Quentin Demoulière

Mon blog personnel

Linux

Intérêt et fonctionnement de sudo dans un contexte pédagogique

Rédigé par Quentin Demouliere - 03 juillet 2017 - 2 commentaires

Introduction

Sudo est un outil extrêmement puissant et complet qui permet de contrôler finement le lancement de commandes avec les privilèges root ou ceux d'un autre utilisateur sur un système GNU/Linux ou *BSD. Beaucoup connaissent l'utilisation sommaire et basique de sudo dans le cadre de systèmes où le compte root est désactivé et que l'utilisateur créé lors de l'installation a besoin d'une élévation des privilèges afin d'utiliser des commandes normalement réservées au superadministrateur.

Mais sudo est beaucoup plus riche que ce que laisse à penser ce fonctionnement standard.

Lire la suite de Intérêt et fonctionnement de sudo dans un contexte pédagogique

Double facteur d'authentification SSH avec la Yubikey de Yubico

Rédigé par Quentin Demouliere - 02 décembre 2015 - Aucun commentaire

Pourquoi un double facteur d'authentification ?

"Le mot de passe est actuellement le système le plus couramment utilisé pour authentifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles, car différentes techniques d’attaque permettent de le trouver facilement."

Wikipédia

La yubikey est une clef USB simulant un clavier USB et permettant de générer un mot de passe à usage unique appelé OTP. Ainsi, l'idée est d'obtenir une authentification forte à l'aide d'un double facteur d'authentification pour le daemon OpenSSH. Concernant son fonctionnement, voici l'explication très claire fournie par aeris sur son blog :

"À l’intérieur de la Yubikey se trouve une clef AES en écriture seule (pas de lecture possible de la clef), possédée aussi par Yubico (l’entreprise fabriquant la Yubikey).

À chaque appui sur le bouton de la clef, celle-ci va émettre une chaîne composée de son identifiant de clef, d’un compteur de session (s’incrémente à chaque branchement de la clef), d’un compteur d’horloge (s’incrémente 8× par seconde) et d’un compteur d’utilisation (s’incrémente à chaque appui sur le bouton). La chaîne complète est chiffrée avec la clef AES interne, et envoyée ainsi à l’application qui cherche à vous authentifier.

Votre application va alors contacter le serveur de Yubico et lui soumettre la chaîne chiffrée. Le serveur possédant lui aussi la clef AES, il peut déchiffrer les données et les vérifier. S’il est capable de déchiffrer les données et que l’identifiant d’utilisateur correspond bien à celui associé à la clef, on est en présence d’une clef valide. Si les valeurs de tous les compteurs sont bien strictement supérieures à celles de la dernière chaîne validée, on est en présence d’un nouveau identifiant et non d’un rejeu d’une chaîne interceptée."

Si vous souhaitez en apprendre davantage sur le fonctionnement de cette petite clef, je vous renvoie à l'excellente conférence qui a eu lieu lors de Pas Sage en Seine 2011 : https://numaparis.ubicast.tv/videos/pses-yubikey/ mais aussi plus récemment lors des RMLL 2014 : http://video.rmll.info/channels/#securite_.

Lire la suite de Double facteur d'authentification SSH avec la Yubikey de Yubico

Mise en place de Unbound, un résolveur DNS supportant DNSSEC

Rédigé par Quentin Demouliere - 08 mars 2015 - Aucun commentaire

Comme pas mal de monde, j'en ai un peu marre des résolveurs DNS menteurs. De plus, j'utilise un boitier VPN mobile et plutôt que de me servir des serveurs DNS de mon fournisseur d'accès associatif, j'ai décidé de mettre en place mon propre serveur DNS récursif sur ce dernier. Voulant quelque chose de simple et efficace, j'ai choisi Unbound.

admin@boitier$ sudo aptitude install unbound

admin@boitier$ cd /var/lib/unbound/ && sudo wget ftp://ftp.internic.net/domain/named.cache

admin@boitier$ sudo mv named.cache root.hints && sudo chown unbound:unbound root.hints 

admin@boitier$ sudo vim /etc/unbound/unbound.conf

Lire la suite de Mise en place de Unbound, un résolveur DNS supportant DNSSEC

Crunchbang Linux, mon nouvel OS au quotidien

Rédigé par Quentin Demouliere - 13 septembre 2014 - Aucun commentaire

Après un an à utiliser Ubuntu, j'ai décidé cet été de passer à Crunchbang Linux. Cette distribution basée sur Debian Wheezy, propose un système léger, épuré avec OpenBox.

Marre d'Ubuntu, d'Upstart, d'Unity et du non-respect par défaut de mes informations à caractères personnels. Donc, après avoir solliciter l'avis d'une personne qui utilisait déjà CrunchBang depuis un an, je me suis jeté à l'eau. Et c'est vraiment plaisant. Je retrouve un Window Manager proche de FluxBox que j'ai utilisé longuement par le passé. La légerté de l'OS et son environnement hautement personnalisable en font un vrai régal.

Lire la suite de Crunchbang Linux, mon nouvel OS au quotidien

Pourquoi ai-je dû hacker notre NAS Buffalo TeraStation TS-XL ?

Rédigé par Quentin Demouliere - 16 octobre 2013 - Aucun commentaire

Nous avons fait l'acquisition récemment d'un NAS semi-professionnel Buffalo qui comprend un système Linux embarqué basé sur Debian avec gestion logiciel RAID 5.

Nos étudiants ont été amenés à le paramétrer à l'aide de l' unique interface Web minimaliste fournie par le constructeur... Après plusieurs semaines de recherche, deux d'entre eux sont venus me trouver avec la problématique suivante :

Après avoir mis le NAS sur le domaine Windows, l'accès FTP devient impossible tant avec les comptes locaux du NAS qu'avec les comptes Active Directory.

Lire la suite de Pourquoi ai-je dû hacker notre NAS Buffalo TeraStation TS-XL ?