n my previous articles we have seen how to build a home router being a VPN gateway based off FreeBSD or OpenBSD. In these cases, we used an external VPN provider to connect to, and route all of our encrypted traffic through it. However, while I received positive feeback, I also had legitimate questions about the trust given to the VPN provider. What if the VPN provider is not honest and is in fact logging despite stating the opposite? What if he is malicious and watch his clients traffic? The VPN provider could also be perfectly honest, but could be breached (OS vulnerability, OpenSSL/Heartbleed, Shellshock, etc...) by attackers then logging clients traffics. Or simply, may be we perfectly trust it, but we just want to be in control of the VPN server itself.
The first release of LibreSSL portable has been released. LibreSSL can be found in the LibreSSL directory of your favorite OpenBSD mirror.
http://ftp.openbsd.org/pub/OpenBSD/LibreSSL has it, and other mirrors will soon.
libressl-2.0.0.tar.gz has been tested to build on various versions of Linux, Solaris, Mac OSX, and FreeBSD.
This is intended as an initial release to allow the community to start using and providing feedback. We will be adding support for other platforms as time and resources permit.
As always, donations (http://www.openbsdfoundation.org/donations.html) are appreciated to assist in our efforts.
Le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL
Petite présentation de ce qu'est une yubikey
Une yubikey est une clé usb qui est un jeton (le mot anglais token est plus joli je trouve) cryptographique. Elle permet de générer un one time password (OTP) et plein d'autres choses, mais je ne l'utilise que pour l'OTP donc je ne parlerai pas du reste. Pour plus d'info, il y a eu une présentation à PSES2011 et il y a plein de sites qui en parlent, je vous laisse chercher.
Mon but est de pouvoir me connecter à mon serveur en ssh à partir d'un pc dont je ne suis pas sûr. Donc impossible d'avoir une paire de clé ni de pouvoir s'assurer l'absence de keylogger. Ce qui est intéressant c'est que comme le nom l'indique, un OTP n'est valable qu'une fois : si on essaie de se connecter avec un OTP déjà utilisé, l'authentification est refusée donc rendant un keylogger inutile.
Mise en place sur OpenBSD
Parfois, avant de me lancer dans de l'adminsys, je me dis "oww sur OpenBSD, je vais galéré" et généralement c'est en fait très simple (une des raisons pour laquelle j'apprécie cet OS).
Pour chaque chose, je donne ce que j'ai fait (de mémoire, c'est pas dit que je n'oublie rien) mais lisez les pages man des différents soft/fichiers de conf qui interviennent, vous apprendrez des choses qui vous seront sans doute utiles.
Doc configuration : DNS FTP MAIL OPENBSD FREEBSD RSYNC SAMBA SQUID APACHE etc