 443.

Pourquoi ce port? Tout simplement parce que c’est le port par défaut du web sécurisé (HTTP interroge sur le port 80 et HTTPS sur le port 443).  Donc si le café bloque tous les ports à l’exception de ceux destinés au web (80 et 443), personne ne sera étonné d’avoir un flux crypté (notre connexion ssh) sur le port 443.

Alors, comment faire? Tout d’abord, on présume qu’un serveur ssh est déjà installé dans votre ordinateur à la maison, si ce n’est déjà fait, voici la commande à écrire dans un terminal:

sudo apt-get install openssh-server

Ensuite on doit indiquer à notre serveur ssh d’écouter sur un autre port. Dans un terminal:

sudo gedit /etc/ssh/sshd_config

On recherche

# What ports, IPs and protocols we listen for
Port 22

Et on écrit sous Port 22, Port 443. Ce qui donne:

# What ports, IPs and protocols we listen for
Port 22
Port 443

On enregistre et on redémarre le serveur ssh

sudo /etc/init.d/ssh restart

On peut donc maintenant refaire l’astuce avec la commande:

ssh -D1111 -p443 username@hostname

Avec un serveur mandataire.

Que faire maintenant si tout le trafique internet est filtré par un serveur mandataire (proxy)? Disons que l’on veuille accéder à notre compte bancaire et tout le trafic est filtré par un ordinateur que nous ne contrôlons pas.

Prenons le cas d’un serveur mandataire fonctionnant sous squid. Par défaut l’adresse d’écoute de serveur est le 3128 et le nom du mandataire est proxy.local.

Il faut maintenant installer une application qui nous permettra de passer notre connexion ssh à travers le serveur mandataire. On installe corksrew

sudo apt-get install corkscrew

On peut donc maintenant refaire l’astuce avec la commande dans un terminal:

ssh -D1111 -p443 username@hostname -o"ProxyCommand corkscrew proxy.local 3128 %h %p"

Et si le mandataire nécessite un login et un mot de passe:

ssh -D1111 -p443 username@hostname -o"ProxyCommand corkscrew proxy.local 3128 %h %p login motdepasse"

Ne pas oublier de laisser la fenêtre ouverte et de renseigner Firefox (Édition -> Préférences -> Avancé -> Réseau -> Paramètres) afin qu’il utilise un proxy de type SOCKS ayant comme nom d’hôte localhost sur le port 1111.

Cette astuce permettrait même de naviguer dans des sites interdits par le serveur mandataire, il ne pourrait pas filtrer votre trafic, puisqu’il serait crypté et sur le port 443, ce qui serait normal pour lui après tout!

Auteur :
• 28 février 2009

Vous êtes connecté à internet via une borne ouverte sans fil et vous êtes dans un café, dans une salle de réunion ou bien à l’hôtel. Vous vous dites que ce ne serait pas vraiment sécuritaire d’accéder à vos courriels, votre compte bancaire, ou toute autre destination névralgique.

Si vous avez une machine qui roule à la maison (avec Ubuntu sans doute), il est possible d’utiliser internet de manière sécuritaire, de n’importe ou, comme si vous étiez à la maison.

On doit tout d’abord installer à la maison le serveur ssh openssh-server.

sudo apt-get install openssh-server

Ensuite, du café, il suffit de se connecter à notre serveur domestique avec la commande (dans un terminal que l’on laissera ouvert par la suite):

ssh -D1111 username@hostname

La commande ssh créera une connexion sécurisée entre votre ordinateur et celui de la maison. L’argument -D1111 permettra à ssh d’agir comme un serveur SOCKS4.

Il suffira ensuite de renseigner Firefox (Édition -> Préférences -> Avancé -> Réseau -> Paramètres) afin qu’il utilise un proxy de type SOCKS ayant comme nom d’hôte localhost sur le port 1111.

