Est-ce que votre environnement informatique est sécurisé?

Je suis curieux : est ce qu’il y a déjà eu un retour d’expérience à propos d’un serveur yunohost à jour qui se serait fait tamponné / piraté / rabsomwarisé ?

Bonjour,

Pas simple de répondre puisque bien souvent, une compromission reste silencieuse :thinking: Il serait donc bien prétentieux d’assurer qu’il n’y aurait pas eu d’intrusion ou autre joyeuseté. Même s’il y a peu de retour.

De mémoire, il y a déjà eu des applications telles des Wordpress qui ont eu quelques soucis.

Pour ma part, j’avais eu une intrusion sur une appli (BridgeRSS pour ne pas la citer) il y a 3 ou 4 ans. Rien de bien méchant, mais dans le doute, j’avais refait une installation propre et fait le choix radical de ne plus installer l’application en question.

Bref, je suis également intéressé si quelqu’un a rencontré des soucis plus graves :wink:

Bonjour @tous,
En effet on ne peut pas être à 100% sure d’être protégé, mais nous avons des outils comme
rkhunter
chkrootkit
fail2ban
portsentry
pflogsumm
pour nous aider et installer juste le nécessaire aux niveaux applications

J’ajouterai surtout en premier lieu une extrême rigueur quant aux mises à jour du système comme des applications déployées.

Franchement c’est vraiment difficile, c’est d’ailleurs le point qui m’embête un peu avec Yunohost.
Un simple shodan https://www.shodan.io/search?query=yunohost te file toutes les IP des yunohosts. Suffit qu’une faille 0 days soit exploitée et que l’attaquant sache qu’elle est exploitable dans une install yunohost (assez facile à savoir avec un code ouvert) et il a tout sur un plateau.
Et toi t’est obligé d’attendre que la faille soit patchée par yunohost, puis ensuite de l’appliquer en urgence chez toi… ça laisse du temps à l’attaquant!

J’avais vu une solution pour ne plus être listé par shodan, mais c’était un poil trop technique pour moi (et je n’ai que peu de temps à y consacrer). Bon après vu le nombre d’installation yunohost dans le monde, on a de la marge avant d’être la cible n°1 de méchants pirates! :rofl:

En effet, je bloque les scans Shodan, Edge Binary,… et utilise un blocage geoip, ce qui réduit considérablement les risques.

Je donne pas mal d’info sur ma manière de gérer cela sur le post de mon infra si ça intéresse : Retour d'expérience : migration de mon infra sur Proxmox (VM) - #35 by Sango

Ce n’est pas parfait, c’est parfois un peu extrême, mais ça donne des pistes de réflexion à mon avis :wink:

Merci, il faudra que je regarde Portsentry qui a l’air plus simple que ce que j’avais trouvé pour ma part pour bloquer les scans.

J’ai aussi fermé le port 22 (mais sur ma box) en regardant le nombre hallucinant de bruteforce chinoise dans les logs… :crazy_face:

edit: j’avais répondu dans le mauvais fil, désolé pour le doublon

1 Like

Ça n’a rien de spécifique à Yunohost : tu peux très probablement faire le même genre de scan Shodan pour nginx, apache, Wordpress, SSH, Debian, PHP, que-sais-je, n’importe quelle techno un minimum répandue où il suffit d’une requête pour l’identifier … Oui, le jour où il y a un zeroday catastrophique sur l’une de ces technos, c’est la merde.

1 Like

(Notons également que “être ou ne pas être listé sur Shodan” n’est en aucun cas un gage de sécurité. Shodan est là pour montrer à quel point c’est possible et facile de scanner à minima tout le range IPv4 (et pour IPv6 c’est plus compliqué, mais il existe probablement des astuces). Un vrai attaquant voulant mener une vraie attaque générale fera sans doute son propre scanner pour identifier les machines qu’il peut attaquer.)

3 Likes

Entièrement d’accord !

Par contre, ne pas être visible aisément par ce type d’outils (des “shodan”, il y en a plein, parfois même encore plus intrusifs), associé aux “bonnes pratiques” (mises à jour du système et des applis rigoureuses, réduction de la surface d’attaque, mots de passe solides, accès ssh via clé… bref, les fondamentaux) associé, secondairement, aux solutions proposées limitent sérieusement l’exploitation de ce type de failles de manière automatisées.

Mais rien n’arrêtera un attaquant motivé, disposant de temps et de moyen, à mon avis.

Oui oui, on est bien d’accord! J’aurais plutôt du parler de “facilité d’identification d’une instance yunohost” plutôt que de shodan en général.

tu peux très probablement faire le même genre de scan Shodan pour nginx, apache, Wordpress, SSH, Debian, PHP, que-sais-je,

C’est vrai, une recherche wordpress sur shodan renvoie aussi un paquet de résultats! Mais justement, il me semblait que l’adage “vivons heureux vivons cachés” s’appliquait plutôt bien à la sécurité informatique.
Oui à mon niveau je ne peux pas grand chose contre un attaquant très motivé, mais si je peux ne pas apparaître dans une liste accessible au 1er script kiddie venu je veux bien aussi :wink:

Mais je suis prêt à avouer que c’est peut être juste une sécurité psychologique et que ça ne change rien au final! :grin:
C’est d’ailleurs pourquoi j’utilise yunohost: je serai bien incapable de monter un serveur maison de A à Z correctement sécurisé (ou alors il me faudrait des semaines le temps de me documenter à fond), donc je laisse la team yunohost faire les choses propres et bien, le reste d’administration à ma charge me suffisant déjà amplement pour apprendre et comprendre un paquet de choses… :slight_smile:

Tu fais bien de le souligner : la dissimulation ne remplace pas une couche de sécu, mais sert essentiellement à diminuer le bruit de fond (l’exemple le plus connu étant sans doute de changer son port SSH).

