Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé

[Erik Le Vacon]

Bonjour,

Il te faut effectivement un annuaire dédié administration. Toute auth 
backend sur l'annuaire de "prod métier" est à proscrire.
J'ajouterais une CMDB de conformité des postes/VM au modèle, avec logging 
verbeux de toute modification. Snapshot regulier des VM admin et revert si pb.
Si le template VM admin/support est générisque et standard, un revert 2 
snapshot  automatique sur extinction/reboot est un plus.
Enfin, un bastion + fw en coupure du réseau OOB admin vs le reste du SI est 
impératif. Si le budget le permet, des diodes H/W existent pour 
environnement sensibles (overkill dans ton cas?)

Prévoir une station blanche pour sanitizer les échanges via supports amovibles.
Enfin, une boite à logs pour surveiller et tracer tout ce bel écosysteme 
admin, et tu devrais t'en sortir.


Bon courage

#mytwo

Le 26 mai 2021 21:21:23 elpablodelcas...@netcourrier.com a écrit :

Bonjour la communauté,

Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en 
place des postes administrateurs "renforcés" pour les admins sys & réseau / 
le support.
Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas 
rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans 
contraintes extremes.


Il s'agit de machines virtuelles
Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
1 poste par admin sys et tech réseau
1 poste commun au support (multi utilisateurs)
Des règles de FW par machine
Les outils nécéssaires (putty / rdp ...)
Les admins ne sont pas admin de la vm.
Un antivirus est installé
Pare Windows en mode bloque tout sauf RDP
App locker
OTP pour l'ouverture de la machine

J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, 
pas le support. L'ANSSI préconise que l'authentification soit faite par 
l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. 
(P18 
https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf 
) Qu'en pensez vous ?

Voyez vous d'autres point intéressantes ?

Merci pour votre avis.
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Carnet d'adresse Exchange alimenté via Ldap externe

[Erik LE VACON]

Bonjour,

https://www.dirwiz.com/unitysync/

Ca peut etre une piste.

Bonne chance !

E.

- Mail original -
De: "VAILLEAU Olivier" 
À: "French SysAdmin Group (frsag@frsag.org)" 
Envoyé: Vendredi 4 Mars 2016 09:37:41
Objet: [FRsAG] Carnet d'adresse Exchange alimenté via Ldap externe





Bonjour à toute la liste, 



C’est mon premier post ici. J’avoue que j’aurais préféré répondre à une 
problématique plutôt que d’en amener une pour mon premier message. 



Nous utilisons la messagerie Exchange 2010, avec un parc de clients Outlook 
2003, 2010 et OWA. J’ai besoin de publier un annuaire externe à notre 
organisation. Cet annuaire existe au format ldap, présenté publiquement sur le 
net. 



Je pensais pouvoir créer une liste d’adresse dans Exchange. J’imaginais que 
cette liste d’adresse s’alimente toute seule via le contenu du ldap externe 
(comme si Exchange agissait en tant que « proxy » ldap et en publiant tout cela 
dans tous les clients). Malheureusement, j’ai l’impression que les listes 
d’adresses d’Exchange ne peuvent contenir que des objets issus de l’AD. 



J’ai bien réussi à configurer mon client outlook pour obtenir un accès direct 
au LDAP externe, mais cela ne me convient pas car il faudra le configurer sur 
tous les outlooks (plus de 2000 postes) et il faudra en outre ouvrir le 
pare-feu pour que tout le monde puisse sortir en ldap. 



Connaissez-vous une solution qui me permettrait de publier cet annuaire ldap 
externe dans tous les clients outlook (et owa) de mon organisation ? 



Idéalement, depuis Exchange. Si ce n’est pas possible, j’imagine que je devrai 
monter un serveur LDAP interne qui ira piocher sur le net (mais j’avoue que 
cette solution me fait un peu peur techniquement). 



Merci d’avance à toutes les réponses. 



Cordialement, 



Olivier VAILLEAU 

olivier.vaill...@ch-sevrey.fr 

Direction des Systèmes d'Informations 

GCSC - Groupement de Coopération Sanitaire du Chalonnais. 




