Un monde d'octets

Aller au contenu | Aller au menu | Aller à la recherche

Informatique › Sécurité

Fil des billets

Sous-catégories

mardi, février 27 2024

OIDC : configuration d'un virtualhost apache

Par pepin le mardi, février 27 2024, 05:15

Dans votre virtualhost, il faut les directives suivantes :

  OIDCProviderMetadataURL http://192.168.9.165:8080/auth/realms/Shura/.well-known/openid-configuration

  OIDCClientID "ka.local"
  OIDCClientSecret "d36e706f-faaf-460b-8b85-ec226afc0799"
  OIDCCryptoPassphrase "shawapouf"
  OIDCScope "openid email profile email"
  OIDCSessionType client-cookie

  OIDCRemoteUserClaim sub
  OIDCOAuthRemoteUserClaim sub
  OIDCSSLValidateServer Off

  OIDCPassClaimsAs "headers"
  OIDCPassUserInfoAs "claims"
  OIDCPassRefreshToken "On"
  OIDCClaimPrefix Oidc-Claim-

  OIDCRedirectURI http://ka/sfhp/redirect_uri

  DocumentRoot /var/www/html/

  ProxyPreserveHost On
  SSLProxyCheckPeerCN off

  ProxyPass /sfhp http://ka:5000/
  ProxyPassReverse /shfp http://ka:5000/

  <Location />
     AuthType openid-connect
     Require valid-user

     Redirect /sfhp/oidc/ /oidc/
  </location>

Les ip et crédentials oidc doivent être conformes à celles déclarées dans votre keycloak

mardi, février 28 2023

Softs et Fin de Support

Par pepin le mardi, février 28 2023, 08:16

le site endoflife recense les fin de vies de produits (date de release, date de fin de support)

lundi, novembre 7 2022

Keycloak + mod auth oidc

Par pepin le lundi, novembre 7 2022, 16:09

Ceci est un draft issu d'un site dont je n'ai plus l'url en tête mais qu'il serait facile de trouver

Configure Keycloak

We will now use Keycloak’s admin Web UI to setup LDAP and add OnDemand as an OIDC client that will authenticate with Keycloak.

Add a new realm

Log into https://webdev07.hpc.osc.edu:8443 as the admin user
Hover over “Master” on left and click “Add Realm”
Type in name “ondemand” and click “Save”. The new realm is loaded.
Click Login tab then adjust parameters:
Remember Me: ON
Login with email: OFF
Click Save.

Configure LDAP

Choose User Federation on the left (verify ondemand realm is current realm)
Select “ldap” for provider
Import Users set to OFF
Edit Mode set to READ_ONLY
Vendor set to other – for OpenLDAP
User Object Classes set to posixAccount – OSC specific and odd
Connection URL: ldaps://openldap1.infra.osc.edu:636 ldaps://openldap2.infra.osc.edu:636
User DN: ou=People,ou=hpc,o=osc
Auth Type: simple – OSC specific as we allow anonymous binds
Use Truststore SPI: never
Save

Warning : These LDAP settings are what we set for OSC. Your configuration may vary from this. If you run into any problems, please let us know so that once a solution is reached we can document those problem areas here. Contact us on the OOD Mailing List at https://lists.osu.edu/mailman/listinfo/ood-users.

Add OIDC client template

Choose Client
Templates
Click Create
Name ondemand-clients
Protocol openid-connect
Click Save
Mappers tab
Click Add Builtin
Check box username, email, given name, family name, full name
Click Add Selected
Click Scope tab
Set Full Scope Allowed to ON
Verify Mappers >> username has “Token Claim Name” with value preferred_username.

This means that when the user logs to OnDemand, the preferred_username claim will contain the username of the user. We will use this when deciding what system user to map a request to.

