Mémo kerberos/samba/ftps

Par Cinux, le 08 juillet 2018Lire la suite

Je me suis fait un petit mémo lors de la mise en place de serveurs linux dans le cadre d'un projet d'étude. Il était demandé de mettre en place un serveur ftps permettant de partager des fichiers avec les clients externes à l'entreprise. -- Lire la doc --

Au programme :

  • Quelques outils pour sécuriser un serveur sous GNU/linux
  • Ajouter le serveur au domaine de l'entreprise et/ou autoriser les utilisateurs du domaine à se connecter
  • Configurer un partage SMB
  • Configurer un serveur FTPS qui donne accès au partage samba avec des comptes cloisonnés pour les utilisateurs du ftp, tout en permettant aux utilisateurs d'un groupe du domaine d'accéder aux dossiers des utilisateurs via SMB.

Netdata - Monitoring

Par Cinux, le 16 mai 2017Lire la suite

Pour monitorer mes serveurs, j'avais l'habitude d'utiliser munin. Munin est efficace et simple mais pas vraiment 'sexy'. J'ai découvert NetData hier grâce à l'article de CitizenZ. Naturellement, je l'ai installé puis testé et j'avoue que c'est vraiment agréable à la lecture. Si vous avez des machines sous Linux ça vaut le coup d'être installé.

A plus!

Récupération de fichiers sous linux

Par Cinux, le 14 mars 2017Lire la suite

Ce qui devait arriver un jour est arrivé! J'ai supprimé par mégarde le fichier KEEPASS contenant tous mes mots de passe et ma dernière sauvegarde date du mois dernier. Ca n'est pas dramatique mais j'aimerais pouvoir récupérer les modifications que j'y ai apporté entre temps. La récupération de données est composées de 2 étapes importantes:

1) Arrêter d'écrire sur la partition concernée par la perte de données.
2) récupérer les données (si rien n'a été écrit par dessus).

afin de ne plus écrire sur votre partition concernée par la perte de fichiers, il faut la démonter afin d'éviter que des écriture se fassent sur les données perdues. On peut éventuellement la remonter en lecture seule pour accéder à certains fichiers si besoin mais cette étape est optionnelle. Pour se faire, on quitte tout pour se loger en root puis on tape :

ATTENTION: Dans tous les exemples ci-dessous, /dev/sdaX est la partition surlaquelle se trouvent les données à restaurer.

$ umount /dev/sdaX # pour la démonter
$ mount -o ro /dev/sdaX/ /mnt/tmp # pour la monter en lecture seule.
Ceci étant fait, vous pouvez passer à la phase de récupération. Si foremost n'est pas installé sur votre distribution, vous pouvez récupérer la dernière version sur http://foremost.sourceforge.net/ ou l'installer avec votre gestionnaire de paquet. Pour les systèmes basés sur Debian, on tapera:

$ apt update
$ apt install foremost 
Pour connaître la liste des fichiers qu'il est possible de restaurer, tapez :

sudo foremost -w -i /dev/sdaX -o /recovery/foremost
L'option -w indique à foremost de lister tout ce qui est récupérable dans le fichier audit.txt dans le répertoire de sortie.(dans notre cas /recovery/foremost/). Par défaut, foremost permet de récupérer tous les types de fichiers listés dans la manpage (pour plus de détails tapez : man foremost). Pour récupérer les images .jpg par exemple, On tapera alors:

$ foremost -t jpg -i /dev/sdaX -o /recovery/foremost
Et si c'est un type de fichier non reconnu par défaut, comment faire???
En installant foremost, un modèle de fichier de configuration est installé en /etc/foremost.conf. Il contient déjà pas mal de types additionnels qui sont tous commentés par défaut. Pour les activer il faut dé-commenter la ligne en supprimant le '#' en début de ligne.
Si toute fois, le type de fichier que vous tentez de restaurer ne figure pas dedans il est possible de l'ajouter. Pour récupérer un fichier KEEPASS, j'ai trouvé les informations concernant le type de fichier à l'adresse https://gist.github.com/msmuenchen/9318327, et je les ai ajouté à la fin du fichier de conf /etc/foremost.conf comme suit:

#---------------------------------------------------------------------
# KEEPASS FILES
#---------------------------------------------------------------------
#  type    Case      size            Header                   footer
    kdbx    y           5000000     \x03\xD9\xA2\x9A    \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0


Il ne reste plus qu'à lancer foremost avec la configuration que nous avons mise en place :
$ foremost -t kdbx -c /etc/foremost.conf -i /dev/sdaX -o /restore/foremost
Les fichiers récupérés seront alors placés dans /restore/foremost/kdbx/

La restauration de fichier ne fonctionne malheureusement pas toujours et n'est pas une solution à envisager. Il faut mettre en place une politique de sauvegarde sérieuse afin de se prémunir contre toute perte de données.

Shred - Contrer la restauration de données

Par Cinux, le 30 décembre 2016Lire la suite

Il peut arriver que l'on enregistre un fichier sensible sur une clé usb ou sur un disque dur, et que l'on souhaite s'assurer que personne ne puisse les données que l'on a effacé. (Si si... Avec une bonne dose de savoir faire et un peu de patience il est possible de récupérer certaines données effacées d'un disque.)
Le problème réside dans le fait que lorsque vous supprimez un fichier, le système de fichier supprime en réalité les informations sur ce fichier (nom, adresse mémoire, taille etc.) de son index, mais pas les données. de ce fait elles sont toujours sur le disque mais on ne les voit pas.

