Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé
Bonjour, Il te faut effectivement un annuaire dédié administration. Toute auth backend sur l'annuaire de "prod métier" est à proscrire. J'ajouterais une CMDB de conformité des postes/VM au modèle, avec logging verbeux de toute modification. Snapshot regulier des VM admin et revert si pb. Si le template VM admin/support est générisque et standard, un revert 2 snapshot automatique sur extinction/reboot est un plus. Enfin, un bastion + fw en coupure du réseau OOB admin vs le reste du SI est impératif. Si le budget le permet, des diodes H/W existent pour environnement sensibles (overkill dans ton cas?) Prévoir une station blanche pour sanitizer les échanges via supports amovibles. Enfin, une boite à logs pour surveiller et tracer tout ce bel écosysteme admin, et tu devrais t'en sortir. Bon courage #mytwo Le 26 mai 2021 21:21:23 elpablodelcas...@netcourrier.com a écrit : Bonjour la communauté, Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support. Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes. Il s'agit de machines virtuelles Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste) 1 poste par admin sys et tech réseau 1 poste commun au support (multi utilisateurs) Des règles de FW par machine Les outils nécéssaires (putty / rdp ...) Les admins ne sont pas admin de la vm. Un antivirus est installé Pare Windows en mode bloque tout sauf RDP App locker OTP pour l'ouverture de la machine J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf ) Qu'en pensez vous ? Voyez vous d'autres point intéressantes ? Merci pour votre avis. ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Carnet d'adresse Exchange alimenté via Ldap externe
Bonjour, https://www.dirwiz.com/unitysync/ Ca peut etre une piste. Bonne chance ! E. - Mail original - De: "VAILLEAU Olivier"À: "French SysAdmin Group (frsag@frsag.org)" Envoyé: Vendredi 4 Mars 2016 09:37:41 Objet: [FRsAG] Carnet d'adresse Exchange alimenté via Ldap externe Bonjour à toute la liste, C’est mon premier post ici. J’avoue que j’aurais préféré répondre à une problématique plutôt que d’en amener une pour mon premier message. Nous utilisons la messagerie Exchange 2010, avec un parc de clients Outlook 2003, 2010 et OWA. J’ai besoin de publier un annuaire externe à notre organisation. Cet annuaire existe au format ldap, présenté publiquement sur le net. Je pensais pouvoir créer une liste d’adresse dans Exchange. J’imaginais que cette liste d’adresse s’alimente toute seule via le contenu du ldap externe (comme si Exchange agissait en tant que « proxy » ldap et en publiant tout cela dans tous les clients). Malheureusement, j’ai l’impression que les listes d’adresses d’Exchange ne peuvent contenir que des objets issus de l’AD. J’ai bien réussi à configurer mon client outlook pour obtenir un accès direct au LDAP externe, mais cela ne me convient pas car il faudra le configurer sur tous les outlooks (plus de 2000 postes) et il faudra en outre ouvrir le pare-feu pour que tout le monde puisse sortir en ldap. Connaissez-vous une solution qui me permettrait de publier cet annuaire ldap externe dans tous les clients outlook (et owa) de mon organisation ? Idéalement, depuis Exchange. Si ce n’est pas possible, j’imagine que je devrai monter un serveur LDAP interne qui ira piocher sur le net (mais j’avoue que cette solution me fait un peu peur techniquement). Merci d’avance à toutes les réponses. Cordialement, Olivier VAILLEAU olivier.vaill...@ch-sevrey.fr Direction des Systèmes d'Informations GCSC - Groupement de Coopération Sanitaire du Chalonnais. ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G
BIOS/Firmware du serveur (DELL, IBM) Si tu peux préciser ta conf hard, on peut vérifier le point - Mail original - De: "Sébastien 65" <sebastien...@live.fr> À: "Erik LE VACON" <e...@levacon.net> Cc: frsag@frsag.org Envoyé: Lundi 14 Décembre 2015 17:42:54 Objet: RE: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G Bonjour, Je n'ai pas paramétré la RAM en failover dans la configuration via debootstrap. D'ailleurs comment je peux vérifier cette information du hotspare ? Merci > Date: Mon, 14 Dec 2015 17:38:37 +0100 > From: e...@levacon.net > To: sebastien...@live.fr > CC: frsag@frsag.org > Subject: Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G > > Bonjour, > Vérifie que tu n'as pas paramétré ta RAM en failover (tu ne vois que la > moitié de ta RAM totale du fait du hotspare de chacune de tes barrettes) > Bonne fin de journée, ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G
