[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.

2024-03-20 Par sujet ml-frsag 

Bonsoir,

Très franchement, entre les PME où les équipes d'infras sont réduites et 
assez prises par les incendies à éteindre ou des utilisateurs un peu 
trop insistants, et les grosses structures qui ont trop de certificats à 
gérer pour le faire à la main, l'automatisation c'est pas si mal.


On peut rigoler, mais j'ai bien souvent vu en PME les certificats TLS 
renouvelés dans la semaine après leur expiration. Et ca, c'est quand 
l'équipe responsable n'a pas sa semaine réservée pour un workshop dans 
un coin sans internet.


Une bonne automatisation, avec une bonne supervision pour valider que 
tout marche, c'est ca en moins dans les tâches d'exploitations 
courantes, pour quelque chose qui n'a que peu de valeur ajoutée quand 
c'est fait manuellement, au même titre que personne ne va non plus 
lancer les backups de son infra manuellement tout les matins.


Le 20/03/2024 à 14:59, Laurent Barme a écrit :


Le 20/03/2024 à 14:51, David Ponzone a écrit :


Le 20 mars 2024 à 14:40, Laurent Barme <2...@barme.fr 
> a écrit :


Indépendamment, je trouve cela surprenant cette limite de validité à 
90 jours pour les certificats LE. Sans parler d'une sollicitation 
moindre de leurs serveurs, si cela avait été un an, nous n'aurions 
jamais eu cette discussion.





https://letsencrypt.org/2015/11/09/why-90-days.html 



C’est un point de vue qui se défend.


Intéressant ; merci pour le lien.

Mais l'automatisation systématique est-elle vraiment un gage de sécurité 
absolue ?


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Re: [FRsAG] Debian preseed lvm crypté

2022-01-12 Par sujet ML 

Hello Jason,

Voila ce que je faisais dans un preseed Ubuntu sur des laptops dell.

a noter que je n'ai jamais réussi à faire autrement qu'avec le 
partitionnement automatique.


dorénavant, j'utilise https://launchpad.net/cubic, et je ne sais pas si 
il existe un équivalent pour debian



# Precommand to get disk to partition
d-i partman/early_command string \
USB_DEVICE=$(df -Th | awk '/cdrom/ {print $1}' | sed 's/[0-9]*//g'); \
HDD_DEVICE=$(parted --script --list 2>/dev/null | grep "/dev/" | grep -v 
"$USB_DEVICE" | awk '{print $2" "$4}' | sort -h | head -1 | cut -d' ' 
-f1 ); \

debconf-set partman-auto/disk "$HDD_DEVICE"; \
debconf-set grub-installer/bootdev "$HDD_DEVICE" ;

# autopart with crypto
d-i partman-crypto/passphrase   password  CHANGEME
d-i partman-crypto/passphrase-again password  CHANGEME
d-i partman-lvm/confirm boolean true
d-i partman-auto-lvm/guided_size string max
d-i partman-auto/method string crypto
d-i partman-lvm/device_remove_lvm boolean true
d-i partman-md/device_remove_md boolean true
d-i partman-auto/choose_recipe select boot-crypto
d-i partman-auto-lvm/new_vg_name string crypt
d-i partman-partitioning/confirm_write_new_label boolean true
d-i partman/choose_partition select finish
d-i partman/confirm boolean true
d-i partman/confirm_nooverwrite boolean true




On 11/01/2022 21:24, Jason Delhomme via FRsAG wrote:

Bonsoir à tous !

Je viens vers le groupe afin de trouver un âme charitable qui pourrait
me sortir de l'ornière :P

Je suis en pleine configuration d'un preseed Debian 11 afin de créer
une partition encryptée LUKS et y ajouter un volume LVM.
J'ai trouvé quelques infos sur quelques directives partman mais à
priori rien de concluant.

Lors de la création du VG à l'installation partman ne trouve pas de
volume physique associé à ce VG hors il est bel et bien déclaré dans la
recette...

Si quelqu'un à déjà bossé sur le sujet, je suis preneur.

Merci et bonsoir à tous :)

--
Jason.

___
Liste de diffusion du FRsAG
http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] remplacer ce bon vieux nagios

2017-08-24 Par sujet ML 

Bonjour cher confrères,

Notre nagios commence à se faire vieux et hormis Zabbix, je peine à lui 
trouver un remplaçant simple à mettre en oeuvre.
On adore la nagios bar pour firefox et les app sur android... mais 
pareil ça commence à ne plus être compatible avec les versions récentes.


Quels sont vos outils préférés pour monitorer vos serveurs (chez nous on 
a que du serveur web a surveiller) ?


Voici ce que mes recherches ont donné jusqu'ici :

- Zabbix : pas mal mais un peu complexe à mettre en place et pas 
d'extensions pour navigateur ou smartphone
- Netdata : très bien pour faire des graphes en temps réel mais les 
alertes sont mal foutues et peu explicites

- Centreon : pas testé.
- Prometheus.io : faut tout faire soit même ? pas bien compris.

Merci d’avance pour vos réponses.