___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G

[Erik LE VACON]

BIOS/Firmware du serveur (DELL, IBM)
Si tu peux préciser ta conf hard, on peut vérifier le point

- Mail original -
De: "Sébastien 65" <sebastien...@live.fr>
À: "Erik LE VACON" <e...@levacon.net>
Cc: frsag@frsag.org
Envoyé: Lundi 14 Décembre 2015 17:42:54
Objet: RE: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G


Bonjour, 

Je n'ai pas paramétré la RAM en failover dans la configuration via debootstrap. 

D'ailleurs comment je peux vérifier cette information du hotspare ? 

Merci 


> Date: Mon, 14 Dec 2015 17:38:37 +0100 
> From: e...@levacon.net 
> To: sebastien...@live.fr 
> CC: frsag@frsag.org 
> Subject: Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G 
> 
> Bonjour, 
> Vérifie que tu n'as pas paramétré ta RAM en failover (tu ne vois que la 
> moitié de ta RAM totale du fait du hotspare de chacune de tes barrettes) 
> Bonne fin de journée, 
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G

[Erik LE VACON]

Bonjour,
Vérifie que tu n'as pas paramétré ta RAM en failover (tu ne vois que la moitié 
de ta RAM totale du fait du hotspare de chacune de tes barrettes)
Bonne fin de journée,

- Mail original -
De: "Sébastien 65" 
À: frsag@frsag.org
Envoyé: Lundi 14 Décembre 2015 17:20:39
Objet: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G



Bonjour, 

Je viens de monter une machine Debian JESSIE x64 via debootstrap avec le Kernel 
suivant : 

apt-get install linux-image-3.16.0-4-amd64 
Lecture des informations d'état... Fait 
linux-image-3.16.0-4-amd64 est déjà la plus récente version disponible. 
linux-image-3.16.0-4-amd64 passé en « installé manuellement ». 

Linux deb8 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1+deb8u6 (2015-11-09) 
x86_64 GNU/Linux 

J'ai 8G de RAM physique sur celle-ci (le BIOS voit bien les 8G) , Debian lui ne 
voit que ~4G comme si j'étais en Kernel 32... 

Mem Total : 3953 
Mem used : 365 
Mem free : 3588 

Comment faire pour lui faire récupère la mémoire restante ? 

___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] exploitation DC en NHO

[Erik LE VACON]

A titre de complément, jette un oeil ici: [ http://www.cesit.fr/ ]
@ bientôt

- Mail original -
De: "H Kif" <h_...@hotmail.com>
Cc: frsag@frsag.org
Envoyé: Jeudi 3 Décembre 2015 13:20:33
Objet: Re: [FRsAG] exploitation DC en NHO





Bonjour, 

Merci à tous pour vos réponses et la rapidité de celle ci. 

Bonne journée 



2015-12-03 11:42 GMT+01:00 Erik LE VACON < e...@levacon.net > : 


Bonjour, 

A confirmer quant à la compétence et à la dispo en HNO, mais NeoSoft a plutôt 
bonne réputation, tant quant au bon traitement de son personnel qu'en termes de 
sérieux. 
Sauf erreur, ils sont sur Rennes, mais ils ont une agence sur Nantes (Dixit un 
presta croisé sur un chantier commun il y a environ deux ans). 
Bonne journée! 

E. 

- Mail original - 
De: "H Kif" < h_...@hotmail.com > 
À: frsag@frsag.org 
Envoyé: Jeudi 3 Décembre 2015 11:15:35 
Objet: [FRsAG] exploitation DC en NHO 





Bonjour, 

Suite à un incident sur notre DC pendant la nuit et n'ayant pas de système 
d'astreinte, un "grain de sable" a mis à terre notre infra. Nous sommes à la 
recherche de societés capable de fournir un service d'exploitation et de 
supervision d'un datacenter (DCIM) en heure non ouvré sur Nantes (recepetion 
d'alerte, analyse du probleme et remonté à la maintenance si nécessaire). 

Connaissez vous des sociétés capable de fournir ce service? 

Quelles seraient les clauses, selon votre expérience, a bien préciser? 

