Pages:
Author

Topic: Conseil Ubuntu (Read 481 times)

member
Activity: 420
Merit: 31
January 11, 2019, 04:55:24 PM
#29
du coup as tu une idée de mon erreur  Huh

je séche
quelle régle par default est appliquée ? le jail.conf est un peu complexe pour moi
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 08, 2019, 07:45:55 AM
#28
Ah, j'avais cru comprendre que tu parlais spécifiquement du bruteforce ? Huh
D'où ma précision. Smiley

My bad. Dans mon cas oui, parce que j'utilise un mot de passe "standard" pour mes wallets, car je les utilise souvent.

Si ça venait à tomber dans les mauvaises mains, une bonne attaque par dictionnaire finirait surement par fonctionner par exemple.

Mais en effet ce n'était pas le seul vecteur.
legendary
Activity: 2464
Merit: 3158
January 08, 2019, 07:39:37 AM
#27
Ah, tu parles de l'entropie. Ton affirmation n'est pas forcément vrai.


Je parle aussi du fait que dans le cas de bitcoin core par exemple le wallet est chiffré en aes 256 par exemple.

Sur d'autres wallet il est possible que le chiffrement est réalisé grâce à une méthode moins sécurisée.

Je dis que c'est beaucoup plus facile de bruteforce un wallet.dat qu'une clé privée.

Ah, j'avais cru comprendre que tu parlais spécifiquement du bruteforce ? Huh
D'où ma précision. Smiley
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 08, 2019, 07:22:11 AM
#26
Ah, tu parles de l'entropie. Ton affirmation n'est pas forcément vrai.


Je parle aussi du fait que dans le cas de bitcoin core par exemple le wallet est chiffré en aes 256 par exemple.

Sur d'autres wallet il est possible que le chiffrement est réalisé grâce à une méthode moins sécurisée.

D'autre part si dans 5 ans (je dis n'importe quoi) une faille est découverte dans cet algo, le wallet pourrait déjà être dans les mains d'une personne mal intentionnée qui saura alors "facilement" le décrypter.

legendary
Activity: 2464
Merit: 3158
January 08, 2019, 06:36:07 AM
#25
Je dis que c'est beaucoup plus facile de bruteforce un wallet.dat qu'une clé privée.

Ah, tu parles de l'entropie. Ton affirmation n'est pas forcément vraie.

La passphrase qui chiffre un wallet.dat peut être plus longue qu'une clé privée.
J'imagine que la plupart des gens utilisent des mots de passe de 8-12 caractères, mais dans le cas ou elle fait 100 caractères, c'est plus "facile" de bruteforce la privkey directement.
(Avec les technos actuelles, ça se chiffre en siècles de temps de bruteforce...)



Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé



Miam, les exploits 0 day. Tongue
En gros, ce sont des failles qui sont découvertes dans des logiciels installés plutôt massivement en général.
Comme elle est neuve, l'éditeur n'a pas encore fait de correctif, et puis il faut que les gens installent les mises à jour sinon ils ont toujours les failles.
https://0day.today pour les curieux  Wink
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
January 07, 2019, 04:18:17 PM
#24
Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé

Perso' il y a longtemps pour mettre un keylogger j'avais utilisé la technique de la clef USB abandonnée Cheesy M'enfin si ton server est connecté à aucune machine, box etc... Logiquement tu devrais être tranquille.

Bah heu connecté a internet quoi. Sacré machine.

Ah oui c'est pour son histoire de VPS, alors effectivement oui à partir du moment que tu es connecté à internet tout est possible si je puis dire.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 07, 2019, 04:10:36 PM
#23
Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé

Perso' il y a longtemps pour mettre un keylogger j'avais utilisé la technique de la clef USB abandonnée Cheesy M'enfin si ton server est connecté à aucune machine, box etc... Logiquement tu devrais être tranquille.

Bah heu connecté a internet quoi. Sacré machine.
hero member
Activity: 1344
Merit: 500
28K=Buy | Wallet=100% BTC
January 07, 2019, 04:10:02 PM
#22
Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé

Perso' il y a longtemps pour mettre un keylogger j'avais utilisé la technique de la clef USB abandonnée Cheesy M'enfin si ton server est connecté à aucune machine, box etc... Logiquement tu devrais être tranquille.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 07, 2019, 03:40:06 PM
#21

Peut tu clarifier ta phrase ? Je comprend rien.
Comment est-ce que ça peut être sécurisé de trouver une clé privée ? Huh


Je dis que c'est beaucoup plus facile de bruteforce un wallet.dat qu'une clé privée.

