Re: [FRsAG] Re : Clone machine physique vers machine virtuelle ?

2021-06-29 Par sujet Xavier Claude 
Salut,

Il y a http://archive.debian.org/ pour avoir des dépôts de toutes les vieilles 
versions. Il peut être utile de désactiver la vérification des signatures des 
paquets aussi, car les signatures des dépôts ont peut-être expiré aussi.

Xavier.
‐‐‐ Original Message ‐‐‐
Le mardi 29 juin 2021 à 9:42 AM, Sébastien 65  a écrit :

> Merci à tous pour les premiers éléments ! 
>
> Concernant P2V il faut installer quelque chose sur le serveur Linux non ? 
> Comme indiqué je pense que je vais galerer car les dépôts sont obsolètes... 
>
> De : SIMANCAS Hugo 
>
> Envoyé : mardi 29 juin 2021 07:19
>
> À : Sébastien 65 ; frsag@frsag.org 
>
> Objet : Re: [FRsAG] Clone machine physique vers machine virtuelle ?
>
> Salut
>
> P2V avec vmware converter ou via clonezilla.
>
> Hugo
>
> Sent from Nine
>
> De : Sébastien 65 
>
> Envoyé : mardi 29 juin 2021 07:10
>
> À : frsag@frsag.org
>
> Objet : [FRsAG] Clone machine physique vers machine virtuelle ?
>
> > Bonjour,
> >
> > J'ai un vieux serveur HP (XEON  5150, 10Gb RAM) qui tourne sous Debian 8.6 
> > avec une application qui n'existe plus dans les dépôts...
> > Je ne peux pas non plus réinstaller cette machine sur une plus récente car 
> > l'application n'est plus maintenue pour cette version de Debian.
> >
> > Est-il possible de faire un clone de la machine existante et ensuite de la 
> > porter sur une machine virtuelle (VMWare) ?
> >
> > Quelles sont mes options ?
> >
> > Merci
>
> / ::1 \ Hugo SIMANCAS
>
> Directeur Technique Associé
>
> https://www.data-expertise.com
>
> Support technique : 09 78 23 20 29
>
> Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57
>
> Mobile : 06 95 44 29 64
>
> !Utilisez notre plateforme visio libre & gratuite : 
> https://conf.data-expertise.com/
>
> !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
>
> Les informations contenues dans ce courrier électronique sont confidentielles 
> et protégées par le secret professionnel. En tout état de cause, elles ne 
> sont destinées qu'à la personne ou entreprise dont le nom est mentionné 
> ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute 
> erreur dans la transmission de ce document. Si vous n'êtes pas le 
> destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de 
> poursuites à en prendre des copies, le divulguer ou le diffuser. La présence 
> de cette note prouve également que ce message électronique a été vérifié par 
> un logiciel anti-virus.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] limiter les accès internet à une poignée de site internet.

2020-10-02 Par sujet Xavier Claude 

Le 2/10/20 à 09:16, David Ponzone a écrit :
Oui, et je le redis (je dois trop dire de conneries, plus personne me 
lit), la solution c’est le Referer :)

D’ailleurs McAfee sait le faire:

https://community.mcafee.com/t5/Web-Gateway/Whitelist-and-external-references/td-p/306974 



Ca sera probablement pas parfait.
Si McAfee sait le faire, je pense que Squid aussi, quand même.


Oui, acl aclname referer_regex

http://www.squid-cache.org/Doc/config/acl/

Par contre, je ne sais pas à quel point ça se contourne facilement pour 
avoir accès à plus de sites que permis. Et si le navigateur envoit bien 
le referer pour toutes les requêtes, notament, il faut peut-être forcer 
la valeur du Referer policy 
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy


Xavier.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Certificat Web Marchand

2017-09-14 Par sujet Xavier Claude 

Le 2017-09-14 12:42, Wallace a écrit :

Je rejoins ceux qui disent qu'un certificat payant est identique en
service rendu à Letsencrypt.

De mon côté je préviens néanmoins les clients d'une chose peut importe
l'autorité de certification.

Quand une autorité émet un certificat illégitime elle se fait radier 
des

navigateurs pour la partie web et des certificats racines des OS.

