Windows 10 – l’espion qui m’aimait (enfin surtout mes données)

« C’est gratuit, c’est nous le produit », « Les autres font pareil « , « Tu n’as qu’à passer sur le tout dernier Elementary OS« … débat sans fin, bref.

Pour ne pas être espionné sur Windows 10* :

  • Pour la version « entreprise » : désactiver et supprimer le service « diagtrack » et désactiver « Cortana »
  • Pour une autre version, utiliser par exemple :
    • Destroy Windows 10 Spying (open source… mais les auteurs de l’article MISC suggèrent de s’en méfier ?)
    • Windows Privacy Tweaker
    • W10 Privacy

*Vu dans « Windows 10 : Confidentialité et sécurité de vos données » par Paul HERNAULT, Thomas AUBIN, Baptiste DAVID et Eric FILIOL, sur le MISC n°86 juillet/août 2016, article très instructif où on découvre les processus de remonté d’informations vers les serveurs de Microsoft.

Ménagez vos yeux

f.lux adapte la couleur de votre écran en fonction de l’heure de la journée : couleurs chaudes la nuit et adaptées à la lumière du soleil en journée.

f.lux - software to make your life betterA éviter si vous avez besoin d’un rendu de couleur parfait, sinon installez le, et positionnez tout de suite la configuration « journée » à 5000K ou 5500K (6500K par défaut), et vos yeux sentiront tout de suite la différence !

L’outil peut intéragir avec le systeme Philipps Hue. Il est distribué gratuitement avec une licence peu contraignante et existe aussi pour GNU/Linux, tablettes et smartphones.

Et pour les libristes, il existe un équivalent, « redshift », présenté dans le Linux Pratique n°96, (juillet/aout 2016) page 32.

Vérifier la configuration SSL de son serveur web

1) Avec « SSL Server Test » de Qualys SSL Labs.

Cet outil remonte en moins d’une minute les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • les cipher suites paramétrées sur le serveur web
  • les simulations de négociation de connexion avec de nombreux navigateurs
  • les fonctionnalités des protocoles disponibles et d’éventuelles failles (heartbleed…)

C’est pas trop mal de mon côté… (du moins le jour du test…)

2) Avec « Observatory » de Mozilla

Cet outil affiche les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • la liste des navigateurs compatibles les plus anciens
  • les informations de scans d’outils tiers

Mon score n’est pas trop mal non plus.

 

Pour aller plus loin et savoir comment configurer son serveur HTTPS de la meilleure des façons :

  • lire « TLS, état des lieux côté serveur » par Julien Vehent, dans MISC n°72 Mars/Avril 2014, p63,
  • s’appuyer sur la documentation « Server side TLS » de l’équipe sécurité de Mozilla proposant également des configurations types pour les serveurs web les plus connus

Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

J’en parlais ici, mais je n’avais pas encore pris le temps de parcourir les 10e de documentations existantes pour mettre en application la chose.

Je me suis finalement basé sur « Automatic certificates from Let’s Encrypt with Certbot and nginx » par Aleksander Skraastad, qui est une méthode simple et propre, que je retranscris/traduis partiellement ci-dessous, en apportant quelques petites précisions

En résumé, voilà les différentes étapes :

  • Installation via les backports
  • Préparer NGINX
  • Configurer les vhosts
  • Valider la configuration
  • Générer les certificats
  • Utiliser les certificats générés
  • Vérifier le fonctionnement des futures demandes de renouvellement
  • Renouvellement automatique

Et le détail…

Continue reading Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

Supervision de l’exécution de scripts bash

Petit auto promotion pour annoncer la publication d’une bibliothèque pour superviser l’exécution de script bash (pour l’instant uniquement avec zabbix) en modifiant seulement quelques lignes sur un script existant.

Exemple avec un script qui fait juste des « ls », mais des « ls » tellement importants qu’il faudrait remonter le resultat de leur execution dans Zabbix :

  • Script initial
echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"
  • Script adapté (quelques lignes au début, quelques lignes à la fin, mais AUCUNE MODIFICATION du bloc de script initial)
### Environnement de remontee des erreurs 
# Penser à positionner "-s" ou "-c CPT_ERR" sur error_check_trap
# Voir la définition de la fonction "error_check_trap" dans supervision_for_bash.sh pour une description des parametres
SCRIPTDIR="/usr/share/bash_script_monitoring" ; source ${SCRIPTDIR}/bash_script_monitoring.sh
trap 'error_check_trap -c CPT_ERR -p $_' ERR ; set -o errtrace ; export SCRIPT_PARAMS="$*";CPT_ERR=0
### Fin Environnement de remontee des erreurs

echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"

### Environnement de remontee des erreurs
# Execution du script sans erreur -> on informe la supervision
[[ $CPT_ERR -eq 0 ]] && ${execution_status_report_ok}
### Fin Environnement de remontee des erreurs

Quand un « ls » du script déclenche une erreur, le script s’arrête (ou continue si « -s » est remplacé par « -c CPT_ERR ») et zabbix est informé -> l’élément passe à 1
Si aucune erreur n’a bloqué le script, zabbix est informé -> l’élément passe à 0

Il faut évident disposer d’un environnement zabbix fonctionnel.

Plus d’informations ou pour participer au projet : https://framagit.org/lucs/bash_script_monitoring

Ensemble de ressources sur les systèmes, les réseaux, la sécurité informatique