Quentin




___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Développeur C

2016-12-21 Par sujet Cédric ML 

Bonjour,

Nous cherchons un développeur C pour une mission d'environs 10 mois.
Le sujet est l'implémentation d'une norme dans un environnement de VOIP.
Expérience en développement C (Environement Linux) obligatoire, ainsi 
que la connaissance du SIP.

Poste à Nantes.
Pas de SSII.
Merci de me contacter en message privé.

Cordialement,
Cédric

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Client XMPP SSO

2014-11-24 Par sujet ML Cybcorps 
Bonjour les Admins !

Je cherche à mettre en place un système de messagerie interne à
l'entreprise basé sur XMPP.
En serveur, j'utilise Openfire couplé à l'AD, aucun problème de ce côté.

Mais pour le client, je n'arrive pas à trouver chaussure à mon pied.
Je souhaite que le client prenne en charge le SSO pour éviter aux
utilisateurs de changer leur mot de passe à de multiples endroits tous
les 3-6 mois ...

J'ai regardé du côté d'Openfire et Pandion mais ils ne semblent plus
maintenues ...

Quelques retours d'expériences possible sur des clients XMPP en entreprise ?


Cordialement,

Jordan
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Client XMPP SSO

2014-11-24 Par sujet ML 
Merci pour vos réponses !



 Pidgin fonctionne pas mal, et existe en multiplateforme.
 Point sympa, tu peux lui adjoindre des fonctionnalités via les plugins.

 Seul bémol, je me souviens qu'il fonctionnait (à l'époque) via
 l'implémentation MIT de Kerberos client, sous windows client, à tester
 donc dans ton environnement. A voir donc si c'est toujours nécessaire,
 les developpements ayant peut être évolué depuis les derniers tests
 que j'ai menés sous windows (sous linux, aucun souci d'intégration en
 revanche)
J'utilise déjà Pidgin sur les postes Linux, aucun soucis effectivement !
Mais je n'ai pas trouvé de plugins permettant le SSO =/

 Pense également à bien renseigner la variable xmpp.fqdn pour que ca
 fonctionne lors de tes tests ;)
C'est fait ;)



 A - que le client XMPP sur le poste puisse d’appuyer sur le jeton AD de façon 
 à ce que l’utilisateur n’ait pas à ressaisir son mot de passe à l’ouverture 
 du client XMPP ?
 B - ou simplement que l’utilisateur puisse saisir son login/passw AD dans le 
 client XMPP pour s’authentifier ?

 B suffit pour répondre au problème « ne pas changer son mot de passe à de 
 multiples endroits ».
C'est la solution A que je souhaite.
En fait, nous allons mettre une politique d'expiration des mot de passe
mais on en évitant au maximum les contraintes utilisateurs. Je cherche
le Graal je sais ;)


 pourquoi ne pas utiliser une solution gratuite comme HipChat ? 
 L'OP n'a peut-être pas envie de dépendre d'un service tiers pour sa
 messagerie interne.
Exactement ;)




Jordan
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Déploiement application via tomcat-manager

2014-05-22 Par sujet ML Cybcorps 

Salut la liste !

Petite question sur Tomcat 7 et plus particulièrement sur l'utilisation 
du Tomcat-Manager.


Dans mon fichier server.xml j'ai mis :

/Host name=mydomain.td autoDeploy=true deployOnStartup=true//
//Logger className=org.apache.catalina.logger.FileLogger//
//directory=/var/log/tomcat7/appli1 prefix=app1- 
suffix=.log//

//timestamp=true///
//Context path=//
// allowLinking=true//
// docBase=/var/lib/tomcat7/webapps/app1//
// reloadable=true ///
//  /Host/


Puis via le manager je déploie le war app1.war il semble bien se 
déployer mais lorsque je me connecte à l'appli j'ai une erreur 404. Il 
me faut redémarrer le serveur tomcat pour avoir accès à l'application.


Je ne vois pas de problème dans les logs.

Extrait du fichier de logs du catalina.out :

/May 22, 2014 4:21:15 PM org.apache.catalina.startup.HostConfig deployWAR//
//INFO: Deploying web application archive 
/var/lib/tomcat7/webapps/app1.war//

//May 22, 2014 4:21:20 PM org.apache.catalina.startup.HostConfig deployWAR//
//INFO: Deploying web application archive 
/var/lib/tomcat7/webapps/app1.war//

//May 22, 2014 4:21:20 PM org.apache.catalina.core.ApplicationContext log//
//INFO: Initializing Spring root WebApplicationContext//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.393 DEBUG DataBuilder  - 
No patterns for operating system entry (with id '114') available.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.394 INFO DataBuilder  - 
No pattern available for 'Other'.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.394 INFO DataBuilder  - 
No pattern available for 'Personal computer'.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.499 DEBUG DataBuilder  - 
No patterns for operating system entry (with id '114') available.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.499 INFO DataBuilder  - 
No pattern available for 'Other'.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.499 INFO DataBuilder  - 
No pattern available for 'Personal computer'.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:43.505 DEBUG 
CachingXmlDataStore  - The cache file is filled and will be imported.//
//[update-operation] 2014/05/22|16:21:43.559 DEBUG 
AbstractUpdateOperation  - No update available. Current version is 
'20140523-01'.//
//[mydomain.td-startStop-4] 2014/05/22|16:21:44.904 INFO 
SingleSignOutFilter  - Property [artifactParameterName] not found.  
Using default value [ticket]//
//[mydomain.td-startStop-4] 2014/05/22|16:21:44.904 INFO 
SingleSignOutFilter  - Property [logoutParameterName] not found. Using 
default value [logoutRequest]//

