FRsAG September 2018

frsag@frsag.org

14 participants
12 discussions

by Olivier Calzi

Hello la liste, Je lance une bouteille à la mer après avoir fait quelques recherches (quand même...). Problématique : Gestion des mots de passe en équipe, sujet vaste et compliquée. Lien web,rdp etc vers machine,firewall,ssh en prod chez client, etc... On se demande si y'as pas moyen de faire sa plus intelligemment... Pour les accès SSH, la question ne se posent pas car nous souhaitons fonctionne avec le combo clés ssh + sudo. Mais pour le reste.... En bref, comment vous faites ? Merci et bon week-end. Olivier Calzi

3 years, 9 months

trousse de secours pour datacenter

by H Kif

bonjour la liste, Nous souhaiterions dans une équipe d'exploitation d'un datacenter mettre en place une "trousse de secours". L'idée est qu'en cas de grosse panne (typiquement un arrêt électrique brutal) avoir sur place tout le matériel soft et hard nécessaire aux équipes pour redémarrer, diagnostiquer et réparer si besoin l'infrastructure. Voici les premières idées que j'ai et je serais intéressé par vos retours d'expériences. Merci par avance et bonne journée Vincent Mobilier: chaises pliantes table clé passe partout baies carnet téléphonique contact technique et support ecran/clavier sur roulette (type http://www.ergotron.com/ProductsDetails/tabid/65/PRDID/320/language/fr-FR/D… ) kvm usb laptop (type http://www.startech.com/Server-Management/KVM-Switches/Portable-USB-PS-2-KV… ) ralonge electrique + multiprise tournevis procédure de redémarage des serveurs HardWare: clé usb chargeur laptop HP chargeur téléphone adapateur usb -> série cable console modem 4g ( passerelle 4g wifi ) http://abonnez-vous.orange.fr/residentiel/equipements/domino-3G-E5220.aspx SoftWare (+version): client ssh serveur tftp soft communication série minicom java 6 et 7

4 years

CMP ou un autre outil magique ?

by Jean-Yves LENHOF

Salut ter tous (ch'est comme cha qu'ein dit ds ch'nord pour dire Bonjour), J'ai un besoin depuis quelques temps qui me tarabusque mais auquel j'ai du mal à trouver la réponse adéquate aussi je me permets de vous solliciter pour avoir vos avis éclairés : - outil en mode caisse à outils où en quelques clicks tu indiques des questions à laquelle le client doit répondre par des cases à remplir, des cases à cocher ou des listes déroulantes et que ça lance l'installation de serveurs derrière avec des middlewares ou des applicatifs prêt à être consommés J'ai pensé à developper un tel outil avec le dernier framework à la mode, mais j'espère qu'un outil existe pour m'éviter une grosse partie du travail. En recherchant un peu je suis tombé sur le mot clé magique CMP pour Cloud Management Platform Donc en cherchant un peu j'ai établi une liste d'outils : Vra (https://www.vmware.com/products/vrealize-automation.html) vCommander Hybrid Cloud Management platform (https://www.embotics.com/hybrid-cloud-management-platform) CloudBolt (https://www.cloudbolt.io/platform/) OneOps (http://oneops.com/overview/about.html) Cloudstack (https://cloudstack.apache.org/) Manageiq/CloudForms (http://manageiq.org) En regardant un peu les descriptifs de ces outils (j'en ai pas vraiment testé pour le moment), j'ai l'impression qu'ils promettent tous ça et plus... avec des aspects cycles de vie, gestion financières, utilisation réelles, etc... mais par contre du coup ces outils nécessitent tous ou presque d'être directement connectés à l'hyperviseur directement capable de produire le serveur... Et là c'est le hic...comme rien n'est jamais simple et que les clients semblent se dire que construire un serveur ça ne rapporte rien, cette partie a été externalisée à une société de service... Cette société devrait à terme nous fournir une interface basée sur AWX (Open Source d'Ansible Tower) pour la partie construction de serveur. J'interviens après cette partie et je dois greffer la partie installation des applis actuellement fait via des playbooks ansible... Si quelqu'un peut éclairer ma lanterne sur les fonctions et cadres d'utilisations des différents outils cités me permettant d'avancer... ou s'il n'y a pas d'outil magique, n'hésitez pas à commenter Cdlt, JYL

