Salut tous.
Je me suis mis en tête de trouver un boîtier pour Odroid-C2/N2 (donc une carte avec un CPU un peu péchu et un port SATA) avec 2 emplacements 3.5 ou 2.5, pour en faire un NAS Raid1 fait maison (probablement avec mdadm et OpenMediaVault).
Et j’ai du mal à trouver un tel boîtier. Quelqu’un connaît une réf ou c’est une chimère ?
Éventuellement avec une autre carte (je suis pas figé tant qu’on peut mettre une distri Linux dessus et que la communauté est relativement active).
Bien sûr l’objectif est que le prix soit en dessous de 150-200€, le prix de l’entrée de gamme Syno (avec leur CPU de mollusque).
Merci de vos conseils
David Ponzone
Bonjour,
Nous sommes une petite équipe (3 admins) et équipe support de 3 personnes. Nous souhaitons apporter de la sécurité sans nons plus monter une usine à gaz.
C'est donc pour la vie de tous les jours sur des actions d'admin : gestion des droits sur serveur de fichier, active directory, ssh, rdp sur certains serveurs, mise à jour.
Et des actions de support : déverrouiller un compte, changer de mot de passe, réinitialiser une session tse.
Donc on est pas une PME (1500 ordi) et on est pas une armée de mexicain (3 admins et 3 personnes au support tournante).
Cdt
De : Cécile Martron <cecile(a)martron.me>
À : elpablodelcasata(a)netcourrier.com;
frsag(a)frsag.org
Sujet : Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé
Date : 27/05/2021 17:39:34 Europe/Paris
Hello,
Ça dépend de la taille de ta structure, et de l'objectif de ces postes "renforcés".
Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels types d'opérations ?
Un accès sur site ou potentiellement à distance ? Combien d'admins, de techs ?
Ce n'est pas la même chose de concevoir une archi d'administration pour une PME de 10 personnes dont l'administration sys/net s'effectue tous les 32 du mois, que pour une grosse boîte avec 20 admins full time ;)
Bonne journée,
Cécile Martron
Ingénieure Systéme Réseaux et Télécommunication
+33 (0) 6 85 44 33 38
Le 26/05/2021 à 11:26, elpablodelcasata(a)netcourrier.com a écrit :
Bonjour la communauté,
Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support.
Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.
Il s'agit de machines virtuelles
Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
1 poste par admin sys et tech réseau
1 poste commun au support (multi utilisateurs)
Des règles de FW par machine
Les outils nécéssaires (putty / rdp ...)
Les admins ne sont pas admin de la vm.
Un antivirus est installé
Pare Windows en mode bloque tout sauf RDP
App locker
OTP pour l'ouverture de la machine
J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_0… ) Qu'en pensez vous ?
Voyez vous d'autres point intéressantes ?
Merci pour votre avis.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
On Fri, May 28, 2021 at 09:17:44AM +0200,
Jean-Francois Billaud <billaud(a)interpc.fr> wrote
a message of 101 lines which said:
> log_format quic '$remote_addr
Et on peut noter que cette directive va poser des problèmes avec QUIC,
où on peut changer d'adresse IP en cours de connexion. La HADOPI va
adorer, ainsi que tous les sysadmins qui journalisent l'adresse IP
source.
Copie -> FRsAG
On 28/05/2021 07:23, Stephane Bortzmeyer wrote:
> Les quatre RFC sur QUIC viennent d'être publiés. Ce nouveau protocole
> de transport, concurrent de TCP, pourrait bien devenir le transport
> majoritaire sur l'Internet, et changer certaines choses (par exemple,
> la mécanique de la couche transport est désormais chiffrée et n'est
> plus visible par un observateur indiscret, ce qui fera peut-être râler
> certains).
