Re: [FRsAG] config pam.d pour ubuntu 18.04 (empecher les utilisateur de réutiliser un ancien mot de passe)

[l0f4r0--- via FRsAG]

Bonsoir,

25 juin 2021, 16:37 de err...@free.fr:

> cette solution me dit bien que le mot de passe à déjà été utilisé, mais ça 
> l'accepte aussi.
>
Bien entendu, t'es certain de ne pas être root/utiliser des droits privilégiés 
à ce moment-là ?
Parce que sinon, il faut penser en plus à la directive `enforce_for_root`...

> le fichier /etc/security/opaswd existe bien
>
Vu que t'as indiqué que le mot de passe passé était bien reconnu, je suppose 
que le nom de ton fichier est correct : /etc/security/opasswd (avec 2 's').

> voici mon /etc/pam.d/common-password (mais au moins ça ne retourne pas 
> d'erreur "Authentication token manipulation error"):
>
> # here are the per-package modules (the "Primary" block)
>
> passwordrequiredpam_pwhistory.so  remember=7
> password[success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok
>
> #password   [success=1 default=ignore]  pam_unix.so obscure sha512
> # here's the fallback if no module succeeds
>
> passwordrequisite   pam_deny.so
>
> # prime the stack with a positive return value if there isn't one already;
> # this avoids us returning an error just because nothing sets a success code
> # since the modules above will each just jump around
>
> passwordrequiredpam_permit.so
>
> # and here are more per-package modules (the "Additional" block)
> # end of pam-auth-update config
>
A toutes fins utiles, voici donc le mien (je suis sur Debian 10 par contre, pas 
Ubuntu 18.04 comme toi) :

# here are the per-package modules (the "Primary" block)
passwordrequisite   pam_pwquality.so retry=3 
enforce_for_root
passwordrequisite   pam_pwhistory.so use_authtok 
enforce_for_root remember=400
password[success=1 default=ignore]  pam_unix.so obscure use_authtok 
try_first_pass sha512

# here's the fallback if no module succeeds
passwordrequisite   pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
passwordrequiredpam_permit.so

# and here are more per-package modules (the "Additional" block)
passwordoptionalpam_gnome_keyring.so

# end of pam-auth-update config

Bonne soirée,
l0f4r0
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Alerting Grafana vs Icinga2

[Raphael Mazelier]

On 25/06/2021 16:33, Mathieu Corbin wrote:



Je pense qu'il est dans tous les cas important de décorréler ce qui 
génère l'alerte (Icinga ou autre) de ce qui gère l'alerte ensuite 
(réveiller les bonnes personnes, gestion du calendrier/des overrides, 
déduplication, auto acquittement...).


+100.

Gérer un on-call sans ce type d'outil c'est quand meme vraiment painful 
(PD, VictorOps ou autres).



Le double monitoring comme tu le mentionnes n'est pas vraiment 
intéressant car tu seras coincé le jour où tu voudras faire des 
alertes sur les métriques de Telegraf.



--

Raphael Mazelier

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] config pam.d pour ubuntu 18.04 (empecher les utilisateur de réutiliser un ancien mot de passe)

[err404]

On 6/25/21 3:53 PM, Pierre Blanchet wrote:

Il est déconseillé d'utiliser pam_unix pour stocker l'historique des mots de 
passe (car il n'utilise que du MD5), il vaut mieux passer par pam_pwhistory 
(qui utiliser SHA512)

Les détails pour le mettre en place:
https://askubuntu.com/a/1310313 

Pierre.



merci Pierre

cette solution me dit bien que le mot de passe à déjà été utilisé, mais ça 
l'accepte aussi.

je ne parviens pas à faire en sorte que ça refuse le mot de passe si il a déjà 
été utilisé.
le fichier /etc/security/opaswd existe bien


voici mon /etc/pam.d/common-password (mais au moins ça ne retourne pas d'erreur 
"Authentication token manipulation error"):

# here are the per-package modules (the "Primary" block)

passwordrequiredpam_pwhistory.so  remember=7
password[success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok

#password   [success=1 default=ignore]  pam_unix.so obscure sha512
# here's the fallback if no module succeeds

passwordrequisite   pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around

passwordrequiredpam_permit.so

# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Alerting Grafana vs Icinga2

[Mathieu Corbin]

Salut,

Pagerduty ici.

Je pense qu'il est dans tous les cas important de décorréler ce qui génère
l'alerte (Icinga ou autre) de ce qui gère l'alerte ensuite (réveiller les
bonnes personnes, gestion du calendrier/des overrides, déduplication, auto
acquittement...).
Le double monitoring comme tu le mentionnes n'est pas vraiment intéressant
car tu seras coincé le jour où tu voudras faire des alertes sur les
métriques de Telegraf.