//May 22, 2014 4:21:44 PM org.apache.catalina.startup.HostConfig deployWAR//
//INFO: Deploying web application archive 
/var/lib/tomcat7/webapps/app1.war//

//May 22, 2014 4:21:45 PM org.apache.catalina.core.ApplicationContext log//
//INFO: Initializing Spring root WebApplicationContext//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:05.700 DEBUG 
DataBuilder  - No patterns for operating system entry (with id '114') 
available.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:05.700 INFO 
DataBuilder  - No pattern available for 'Other'.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:05.700 INFO 
DataBuilder  - No pattern available for 'Personal computer'.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:06.528 DEBUG 
DataBuilder  - No patterns for operating system entry (with id '114') 
available.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:06.529 INFO 
DataBuilder  - No pattern available for 'Other'.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:06.529 INFO 
DataBuilder  - No pattern available for 'Personal computer'.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:06.534 DEBUG 
CachingXmlDataStore  - The cache file is filled and will be imported.//
//[update-operation] 2014/05/22|16:22:06.640 DEBUG 
AbstractUpdateOperation  - No update available. Current version is 
'20140523-01'.//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:07.089 INFO 
SingleSignOutFilter  - Property [artifactParameterName] not found.  
Using default value [ticket]//
//[www.mydomain.td-startStop-4] 2014/05/22|16:22:07.090 INFO 
SingleSignOutFilter  - Property [logoutParameterName] not found. Using 
default value [logoutRequest]/



Il me semble pourtant que le manager permet de déployer sans à avoir à 
redémarrer le tomcat, je me trompe ?


Merci d'avance pour vos idées ;)


Jordan

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Lot FRsAG, Vol 13, Parution 17

2011-07-26 Par sujet vincent+ml . frsag 

if header :contains Subject Re: [FRsAG] Lot FRsAG {
discard;
stop;
}

Allez hop! Poubelle les malpropres.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mini portail de sysadmin

2011-01-22 Par sujet ml 

Des retours m'intéressent.

Perso j'utilise du redmine: un projet par client.
Ca me permet de noter aussi mes heures/clients.

Après ce qu'il me manque (c'est en partie fait mais ça marche pas 
encore comme je le voudrais) serait des insert auto from nagios/mes 
outils d'alerte.


Bon, par contre oui ça commence à être lourd, et à chaque fois je dois 
former un peu le client à l'utilisation de redmine (ils ont la facheuse 
habitude de mettre tout à urgent).


Après bon, environ 20% s'en serve réellement comme il faut donc c'est 
déjà ça. Moi pour ma facturation ça me permet de faire des bons relevés. 
Donc gros avantage pour un freelance comme moi c'est le timetracking.


Après j'avoue qu'un outils plus simple pourrait être pas mal.

Pareil pour ce qui est de munin/nagios, mes clients adorent les 
graphiques, j'en reviens pas, alors généralement je leur créé des sous 
répertoires pour eux avec des belles courbes ;)


Le 22/01/2011 13:51, Greg a écrit :

Bonjour !

J'administre les 6 serveurs d'un site web qui monte, et par faute de
temps je faisais le travail un peu à la va vite. Maintenant que le site
commence à prendre de la notoriété et à gagner en sérieux, je me dis
qu'il est temps de passer aux étapes suivantes qui consistent à
améliorer le quotidien du sysadmin, à savoir une sorte de portail avec
un lien vers les différents outils actuels et à venir: graphs, nagios,
manager de l'hébergeur, stats memcache, stats interne, etc ...
(Les étapes de redondance et de backups sont déjà faites...)

Au lieu de réinventer la roue, je me demandais ce que vous utilisiez
pour vos besoins ?
Niveau pro, j'utilise un Trac + une page bookmark, mais c'est un peu
sortir l'artillerie lourde pour une 12ène de liens ...
Je me demande aussi si je devrais pas utiliser un outils pour moi pour
gérer mes différents clients, avec un accès restreints pour chaque
clients...

Après ça, je vais peut-être me lancer sur Puppet ...

Bon week-end !
--
Greg



___
Liste de diffusion du FRsAG
http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Problème d'import d'un dump MySQL

2010-12-10 Par sujet ml 

Le 10/12/2010 14:08, Antoine Benkemoun a écrit :

Merci pour vos réponses !

Je fais l'import avec mysql -u root -p  dump.sql


Tu oublierais pas le nom de ta base ?



Les données sont bien dans le dump car lorsque je l'insert dans le
premier serveur, les données apparaissent bien.


___
Liste de diffusion du FRsAG
http://www.frsag.org/