On a déjà vu arriver cela à des autorités payantes avec des gars qui je
suppose, savent la sanction qui arriverait s'ils développaient mal 
leurs

API ou parcours achat.

Letsencrypt aussi génial que c'est, permet de tester en illimité ou
presque le processus de validation. Je n'espère pas mais je pense
néanmoins que le risque que cela arrive est non nul, lorsque quelqu'un
trouvera une faille et émettra des certificats gmail.com et consorts.
Cela a beau être soutenu par Google, Mozilla, ... ils seront obligés
d'être exemplaires et d'appliquer la même sanction à savoir retirer
l'autorité dans les nav et les OS.


Alors, je pense que justement ce ne sera pas le cas. Les CA à qui s'est 
arrivé n'ont pas eu de problème technique. Elles ont volontairement 
tricher, et elles ont encore plus tricher quand elles été prise sur le 
fait (coucou Wosign). Alors, c'est bien sûr difficile de prévoir le 
futur, mais on peut imaginer que s'il y a une faille, elle soit traité 
correctement du côté de Let's encrypt, ce qui veut dire que les 
navigateurs ne la banniront.



Ce que je dis donc à mes clients, oui on vous met un Letsencrypt, par
contre il y a un risque à mon sens un peu plus élevé que cette autorité
soit bannie du jour au lendemain. On sera là pour acheter des
certificats ailleurs mais on aura pas mal de taf en quelques heures 
pour

tous les remplacer ...


Pour Wosign, la sanction n'a pas été immédiate, il a fallu des 
discussions (au moins en partie publique chez Mozilla). Tout les clients 
de la CA ont eu des mois pour se tourner vers une CA en voyant le cap 
que prenaient les discussions. Je pense qu'on aura le temps de voir 
venir à ce moment là.

--
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Serveur virtuel dynamique

2017-09-14 Par sujet Xavier Claude 

Le 2017-09-14 11:13, HURTEVENT VINCENT a écrit :

En ajouter à chaud, c’est globalement pris en charge sans rien
faire (Windows, certains Linux) ou manuellement en activant le cpu ou
la ram supplémentaire

En retirer à chaud, c’est nettement moins facile, à ma
connaissance pas possible.


C'est possible avec Qemu, exemple avec le CPU: 
http://www.unixarena.com/2015/12/linux-kvm-how-to-add-remove-vcpu-to-guest-on-fly.html 
exemple avec la mémoire: 
https://pve.proxmox.com/wiki/Hotplug_(qemu_disk,nic,cpu,memory)#Memory_hot-unplug 
(il semble que ce ne soit pas encore très stable par contre).

--
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Certificat Web Marchand

2017-09-14 Par sujet Xavier Claude 

Le 2017-09-13 12:43, Jonathan Leroy a écrit :

Le 13 septembre 2017 à 11:51, Artur  a écrit :
Attention tout de même pour Let's Encrypt et l'e-commerce. Let's 
Encrypt ne
vérifie PAS l'identité de celui qui crée le certificat. Il n'y a donc 
pas de

relation vérifiée entre le déposant et le nom dans le certificat.

Let's Encrypt est très bien quand on a juste besoin de ne pas faire 
circuler

les informations en clair sur le réseau et ne pas avoir des messages
d'avertissement du navigateur, mais c'est tout.


Let's Encrypt applique les règles du CA/Browsers Forum, comme tous les 
CA.

Donc tu peux acheter un certificat DV ou tu veux, la procédure de
validation sera toujours la même.

Le reste c'est du FUD :)

Après il existe des certificat OV et EV, mais soyons clair : c'est du
bullshit. Même si l'identité du client est vérifiée lors de l'achat du
certificat, ça ne prouve en *rien* que ton navigateur dialogue bien
avec l'entité en question. Leurs serveurs peuvent avoir été piratés,
par exemple.