Add OnDemand as a client

Choose Clients, then click Create in top right corner
Client ID: webdev07.hpc.osc.edu
Client Protocol: openid-connect
Client Template: ondemand-clients
Save (leave Root URL blank)
Then edit Settings for the newly created client:
Access Type: confidential
Direct Access Grants Enabled: off
Valid Redirect URIs: Press the + button to the right of the URI field so you can insert two URLs: 

  https://webdev07.hpc.osc.edu/oidc 

  https://webdev07.hpc.osc.edu

Scroll to bottom and click “Save”
Finally, get the client secret to use with OnDemand installation:
Select the “Installation” tab of the “Client” you are viewing i.e. “Clients >> webdev07.hpc.osc.edu”
Select Format Option: Keycloak OIDC JSON

The “secret” string will be in the credentials section. Copy that for future use in this tutorial (and keep it secure).

mardi, décembre 7 2021

Selinux : audit2allow quick permission correction

Par pepin le mardi, décembre 7 2021, 09:24

Filter certwatch alert in audit.log and process it to audit2allow to build a corrective pp :

grep certwatch /var/log/audit/audit.log | audit2allow -M mycertwatch2

make the policy active :

semodule -i mycertwatch2.pp

samedi, septembre 28 2019

Logs sous linux

Par pepin le samedi, septembre 28 2019, 16:44

Bon, les logs c'est toujours la même rengaine... les consulter, les exploiter, en tirer des statistiques ... Ik, mais tout ca c'est mis en face de logs qui sont de plus en plus lourds, verbeux, aux formatages spécifiques à leur usage, bref .... IT'S A JUNGLE OUT THERE !

Il existe des solutions pour faciliter le travail ....

  • Graylog2
  • Logstash
  • Elastic Search et Kibana

Pour ces trois la, je n'ai fait que rayer la peinture, mais Graylog2 est très gourmand au ressource, même si il semble effectivement très potent sur la gestion des logs. Il faut quand même tout définir :

  • grokker
  • alertes
  • parsers

tout un travail qui demande temps et connaissance.

Pour ElasticSearch et Kibana, c'est un duo assez sympa, mais si on découpe le bouzin, on sait bien que :

  • ElasticSearch est un logiciel de stokage de données avec requêtes avancées.
  • Kibana est un logiciel de visualisation pouvant utiliser ElasticSearch comme source de données

Et si on veut faire faire ce ces briques un SIEM, il faut au moins y ajouter Logstash, qu'il faudra parametrer pour :

  • recevoir les logs de sources rsyslog (ou autres, comme filebeat)
  • mettre en place les analyses syntaxiques qui permettrons de qualifier les logs avant injection dans Elastic

Beaucoup beaucoup de choses à faire dans les deux cas donc.

Perso j'ai écrit mon propre rôle d'installation ELK via ansible, et c'est un bon début, mais de la à en tirer une solutions statistiques de consultation qui permettent de corréler les attaques sur serveurs ... c'est toujours pas fait !

mardi, septembre 17 2019

Autoriser Nethogs aux utilisateurs sans être sudoers

Par pepin le mardi, septembre 17 2019, 03:01

Il suffit de positionner les capabilities. Comme il me fallait une excuse pour faire un post sur les capabilities, je profite que j'en ai marre de taper sudo juste pour voir quel programme bouffe la bande passante ;)

sudo setcap "cap_net_admin,cap_net_raw=ep" /usr/sbin/nethogs

avec cette commande, nous avons donné les capabilities net_admin et net_raw au programme /usr/sbin/nethogs, ce qui lui permet donc de faire des captures tcp et donc d'avoir les infos dont il a besoin.

Bien sur, c'est à utiliser avec prudence, car ainsi paramétré nethogs permet à tout un chacun de voir ce que ses pairs font comme accès réseaux sur la machine.

dimanche, septembre 15 2019

Root-me et outils glannés au cours des challenges que j'ai testé

Par pepin le dimanche, septembre 15 2019, 04:56

Bon, j'ai trouvé, et écrit, et modifié ou adapté beaucoup de scripts pythons pour procéder a des analyses réseaux, pcap, buffer overflow, et autres, mais il y'a quand même des outils donc il faut absolument que je garde trace :

  • volatility : analyse de dump mémoire, écrit en python, super mégacool
  • pwntool : librairie python d'écrirure prototypée de hack réseau
  • patator : framework python de bruteforce réseau
  • dirb : un dirbuster en python qui permet, sur la base d'un dictionnaire, de vérifier l'existence de dossier non liés
  • doona : un logiciel de brute force type fuzzing, testant la sécurité de beaucoup de protocoles
  • rhino : interpreteur javascript offline. permet par exemple d'executer un bout de code javascript d'un site pour en extraire des variables (cf root-me obfuscate 2)

vendredi, août 23 2019

Evaluation des risques informatiques

Par pepin le vendredi, août 23 2019, 01:05

MARION, MELISA, MEHARI et EBIOS sont différentes méthodes d'évaluation des risques informatiques.