Si un attaquant a à sa disposition un wallet chiffré, c'est bien plus "facile" de le décrypter (et pas déchiffrer ici, hein saint-loup) que s'il voulait trouver la clé privée connaissant la clé publique.

Autrement dit le chiffrement du wallet n'est que aussi fort que son mot de passe. Ensuite l'algorithme de chiffrement est, de mémoire, moins sécurisant que celui utilisé sur la blockchain. Mais je ne suis plus certain de cette partie là.

sans être HS peut on avoir une idée de comment on pourrait piquer un wallet.dat ?

Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé

Bah en hackant ton serveur...
member
Activity: 420
Merit: 31
January 07, 2019, 03:39:19 PM
#20

Peut tu clarifier ta phrase ? Je comprend rien.
Comment est-ce que ça peut être sécurisé de trouver une clé privée ? Huh


Je dis que c'est beaucoup plus facile de bruteforce un wallet.dat qu'une clé privée.

Si un attaquant a à sa disposition un wallet chiffré, c'est bien plus "facile" de le décrypter (et pas déchiffrer ici, hein saint-loup) que s'il voulait trouver la clé privée connaissant la clé publique.

Autrement dit le chiffrement du wallet n'est que aussi fort que son mot de passe. Ensuite l'algorithme de chiffrement est, de mémoire, moins sécurisant que celui utilisé sur la blockchain. Mais je ne suis plus certain de cette partie là.

sans être HS peut on avoir une idée de comment on pourrait piquer un wallet.dat ?

Concernant le keylogueur idem  comment l'installer sur "mon seveur" si je n'ouvre pas de navigateur web ou de messagerie...
Comment cela peut arriver en gros et si cela est deja arrivé
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 07, 2019, 02:24:22 PM
#19

Peut tu clarifier ta phrase ? Je comprend rien.
Comment est-ce que ça peut être sécurisé de trouver une clé privée ? Huh


Je dis que c'est beaucoup plus facile de bruteforce un wallet.dat qu'une clé privée.

Si un attaquant a à sa disposition un wallet chiffré, c'est bien plus "facile" de le décrypter (et pas déchiffrer ici, hein saint-loup) que s'il voulait trouver la clé privée connaissant la clé publique.

Autrement dit le chiffrement du wallet n'est que aussi fort que son mot de passe. Ensuite l'algorithme de chiffrement est, de mémoire, moins sécurisant que celui utilisé sur la blockchain. Mais je ne suis plus certain de cette partie là.
legendary
Activity: 2464
Merit: 3158
January 07, 2019, 02:21:19 PM
#18
Le chiffrement d'un wallet.dat ou autre n'est généralement largement pas aussi sécurisé que l'est de trouver la clé privée.
Peut tu clarifier ta phrase ? Je comprend rien.
Comment est-ce que ça peut être sécurisé de trouver une clé privée ? Huh

D'où l'intérêt de la connexion ssh et pas physique Smiley
Je crois qu'il est bien moins simple d'intercepter ce genre de signal que celui (physique) d'un clavier connecté.

Suffit que ton process de keylogger pipe stdin dans un fichier.
Password, ou pas, physique, ou distant, osef.
Ton standard input reste le même que tu sois co par ssh ou non.
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
January 07, 2019, 01:26:40 PM
#17
Mais au pire du pire si on accéde à mon wallet, vu qu'il est crypté le hackeur pourra faire quoi ?

Le plus dur dans cette histoire c'est de ne pas avoir d'interface en fait donc ne pas connaitre le degrés de sécurité du serveur
Quels sont les scénarios qui pourraient ce produire ?

Pour qu'il puisse staker (a moins que ça aie changé) il faut que ton wallet, si il est chiffré, soit dévérouillé pour permettre le staking.
Donc si une personne malveillante se connecte à cette machine, elle pourra s'envoyer les coins sur une addresse qui lui appartient.
Oui et non. La plupart des wallets proposent une fonction qui unlock uniquement le staking, sans permettre de transférer des fonds.

Autrement, si ton fichier est chiffré, et que la personne se connecte, comme ça elle ne pourra rien faire.
Mais c'est dans le cas où tu ne stake pas car ton wallet est pas dévérouillé. Si elle récupere le wallet.dat, elle pourra rien faire.

