devoxx-2018.slides.html

<!DOCTYPE html>
<html>
  <head>
    <title>Title</title>
    <meta charset="utf-8">
    <style>
      @import url(https://fonts.googleapis.com/css?family=Yanone+Kaffeesatz);
      @import url(https://fonts.googleapis.com/css?family=Droid+Serif:400,700,400italic);
      @import url(https://fonts.googleapis.com/css?family=Ubuntu+Mono:400,700,400italic);

      body { font-family: 'Droid Serif'; }
      h1, h2, h3 {
        font-family: 'Yanone Kaffeesatz';
        font-weight: normal;
      }
      .remark-code, .remark-inline-code { font-size:110%; font-family:Courier; background-color: #FFFFE0}
      .big-list { font-size:200%; }
      .bigger-list { font-size: 280%; }
      .timer { text-align:right; font-style: italic; font-size: 200%; height: 50px; }
      .upper-right-corner {  text-align:right; }
      .console { font-family:Courier;
                 color: #CCCCCC;
                 background: #000000;
                 border: 3px double #CCCCCC;
                 padding: 10px;
      }
      .source-code {
          font-family: Courier;
          color: black;
          background: #ffffcc;
          border: 1px black;
      }
      .aller-plus-loin {
          background: #EAEDED;
          border: 2px solid black;
          padding: 15px;
      }
      .aller-plus-loin-titre {
          font-weight : bold;
      }
    </style>
  </head>
  <body>
    <textarea id="source">

class: center, middle

## La Barbe dans le cambouis
# Sécurisons une bonne vieille application Java "Entreprise"

`François Le Droff` - un des plombiers derrière `adobe.io`

`Romain Pelisse` - corrige des bogues sur les APIs de nos grand parents pour `Red Hat`

---
# Checklist

* Présentation du Hands On
* Sondage
* Qui êtes vous?
* Vous êtes des failles potentielles! Comme nous :)

---

# Agenda


* Prérequis
* lab1 - notre application ("build and deploy")
* lab2 - mise en place d'une solution d'identity
* lab3 - mise en place de Swagger
* lab4 - mise en place d'un reverse-proxy filtrant
* lab5 - mise en place du chiffrement SSL
* lab6 - intégration avec Sprint Security
* lab6b - jouons avec oAuth, identification avec Github
* lab7 - base de données - chiffrement et connexion sécurisée
* lab8 - protéger le système de l'application avec le Security Manager et SELinux
* lab9 - intégrité du fichier du contenu du fichier de journalisation

---
# Prérequis

* Systèmes d'exploitation:
  * Linux: bien sûr, désactiver `SELinux`
  * MacOS: Démerdez vous, payez vos impôts, bande d'hipsters
  * Windows: Merci d'installer un vrai OS
    * ou a minima faites en sorte d'avoir un `bash (unix shell)` à disposition

* Outillage:
  * Installez Java - JDK 8 (nous avons testé le lab avec la version `1.8.0_162-b12` et `openjdk version "1.8.0_161`)
  * Venez avec votre IDE/`vi` préféré, peu nous importe ;)
  * Installez Maven (nous avons testé le lab avec `Apache Maven 3.3.9` et `Apache Maven 3.5.0 (Red Hat 3.5.0-6)`)
  * Installez docker (nous avons testé la version `18.04.0-ce-rc2` et `1.13.1, build caba767-unsupported`)
  * Installez docker-compose (nous avons testé la version `1.20.1` et `1.17.1, build 6d101fb`)
  * Installez OpenSSL (nous avons testé avec `OpenSSL 1.0.1p 9 Jul 2015` et `1.1.0g-fips @ Nov 2017`)

---

# Prérequis

Pour plus de comfort durant le lab et ne pas souffir des aléas du réseau du palais des congrès, lancer les commandes suivantes à l'avance:

  * Clonez notre repo git
    * `git clone https://github.com/francoisledroff/la_barbe_dans_le_cambouis.git`
    * `cd la_barbe_dans_le_cambouis`
  * Un peu de Docker ensuite:
    * `docker-compose -f src/main/docker/keycloak.yml up`
    * `src/main/docker/build-docker-image.sh`
    * `docker build -t mongo src/main/docker/mongo/`
  * et enfin construisez notre bonne vieille application Java (et télecharger internet pour satisfaire maven)
    * `mvnw clean install`

---

# Une bonne vielle application Java...

.center[!["Cool" App](img/vt100.jpg)]

---
<div class="upper-right-corner"><img src="img/spring-boot.png" height="50px"/></div>

# Spring Boot

Spring Boot permet de créer facilement des applications Spring avec `peu` de configuration.

