The Intercepts conseille d'utiliser la méthode Diceware pour générer des passphrases de 7 mots pour tout ce qui doit être déchiffré localement (disque dur chiffré, gpg key, private ssh key, archives chiffrées...).

Pour les login/password de service web, en revanche, générer les passwords avec KeePassX est suffisant à condition d'utiliser une passphrase générée avec la méthode Diceware pour la base de mots de passe

Configuration HAproxy pour bloquer les attaques Slow POST.

frontend my-frontend
    ...
    option http-buffer-request
    timeout http-request 10s

Un service pour partager des mots de passe et informations confidentielles.
Le liens ne peut-être ouvert qu'une fois et peut être protégé lui même par un mot de passe.

Je n'ai pas vérifié à quelle point on peut faire confiance à ce site mais le code est OpenSource : onetimesecret/onetimesecret

Les bonnes pratiques de sécurité pour SSH par Mozilla

Bonnes pratiques de sécurité pour SSH

Lorsque l'on active le ForwardAgent, SSH-agent expose toutes les clés SSH qu'ils connait à l'ensemble des machines auquelles on se connecte, quelqun ayant accès à la socket SSH-agent sur une des machines, pourrait de ce fait utiliser l'ensemble des clé SSH en utilisabt cette socket.

Imil propose une solution assez complexe pour gérer des groupes de clés SSH et n'exposer que les clés SSH du même groupe.

Il mentionne aussi l'option IdentitiesOnly de base dans SSH qui permet de n'exposer que la clé SSH avec laquelle on se connecte. Cette option beaucoup plus simple doit suffire dans 9 cas sur 10.

Pour activer l'authentification Two-Factor sur un serveur Debian:

$ apt-get install libpam-google-authenticator
$ echo "auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nullok" >> /etc/pam.d/sshd
$ echo "ChallengeResponseAuthentication yes" >> /etc/ssh/sshd_config
$ echo "AuthenticationMethods publickey,keyboard-interactive" >> /etc /ssh/sshd_config
$ apt-get install ntp
$ service ssh restart
$ google-authenticator -l 'username@servername'

ATTENTION:

• auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nullokdoit être placé au tout début de /etc/pam.d/sshd
• Si AuthenticationMethods publickey,keyboard-interactive" n'est pas ajouté, il est possible de se connecter au serveur avec le pin uniquement. Cette ligne nécessite d'avoir la clé privée et le pin.
• L'installation de NTP est importante pour avoir a même heure sur le client et le serveur.

EDIT:
Playbook Ansible: twofactorssh.yml

Explication détaillée sur les types d'attaques DDOS et les solutions pour s'en protéger

Un example d'utilisation de Cloudfront + AWS WAF pour se protéger contre le hotlinking (site tierce malveillant utilisant du contenu d'un autre site à ses propres fins)

Un scanner de vulnerabiltés opensource
pour images de container docker

Comment créer un honeypot avec AWS API Gateway et Lambda afin de bloquer avec Cloudfront et WAF les ip des bad bots et content scrappers sur le site réel

Un dashboard Kibana pour analyser les logs Cloudtrails sur AWS

Pour blocker les publicités tout en allégeant la charge induite par tous les addblock like, pensez au fichier hosts qui redirige les sites de pubs vers localhost. Pour ma part je teste https://github.com/StevenBlack/hosts qui permet de générer un fichiers hosts à partir de plusieurs liste connues

"The article" pour comprendre le protocole TLS et les différences entre les algorithmes utilisés

(via https://fralef.me/links/?0y8F_w)