Merci par avance et bonne journée 
Vincent 



___ 
Liste de diffusion du FRsAG 
http://www.frsag.org/ 



___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] NFS - Permission denied sans raison apparente

[Erik LE VACON]

>>La piste dont je pense est de voir si les UID/GID des users qui ont ces 
>>problèmes n'ont pas plus que 14 groupes, 

Merci Xavier, "much apprécié" :)
Je vais tester avec un user lambda monogroupe, juste pour voir, et confirme le 
point.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] exploitation DC en NHO

[Erik LE VACON]

Bonjour,

A confirmer quant à la compétence et à la dispo en HNO, mais NeoSoft a plutôt 
bonne réputation, tant quant au bon traitement de son personnel qu'en termes de 
sérieux.
Sauf erreur, ils sont sur Rennes, mais ils ont une agence sur Nantes (Dixit un 
presta croisé sur un chantier commun il y a environ deux ans).
Bonne journée!

E.

- Mail original -
De: "H Kif" 
À: frsag@frsag.org
Envoyé: Jeudi 3 Décembre 2015 11:15:35
Objet: [FRsAG] exploitation DC en NHO



Bonjour, 

Suite à un incident sur notre DC pendant la nuit et n'ayant pas de système 
d'astreinte, un "grain de sable" a mis à terre notre infra. Nous sommes à la 
recherche de societés capable de fournir un service d'exploitation et de 
supervision d'un datacenter (DCIM) en heure non ouvré sur Nantes (recepetion 
d'alerte, analyse du probleme et remonté à la maintenance si nécessaire). 

Connaissez vous des sociétés capable de fournir ce service? 

Quelles seraient les clauses, selon votre expérience, a bien préciser? 

Merci par avance et bonne journée 
Vincent 



___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] NFS - Permission denied sans raison apparente

[Erik LE VACON]

Bonjour à tous,
Même problème entre un Xubuntu comme client, et un FreeBSD 10.2 côté serveur 
partageant un tank ZFS...
"On s'autorise à penser dans les milieux autorisés qu'un bug existerait dans 
les versions récentes du NFS client sous plusieurs distros Linux ."

SI quelqu'un a trouvé le pourquoi du comment (passage en unstable, ou autre), 
je suis également preneur...

Excellente journée,

- Mail original -
De: "Jonathan Tremesaygues" 
À: "Alexis Lameire" 
Cc: "French SysAdmin Group" 
Envoyé: Jeudi 3 Décembre 2015 09:24:53
Objet: Re: [FRsAG] NFS - Permission denied sans raison apparente


Il n'y a pas d'alertes dans /var/log/audit/* qui laisse supposer que ça soit 
SELinux qui pose problème. 
De plus, je pense que si SELinux était le coupable, le problème serait 
systématique et non ponctuel comme là (on doit le rencontrer deux fois par mois 
maximum et un reboot de la machine cliente concernée suffit à le contourner). 

Jonathan 



On 12/02/2015 05:28 PM, Alexis Lameire wrote: 




Tu as tester en désactivant selinux (setenforce 0) 

Alexis 
Le 2 déc. 2015 5:15 PM, "Jonathan Tremesaygues" < 
jonathan.tremesayg...@menta.fr > a écrit : 


Bonjour la liste, 

Nous disposons d'une machine sous Centos 7 utilisé en tant que serveur 
de fichiers et nos clients sont sous Centos 6. 
Des fois, quand nous tentons d'accéder à un dossier partagé, on se prend 
des "Permission denied" sans raison apparente. 

Exemple : 
[user@client ~]$ mount | grep 'type nfs' 
server:/ on /nfs type nfs 
(rw,vers=4,addr=192.168.1.10,clientaddr=192.168.1.51) 

[user@client~]$ groups 
docs Users 

[user@client~]$ls -l /nfs | grep docs 
drwxrwx---. 21 root docs 4096 Oct 7 10:54 docs 

[user@client~]$ ls -l /nfs/docs 
ls: cannot open directory /nfs/docs: Permission denied 

Configuration du serveur : 
[root@server ~]# cat /etc/exports 
/srv/nfs 
192.168.1.0/24(ro,nohide,async,no_subtree_check,no_root_squash,insecure,fsid=root)
 
/srv/nfs/docs 
192.168.1.0/24(rw,nohide,async,no_subtree_check,no_root_squash,insecure) 
(...) 