Leurs principales caractéristiques sont les suivantes :

MARION

Méthode développée initialement en 1985, puis régulièrement améliorée et adaptée.

Le risque est mesuré par sa gravité : évaluation de ses conséquences / impacts et de sa potentialité (depuis 1993).

3 phases :

Phase 1 : analyse des risques (analyse de 17 scénarios types, mesure des risques, sélection des risques majeurs)

Phase 2 : analyse des vulnérabilités au travers de l'audit de 27 facteurs de sécurité (repose sur la réponse à un questionnaire de plus de 600 questions), pondération, synthèse

Phase 3 : définition du plan d'action, avec distinction des mesures prioritaires, secondaires de mise en cohérence, avec itérations et optimisation

Avantages de la méthode :

  • Possibilité de se comparer aux autres entreprises d'un même secteur d'activité au travers de la note acquise
  • Existence de bases de connaissance mises à jour annuellement

MELISA

Méthode d'auto audit développée initialement par la DGA (Direction générale de l'Armement) et la DCN (Direction des constructions navales) en 1985, puis étendue.

Le risque est mesuré au travers de l'analyse des vulnérabilités grâce à l'étude d'évènements, sortes de mini-scénarios imagés et détaillés (environ 600 par base de connaissance). La vulnérabilité est considérée comme la résultante de la gravité des conséquences de l'évènement (impact), le risque de non détection de l'évènement, sa facilité de réalisation et du "facteur d'exposition structurelle" (id. la vulnérabilité liée aux sujets). Pour chaque mini-scénario, le choix d'une parade permet d'évaluer la vulnérabilité résiduelle.

Avantages de la méthode :

  • Approche concrète
  • Existence de bases de connaissances mises à jour annuellement organisées par type de système et sensibilité (S : sensible, P : vitales, R : réseaux).

MEHARI

Méthode développée par le CLUSIF (Club de la Sécurité Informatique Français) dans les années 1993 en partant des concepts de MARION et MELISA.

Le risque est mesuré au travers de l'étude de 6 facteurs de risques et 6 mesures de sécurité.

La potentialité est considérée liée à 3 paramètres :

  • l'exposition naturelle (attrait, ciblage)
  • le niveau de risque pour l'agresseur (risque d'être identifié et sanctionné)
  • le niveau des moyens requis (intellectuels, matériels, temps)

L'impact est considéré lié à 3 paramètres

  • la circonscription des dommages (matériels, données)
  • les capacités de reprise (opérations, flux financiers, communication)
  • la capacité de récupération financière

Les 6 mesures sont considérées comme ayant une influence sur un des facteurs :

  • structurelles (localisation, architecture, organisation)
  • dissuasives (identification, journalisation, sanctions)
  • préventives (contrôle d'accès, détection, interception)
  • de prévention (détection, intervention, non propagation)
  • palliatives (restauration, reconfiguration, secours)
  • de récupération (assurances, actions en justice)

La méthode introduit 16 familles de services, décomposés en sous-service, et une base de connaissance basée sur 12 familles de scénarios de 10 scénarios chacune en moyenne

Depuis 1995, la méthode distingue plans stratégiques et opérationnels, ce qui revient en fait à distinguer les mesures d'ordre global (mesures assurant la cohérence pour l'ensemble de l'entreprise) et local (plans réalisés par chaque entité : ressources locales).

Depuis 1996, une approche globale, basée sur la classification des ressources, l'analyse d'un nombre limité de scénarios et l'évaluation de l'effet global des mesures a été mise en œuvre.