Fonctionalités:
* Crée des applications Spring autonomes
* Intégre directement Tomcat, Jetty ou Undertow (pas besoin de déployer des fichiers WAR)
* Fournit des POM «starter» orientées pour simplifier votre configuration Maven
* Aucune génération de code et aucune exigence pour la configuration XML

<center><a href=">https://projects.spring.io/spring-boot/">https://projects.spring.io/spring-boot/</a></center>

---

# Lab1 - Construire et démarrer le micro -service
<div class="timer">15' <img src="img/chronometer.png" height="50px"/></div>
<pre class="console">
$ git check-out lab1
$ 'cd' into 'danslecambouis'
$ mvnw compile (erreur)
</pre>

* implémenter le corps de la méthode 'ping' puis exécuter et tester le service

<pre class="console">
$ mvn spring-boot:run
$ curl http://localhost:9080/ping
</pre>
---
# Lab1 - Construire et démarrer le micro -service

<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>Modifier '/ping' pour accepter un paramètre (hostname)</li>
  <li>et exécuter un 'ping' (OS) sur le nom de domaine fourni en argument</li>
  <li>et retourner le temps de réponse du premier ping ("[hostname]: 20ms").</li>
</ul>
</div>
---
# La sécurité commence par ...

.center[![Spring Security Logo](img/password.jpg)]

---


<div class="upper-right-corner"><img src="img/keycloak.png" height="80px"/></div>

# Keycloak

Solution Open Source (RedHat) de gestion de l'identité et d'accès:
 plus besoin de gérer le stockage des utilisateurs ou l'authentification des utilisateurs.

* SSO: Connectez-vous une fois pour plusieurs applications
* Protocoles standards: OpenID Connect, OAuth 2.0 et SAML 2.0
* LDAP et Active Directory: connectez-vous aux répertoires d'utilisateurs existants
* Connexion sociale
* Clustering
* Thèmes: personnalisez l'aspect et la convivialité
* Extensible: codez !
* Mot de passe:personnalisez les règles de mot de passe

<center><a href="https://www.keycloak.org/">https://www.keycloak.org/</a></center>

---

# Lab2 - Démarrer Keycloak
<div class="timer">20' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab2`
* Démarrer l'instance Keycloak:
<pre class="console">
docker-compose -f src/main/docker/keycloak.yml up
</pre>
* vérifier en vous connectant sur http://locahost:8080
* identificant de connexion `admin/admin`


---
# Lab2 - Définir de notre royaume de sécurité

.center[!["Cool" App](img/barbus-realm.png)]

<center><a href="https://developers.redhat.com/blog/2017/05/25/easily-secure-your-spring-boot-applications-with-keycloak/">Pour plus de détails suivre ce billet de Red Hat </a></center>

---
# Lab2 - Mettre en place l'authentification à l'aide Keycloak

* modifier la configuration fournie dans `application.properties` pour qu'elle fonctionne avec votre instance keycloak
* vérifier que l'accès au service /account requiert une authentification et que /ping reste accessible


<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>Incident: un utilisateur a été compromis: regardez avec Keycloak comment le déconnecter</li>
</ul>
</div>

---
# Lab3 - Swagger
<div class="timer">10' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab3`
* cette branche met en place une documentation en ligne pour notre API Rest avec <a href="https://springframework.guru/spring-boot-restful-api-documentation-with-swagger-2/">Swagger</a>
* Tester l'accès et le bon fonctionnement à la documentation: `/swagger-ui.html`
* Ajouter un role `api-doc` dans Keycloak pour limiter l'accès à `swagger`