>
> https://www.bortzmeyer.org/quic.html
On peut tester avec nginx-quic qui utilise boringssl.
https://quic.nginx.org/https://boringssl.googlesource.com/boringssl/
JFB
PS Testé avec Debian 10 (on peut se passer de ngx-fancyindex et de nginx-ct-master) :
### boringssl
# https://boringssl.googlesource.com/boringssl/
cd /usr/src
git clone https://boringssl.googlesource.com/boringssl
cd boringssl
mkdir build
cd build
cmake ..
make
### nginx-quic
# https://quic.nginx.org/
# https://hg.nginx.org/nginx-quic/shortlog/quic
cd /usr/src
hg clone -b quic https://hg.nginx.org/nginx-quic
cd nginx-quic
# README
./auto/configure --with-debug --with-http_v3_module \
--with-cc-opt="-I../boringssl/include" \
--with-ld-opt="-L../boringssl/build/ssl -L../boringssl/build/crypto" \
--prefix=/usr/local/nginx-quic \
--with-http_ssl_module --with-http_v2_module \
--with-http_stub_status_module --with-http_gzip_static_module \
--with-http_geoip_module \
--with-openssl-opt=no-shared \
--with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module \
--add-dynamic-module=/usr/src/nginx-ct-master --add-module=../ngx-fancyindex \
--user=www-data --group=www-data
make
make install
### /usr/local/nginx-quic/conf/nginx.conf
# (1)
events {}
http {
log_format quic '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent" "$quic" "$http3"';
access_log logs/access.log quic;
server {
# for better compatibility it's recommended
# to use the same port for quic and https
listen 443 http3 reuseport;
listen 443 ssl;
ssl_certificate fullchain.pem;
ssl_certificate_key privkey.pem;
ssl_protocols TLSv1.3;
location / {
# required for browsers to direct them into quic port
add_header Alt-Svc '$http3=":443"; ma=86400';
add_header QUIC-Status $quic;
root /var/www/html/;
index index.html index.htm;
}
}
}
--
__ _
.-.' `; `-._ __ _
(_, .-:' `; `-._
,'o"( (_, )
(__,-' ,'o"( )>
( (__,-' )
`-'._.--._( )
||| |||`-'._.--._.-'
||| |||
(Bob Allison)
Bonjour la communauté,
Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support.
Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.
Il s'agit de machines virtuelles
Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
1 poste par admin sys et tech réseau
1 poste commun au support (multi utilisateurs)
Des règles de FW par machine
Les outils nécéssaires (putty / rdp ...)
Les admins ne sont pas admin de la vm.
Un antivirus est installé
Pare Windows en mode bloque tout sauf RDP
App locker
OTP pour l'ouverture de la machine
J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_0… ) Qu'en pensez vous ?
Voyez vous d'autres point intéressantes ?
Merci pour votre avis.
Hello la liste, Happy Friday,
Je suis confronte a un probleme d'I/O sur l'Esxi d'un client.
Ils utilisent un fichier QuickBooks(Hosted sur DC) via un serveur SRV-TS .
Les deux servers se trouvent sur le meme Esxi.
Avec le temps, et beaucoup de plaintes a propos de lenteur, nous avont
remarque que le probleme, est un probleme d'I/O.
J'aimerais savoir si certains on des best practices a me proposer pour
ameliorer cela (tant au niveau OS/ESXi qu'au niveau Server/iLO) .
Sachant que le server est équipé de 4x SSD Samsung 860 2TB en raid 5.
C'est ProLiant DL360 Gen10 avec Firmware U32 V2.12.
J'ai l'impression que le serveur contient seulement un raid logiciel (oui
c'est a ch*er) Embedded RAID HPE Smart Array P408i-a SR Gen10 Version du
Firmware 1.99.
Auriez vous des reco pour booster les I/O ? J'imagine que plus d'infos sont
necessaire egalement.
En esperant que quelqu'un puisse m'aiguiller.
Bon W-E
Merwan
Hello,
Je cherche 1U ( peut être plus après ) pour y racker un serveur externe à mon réseau.
Il me faut une double alim, IPMI/WAN et un peu de bande passante.
Je précise que c’est un serveur de tools externe à mon infra ( monitoring, sonde SNMP, serveur de mail )
Mon besoin en réseau est donc limité.
Je cherche essentiellement sur Lyon/Ain ( genre DC for data )
Echange de services possible.
Dispo par téléphone ou sur télégram @gputier
Merci !