Avantages de la méthode :

  • Application rapide

EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de sécurité) est une méthode créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) du Secrétariat général de la défense nationale. La méthode est compatible avec les normes internationales telles que l'ISO 13335 (GMITS), l'ISO 15408 (critères communs) et l'ISO 17799.

Le risque de sécurité des systèmes d'information (SSI) est considéré une combinaison d'une menace et des pertes qu'elle peut engendrer. La menace SSI peut être considérée comme un scénario envisageable, avec une certaine opportunité (représentant l'incertitude). Ce scénario met en jeu : une méthode d'attaque, les éléments menaçants susceptibles de l'employer (naturels ou humains, manière accidentelle ou délibérée), les vulnérabilités des entités (matériels, logiciels, réseaux, organisations, personnels, locaux), qui vont pouvoir être exploitées par les éléments menaçants dans le cadre de la méthode d'attaque. Les pertes sont généralement estimées en termes d'atteinte des besoins de sécurité des éléments essentiels (le patrimoine informationnel et les processus associés) et d'impacts induits sur l'organisme.

La gestion des risques SSI est considérée comme un processus continu et itératif en 4 phases :

Phase 1 : appréciation des risques représente l'ensemble du processus d'analyse et d'évaluation du risque. Elle consiste à décrire le contexte (l'organisme, le système d'information, les éléments essentiels à protéger, les entités sur lesquelles ils reposent, les enjeux liés au SI, les contraintes à prendre en compte, …), puis les besoins de sécurité des éléments essentiels en termes de disponibilité, d'intégrité et de confidentialité, et enfin à identifier et à caractériser les menaces pesant sur le SI en terme d'opportunité (représentant l'incertitude de ces menaces) puis à déterminer les risques en confrontant les menaces aux besoins de sécurité.

Phase 2 : traitement des risques est le processus de sélection et de mise en œuvre des mesures de protection contre les risques. Il consiste tout d'abord à identifier les objectifs de sécurité exprimant la volonté de traiter ou non les risques en ne préjugeant pas des solutions à mettre en œuvre puis à déterminer les exigences de sécurité décrivant la manière de traiter les risques (dissuasion, protection, détection, récupération, restauration, compensation et les mesures de sécurité, techniques ou non techniques à mettre en œuvre.

Phase 3 : acceptation des risques SSI représente la décision d'accepter les risques résiduels. Elle est prononcée pour une durée déterminée, par une autorité d'homologation, qui doit être à désigner.

Phase 4 : communication relative aux risques SSI représente le partage d'informations concernant les risques.

Avantages de la méthode :

  • Le référentiel est composé d'un ensemble d'outils pour découvrir la méthode, s'y former, la pratiquer et contribuer à son développement communautaire.
  • La méthode est directement applicables à la plupart des secteurs, mais chacun peut l'adapter à son contexte particulier.
  • Des éléments nécessaires à la prise de décision et à la gestion de celle-ci sont fournis (EBIOS est proposée comme un outil de négociation et d'arbitrage).
  • Des formations gratuites sont assurées par la DCSSI pour les intervenants des organismes publics.

lundi, août 19 2019

CIA/CID Sécurité Informatique

Par pepin le lundi, août 19 2019, 00:54

En sécurité informatique, il existe un triplet d'approche de ce qu'il faut faire :

  • CID : confidentialité, intégrité, disponibilité (C.I.A. en anglais, ah ah ah)

Confidentialité

Qui peut accéder aux données et comment

Outils

Firewalls, Acls, Cryptographie, Gestion des identités

Intégrité

Qui peut modifier les données, et comment

Outils

Sauvegardes, Logs, Checksum, Plan de Reprise d'Activité'

Accessibilité

comment assurer la disponibilité des données la où elle est nécessaire

Outils

Haute disponibilité, Réseau de diffusion de contenu (RDC) ou en anglais content delivery network (CDN), Plan de continuité d'activité

