Planet Ubuntu Francophone - Sécurité

Déchiffrer un email chiffré avec une clé PGP via Firefox

Respawner — Mon, 27 Oct 2008 20:43:00 +0100

Ubuntero ou non, il est possible que vous ayez un jour été face à un message chiffré grâce à une clé PGP. Le principe (vaguement hein) repose sur 2 clés (publique et privée) et une passphrase. La passphrase est connu seulement du propriétaire de la clé et doit être au moins aussi complexe qu’un mot de passe habituel. La clé publique est bien entendu connu de tous ce qui permet de chiffrer le message qui ne pourra être que par le propriétaire de la clé publique. Le chiffrement est fait de telle manière que même quelqu’un possédant la clé publique ne puisse déchiffrer le message qu’il vient de générer. Bref, c’est des maths, matière dans laquelle j’ai toujours été plutôt mauvais. Les clés PGP permettent aussi entre autre de signer des paquets mis à disposition dans des dépôts ou encore à signer le Ubuntu Code of Conduct que tout Ubuntero doit signer. Passons à ce qui nous intéresse. Pour ceux qui comme moi utilises beaucoup GMail à la classique, c’est-à-dire via le navigateur web (j’ai nommé Firefox ici), il fallait un peu s’embêter pour déchiffrer un mail chiffré via PGP. Heureusement, l’extension FireGPG arrive à notre secours. Pour l’installer rien de plus simple, on va sur le site dédié puis il suffit de cliquer sur Installer et de laisser faire comme tout extension pour Firefox. Un petit redémarrage du navigateur et ça fonctionne. On peut alors changer quelques options, y voir la liste des clés disponibles et aussi y configurer le support de GMail.

Maintenant, on peut ouvrir GMail, sélectionner le mail contenant le message chiffré. Puis après clic-droit > FireGPG > Déchiffrer, on entre la passphrase et le message apparaît en clair (déchiffré) dans une fenêtre.

Nouvelle offre d’hébergement à bas prix chez Gandi : installez votre serveur web

Kévin Dunglas — Mon, 18 Aug 2008 13:15:10 +0200

Gandi m’a gentiment fourni une invitation à la bêta de leur service d’hébergement. Je compte y passer ce blog et voir comment se comportent les frameworks Symfony et Django sur ces serveurs virtualisés et scalable.

J’ai donc pris une part (6€ HT/mois) afin d’y installer un serveur web composé d’Apache, de PHP, de MySQL et géré par hosting.py.

Première opération, créer le serveur. J’ai choisi le mode expert et Ubuntu comme distribution (c’est le choix par défaut). Tout ce fait très simplement via le site internet de Gandi. Quelques minutes après la création du serveur via l’interface un mail arrive vous indiquant l’adresse IP de votre serveur tout neuf.

C’est une version personnalisée par Gandi de Gutsy qui est installée, un peu vieille mais très stable, cela me convient parfaitement.

Première opération : mettre à jour la distribution.

Connectez vous via SSH puis passez en root en tapant su (un peu perturbant pour une Ubuntu n’est-ce pas :P) puis tapez la classique commande apt-get update && apt-get dist-upgrade. Cette mise à jour est importante car elle corrige certaines failles de sécurité critiques dont celle désormais célèbre touchant le protocole DNS.

Installer Apache, PHP et MySQL

La commande magique pour installer le tout : apt-get install apache2 mysql-server php5 libapache2-mod-php5 php5-mysql phpmyadmin.

L’utilitaire d’installation vous demandera d’abord de choisir un mot de passe pour le compte root du serveur MySQL puis de sélectionner quel version d’Apache doit être configurée pour être utiliser avec phpMyAdmin : choisissez apache2.

Vous pouvez taper l’adresse IP de votre serveur dans votre navigateur préféré afin de vérifier que tout fonctionne bien. phpMyAdmin est accessible depuis http://<votre_ip>/phpmyadmin/.

Une petite amélioration afin d’augmenter les performances : installons xcache. Comme son nom l’indique, xcache permet de mettre en cache les versions “compilées” des scripts PHP (opcode) et ainsi d’améliorer grandement les performances du langage le plus populaire du web.

Rien de plus facile : apt-get install php5-xcache. La commande /etc/init.d/apache2 restart vous permettra de rendre effective la mise en cache.