Encore une fois tu as raison, mais c'est à nuancer. Le chiffrement d'un wallet.dat ou autre n'est généralement largement pas aussi sécurisé que l'est de trouver la clé privée.
Il est important d'utiliser une passphrase complexe et aléatoire.

Par contre, si j'étais malveillant et avec un tel accès à disposition, je mettrais en place un mécanisme de keylogger pour récup la passphrase.
Donc ne pas se fier uniquement à ça.

D'où l'intérêt de la connexion ssh et pas physique Smiley
Je crois qu'il est bien moins simple d'intercepter ce genre de signal que celui (physique) d'un clavier connecté.

Garde a l'esprit que la robustesse globale d'un système de sécurité est égal à la robustesse de son maillon le plus faible.
Tu peux mettre une porte blindée, mais si les charnières sont encastrées dans du placo, ta porte sert à rien.

Toutafé
legendary
Activity: 2464
Merit: 3158
January 05, 2019, 09:53:08 AM
#16
Mais au pire du pire si on accéde à mon wallet, vu qu'il est crypté le hackeur pourra faire quoi ?

Le plus dur dans cette histoire c'est de ne pas avoir d'interface en fait donc ne pas connaitre le degrés de sécurité du serveur
Quels sont les scénarios qui pourraient ce produire ?

Pour qu'il puisse staker (a moins que ça aie changé) il faut que ton wallet, si il est chiffré, soit dévérouillé pour permettre le staking.
Donc si une personne malveillante se connecte à cette machine, elle pourra s'envoyer les coins sur une addresse qui lui appartient.

Autrement, si ton fichier est chiffré, et que la personne se connecte, comme ça elle ne pourra rien faire.
Mais c'est dans le cas où tu ne stake pas car ton wallet est pas dévérouillé. Si elle récupere le wallet.dat, elle pourra rien faire.

Par contre, si j'étais malveillant et avec un tel accès à disposition, je mettrais en place un mécanisme de keylogger pour récup la passphrase.
Donc ne pas se fier uniquement à ça.

Garde a l'esprit que la robustesse globale d'un système de sécurité est égal à la robustesse de son maillon le plus faible.
Tu peux mettre une porte blindée, mais si les charnières sont encastrées dans du placo, ta porte sert à rien.

Hésites pas à me poser tes questions sur Telegram, j'y répondrais quand je peut. Smiley
member
Activity: 420
Merit: 31
January 05, 2019, 04:22:57 AM
#15
Fail2ban, ca te sert a analyser des logs. Donc a priori, ce n'est pas un logiciel de sécurité actif, mais plutot une aide pour interpreter les logs systemes et applicatifs.

Essaie ufw Smiley c'est un firewall simple d'utilisation si tu veux faire de la sécurité et empecher des gens de se co.
Par contre ne transfere tes coins que quand ton setup est sur, et fait toi une sauvegarde du fichier wallet.dat juste au cas ou...
Ce serait con de te couper la main sur le serveur et perdre tes coins car tu peux plus y acceder.

Tu peux aussi essayer de configurer un acces ssh par certificat RSA. Cherches sur Google. Smiley
La, personne peut se connecter a moins d'avoir ta clé privée, que tu es le seul a avoir.

Autrement, pour lancer un programme, tu te met dans son repertoire et tu fait ./
Sinon si il est installé, juste taper le nom du logiciel permet parfois de le lancer.
Tu peux aussi utiliser la touche TAB qui va auto completer les mots que tu tapes avec des machins que ton systeme connait.
(Style si tu as bitcoin-qt d'installé, taper "bitc" va autocompleter avec bitcoin-qt

Pour absolute, faut que tu te mettes dans le repertoire dezippé et que tu fasses
./absoluted & (ca lance le daemon, , en gros le wallet)

Apres tu peux faire

./absolute-cli getinfo

Ca va aller chercher les infos du wallet (blocks.. balance..) et les afficher. Smiley

Si tu cherches a config une MN Absolute, suis le guide present dans le wiki du github. Tu peux prendre le "precompiled binaries", ca t'evitera de les recompiler de ton coté.
Je t'avais filé le lien de ce guide.

Bon courage et bonne chance dans ta découverte !

Merci à tous Smiley

oui je me connecte au serveur en SSH, j'ai modifié le port qui était pré-config,  je passe par Putty...le problème c'est que je n'ai pas la clé privée il ne m'a jamais rien donné.....donc a voir
Fail2ban est actif
Le parefeu OVH est réglé (plus ou moins bien)

pour les daemons je vais me documenter


Mais au pire du pire si on accéde à mon wallet, vu qu'il est crypté le hackeur pourra faire quoi ?