Cordialement,


Le ven. 25 juin 2021 à 16:15, Julien Escario  a
écrit :

> Bonjour,
>
> Petite problématique du vendredi : actuellement, nous utilisons Icinga2
> avec l'excellent Anag [1] de Damian Degois pour nous réveiller au milieu
> de la nuit si un morceau de notre infra part en vrille (j'aurais pu
> utiliser 'torche' mais je crois que les masses ne sont pas prêtes encore).
>
> Souhaitant basculer le stockage sur InfluxDB (question de perf), nous
> aimerions utiliser Telegraf pour faire la remontée des métriques mais
> cela nous empêche d'utiliser la partie API de Icinga2. Ou alors il faut
> faire un double monitoring : alertes SNMP & Ping avec Icinga2 et
> métriques via Telegraf. Je ne trouve pas ça très satisfaisant.
>
> Je me suis pas mal documenté sur des exemples que j'ai trouvés ici et là
> mais on dirait que la plupart des boites ont des gens qui regardent un
> écran 24h/24 et que personne ne voit l'intérêt de pouvoir dormir de
> temps à autre.
>
> Les rares qui font ça passent par des services tiers type Pagerduty mais
> ça ne me tente pas non plus, pour une question d'indépendance sur un
> sujet qui est quand même très critique. Pas très envie de multiplier les
> SPoF.
>
> Du coup, ma question : et vous, comment faites vous ?
>
> A) Pagerduty
> B) un insomniaque dans l'équipe
> C) la réponse D
>
> Merci d'avance pour votre partage !
>
> Julien
>
> [1]
>
> https://play.google.com/store/apps/details?id=info.degois.damien.android.aNag
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Alerting Grafana vs Icinga2

[Julien Escario]

Bonjour,

Petite problématique du vendredi : actuellement, nous utilisons Icinga2
avec l'excellent Anag [1] de Damian Degois pour nous réveiller au milieu
de la nuit si un morceau de notre infra part en vrille (j'aurais pu
utiliser 'torche' mais je crois que les masses ne sont pas prêtes encore).

Souhaitant basculer le stockage sur InfluxDB (question de perf), nous
aimerions utiliser Telegraf pour faire la remontée des métriques mais
cela nous empêche d'utiliser la partie API de Icinga2. Ou alors il faut
faire un double monitoring : alertes SNMP & Ping avec Icinga2 et
métriques via Telegraf. Je ne trouve pas ça très satisfaisant.

Je me suis pas mal documenté sur des exemples que j'ai trouvés ici et là
mais on dirait que la plupart des boites ont des gens qui regardent un
écran 24h/24 et que personne ne voit l'intérêt de pouvoir dormir de
temps à autre.

Les rares qui font ça passent par des services tiers type Pagerduty mais
ça ne me tente pas non plus, pour une question d'indépendance sur un
sujet qui est quand même très critique. Pas très envie de multiplier les
SPoF.

Du coup, ma question : et vous, comment faites vous ?

A) Pagerduty
B) un insomniaque dans l'équipe
C) la réponse D

Merci d'avance pour votre partage !

Julien

[1] 
https://play.google.com/store/apps/details?id=info.degois.damien.android.aNag


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] config pam.d pour ubuntu 18.04 (empecher les utilisateur de réutiliser un ancien mot de passe)

[Pierre Blanchet]

Il est déconseillé d'utiliser pam_unix pour stocker l'historique des mots
de passe (car il n'utilise que du MD5), il vaut mieux passer par
pam_pwhistory (qui utiliser SHA512)

Les détails pour le mettre en place:
https://askubuntu.com/a/1310313

Pierre.



On Fri, 25 Jun 2021 at 13:11,  wrote:

> Bonjour tout le monde
>
> j'ai actuellement un problème avec une config pam qui fonctionnait avec
> ubuntu 16.04 et qui ne fonctionne plus avec ubuntu 18.04
>
> le but est d’empêcher que les utilisateurs réutilisent le même mot de passe
> et que le changement de mot de passe puisse se faire avec la commande
> chpasswd (on utilise un script)
>
> les exemples que je trouve sur le web ne fonctionnent pas du tout, ou bien
> pas comme il faut
> (par exemple ça va bien retourner que le mot de passe a déjà été utilisé
> (avec remember=xx), mais ça ne refuse pas pour autant de le mettre à jour)
>
>
> l'argument 'use_authtok pose des problèmes lorsque je cherche à l'utiliser
> avec le module pam_unix.so:
>
> chpasswd: pam_chauthtok() failled, error
> Authentication token manipulation error
>
>
> auriez-vous un exemple de /etc/pam.d/common-password qui fonctionne pour
> de vrai avec unbuntu 18.04?
>
> merci pour votre attention
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Google - GAM (command line management for Google Workspace)

[Guillaume Denoix]

Bonjour,

Je l'ai utilisé durant 6 ans chez $JOB-1, aucun souci rencontré.
C'est même l'outil recommandé pour automatiser le lien entre son AD
interne et Google.

Guillaume.

