J'informatique

J'informe des bonnes pratiques en informatique mais pas que…

Développement Web

Génération des clés SSH

Pour éviter que la NSA s'introduise facilement dans vos serveurs, générez de nouvelles clés SSH plus sécurisé que par défaut. De préférence avec l'algorithme Ed25519 (courbes elliptiques) ou RSA (nombre premier).

ssh-keygen -t ed25519 -f id_ed25519 -o -a 500
ssh-keygen -t rsa -b 4096 -o -a 500

RSA pour les anciens OS, ed25519 pour les nouveaux OS qui prennent en compte ce format (à partir de ubuntu 16.04).
-o -a 100 : sert à ralentir les tentatives de brute force, en itérant la fonction de hachage plusieurs fois. Le nombre peut être compris entre 100 et 1000. 1000 c'est overkill car cela va fortement ralentir la mise en place de la clé SSH en mémoire.
Côté client, éditer le fichier :

#/etc/ssh/ssh_config
Host *
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    PubkeyAuthentication yes
    HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
    UseRoaming no

Côté serveur, éditer le fichier :

#/etc/ssh/sshd_config
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AllowGroups ssh-user
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256


Créer le ssh-user group avec :

sudo groupadd ssh-user

ensuite ajouter chaque utilisateur au groupe avec

sudo usermod -a -G ssh-user <username>

Secure Secure Shell
Generating New, More Secure SSH Keys

 

Redirection HTTPS

Pour forcer un site complet en HTTPS, mettre le fichier .htaccess contenant

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

 

Création clé USB bootable à partir d'un fichier iso

lsblk
sudo ddrescue -D --force /home/user/Downloads/neon-userltsedition-20171011-0018-amd64.iso /dev/sdc1
sudo dd bs=4M if=/home/user/Downloads/neon-userltsedition-20171011-0018-amd64.iso of=/dev/sdc1

 

Générateur de passephrase avec des mots de la Bible KJV

Télécharger la liste des mots unique

Installer xkcdpass
sudo apt install xkcdpass
 
Générer la passphrase
xkcdpass --min 4 --max 10 -w kjv.txt
 
 
Rendre unique un fichier texte
tr ' ' '\n' < file.txt | sort | uniq -c | wc -l