Bonjour, Vérifie que tu n'as pas paramétré ta RAM en failover (tu ne vois que la moitié de ta RAM totale du fait du hotspare de chacune de tes barrettes) Bonne fin de journée, - Mail original - De: "Sébastien 65"À: frsag@frsag.org Envoyé: Lundi 14 Décembre 2015 17:20:39 Objet: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G Bonjour, Je viens de monter une machine Debian JESSIE x64 via debootstrap avec le Kernel suivant : apt-get install linux-image-3.16.0-4-amd64 Lecture des informations d'état... Fait linux-image-3.16.0-4-amd64 est déjà la plus récente version disponible. linux-image-3.16.0-4-amd64 passé en « installé manuellement ». Linux deb8 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1+deb8u6 (2015-11-09) x86_64 GNU/Linux J'ai 8G de RAM physique sur celle-ci (le BIOS voit bien les 8G) , Debian lui ne voit que ~4G comme si j'étais en Kernel 32... Mem Total : 3953 Mem used : 365 Mem free : 3588 Comment faire pour lui faire récupère la mémoire restante ? ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] exploitation DC en NHO
A titre de complément, jette un oeil ici: [ http://www.cesit.fr/ ] @ bientôt - Mail original - De: "H Kif" <h_...@hotmail.com> Cc: frsag@frsag.org Envoyé: Jeudi 3 Décembre 2015 13:20:33 Objet: Re: [FRsAG] exploitation DC en NHO Bonjour, Merci à tous pour vos réponses et la rapidité de celle ci. Bonne journée 2015-12-03 11:42 GMT+01:00 Erik LE VACON < e...@levacon.net > : Bonjour, A confirmer quant à la compétence et à la dispo en HNO, mais NeoSoft a plutôt bonne réputation, tant quant au bon traitement de son personnel qu'en termes de sérieux. Sauf erreur, ils sont sur Rennes, mais ils ont une agence sur Nantes (Dixit un presta croisé sur un chantier commun il y a environ deux ans). Bonne journée! E. - Mail original - De: "H Kif" < h_...@hotmail.com > À: frsag@frsag.org Envoyé: Jeudi 3 Décembre 2015 11:15:35 Objet: [FRsAG] exploitation DC en NHO Bonjour, Suite à un incident sur notre DC pendant la nuit et n'ayant pas de système d'astreinte, un "grain de sable" a mis à terre notre infra. Nous sommes à la recherche de societés capable de fournir un service d'exploitation et de supervision d'un datacenter (DCIM) en heure non ouvré sur Nantes (recepetion d'alerte, analyse du probleme et remonté à la maintenance si nécessaire). Connaissez vous des sociétés capable de fournir ce service? Quelles seraient les clauses, selon votre expérience, a bien préciser? Merci par avance et bonne journée Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] NFS - Permission denied sans raison apparente
>>La piste dont je pense est de voir si les UID/GID des users qui ont ces >>problèmes n'ont pas plus que 14 groupes, Merci Xavier, "much apprécié" :) Je vais tester avec un user lambda monogroupe, juste pour voir, et confirme le point. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] exploitation DC en NHO
Bonjour, A confirmer quant à la compétence et à la dispo en HNO, mais NeoSoft a plutôt bonne réputation, tant quant au bon traitement de son personnel qu'en termes de sérieux. Sauf erreur, ils sont sur Rennes, mais ils ont une agence sur Nantes (Dixit un presta croisé sur un chantier commun il y a environ deux ans). Bonne journée! E. - Mail original - De: "H Kif"À: frsag@frsag.org Envoyé: Jeudi 3 Décembre 2015 11:15:35 Objet: [FRsAG] exploitation DC en NHO Bonjour, Suite à un incident sur notre DC pendant la nuit et n'ayant pas de système d'astreinte, un "grain de sable" a mis à terre notre infra. Nous sommes à la recherche de societés capable de fournir un service d'exploitation et de supervision d'un datacenter (DCIM) en heure non ouvré sur Nantes (recepetion d'alerte, analyse du probleme et remonté à la maintenance si nécessaire). Connaissez vous des sociétés capable de fournir ce service? Quelles seraient les clauses, selon votre expérience, a bien préciser? Merci par avance et bonne journée Vincent ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] NFS - Permission denied sans raison apparente