Lexique additionnel

Vulnérabilité : faiblesse dans un mécanisme qui peut compromettre le CID et l'absence de contremesures à cette faiblesse
Menace : la révelation de la vulnérabilité et ses moyens d'exploitation
Risque : la probabilité d'être victime d'une menace et son périmètre de dommages
Exposition : quand une vulnérabilité est utilisée
Contremesures : un contrôle mis en place pour mitiger l'impact de la vulnérabilité

mercredi, février 20 2019

Linux Auditing Tools

Par pepin le mercredi, février 20 2019, 13:49

Voici une liste d'outils à connaitre pour auditer votre système :

  • Nmap
  • Bastille
  • Lynis
  • Lsat
  • Tiger (obsolete)
  • OpenVas
  • Chkrootkit

dimanche, décembre 23 2018

scanning wifi

Par pepin le dimanche, décembre 23 2018, 17:43

Voici une liste de filtres wireshark pour écouter et tirer des informations du wifi (aussi bien ap que clients) qui discutent autour de vous

  • Management Frames : wlan.fc.type==0
  • Control Frames : wlan.fc.type==1
  • Data Frames : wlan.fc.type==2
  • Association Request : wlan.fc.type_subtype==0
  • Association Response : wlan.fc.type_subtype==1
  • Reassociation Request : wlan.fc.type_subtype==2
  • Reassociation Response : wlan.fc.type_subtype==3
  • Probe Request : wlan.fc.type_subtype==4
  • Probe Response : wlan.fc.type_subtype==5
  • Beacon : wlan.fc.type_subtype==8
  • ATIM : wlan.fc.type_subtype==9
  • Disassociation : wlan.fc.type_subtype==10
  • Authentication : wlan.fc.type_subtype==11
  • Deauthentication : wlan.fc.type_subtype==12
  • Action Frames : wlan.fc.type_subtype==13
  • Block ACK Request : wlan.fc.type_subtype==24
  • Block ACK : wlan.fc.type_subtype==25
  • Power Save Poll : wlan.fc.type_subtype==26
  • Request to Send : wlan.fc.type_subtype==27
  • Clear to Send : wlan.fc.type_subtype==28
  • ACK : wlan.fc.type_subtype==29
  • CFP End : wlan.fc.type_subtype==30
  • CFP End ACK : wlan.fc.type_subtype==31
  • Data + CF ACK : wlan.fc.type_subtype==33
  • Data + CF Poll : wlan.fc.type_subtype==34
  • Data + CF ACK + CF Poll : wlan.fc.type_subtype==35
  • Null Data : wlan.fc.type_subtype==36
  • Null Data + CF ACK : wlan.fc.type_subtype==37
  • Null Data + CF Poll : wlan.fc.type_subtype==38
  • Null Data + CF ACK + CF Poll : wlan.fc.type_subtype==39
  • QoS Data : wlan.fc.type_subtype==40
  • QoS Data + CF ACK : wlan.fc.type_subtype==41
  • QoS Data + CF Poll : wlan.fc.type_subtype==42
  • QoS Data + CF ACK + CF Poll : wlan.fc.type_subtype==43
  • Null QoS Data : wlan.fc.type_subtype==44
  • Null QoS Data + CF Poll : wlan.fc.type_subtype==46
  • Null QoS Data + CF ACK + CF Poll : wlan.fc.type_subtype==47

lundi, décembre 11 2017

Petite collection de Live CD

Par pepin le lundi, décembre 11 2017, 13:52

Voici un petite liste de live CD aux usages divers allant de la récupération de données, au pen-testing, jusqu'à la destruction sécurisée des données :

Enfin, petit compagnon idéal d'une collection de live CD, le Multisystem Live USB Multiboot

samedi, février 13 2016

Application firewalling avec iptables et les cgroups sous linux

Par pepin le samedi, février 13 2016, 22:24

Application firewalling with netfilter

Today I've stumbled upon a post from my friend Feth, asking whether allowing only firefox to access the internet was possible on Linux... Of course it is! Here's one of the many ways:

# setup the firewall
sudo iptables -F OUTPUT
sudo iptables -P OUTPUT REJECT
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 --syn -m cgroup --cgroup 1 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 --syn -m cgroup --cgroup 1 -j ACCEPT

