Aller au contenu

security

Authentification SSH avec une CA

cover

Cet article décrit comment utiliser une autorité de certification SSH pour s'authentifier auprès des serveurs SSH. Ceci est particulièrement utile lorsque vous avez beaucoup de serveurs à gérer et que vous souhaitez éviter les tracas liés à la gestion d'un grand nombre de clés SSH.

L'idée de base est d'avoir une AC (Certificate Authority) qui signera les clés publiques des utilisateurs. Ensuite, les utilisateurs pourront s'authentifier auprès des serveurs en utilisant leur clé publique signée. De cette façon, vous n'avez pas à gérer les clés publiques des utilisateurs sur les serveurs, vous n'avez qu'à gérer les clés publiques de l'AC. Vous pouvez également limiter la validité des clés publiques signées à une certaine durée ou à un certain ensemble de serveurs et d'utilisateurs.

Comprendre les mot de passe à usage unique basé sur le temps

cover

Maintenant que tous les services web nous encouragent, de plus en plus, à utiliser une MFA pour sécuriser nos compte, l'un d'entre eux reste le plus utilisé que les autres : Mot de passe à usage unique basé sur le temps ou TOTP génère un code unique de 6 chiffres ou plus à saisir juste après avoir tapé votre mot de passe.

Le serveur ou l'application Web permettant de configurer le TOTP donne un QRCode à scanner (ou une chaîne Base32) à configurer dans une application génératrice de TOTP comme Microsoft Authenticator, Google Authenticator, Bitwarden ou plus.

Nous l'utilisons tous, mais comment ça marche ? Est-ce sécurisé ? Mon compte est-il sécurisé lorsque j'utilise un générateur de TOTP tiers ??

Déploiement zéro confiance avec Kubernetes

cover

L'utilisation de logiciels OpenSource écrits par des inconnus peut parfois être un peu effrayante. Encore plus lorsque je les déploie dans un environnement de production dans mon entreprise. Dans mon cas, j'ai créé un tout nouveau cluster Kubernetes pour héberger certains services privés sur mon réseau local et je voulais être certain qu'ils ne font rien de malveillant sur mon réseau.

Sécurisation de mon point d'entré web des menaces externes

cover

J'héberge actuellement des services web privés accessibles depuis Internet. Afin de protéger ces applications, j'avais besoin d'un moyen plutôt sécurisé pour protéger l'accès à ces dernier.

Comme vous le savez peut-être déjà, il existe des tonnes de robots/bots qui analysent en permanence toutes les adresses IP publiques d'Internet à la recherche de potentielles vulnérabilités. Des ports ouverts, des services web non sécurisés ou des failles de sécurité. Il existe des organisations privées qui permettent de découvrir ces vulnérabilités comme Shodan. Dans mon cas particulier, c'est la seule information qu'ils ont pu collecter sur mon IP publique :