Sécurité - CitizenZ

Gérez vos bases Mysql avec Adminer

Rédigé par citizenz 24 janvier 2018 Aucun commentaire

La plupart des tutos préconisent phpmyadmin pour gérer ses bases MYSQL de manière simple.
Hors, j'ai découvert une solution bien moins lourde : un seul fichier .php qui donne quasiment autant de possibilités que phpmyadmin. Oui, ca existe, ça s'appelle Adminer et c'est vachement bien.
Un fichier .php "to rule them all" on pourrait presque dire :)

Pour l'installer : rien de plus simple.
Mettez vous dans le répertoire web souhaité (par exemple, j'ai l'habitude d'utiliser /var/www/sql.monsite.fr/web).
Vous aurez pris soin de créer un fichier vhost (pour votre Apache ou Nginx) avec la gestion php. Rien de plus.
Vous téléchargez le fichier Adminer :
$ sudo wget https://github.com/vrana/adminer/releases/download/v4.4.0/adminer-4.4.0.php
On le renomme :
$ sudo mv adminer-4.4.0.php index.php
On lui donne les bons droits :
$ sudo chown www-data:www-data index.php
Et roulez jeunesse ! Rendez-vous sur la page de votre virtual host (exemple : https://sql.monsite.fr)

On peut faire autant de choses avec Adminer que sous phpmyadmin : importer et exporter des bases, voir, modifier, insérer, vider, supprimer, etc.
Je trouve même que c'est plus claire, plus clean, plus simple.
A vous de voir !

Firewall : utiliser UFW sur Scaleway

Rédigé par citizenz 03 novembre 2017 2 commentaires

Scaleway vous connaissez ? C'est le service de "Cloud Computing" lancé par Online en 2015 à base d'instances reposant sur des serveurs dédiés, et non des machines virtualisées.
Quand on arrive la première fois sur Scaleway, c'est la surprise et l'étonnement : il faut un peu de temps pour s'habituer aux volumes, snapshots, images, etc.
Vous avez aussi un onglet sécurité qui vous permet de définir des règles pour le firewall (Default security group).
A savoir également que par défaut les ports SMTP sont fermés pour éviter tout soucis de spam. Il faut expressément demander au support de les ouvrir.

Concernant le firewall, vous pouvez évidemment choisir de ne pas utiliser le service offert par Scaleway et utiliser par exemple UFW.
PROBLÈME : si vous activez UFW sur votre serveur Scaleway : ça freeze illico-presto !
Mais il y a une astuce simple pour y remédier (exemple pour Debian / Ubuntu ...), en 5 étapes :

1 - On change la politique INPUT par défaut à ACCEPT et non plus DROP
$

sudo vim /etc/default/ufw
DEFAULT_INPUT_POLICY="ACCEPT"

2 - On ajoute une règle DROP-ALL à la fin du fichier suivant, juste avant la ligne finale COMMIT :

$ sudo vim /etc/ufw/after.rules
-A ufw-reject-input -j DROP

3 - On désactive le logging d'UFW. Scaleway n'aime pas trop :

$ sudo ufw logging off

4 - On n'oublie surtout pas d'activer SSH pour pouvoir accéder au serveur :

$ sudo ufw allow ssh

5 - enfin on active UFW :
$ sudo ufw enable

Vous pouvez activer d'autres règles évidemment... je vous laisse sur mon autre post pour tout cela.
Et hop !