Il semblerait que la vérification au niveau EV est assez light 
https://linuxfr.org/users/zenitram/journaux/ssl-ev-etendue-oui-validation-euh


--
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Vulners Linux vulnerability database

2017-05-22 Par sujet Xavier Claude 
On lundi 22 mai 2017 19 h 14 min 08 s CEST Sébastien Caloone wrote:
> Bonjour,
> il y à peu je suis tombé sur ce "scanner" de vulnérabilités.
> On peux copier/coller la liste de nos package afin qu'il nous donne les
> packages non à jour et les CVE associés.

Avec debsecan, tu peux donner le dpkg.status et avoir la liste des cve. En 
plus, il te dit si c'est corrigé ou pas.
-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Aide firewall pfsense

2017-04-11 Par sujet Xavier Claude 
Tant qu'on est dans les problèmes de switch. Si je ne me trompe pas, la
mac du carp est dérivée du carp id. S'il y a deux fois le même carp id
sur le même switch sur des interfaces différentes, ça peut faire des
comportement bizarre.
-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Aide firewall pfsense

2017-04-10 Par sujet Xavier Claude 
On lundi 10 avril 2017 11 h 20 min 50 s CEST Tactical butterflyop wrote:
> Bonjour,
> 
> j'aurais besoin de conseils pour un soucis concernant une redondance
> physique pfsense avec CARP.
> 
> La boite dans laquelle je travaille n'avait qu'un firewall sous pfsense,
> j'ai donc proposé de faire un firewall slave pour redonder celui ci en cas
> de problème.
> 
> J'ai donc remis un place un second pfsense à l'identique du premier (ou
> presque). Des interfaces CARP ont été déclarées sur toutes les interfaces
> des firewall, j'ai réussi à faire fonctionner la synchronisation des
> firewall, et le slave est bien en statut backup sur toutes les interfaces.
> Enfin, toutes sauf pour le WAN...
> 
> Je n'arrive pas à trouver pourquoi la CARP sur l'interface WAN ne
> fonctionne pas correctement, mais je ne peux pas tester avec le firewall
> slave branché car celui ci se déclare MASTER en WAN, sans possibilité
> d'accèder à internet (alors qu'il le devrait), et fait planter tout notre
> réseau.
> 
> La CARP sur la partie WAN est déclarée sur une IP de type réseau privé,
> l'interface WAN possède quand à elle l'IP publique de la boite.
> 
> On a aussi des alias d'interface sur l'interface WAN qui correspondent aux
> deux autres IP publiques de la boite.
> 
> Lors de mes précédents tests, brancher les deux firewall a eu pour effet de
> faire planter tout le réseau (plus d'accès à internet), et les alias
> d'interfaces ont plantés, redant inaccessible des sites web clients (on
> utilise les ip publiques pour faire du port forwarding selon les services
> en gros)
> 
> Quelqu'un aurait des conseils, des retours d'expérience ou une piste que je
> pourrais explorer? je suis à court d'idées

Salut,

On dirait que les deux firewall ne se voient pas sur le WAN. Si tu fait un 
tcpdump sur le second (sans configurer le carp dessus pour qu'il ne devienne 
pas master), est-ce que tu vois bien le multicast carp du premier firewall ?

Si tu vois bien le carp, est-ce que tu as bien la même configuration sur le 
carp (même password, même demote (ou demote inférieur sur le premier), même 
ordre pour définir les alias) ?
-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] cluster web partage de fichiers

2016-05-18 Par sujet Xavier Claude 
On Tuesday 17 May 2016 17:02:46 Wallace wrote:
> Bonjour à tous,
> 
> Pour faire des clusters web avec espace de fichiers partagés j'ai
> utilisé pas mal de technique depuis plus de 15 ans :
> - NFS début des années 2000 vite abandonné
> - lun partagée en iscsi et oc2fs testé jusqu'à 9 serveurs
> - DRBD limité à 2 serveurs
> - GlusterFS sympa sur le papier mais pas performant
> - CephFS que j'adore mais le coût initial en serveur n'est pas adapté 
à
> toutes les architectures
> - inotify / rsync et dérivé en mode bidouillage
> - cluster de php fpm déportés du serveur web mais nécessite que le 
code
> php ne doive pas manipuler de fichiers
> 
> Le souci c'est qu'avec toutes ces solutions j'ai un beau panel pour
> m'adapter mais cela ne suffit pas.
> Là j'ai un cas concret où j'ai 2 serveurs front web Nginx / PHP-FPM où
> les mêmes sites doivent être servis MAIS le client ne veut pas et n'a
> pas les moyens d'avoir un partage correct genre Ceph.
> Je sais que la solution doit pouvoir monter à 3/4 serveurs web si la
> charge augmente pendant la saisonnalité du client ce qui écarte la
> réplication DRBD qui fait très bien son boulot en dual master pour 2
> serveurs.