Le plus dur dans cette histoire c'est de ne pas avoir d'interface en fait donc ne pas connaitre le degrés de sécurité du serveur
Quels sont les scénarios qui pourraient ce produire ?
F2b
hero member
Activity: 2135
Merit: 926
January 05, 2019, 02:46:52 AM
#14
Tu peux aussi utiliser la touche TAB qui va auto completer les mots que tu tapes avec des machins que ton systeme connait.
J'approuve  Tongue c'est la touche la plus utile du clavier !

Bravo pour ton passage à Linux. Désolé je n'ai pas beaucoup d'aide à apporter (je suis un peu comme baba, j'ai quelques bases mais ça reste limité) mais votre conversation est très intéressante.
jr. member
Activity: 30
Merit: 2
January 04, 2019, 07:01:06 PM
#13
Fail2ban, ca te sert a analyser des logs. Donc a priori, ce n'est pas un logiciel de sécurité actif, mais plutot une aide pour interpreter les logs systemes et applicatifs.

Essaie ufw Smiley c'est un firewall simple d'utilisation si tu veux faire de la sécurité et empecher des gens de se co.
Par contre ne transfere tes coins que quand ton setup est sur, et fait toi une sauvegarde du fichier wallet.dat juste au cas ou...
Ce serait con de te couper la main sur le serveur et perdre tes coins car tu peux plus y acceder.

Tu peux aussi essayer de configurer un acces ssh par certificat RSA. Cherches sur Google. Smiley
La, personne peut se connecter a moins d'avoir ta clé privée, que tu es le seul a avoir.

Autrement, pour lancer un programme, tu te met dans son repertoire et tu fait ./
Sinon si il est installé, juste taper le nom du logiciel permet parfois de le lancer.
Tu peux aussi utiliser la touche TAB qui va auto completer les mots que tu tapes avec des machins que ton systeme connait.
(Style si tu as bitcoin-qt d'installé, taper "bitc" va autocompleter avec bitcoin-qt

Pour absolute, faut que tu te mettes dans le repertoire dezippé et que tu fasses
./absoluted & (ca lance le daemon, , en gros le wallet)

Apres tu peux faire

./absolute-cli getinfo

Ca va aller chercher les infos du wallet (blocks.. balance..) et les afficher. Smiley

Si tu cherches a config une MN Absolute, suis le guide present dans le wiki du github. Tu peux prendre le "precompiled binaries", ca t'evitera de les recompiler de ton coté.
Je t'avais filé le lien de ce guide.

Bon courage et bonne chance dans ta découverte !
legendary
Activity: 2604
Merit: 2353
January 04, 2019, 06:59:50 PM
#12
En fait t'as jamais utilisé linux ou Unix si je comprends bien. T'es sacrément courageux, respect. Cool
Y'as pas .exe sur linux, il faut que tu regardes les droits et mettes le x correspondant a ton groupe d'utilisateur avec chmod. Pour lancer tu fais ./nomduprogramme si tu as pas ajouté le repertoire au path
member
Activity: 420
Merit: 31
January 04, 2019, 06:26:21 PM
#11
J'avance
j'ai UPload le wallet + dezippé et deplacé dans un repertoire
je fouine mais vu que je n'ai pas la base de la base je ne comprend pas comment on lance le wallet

je suppose que l'un des fichiers est un executable (en ligne de commande je ne vois pas les extensions) et qu'il faut lancer une commande ?
merci














Ps : je ferais un petit tuto une fois que j'aurais tout configuré , si ca peut interesser
legendary
Activity: 2604
Merit: 2353
January 04, 2019, 05:57:42 PM
#10
Tu as choisi quel vps finalement Testeur1450 si c'est pas indiscret?
T'as un desktop ou c'est que de la ligne de commande sur un terminal?

Pas de souci, OVH car Francais et en serveur en France
Pas de desktop car c'est plus cher et je ne les connais pas sur Linux

Ca va être un peu chiant qd je vais gerer un wallet...pas de visu sur mes coins
Justement j'avais vu que pour OVH on pouvait prendre un linux avec desktop (pour le même prix normalement) Kubuntu desktop.
Comme tu dis c'est un peu dommage de devoir se taper du shell même pour utiliser un wallet.  Undecided
Pages:
Jump to: