Yunohost, si je pentestais mon instance ?
21 juin 2016 09:00 5 messagesTAGS : Auto-hébergement Planet Libre Yunohost
Je souhaite depuis un moment me mettre au pentesting, à l’analyse de la sécurité d’un système. Comme j’ai une instance virtuelle de Yunohost pour mes tests, je peux l’utiliser pour apprendre les outils de Kali linux (distribution axée sur le pentest). J’ai posté un message en ce sens sur le forum de Yunohost (message en anglais) pour avoir d’autres avis, conseils etc.
Ce qu’il faut comprendre c’est que dire "je valide la sécurité de Yunohost" ne veut rien dire en soi. En effet, une instance Yunohost c’est avant tout un ensemble de briques logiciels :
– Debian : Yunohost s’installe sur une distribution Debian. Si on ne met pas Debian à jour, il peut y avoir des failles de sécurité liée à Debian.
– Yunohost : il y a toute la partie logicielle liée à Yunohost en lui-même (ses scripts d’automatisation etc.)
– Les logiciels autres : les logiciels libres sur lesquels repose Yunohost pour ne pas réinventer la roue et qui s’installent dans l’installation par défaut de Yunohost (nginx, mysql, le sso...)
– Les applications webs : les applications que l’utilisateur choisit d’installer sur son instance, toutes ces applications (officiellement supportée ou non) qu’il est possible d’installer de façon automatisée et intégrée dans Yunohost.
Chacun de ces composants peut être une source de faille de sécurité et donc d’attaque potentielle. Il faut déjà, bien faire les mises à jour de façon régulière. Ca tombe bien Yunohost propose de mettre à jour le système (Debian, Yunohost et les applications installées maintenues de façon officielles) et ce de façon graphique (un bouton dans l’interface d’administration). Il est possible d’automatiser les mises à jour via apt-cron (comme sur n’importe quel serveur Debian, Yunohost ça reste du Debian en dessous).
Le tout est du logiciel libre, le code est auditable et on peut espérer qu’il l’est régulièrement. Pentester Yunohost me permettrait sur le long terme de progresser dans ce domaine, d’améliorer la sécurité du tout si j’étais en mesure de trouver des failles (dans ce cas je remonterai ça à l’équipe de Yunohost ainsi qu’aux développeurs concernés par l’application)... Bref, encore une idée d’un vaste projet dans lequel je voudrais me lancer... et dont je parlerais sur le blog si je me lance. A suivre donc.
Dans la même rubrique
26 avril 2021 – Voir les mails de Yunohost dans Nextcloud
25 janvier 2021 – Nginx de Yunohost en reverse proxy
10 novembre 2020 – Yunohost - Les mails ne marchent plus d’un seul coup
3 septembre 2020 – De la dépendance d’une instance Yunohost au serveur de Yunohost
24 juin 2020 – Yunohost - Les mails d’administration système et mails automatiques
5 Messages
Yunohost, si je pentestais mon instance ?, Not A Robot | 21 juin 2016 - 10:50 1
C’est justement quelque chose dans lequel je voulais me lancer, j’attends tes premiers retour avec impatience.
Yunohost, si je pentestais mon instance ?, tebo | 21 juin 2016 - 13:49 2
Salut,
très bonne initiative, j’utilise aussi cette solution mais je n’ai pas les compétences techniques ni la disponibilité pour entreprendre ce genre de tests. Je suivrai donc avec intérêt tes travaux.
Bon courage
merci pour tes articles intéressants.
A+
Yunohost, si je pentestais mon instance ?, fidoboulettes | 21 juin 2016 - 13:58 3
Tiens, je m’étais aussi posé la question pour mon yunohost mais étant un noob complet je ne m’y suis pas mis... ça intéresserait assez de voir ta méthodo.
Yunohost, si je pentestais mon instance ?, nj8 | 21 juin 2016 - 16:57 4
Hello,
Si tu veux accroitre tes connaissances, pratiquer par toi même est un excellent moyen, je te conseille également d’aller lire les advisory (rapports de vulnérabilité) sur les plateforme telles que PacketSecurityStorm (https://packetstormsecurity.com/files/) ou Exploit-Db.
Tu en apprendras alors plus sur comment une faille XSS (par exemple) est trouvée, puis exploiter et tu pourras calquer ces différentes méthodologies sur ta propre infra.
bye :)
nj8
Yunohost, si je pentestais mon instance ?, qorrigan | 7 juillet 2016 - 13:23 5
Salut, le pentest j’aimerais apprendre moi aussi, je commence en bas de l’echelle, je suis curieux de voir comment tu vas te former.