Si vous renseignez de la même façon Thunderbird, vous récupérerez et enverrez vos courriels, comme si vous étiez à la maison; ce qui éliminera le problème du serveur relais SMTP qui ne fonctionne que de chez votre fournisseur d’accès internet.

Edit du 3 mars 2009

Voici une image de ma fonfiguration de Firefox:

firefox

Catégorie : ubuntu | Tags : , , , ,  | 11 commentaires
Auteur :
• 20 novembre 2008

L’an dernier, j’avais configuré un serveur mandataire dans lequel j’y avais installé squidguard comme contrôle parental. L’avantage était que je n’avais qu’un ordinateur à configurer afin d’utiliser le contrôle parental.

Depuis cet été, le serveur est mort et par manque de temps je n’ai pas pris la peine d’en remonter un autre. Donc, les ordinateurs des enfants ont donc perdu tout contrôle parental en ce qui a attrait au contenu web.

Une des alternatives dont j’avais eu l’an dernier était l’installation de dansguardian (qui utilise les mêmes fichiers de liste noire que squidguard). Voici donc une synthèse des étapes que j’ai exploitée afin d’installer un contrôle parental transparent dans Ubuntu.

Bien que j’ai pigé à gauche et à droite (la solution fonctionne chez moi), si vous êtes témoins d’une faille de sécurité, il ne faut pas hésiter à me la signaler.

Nous allons donc installer:

On ouvre la liste de dépot

sudo gedit /etc/apt/sources.list

Et on ajoute, si vous êtes sous Hardy heron

deb http://ppa.launchpad.net/ubuntume.team/ubuntu hardy main

Ou si vous êtes sous Intrepid Ibex

deb http://ppa.launchpad.net/ubuntume.team/ubuntu intrepid main

Et on installe

sudo apt-get update
sudo apt-get install webstrict firehol

Les fichiers suivants seront installés: clamav clamav-base clamav-freshclam dansguardian libclamav3 libesmtp5 tinyproxy webstrict firehol

Configuration de dansguardian

On édite le fichier de configuration

sudo gedit /etc/dansguardian/dansguardian.conf

Et nous commentons UNCONFIGURED

# Comment this line out once you have modified this file to suit your needs
#UNCONFIGURED

On change la ligne :

language = 'ukenglish'

par

language = 'french'

Configuration de tinyproxy

On édite le fichier de configuration

sudo gedit /etc/tinyproxy/tinyproxy.conf

Et on fait les changements suivants;

##
## tinyproxy.conf -- tinyproxy daemon configuration file
##

#
# Name of the user the tinyproxy daemon should switch to after the port
# has been bound.
#
User nobody
Group nogroup

#
# Port to listen on.
#
#Port 8888
Port 3128

Configuration de firehol

On édite le fichier de configuration

sudo gedit /etc/firehol/firehol.conf

Voici le contenu de mon fichier:

#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5
iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-owner dansguardian -j DROP
transparent_squid 8080 "nobody root"

# Accept all client traffic on any interface
interface any world
    policy drop
    protection strong
    client all accept

Ensuite on édite le fichier suivant:

sudo gedit /etc/default/firehol

Et on s’assure d’avoir

START_FIREHOL=YES

Fin de la configuration

Il reste maintenant à redémarer les services

sudo /etc/init.d/dansguardian restart
sudo /etc/init.d/tinyproxy restart
sudo /etc/init.d/firehol restart

Vous avez accès à un nouveau menu en Système ->Administration->webstrict qui vous permet de manière graphique de régler les paramètres de dansguardian (voir cette page pour son utilisation).

Tout ceci n’est qu’un filet de sécurité et son but n’est nullement de nous remplacer. Rien n’est aussi efficace que le dialogue et l’éducation que nous devons avoir avec nos enfants face à l’internet.

Catégorie : ubuntu | Tags : , , , , ,  | Les commentaires sont désactivés
Auteur :
• 22 octobre 2008

J’ai décidé de remettre cela! Et je parle trop proche du micro !

