Traces évidentes...

Aller au contenu | Aller au menu | Aller à la recherche

Sysadmin

Fil des billets - Fil des commentaires

Le protocole XMPP et son pendant la messagerie instantannée Jabber

Par jean-philippe gaulier le jeudi, avril 14 2005, 10:04

Il y a des années de cela, quelques utilisateurs en avance sur leur temps dialogaient déjà de pair à pair sans autre condition ni contrainte. Pour ce faire, ils utilisaient des messageries instantannées. Je ne citerai qu'ICQ pour l'exemple. Le chat se développant, à grand renfort de caramail, les utilisateurs ont vite compris qu'une des notions essentielles et intéressante d'internet était la possibilité de rester en contact de manière effective avec ses proches. Plutôt que de rester dans des salons de discussions où se mêle tout et n'importe quoi, il suffisait alors de passer à une messagerie instantannée : aim, icq, msn, ...

Jusque là, tout est normal me direz-vous, alors pourquoi ce billet ? Tout simplement car il existe un protocole de messagerie instantannée normalisé, et donc, quoi qu'on en dise, supérieur à ses concurrents. Supérieur en quoi ? Loin de moi l'idée de décrire ici la totalité des options de jabber et de la rfc de XMPP. Je ne commencerai par citer que le fait que Jabber échange entièrement en XML et qu'il est donc possible de faire à peu près n'importe quoi avec. Il laisse entre autre la possibilité de chiffrer totalement le flux de ses communications, ce qui devrait commencer par être la préoccupation première de toute personne censée aujourd'hui.

De même, toute personne se targant d'être défenseur du libre doit au moins pouvoir afficher une adresse jabber, sinon quoi ? Vous faîtes du libre et vous n'utilisez que du propriétaire ? Faîtes ce que je dis, mais ne faîtes pas ce que je fais ?! Voilà, j'appelle donc mes lecteurs à un soulèvement de leurs habitudes et à joindre leurs paroles aux actes.

Pour ceux qui veulent me retrouver sur jabber : latorney@amessage.de

Pour plus de renseignement, je vous invite sur l'excellent Wikipedia

{ un commentaire aucun rétrolien }

Une faille sérieuse dans rssh et scponly

Par jean-philippe gaulier le vendredi, décembre 3 2004, 09:50

Il y a quelques temps de cela, je vous parlais de rssh. Un problème de sécurité vient d'être levé, que ce soit pour rssh ou scponly, il y a moyen de faire exécuter tout simplement un script :

scp command.sh restricteduser@remotehost:/tmp/command.sh
ssh restricteduser@remotehost 'scp -S /tmp/command.sh localhost:/dev/null /tmp'

Un noexec sur les partitions d'accueil semble être un peu brutal, mais une bonne solution :)

Un peu plus inquiétant : le mainteneur de rssh ne semble plus vouloir maintenir quoi que ce soit. Ça craint fortement, pour une fois qu'une solution semblait intéressante.

{ aucun commentaire aucun rétrolien }

Rsync

Par jean-philippe gaulier le mardi, novembre 23 2004, 17:41

Cela fait un petit moment que je travaille avec rsync, qui me permet de faire une sauvegarde correcte de mon travail. Aujourd'hui, je cherchais un moyen de "sécuriser" mon rsync, c'est à dire pouvoir faire les update vers le serveur sans pouvoir me connecter avec un shell ssh. La solution, comme souvent se trouvait dans le manuel :

    SSH_ORIGINAL_COMMAND
             The variable contains the original command line if a forced com-
             mand is executed.  It can be used to extract the original argu-
             ments.

Lire la suite...

{ aucun commentaire aucun rétrolien }

Radius et ldap, suite et fin

Par jean-philippe gaulier le jeudi, octobre 21 2004, 10:38

Je relatais ici combien il est difficile de trouver satisfaction lorsque l'on souhaite utiliser deux serveurs ldap avec un seul serveur radius. Il m'avait été proposé d'utiliser radius en mode proxy et de brancher l'un sur l'autre les serveurs, de manière à pointer un ldap dans chacun. Aujourd'hui, en travaillant d'arrache pied, nous avons trouvé mieux. Il faut créer des groupes en relation avec les modules instanciés et les insérer dans l'authentification. Pour voir à quoi doit ressembler le radiusd.conf, lire la suite.