———
Guillaume PUTIER
18 Allée du poète 01480 Savigneux
tel : +33 7 78 80 44 57
guillaume(a)putier.fr
Ce courriel et toutes ses pièces jointes peuvent contenir de l'information de nature confidentielle ou privilégiée. Si vous avez reçu ce courriel par erreur, merci de ne pas le transférer, le copier ou l'utiliser. Veuillez communiquer immédiatement avec l'expéditeur et supprimer le message dans son intégralité. Le fait de vous avoir envoyé ce courriel par erreur ne signifie pas que l'expéditeur renonce à ses droits. Je ne peut être tenue responsable de toute perte ou dommages liés au présent courriel et peut effectuer un suivi de ce courriel, le conserver et l'examiner.
Bonjour à tous,
Nous venons de « subir » une erreur humaine de la part de lexploitant dun
DC.
Ce dernier a malencontreusement déclencher la libération du gaz permettant
lextinction dincendie.
Le déclenchement a provoqué larrêt de plusieurs HDD magnétiques
(heureusement pas de perte de données, ni de coupure).
Le support du constructeur va râler, et donc finira par rejeter les demandes
déchanges sous garanties.
Est-ce que lun dentre vous a déjà expérimenté cela ?
Daprès plusieurs spécialiste hardware, il faut changer lensemble des
disques car ils vont lâcher en « groupe ».
Merci pour vos retours,
Rémy
Bonjour,
Il semble possible de mettre en œuvre les préconisations de l'ANSSI au
niveau Linux directement au moment de l'installation via kickstart.
Le profil en question n'est pas encore inclus en version RHEL 8.3 mais
le sera avec la version RHEL 8.4 (cela apparait dans les notes de la
Beta)
L'idée que j'essaye de mettre en place est donc d'uploader les fichiers
de paramétrages de profil inclus dans la 8.4 sur un serveur web interne
et de demander au kickstart d'appliquer la configuration.
Cela semble prévu et je ne dois pas être loin du résultat mais je bloque
sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai
ouvert un ticket chez RedHat, il n'a pas encore été pris
Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me
ferait gagner un temps bien précieux...
Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes
:
%addon org_fedora_oscap
content-type = datastream
content-url =
http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml
datastream-id =
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
xccdf-id =
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced
fingerprint = 1c589833c561f5b66a91825f11c97a2d
%end
Une partie des arguments doit être bonne puisque l'installateur anaconda
fait des checks avant de commencer et ce n'est que lors de l'application
que j'ai un beau message "unknown error" avec un stack trace python
disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en
comprends.
Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le
package scap-security-guide trouvé dans la partie Stream de CentOS (à
mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé
l'IP du serveur web dans mon copier-coller ci-dessus.
https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guid…
A votre bon coeur, monsieur, dame,
Cordialement,
--
Jean-Yves LENHOF
jean-yves(a)lenhof.eu.org
Bonjour à tous,
Organisme de formation spécialisé sur les matériaux de construction bio et géo-sourcés, nous recherchons (suite au départ vers l’indépendance de notre informaticien) un nouveau collègue pour travailler avec nous sur :
* La mise en place et l'administration d’une plate-forme e-learning basée sur Moodle (développement en cours depuis début mai avec un prestataire externe)
* L’amélioration du SI de la structure
* La gestion du parc matériel et l’assistance utilisateurs
Le poste est à pourvoir de suite, à Villefontaine (38)
Le détail des missions et conditions est visible ici : https://www.linkedin.com/jobs/view/2190640361
Candidatures à contact(a)amaco.org<mailto:contact@amaco.org>
Merci du relais,
Adélie COLLETTA
Ingénieure pédagogique
[cid:803177A9-781D-4B80-BBC9-F04E6D3EC4AA]
+33 (0)4 74 96 89 06
adelie.colletta(a)amaco.org<mailto:adelie.colletta@amaco.org>
Les Grands Ateliers
96, boulevard de Villefontaine
38090 Villefontaine
www.amaco.org<http://www.amaco.org>
[cid:F4BD245D-7FB9-45D0-96F8-E52E1059CD65] [cid:25E456EB-5A78-4F02-9610-8081CE35014F] [cid:867E9521-07F4-448A-9BED-1A7EF08014DC] [cid:5121FA61-D65C-4E04-BBFA-6C4E1E2EB5A3] [cid:7991F1F0-6C2A-49AF-9F36-F9A736FF0D35]