Planète Warez

Les systèmes d’exploitation immuables : sécurité et fiabilité au cœur de l’OS

Les systèmes d’exploitation immuables représentent une avancée significative dans le domaine de la sécurité et de la stabilité de nos systèmes informatique.

Contrairement aux OS traditionnels, ils sont conçus pour être inaltérables dans leur fonctionnement, offrant ainsi une base solide pour des environnements fiables et sécurisés.

Qu’est-ce qu’un système d’exploitation immuable ?

Un système d’exploitation immuable est structuré de manière à ce que ses fichiers système soient montés en lecture seule.

Cela signifie qu’une fois le système déployé, aucune modification directe n’est possible sans passer par un processus de mise à jour contrôlé.

Les mises à jour sont généralement dites atomiques, c’est-à-dire qu’elles sont appliquées en une seule opération complète, réduisant ainsi les risques d’erreurs ou de configurations incohérentes.

Avantages des systèmes immuables 🔐 Sécurité renforcée L’immutabilité empêche les modifications non autorisées du système. Réduction de la surface d’attaque pour les logiciels malveillants. Possibilité de restaurer rapidement une version stable en cas de compromission. ⚙️ Stabilité accrue Élimination des variations entre les configurations des systèmes. Meilleure cohérence dans les déploiements à grande échelle. Moins de dérives de configuration. 🛠️ Gestion simplifiée Mises à jour atomiques et possibilité de rollback facile via GRUB ou autres gestionnaires de boot. Réduction des interventions manuelles. Moins de temps d’arrêt lors des mises à jour critiques. Intégration dans les environnements DevOps

Les systèmes immuables s’intègrent naturellement dans les pratiques DevOps, favorisant l’automatisation et la reproductibilité des environnements.

Ils permettent une gestion efficace des configurations et facilitent les tests en assurant que chaque instance du système est identique à une autre.

Quelques systèmes d’exploitation immuables existants 🧊 Fedora Silverblue

Distribution basée sur Fedora avec GNOME. Utilise un système de fichiers en lecture seule et des mises à jour atomiques.
Idéale pour les développeurs en quête de stabilité et de prévisibilité.

🧊 Fedora Kinoite

Version de Silverblue avec KDE Plasma comme environnement de bureau.

🧊 openSUSE Aeon & Kalpa

Basées sur openSUSE MicroOS, Aeon (GNOME) et Kalpa (KDE) offrent des environnements de bureau immuables avec Flatpak et conteneurs pour les applications.

🧊 CarbonOS

Distribution orientée vers une expérience utilisateur fluide, tout en adoptant une architecture immuable pour maximiser sécurité et stabilité.

🧊 BlendOS

Pensée pour les créateurs de contenu (ex. utilisateurs de Blender). Offre une plateforme stable et sécurisée pour la création numérique.

🧊 VanillaOS

Propose un système en lecture seule et l’installation d’applications via un système de paquets séparé, renforçant la sécurité de l’environnement de bureau.

Cas d’utilisation

Les systèmes immuables sont particulièrement adaptés aux environnements nécessitant une haute sécurité et une grande stabilité, tels que :

Infrastructures cloud et clusters Kubernetes. Postes de travail pour développeurs et administrateurs. Systèmes en production exigeant fiabilité et cohérence. N’importe quel poste pour particuliers cherchant la stabilité et la sécurité. Conclusion

Adopter un système d’exploitation immuable, c’est faire le choix de la sécurité, de la stabilité, de la cohérence et de la simplicité.

Que ce soit pour une entreprise, un administrateur système, un développeur ou même un utilisateur particulier soucieux de préserver l’intégrité de son poste, l’approche immuable apporte des bénéfices concrets : moins de pannes, moins de configurations à gérer, et une protection accrue contre les menaces.

Dans un monde où les systèmes deviennent de plus en plus complexes, choisir un OS immuable, c’est aussi choisir une expérience plus sereine, prévisible et adaptée à une informatique moderne, automatisée et résiliente.