---
# Lab4 - Mise en place d'un serveur inverse filtrant avec Nginx
<div class="timer">25' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab4`
* Prérequis: Construisez le container nginx :
<pre class="console">./src/main/docker/build-docker-image.sh</pre>
* Démarrer l'instance nginx:
<pre class="console">$ docker-compose -f src/main/docker/nginx.yml up</pre>
* Modifier la configuration fournie pour rediriger les requêtes vers votre service
(placer votre configuration dans `src/main/docker/nginx-config/basic-rp/` qui sera monté `/etc/nginx.conf.d/`)

---
# Lab4 - Mise en place d'un serveur inverse filtrant avec Nginx

* Tester avec curl `http://localhost/ping`
* Ajouter une redirection pour aussi "masquer" keycloak derrière ce proxy
* Modifier en conséquence la configuration de votre service et celle de Keycloak
* Interdir les requêtes `POST`, `DELETE`, `HEAD` et `PUT` en direction de `/ping`
* Configurer nginx pour nettoyer les requêtes vers `/ping` en retirant tout paramètres

<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>Limiter les requêtes vers Swagger au strict minimum requis:</li>
  <li>n'autoriser requêtes vers `/swagger-ui*` à part `/swagger-ui.html`, n'autoriser que les `GET`, retirer les arguments des requêtes...</li>
</ul>
</div>

---
# Lab5 - Mise en place du chiffrement SSL devant /ping et swagger
<div class="timer">20' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab5`
* regardez la configuration fournie `src/main/docker/nginx-config/conf.d/nginx.ssl.conf`
* générer les certificats nécessaires et ajoutez le volume associé dans `src/main/docker/nginx.yml`
* tester que SSL fonctionne (`https://localhost/`)
* tester que `/ping` and `/account` sont toujours accessible via https


* Documentation pour la <a href=" https://www.digitalocean.com/community/tutorials/how-to-create-a-self-signed-ssl-certificate-for-nginx-on-centos-7">génération des certificats et clés nécessaires</a>

<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>Incident: la clef privé a été compromise: révoquez le certificat
    et déployez un nouveau certificat.
</li>
</ul>
</div>

---
# Pause
<div class="timer">10' <img src="img/chronometer.png" height="50px"/></div>

(ou continuer à geeker, bande de nerds)

---
# Lab6 - Intégration avec Spring Security
<div class="timer">15' <img src="img/chronometer.png" height="50px"/></div>

* Frameworking your way out of security...

.center[![Spring Security Logo](img/spring-security.logo.png)]

* (... because we can't `gradle` the shit out of it)

---
# Lab6 - Mise en place de Spring Security

* `git checkout lab6`
* regarder le fichier `README.md` à la racine de `danslecambouis`
* finir la configuration de springboot
* Tester et vérifier que l'intégration avec Keycloak fonctionne toujours sans encombre
* Sécuriser `/account/me`

* Ref: <a href="https://developers.redhat.com/blog/2017/05/25/easily-secure-your-spring-boot-applications-with-keycloak/">Spring Boot with Keycloak</a>

---
# Lab6 - CSRF et Cache control

* Vérifier le bon fonctionnement de l'API `/stuff`
* Regardez la documentation détaillant la protection contre le <a href="https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html">CSRF</a> et la <a href="https://docs.spring.io/spring-security/site/docs/current/reference/html/headers.html#headers-cache-control">gestion du cache</a> à l'aide de Spring Security
* Jouez avec les requêtes `curl` suivantes:
<pre class="console">
$ curl -v http://localhost:9091/stuff
$ curl -v -H "Content-Type: application/json" \
       -X POST -d '{"title":"un titre","text":"du texte"}' \
       http://localhost:9091/stuff
$ curl -v -H "Content-Type: application/json" \
       -X DELETE \
       -d '{"title":"un titre","text":"du texte"}' \
       http://localhost:9091/stuff
</pre>
* Vérifiez que les messages de retour sont cohérents avec les attentes
<pre class="console">
{"timestamp":1523630530507,"status":403,
"error":"Forbidden", "message":"Could not
verify the provided CSRF token because your
session was not found.","path":"/stuff"}
</pre>


---
# Lab6 - CSRF et Cache control

* Vérifiez la présence des entêtes de sécurité ajoutées par Spring Security:

<pre class="console">
Cache-Control: no-cache, no-store,
    max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security:
    max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
</pre>