On Thu, Jun 24, 2021 at 7:21 PM Michel GALLE  wrote:
>
> Bonjour,
>
> Je suis à la recherche de retour sur l'utilisation de l'outil GAM (
> command line management for Google Workspace )
>
> https://github.com/jay0lee/GAM/wiki
>
> De ce que je lis, GAM permet d'automatiser la gestion de Google via leur
> Api Google Cloud platform. On autorise avec Oauth2, etc.
>
> Mais est-ce fiable ? Avez vous déjà eu l'occasion d'utiliser GAM ? Avez
> vous eu connaissance d'un éventuel audit de son code ?
>
>
> Google le propose dans leur documentation comme outil de tierce-partie
> mais ne s'engage pas plus.
>
>
> Sauf à évidemment étudier le code soi-même, et restreindre l'accès à
> l'api, comment peut on avoir confiance en cet outil et ses auteurs pour
> gérer les comptes utilisateurs d'un domaine Google Workspace ? (vaste
> question de la confiance, je sais).
>
> Je vous remercie pour tout retour d'expérience et conseil.
>
>
> --
> Michel Galle
>
> IT - 6WIND
>
> tel: +33 6 03 05 51 47
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Google - GAM (command line management for Google Workspace)

[Michel GALLE]

Bonjour,

Oui le projet semble sérieux, et de ce que je parcours, ça semble correct.

Je ne peux pas me permettre de financer un audit, mais je vais voir avec 
quelques collègues "pythoneux".



J'apprends aussi que Google peut fournir, sur demande, une "sandbox", ce 
qui est idéal pour s'assurer du bon fonctionnement avant de travailler 
sur la prod.



merci pour vos recommandations.



Le 24/06/2021 à 20:05, neo futur a écrit :

Je suis à la recherche de retour sur l'utilisation de l'outil GAM (
command line management for Google Workspace )

https://github.com/jay0lee/GAM/wiki

De ce que je lis, GAM permet d'automatiser la gestion de Google via leur
Api Google Cloud platform. On autorise avec Oauth2, etc.

Mais est-ce fiable ? Avez vous déjà eu l'occasion d'utiliser GAM ? Avez
vous eu connaissance d'un éventuel audit de son code ?

je ne l ai pas utilise , et j ai juste passe 10 minutes a jeter un
oeil au code , mais :


Google le propose dans leur documentation comme outil de tierce-partie
mais ne s'engage pas plus.


Sauf à évidemment étudier le code soi-même, et restreindre l'accès à
l'api, comment peut on avoir confiance en cet outil et ses auteurs pour
gérer les comptes utilisateurs d'un domaine Google Workspace ? (vaste
question de la confiance, je sais).

* D' une manière générale , le simple fait que ce soit en open source
permet d' accorder 1000 fois plus de confiance que dans un
exécutable binaire ( boite noire ) même si celui ci était fourni par
micromou ou la pomme.
* c est codé correctement, dans un python lisible ( pas obfuscated ),
avec des fonctions bien nommées et suffisamment de commentaires, donc
assez facile à auditer.
* on peut supposer que plusieurs programmeurs ont deja ( au minimum
comme je viens de le faire ) jete un oeil au code. de plus le projet a
deja 294 forks , ce qui prouve que des dizaines de programmeurs s en
emparent.
* le projet est actif et maintenu, l auteur repond aux "issues" .
* vu que l outil est gratuit, il te reste des sous pour filer quelques
dollars a un programmeur python si besoin  !







Je vous remercie pour tout retour d'expérience et conseil.


--
Michel Galle

IT - 6WIND

tel: +33 6 03 05 51 47


___
Liste de diffusion du FRsAG
http://www.frsag.org/

--
Michel Galle

IT

tel: +33 6 03 05 51 47

www.6wind.com 

https://www.linkedin.com/company/6wind/ 
https://twitter.com/6WINDsoftware 
https://www.youtube.com/user/6windsoftware?reload=9 



___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] config pam.d pour ubuntu 18.04 (empecher les utilisateur de réutiliser un ancien mot de passe)

[err404]

Bonjour tout le monde

j'ai actuellement un problème avec une config pam qui fonctionnait avec ubuntu 
16.04 et qui ne fonctionne plus avec ubuntu 18.04

le but est d’empêcher que les utilisateurs réutilisent le même mot de passe
et que le changement de mot de passe puisse se faire avec la commande chpasswd 
(on utilise un script)

les exemples que je trouve sur le web ne fonctionnent pas du tout, ou bien pas 
comme il faut
(par exemple ça va bien retourner que le mot de passe a déjà été utilisé (avec 
remember=xx), mais ça ne refuse pas pour autant de le mettre à jour)


l'argument 'use_authtok pose des problèmes lorsque je cherche à l'utiliser avec 
le module pam_unix.so:

chpasswd: pam_chauthtok() failled, error
Authentication token manipulation error


auriez-vous un exemple de /etc/pam.d/common-password qui fonctionne pour de 
vrai avec unbuntu 18.04?

merci pour votre attention
___
Liste de diffusion du FRsAG
http://www.frsag.org/