Sécurisons tout ça

Très bien, notre serveur fonctionne. Mais ce n’est pas encore la panacée. Une simple requête HTTP GET nous renvoi comme en-têtes :

Date: Tue, 12 Aug 2008 19:51:49 GMT
Server: Apache/2.2.4 (Ubuntu) PHP/5.2.3-1ubuntu6.4
Content-Length: 746
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html;charset=ISO-8859-1

Les en-têtes HTTP sont riches, trop riches : on y apprend que le serveur fonctionne sous la distribution Ubuntu Linux, que le serveur web est Apache en version 2.2.4, que le langage de script PHP en version 5.2.3 est disponible et que les versions installées sont celles pacagées par la distribution (ce qui donne des indices supplémentaires sur la configuration utilisée). Ces informations sont en partie reprises dans les pages d’erreurs et les index générés automatiquement du serveur web.

Même si cacher les noms et numéros de versions des logiciels installés n’améliore pas la sécurité réelle de votre serveur elle le rend moins visible des pirates en herbe et autres robots des amateurs de warez.

Pour masquer les informations distillées par Apache éditons le fichier /etc/apache2/apache2.conf, remplaçons la ligne ServerTokens Full par ServerTokens Prod puis ServerSignature On par ServerSignature Off.

Pour celles que fourni PHP c’est dans /etc/php5/apache2/php.ini que ça se passe. Remplacez expose_php = On par expose_php = Off. Même si cela n’a rien à voir avec les numéros de versions, ça peut être une bonne idée de désactiver églament les magic quotes en remplaçant magic_quotes_gpc = On par magic_quotes_gpc = Off.

Relançons encore une fois Apache /etc/init.d/apache2 restart afin de faire prendre en compte nos modifications, c’est mieux.

Reste MySQL. Nous avons défini un mot de passe pour le compte root lors de l’installation mais il reste quelques brèches importantes comme la possibilité de se connecter sans compte ou celle d’utiliser le compte root depuis l’extérieur (sans passer par une console SSH ou phpMyAdmin - ce qui facilite les attaques par force brute).
Un script fourni nommé mysql_secure_installation permet de remédier à tous ces problèmes. Lancez-le. Excepté pour le changement de mot de passe root que nous venons de définir lors de l’installation je vous conseil de répondre par le choix proposé par défaut à toutes les questions.

Notre serveur est un peu mieux préparé à survivre dans la jungle qu’est le web.

Note : nous n’abordons ici que la sécurisation des composants LAMP de notre serveur. C’est un bon début mais c’est loin d’être une protection absolue ou suffisante.

Installer hosting.py

hosting.py est un petit logiciel que j’ai développé qui permet de gérer de manière très simple des comptes web. Il se base sur le système de gestion des utilisateurs UNIX et automatise les tâches les plus courantes lors de l’administration d’un petit serveur web mutualisé à savoir la mise en place et la modification de compte comprenant un utilisateur UNIX (accès SSH, FTP, …), un hôte virtuel apache, un compte et une base de données MySQL.

Il est conçu pour fonctionner avec les distributions basées sur Debian, Ubuntu en particulier. Il permet de simplement séparer les comptes des différents sites qu’hébergera votre serveur, ce qui n’est pas un mal question sécurité.

Commençons par installer les dépendances nécessaires à la récupération et à l’utilisation de mon script : apt-get install subversion python-mysqldb

Créons maintenant le squelette du répertoire de base des comptes web :

mkdir /etc/skel-www
mkdir /etc/skel-www/logs
mkdir /etc/skel-www/public_html

Comme son nom l’indique, logs accueillera les logs de connexion d’Apache (on pourra plus tard configurer AWstats pour générer des statistiques) et public_html sera le répertoire web de nos utilisateurs.

Récupérons la dernière version de hosting.py via Subversion : svn checkout http://debian-hosting.googlecode.com/svn/trunk/ debian-hosting-read-only

Éditez la variable MYSQL_PASSWD du fichier debian-hosting/hosting.py pour qu’elle contienne le mot de passe MySQL de l’utilisateur root puis donnez les droits en exécution sur ce même fichier en tapant chmod a+x debian-hosting/hosting.py.

Pour créer un compte utilisateur, passez en root avec la commande su puis tapez debian-hosting/hosting.py add monsite.com. Vous pouvez voir les informations de connexion s’afficher, notez les

Un sous domaine du type monsite.com.lapin-blanc.net est automatiquement créé (pour être effectif, il nécessite que lapin-blanc.net, notre domaine de test, dispose d’un wildcard dans ses entrées DNS).

Je vous conseil de le laisser à des fins de test et de debug, néanmoins un vrai nom de domaine c’est mieux. Toujours en tant que root éditez le fichier généré automatiquement nommé /etc/apache2/sites-available/monsite.com et transformez la ligne ServerName monsite.com.lapin-blanc.net en ServerAlias monsite.com.lapin-blanc.net. Ajoutez au dessus de celle-ci ServerName monsite.com.