---
# Lab6b - Loggez vous avec Github

<div class="timer">15' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab6b`
* Nous allons passer de KeyCloak à Github et utiliser GitHub en tant que fournisseur d'identité.
* Nous allons nous appuyer sur la norme ouverte pour l'autorisation appelée oAuth2
  * [What the Heck is oAuth ?](https://developer.okta.com/blog/2017/06/21/what-the-heck-is-oauth)
*  Créez une application OAuth sur Github
  * lisez cette doc https://developer.github.com/apps/building-oauth-apps/authorization-options-for-oauth-apps/#web-application-flow
* Renseignez vos github `clientId` et `clientSecret` dans le fichier de configuration Spring
* Testez l'application avec votre navigateur: `http://localhost:9091`

---
# Lab6b - oAuth et REST

Essayez de jouer avec notre API avec `curl`

<pre class="console">

curl -v http://localhost:9091/stuff

curl -v -H "Content-Type: application/json" --cookie "JSESSIONID=2E805872082A7B62043F3FEB3782FD58" -X POST -d '{"title":"un titre","text":"du texte"}' http://localhost:9091/stuff
</pre>

* pas très REST ?
* et oAuth ?

---
# Lab7 - Base de données
<div class="timer">20' <img src="img/chronometer.png" height="50px"/></div>

* `git checkout lab7`
* on amis en place MongoDB pour vous
* à vous de rajouter une connexion sécurisée (SSL)


Quelques pointeurs:
* http://mongodb.github.io/mongo-java-driver/3.0/driver/reference/connecting/ssl/?_ga=1.122423051.1001600813.1475930911
* https://docs.mongodb.com/manual/tutorial/configure-x509-client-authentication/
* http://mongodb.github.io/mongo-java-driver/3.0/driver/reference/connecting/ssl/?_ga=1.122423051.1001600813.1475930911

<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>chifrer les données dans mongoDB
</li>
</ul>
</div>

---

# Lab8 - Le "Security Manager" (par configuration)

.center[![Java Security Manager Architecture](img/security-manager.png)]

---
# Lab8 - Le "Security Manager" (par configuration)
<div class="timer">25' <img src="img/chronometer.png" height="50px"/></div>


* Démarrez votre service en activant le système manager (sans configuration, "deny all")
<pre class="console"> $ java ... \
    -Djava.security.manager \
    -Djava.security.policy=file:///no.policy
</pre>
* Note: si le fichier `no.policy` n'existe pas (ou est vide), aucune autorisation donnée à l'applicatif!!!

---
# Lab8 - Le "Security Manager" (par configuration)

* Avec Spring Boot:
.center[![Java Security Manager + Spring Boot](img/springboot-with-secman.png)]

---
# Lab8 - Le "Security Manager" (par configuration)

* Modifiez la configuration suivante pour permettre le démarrage du service avec le "security manager"
<pre class="console">
<code>grant {
&nbsp;&nbsp;&nbsp;permission java.util.PropertyPermission  "*", "read, write";
&nbsp;&nbsp;&nbsp;permission java.util.PropertyPermission "java.awt.headless", "read";
&nbsp;&nbsp;&nbsp;permission java.io.FilePermission
&nbsp;&nbsp;&nbsp;&nbsp;"[path-to]/devoxx-france-lab-2018.git/danslecambouis", "read";
&nbsp;&nbsp;&nbsp;permission java.lang.reflect.ReflectPermission "*";
};</code></pre>

---
# Lab8 - Le "Security Manager" (version programmatique)

* Un début de solution ici: <a href="http://blog.sevagas.com/?Enable-securitymanager-for-Spring-and-Hibernate">beaucoup de boulot</a>.
* Faisons autrement... Créons notre propre "SecurityManager"!
<pre class="source-code">
<code>public class PingSecurityManager extends SecurityManager {...}</code></pre>
* Et injectez le dans votre application:
<pre class="source-code">
<code>if ( System.getSecurityManager() == null )
&nbsp;&nbsp;&nbsp;&nbsp;System.setSecurityManager(new PingSecurityManager());</code></pre>
* Surchargez les méthodes `checkPermission` (laissez la vide) pour autoriser l'app a accéder aux propriétés
* Surchargez la méthode `checkAccept` pour autoriser le démarrage du serveur