Shred est un logiciel sous license GPLv3+, compris dans le paquet debian "coreutils". Il permet d'écrire des donnée aléatoires sur un périphérique ou à la place d'un fichier (plusieurs fois) pour brouiller les pistes, on peut remplir l'emplacement mémoire de '0' et même effacer le fichier. Ainsi la commande ci dessous aura pour effet d'écrire des données aléatoires à la place du fichier toto.txt (3 fois par défaut), puis shred remplira l'espace de données avec des '0' (option -z), et finira par effacer le fichier (option -u).

$ shred -z -u toto.txt

Pour plus d'infos, consultez la documentation officielle, ou tapez man shred dans un shell

Attic comme soft de sauvegarde

Par Cinux, le 30 décembre 2016Lire la suite

La sauvegarde des donnée peut se faire par le biais de bien des logiciels utilisant divers techniques. J'utilisais pour ma part (sous Debian) le célèbre couple Dirvish / rsync des paquets éponymes. Puis il y a un an j'ai découvert attic (dont borgbackup est un fork).

Il permet :
  • De faire des sauvegardes avec déduplication des données (moins gourmandes en espace disques qu'un backup classique).
  • De les envoyer directement sur un serveur distant par le biais de 2 solutions (en installant attic sur le serveur ou en montant un sshfs)
  • Il gère la durée de vie des archives avec l'option "prune" (tailler), qui effacera les archives trop anciennes en fonction de vos besoins.
  • Il est simple à utiliser.

    Sur le site officiel du projet, vous trouverez une documentation claire et concise. ( ici et là...) .

    Au sujet de la déduplication j'ai trouvé plusieurs documents qui se contredisent quelque peu. Je ne l'utilise qu'à titre personnel et je n'ai pas de soucis car je fais un rsync de la sauvegarde sur un autre serveur, mais j'imagine qu'une société peut rencontrer d'autres problèmes.

    Wikipédia sur la déduplication
    Un article qui désacralise la déduplication

    Si vous avez pu tester ou si vous avez rencontré des problèmes faites le savoir.

    A plus!
  • Hey!

    J'ai fait un petit script en python qui permet rapidement de mettre en avant l'importance de n'utiliser que des mots de pass forts

    Le fonctionnement est simple. Vous entrez un mot de pass à tester. Il vous affichera le nombre de combinaisons possibles en fonction ds caractères utilisés et de la taille du pass. Ensuite il vous propose d'afficher les combinaisons testées à l'écran ou non. Une fois lancé il teste toutes les combinaisons les unes après les autres, puis affiche le nombre de combinaisons testées et le temps qu'il a mis à tester.

    Afin de bien insister sur la vitesse de calcul je fais le test en live avec mon pc portable.
  • Je commence par faire un test par bruteforce sur un pass genre "totot". En acceptant d'afficher les combinaisons testées à l'écran, il teste 2 050 289 combinaisons en 17.81 secondes. On peut en conclure qu'il teste environ 115 100 combinaisons par secondes)
  • Je fais ensuite le même test mais sans afficher les combinaisons testées (car cela consomme BEAUCOUP de ressources). Il teste alors les 2 050 289 combinaisons en 1.35 secondes, soit 1 518 700 combinaisons par secondes!

    Lorsque l'on sait que l'on peut aller encore bien plus vite en utilisant les processeurs des cartes graphiques, on réfléchi à deux fois avant d'utiliser un mot de pass comme "toto".

    Vous trouverez le script sur GitHub (https://github.com/mistercinux/BFSpeed). Je n'ai pas de dictionnaire de pass fourni par défaut il faudra donc utiliser les vôtres. Bien sure si vous détectez un bug n'hésitez pas à le faire remonter.
  • GnuPG - Les bonnes pratiques

    Par Cinux, le 19 décembre 2016Lire la suite

    Le site Riseup.Net a publié un guide des bonnes pratiques pour l'utilisation d'OpenPGP Cet article est destiné à un public averti mais explique très bien la démarche à suivre afin de communiquer en toute sécurité. Vous trouverez cet article sur le site de riseup.net.

    Il renvoie également vers un mémo concernant la gestion des clés sur ce blog.

    Vie privée et chiffrement

    Par Cinux, le 15 décembre 2016Lire la suite

    Si vous êtes sensibles au respect de la vie privée sur internet, vous savez sans doute qu'il existe plusieurs outils Libres et Open Sources qui permettent de vous prémunir de ces abus. Citons par exemple OpenVPN (Open Virtual Private Network (pratique si vous vous connectez à un wifi publique) , GnuPG (chiffrement de données mail, documents etc.), Cryptomator (Il permet de chiffrer les données à la volée sur un cloud. Tous ces outils sont très utiles mais rien ne vaut une bonne dose de bon sens!

    Si vous souhaitez vous lancer à la découverte de GnuPG, vous pouvez consulter l'article dédié à sa découverte et sa prise en main sur https://hyperion.network A plus!