@Violence a dit dans Mettez à jour votre Firefox avant vendredi ou gare à la catastrophe! :

Concernant le “la balle est dans votre camp”. C’est une remarque globale, qu’il y a des solutions que j’ai déjà mentionné comme Firefox ESR et d’autres. Firefox ESR est moins chiant sur les MAJ justement (voir sa définition plus haut) et destiné à un milieu professionnel. J’dis ça j’dis rien car il semble passé entre les mailles de mon commentaire.

Merci pour ta définition de la remarque globale, car je ne possède pas tous les codes, jargons et acronymes du métier Dev/IT (je suis un infographiste retraité, mais vos suggestions me sont souvent utiles). Désolé, j’avais bien lu ton commentaire au sujet de FIrefox ESR passé entre les mailles par inattention. Je vais investiguer sur cette variante… 🙂 Et j’arrête de upper ce topic…

@violence merci j’ai vu cela mais ça ne le fait pas sur mon tel, de plus c’est sur le pc que je souhaiterais le faire car c’est là qu’il y en a le plus 😞

edit : bon j el’ai lancé sur le téléphone 4131 pièces il me dit impossible pas assez d’espace lol

@kduke il me semble que l’activation du téléphone auprès d’Apple ne se fait pas via la carte SIM. Le téléphone exige qu’il y en ait une d’enfichée et s’active via Internet même si cette SIM est désactivée auprès de l’opérateur. Ca a peut-être changé depuis, mais dans mes souvenirs ça marchait comme ça.

Ils ont pas attendu ton commentaire les mecs.

@Raccoon a dit dans Le Royaume-Uni contraint Apple à intégrer une porte dérobée dans iCloud : un projet de surveillance de masse inquiétant :

Curieurx de lire la réaction d’Apple.

Moi itou…

NordVPN lance NordWhisper, un protocole VPN conçu pour améliorer la vitesse, la sécurité et la fiabilité des connexions. Développé en interne, il s’appuie sur WireGuard, tout en optimisant la gestion du trafic réseau et la stabilité des connexions, notamment en cas de perte de signal ou de changement de réseau.

Son principal atout ? Sa capacité à contourner les restrictions mises en place par les administrateurs réseau.

NordWhisper se fond dans l’activité Internet ordinaire, offrant aux utilisateurs un moyen fiable de naviguer sur des réseaux restreints tout en conservant le même cryptage et la même sécurité que les autres protocoles VPN

Contrairement aux protocoles traditionnels, NordWhisper promet une latence réduite et une meilleure expérience utilisateur, en particulier pour le streaming, le gaming et le télétravail. NordVPN mise ainsi sur cette nouvelle technologie pour se différencier et offrir une alternative performante aux protocoles existants comme OpenVPN ou IKEv2.

–Plus d’informations :

https://www.clubic.com/actualite-552110-c-est-quoi-nordwhisper-le-nouveau-protocole-vpn-de-nordvpn.html

Vous en avez marre des attaques incessantes qui ciblent votre infrastructure, de toutes ces tentatives de connexion suspectes qui vous donnent des sueurs froides ?

Alors voici FireHOL, une solution de sécurité redoutable qui va transformer votre pare-feu basic en Fort Knox.

FireHOL repose sur un principe simple mais très efficace : la mise en commun des connaissances de la communauté cybersécurité. Des équipes du monde entier surveillent et identifient les adresses IP malveillantes, créant ainsi des listes de blocage (blocklists) régulièrement mises à jour.

Ces listes couvrent un large éventail de menaces telles que les réseaux de botnets actifs, les sources de spam, les attaques par force brute, les scanners de vulnérabilités et bien sûr tout ce qui est proxys malveillants

La mise en place de FireHOL se fait simplement, vous allez voir. Commençons par l’installation de base :

sudo apt-get install firehol wget https://raw.githubusercontent.com/firehol/firehol/refs/heads/master/sbin/update-ipsets chmod +x update-ipsets

Ensuite, activons les listes qui nous intéressent :

./update-ipsets enable dshield spamhaus_drop spamhaus_edrop ./update-ipsets

Vous y trouverez DShield maintenue par le SANS Institute, permettant d’dentifier les 20 sous-réseaux les plus agressifs mais aussi Spamhaus DROP qui est une référence absolue pour bloquer les réseaux détournés par des cybercriminels et bien sûr Abuse[.]ch qui reste encore et toujours une excellente source pour les botnets et malwares connus.

