security

bye bye username e password per protocolli antichi

Qualche giorno fa ho ricevuto da Google una email che recitava:

Dal 30 maggio potresti perdere l’accesso alle app che utilizzano una tecnologia di accesso meno sicura

e poi:

Per proteggere meglio il tuo account, Google non supporterà più l’uso di app o dispositivi di terze parti che ti chiedono di accedere all’Account Google utilizzando solo il nome utente e la password. Dovrai invece accedere utilizzando Accedi con Google o altre tecnologie più sicure, ad esempio OAuth 2.0. Scopri di più

Presto getmail sul mio hosting privato non riuscirà più a scaricare le email di GMail e dovrò iniziare a controllare due caselle personali invece che una, oltre le altre aziendali. Di colpo mi sono sentito più vecchio, me lo aspettavo ma non ci pensavo a quando sarebbe arrivato il momento di abituarsi a nuovi metodi di autenticazione che non erano solo nome utente e password… anzi, li ho sempre evitati perché ero abituato così, con password robuste cambiate periodicamente, pensavo bastassero nonostante vedessi autenticazioni federate ed autenticazioni a due fattori nascere e diffondersi tanto da iniziare a diventare necessarie quasi pure per loggarsi sul proprio PC. Ma cosa è davvero più sicuro?

Boh

Uno sguardo veloce a CrowdSec con iptables

Inizio questo 2022 testando CrowdSec in vista di rifare un server importante up da anni ed ormai non più coperto da aggiornamenti LTS. Attualmente ci uso csf/lfd e prima di scegliere se riusarlo nel nuovo volevo provare qualcosa di più fresco, che non fosse fail2ban.

La configurazione in formato yaml è molto intuitiva e semplice, durante l’installazione da repository si autoconfigura in base ai log che trova e funziona out-of-the-box subito, tranne il bouncer che di default non è attivato… motivo per cui scrivo questo post, ovvero appuntarmi che il bouncer va attivato come servizio, sennò non blocca nessuno:

systemctl enable crowdsec-firewall-bouncer

E se durante i test vi fate bloccare bisogna sapere che utilizza ipset (che non conoscevo ancora) e per sbloccarvi dovete lanciare:

ipset del crowdsec-blacklists IP.xxx.yyy.xxx

la cui lista troverete già popolata da un bel po’ di IP mascarati, che non siciliano non vuol dire nattati col masquerade ma bensì poco raccomandabili.

Mi piace il concept implementativo di questa applicazione, anche se out-of-the-box non ha notifiche email per le azioni (anche se ha svariati plugin) ed a differenza di csf non imposta alcuna impalcatura firewall atta a rilevare e bannare i port scanners (che per alcuni server rompono i coglioni più che i brute force login): la policy di firewall dovete integrarla voi.

Non so ancora se userò di nuovo csf o CrowdSec, manca qualche feature a cui ero abituato ma comunque mi sta piacendo, lo seguo e se continuerò a smanettarci scriverò cosa sono riuscito a farci!