# create a cgroup named firefox
sudo cgcreate -t $LOGNAME:users -a $LOGNAME:users -g net_cls:firefox
# allocate an identifier to the cgroup
echo 1 > /sys/fs/cgroup/net_cls/firefox/net_cls.classid

# run firefox
cgexec -g net_cls:firefox iceweasel &

The following commands might be useful to debug what's going on:

$ls -ld /sys/fs/cgroup/net_cls/firefox/
drwx------ 2 nextgens users 0 Jul 23 18:03 /sys/fs/cgroup/net_cls/firefox/
$cat /sys/fs/cgroup/net_cls/firefox/cgroup.procs

Attentive readers will notice that the above doesn't work for at least two reasons:

  • Distros don't ship a version of netfilter with cgroup support just yet
  • A browser without DNS resolution is only marginally useful ;)

Source

Note : je n'ai pas encore testé, et un point m'étonne : la classifications ne se fait que si on lance avec la commande cgexec ? dans ce cas qu'est ce qui empecherait de lancer Opera ainsi et de lui donner l'accès ???

jeudi, janvier 23 2014

Script de notification de problèmes sur une carte raid HP

Par pepin le jeudi, janvier 23 2014, 13:01

Ce script est basé sur l'outil hpacucli, et demande le script "sendmail.pl" (script perl d'envoi d'un mail via smpt, cf post précédent).

#!/bin/bash
export PATH=$PATH:/sbin:/sbin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin

REPORT=/tmp/notify-raid-failure

slots=`hpacucli ctrl all show detail 2>&1 | grep "^ *Slot:" | sort | uniq | awk -v FS=':' '{print $2}'`
for slot in $slots
do 
  hpacucli ctrl slot=$slot show detail
  hpacucli ctrl slot=$slot pd all show 
  hpacucli ctrl slot=$slot ld all show
done > $REPORT

grep Fail $REPORT && sendmail.pl -s "Raid Failure on `hostname`" -t notifications.alertes@devinci.interne < $REPORT

lundi, novembre 18 2013

Liste d'outils liés à la sécurité informatique

Par pepin le lundi, novembre 18 2013, 14:50

Dans le cadre des audits de sécurité, il est toujours intéressant d'avoir une pile d'outils. En voici quelques un qui sont important à connaitre :

Metasploit : Framework de test de failles logicielles
Nessus : Scanner de vulnérabilité
Nikto : Scans de vulnérabilité des serveurs web
Yersinia : Framework de test de failles réseaux

Voici aussi des distributions spécialement orienté audit/pen-test :

Backtraq : http://www.backtrack-linux.org/
Owasp : http://www.owasp.org/index.php/Cate...

mercredi, février 1 2012

Quick & Dirty DOS Killer

Par pepin le mercredi, février 1 2012, 12:03

Ce script nécessite la commande tcpkill, fournie dans le paquet dsniff

#!/bin/sh

while (true) 
do 
  killable=`netstat -ant4 | grep ESTABLISHED | \
            awk '{print $5}' | cut -d ':' -f 1 | \
            awk '{a[$1]++}END{for(i in a){if (a[i]>59) {print i}}}' `

  for f in $killable
  do
    echo "tcpkill launched" | mail -s "Dos Kill $f" admin@localhost.localdomain
    tcpkill -i eth0 "host $f" &
  done 
  pgrep tcpkill 2>&1 > /dev/null && (sleep 2 ; killall tcpkill)
  sleep 2
done

ce script vérifie toutes les deux secondes, les ip vers qui il y'a plus de 59 connections ouvertes, et lance un tcpkill pour les ip concernées.

vendredi, octobre 22 2010

Creation d'une machine transparente d'analyse réseau

Par pepin le vendredi, octobre 22 2010, 15:53

Ce que j'entends par machine transparente est une UC, munie de deux cartes réseaux, que nous mettrons entre deux points pour faire office d'intercepteur et d'analyseur.

Schéma d'application

Avant :

Machine Cliente <---> Prise Réseau

Après :

Machine Cliente <> Intercepteur <---> Prise Réseau

Le but est que l'intercepteur soit totalement invisible. On parle en informatique de Bridge Ethernet.

