Le Blog du Piaf

Aller au contenu | Aller au menu | Aller à la recherche

Securité

Fil des billets - Fil des commentaires

dimanche, janvier 10 2010

Identifiez vous avec Open ID

Par LePiaf le dimanche, janvier 10 2010, 15:10

OpenID, qu'est ce que c'est?

Open ID est un système d'identification décentralisé. A l'aide d'une simple URL, il est possible de ce connecté à tous les site supportant ce protocole. Fini les interminable formulaire d'inscription et procédure de contrôle. Une simple URL, qui contient toutes les informations nécessaire, et l'inscription est terminé. De plus, il suffit de ne retenir qu'un simple identifiant, et la connexion aux autres site se fait automatiquement.

Comment est-ce que ça fonctionne?

Vous naviguez sur un site et vous souhaitez déposer un commentaire. Le site propose une identification par son propre système et OpenID. Dans le champ OpenID, déposer le lien de type http://username.pip.verisign.com/. Ensuite, le site va lire ce lien et contacter le fournisseur OpenID (ici c'est Verisign). Il faut donc être connecté chez Verisign (auquel cas, il va demander une authentification). Il y aura échange d'information, le site va demandé le nom, l'adresse email. Et le fournisseur va les lui donner. De retour sur le site, tous les champs sont remplis, il n'y a plus qu'a commenter :yipee:

Comment se procurer un OpenID?

Pour avoir un OpenID, il faut d'abord s'inscrire chez un fournisseur d'identifiant. Par exemple myOpenID ou Verisign. Google ou Yahoo sont des fournisseur OpenID, l'adresse email est l'identifiant.

Une fois connecté chez le fournisseur, vous avez un lien de type http://username.pip.verisign.com/.

Ou trouver des sites utilisant OpenID?

Ce blog utilise OpenID :P Pour commenter les articles, il suffit d'entre son lien OpenID, et hop ça marche :clapclap: . Un site recense un grand nombre de site comptable OpenID http://openiddirectory.com/

Petit note : Facebook permet de lier son compte Facebook à OpenID (ou Google, Yahoo). Ainsi, plus besoin de rentrer ses identifiants. Cela se passe dans "Settings > Linked Accounts" (Option > Lien un compte).

Bonus : Transformer un nom de domaine en lien OpenID

Pour pouvoir mieux mémoriser sont OpenID, on peut le mettre dans son nom de domaine. Comment?
Il suffit de créé une page HTML et de placer les balises suivantes entre <head> et </head>:

<link rel="openid.server" href="http://pip.verisignlabs.com/server" />
<link rel="openid.delegate" href="http://[USERNAME].pip.verisignlabs.com" />
<link rel="openid2.provider" href="http://pip.verisignlabs.com/server" />
<link rel="openid2.local_id" href="http://[USERNAME].pip.verisignlabs.com" />
<meta http-equiv="X-XRDS-Location" content="http://pip.verisignlabs.com/user/[USERNAME]/yadisxrds" />

Ces balises sont utilisés pour un compte de type Verisign, mais normalement ça devrait fonctionner. Pour ma part, j'ai utilisé un sous-domaine http://openid.lepiaf-blog.com/ .



Photo, Source 1, Source 2

aucun commentaire

mercredi, septembre 23 2009

StarCom : Une authorité de certification gratuite

Par LePiaf le mercredi, septembre 23 2009, 14:23

Le problème des certificats auto-signé (voir Apache sécurisé en 5min avec OpenSSL) c'est qu'il affiche un avertissement. Ce qui n'est pas très rassurant pour l'utilisateur. Avertissement firefox

Si on ne veut pas cet avertissement, il faut donc un certificat SSL signé par une autorité de certification (Certificate Authority). Problème, c'est que c'est payant est très cher. Mais, il en existe des gratuits. La aussi un problème ce pose, le navigateur ne reconnais pas le CA et le rejète (comme CA Cert).

Avec StarCom, ce n'est plus le cas, puisque le certificat sera bien reconnu par le navigateur. L'inscription se fait tout simplement sur le site : https://www.startssl.com/

Une fois l'inscription terminé, générer votre certificat et la clé privé. Attention, la clé privé qui sera inscrite dans le textarea sera protégé par un mot de passe, il faudra le décrypter pour que apache puisse la lire. Dans tool box -> decrypt private key.

