Sécuriser Memcached pour éviter des attaques par amplification

J’utilisais Memcached depuis des années sans soucis. Jusqu’à ce début de semaine.

Il aura fallu une méchante attaque sur un serveur de production pour mettre celui-ci à genoux (et le site d’e-commerce sous Magento qu’il hébergeait) à cause d’un Memcached mal configuré.


Pour les détails techniques de ce type d’attaque par amplification visant Memcached, se reporter à cet article sur le blog de CloudFlare : Memcrashed – Major amplification attacks from UDP port 11211.

Sécuriser Memcached

Par défaut Memcached écoute sur toute les interfaces et sur le protocole UDP. Il faut donc désactiver UDP et le faire écouter seulement en localhost :

$ sudo vim /etc/sysconfig/memcached

Ajouter (ou adapter) ceci dans le champ OPTIONS :

OPTIONS="-l 127.0.0.1 -U 0"

Redémarrage de Memcached :

$ sudo systemctl restart memcached

Vérification que Memcached écoute bien seulement 127.0.0.1 en TCP :

$ sudo netstat -plunt
(...)
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 31938/memcached

Activer TLS avec proFTPd sous CentOS 7

Installation et configuration du chiffrement TLS pour le serveur FTP proFTPD.

Dans son utilisation classique le protocole FTP n’est pas sécurisé car il n’est pas chiffré, les données et même le mot de passe de session circulent en clair. Ce rapide tutoriel va servir de guide pour mettre en place un chiffrement TLS avec le serveur FTP proFTPd sur une machine sous CentOS 7.

Continue reading « Activer TLS avec proFTPd sous CentOS 7 »

Mon plan de sauvegarde actuel

Aujourd’hui 31 mars c’est le World Backup Day, c’est un bon moment pour parler un peu de mon plan de sauvegarde.

En gros qu’est ce que j’ai à sauvegarder? En local, j’ai ma machine principale, celle qui contient beaucoup de choses, pour ne pas dire tout, en particulier mes photos et mon catalogue Lightroom. Mais j’ai également les données de mon serveur dédié Kimsufi, à savoir les sites web que j’héberge qui ont besoin d’être sauvegardés bien entendu.

Pour commencer par le serveur, il y a plusieurs tâches qui s’occupent des backups, à commencer par une sauvegarde que j’appelle « system » et qui historise (par snapshots) principalement /etc . Ensuite, tous les jours un dump de toutes mes bases de données est fait, à cela s’ajoute un backup des sites web. Le tout est fait en local sur le serveur.

Côté maison, le système (Windows) est sur un petit SSD que je ne sauvegarde pas, les données par contre sont sur une pile RAID 1 de 2 disques de 1To (ce qui ne constitue pas une sauvegarde). Des backups quotidiens sont effectués sur un NAS Qnap (RAID 1).

Pour terminer, un autre cron sur le serveur copie via rsync les sauvegardes des sites web (et du système) sur le NAS tous les jours également.

Le petit point noir de mon plan est que je n’ai pas vraiment de sauvegardes externalisées de mes données, donc en cas de grosse catastrophe à la maison – genre incendie ou me faire tout voler – je peux tout perdre.

Ajouter le support TLS à Postfix et Dovecot

TLS (qui s’appelait SSL avant 2001) signifie Transport Layer Security. Il s’agit d’une couche qui crypte la communication entre deux hôtes. En utilisant SMTP AUTH (voir cet article) avec les mécanismes PLAIN ou LOGIN, le nom d’utilisateur ainsi que le mot de passe transitent en clair et sont exposés à quiconque sniffe le réseau. C’est là que la couche TLS peut résoudre ce point faible.
Pour utiliser le cryptage, il faut un certificat qui valide notre authenticité pour le client qui va se connecter au serveur de messagerie. Normalement un tel certificat doit s’acheter auprès d’une autorité compétente comme Thawte ou Verisign. L’autre solution est d’auto-signer son certificat, c’est bien entendu gratuit, mais n’étant pas officiel (mais reste légal!), les utilisateurs du serveur de messagerie devront vous faire confiance en acceptant ce certificat « maison ». Cette soluton est décrite ci-dessous.

Continue reading « Ajouter le support TLS à Postfix et Dovecot »