Pour en revenir au premier poste j’ai du B+ sur mes deux Yuno.

Je vais m’intéresser aux liens donnés dans le topic pour voir ce que je peux renforcer sans casser mes services.

Merci pour le topic \o/

2 Likes

Ben de rien, j’ai bien fait de lancer le sujet, y’a plein de lien intéressant !!

Merci à tout le monde

J’avais trouvé ça il y a quelques semaines qui me semblait intéressant dans le cadre d’un auto-hébergement “local”:

En effet, il me semble peu probable qu’un serveur hébergé à la maison pour quelques services perso ait vocation a être joignable de partout dans le monde, ou alors par exception quand on part en vacances…

A voir si cela peut être intégré à Yunohost? :pleading_face:

Il me semble en effet avoir vu passer un post sur un blocage geoip également via nginx de mémoire.

Mais je confirme (pour le faire via un bastion dédié), que le blocage geoip appliqué de manière très restrictive fonctionne très bien pour réduire les bots à la recherche de failles non patchées.
Mais comme le souligne @Aleks , un attaquant motivé trouvera un moyen. Reste à évaluer si vous êtes une cible potentiellement ciblée ou pas. Et là, chacun devra se faire une autoévaluation des risques en fonction de ses fonctions pros, persos, …etc

Sincèrement, je trouve (ce n’est “que” mon avis, hein) le niveau de sécurité proposé par défaut par Yunohost très satisfaisant pour un particulier lambda. Et il est possible de l’améliorer sensiblement via quelques modifications simple.

Remarque perso à haute voix : il me semble en effet qu’on a parfois un peu trop tendance, lorsqu’on débute, à mise sur des “outils de sécurité” plutôt que sur les bonnes pratiques. Autrement dit, aucun logiciel installé en sus ne remplacera les bonnes pratiques déjà citées dans ce post par plusieurs d’entre nous. Ajouter des mesures et outils visent à mon avis à élargir le niveau de protection vis à vis d’autres attaquant. Le reste dépendra de notre paranoïa :rofl:

Attention tout de même à différencier “attaques automatiques / automatisables” de “attaque ciblée sur un serveur en particulier”, c’est deux choses différente. Mon point c’est de dire que se cacher spécifique de Shodan ne fournit pas “vraiment” de sécurité supplémentaire ou réelle. Vraiment, faire un script qui scanne tout le range d’IPv4, c’est relativement simple.

Et surtout, dans la continuité de ce que j’évoque avant : attention au piège classique du faux sentiment de sécurité. Ou de “l’effet Ikea de la sécurité”, genre t’as mis en place 2-3 bricoles toi-même à la main, alors tu penses que ton serveur est “vachement mieux sécurisé”. Sauf que la sécurité c’est un tout, et on peut vite avoir l’impression de faire les choses bien tout en oubliant des énormes trous de sécu là où on y pensait pas. Voir on peut empirer les choses en croyant les améliorer (par ex. changer le port SSH sans propager le nouveau port sur la conf fail2ban)

1 Like

@Aleks Il me semblait avoir sous-entendu assez clairement les propos que tu a ajouté, mais visiblement ce n’était pas assez clair :wink: Bref, tu as bien fait de préciser ! :+1:

1 Like

Bonjour,

Le message de Cyril (merci à lui) m’a fait découvrir https://observatory.mozilla.org/.
J’ai été surpris du résultat : j’ai créé deux sites internet, l’un professionnel, l’autre pour une association. L’ossature de ces sites en PHP/CSS/XHTML est la même. Ce qui change, c’est principalement les textes, les couleurs et les images.
Le site professionnel, chez un hébergeur, écope d’une note F (20/100 ; 6/11), tandis que le site associatif, que j’héberge avec Yunohost obtient une note B (75/100 ; 9/11).
Principales différences ? Le site Yunohost aurait un CSP (mais mal implémenté), HSTS, X-Content-Type-Options, XFO et XSS.
Or, je n’ai jamais configuré ces trucs.
J’ai remarqué que le code source de la page hébergée chez Yunohost avait en fin de section du code que je n’ai pas tapé :
<script type="text/javascript" src="/ynh_portal.js"></script><link type="text/css" rel="stylesheet" href="/ynh_overlay.css"></link><script type="text/javascript" src="/ynhtheme/custom_portal.js"></script><link type="text/css" rel="stylesheet" href="/ynhtheme/custom_overlay.css"></link>

La sécurité serait-elle ajoutée par Yunohost ?
Je n’ai pas trouvé quel lien hébergeait les en-têtes de sécurité.

Cobus.

Oui, mais pas par les scripts/css que tu mentionnes, ça c’est pour le fonctionnement du portail (et d’ailleurs c’est très crade, mais il faudrait revoir complètement l’architecture du SSO, ça fait parti des 4125147 todos)

Les éléments que tu mentionnes (CSP, HSTS etc) sont gérés ici : yunohost/security.conf.inc at dev · YunoHost/yunohost · GitHub