Recherche effectué dans :

Filtre actif, cliquez pour en enlever un tag :

Cliquez sur un tag pour affiner votre recherche :

Résultat de la recherche (26 notes) :

Journal du jeudi 31 octobre 2024 à 12:12 #JaiDécouvert, #NouveauMot, #security

Dans l'article "Hetzner Considered Hostile: A PSA", j'ai découvert le terme anglais Threat actor et son article Wikipedia : Threat actor.

Qui peut être traduit en français par "acteurs malveillants ou "acteurs de menace".

Journal du lundi 14 octobre 2024 à 18:27 #admin-sys, #security, #JaiDécouvert

#JaiDécouvert le site Formation DevOps | DevSecOps de Stéphane Robert. Énormément d'informations très bien catégorisées et en français !

J'ai parcouru la section Analyser le code ! et j'y ai découvert :

J'ai découvert Linux Audit #OnMaPartagé, #JaiDécouvert, #linux, #security, #admin-sys, #DevOps

Alexandre m'a partagé l'article "Linux : Enregistrer toutes les commandes saisies avec auditd" qui présente Linux Audit.

The Linux audit framework provides a CAPP-compliant (Controlled Access Protection Profile) auditing system that reliably collects information about any security-relevant (or non-security-relevant) event on a system. It can help you track actions performed on a system.

-- from

La norme de sécurité de l'industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS) est un standard destiné à poser les normes de la sécurité des systèmes d'information amenés à traiter et stocker des process ou des informations relatives aux systèmes de paiement.

Dans ce cadre, de nombreuses conditions sont à respecter afin d'être compatible avec cette norme. Parmi celles-ci, l'enregistrement des commandes et instructions saisies par les utilisateurs à privilèges sur un système.

-- from

D'après ce que j'ai compris, la fonctionnalité Linux Audit est implémentée au niveau du kernel.

Linux Audit permet de surveiller les actions effectuées sur les fichiers (lecture, écriture…) et les appels syscalls.

D'après ce que je comprends, Linux Audit est conçu à des fins de sécurité. Il semble peu adapté pour documenter les opérations réalisées sur un serveur dans le cadre d'un travail collaboratif.

Journal du mardi 10 septembre 2024 à 15:05 #monitoring, #security, #backup, #JaiDécouvert

#JaiDécouvert restic-exporter : « Prometheus exporter for the Restic backup system ».

Journal du mardi 10 septembre 2024 à 12:48 #JaiDécouvert, #admin-sys, #security, #JaiLu

#JaiLu L'option ControlMaster de ssh_config.

J'y ai découvert l'open ControlMaster de OpenSSH.

Journal du mardi 10 septembre 2024 à 12:25 #admin-sys, #linux, #security, #JaiLu

#JaiLu Google Authenticator - ArchWiki.

Code source de Google Authenticator PAM module : https://github.com/google/google-authenticator-libpam.

Journal du dimanche 08 septembre 2024 à 22:12 #admin-sys, #security, #linux, #selfhosting, #JaiDécouvert, #JaiLu

#JaiLu Securing A Linux Server.

J'ai trouvé cet article excellent.

J'y ai découvert :

Journal du jeudi 05 septembre 2024 à 13:18 #JaiLu, #security, #JaimeraisUnJour

J'ai un peu parcouru la documentation de OpenBao, #JaimeraisUnJour faire un POC de cet outil.

Journal du jeudi 05 septembre 2024 à 12:51 #security, #JaiLu

#JaiLu ces threads Lobster : Security best practices for small company, SSH Key Management Challenges and Requirements.

Journal du jeudi 05 septembre 2024 à 11:52 #security, #JaiLu, #JaiDécouvert

#JaiLu The SOC2 Starting Seven (from)

First: for us, SOC2 is about sales. You will run into people with other ideas of what SOC2 is about. Example: “SOC2 will help you get your security house in order and build a foundation for security engineering”. No. Go outside, turn around three times, and spit. Compliance is a byproduct of security engineering. Good security engineering has little to do with compliance. And SOC2 is not particularly good. So keep the concepts separate.

-- from

😉

Suite à cela, j'ai lu l'article Wikipédia sur System and Organization Controls.

This is not an instruction guide for getting SOC2-certified. Though: that guide would be mercifully short: “find $15,000, talk to your friends who have gotten certified, get referred to the credible auditor that treated your friends the best, and offer them the money, perhaps taped to the boom box playing Peter Gabriel you hold aloft outside their offices”.

-- from

😉

If there is one thing to understand about SOC2 audits, it’s: SOC2 is about documentation, not reality.

-- from

🙈

Puis ils vous remettront un questionnaire de 52 000 lignes appelé Liste de demandes d'informations (IRL), basé d'une manière occulte sur ce que vous leur avez dit que vous faisiez. Vous le remplirez. Vous aurez quelques réunions, puis vous leur enverrez un chèque. Le nom de votre entreprise figurera sur un rapport.

-- from

🙈

#JaiDécouvert Shibboleth.

PRs, Protected Branches, and CI/CD

Enable Protected Branches for your master/deployment branches in Github. Set up a CI system and run all your deploys through it. Require reviews for PRs that merge to production. Make your CI run some tests; it probably doesn’t much matter to your auditor which tests.

We probably didn’t even need to tell you this. It’s how most professional engineering shops already run. But if you’re a 3-person team, get it set up now and you won’t have to worry about it when your team sprawls and new process is a nightmare to establish.

