Bloquer le SSH pour les blocs IP à mauvaise réputation

Plusieurs FAI opérant leurs propres AS BGP et leurs propres blocks IP sont peu regardant sur les usages de leurs clients.

Afin de soulager les ressources de votre serveur, en évitant à fail2ban de trop travailler, le plus simple est de bloquer des blocs entiers en entrée sur votre serveur. S'agissant de blocks entiers allant jusqu'au /11, je ne bloque que le port 22 pour empêcher les tentatives de bruteforce en SSH.

Ces blocs sont chinois, ce n'est pas hasard, les équipes abuse ne répondent jamais et ne font jamais rien. Comme il y peu de chances que je me connecte depuis la Chine, ça ne devrait pas trop m'impacter.

https://bgp.he.net/AS4134 61.177.0.0/16 49.64.0.0/11 222.184.0.0/13 218.90.0.0/15 218.92.0.0/15

https://bgp.he.net/AS9808 112.0.0.0/10

https://bgp.he.net/AS4837 112.80.0.0/13

Bannir ces blocs ne devrait pas vous gêner et devrait soulager vos logs et votre CPU.

5 ans de répit

Ce soir, c’est le candidat du centre qui a gagné.
Le fascisme, l’ennemi de toujours a été une nouvelle fois vaincu, malgré ses 21% au premier tour et malgré ses 34% au second tour, il a été vaincu.
Faut-il pour autant se réjouir, ou faut-il se remettre en question pour les 5 ans à venir ?

Lire la suite

Revue du Web - 2017-W17

Chaque semaine, je vais partager des billets de blog intéressants, en rapport avec les sujets que je traite habituellement ici.

Lire la suite

Nous sommes tous des abstensionnistes

Comme à chaque élection, le discours appelant à ne pas s’abstenir ressort. Où l’on explique que le vote est un devoir et que c’est le fondement de la démocratie. Mais pourquoi ce discours ressort seulement tous les 5 ans ? Parce que notre démocratie ne va pas bien.

Lire la suite

Apple est incompétent en HTTPS

Apple joue les innovateurs, souvent même se permet de donner aux leçons aux autres.

Mais dans beaucoup de domaines, Apple est juste incompétent. Volontairement ou par négligence, Apple menace le business model de certaines entreprises et pire, menace le modèle de confiance sur lequel repose HTTPS, c’est à dire l’authentification des sites Web.

Lire la suite

Chistera-pi - un shield LoRa pour Raspberry Pi

La société Snootlab, basée à Toulouse, a lancé cet été un crowdfunding pour développer un shield.
C'est la première fois que je participe à un crowdfunding, et je vient de recevoir le kit Early Bird, correspondant aux premières cartes produites, mais avec des accessoires sommaires. Voici une vue du kit Early bird.

Lire la suite

Bonjour ami de Twitter

Si tu tombes sur cette page, c'est que tu viens de Twitter. Si jamais mon éventuelle non-activité t'inquiète, sache que je suis plus actif ailleurs et notamment ici. N'hésites pas à parcourir ce blog et à me rejoindre sur les réseaux sociaux suivants : Diaspora : solarus@diasp.eu GNU/Status :  […]

Lire la suite

Tester TLS 1.3 avec Firefox

HTTPS n’est qu’un nom générique pour désigner le chiffrement du protocole HTTP grâce à TLS (anciennement SSL). TLS est disponible aujourd’hui en production sous sa version 1.2, mais la nouvelle version du protocole arrive.

Lire la suite

IPv6 et Linux Mint

Si vous utilisez Linux Mint, vous devriez faire attention à un paramètre. Pour une raison étrange, ils ont bidouillé un paramètre de Firefox pour désactiver l’utilisation d’IPv6 par Firefox. Pour corriger cela, ouvrez la page about:blank , cherchez le paramètre network.dns.disableIPv6 et passez le à  […]

Lire la suite

Voyage à Bercy

Jeudi, je reçois un email dans ma boite aux lettres, Madame la Secrétaire d’État au Numérique Axelle Lemaire, vous invite , le lundi suivant, à une réunion concernant vos contributions sur le Projet de Loi Numérique. En effet, deux semaines auparavant, j’avais participé à la contribution officielle  […]

Lire la suite

Chronique CPU : Le temps

Bonjour chers élèves.

Le cours d'aujourd'hui est un peu particulier, puisque nous allons parler d'histoire mais surtout de temps.

Car qui dit passé, présent ou futur, évoque une notion de temps. Hors qu'est-ce le temps ? Et bien sachez qu'il est très difficile de définir le temps par autre chose que par lui-même. Vous pouvez essayez de le définir comme un l'intervalle entre deux événements ou n'importe qu'elle autre analogie, vous finirez toujours par utiliser des notions de temps, on parle alors de "tautologie" (qui n'est pas la science des blagues de Toto). Tout comme Dieu est un dieu, le temps est le temps. Quel que soit le langage que vous utilisiez, vous définirez toujours le temps par lui-même.

Lire la suite

Conférence : La Neutralité du Net

Il y a quelques temps on m'a demandé de donner une conférence à propos de la Neutralité du Net.
Vous trouverez en lien, le fichier Open Document et le PDF de cette conférence.
Ce document est mis à disposition selon la licence CC-0 afin d'être ajoutée au domaine public volontaire.
Vous pouvez selon cette licence, le télécharger, le copier, le redistribuer, le modifier librement.
Aussi si vous améliorez ce document, je vous serais très reconnaissant de le republier sous cette même licence et de m'en avertir, afin qu'un maximum de personnes puissent en profiter.

D'autres présentations de conférences paraîtront également sur mon blog au fur et à mesure.
Restez branchés et abonnez vous à mon fil RSS pour être au courant des nouveaux articles.

Lire la suite

La SNCF a un train de retard

Mon grand père m'a toujours dit : "Quand on est pas content de quelque chose il faut le faire soi-même. C'est l'histoire originelle de Raildar.fr, petit site imaginé et développé par Turblog. Le principe est simple, assembler les données en temps réel d'Infolignes pour en faire une carte.

Lire la suite

Utiliser le chat Facebook sans Facebook Messenger

Depuis quelques mois déjà, le réseau social Facebook a décidé de rendre obligatoire l'utilisation de son application Messenger pour chatter depuis les mobiles Android et iOS. Cette décision est très critiquée par les utilisateurs, notamment à cause du nombre étrange de permissions demandées par l'application, il suffit de lire les avis sur le Play Store. playstore-fbmessenger.png

Lire la suite

Debian retire CACert de sa base de certificats

CACert est une autorité de certification (AC ou CA en anglais) chargée de délivrer des certificats "SSL" ou plus exactement X.509. L'utilisation la plus répandue de ces certificats est l'authentification et le chiffrement HTTPS. CACert est unique en son genre car c'est la seule autorité de  […]

Lire la suite

Haut de page