4 years, 3 months

Base de données de LEGRAND compromise.

by Vincent Duvernet

Glop, glop, Le truc à la mode en ce moment, c'est de recevoir par mail un message donnant son mot de passe associé à son mail et demandant une rançon à coups de BITCOINS. Sauf que, lorsqu'on utilise qu'un mot de passe par site, et bien, on retrouve vite le site en question. Donc, ce mot de passe pour accéder au portail de LEGRAND (datant de 2012) vient de m'être mailé. Je vais tenter de les contacter à ce sujet. Ceci-dit, j'ai reçu plusieurs mail du même type sur d'autres comptes. Vague d'exploitation massive de faille ? Vincent

4 years, 5 months

Apéro Lyonnais : lundi 01 octobre 2018

by cam.lafit＠azerttyu.net

Bonjour tout le monde Pour information le prochain apéro lyonnais et ses environs se fera à : Le Gnome & Rhône Café 157 avenue Maréchal de Saxe Lyon Métro Saxe Gambetta Lundi 1 octobre 2018 dès 19h. Remarque, pour les prochains apéros, on cherche toujours un nouveau lieu propice pour faire des présentations. N'hésitez pas à proposer vos pistes. Et toujours sur : http://www.agendadulibre.org/tags/araas https://www.meetup.com/fr-FR/Auvergne-Rhone-Alpes-Apero-Admin-Sys/ Km

4 years, 5 months

[TECH] Tests TLS 1.3 (version finale RFC 8446)

