Guacamole, un proxy Web d'accès distants

Guacamole est un proxy pour vos accès distants. Il permet d’accéder depuis une interface Web à vos machines qu’elles soient en SSH, VNC, RDP. C’est un projet qui a été repris par la fondation Apache (en incubation pour le moment).   Packagé dans les distributions majeures et chez Docker :   Guacamole est une application servlet Java, donc qui nécessite un Tomcat ou un autre serveur d’application. J’installe aussi Apache (ou Nginx) pour faire un reverse proxy. »

ROCA : l'autre grosse faille qui passerait presque inappercue

Avez-vous entendu parler de krack attack ? Oui ! Avez-vous entendu parler de ROCA ? Peut-être pas. Bien qu’éclipsée par l’actualité chargée de cette semaine, cette faille est pourtant monumentale. Elle concerne l’implémentation du protocole RSA par Infineon, un constructeur de TPM et un éditeur de bibliothèque RSA. Les clés ayant été générées par un équipement utilisant Infineon sont vulnérables. Cela concerne notamment Bitlocker, les certificats TLS, PGP ou SSH. »

Un serveur SSH bien sécurisé

Je vous ai déjà parlé des guides Mozilla pour aider à bien configurer ses serveurs. Mes articles concernaient les serveurs Web Nginx et Apache. Mozilla s’est aussi attelé au serveur le plus répandu sous Unix/Linux : OpenSSH. Je vous avoue que sans ce guide la configuration est ardue car comment savoir quels algorithmes, méthodes de chiffrement et hashages utiliser ???   Selon Mozilla, un serveur moderne devrait ressembler à ça (/etc/ssh/sshd_config) : »

Quelle clé SSH choisir ? RSA, DSA, ou Ed25519 ?

SSH d’accord, mais pas en mode passoire   Voyant passer plusieurs failles de sécurité sur SSH ces derniers temps, je me suis posé une question à laquelle je n’avais pas réfléchi jusque là : Quel type de chiffrement utiliser pour les connexions par clé SSH ? Il faut savoir que les types de clés proposés par OpenSSH sont RSA, DSA, ECDSA et ED25519.   No future for DSA   »

Il est pas propre, mon shell ?

Cleaning par Roosh Inf3ktion Il m’arrive – rarement je le confesse – de trouver du temps pour faire le tour des scripts de sauvegarde, voir si tout va bien. Et bien sûr comme ce tour des sauvegardes est rare, quand on y regarde de plus près, on tombe sur des erreurs (ayant cours depuis longtemps mais chuttttttt !). Parmi ces erreurs, je suis tombé sur un Rsync qui n’avait plus envie de synchroniser des fichiers. »

Déport d'affichage avec SSH sous Linux et Windows

SSH est une belle invention, en particulier son déport d’affichage du serveur X. Le remote app de Windows n’a qu’à bien se tenir. Ici un exemple d’éxécution de Libre Office à distance.   Côté serveur : On vérifie dans le fichier /etc/ssh/sshd_config que l’option X11Forwarding est à yes (par défaut sous Debian/Ubuntu).   Client Linux : Sous Linux, rien à faire : ssh -X moi@monserveur moi@monserveur:~ $ libreoffice   »

Les premiers playbooks Ansible

Si vous suivez mon blog, vous savez pourquoi Ansible, c’est bien, comment l’installer et le tester. Maintenant on va passer aux choses sérieuses : Utiliser les playbooks.   Playbooks ???   Les playbooks sont des scénarii dans lesquels sont décrits des actions que les « agents » doivent réaliser. Ces playbooks sont écrits en YAML, donc ils sont très lisibles.   Réparer Shellshock   Sur le « serveur » Ansible créer un fichier /etc/ansible/playbooks/shellshock-patch. »

Installation et configuration basique d'Ansible

J’ai présenté l’autre jour Ansible comme une très bonne solution d’automatisation. Ansible fonctionne par SSH avec des scripts écrits en Python. Il n’y a pas d’installation d’agent. J’utilise quand même le terme « serveur » pour la machine sur laquelle Ansible est installée et « agents » pour les machines à automatiser par Ansible.   Installation du « serveur » Ansible :   apt-get install python-pip sudo pip install ansible adduser ansible adduser ansible sudo su - ansible   »

Authentification Cisco par clé SSH

Depuis la version 15 de l’iOS, il est possible de s’authentifier sur un équipement Cisco sans mot de passe mais avec des clés SSH. A utiliser, par exemple, pour automatiser avec expect.   Sur le PC (ça devrait déjà être fait) : ssh-keygen -t rsa Affichez l’empreinte de la clé publique et copiez-là : ssh-keygen -lf ~/.ssh/id_rsa.pub   Sur l’équipement Cisco : conf t username toi privilege 15 ip ssh pubkey-chain username toi key-hash ssh-rsa l-empreinte-de-clé-rsa   »

Storm : un gestionnaire de connexions SSH

Storm est un logiciel tout bête de gestion des connexions SSH. Il est libre, écrit en Python. Il a de pratique qu’il fait gagner un peu de temps quand on utilise beaucoup de connexions SSH.   Installation   Si vous n’avez pas (encore) pip : apt-get install python-pip Et tout simplement : pip install stormssh   Usage   storm add nom url storm add monpc nico@1.2.3.4 Un simple storm –help vous renseignera sur les quelques options. »