Ménagez vos yeux

f.lux adapte la couleur de votre écran en fonction de l’heure de la journée : couleurs chaudes la nuit et adaptées à la lumière du soleil en journée.

f.lux - software to make your life betterA éviter si vous avez besoin d’un rendu de couleur parfait, sinon installez le, et positionnez tout de suite la configuration « journée » à 5000K ou 5500K (6500K par défaut), et vos yeux sentiront tout de suite la différence !

L’outil peut intéragir avec le systeme Philipps Hue. Il est distribué gratuitement avec une licence peu contraignante et existe aussi pour GNU/Linux, tablettes et smartphones.

Et pour les libristes, il existe un équivalent, « redshift », présenté dans le Linux Pratique n°96, (juillet/aout 2016) page 32.

Vérifier la configuration SSL de son serveur web

1) Avec « SSL Server Test » de Qualys SSL Labs.

Cet outil remonte en moins d’une minute les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • les cipher suites paramétrées sur le serveur web
  • les simulations de négociation de connexion avec de nombreux navigateurs
  • les fonctionnalités des protocoles disponibles et d’éventuelles failles (heartbleed…)

C’est pas trop mal de mon côté… (du moins le jour du test…)

2) Avec « Observatory » de Mozilla

Cet outil affiche les données suivantes :

  • les informations sur le certificat utilisé et les CA utilisées pour le valider
  • les protocoles de sécurisation des échanges utilisables pour se connecter au serveur web
  • la liste des navigateurs compatibles les plus anciens
  • les informations de scans d’outils tiers

Mon score n’est pas trop mal non plus.

 

Pour aller plus loin et savoir comment configurer son serveur HTTPS de la meilleure des façons :

  • lire « TLS, état des lieux côté serveur » par Julien Vehent, dans MISC n°72 Mars/Avril 2014, p63,
  • s’appuyer sur la documentation « Server side TLS » de l’équipe sécurité de Mozilla proposant également des configurations types pour les serveurs web les plus connus

Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

J’en parlais ici, mais je n’avais pas encore pris le temps de parcourir les 10e de documentations existantes pour mettre en application la chose.

Je me suis finalement basé sur « Automatic certificates from Let’s Encrypt with Certbot and nginx » par Aleksander Skraastad, qui est une méthode simple et propre, que je retranscris/traduis partiellement ci-dessous, en apportant quelques petites précisions

En résumé, voilà les différentes étapes :

  • Installation via les backports
  • Préparer NGINX
  • Configurer les vhosts
  • Valider la configuration
  • Générer les certificats
  • Utiliser les certificats générés
  • Vérifier le fonctionnement des futures demandes de renouvellement
  • Renouvellement automatique

Et le détail…

Continue reading Automatisation de la gestion des certificats TLS sur NGINX avec Let’s Encrypt sous Debian GNU/Linux stable

Supervision de l’exécution de scripts bash

Petit auto promotion pour annoncer la publication d’une bibliothèque pour superviser l’exécution de script bash (pour l’instant uniquement avec zabbix) en modifiant seulement quelques lignes sur un script existant.

Exemple avec un script qui fait juste des « ls », mais des « ls » tellement importants qu’il faudrait remonter le resultat de leur execution dans Zabbix :

  • Script initial
echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"
  • Script adapté (quelques lignes au début, quelques lignes à la fin, mais AUCUNE MODIFICATION du bloc de script initial)
### Environnement de remontee des erreurs 
# Penser à positionner "-s" ou "-c CPT_ERR" sur error_check_trap
# Voir la définition de la fonction "error_check_trap" dans supervision_for_bash.sh pour une description des parametres
SCRIPTDIR="/usr/share/bash_script_monitoring" ; source ${SCRIPTDIR}/bash_script_monitoring.sh
trap 'error_check_trap -c CPT_ERR -p $_' ERR ; set -o errtrace ; export SCRIPT_PARAMS="$*";CPT_ERR=0
### Fin Environnement de remontee des erreurs

echo "Begin..."
ls /nonexistant_dir
echo "middle.."
ls /nonexistant_dir2
echo "End"

### Environnement de remontee des erreurs
# Execution du script sans erreur -> on informe la supervision
[[ $CPT_ERR -eq 0 ]] && ${execution_status_report_ok}
### Fin Environnement de remontee des erreurs

Quand un « ls » du script déclenche une erreur, le script s’arrête (ou continue si « -s » est remplacé par « -c CPT_ERR ») et zabbix est informé -> l’élément passe à 1
Si aucune erreur n’a bloqué le script, zabbix est informé -> l’élément passe à 0

Il faut évident disposer d’un environnement zabbix fonctionnel.

Plus d’informations ou pour participer au projet : https://framagit.org/lucs/bash_script_monitoring

Let’s Encrypt – Nouvelle autorité de certification gratuite, automatisée et ouverte

« Let’s Encrypt » est un service fourni par l’Internet Security Research Group (ISRG – Mozilla, Akamai, Université du Michigan, Ecole de Droit de Standford, Cisco, Electronic Frontier Foundation, CoreOS, OVH…).

Les principes clés de Let’s Encrypt sont :

  • Gratuité : n’importe quel possesseur de nom de domaine peut utiliser Let’s Encrypt pour obtenir un certificat de confiance à un prix nul
  • Automatisation : les logiciels fonctionnant sur un serveur web peuvent interagir avec Let’s Encrypt pour obtenir un certificat sans effort, le configurer de facon sécurisé pour son utilisation, et s’occuper automatiquement de son renouvellement
  • Securité : Let’s Encrypt sert de plateforme pour promouvoir les bonnes pratiques de sécurité de TLS, aussi bien du côté de l’autorité de certification (CA) qu’en aidant les opérateurs de site à sécuriser correctement leurs serveurs
  • Transparence : tout certificat délivré ou révoqué est enregistré publiquement et disponible à la consultation par tous
  • Ouverture : le protocole de délivrance et de révocation automatique est publié comme un standard ouvert
  • Coopération : de la même façon que les protocoles internet, Let’s Encrypt est un effort commun pour un bénéfice communautaire, au delà du contrôle de toute organisation.

Il existe plusieurs clients permettant d’automatiser plus ou moins les tâches d’installation/délivrance.

Linux Pratique n°94 Mars/Avril 2015 comporte 8 pages d’introduction par Christophe Brocas (p.30 « Let’s Encrypt : Le chiffrement gratuit, ouvert et automatisé sur Internet »)

Ensemble de ressources sur les systèmes, les réseaux, la sécurité informatique