[root@server ~]# grep -v '^#' /etc/sysconfig/nfs 
RPCNFSDARGS="" 
RPCNFSDCOUNT=32 
RPCMOUNTDOPTS="-p 892 --manage-gids" 
STATDARG="" 
SMNOTIFYARGS="" 
RPCIDMAPDARGS="" 
RPCGSSDARGS="" 
GSS_USE_PROXY="yes" 
RPCSVCGSSDARGS="" 
BLKMAPDARGS="" 

Infos utiles : 
Le partage réseau est monté à la volé par autofs, l'authentification est 
gérée par LDAP + SSSD. 

Auriez-vous des pistes pour corriger ce problème ? 

Cordialement, 
Jonathan 
___ 
Liste de diffusion du FRsAG 
http://www.frsag.org/ 

___
Liste de diffusion du FRsAG
http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fwd: Dimensionnement en personnel d'un service informatique

[Erik LE VACON]

Bonjour,


@ pierre:
A mon humble avis, vous sous-évaluez grandement, Pierre. Rien que pour les postes de 
travail, on considère un admin pour 80 à 100 postes environ.

@Frédéric:
Tout dépend de ce que vous entendez par (ie: englobez dans le périmètre de) 
maintenance.

S'il s'agit d'une création de service informatique interne, 3 personnes 
expérimentées  5 ans exp. (voire 4 dont 2 dédiées au seul support parc PDT) 
est un
strict minimum, ne serait ce que pour gérer les nombreux pepins quotidiens.

Par pépins que vous ne manquerez pas d'avoir, j'entends :

- les bourrages papiers et toners à changer sur les 26 imprimantes/copieurs. 
Même si gérés via un prestation en TM, d'expérience, l'utilisateur
appellera d'abord le SD interne et lui en fera, de préférence, baver.

- les dysfonctionnements, virus, plantages et autres joyeusetés, sur les 130 
postes XP (environ) qu'il faudra migrer, l'OS étant en fin de vie et le support 
plus assuré hors
quelques rares clients types militaires.
(a moins que le souhait de l'entreprise soit de gérer les infections et breches 
de secu via un presta externe payé à prix d'or ainsi que les
frais liés aux fuites de données, à définir)
- les MAJ fréquentes sur le parc serveur (4 ou 10, la charge de travail est la même, les 
MAJ ne se passant jamais dans la joie et la bonne humeur
- le turn over de personnel: sur 400 utilisateurs dans la structure, il y aura 
nécessairement des entrées-sorties, donc de l'archivage de données, de la 
création/suppression
 de compte, de ligne tel, etc... Occupation en tps: 10% de temps de 
travail/utilisateur géré/jour avec E/S

Bon courage,


--
Erik LE VACON


 On 25/11/2014 17:23, Pierre Hureaux wrote:


Bonjour,

1 ou 2 personnes (pour le failover) suffisent.

p.



Le 25 nov. 2014 à 17:14, frederic ollivier frederic.olliv...@gmail.com a 
écrit :

Dimensionnement en personnel d'un service informatique

Bonjour;

A combien de personne (Temps plein) vous estimeriez un service informatique, 
pour faire la maintenance d'une entreprise avec environ :

400 postes clients (2/3 Windows 7, 1/3 xp)
25 imprimantes/Photocopieurs réseaux
2 serveurs sous Windows 2008
2 serveurs sous Linux Red Hat
15 commutateurs HP
1 PABX avec 100 postes téléphoniques

Par avance merci

Frédéric Ollivier

___
Liste de diffusion du FRsAG
http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fwd: Dimensionnement en personnel d'un service informatique

[Erik LE VACON]

Demande les deux !

Tu serais :
- le messie dans beaucoup de structures,
- accompagné,
- et à 45K minimum avec ton expertise (et ton évidente organisation !)

