Security, backups, CHATONS meeting and planning

đź•’ 27 days ago

Bonjour,

Ce mois d'août, nous avons pris quelques vacances, mais cela ne nous a pas empêché de travailler un peu sur les projets de l'association.

On commence par quelques nouvelles mesures de sécurité.

Sécurité renforcée

Alors ça fait très vigipirate dit comme ça, mais ça n'a rien à voir.

Nous avons retravaillé la manière dont nous gérons les attaques sur notre site web et le service mail.

Précédemment, nous utilisions le service fail2ban incorporé dans l'image Docker docker-mailserver (CF. Rapport technique), qui bannissait les IPs trop agressives automatiquement. Ce système était couplé avec l'application d'une blacklist d'IPs définie par nos soins, qui nous protège des spammeurs qui réussissent à contourner fail2ban.

Notre site web, de son côté, n'était protégé que par les rate limits de nginx ; aucun bannissement d'IP n'avait lieu.

Nous utilisions aussi le "pare-feu dédié OVH" jusqu'à présent, que nous ne pouvons plus nous permettre en raison de notre changement d'hébergeur.

Par conséquent, fail2ban tourne désormais dans son propre conteneur, isolé du réseau virtuel, et a l'accès sur les logs de plusieurs services du système, y compris le service web et le conteneur mail. Nous pouvons personnaliser à volonté les règles de bannissement pour chacun des services, ce que nous ne nous sommes pas gênés de faire.

Nous utilisons désormais aussi le fichier hosts.deny pour bloquer les IPs trop agressives sur l'hôte et dans nos conteneurs.

Nouvelle politique de sécurité pour les mails

Pour des raisons de compatibilité, nous acceptons désormais l'envoi de mails via SMTPS sur le port 465.

Cela dit, nous ne recommandons pas cette approche et suggérons d'utiliser le port 587 en STARTTLS à la place.

Nous avons aussi remarqué que le client mail K-9 (Android) déclenchait des faux positifs ; nous avons ainsi assoupli nos règles de bannissement.

DĂ©sormais, son utilisation ne devrait plus vous bannir si vous avez plusieurs comptes chez nous.

Enfin, nous avons configuré SpamAssassin pour qu'il soit moins tolérant envers les spams. Merci de nous signaler tout éventuel faux positif suite à cette nouvelle configuration.

Atelier sécurité avec les CHATONS

Nous avons proposé aux CHATONS de venir à l'école 42 pour que chacun décrive leur infrastructure interne, leur politique de sécurité et détaille particulièrement les composants sensibles de leur système.

Chacun pourra ainsi apporter ses connaissances pour améliorer la sécurité de chaque membre du collectif.

Les passionnés de sécurité qui souhaiteraient apporter leur pierre à l'édifice peuvent s'inscrire sur le framadate après avoir lu le thread correspondant sur le forum CHATONS.

L'atelier est prévu dans le courant d'octobre 2019.

Backups

Afin d'éviter toute perte de données, nous allons multiplier nos backups.

Nous avons proposé aux CHATONS que chaque membre du collectif propose un peu d'espace disque aux autres afin d'y stocker des sauvegardes chiffrées.

Cela permet à chaque membre de disposer de sauvegardes off-site, redondantes à souhait et sans compromettre la confidentialité des données de leurs utilisateurs (données chiffrées sur le serveur de l'hébergé, avant le transfert).

Nous vous tiendrons au courant des décisions prises suite à cette proposition.

L'agenda 42l !

Nous avons mis en place une instance de Nextcloud (uniquement pour un usage administratif pour le moment) afin de vous communiquer les dates importantes de notre campagne de sensibilisation Ă  venir Ă  l'aide de leur module "Calendrier".

C'est par ici : agenda.42l.fr

Il n'est pas très responsive, mais il vous est possible d'intégrer ce calendrier à une application calendrier/agenda existante.

Et vos services, alors ?

Le framadate va finalement tarder un peu (le projet n'est plus maintenu, incompatibilité PHP 7, ...).

Le git est encore en cours d'intégration. Soyez patients !

Bonne fin d'été et à bientôt ;)

~N&B