Rechargez Apache (toujours en root) : /etc/init.d/apache2 reload

Votre serveur web est le site que vous avez créé sont fonctionnels si vos entrées DNS sont bien configurées. Placez vos fichiers web dans /home/monsite.com/public_html/ pour qu’ils soient visibles sur http://monsite.com

Onduleur MGE UPS system 1000 et soft de surveillance sous Ubuntu Hardy Heron

mumbly — Thu, 26 Jun 2008 17:34:35 +0200

Cet article présente notamment l’installation d’un paquet tiers, non inclus dans les dépôts officiels Ubuntu. Même si cela ne présente quasiment aucun risque, vous devez être averti qu’il n’y a aucune garantie de bon fonctionnement. Vous l’installer donc “tel quel”.

J’ai souhaité pouvoir disposer du soft de surveillance de mon nouvel onduleur MGE UPS Ellipse 1000 sur un serveur web dans mon association. J’ai donc, dans un premier temps, essayé de l’installer depuis le cd-rom (Linux/Debian), mais rien à faire !
Puis, après quelques recherches sur le Net, je suis tombé sur la doc d’Ubuntu-fr, très bien faite comme d’habitude. Je vous rappelle donc ici les bases de l’installation de ce soft de surveillance, fort pratique.

Il est à noter que l’onduleur est branché sur USB.
Un simple lsusb m’a permi de voir qu’il était bien reconnu sur mon serveur (Ubuntu Hardy Heron) :
../.. Bus 004 Device 002: ID 0463:ffff MGE UPS Systems UPS ../..

Le soft de surveillance s’appelle PSP (Personal Solution Pac)
Rentrez l’adresse suivante dans votre /etc/apt/sources.list :
$ sudo gedit /etc/apt/sources.list
Puis mettez-y :
deb http://opensource.mgeups.com/stable/debian binary/

Puis faites :
apt-get update
et
apt-get install mgeups-psp

Puis rentrez les lignes suivantes sans quoi vous risquez d’avoir une erreur ou plus généralement, le soft ne fonctionnera pas.
sudo adduser nut nut sudo adduser nut dialout

Puis redémarrer le soft :
upsdrvctl start

Premier démarrage :
Ouvrez un terminal et tapez:
gksudo psp

Vous devriez avoir une nouvelle petite icone sur votre tableau de bord (symbolisant une prise électrique)
En cliquant dessus vous avez accès à la configuration et surtout à plusieurs infos (charge batterie, état batterie, autonomie, etc.)

Pour un démarrage automatique de PSP : Système → Préférences → Sessions → Programmes de démarrage → Ajouter
psp
Le soft se lancera à chaque reboot.

Pour aller plus loin …

22 septembre 2008 — Geforce 6150le et Ubuntu Hardy Heron (3)
25 juillet 2008 — [le site du mois] - Robert Pectol’s Ubuntu Linux Projetcs (0)
18 juillet 2008 — Vim sur le bout des doigts (5)
7 juillet 2008 — Ubuntu, Dedibox, ISPConfig et IPV6 (0)
5 juillet 2008 — Top 20 Blogs Ubuntu FR (6)
3 juillet 2008 — La loi HADOPI : ca va faire mal ! (8)
3 juillet 2008 — Top 25 Ubuntu Blogs (par les chiffres) (6)
1 juillet 2008 — Le logiciel libre sur France Inter (5)
29 juin 2008 — [Hosting] - ISPConfig - Interface client et Remoting framework + autosignup (0)
27 juin 2008 — Mon Ubuntu m’a dit … (3)

Comment sécuriser votre système GNU/Linux ?

Asher256 — Sat, 10 May 2008 23:45:20 +0200

La sécurité fait partie des domaines les plus importants, et pourtant, tant de personnes pensent le contraire. Lors du Linux Days 2008, à Agadir (Maroc), le vendredi 9 mai 2008 à 15h, j'ai tenu une conférence sur la sécurité sous GNU/Linux, dans laquelle j'ai exposé plusieurs conseils pour avoir un ordinateur avec une sécurité assez élevée pour tenir tête aux petits script kiddies qui s'amusent tellement avec les ordinateurs des chers utilisateurs lambda !

Plusieurs points ont été traités, comme pourquoi sécuriser votre système GNU/Linux, comment sécuriser le navigateur web Firefox, pourquoi faire attention lors de l'installation des programmes, pourquoi bloquer son écran, les avantages d'un pare-feu, pourquoi chiffrer votre disque dur, etc.

