FRsAG May 2021

frsag@frsag.org

18 participants
12 discussions

by David Ponzone

Salut tous. Je me suis mis en tête de trouver un boîtier pour Odroid-C2/N2 (donc une carte avec un CPU un peu péchu et un port SATA) avec 2 emplacements 3.5 ou 2.5, pour en faire un NAS Raid1 fait maison (probablement avec mdadm et OpenMediaVault). Et j’ai du mal à trouver un tel boîtier. Quelqu’un connaît une réf ou c’est une chimère ? Éventuellement avec une autre carte (je suis pas figé tant qu’on peut mettre une distri Linux dessus et que la communauté est relativement active). Bien sûr l’objectif est que le prix soit en dessous de 150-200€, le prix de l’entrée de gamme Syno (avec leur CPU de mollusque). Merci de vos conseils David Ponzone

1 year, 9 months

Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé

by elpablodelcasata＠netcourrier.com

Bonjour, Nous sommes une petite équipe (3 admins) et équipe support de 3 personnes. Nous souhaitons apporter de la sécurité sans nons plus monter une usine à gaz. C'est donc pour la vie de tous les jours sur des actions d'admin : gestion des droits sur serveur de fichier, active directory, ssh, rdp sur certains serveurs, mise à jour. Et des actions de support : déverrouiller un compte, changer de mot de passe, réinitialiser une session tse. Donc on est pas une PME (1500 ordi) et on est pas une armée de mexicain (3 admins et 3 personnes au support tournante). Cdt De : Cécile Martron <cecile(a)martron.me> À : elpablodelcasata(a)netcourrier.com; frsag(a)frsag.org Sujet : Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé Date : 27/05/2021 17:39:34 Europe/Paris Hello, Ça dépend de la taille de ta structure, et de l'objectif de ces postes "renforcés". Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels types d'opérations ? Un accès sur site ou potentiellement à distance ? Combien d'admins, de techs ? Ce n'est pas la même chose de concevoir une archi d'administration pour une PME de 10 personnes dont l'administration sys/net s'effectue tous les 32 du mois, que pour une grosse boîte avec 20 admins full time ;) Bonne journée, Cécile Martron Ingénieure Systéme Réseaux et Télécommunication +33 (0) 6 85 44 33 38 Le 26/05/2021 à 11:26, elpablodelcasata(a)netcourrier.com a écrit : Bonjour la communauté, Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support. Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes. Il s'agit de machines virtuelles Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste) 1 poste par admin sys et tech réseau 1 poste commun au support (multi utilisateurs) Des règles de FW par machine Les outils nécéssaires (putty / rdp ...) Les admins ne sont pas admin de la vm. Un antivirus est installé Pare Windows en mode bloque tout sauf RDP App locker OTP pour l'ouverture de la machine J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_0… ) Qu'en pensez vous ? Voyez vous d'autres point intéressantes ? Merci pour votre avis. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

2 years

Re: [FRsAG] [TECH] Le protocole QUIC désormais normalisé

by Stephane Bortzmeyer

On Fri, May 28, 2021 at 09:17:44AM +0200, Jean-Francois Billaud <billaud(a)interpc.fr> wrote a message of 101 lines which said: > log_format quic '$remote_addr Et on peut noter que cette directive va poser des problèmes avec QUIC, où on peut changer d'adresse IP en cours de connexion. La HADOPI va adorer, ainsi que tous les sysadmins qui journalisent l'adresse IP source.