-- from

J'implémente systématiquement ce workflow dès que je travaille en équipe. Cependant, je me demande à partir de combien de développeurs cela devient réellement pertinent. Avant de lire cet article, je pensais que cela valait la peine à partir de trois développeurs.
À noter que ma motivation première de mise en place de ce workflow n'est pas la sécurité, mais la fluidité de développement en équipe et d'éviter les bugs.

Centralized Logging

Sign up for or set up a centralized logging service. It doesn’t matter which. Pipe all your logs to it. Set up some alerts – again, at this stage, it doesn’t matter which; you just want to build up the muscle.

-- from

Pour cela, j'utilise Grafana avec Loki branché sur un Object Storage.

The AWS console is evil. Avoid the AWS console.

Instead, deploy everything with Terraform (or whatever the cool kids are using, but it’s probably still just Terraform). Obviously, keep your Terraform configs in Github.

C'est aussi l'une de mes premières motivations pour utiliser Terraform ! 😊

#JaiDécouvert Munki, MicroDMD, NanoMDM qui sont des MDM.

Web Application Firewalls: Most SOC2’d firms don’t use them, and most WAFs don’t work at all.

-- from

🙂

Endpoint Protection and AV: You have MDM and macOS/Windows full complement of security features and a way to force them enabled, you’re covered. AV software is a nightmare; avoid it while you can.

-- from

🙂

Journal du mercredi 21 août 2024 à 15:49 #OnMaPartagé, #security, #admin-sys

Alexandre m'a partagé OpenSCAP mais je n'ai pas encore pris le temps de l'étudier.

Journal du jeudi 02 mai 2024 à 19:37 #software, #open-source, #security, #OnMaPartagé

#OnMaPartagé ce projet https://pts-project.org/ :

The PiRogue Tool Suite is an open-source consensual digital forensic analysis and incident response solution that empowers organizations with comprehensive tools for network traffic analysis, mobile forensics, knowledge management, and artifact handling.

J'ai l'impression que c'est un outil lié à la sécurité informatique, mais après une première lecture de 2min, je ne comprends pas très bien ni son utilité ni son usage 🤔.

Bunkerweb #security, #selfhosting, #DevOps, #admin-sys

Projet 14 - Script de base d'installation d'un serveur Ubuntu LTS #projet, #DevOps, #security, #admin-sys

Date de création de cette note : 2024-10-11.

Quel est l'objectif de ce projet ?

Je souhaite implémenter et publier un projet de "référence", de type skeleton, dont la fonction est d'installer les éléments de base d'un serveur Ubuntu LTS sécurisé.

Comme point de départ, je peux utiliser mon repository poc-bash-ssh-docker-deployement-example et le faire évoluer.

Le script _install_basic_server_configuration.sh se contente d'installer Docker.

J'aimerais y intégrer les recommandations présentes dans l'excellent article "Securing A Linux Server".

J'aimerais, entre autres, ajouter les fonctionnalités suivantes :

  • [x] Amélioration de la configuration de OpenSSH ;
  • [x] Installation et configuration de ufw ;
  • [x] Mise en place de ipsum ;
  • [x] Installation et configuration de fail2ban ;
  • [x] Système d'installation / suppression de clés ssh ;
  • [x] En option : installation et configuration de node exporter ;
  • [x] En option : installation et configuration de l'envoi des logs de journald et Docker vers Loki en utilisatant Promtail (installation et configuration de l'envoi des logs de journald vers Loki en utilisant Vector) ;
  • [x] En option : installation de configuration de Grafana ; avec Grizzly configuration des dashboards
    • [x] des logs et
    • [x] metrics des serveurs
  • [x] En option : installer et configurer apticron pour envoyer un message dans les logs dès qu'un package de sécurité doit être installé.
    • [x] Génération d'une alerte Grafana si une mise à jour de sécurité doit être installé
  • [x] En option : envoie de notification sur smartphone en cas d'alerte Grafana, via ntfy
  • [ ] En option : installation et configuration de Linux Audit ;

Le repository doit présenter cette installation :

Repository de ce projet :

Ressources :

pgAudit #postgresql, #security

The PostgreSQL Audit Extension (pgAudit) provides detailed session and/or object audit logging via the standard PostgreSQL logging facility.

The goal of the pgAudit is to provide PostgreSQL users with capability to produce audit logs often required to comply with government, financial, or ISO certifications.

Page GitHub : https://github.com/pgaudit/pgaudit

ufw #firewall, #linux, #security, #selfhosting

https://en.wikipedia.org/wiki/Uncomplicated_Firewall

ipsum #security, #admin-sys

https://github.com/stamparm/ipsum

Daily feed of bad IPs (with blacklist hit scores).

fail2ban #admin-sys, #DevOps, #security, #selfhosting

https://fr.wikipedia.org/wiki/Fail2ban

apticron #security

https://manpages.debian.org/bookworm/apticron-systemd/apticron.1.en.html

Trivy #security

https://github.com/aquasecurity/trivy

OpenSSH #security, #admin-sys, #linux

https://fr.wikipedia.org/wiki/OpenSSH

OpenSCAP #hardening, #admin-sys, #security

https://complianceascode.readthedocs.io/en/latest/manual/user/01_introduction.html

Payment Card Industry Data Security Standard #security

https://fr.wikipedia.org/wiki/Norme_de_sécurité_de_l'industrie_des_cartes_de_paiement

Grype #security

https://github.com/anchore/grype

Linux Audit #security, #admin-sys, #DevOps, #linux

Site web : https://people.redhat.com/sgrubb/audit/

GitHub : https://github.com/linux-audit/audit-userspace

Checkov #security

https://www.checkov.io/

Dernière page.