Comme d'habitude, après chaque conférence, je publie mes slides, pour les intéressés. Vous pouvez donc soit télécharger le PDF contenant les slides des conseils pour la sécurité des systèmes GNU/Linux, soit visualiser les slides depuis cette page :

Keepass & co

szdavid — Sat, 10 May 2008 17:00:30 +0200

Bonjour,

je ne suis jamais satisfait de ma façon de gérer mes mots de passe ; il y a toujours quelque chose qui ne me satisfait pas entièrement…

Je vous avais, par exemple, parlé de PassPack. mais au final, je me suis vite retrouvé coincé dans sa version gratuite et… que se passe-t-il si ils doivent fermer du jour au lendemain ?

J’ai testé (et continue à le faire) diverses solutions.

Aujourd’hui, je voudrais vous parler de KeePass.
KeePass a un gros avantage : il tourne sous Windows, MacOSX, Linux et même…. votre téléphone Symbian ou Windows Mobile ! !

Pour être précis :

Keepass tourne sous Windows et Windows Mobile
KeepassX tourne sous Linux et Mac
Keepass for J2ME sur votre téléphone java

Je ne vous parlerai pas ici de la version Mac n’ayant pas cet OS à disposition mais je me concentrerai plus sur les autres systèmes…

L’installation

Peu importe où vous désirez installer l’application, cela se fait très simplement :

Pour Windows, vous vous rendez sur la page de téléchargement et téléchargez l’exécutable pour installer ou le .zip pour utiliser le logiciel sans installation ou sur une clé usb
Sous Ubuntu, la simple commande sudo apt-get install keepassx se charge de tout
Pour votre terminal Java, vous vous rendez sur ce site depuis votre téléphone et vous suivez les instructions
Pour votre téléphone Windows Mobile, vous vous rendez sur ce site et téléchargez la version pour votre Windows Mobile

Quel est l’avantage de ces différentes solutions ?
Sur Windows (Mobile ou non) et Linux, bien entendu, je peux échanger mes mots de passe entre les différents ordinateurs sans aucun souci.
Avec la version sur Symbian, il est impossible d’éditer vos données mais cela permet d’avoir toujours ses mots de passe accessibles.

L’utilisation

Ces outils sont vraiment très pratiques ; il est possible, pour un temps limité, de copier le mot de passe dans son presse-papier. Il vous est possible de générer aléatoirement des mots de passe.

Il vous est facilement possible d’importer les mots de passe de Firefox vers Keepass en suivant ce tutorial. Malheureusement, je n’ai pas réussi à faire fonctionner un système d’import sous Linux.

En connaissez vous un ?

Enfin, pour récupérer facilement le fichier Keepass sur votre téléphone Symbian, vous pouvez utiliser Keepass uploader (uniquement sous Windows). Vous lancez l’outil et sélectionnez le fichier. Il sera sauvegardé pendant quelques minutes sur le serveur. Vous lancez alors le logiciel sous Symbian, renseignez les identifiants fournis par le logiciel Windows et le fichier est alors récupéré automatiquement. Vous n’avez rien à faire…
Dommage que cette possibilité ne soit pas également disponible pour Windows Mobile.

Vraiment un très bon outil pour vous balader avec vos mots de passe, quel que soit votre système d’exploitation…

Pour finir, quelques captures d’écran des différentes versions

Une interface graphique à TrueCrypt

szdavid — Mon, 25 Feb 2008 23:10:43 +0100

TrueCrypt est un logiciel permettant de crypter ses données, soit en agissant directement sur une partition complète, soit en cryptant un dossier (ce n’est pas le réel fonctionnement mais les détails ne sont pas intéressants).

Un des gros avantages de cet outil est qu’il est multiplateforme. Je dois bien avouer que je le trouve très puissant sous Windows. Par exemple, vous créez un fichier crypté sur votre clé USB et vous pourrez aussi bien le lire sous Linux que sous Windows (en plus, sous Windows, il est possible de lancer le logiciel à l’insertion de la clé).

Vous trouverez sur le Wiki un très bon guide pour l’utilisation du logiciel.

La lacune de la version Linux est que tout cela ne fonctionne qu’en ligne de commande. Heureusement, le logiciel ForceField résoud le problème…

Une fois que vous aurez installé le logiciel (procédure dans le bas de la page d’accueil), vous pourrez lancer le logiciel en tapant la commande forcefield (sinon, une entrée est dans le menu Applications > Accessoires.