Bonjour à tous, Même problème entre un Xubuntu comme client, et un FreeBSD 10.2 côté serveur partageant un tank ZFS... "On s'autorise à penser dans les milieux autorisés qu'un bug existerait dans les versions récentes du NFS client sous plusieurs distros Linux ." SI quelqu'un a trouvé le pourquoi du comment (passage en unstable, ou autre), je suis également preneur... Excellente journée, - Mail original - De: "Jonathan Tremesaygues"À: "Alexis Lameire" Cc: "French SysAdmin Group" Envoyé: Jeudi 3 Décembre 2015 09:24:53 Objet: Re: [FRsAG] NFS - Permission denied sans raison apparente Il n'y a pas d'alertes dans /var/log/audit/* qui laisse supposer que ça soit SELinux qui pose problème. De plus, je pense que si SELinux était le coupable, le problème serait systématique et non ponctuel comme là (on doit le rencontrer deux fois par mois maximum et un reboot de la machine cliente concernée suffit à le contourner). Jonathan On 12/02/2015 05:28 PM, Alexis Lameire wrote: Tu as tester en désactivant selinux (setenforce 0) Alexis Le 2 déc. 2015 5:15 PM, "Jonathan Tremesaygues" < jonathan.tremesayg...@menta.fr > a écrit : Bonjour la liste, Nous disposons d'une machine sous Centos 7 utilisé en tant que serveur de fichiers et nos clients sont sous Centos 6. Des fois, quand nous tentons d'accéder à un dossier partagé, on se prend des "Permission denied" sans raison apparente. Exemple : [user@client ~]$ mount | grep 'type nfs' server:/ on /nfs type nfs (rw,vers=4,addr=192.168.1.10,clientaddr=192.168.1.51) [user@client~]$ groups docs Users [user@client~]$ls -l /nfs | grep docs drwxrwx---. 21 root docs 4096 Oct 7 10:54 docs [user@client~]$ ls -l /nfs/docs ls: cannot open directory /nfs/docs: Permission denied Configuration du serveur : [root@server ~]# cat /etc/exports /srv/nfs 192.168.1.0/24(ro,nohide,async,no_subtree_check,no_root_squash,insecure,fsid=root) /srv/nfs/docs 192.168.1.0/24(rw,nohide,async,no_subtree_check,no_root_squash,insecure) (...) [root@server ~]# grep -v '^#' /etc/sysconfig/nfs RPCNFSDARGS="" RPCNFSDCOUNT=32 RPCMOUNTDOPTS="-p 892 --manage-gids" STATDARG="" SMNOTIFYARGS="" RPCIDMAPDARGS="" RPCGSSDARGS="" GSS_USE_PROXY="yes" RPCSVCGSSDARGS="" BLKMAPDARGS="" Infos utiles : Le partage réseau est monté à la volé par autofs, l'authentification est gérée par LDAP + SSSD. Auriez-vous des pistes pour corriger ce problème ? Cordialement, Jonathan ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Fwd: Dimensionnement en personnel d'un service informatique
Bonjour, @ pierre: A mon humble avis, vous sous-évaluez grandement, Pierre. Rien que pour les postes de travail, on considère un admin pour 80 à 100 postes environ. @Frédéric: Tout dépend de ce que vous entendez par (ie: englobez dans le périmètre de) maintenance. S'il s'agit d'une création de service informatique interne, 3 personnes expérimentées 5 ans exp. (voire 4 dont 2 dédiées au seul support parc PDT) est un strict minimum, ne serait ce que pour gérer les nombreux pepins quotidiens. Par pépins que vous ne manquerez pas d'avoir, j'entends : - les bourrages papiers et toners à changer sur les 26 imprimantes/copieurs. Même si gérés via un prestation en TM, d'expérience, l'utilisateur appellera d'abord le SD interne et lui en fera, de préférence, baver. - les dysfonctionnements, virus, plantages et autres joyeusetés, sur les 130 postes XP (environ) qu'il faudra migrer, l'OS étant en fin de vie et le support plus assuré hors quelques rares clients types militaires. (a moins que le souhait de l'entreprise soit de gérer les infections et breches de secu via un presta externe payé à prix d'or ainsi que les frais liés aux fuites de données, à définir) - les MAJ fréquentes sur le parc serveur (4 ou 10, la charge de travail est la même, les MAJ ne se passant jamais dans la joie et la bonne humeur - le turn over de personnel: sur 400 utilisateurs dans la structure, il y aura nécessairement des entrées-sorties, donc de l'archivage de données, de la création/suppression de compte, de ligne tel, etc... Occupation en tps: 10% de temps de travail/utilisateur géré/jour avec E/S Bon courage, -- Erik LE VACON On 25/11/2014 17:23, Pierre Hureaux wrote: Bonjour, 1 ou 2 personnes (pour le failover) suffisent. p. Le 25 nov. 2014 à 17:14, frederic ollivier frederic.olliv...@gmail.com a écrit : Dimensionnement en personnel d'un service informatique Bonjour; A combien de personne (Temps plein) vous estimeriez un service informatique, pour faire la maintenance d'une entreprise avec environ : 400 postes clients (2/3 Windows 7, 1/3 xp) 25 imprimantes/Photocopieurs réseaux 2 serveurs sous Windows 2008 2 serveurs sous Linux Red Hat 15 commutateurs HP 1 PABX avec 100 postes téléphoniques Par avance merci Frédéric Ollivier ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Fwd: Dimensionnement en personnel d'un service informatique