2 years

Re: [FRsAG] [FRnOG] [TECH] Le protocole QUIC désormais normalisé

by Jean-Francois Billaud

Copie -> FRsAG On 28/05/2021 07:23, Stephane Bortzmeyer wrote: > Les quatre RFC sur QUIC viennent d'être publiés. Ce nouveau protocole > de transport, concurrent de TCP, pourrait bien devenir le transport > majoritaire sur l'Internet, et changer certaines choses (par exemple, > la mécanique de la couche transport est désormais chiffrée et n'est > plus visible par un observateur indiscret, ce qui fera peut-être râler > certains). > > https://www.bortzmeyer.org/quic.html On peut tester avec nginx-quic qui utilise boringssl. https://quic.nginx.org/ https://boringssl.googlesource.com/boringssl/ JFB PS Testé avec Debian 10 (on peut se passer de ngx-fancyindex et de nginx-ct-master) : ### boringssl # https://boringssl.googlesource.com/boringssl/ cd /usr/src git clone https://boringssl.googlesource.com/boringssl cd boringssl mkdir build cd build cmake .. make ### nginx-quic # https://quic.nginx.org/ # https://hg.nginx.org/nginx-quic/shortlog/quic cd /usr/src hg clone -b quic https://hg.nginx.org/nginx-quic cd nginx-quic # README ./auto/configure --with-debug --with-http_v3_module \ --with-cc-opt="-I../boringssl/include" \ --with-ld-opt="-L../boringssl/build/ssl -L../boringssl/build/crypto" \ --prefix=/usr/local/nginx-quic \ --with-http_ssl_module --with-http_v2_module \ --with-http_stub_status_module --with-http_gzip_static_module \ --with-http_geoip_module \ --with-openssl-opt=no-shared \ --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module \ --add-dynamic-module=/usr/src/nginx-ct-master --add-module=../ngx-fancyindex \ --user=www-data --group=www-data make make install ### /usr/local/nginx-quic/conf/nginx.conf # (1) events {} http { log_format quic '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" "$quic" "$http3"'; access_log logs/access.log quic; server { # for better compatibility it's recommended # to use the same port for quic and https listen 443 http3 reuseport; listen 443 ssl; ssl_certificate fullchain.pem; ssl_certificate_key privkey.pem; ssl_protocols TLSv1.3; location / { # required for browsers to direct them into quic port add_header Alt-Svc '$http3=":443"; ma=86400'; add_header QUIC-Status $quic; root /var/www/html/; index index.html index.htm; } } } -- __ _ .-.' `; `-._ __ _ (_, .-:' `; `-._ ,'o"( (_, ) (__,-' ,'o"( )> ( (__,-' ) `-'._.--._( ) ||| |||`-'._.--._.-' ||| ||| (Bob Allison)

2 years

sécu :bonnes pratiques poste administrateur renforcé

by elpablodelcasata＠netcourrier.com

Bonjour la communauté, Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support. Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes. Il s'agit de machines virtuelles Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste) 1 poste par admin sys et tech réseau 1 poste commun au support (multi utilisateurs) Des règles de FW par machine Les outils nécéssaires (putty / rdp ...) Les admins ne sont pas admin de la vm. Un antivirus est installé Pare Windows en mode bloque tout sauf RDP App locker OTP pour l'ouverture de la machine J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_0… ) Qu'en pensez vous ? Voyez vous d'autres point intéressantes ? Merci pour votre avis.

2 years

Best Practice I/O esxi 6.0

by Merwan Zenati

Hello la liste, Happy Friday, Je suis confronte a un probleme d'I/O sur l'Esxi d'un client. Ils utilisent un fichier QuickBooks(Hosted sur DC) via un serveur SRV-TS . Les deux servers se trouvent sur le meme Esxi. Avec le temps, et beaucoup de plaintes a propos de lenteur, nous avont remarque que le probleme, est un probleme d'I/O. J'aimerais savoir si certains on des best practices a me proposer pour ameliorer cela (tant au niveau OS/ESXi qu'au niveau Server/iLO) . Sachant que le server est équipé de 4x SSD Samsung 860 2TB en raid 5. C'est ProLiant DL360 Gen10 avec Firmware U32 V2.12. J'ai l'impression que le serveur contient seulement un raid logiciel (oui c'est a ch*er) Embedded RAID HPE Smart Array P408i-a SR Gen10 Version du Firmware 1.99. Auriez vous des reco pour booster les I/O ? J'imagine que plus d'infos sont necessaire egalement. En esperant que quelqu'un puisse m'aiguiller. Bon W-E Merwan

2 years

Cherche U

by Guillaume PUTIER

Hello, Je cherche 1U ( peut être plus après ) pour y racker un serveur externe à mon réseau. Il me faut une double alim, IPMI/WAN et un peu de bande passante. Je précise que c’est un serveur de tools externe à mon infra ( monitoring, sonde SNMP, serveur de mail ) Mon besoin en réseau est donc limité. Je cherche essentiellement sur Lyon/Ain ( genre DC for data ) Echange de services possible. Dispo par téléphone ou sur télégram @gputier Merci ! ——— Guillaume PUTIER 18 Allée du poète 01480 Savigneux tel : +33 7 78 80 44 57 guillaume(a)putier.fr Ce courriel et toutes ses pièces jointes peuvent contenir de l'information de nature confidentielle ou privilégiée. Si vous avez reçu ce courriel par erreur, merci de ne pas le transférer, le copier ou l'utiliser. Veuillez communiquer immédiatement avec l'expéditeur et supprimer le message dans son intégralité. Le fait de vous avoir envoyé ce courriel par erreur ne signifie pas que l'expéditeur renonce à ses droits. Je ne peut être tenue responsable de toute perte ou dommages liés au présent courriel et peut effectuer un suivi de ce courriel, le conserver et l'examiner.