Vous pourrez alors faire les mêmes opérations qu’en ligne de commande : créer un volume, monter un volume,…

Bon cryptage

Source

Mise à jour noyau sur une dedibox

tigrou — Wed, 13 Feb 2008 23:27:53 +0100

Plusieurs bugs de sécurté importants ont été découverts dans le noyau Linux , en particulier le bug CVE-2008-0600 permet à un utilisateur local d'obtenir un shell avec les droits root assez simplement. Même sans utilisateurs locaux, la faille peut devenir exploitable via une autre faille d'une application web par exemple, même si ça devient beaucoup plus compliqué.

La seule solution est de mettre à jour son noyau. J'ai réalisé cette opération tout à l'heure sauf que je ne connaissais pas encore le petit détail mentionné dans ce billet et rappelé dans un topic du forum Ubuntu-fr ce qui m'a donné un bon gros coup de stress et une bonne heure de pwet.fr HS

Bref, sur les dedibox utilisant le noyau fournit par Dedibox la manipulation est simple. Une fois le kernel spécifique installé , il faut indiquer l'emplacement de la racine du système avec l'ancienne syntaxe (type /dev/sdXY) au lieu des UUID . Sinon la machine ne reboote pas. Heureusement, les dedibox ont un système de rescue bien pratique qui permet de se sortir de ce genre de situation. Concrètement, avant pour chaque choix dans le fichier /boot/grub/menu.lst, j'avais quelque chose comme :

title       Ubuntu, kernel 2.6.24.2
root        (hd0,0)
kernel     /vmlinuz-2.6.24.2 root=UUID=238ddcbc-cb7e-4023-a48e-932d874b5ef0 ro quiet splash
quiet
savedefault

que j'ai remplacé par

title       Ubuntu, kernel 2.6.24.2
root        (hd0,0)
kernel      /vmlinuz-2.6.24.2 root=/dev/sda3 ro quiet splash
quiet
savedefault

Évidemment, /dev/sdaY est spécifique à l'organisation de la machine, il s'agit du numéro de la partition root du système. Il semble qu'avec le partitionnement par défault, il s'agisse de /dev/sda2. Avec le système de rescue de Dedibox, pour déterminer qu'elle est le bon numéro, il faut monter toutes les partitions du système et trouver le numéro de celle qui contient toute l'arborescence ( /bin, /usr, /lib, ...).

Faille de sécurité du kernel Linux : le cas Dedibox + Ubuntu

mumbly — Wed, 13 Feb 2008 19:47:00 +0100

Rappel des faits :
Une importante faille de sécurité a été mise en évidence le week-end dernier sur l’ensemble des noyaux Linux 2.6 récents (2.6.17 à 2.6.24.1). Elle permet à un utilisateur local d’obtenir les privilèges root. Il est fortement conseillé de mettre à jour votre noyau sur votre Dédibox.
Suivez le guide !

Téléchargez le nouveau kernel sur le ftp de dedibox sur ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb

Puis installez-le :
sudo dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

Relancez grub :
sudo update-grub

ATTENTION : NE REBOOTEZ SURTOUT PAS ! Sous peine de voir votre dedibox inutilisable !

Si toutefois vous aviez rebooté et que vous êtes bloqué (La dedibox ne redémarre pas), suivez les étapes du point 1 pour “réparer” votre Grub.
Sinon, passez directement au point 2.

1 - Connectez-vous à votre console dedibox : https://console.dedibox.fr
Passez votre dedibox en “mode rescue”
Récupérez votre mot de passe et votre adresse de connexion ssh
Attendez 1 bonne minute et connectez vous en ssh : mon_pseudo@ip_de_la_dedibox

Puis faites :
$ sudo -s
(+ mot de passe donné par console dedibox our le mode rescue)
# cd /mnt/ # mkdir mon_systeme # mount -t auto /dev/sda2 mon_systeme/ # cd mon_systeme/ # chroot . # mount -t auto /dev/sda1 /boot/ # cd /boot/grub/ # vim menu.lst

2/ Remplacez tous les root=UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx par root=/dev/sda2
Sauvegardez : avec Vim c’est :wq

… et maintenant vous pouvez rebooter !
#reboot

Vérifiez que vous êtes bien passé sur le nouveau kernel avec la commande :
uname -r

Vous devriez voir : 2.6.24.2dedibox-r8-1-c7

Portail officiel sur la sécurité informatique

AnTav — Fri, 08 Feb 2008 20:49:04 +0100

Voici un énième site parlant de sécurité informatique. Mais celui-ci est assez particulier, car il émane de l’administration (secrétariat général de la défense nationale : le SGDN). Donc que du très officiel sur ce portail dédié à la sécurité. Au menu de ce portail, des alertes, de l’auto-formation, des guides de configurations sur différents OS (dont Ubuntu) et logiciels.

