Protéger apache avec fail2ban

Cet article fait suite à l’article sur la sécuristion de son VPS, où l’on avait installé le service fail2ban et sécurisé le service SSH. On s’attaque maintenant à la protection d’Apache. Pour éloigner les relous qui essaie d’accéder à w00tw00t ou à phpMyAdmin, Il faut ajouter les deux filtres suivant dans le répertoire /etc/fail2ban/filter.d/. Fichier […]

Read more

Mise en place de l’HPKP en utilisant un certificat letsencrypt

Par défaut, letsencrypt génère une clé et une demande de certificat à chaque renouvellement, ce qui modifie l’empreinte du certificat et rend donc HPKP inutilisable. Il existe pourtant un autre moyen de faire: générer un clé et une demande de certificat à la main et laisser à letsencrypt seulement le soin de générer le certificat […]

Read more

Se construire un serveur de tuile OpenStreetMap

Après un discution avec Jean-Yvon Landrac (Orolia SAS) au State of the Map France 2017, à Avignon, j’ai eu envie d’implémenter mon propre serveur de cartographie. Comme je ne suis ni un debianeux ni un ubuntiste, le défi est de l’installer sur CentOS 7 ou Fedora. Pour construire mon propre serveur de tuiles OpenStreetMap (OSM), […]

Read more

WordPress et CSP: unsafe-inline et unsafe-eval (script-src)

Ou comment supprimer unsafe-inline et unsafe-eval de script-src dans l’en-tête HTTP Content-Security-Policy avec WordPress et obtenir un A+ sur securityheaders.io. Déjà, autant prévenir, ça va être long et pénible… Cela se fera à coup de petite modification, test, re petite modification. Oui modification est au singulier, car on ne change qu’un paramètre à la fois […]

Read more

Découverte de docker swarm

Pour découvrir le swarm (la nuée ou l’essaim) de docker, on va partir de notre poste Fedora, avec une installation de libvirt fonctionnelle. Installation On va créer deux nouvelles machines virtuelles que l’on nommera worker1 et worker2: 2 vCPUs et 4Go de RAM. Sur l’hôte servant de manager, on initialise le swarm (aka le poste […]

Read more

Un petit point sur les options SSL et les en-têtes HTTP

Options générales ServerTokens définit ce qu’apache peut diffuser comme information à propos de lui-même. Le fanfaronnage est incompatible avec la sécurité. Prod: c’est la valeur la plus sécurisée et le serveur n’enverra que son nom: Server: Apache Major: le serveur n’enverra que son nom et son numéro de version majeur: Server: Apache/2 Minor: le serveur […]

Read more

Remplacement de sectool par openscap-content-sectool

L’outil d’audit de sécurité sectool n’étant plus mis à jour, il ne sera plus disponible à partir de Fedora 25. Il est temps de changer d’outil. Une implémentation des tests a été faite dans un plugin open-scap et la migration est triviale. dnf install openscap-content-sectool Il ne reste plus qu’à lancer l’outil /usr/bin/oscap xccdf eval –profile Server –results-arf sectool-arf.xml […]

Read more