Installation

apt-get install bridge-utils

Supprimer les interfaces réseaux ethX dans /etc/network/interfaces.

Ajouter la création du bridge et le forwarding ip entre interfaces dans /etc/rc.local :

echo "1" /proc/sys/net/ipv4/ip_forward
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 0.0.0.0 up
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up

Rebooter, puis brancher

Vous pouvez écouter le traffic comme suit :

tcpdump -i eth0 -n

ou contrôler les erreurs sur chaque interface comme suit :

cat /proc/net/dev | grep eth0 | awk '{print "Received : " $3 "\n" "Rx Errors : " $4 "\n" "Transmit : " $11 "\n" "Tx Errors : " $12}'
cat /proc/net/dev | grep eth1 | awk '{print "Received : " $3 "\n" "Rx Errors : " $4 "\n" "Transmit : " $11 "\n" "Tx Errors : " $12}'

mercredi, juin 9 2010

Comment traverser un proxy HTTPS pour se connecter en SSH (et un bonus après bien sur ...)

Par pepin le mercredi, juin 9 2010, 21:32

ProxyTunnel est un programme permettant de tunneller une connection par un proxy HTTP.

De facon standalone, il s'utilise en créant un service avec la commande suivante :

./proxytunnel -a 8888 -p proxy:8080 -d hamster.domain.org:443

Puis on se connect en ssh a hamster.domain.org par la commande :

ssh -p 8888 -o NoHostAuthenticationForLocalhost=yes login_distant@localhost

mais lancer proxytunnel avant le ssh est une épine dans le pied ... dont nous allons nous débarrasser grace aux fonctionnalités d'openssh

Editez le fichier ~/.ssh/config comme suit :

Host hamster-by-proxytunnel
Hostname hamster.domain.org
ProxyCommand proxytunnel -p proxy:8080 -d %h:%p

Avec cette config, quand vous vous connecterez a hamster.domain.org, openssh lancera automatiquement proxytunnel et s'y connectera laissant proxytunnel gérer l'acheminement des paquets à sa destination réele.

Il est conseillé de faire tourner ssh sur le port 443 et de s'y connecter avec ssh -p 443 pour éviter les proxy trop curieux.

Et comme promis, le bonus !

Si nous avons fait tourner ssh sur le port 443, c'est parce que notre proxy nous interdit les ports non standard... et pire, parfois, il filtre (exemple avec squidGuard).

Alors comment utiliser notre tunnel http qui nous donne un accès ssh pour finir de faire du proxy web une passoire ? En faisant de notre ssh un proxy socks !

ssh hamster.domain.org -D 1080

Puis dans notre navigateur, nous configurons localhost:1080 comme proxy socks, et voila, bienvenu dans un monde ou les portes sont ouvertes !

Bien sur, ouvertes dans la limite de ce que laisse passer votre connexion ssh distante, et avec comme limite les download et upload de celle-ci.

Ce n'est pas non plus la panacée, mais ca rend bien service quand on en a besoin !

samedi, mars 13 2010

Provenances de connexions SSH tentées

Par pepin le samedi, mars 13 2010, 14:11

Sur quatres jours, les logs de connexion SSH pour les machines non connues proviennent des pays suivants ;

Mar  9 : 119.159.255.25 country:      PK
Mar  9 : 122.194.21.12 country:      CN
Mar  9 : 122.55.33.174 country:      PH
Mar  9 : 210.17.183.99 country:      HK
Mar  9 : 67.202.67.138 
Mar  9 : 91.191.174.43 country:        TR
Mar 10 : 202.196.160.16 country:      CN
Mar 10 : 58.20.234.60 country:      CN
Mar 11 : 129.49.7.12 
Mar 11 : 200.164.137.102 country:     BR
Mar 11 : 212.12.121.82 country:        DE
Mar 11 : 218.97.254.206 country:      CN
Mar 11 : 77.79.254.191 country:        PL
Mar 11 : 91.82.54.46 country:        HU
Mar 12 : 119.197.203.43 
Mar 12 : 202.199.64.17 country:      CN
Mar 12 : 211.102.90.131 country:        CN
Mar 12 : 212.12.121.82 country:        DE
Mar 12 : 78.110.7.19 country:        SA
Mar 13 : 180.150.248.123 country:      IN
Mar 13 : 78.157.32.5 country:        IR
Mar 13 : 89.179.56.88 country:        RU