---
# Lab8 - Le "Security Manager" (version programmatique)

* Ajoutez les méthodes nécessaires pour autoriser l'accès à la base de données


<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>implémentez <span class="source-code">checkPermission</span> de manière à n'autoriser que les accès aux propriétés nécessaires
</li>
</ul>
</div>

---
# Lab8 - SELinux

* SELinux en quelques mots... (<a href="https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index">Docs</a>)
.center[![](img/selinux-arch.png)]

* Tutorial SELinux (<a href="https://www.digitalocean.com/community/tutorials/an-introduction-to-selinux-on-centos-7-part-1-basic-concepts">Part 1</a> et <a href="https://www.digitalocean.com/community/tutorials/an-introduction-to-selinux-on-centos-7-part-2-files-and-processes">Part 2</a>)

* Objectif: Créez un utilisateur `pingservice` appartenant au group `microservices`
confiner à `/ping` (volume monté, mappé sur la racine du projet)

---
# Lab8 -  SELinux

* Installez les dépendances nécessaires à SELinux (RHEL/Fedora)
<pre class="console">$ dnf install -y policycoreutils \
	policycoreutils-python selinux-policy \
    selinux-policy-targeted libselinux-utils\
	setroubleshoot-server setools setools-console \
	mcstrans java-1.8.0-openjdk-devel</pre>
* Créez un group et un utilisateur pour exécuter le service:
<pre class="console">$ sudo groupadd -g 666 microservices
$ sudo useradd -M -u 111 -g 666 -d /ping \
	-s /bin/bash  pingservice</pre>
* Modifiez l'utilisateur pour l'associer au service pour SELinux:
<pre class="console">$ semanage login -a -s user_u pingservice</pre>
---
# Lab8 - SELinux

* Vérifiez que l'association a été crée:
<pre class="console">$ sudo semanage login -l
Login Name           SELinux User         MLS/MCS Range
__default__          unconfined_u         s0-s0:c0.c1023
pingservice          user_u               s0
root                 unconfined_u         s0-s0:c0.c1023</pre>
* Créez un répertoire /ping et déployez dedans le service ping:
<pre class="console">$ sudo mkdir /ping
cp -Rv danslecambouis/ /ping/
cp -Rv ~/.m2/ /ping/.m2/</pre>
* Transférez le répertoire à l'utilisateur pingservice:
<pre class="console">$ sudo chown -R pingservice:microservices /ping/</pre>

---
# Lab8 - SELinux

* (Re)activez SELinux:
<pre class="console">$ sudo setenforce 1
$ getenforce
Enforcing</pre>
* Démarrez le service avec l'utilisateur pingservice et vérifier que /ping est accessible:
<pre class="console">$ sudo su - pingservice
$ cd /ping/danslecambouis/
$ ./mvnw spring-boot:run</pre>
* Modifiez le service `/ping` pour que chaque accès à ce denier soit journaliser dans le fichier `/var/log/ping.log`
* Redémarrez le service et vérifiez que le service ne peut écrire dans le fichier `/var/log/ping.log`

---
# Lab8 - SELinux

<div class="aller-plus-loin">
<span class="aller-plus-loin-titre">Pour aller plus loin...</span>
<ul>
  <li>Adapter la configuration SELinux pour autoriser l'accès, en écriture, au fichier de journalisation</li>
</ul>

---
# Lab9 - Boss de fin de nivaeau: DevSec...

<div class="timer">30' <img src="img/chronometer.png" height="50px"/></div>

* Implémenter un fichier de journalisation qui loggue chaque appel à `/ping`
* Adaptez la configuration du `SecurityManager` et de `SELinux` pour autoriser l'accès en écriture au fichier de journalisation `/var/log/microservice/ping.log`
* Potentiellement, une attaque peut changer le contenu du fichier de journalisation - sans que `SELinux` et le `Security Manager` n'interviennent...
* Concevez et implémenter un mécanisme pour assurer que le contenu du fichier ne puisse pas être compromis

---
# Conclusion

* On a fini
* on espère que vous aussi
* et que ça vous a plu !
    </textarea>
    <script src="https://remarkjs.com/downloads/remark-latest.min.js">
    </script>
    <script>
      var slideshow = remark.create();
    </script>
  </body>
</html>