by Jean-Francois Billaud

Tests TLS 1.3 (version finale RFC 8446) --------------------------------------- TROLON;PALU sommaire : La version 1.3 finale de TLS (RFC 8446) a été publiée le 13 août 2018 ; on a de la documentation, des bibliothèques pour tester et une vague idée de la manière de configurer les serveurs. Version 2018-09-24 Conditions opératoires : Debian 8, 9, 10 avec des bouts de testing et de instable dedans, Slackware current, Saccharomyces cerevisiae. Documentation ------------- Le RFC 8446 (The Transport Layer Security (TLS) Protocol Version 1.3) : https://www.rfc-editor.org/rfc/rfc8446.txt Un article de Eric Rescorla (alias EKR), l'auteur du RFC : TLS 1.3 Published: in Firefox Today https://blog.mozilla.org/security/2018/08/13/tls-1-3-published-in-firefox-t… (avec le joli logo) Les commentaires de Stéphane Bortzmeyer : http://www.bortzmeyer.org/8446.html En complément pour les autres versions de TLS : RFC 8447 (IANA Registry Updates for TLS and DTLS) précisant les chiffrements (section 8) et groupes (section 9) recommandés : https://www.rfc-editor.org/rfc/rfc8447.txt RFC 8422 (Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier) avec des précisions sur ECDH(E) RSA ECDSA EdDSA : https://www.rfc-editor.org/rfc/rfc8422.txt Sur l'abandon de TLS 1.0 et 1.1 (Deprecating TLSv1.0 and TLSv1.1 - draft-ietf-tls-oldversions-deprecate : https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00 Voir https://www.ietf.org/mail-archive/web/tls/current/maillist.html pour les avis. Les bibliothèques et autres logiciels ------------------------------------- Trois bibliothèques classiques : openssl https://www.openssl.org/ openssl 1.1.1 (LTS) incluant TLS 1.3 final disponible depuis le 11/9/2018 : https://www.openssl.org/blog/blog/2018/09/11/release111/ Si l'ordre par défaut ne vous plaît pas, ou si voulez rajouter les suites CCM, il faut éditer openssl-1.1.1/include/openssl/ssl.h lignes 176 et suivantes. gnutls https://gnutls.org/ Les versions stables et previous ne parlent pas le TLSv1.3, il faut utiliser la version next branch 3.6.3 : https://www.gnupg.org/ftp/gcrypt/gnutls/v3.6/gnutls-3.6.3.tar.xz NSS https://developer.mozilla.org/fr/docs/NSS version 3.39 https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.39_rele… https://ftp.mozilla.org/pub/security/nss/releases/NSS_3_39_RTM/src/ Serveurs HTTPS -------------- Nginx https://nginx.org/ https://nginx.org/en/download.html version 1.15.3 (mainline, pas stable) avec openssl 1.1.1 A partir des sources (à adapter) : ./configure --with-http_ssl_module --with-http_v2_module \ --with-http_stub_status_module --with-http_gzip_static_module \ --with-http_geoip_module --prefix=/usr/local/nginx \ --add-module=../ngx-fancyindex --with-openssl-opt=no-shared \ --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module \ --add-dynamic-module=/usr/src/nginx-ct-master/ \ --with-openssl=/usr/src/openssl-1.1.1 nginx.conf : ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA; Il manque juste la configuration spécifique des suites TLS 1.3. Ça a l'air stable et utilisable (sous réserve de tests adaptés à la situation) Apache https://github.com/apache/httpd version 2.5.x (dev) avec openssl 1.1.1, pas envisageable en production Pas facile à installer si openssl 1.1.1 n'est pas installé par défaut On y arrive quand même : [02/Sep/2018:08:11:25 +0000] 192.168.1.253 TLSv1.3 TLS_AES_256_GCM_SHA384 "GET /image.php HTTP/1.1" 353 openssls s_server openssl-1.1.1 utilisable pour des tests ./openssl s_server -accept 443 -www -status -serverpref \ -key privkey13.pem -cert cert13.pem -chainCAfile fullchain13.pem \ -CAfile DST_Root_CA_X3.pem -dhparam dh4096.pem \ -curves X448:X25519:P-521:P-384:P-256 \ -cipher TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256 Clients HTTPS ------------- openssls s_client openssl-1.1.1 utilisable pour des tests openssl s_client -connect monserveur:443 -curves X25519 -ciphersuites TLS_CHACHA20_POLY1305_SHA256 SSL-Session: Protocol : TLSv1.3 Cipher : TLS_CHACHA20_POLY1305_SHA256 nss version 3.39 ou suivante ./nss/dist/Debug/bin/tstclnt -h monserveur -p 443 -b -v -V tls1.3: LD_LIBRARY_PATH=/usr/src/nss/dist/Debug/lib/ /usr/src/nss/dist/Debug/bin/tstclnt -h monserveur -p 443 -b -v -V tls1.3: tstclnt: SSL version 3.4 using 256-bit CHACHA20POLY1305 with 128-bit AEAD MAC tstclnt: Server Auth: 384-bit TLS 1.3, Key Exchange: 255-bit TLS 1.3 gnutls version 3.6.3 ou suivante Voir README.md To download the version controlled sources: $ git clone https://gitlab.com/gnutls/gnutls.git [...] ./gnutls/src/gnutls-cli monserveur - Ephemeral EC Diffie-Hellman parameters - Using curve: SECP256R1 - Curve size: 256 bits - Version: TLS1.3 - Server Signature: ECDSA-SECP384R1-SHA384 - Cipher: CHACHA20-POLY1305 Firefox version 63 (actuellement beta, finale le 23 octobre) ou suivante RAS, ça marche. extensions utilisables : Certainly Something, ConsistentHTTPS, HTTPS Everywhere Chrome / Chromium version 70 et suivantes (dev channel), 70 finale disponible fin octobre 2018 about://flags TLS 1.3 Sets the TLS 1.3 variant used. – Mac, Windows, Linux, Chrome OS, Android : Enabled (Final) RAS, ça marche. Outils divers ------------- tshark / wireshark version 3.6.3 Voir Client hello tshark -f 'tcp port 443' -V > capture.txt Extension: supported_versions (len=9) Type: supported_versions (43) Length: 9 Supported Versions length: 8 Supported Version: TLS 1.3 (0x0304) <- version finale Supported Version: TLS 1.2 (0x0303) Supported Version: TLS 1.1 (0x0302) Supported Version: TLS 1.0 (0x0301) Qualys SSL Labs SSL Server Test SSL Report v1.32.6 (RFC 8446) disponible depuis le 24/9/2018 https://dev.ssllabs.com/ssltest/index.html (https://www.ssllabs.com/ssltest/ est en version v1.32.5 : draft 28 et non finale RFC 8446) <cite>Experimental: This server supports TLS 1.3 (RFC 8446).</cite> High-Tech bridge (Htbridge) https://www.htbridge.com/ssl/ Conformité PCI DS, HIPAA, NIST reconnait TLS 1.3 final Observatory by Mozilla https://observatory.mozilla.org/ Pas de TLS 1.3 pour le moment, mais analyse des en-têtes dont CSP Choix des protocoles pour HTTPS ------------------------------- Si les clients ne sont pas trop anciens : TSL 1.2 et 1.3 certificats RSA et ECDSA avec des bouts de NIST dedans (pour EdDSA avec X25519 il faudra attendre) CHACHA20-POLY1305 et AES-256 et AES-128 courbes X25519:secp521r1:secp384r1:prime256v1 (X448 pas utilisable avec Firefox et Chrome, utilisable pour test et proxies) Attention à la cohérence de l'ordre des courbes (du chiffrement le plus fort vers le plus faible) A étudier : HTTPS sans HTTP mais avec HSTS Preloading (les logs sont moins remplis) SMTP + StartTLS --------------- MTA Postfix Testé avec Postfix 3.3.1 et postfix-3.4-20180904 smtpd_tls_protocols = TLSv1, TLSv1.1, TLSv1.2, TLSv1.3, !SSLv2, !SSLv3 tls_high_cipherlist=TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA checktls https://www.checktls.com/ https://www.checktls.com/#TLSv1_3 CheckTLS email works with TLS 1.3, as do most of our tests. Dans les logs : Sep 23 09:10:26 mervent postfix/smtpd[19790]: Anonymous TLS connection established from www6.checktls.com[159.89.187.50]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) DNS over TLS ------------ Côté serveur : Stunnel 5.49 + bind La configuration : [dns] accept = :::853 connect = 127.0.0.1:53 cert = /etc/letsencrypt/live/coincoin/cert.pem key = /etc/letsencrypt/live/coincoin/privkey.pem CAfile = /etc/letsencrypt/live/coincoin/chain.pem ciphers = TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA curve = secp384r1 options = NO_TLSv1 options = NO_TLSv1.1 Côté client : getdns_query De la doc : https://linuxfr.org/news/quad9-resolveur-dns-public-et-securise-par-tls http://www.bortzmeyer.org/quad9.html http://www.bortzmeyer.org/7858.html Les tests : $ getdns_query @192.168.1.2 -s -l L monserveur A "address_data": <bindata for 109.190...>, "address_type": <bindata of "IPv4"> $ getdns_query @192.168.1.2 -s -l L monserveur AAAA "ipv6_address": <bindata for 2001:41d0:...>, "rdata_raw": <bindata of 0x200141d0...> Dans les logs de Postfix : 2018.09.23 09:13:14 LOG6[1]: TLS accepted: new session negotiated 2018.09.23 09:13:14 LOG6[1]: TLSv1.3 ciphersuite: TLS_AES_256_GCM_SHA384 (256-bit encryption) EOT JFB