Méthode de génération :

Mise en place des logs

Ajout de règles iptables suivantes :

iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j LOG --log-prefix "Connexion SSH :"

Commande d'extraction

grep SSH /var/log/kern.log | sed 's,\(......\).*SRC=\([^ ]*\).*,echo "\1 : \2 `whois \2|grep country: |head -1`",' | sort | uniq

vendredi, mars 12 2010

Combien d'Invalid Login SSH par jour ?

Par pepin le vendredi, mars 12 2010, 12:06

Voici la commande utilisée pour générer les statistiques :

grep "Invalid" /var/log/auth.log | grep -i ssh | awk '{a[$1$2]++}END{for (i in a){print i " " a[i]}}'

Voici les premiers chiffres :

  • 11 Mars : 2494
  • 12 Mars (13h06) : 37

jeudi, mars 11 2010

Compte rendu d'une tentative de brute force cracking sur SSH

Par pepin le jeudi, mars 11 2010, 10:37

Il faut savoir que les attaques réseaux ciblent tous les ordinateurs, meme si ce n'est pas toujours a destination de tous les os.

A ceux qui croient que linux est plus solide parce que moins souvent attaqué, voici un exemple concret tiré de mon ordinateur personnel:

une série de tentatives d'accès SSH depuis divers ordinateurs :

723 tentatives d'intrusion en UNE journée

223 logins essayés

aaa aaaa aaaaa aaaaaa aaaaaaa aaaaaaaa aaron aarti abc abdenace abdol addela adela admin administrator adrian adrian1 alfonso alido alien alizarraga alpha andreea anelise anonymous anthony anti antoneta anunez apache apagar araceli archivo aron austin baker brandy business cameras card carolina cgi chu cliente cocktail coco compras copia cosmin craig cstrike danger dangerous daniel dave david db2fenc1 deborah ebra desarrollo deven devon diego divin dragon edilson eggdrop elis elite ellen email eric erin eugene excalibur export fabio fanthom financiero from ftp gast gen gerencia giler giles gill giller ginger gnax guest hack henry hlds home host hosting hosts http ident info ing ir ircd iulius jessie jmurphy joe john johny jr kevin kiw kiwi laboratorio lex ling linux lx manager marta master maverick michael mick micor micro mihai mike mini monitor morris morthy mtapia music musli mythtv nagios nash nathan network nord notes office operator oracle oracle1 ORNGCA4-GSR1 paradise pcs pgsql polarisnet portal postgres primaveras pronto prueba radmin raul renan reservas rocco rocky roco rosestreetlabs rpnmed sales santiago scott secret semp server short shoutcast simon simpleit sistemas soporte spamfiltrer status steve student suporte support supporte taken teamspeak teamspeam telnet ten test test1 test2 teste testing thomas tomcat toor ts ts1 ts2 turbo unix upload user1 user2 username usuario util1 vendas vicar visitante web webadmin webmaster webmasters weed wembley worker worthy www xbox zenoss

les 20 comptes les plus tentés

test: 46 tentatives
guest: 13 tentatives
test1: 12 tentatives
support: 12 tentatives
simon: 11 tentatives
oracle: 11 tentatives
worthy: 10 tentatives
thomas: 10 tentatives
mick: 10 tentatives
lex: 10 tentatives
giles: 10 tentatives
admin: 10 tentatives
zenoss: 9 tentatives
david: 9 tentatives
upload: 8 tentatives
toor: 8 tentatives
ten: 8 tentatives
simpleit: 8 tentatives
musli: 8 tentatives
mini: 8 tentatives

6 sources d'intrusion

174.36.184.234 -> états unis
193.145.216.240 -> espagne
211.157.105.114 -> chine
211.191.168.179 -> corée
59.53.95.154 -> chine
66.232.103.198 -> états unis

0 Réussittes