Protonmail propose le support IMAP/SMTP pour tous... ou presque

Rédigé par citizenz 26 octobre 2017 4 commentaires

C'était l'une des fonctionnalité les plus demandées chez Protonmail : le support IMAP et SMTP. C'est chose faite avec cette annonce ce matin sous forme de mail envoyé aux utilisateur Protonmail. Le "Bridge Protonmail" ajoute donc le support IMPA et SMTP à Protonmail.
Mais, car il y a un mais, tout le monde n'y aura pas forcément droit, ou tout du moins pas tout de suite :
- il faut avoir un compte payant (Plus, Professional ou Visionary) donc exit les compte gratuit (Free)
- il faut être sous Windows ou Mac
Ouille ! :/
Je cite :
"Le support Linux n'est pas disponible mais est planifié plus tard dans l'année..."
Et bien donc, attendons !
Si vous avez la possibilité de voir ce que ça donne sous Mac ou Windows, je suis preneur de retours ! :)

Bloquer les spams facilement avec Nginx

Rédigé par citizenz 15 août 2017 8 commentaires

Vous pouvez facilement bloquer une partie des spams qui viennent polluer votre site web (vos commentaires, etc.) avec quelques lignes dans votre fichier de conf Nginx. Je peux vous certifier que c'est assez efficace.

Dans votre block server { }, mettez les lignes suivantes :

## Block spam
set $block_spam 0;
if ($query_string ~ "\b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)\b") {
    set $block_spam 1;
}
if ($query_string ~ "\b(erections|hoodia|huronriveracres|impotence|levitra|libido)\b") {
    set $block_spam 1;
}
if ($query_string ~ "\b(ambien|blue\spill|cialis|cocaine|ejaculation|erectile)\b") {
    set $block_spam 1;
}
if ($query_string ~ "\b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)\b") {
    set $block_spam 1;
}
if ($block_spam = 1) {
    return 403;
}

Sources : Korben , Howtoforge

UPDATE 15/08/17 - 15:36 :

d'autres règles TRÈS intéressante ici : https://gist.github.com/VirtuBox/5fedc39c30813f5373aa8ae9328a0ec3

Let's Encrypt et Nginx : config rapide sous Ubuntu

Rédigé par citizenz 12 août 2017 2 commentaires

Voici un petit tuto simple, pratique et rapide pour configurer un certificat Let's Encrypt pour votre site web (avec Nginx). J'utilise un serveur Ubuntu 16.04.

PRÉREQUIS : Certbot a besoin d'un fichier vhost Nginx existant, même minimaliste, mais avec une partie "server { }" déjà en place.

Pour tout changement effectué, vérifiez la syntaxe Nginx avec cette commande : $ sudo nginx -t

1 - installation de Certbot (version stable) :

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt update
$ sudo apt install python-certbot-nginx

Si la commande add-apt-repository n'est pas disponible, installer les 2 paquets suivants :

$ sudo apt install software-properties-common python-software-properties

2 - Obtention d'un certificat SSL Let's Encrypt :

$ sudo certbot --nginx -d example.com -d www.example.com

Aucune autre option n'est à préciser. L'option --nginx s'occupe de tout, même de la config de votre fichier vhost !
Vous remarquerez que Certbot a ajouté un fichier /etc/letsencrypt/options-ssl-nginx.conf qui comporte toutes les bonnes options.
Si c'est votre première demande, vous devrez rentrer une adresse e-mail de contact et accepter les "termes du service". Vous devez ensuite choisir d'accepter les connexions HTTP et HTTPS ou seulement les connexions HTTPS pour votre site.

3 - Configuration supplémentaire avec Diffie-Hellman :

$ sudo mkdir -p /etc/nginx/ssl
$ sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Puis dans votre fichier vhost nginx, ajoutez la ligne suivante :

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

Ajoutez également les lignes suivantes :

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/www.mondomaine.com/fullchain.pem;

# Google DNS, Open DNS, Dyn DNS
resolver 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 216.146.35.35 216.146.36.36 valid=300s;
resolver_timeout 3s;

Et relancer Nginx :

$ sudo /etc/init.d/nginx restart

4 - Renouvellement automatique des certificats

$ sudo crontab -e
15 3 * * * /usr/bin/certbot renew --quiet

Avec cette config (intégrant la config "par défaut" de certbot + l'ajout du Diffie Hellman), vous devriez obtenir un A sur SSL Labs (https://www.ssllabs.com/ssltest/ ).

SOURCES : https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04