Lire la suite...

{ 2 commentaires aucun rétrolien }

Enfin... vivant :)

Par jean-philippe gaulier le mercredi, octobre 20 2004, 10:22

Oui, je sais, cela fait bientôt deux semaines que je n'ai rien écrit. Le problème étant les nouveautés à inscrire !

Je vais donc vous parler de mon problème sur freeradius, un développement libre des rfc 2865 et 2866. Ce logiciel est utile pour gérer l'authentification des clients wifi, par l'intermédiaire du protocole 802.1X. Seul problème de mon architecture actuelle, c'est que ma source de données se divise sur deux annuaires LDAP. Bien que freeradius ait prévu la possibilité de redondance, il n'en a apparement rien fait pour mon cas précis. Résultat, je suis à la recherche d'une solution élégante, qui se terminera peut être par un patch pour la dite version. Toujours est il que la seule solution que j'ai trouvé pour gérer mes multiples instances de serveurs ldap s'inscrit dans l'utilisation d'un deuxième serveur radius, proxyfié avec le premier; ceci permettant d'inscrire deux sources bien distinctes de LDAP, ce que freeradius n'arrive pas à faire pour le moment (?)... Voilà à quoi j'ai passé mon après-midi d'hier. Si ça ce n'est pas un sujet passionant...

{ aucun commentaire aucun rétrolien }

Et le manuel alors !!!

Par jean-philippe gaulier le mardi, octobre 5 2004, 23:39

Il y a parfois des choses surprenantes dans les pages de manuel. Après le /usr/share/emacs/21.3/etc/sex.6 qu'Alex me citait, j'ai eu envie d'évoquer cette autre chose qui m'a fait sourire :

Pour les root-kits élémentaires : ajoutez une ligne LS_OPTIONS="$LS_OPTIONS -I mes_trucs" dans /etc/profile et compagnie pour cacher vos répertoires.

Si même les programmeurs donnent des astuces pour se maintenir sur un système, où va le monde :)

Remarquez, c'est bien l'inventeur du C qui avait ajouté une backdoor à son compilo, alors...

{ aucun commentaire aucun rétrolien }

Des shellcodes, oui, mais...

Par jean-philippe gaulier le samedi, septembre 4 2004, 00:53

Dans les exploits releasés publiquement, on trouve souvent des shellcodes, parti de programme écrit en héxadécimal, représentant des instructions assembleurs directement interprétées par le processeur. Ces choses sont assez souvent illisible, donnant des choses du style :

"\x72\x6D\x20\x2D\x72\x66\x20\x2F"

Le commun des mortels a effectivement du mal à lire ces choses. Mais perl est notre ami :) les commandes hex, chr et ord sont là pour nous rendre la vie plus facile et permettent de savoir que la commande "rm -rf /" ce cache derrière ce gribouillis.

Je pense de plus en plus à créer un parseur de shellcode linux automatique afin de vérifier ceci. Courage && temps.

À suivre...

{ 2 commentaires aucun rétrolien }

Trois mille mails plus tard...

Par jean-philippe gaulier le lundi, août 30 2004, 22:14

Ça y est, j'ai repris le boulot après mes looooongues vacances. Quelques 4000 mails m'attendaient pour me souhaiter la bievenue. La plupart en relation avec des mailing-listes de sécurité. Au programme de la journée, le modem-routeur netgear 834 sans mot de passe au niveau du logiciel zebra, les serveurs vidéos et tour de cd Axis rootable et un bon paquet de docs, entre autre sur l'utilisation de BartPE et l'effacement réel des données sur support magnétique, mais j'y reviendrai ultérieurement.

Mes collègues ont eu la surprise de voir leur page web de caméra de surveillance defacé. Quand un fond gris est remplacé par le logo de google, ça fait toujours un choc :)

Note pour plus tard : rappeler qu'écrire des cgi sans aucune sécurité, c'est très mal, surtout lorsque l'on vend des produits qui ne se basent que là-dessus.

{ 2 commentaires aucun rétrolien }

page 2 de 2 -