Alors évidemment, le contenu est encore très pauvre et "simpliste" pour qui s’intéresse à la sécurité informatique, mais il faut tout de même saluer cette initiative des services de l’état qui ne fait que débuter (le portail est très récent).

Adresse du site : http://www.securite-informatique.gouv.fr/

A noter : ce site bénéficie de partenariats très très divers allants d’institutionnels (la CNIL) au monde associatif (l’APRIL) et en passant par le monde de l’entreprise (Microsoft).

source : PCInpact

Portail officiel sur la sécurité informatique

AnTav — Fri, 08 Feb 2008 20:49:04 +0100

Adresse du site : http://www.securite-informatique.gouv.fr/

A noter : ce site bénéficie de partenariats très très divers allants d’institutionnels (la CNIL) au monde associatif (l’APRIL) et en passant par le monde de l’entreprise (Microsoft).

source : PCInpact

Kgpg, le frontend de gpg pour KDE

AnTav — Tue, 17 Jul 2007 01:32:52 +0200

Depuis peu de temps, le fonctionnement du planet ubuntu-fr est soumis à de nouvelles règles. Une de ces règles demande aux contributeurs du planet à signer le Code of Conduct Ubuntu. Pour cela, il faut tout d’abord se créer une page sur le Launchpad (ça c’est encore simple) mais surtout il faut se créer une paire de clés de cryptage afin de signer le fameux Code of Conduct. Dans un premier temps, quand on m’a demandé de créer une paire de clefs, je suis resté un peu dubitatif… Je ne m’étais pas du tout penché sur le problème vu que je n’avais pas de besoin particulier en cette matière. Le logiciel de cryptographie inclus dans Ubuntu (et dans la plupart des distributions) est gpg (GNU Privacy Guard). Or ce logiciel fonctionne en ligne de commande. C’est sympa mais bon, quand il y a des interfaces graphiques permettant d’éviter la saisie de commandes, pourquoi s’en priver ? Kgpg est une des interfaces graphiques proposées en frontend de gpg pour KDE. Cette application propose principalement :

un gestionnaire de clefs qui permet de créer, éditer, importer, exporter et supprimer des clefs.
un éditeur qui permet de saisir un texte afin de le signer, vérifier, crypter ou décrypter.
l’accès à un serveur de clefs publiques afin d’en exporter ou importer.

Cette application est intégrée à KDE par le menu Action (clic droit) pour crypter un fichier et l’ouverture d’un fichier crypté (clic gauche) ouvre automatiquement l’interface de Kgpg afin de le décrypter.

La création d’une paire de clés est on ne peut plus simple :

sélectionner le menu "clefs"
sélectionner "Générer une paire de clefs…"
L’interface de création des clefs s’affiche et il n’y a qu’à remplir les champs demandés.

Après la création de votre paire de clefs, vous devez publier votre clef publique soit en l’envoyant directement aux tiers qui en ont l’utilité, soit (et) en l’envoyant sur un serveur public de clefs. Cette procédure se déroule de ma manière suivante:

sélectionner le menu "Fichier"
sélectionner serveur de clefs
sélectionner l’onglet exporter
sélectionner le serveur voulu et la clef publique à exporter puis cliquer sur "Exporter"

Pour installer Kgpg :

$ sudo apt-get install kgpg

Le lanceur étant :

$ kgpg

Pour ce qui est de l’utilisation des clefs (cryptage, décryptage, signature et vérification), l’article de szdavid traitant du sujet est une très bonne et suffisante introduction.

Kgpg, le frontend de gpg pour KDE

AnTav — Tue, 17 Jul 2007 01:32:52 +0200

un gestionnaire de clefs qui permet de créer, éditer, importer, exporter et supprimer des clefs.
un éditeur qui permet de saisir un texte afin de le signer, vérifier, crypter ou décrypter.
l’accès à un serveur de clefs publiques afin d’en exporter ou importer.

La création d’une paire de clés est on ne peut plus simple :

sélectionner le menu "clefs"
sélectionner "Générer une paire de clefs…"
L’interface de création des clefs s’affiche et il n’y a qu’à remplir les champs demandés.

sélectionner le menu "Fichier"
sélectionner serveur de clefs
sélectionner l’onglet exporter
sélectionner le serveur voulu et la clef publique à exporter puis cliquer sur "Exporter"

Pour installer Kgpg :

$ sudo apt-get install kgpg

Le lanceur étant :

$ kgpg

Pour ce qui est de l’utilisation des clefs (cryptage, décryptage, signature et vérification), l’article de szdavid traitant du sujet est une très bonne et suffisante introduction.