Dans cette balado:

Le site sur le géocaching afin de trouver les coordonnées d’une cache près de chez vous.

Voici le lien sur monoxyde de dihydrogène:

Et pour valider:

Édit 23 octobre.

J’ai oublié de mentionner l,origine de mon intro (et des virgules sonnores).

TOP 100 sélection des meilleurs thèmes musicaux TOTALEMENT LIBRES DE DROIT

Catégorie : General | Tags : , , , , ,  | 2 commentaires
Auteur :
• 9 octobre 2008

Au premier abord, les informations inscrites dans la plateforme sociale de micro-blogue Twitter (une espèce d’hybride entre le blogue et la messagerie instantanée) peuvent sembler anodines et éphémères. Mais elle ne l’est pas. Sandrine Plasseraud relate dans son blogue une anecdote à ce propos. Alors qu’elle avait besoin d’utiliser Technocrati et que celui-ci n’était pas disponible, elle écrivit dans Twitter son interrogation sur cette coupure de service. Que ne fut pas sa sa surprise de recevoir quelques instants plus tard un message (toujours via Twitter) des responsables de Tecnocrati lui annonçant la reprise du service.

Sous un aspect ludique et anodin, se cache un redoutable outil d’archivage et de syndication. Il est en effet possible de syndiquer via un fil RSS n’importe quel mot clef et de recevoir via un agrégateur, presque instantanément l’information furetée.

La notion de laisser une trace pour un élève peut prendre une importance significative lorsque l’information est combinée avec un mot-clef convenu à l’avance.

Mais le blogueur est habitué à se que ses écrits soient absorbés par la toile, par contre l’utilisateur de messagerie instantanée (comme les élèves en grande majorité) beaucoup moins, d’où un souci de sensibilisation (de plus, il semblerait difficile d’effacer une fois publiée).

Les paroles s’envolent, les écrits restent….

Édit

Il est possible d’effacer en allant sur la page Twitter, de cliquer sur la petit poubelle à côté de son billet. Merci Charles-A. Bachand.

Auteur :
• 8 avril 2007

Il y a huit ans je publiais dans le Web l’annuaire scientifique franco-science.org. J’en étais le concepteur, je possédais le nom de domaine et j’en assurais l’hébergement. Le contenu était anecdotique et mes seules prises de position consistaient à consacrer un site Web, le site de la semaine. Au cours des années, j’ai carrément perdu toutes mes archives concernant ce site. Pourtant, à l’aide du module Resurrect Pages de Firefox, je peux en quelques cliques accéder à une image temporelle de ce que cette page a déjà été.

Ceci m’amène à la médiatisation de la suspension d’élève qui a eu lieu la semaine dernière (suspension qui est selon moi assez fréquente). Je ne veux pas revenir sur la suspension comme telle mais plus particulièrement sur l’article d’un journaliste qui va même jusqu’a citer le blogue de Francois (en le comparent à un forum) et de publier dans son journal des extraits du blogue en question.

Je suis solidaire avec Francois et j’admire la tournure qu’a pris sa discution avec ces élèves. Mais n’oublions pas, ce que nous écrivons maintenant, même si nous l’effaçons la semaine prochaine, sera encore accessible dans 100 ans. Écrirons-nous dorénavant sous la pression d’une rectitude politique corporative? Celle-ci nous amènera-t-elle à élimer toutes discutions civilisées avec des élèves dans des sujets aussi épineux (pour certains) que la critique (se voulant on l’espère constructive) de leurs milieux de vie (autre article ici)?

Je trouve primordial d’éduquer comme le suggère Gilles dans son espace, mais nous devons primordialement réaliser jusqu’à quel point nous nous exposons nous-mêmes.

Catégorie : General | Tags : , , , , , ,  | Les commentaires sont désactivés
Page 1 sur 212