Author Archives: didier

Dockerisation du service cobbler

Étude d’un système cobbler existant Un système cobbler comporte plusieurs services: le service cobbler à proprement parlé un service web (apache) pour distribuer les RPMs un service de transfert de fichier basique (tftp) pour distribuer le noyau bootable permettant d’afficher le menu, et tout ce qui va avec. L’analyse du système existant nous montre Nous […]

Read more

Protéger apache avec fail2ban

Cet article fait suite à l’article sur la sécuristion de son VPS, où l’on avait installé le service fail2ban et sécurisé le service SSH. On s’attaque maintenant à la protection d’Apache. Pour éloigner les relous qui essaie d’accéder à w00tw00t ou à phpMyAdmin, Il faut ajouter les deux filtres suivant dans le répertoire /etc/fail2ban/filter.d/. Fichier […]

Read more

Mise en place de l’HPKP en utilisant un certificat letsencrypt

Par défaut, letsencrypt génère une clé et une demande de certificat à chaque renouvellement, ce qui modifie l’empreinte du certificat et rend donc HPKP inutilisable. Il existe pourtant un autre moyen de faire: générer un clé et une demande de certificat à la main et laisser à letsencrypt seulement le soin de générer le certificat […]

Read more

Se construire un serveur de tuile OpenStreetMap

Après un discution avec Jean-Yvon Landrac (Orolia SAS) au State of the Map France 2017, à Avignon, j’ai eu envie d’implémenter mon propre serveur de cartographie. Comme je ne suis ni un debianeux ni un ubuntiste, le défi est de l’installer sur CentOS 7 ou Fedora. Pour construire mon propre serveur de tuiles OpenStreetMap (OSM), […]

Read more

WordPress et CSP: unsafe-inline et unsafe-eval (script-src)

Ou comment supprimer unsafe-inline et unsafe-eval de script-src dans l’en-tête HTTP Content-Security-Policy avec WordPress et obtenir un A+ sur securityheaders.io. Déjà, autant prévenir, ça va être long et pénible… Cela se fera à coup de petite modification, test, re petite modification. Oui modification est au singulier, car on ne change qu’un paramètre à la fois […]

Read more

Découverte de docker swarm

Pour découvrir le swarm (la nuée ou l’essaim) de docker, on va partir de notre poste Fedora, avec une installation de libvirt fonctionnelle. Installation On va créer deux nouvelles machines virtuelles que l’on nommera worker1 et worker2: 2 vCPUs et 4Go de RAM. Sur l’hôte servant de manager, on initialise le swarm (aka le poste […]

Read more

Un petit point sur les options SSL et les en-têtes HTTP

Options générales ServerTokens définit ce qu’apache peut diffuser comme information à propos de lui-même. Le fanfaronnage est incompatible avec la sécurité. Prod: c’est la valeur la plus sécurisée et le serveur n’enverra que son nom: Server: Apache Major: le serveur n’enverra que son nom et son numéro de version majeur: Server: Apache/2 Minor: le serveur […]

Read more