Script de sauvegarde de bases de données sur un FTP

tigrou — Sun, 04 Feb 2007 17:00:58 +0100

Je continue tranquillement l'installation / la configuration de ma Dedibox sous Ubuntu hébergeant ce site . Après avoir fait cohabiter PHP4 et PHP5 , migrer son site utilisant eZ publish , configurer mes statistiques web avec AWStats et m'être battu avec PDO_MySQL (rien que ça :)), j'en viens aux backups. On ne le répètera jamais assez, il est important de faire des backups réguliers et systèmatiques comme il est important de savoir restaurer ses sauvegardes...

En plus, le service Dedibox propose un accès FTP avec un quota de 5Go inclu dans l'offre, il serait dommage de ne pas en profiter. Il est également possible d'augmenter ce quota, moyennant finances. Pour mon serveur, j'ai choisi d'utiliser cet espace pour sauvegarder les bases de données. C'est la partie la plus volumineuse et dans beaucoup de cas, c'est le seul élément à récupèrer. De toute manière, l'ensemble des données est aussi sauvegardé à intervalle régulier sur mon PC de bureau. Bien sûr les informations indiquées dans ce billet fonctionnent également avec n'importe quel autre accès FTP.

Configuration de MySQL

Il faut tout d'abord créer un utilisateur dans MySQL qui aura le droit en lecture sur toutes les bases pour faire un dump. Cela peut se faire via un assistant comme PHPMyAdmin ou bien avec 2 requêtes SQL exécutées en tant que root (de MySQL évidemment) :

GRANT SELECT, LOCK TABLES, SHOW DATABASES
  ON * TO 'backup'@'localhost' 
  IDENTIFIED BY 'pass_backup';
FLUSH PRIVILEGES;

L'utilisateur backup de MySQL a maintenant les droits en lecture sur toutes bases (il est conseillé de mettre un mot de passe fort...). Pour qu'un script puisse se connecter sans avoir à taper le mot de passe, il faut créer un fichier nommé .my.cnf dans le répertoire personnel de l'utilisateur qui exécutera le script. Ce fichier doit ressembler à :

[client]
 port      = 3306
 user      = backup
 password  = pass_backup

Attention à bien restreindre les permission sur ce fichier pour que personne ne puisse le lire, sauf l'utilisateur en question avec la commande suivante :

> tigrou@dedipwet[88.191.30.29]:~$ chmod 600 .my.cnf

Configuration de l'accès FTP

Une fois l'option FTP activée dans la rubrique Sauvegarde de la console Dedibox, comme pour MySQL il faut faire en sorte que l'accès FTP se fasse sans demander de mot de passe. Il faut créer un fichier .netrc toujours à la racine du dossier personnel de l'utilisateur qui fera tourner le script :

machine dedibackup.dedibox.fr
login login_ftp_sauvegarde
password mot_de_passe_ftp_sauvegarde

Avec ce fichier, les connections FTP sur dedibackup.dedibox.fr se feront avec le login et le mot de passe indiqués avec les clients FTP suivant ce fichier (ftp , lftp , ncftp , ...) sans rien demander. De la même manière que le fichier .my.cnf, il faut faire attention aux permissions sur ce fichier.

Le script

#! /bin/bash
# Script de sauvegarde de toutes les bases sur FTP
 
FTP='dedibackup.dedibox.fr'
MYSQL_DIR='/var/lib/mysql'
TMP="/tmp/backup_site"
 
# fenêtre de backup en semaine
ROTATION_WEEK=3 
PREFIX_DATE=`date '+%U'`
PREFIX_DATE_DELETE=`date '+%U' -d "-${ROTATION_WEEK}weeks"`
 
[ ! -d "$MYSQL_DIR" ] && exit 2
[ ! -d "$TMP" ] && mkdir -p "$TMP"
 
cd "$MYSQL_DIR"
for base in `find . -maxdepth 1 -name [a-zA-Z]\* -type d` ; do
    base=`echo $base | sed 's#\./##g'`
    mysqldump --single-transaction "$base" | bzip2 -9 - > "$TMP/$PREFIX_DATE.$base.sql.bz2"
done
cd -
lftp -e "mrm $PREFIX_DATE_DELETE* ; mput $TMP/* ; exit"  "$FTP"
rm -rf "$TMP"

Ce script est prévu pour être lancé une fois par semaine avec crontab . Il va faire un dump de toutes les bases, effacer les dumps de plus $ROTATION_WEEK semaines sur le serveur distant et uploader les nouveaux ensuite. Le nombre de semaines sur lequel se fait la rotation peut être modifié via la variable ROTATION_WEEK.

Comment créer, mémoriser et utiliser des mots de passe efficaces ?