Demande les deux ! Tu serais : - le messie dans beaucoup de structures, - accompagné, - et à 45K minimum avec ton expertise (et ton évidente organisation !) -- Erik LE VACON On 25/11/2014 17:40, Dominique Rousseau wrote: Le Tue, Nov 25, 2014 at 05:33:36PM +0100, frederic ollivier [frederic.olliv...@gmail.com] a écrit: Merci à tous pour vos chiffres qui vont de 2 à 5, en fait, je suis tout seul.. Je vais demandé une augmentation :) Demandes plutot un collègue... Franchement, sur un parc comme tu décris, je pense que 2 c'est vraiment pas de trop. Ça permet de se répartir le tout venant et les projets à moyen/long terme, et de partir en vacances sans que le monde s'arrete de tourner pour les utilisateurs. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Client XMPP SSO
On 24/11/2014 15:58, ML Cybcorps wrote: Bonjour les Admins ! Je cherche à mettre en place un système de messagerie interne à l'entreprise basé sur XMPP. En serveur, j'utilise Openfire couplé à l'AD, aucun problème de ce côté. Mais pour le client, je n'arrive pas à trouver chaussure à mon pied. Je souhaite que le client prenne en charge le SSO pour éviter aux utilisateurs de changer leur mot de passe à de multiples endroits tous les 3-6 mois ... J'ai regardé du côté d'Openfire et Pandion mais ils ne semblent plus maintenues ... Quelques retours d'expériences possible sur des clients XMPP en entreprise ? Cordialement, Jordan ___ Liste de diffusion du FRsAG http://www.frsag.org/ Bonjour, Pidgin fonctionne pas mal, et existe en multiplateforme. Point sympa, tu peux lui adjoindre des fonctionnalités via les plugins. Seul bémol, je me souviens qu'il fonctionnait (à l'époque) via l'implémentation MIT de Kerberos client, sous windows client, à tester donc dans ton environnement. A voir donc si c'est toujours nécessaire, les developpements ayant peut être évolué depuis les derniers tests que j'ai menés sous windows (sous linux, aucun souci d'intégration en revanche) Pense également à bien renseigner la variable xmpp.fqdn pour que ca fonctionne lors de tes tests ;) Bonne chance, Cordialement, E. -- Eric LE VACON ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] [TECH] Transferts de grandes volumétries sur liaisons à RTT important
Bonsoir à tous, Je vous contacte dans le cadre d'une recherche de solutions de transferts de données sur réseaux à latence importante. Les volumétries concernées sont de plusieurs téras de données par jour, en transcontinental (latence de 85 à 150ms en fonction des points nous concernant). La majorité des transferts se faisant traditionnellement en TCP (rsync, ftp, scp et autres), avec les problématiques connues générées par l'augmentation du RTT, j'ai donc tenté des alternatives sur différentes solutions de transfert sur UDP, comme Tsunami-UDP, RBUDP et GridFTP, en gratuit , et Aspera en payant. Je suis passé y compris par de la tuyauterie maison from scratch à base de scripts NC, PIGZ et TAR, avec multi-threads pour le transfert... Bref, dans tous les cas, le taquet n'est pas atteint, mais les taux de transferts sont intéressant, notamment sur Tsunami, mais n'atteignent que péniblement les 500-600mbps sur le gigabit dont nous disposons actuellement, malgré des raids 0 vides hors fichiers pour test, de chaque côté, étant capables de gérer les 100-110MBps attendus, et un circuit vide. Précisons que les tests ont été menés y compris directement en sortie des RAD de chaque côté en off-hours, pour détecter d'éventuels pbs de conf sur les appliances de sécu. Donc, la question: avez vous rencontré de telles problématiques, et si oui, quelles autres solutions, de type OpenSource ou à défaut peu couteuses, avez vous adopté pour faire face ? S'entend, solutions autres que les technologies de WAN-optim embarquées sur certaines baies récentes ? Merci de vos retours, Excellent weekend à tous, -- Erik ___ Liste de diffusion du FRsAG http://www.frsag.org/