4 years, 5 months

[Jobs][Montpellier] Poste SysAdmin / IT chez Rakuten Aquafadas

by HOLVECK, Remi

Bonjour à tous, nous recherchons un Ingénieur système Linux pour un poste de SysAdmin / responsable IT au sein d’Aquafadas, une entité du groupe Rakuten. Un bon niveau d’anglais est requis. Le poste est basé à Montpellier dans des locaux tout neufs et dans un cadre de travail agréable. L’offre est ici : https://www.linkedin.com/jobs/view/administrateur-r%C3%A9seaux-d%C3%A9v-ops… N’hésitez pas à me contacter si vous avez des questions. [Aquafadas]<https://www.aquafadas.com/> Holveck Rémi | Sysadmin / DevOps skype : - Tel : +33(0)4.34.17.07.53 1025 rue Henri Becquerel, Parc Club du Millénaire Bâtiment 3, 34000 Montpellier, France aquafadas.com<http://www.aquafadas.com> [twitter]<https://twitter.com/aquafadas>[blogger]<http://blog.aquafadas.com/>[linkedin]<https://www.linkedin.com/company/337911?trk=tyah&trkInfo=clickedVertical%3A…> [https://newsletter.aquafadas.com/src/rakufcb.png]<https://global.rakuten.com/corp/fcbarcelona/>