Bernard Opic — Thu, 28 Dec 2006 16:54:00 +0100

Utiliser des mots de passe permet de renforcer la sécurité de l’accès à vos données, mais encore faut-t-il que ces mots de passe soient suffisamment complexes pour être efficaces.
Un mot de passe complexe pose différents problèmes, notamment lors de sa création, puis de sa mémorisation et enfin de son utilisation.

La création d’un mot de passe complexe peut se faire manuellement ou automatiquement.
La procédure manuelle nécessite un peu d’imagination et des connaissances de base sur les bonnes pratiques dans ce domaine. Pour savoir comment procéder, vous pouvez vous référer au document intitulé Les mots de passe qui est disponible sur le site du CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).La procédure automatique est bien plus simple mais implique que vous accordiez votre confiance au générateur de mots de passe que vous utiliserez. Pour obtenir facilement un mot de passe complexe, essayez l’utilitaire en ligne Ultra High Security Password Generator de GRC (Gibson Research Corporation) ou bien le logiciel KeePass Password Safe.Dans les deux cas, vous pourrez tester la robustesse de votre nouveau mot de passe grâce au Password Checker de Microsoft.
La mémorisation de votre nouveau mot de passe doit être parfaite car vous devrez être capable de vous en souvenir pour pouvoir l’utiliser lorsque vous en aurez besoin. Sachant que, plus votre mot de passe sera complexe plus il sera difficile à mémoriser, vous ne pourrez probablement pas faire confiance qu’à votre mémoire.
Pour ne pas oublier votre mot de passe, vous pourrez le noter dans un carnet ou bien le confier à un logiciel capable de le mémoriser mieux que vous. Si vous préférez la seconde solution, essayez le logiciel KeePass Password Safe.
L’utilisation de vos mots de passe via un logiciel spécialisé comme KeePass Password Safe vous apportera, d’une part un grand confort car un seul mot de passe vous permettra d’accéder à tous vos mots de passe, et d’autre part une sécurité accrue puisque tous vos mots de passe seront stockés dans un format chiffré pour plus de confidentialité.

Tout ceci pour dire que je vous recommande vivement l’utilisation du logiciel gratuit KeePass Password Safe, qui est capable de créer des mots de passe complexes, de les mémoriser et de vous permettre de les utiliser simplement. Ce logiciel Open Source fonctionne aussi bien sous Windows que sous Ubuntu.

Encrypter ses fichiers avec Free Security

AnTav — Tue, 30 Nov 1999 00:00:00 +0100

Pour ceux qui comme moi ont un dual boot Windows - Linux, il peut s’averer utile d’avoir un logiciel de cryptage de fichier qui tourne dans les deux environnements. Ce logiciel existe car il est ecrit en Java donc portable sur les deux systèmes. Il suffit d’avoir le Java Runtime Environment d’installé sur chaque OS.

Il n’y a pas de paquet à installer, c’est un exécutable java (.jar) à télécharger et à copier sur votre disque. Free Security utilise un algorythme de cryptage 128 bits (connu sous le nom de Rijndael). Il permet de crypter des repertoires ou des fichiers. Le seul hic est que le logiciel bien que Freeware ne soit pas Open Source (l’auteur a néanmoins l’intention de développer prochainement une version Open Source). Malgré cet inconvénient, ce logiciel rend bien des services. Il est à noter que l’interface sous Linux est un peu moins jolie que celle sous Windows. Le site de Free Security

Planet Ubuntu Francophone - Sécurité

Déchiffrer un email chiffré avec une clé PGP via Firefox

Nouvelle offre d’hébergement à bas prix chez Gandi : installez votre serveur web

Première opération : mettre à jour la distribution.

Installer Apache, PHP et MySQL

Sécurisons tout ça

Installer hosting.py

Onduleur MGE UPS system 1000 et soft de surveillance sous Ubuntu Hardy Heron

Pour aller plus loin …

Comment sécuriser votre système GNU/Linux ?

Keepass & co

L’installation

L’utilisation

Articles similaires

Une interface graphique à TrueCrypt

Articles similaires

Mise à jour noyau sur une dedibox

Faille de sécurité du kernel Linux : le cas Dedibox + Ubuntu

Portail officiel sur la sécurité informatique

Portail officiel sur la sécurité informatique

Kgpg, le frontend de gpg pour KDE

Kgpg, le frontend de gpg pour KDE

Script de sauvegarde de bases de données sur un FTP

Configuration de MySQL

Configuration de l'accès FTP

Le script

Comment créer, mémoriser et utiliser des mots de passe efficaces ?

Encrypter ses fichiers avec Free Security