Pour utiliser ce certificat, placer le certificat et la clé privé au même endroit que la précédente (si elle est existante).

SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key

Relancer apache, et voila :D Validation starcom

Noté que pour se reloguer sur le panneau de config de starcom, il faut utiliser sa clé privé qui est stocké dans le navigateur. Il faut l'enregistrer sur une clé USB ou autre. Sinon, tout est perdu.

Signature

2 commentaires

mardi, février 10 2009

Créé un tunnel SSH

Par LePiaf le mardi, février 10 2009, 09:09

Dans certaine entreprise, il n'est pas possible d'utiliser certaine application a cause des ports fermé. En général, le port 80, 22 et 21 sont ouverts, ce sont les ports pour accéder au site web (protocole HTTP), le port FTP ainsi que le port SSH pour l'administration de serveur à distance. Et surement d'autre port comme le POP et SMTP.

A quoi bon utiliser les autres ports après tout ? Ceux-la nous suffisent ! Et bien, quand on veut accéder à des services particulier, comme Webmin, il n'est pas possible. Webmin permet de contrôler et administrer sont serveur via une interface graphique. Il utilise le port 10000 par défaut.

Comment faire ?

Je vais exposer la méthode concernant Linux et Mac OS, elle se fait en une ligne de commande très simple. On reprend l'exemple de l'application webmin.

ssh -N -L 50500:192.168.1.10:10000 user@host-relay.com

-N permet de gérer uniquement le tunnel, nous n'avons pas besoin d'un shell
-L précise le type de tunnel (redirection locale)
50500 est le port local à utiliser
192.168.1.10 est l'hôte final, joignable par le firewall
10000 est le port sur l'hôte final à atteindre
user est l'utilisateur sous lequel ouvrir la connexion
host-relay.com est le serveur par lequel nous passons.

Si on traduit cette commande en une phrase intelligible, ça donne : Indique à host-relay.com de rediriger le port 50500 vers moi, et renvoie le à 192.168.1.10, sur le port 10000.

Ainsi, quand on tape localhost:50500 dans un navigateur, la requête est envoyé a travers le tunnel ssh vers host-relay.com. host-relay.com va faire la requête vers 192.168.1.10:10000.

Dans cet exemple, la machine qui fait la requête et celle qui reçoit sont sur un même réseau privé.
Et une illustration :

local.png

Le mieux est de faire un exemple pratique, mais ca fonctionne, et c'est super !

Signature

Source :
http://projects.tynsoe.org/fr/stm/doc.php
http://www.phys.univ-tours.fr/informatique/tunnel_ssh.php

5 commentaires

samedi, mai 3 2008

Enfin ! Le script iptables est fini !

Par LePiaf le samedi, mai 3 2008, 22:22

Je viens de finir le script et de régler ce **** de bug invisible sous nano :yipee: :clapclap: . 

#!/bin/sh
# On vide tout
sudo iptables -X
sudo iptables -F
echo Iptables vide [OK]
#On ferme tout ce qui entre
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
echo Traffic entrant bloque [OK]
 
#On maintient le traffic eablie
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo Maintenir le traffic etabli : [OK]
 
# Serveur Teamspeak
sudo iptables -A INPUT -p udp -i eth0 --dport 8767 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 14534 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 51234 -j ACCEPT
echo Port pour le serveur Teamspeak : [OK]
 
# Port serveur lighttpd, FTP, SSH
sudo iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
echo Port pour le serveur Lighttpd : [OK]
sudo iptables -A INPUT -p tcp -i eth0 --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT
echo Port pour le serveur FTP : [OK]
sudo iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
echo Port pour le serveur SSH : [OK]
 
# port pour SAMBA
sudo iptables -A INPUT -p udp -i eth0 -s 192.168.1.0 --dport 137 -j ACCEPT
sudo iptables -A INPUT -p udp -i eth0 -s 192.168.1.0 --dport 138 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 -s 192.168.1.0 --dport 139 -j ACCEPT
sudo iptables -A INPUT -p tcp -i eth0 -s 192.168.1.0 --dport 445 -j ACCEPT
sudo iptables -A INPUT -p udp -i eth0 -s 192.168.1.0 --dport 445 -j ACCEPT
echo Port pour le serveur Samba : [OK]
 
echo Script Iptables completement charge

2 commentaires