Il y a aussi :

OpenBL : Traque les attaques par force brute Blocklist.de : Agrège les rapports d’abus de milliers de serveurs Emerging Threats : Identifie les menaces émergentes

Voici un exemple de configuration FireHOL qui utilise ces listes :

cat << EOF > /etc/firehol/firehol.confwan="eth0" ipset4 create whitelist hash:net ipset4 add whitelist 192.168.0.0/16 for x in dshield spamhaus_drop spamhaus_edropdo ipset4 create \${x} hash:net ipset4 addfile \${x} ipsets/\${x}.netset blacklist4 full inface "\${wan}" log "BLACKLIST \${x^^}" ipset:\${x} \ except src ipset:whitelistdoneEOF

Pour maintenir votre protection à jour, ajoutez le script à votre crontab :

crontab -e */12 * * * * /chemin/vers/update-ipsets >/dev/null 2>&1

Commençons par un point crucial : la whitelist stratégique. C’est la base d’une bonne configuration. Vous devez absolument créer une liste blanche de vos IP de confiance. Je parle de vos propres IP, mais aussi celles de vos partenaires commerciaux et de vos services cloud.

La surveillance des logs est absolument cruciale et vous devez analyser régulièrement vos journaux de blocage pour repérer les anomalies et identifier les potentiels faux positifs. Concernant l’optimisation des performances, j’ai un tips pour vous : limitez le nombre de listes actives et utilisez des ipsets de type hash:net. C’est beaucoup plus efficace et ça consomme moins de ressources. D’ailleurs, en parlant de ressources système, attention à ne pas vous laisser emporter : plus vous activez de listes, plus votre serveur va suer. C’est mathématique !

Les ipsets, c’est vraiment la rolls des solutions de filtrage. Pourquoi ? Et bien parce que ça offre une recherche ultra-rapide grâce au hachage (on parle de O(1) pour les nerds), une flexibilité de ouf avec la mise à jour dynamique sans avoir à tout recharger, et une scalabilité qui déchire puisque vous pouvez gérer des millions d’entrées sans sourciller.

Pour les plus motivés d’entre vous, vous pouvez aussi pousser le vice encore plus loin avec des fonctionnalités avancées comme le GeoIP blocking pour bloquer certains pays (désolé les copains), le rate limiting pour éviter de se faire spammer, et le filtrage au niveau applicatif pour être encore plus précis dans votre protection. N’oubliez pas non plus de faire le ménage régulièrement dans vos listes car certaines deviennent obsolètes plus vite qu’un gouvernement français, donc vérifiez régulièrement leur pertinence.

Voilà les amis ! Avec tout ça, vous avez de quoi mettre en place une protection béton ! Pour explorer toutes les possibilités et consulter les statistiques détaillées des listes de blocage, visitez https://iplists.firehol.org/

Merci à Lorenper pour cette superbe découverte !

Source

https://iplists.firehol.org

https://korben.info/firehol-protection-ip-pare-feu.html

Combien de personnes vont devoir changer de pc juste pour ça ? Bravo le gâchis

Et heureusement car il y a trente ans, quand j’utilisais thunderbird, à chaque mise à jour, il s’auto détectait comme un virus possible à cause du changement de hash !!!

allez expliquer ça à un utilisateur novice de l’époque lol

@duJambon Ok, merci pour la précision.

eff583ed-e814-46f7-802f-9355d9181775-Live Long & Prosper.jpg 

Un nouvel ensemble de vulnérabilités baptisé “CONTINUATION Flood” a été découvert dans le protocole HTTP/2 ! Dans certains cas, l’exploitation de ces vulnérabilités permet un déni de service sur le serveur web pris pour cible, à partir d’une seule connexion TCP. Voici ce qu’il faut savoir.