--
Erik LE VACON




On 25/11/2014 17:40, Dominique Rousseau wrote:

Le Tue, Nov 25, 2014 at 05:33:36PM +0100, frederic ollivier 
[frederic.olliv...@gmail.com] a écrit:

Merci à tous pour vos chiffres qui vont de 2 à 5, en fait, je suis tout
seul..

Je vais demandé une augmentation :)

Demandes plutot un collègue...

Franchement, sur un parc comme tu décris, je pense que 2 c'est vraiment
pas de trop. Ça permet de se répartir le tout venant et les projets à
moyen/long terme, et de partir en vacances sans que le monde s'arrete de
tourner pour les utilisateurs.



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Client XMPP SSO

[Erik LE VACON]

On 24/11/2014 15:58, ML Cybcorps wrote:

Bonjour les Admins !

Je cherche à mettre en place un système de messagerie interne à
l'entreprise basé sur XMPP.
En serveur, j'utilise Openfire couplé à l'AD, aucun problème de ce côté.

Mais pour le client, je n'arrive pas à trouver chaussure à mon pied.
Je souhaite que le client prenne en charge le SSO pour éviter aux
utilisateurs de changer leur mot de passe à de multiples endroits tous
les 3-6 mois ...

J'ai regardé du côté d'Openfire et Pandion mais ils ne semblent plus
maintenues ...

Quelques retours d'expériences possible sur des clients XMPP en entreprise ?


Cordialement,

Jordan
___
Liste de diffusion du FRsAG
http://www.frsag.org/


Bonjour,

Pidgin fonctionne pas mal, et existe en multiplateforme.
Point sympa, tu peux lui adjoindre des fonctionnalités via les plugins.

Seul bémol, je me souviens qu'il fonctionnait (à l'époque) via 
l'implémentation MIT de Kerberos client, sous windows client, à tester 
donc dans ton environnement. A voir donc si c'est toujours nécessaire, 
les developpements ayant peut être évolué depuis les derniers tests que 
j'ai menés sous windows (sous linux, aucun souci d'intégration en revanche)


Pense également à bien renseigner la variable xmpp.fqdn pour que ca 
fonctionne lors de tes tests ;)


Bonne chance,

Cordialement,

E.

--
Eric LE VACON

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] [TECH] Transferts de grandes volumétries sur liaisons à RTT important

[Erik LE VACON]

Bonsoir à tous,
Je vous contacte dans le cadre d'une recherche de solutions de 
transferts de données sur réseaux à latence importante.


Les volumétries concernées sont de plusieurs téras de données par jour, 
en transcontinental (latence de 85 à 150ms en fonction des points nous 
concernant).


La majorité des transferts se faisant traditionnellement en TCP (rsync, 
ftp, scp et autres), avec les problématiques connues générées par 
l'augmentation du RTT,  j'ai donc tenté des alternatives sur différentes 
solutions de transfert sur UDP, comme Tsunami-UDP, RBUDP et GridFTP, en 
gratuit , et Aspera en payant.


Je suis passé y compris par de la tuyauterie maison from scratch à 
base de scripts NC, PIGZ et TAR, avec multi-threads  pour le transfert...


Bref, dans tous les cas, le taquet n'est pas atteint, mais les taux de 
transferts sont intéressant, notamment sur Tsunami, mais n'atteignent 
que péniblement les 500-600mbps sur le gigabit dont nous disposons 
actuellement, malgré des raids 0 vides hors fichiers pour test, de 
chaque côté, étant capables de gérer les 100-110MBps attendus, et un 
circuit vide.


Précisons que les tests ont été menés y compris directement en sortie 
des RAD de chaque côté en off-hours, pour détecter d'éventuels pbs de 
conf sur les appliances de sécu.


Donc, la question: avez vous rencontré de telles problématiques, et si 
oui, quelles autres solutions, de type OpenSource ou à défaut peu 
couteuses, avez vous adopté pour faire face ? S'entend, solutions autres 
que les technologies de WAN-optim embarquées sur certaines baies récentes ?


Merci de vos retours,

Excellent weekend à tous,


--

 Erik
___
Liste de diffusion du FRsAG
http://www.frsag.org/