À la recherche d’une solution pour sécuriser vos serveurs web ?
9,70 € TTC
p. 06 Brèves
p. 08 Gestion de verrous d’accès au sein d’un cluster LVM partagé
p. 19 Mise en réplication d’une instance PostgreSQL
p. 26 Construire un template VMware avec Packer et Preseed
p. 38 Sécurisez votre serveur web avec Let's Encrypt
p. 52 Adopter une approche TDD pour l'Infrastructure as Code
p. 66 Gérer finement les accès à votre site web à l’aide d’AuthCrunch
p. 76 Techniques d'ingénierie sociale pour exploiter nos faiblesses
Face à la multiplication des offres disponibles, aujourd’hui nombreuses sont les entreprises et organisations qui ont recours à des solutions cloud. Il faut dire qu’elles comptent plusieurs atouts : flexibilité, évolutivité, réduction des coûts, sécurité, dernières technologies, résilience ou encore durabilité... Mais encore faut-il pouvoir faire un choix éclairé face aux divers prestataires disponibles sur le marché.
Pour garantir le bon fonctionnement de son système d’information, le DSI doit prendre en compte un certain nombre de critères parmi lesquels : la protection des données, la gestion des accès, la conformité aux réglementations, la gestion des incidents, les stratégies de récupération après un sinistre, la compatibilité, mais aussi la portabilité des données, la qualité du support technique et celle de la documentation fournie, les performances, etc. À cela s’ajoute la souveraineté ou confiance numérique, notion fortement plébiscitée de nos jours. Le CLUSIF (Club de la sécurité de l’information français) a dernièrement fait un point sur le sujet dans le but de sensibiliser tout un chacun à cet aspect parfois nébuleux tant il peut être utilisé à tout va. Il liste 15 critères à prendre en compte afin d’évaluer cette confiance numérique auprès des fournisseurs de solutions cloud*. Il est question entre autres de s’intéresser à la localisation physique du siège de la société, des datacenters et des sous-traitants, de porter une attention particulière à la nationalité des services utilisés, au montage juridique de la société et aux certifications de l’hébergeur.
Le CIGREF, quant à lui, va encore plus loin sur le sujet en publiant un cahier des charges technique** que toute structure pourra intégrer dans l’appel d’offres de solutions cloud de confiance. Le document pourra être une ressource très utile pour toute organisation réfléchissant à l’adoption d’une offre de type cloud.
Dans ce numéro, nous ne parlerons pas directement de cloud, mais de solutions qui simplifieront sans doute la vie de tous ceux en charge de veiller au bon fonctionnement de toute infrastructure numérique. Le sujet en couverture a cependant un point commun avec le cloud : il connaît un certain succès et a massivement été adopté lui aussi. On parlera ici de Let’s Encrypt et de sa mise en place pour sécuriser vos serveurs web. Bonne lecture !
Aline Hof
* https://clusif.fr/communique-souverainete-des-hebergements-cloud-sortons-de-lambiguite/
** https://www.cigref.fr/cahier-des-charges-technique-a-integrer-dans-lappel-doffre-cloud-de-confiance
Né en 1999, Linux Pratique réunit toute l’information technique qui permettra de gérer de manière optimale son SI. Ses articles pratiques et retours d'expérience de professionnels du milieu couvrent notamment les thématiques suivantes : administration système & réseau, cloud, virtualisation, orchestration, conteneurisation, SysOps/DevOps, solutions professionnelles, cybersécurité...
Il est aujourd’hui rare de voir un site web sans son petit cadenas lors de la navigation web. En effet, HTTPS s’est démocratisé ces dernières années, notamment grâce à l’introduction d’une autorité de certification délivrant des certificats gratuits ! Dans cet article, nous allons nous focaliser sur Let’s Encrypt et fournir un guide pratique pas à pas pour sécuriser les échanges entre un site web et un client simplement et gratuitement.
Le Web servant à tout de nos jours, lorsqu’on gère un serveur frontal Caddy, il est parfois nécessaire de gérer des droits d’accès pour de multiples utilisateurs accédant à de nombreuses ressources. Si la plupart des applications disposent le plus souvent d’une solution intégrée, une gestion globale, au niveau de Caddy lui-même, renforcerait la sécurité de l’ensemble, tout en simplifiant le travail de l’administrateur. C’est précisément ce que se propose de réaliser AuthCrunch. Il vous permettra même de développer des applications utilisant ses services.
Nous avons beau dépenser des centaines de milliers voire de millions d’euros pour sécuriser une infrastructure informatique, des accès à un bâtiment, à la sensibilisation de nos utilisateurs... le maillon faible est et restera l’être humain. Il a beau être ce qu’il est, c’est-à-dire un être inégalable par sa spécificité, mais il reste un être humain avec ses propres failles comme la naïveté, la curiosité, la cupidité... Le facteur humain est le point central des techniques d’attaque rencontrées dans l’ingénierie sociale parce qu’il est l’élément critique dans la chaîne de la cybersécurité. Aucun logiciel n’est capable d’empêcher la manipulation et la tromperie et il n’y a pas de piratage sans conséquence directe ou indirecte.