Le chercheur en sécurité Barket Nowotarski a fait la découverte des vulnérabilités “CONTINUATION Flood” présente dans HTTP/2, une version du protocole HTTP standardisée en 2015. S’il a choisi ce nom, ce n’est pas un hasard, car ces faiblesses sont liées à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Ces trames sont utilisées pour assembler le flux de données correspondant à différents blocs de messages du protocole HTTP/2, notamment pour l’en-tête.

Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter ces vulnérabilités en envoyant des trames extrêmement longues, sans définir l’indicateur “END_HEADERS”, ce qui va permettre d’épuiser les ressources du serveur cible et engendrer un déni de service. Dans certains cas, une seule connexion TCP en HTTP/2 peut suffire pour saturer le serveur en mémoire vive et le faire planter.

“Les implémentations sans timeout pour les en-têtes ne nécessitaient qu’une seule connexion HTTP/2 pour faire planter le serveur.”, peut-on lire dans le rapport de Barket Nowotarski.

Par ailleurs, il est important de préciser que le protocole HTTP/2 est encore largement utilisé. “Selon Cloudflare Radar, le trafic HTTP/2 représente environ 60 % de l’ensemble du trafic HTTP humain (données excluant les robots)”, précise Barket Nowotarski, avec un graphe à l’appui.

CONTINUATION Flood, un ensemble de 9 failles de sécurité

Le CERT/CC a également publié un rapport au sujet de l’ensemble de vulnérabilités CONTINUATION Flood. Il référence 9 failles de sécurité correspondantes à cette faiblesse dans différentes implémentations : la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy (version 1.29.2 ou antérieure), ainsi que le langage de programmation Go.

À la fin de l’article du CERT/CC, il y a un tableau récapitulatif, et nous pouvons voir que le statut est actuellement inconnu pour plusieurs dizaines d’implémentations. Voici un extrait :

Les CVE suivantes sont associées à CONTINUATION Flood : CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309, CVE-2024-30255.

Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316, correspondante à CONTINUATION Flood, a été corrigée dans Apache 2.4.59 publiée ce jeudi 4 avril 2024 (voir cette page).
Ceci n’est pas sans rappeler la faille de sécurité “Rapid Reset” présente dans le protocole HTTP/2 et révélée en octobre 2023. À l’époque, elle avait permis de déclencher des attaques DDoS records !

– Source:

https://www.it-connect.fr/vulnerabilite-continuation-flood-dans-http2-expose-serveurs-web-attaques-dos/

Ça fait un moment qu’on peut utiliser simple login ou c’est juste le fait que ça soit intégré direct à ProtonMail ?

@Ashura a dit dans Proton Pass débarque sur Windows (bientôt sur macOS et Linux) :

@Violence ba voilà tu vas pouvoir l’utiliser

Non le mode hors ligne est pour la version payante 🙂

Merci je vais tester pour remplacer Google Authenticator.

Vu que de plus en plus de site demande la double authentification :ahah:

C’est marrant eux qui infectaient le matos Cisco en sortie d’usine…

j’aime bien le client lourd et le service web ^^

perso j’ai migré tous les mots de passes, tout out sur Bitwarden, car compatible Firefox et iOS et depuis ma vie est super mieux :smile: j’ai un mot de passe fort différent pour chaque site et quand le 2FA s’impose, on vire le sms est on passe par l’appli

par contre si quelqu’un arrive un jour à casser la protection, c’est fini, mais je doute que cela soit possible, physiquement parlant, en 2024

ℹ️ - Modification du tutoriel incluant un fake domain et un CA SAN via mkcert sinon l'application desktop est inutilisable

ayant été développeur pendant 20 ans, à la grande époque du cobol, cics etc …

c’est vrai qu’au bout de quelques années de maintenance et d’évolution, ça peut être très intéressant de poser le truc et de le re écrire from scratch !!!

j’ai vu des résultats exceptionnels sur des gros batch qui brassent des milliards d’écritures chaque soir dans les banques.

Merde pourquoi bitwarden pas testé