4 years, 5 months

Recherche contrat d’apprentissage Bac+4 en région Lyonnaise

by Jeremy

Madame, Monsieur, Après une expérience dans le service publique, je me rends compte que je me sens plus adapté dans une structure privée de taille humaine dont les cycles de projets sont plus courts. Ma formation de DUT Réseaux & Télécommunication à Annecy le Vieux et mes connaissances acquises en autodidacte me permettent d’être aujourd’hui compétent dans de nombreux domaines tels que l’administration de système Linux/Windows mais encore le maintien en condition opérationnelle d’un réseau, le diagnostic d’erreurs etc. De plus, cette année en apprentissage m’a permis d’acquérir des compétences en terme de clustering sous VMWare et en monitoring. En effet, j’ai pu travailler sur 3 clusters VMWare pour un total de 160 machines virtuelles mais également un système de monitoring comportant près de 4000 sondes. Veuillez trouver mon CV à l’adresse suivante : https://jdelgado.fr/CV.pdf <https://jdelgado.fr/CV.pdf> ou encore mon LinkedIn https://www.linkedin.com/in/j%C3%A9r%C3%A9my-delgado-560185122/ <https://www.linkedin.com/in/j%C3%A9r%C3%A9my-delgado-560185122/> J’espère pouvoir vous rencontrer pour vous parler plus en détail de mes expériences et vous prie de croire Madame, Monsieur, en l’expression de ma salutation respectueuse. Jérémy DELGADO

4 years, 5 months

MariaDB / Galera : cohérence de données après un split

by Jonathan Leroy

Salut à tous, J'ai un client qui dispose de deux serveurs en MariaDB en réplication master <-> master avec Galera. Oui je sais, c'est mal de faire de la réplication master-master avec moins de 3 serveurs, quorum, tout ça... on va changer ça. Le fait est qu'il y a eu une indisponibilité du réseau pendant quelques minutes il y a quelques jours, ce qui a entrainé un "split brain". Je me retrouve donc avec des incohérences dans les enregistrements de deux tables entre les deux serveurs. Avant de resynchro le cluster, j'ai pris soins de faire un dump des tables avec mysqldump, sur chaque serveur. J'ai ensuite comparé ces dumps avec diff. Seules deux tables contiennent des incohérences. La première contient une ligne de plus sur un des serveurs. Facile à corriger, il suffit de faire un INSERT. Pour la seconde, c'est plus compliqué... Les dumps pèsent environ 550 Mo chacun, et j'ai 7 Mo de différence entre les deux. Donc impossible de comparer ça visuellement avec diff. J'ai pensé réimporter les tables dans une base temporaire, puis les comparer avec une requête qui va bien, mais si quelqu'un a une solution magique moins prise de tête, je suis preneur ! Merci, -- Jonathan Leroy.

4 years, 6 months

[JOBS] Cherche DevOPS sur Issy les Moulineaux

by Cyril Feraudet (Perso)

Bonjour à tous, Petit disclaimer: - Cette recherche ne s’adresse PAS aux SSII et autres vendeurs de poisson: Commerciaux vous pouvez arrêter de lire ce message. - Je ne représente pas une SSII, je suis un DevOPS et la proposition suivante est de venir travailler à mes côtés. - Je me chargerai personnellement de pourrir toutes SSII qui répondront à cette demande. Je travaille au sein de Equipe DevOPS d'un grande entreprise Française et nous avons besoin de renforcer l'équipe spécialement sur la partie Big-Data Pour ce faire je recherche plusieurs DevOPSs poilus, si tu ne sais pas développer c’est rater, si ton niveau en système laisse à désirer c’est aussi raté. Les technologies sont, entres autres et dans le désordre, les suivantes : - AWS - Debian - Mesos - OpenShift - Docker - Ansible - Prometeus - Centreon - Nagios - Hadoop - Spark - Bash - Python - Jenkins - GitLab - Jira - ELK - Cloudera - HDFS - Airflow - Zeppelin - Hue - Kerberos - FreeIPA - ... Ces technologies ne sont pas toutes à connaitre, vous aurez tout le loisir de monter sur celles qui vous intéressent. Il y a 3 à 4 postes en salarié (65k€ n’est pas un gros mot pour nous) et 1 à 2 poste en freelance (600€HT/j n’est pas non plus insultant) Les Polytechniciens comme les autodidactes sont recherchés, seules les compétences importent. Conditions de travail: - Issy les Boulogne - Locaux sympas - Poste de travail sous votre distribution préférée - Ambiance cool N’hésitez pas à me contacter si vous êtes intéressé. Cyril 06.63.28.22.63

4 years, 6 months

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG September 2018