2 years

Infos déclenchement incendie

by Rémy Duchet

Bonjour à tous, Nous venons de « subir » une erreur humaine de la part de lexploitant dun DC. Ce dernier a malencontreusement déclencher la libération du gaz permettant lextinction dincendie. Le déclenchement a provoqué larrêt de plusieurs HDD magnétiques (heureusement pas de perte de données, ni de coupure). Le support du constructeur va râler, et donc finira par rejeter les demandes déchanges sous garanties. Est-ce que lun dentre vous a déjà expérimenté cela ? Daprès plusieurs spécialiste hardware, il faut changer lensemble des disques car ils vont lâcher en « groupe ». Merci pour vos retours, Rémy

2 years

Profil ANSSI OSCAP sur RHEL 8.3 ds kickstart

by Jean-Yves LENHOF

Bonjour, Il semble possible de mettre en œuvre les préconisations de l'ANSSI au niveau Linux directement au moment de l'installation via kickstart. Le profil en question n'est pas encore inclus en version RHEL 8.3 mais le sera avec la version RHEL 8.4 (cela apparait dans les notes de la Beta) L'idée que j'essaye de mettre en place est donc d'uploader les fichiers de paramétrages de profil inclus dans la 8.4 sur un serveur web interne et de demander au kickstart d'appliquer la configuration. Cela semble prévu et je ne dois pas être loin du résultat mais je bloque sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai ouvert un ticket chez RedHat, il n'a pas encore été pris Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me ferait gagner un temps bien précieux... Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes : %addon org_fedora_oscap content-type = datastream content-url = http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml datastream-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml xccdf-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced fingerprint = 1c589833c561f5b66a91825f11c97a2d %end Une partie des arguments doit être bonne puisque l'installateur anaconda fait des checks avant de commencer et ce n'est que lors de l'application que j'ai un beau message "unknown error" avec un stack trace python disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en comprends. Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le package scap-security-guide trouvé dans la partie Stream de CentOS (à mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé l'IP du serveur web dans mon copier-coller ci-dessus. https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guid… A votre bon coeur, monsieur, dame, Cordialement, -- Jean-Yves LENHOF jean-yves(a)lenhof.eu.org

2 years

[JOBS] technicien(ne) informatique

by ADELIE COLLETTA

Bonjour à tous, Organisme de formation spécialisé sur les matériaux de construction bio et géo-sourcés, nous recherchons (suite au départ vers l’indépendance de notre informaticien) un nouveau collègue pour travailler avec nous sur : * La mise en place et l'administration d’une plate-forme e-learning basée sur Moodle (développement en cours depuis début mai avec un prestataire externe) * L’amélioration du SI de la structure * La gestion du parc matériel et l’assistance utilisateurs Le poste est à pourvoir de suite, à Villefontaine (38) Le détail des missions et conditions est visible ici : https://www.linkedin.com/jobs/view/2190640361 Candidatures à contact(a)amaco.org<mailto:contact@amaco.org> Merci du relais, Adélie COLLETTA Ingénieure pédagogique [cid:803177A9-781D-4B80-BBC9-F04E6D3EC4AA] +33 (0)4 74 96 89 06 adelie.colletta(a)amaco.org<mailto:adelie.colletta@amaco.org> Les Grands Ateliers 96, boulevard de Villefontaine 38090 Villefontaine www.amaco.org<http://www.amaco.org> [cid:F4BD245D-7FB9-45D0-96F8-E52E1059CD65] [cid:25E456EB-5A78-4F02-9610-8081CE35014F] [cid:867E9521-07F4-448A-9BED-1A7EF08014DC] [cid:5121FA61-D65C-4E04-BBFA-6C4E1E2EB5A3] [cid:7991F1F0-6C2A-49AF-9F36-F9A736FF0D35]

2 years

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG May 2021