Depuis la version 9, DRBD gère jusqu'à 16 noeuds. 
https://www.drbd.org/en/doc/users-guide-90/s-multi-node

Par contre, je ne l'ai pas encore testé. Donc, je ne sais pas ce que ça 
vaut au niveau perf ou facilité d'administration.
--
Xavier
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Messagerie instantanée en entreprise

2016-04-25 Par sujet Xavier Claude 
Le lundi 25 avril 2016 21:16:48 Arnaud Launay a écrit :
> Du coup pour le moment, sur wheezy (ou jessie...) on reste en
> 4.0.1, qui est la dernière version qui fonctionne en java7.
> La 4.0.2 ne fonctionne plus. Ca surprend quand on veut se faire
> une petite upgrade simple d'une mineure qui corrige quelques bugs...

Salut,

openjdk-8-jre est dans les backports 
https://packages.debian.org/jessie-backports/openjdk-8-jre

-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Kernel x64 ne voit que 4G de ram sur les 8G

2015-12-16 Par sujet Xavier Claude 
Le mercredi 16 décembre 2015 15:16:07 Sébastien 65 a écrit :
> Comme il n'y a pas de lecteur CD ou de port VGA, je n'ai que le debootstrap
> via une carte flash pour installer l'OS. Je travaille en mode console-data,
> donc pas possible de lancer un live-cd en mode graphique :(

Salut,

Que donne un lshw -class memory et/ou un dmidecode ?
-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] MariaDB + Docker

2015-08-04 Par sujet Xavier Claude 

Le 2015-08-04 13:19, Rémy Sanchez a écrit :

Bonjour à tous,

Je suis plutôt intéressé par les promesses de Docker et en
particulier de CoreOS, et effectivement de premiers essais montrent
que c'est plutôt pratique pour des applis web sans persistence.

Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base
de données car on a vraiment l'impression que même si l'image se
lance, les data vont se vaporiser au prochain reboot.


En effet, c'est pour cela que la doc du conteneur MySQL de Docker 
recommande chaudement de mettre les données sur le système hôte, même si 
la base de données en elle-même tourne dans le conteneur


https://registry.hub.docker.com/_/mysql/ (section: "Where to Store 
Data").

--
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Solution backup externalisé

2015-07-18 Par sujet Xavier Claude 
Le vendredi 17 juillet 2015 16:21:27 Arnaud Launay a écrit :
> Le Wed, Jul 15, 2015 at 04:43:51PM +0200, Franck Routier a écrit:
> > Sinon une solution efficace en mono-site est d'utiliser
> > rdiff-backup sur
> 
> Je l'utilise aussi, il est fort pratique. Par contre il me
> semblait qu'il avait été "deprecated" sur je ne sais quel OS,
> pour je ne sais plus quelle raison, et qu'il fallait utiliser
> rsnapshot à la place... Qui marche lui-même plutôt bien, mais je
> le trouve plus lent que rdiff-backup (probablement dû à la
> création d'une "copie" à base de lien de la sauvegarde
> précédente).
> 
> Quelqu'un se souvient de cette histoire ? Ou alors je confonds
> avec l'histoire du "la 1.2.5 elle est pas compatible avec la
> 1.2.8" ? :)

rdiff-backup n'est plus maintenu. La dernière version date de 2009 et les bugs 
commencent à s'accumuler[1]. Je croyais que c'était gentoo qui l'avait virer 
mais il semble qu'il soit toujours là, même s'il s'agit de la dernière version 
de développement et pas la version stable. Quoi qu'il en soit, les mainteneurs 
des distributions vont bientôt en avoir marre de patcher, Debian, par exemple, 
a un patch pour éviter des warning qui est arrivé lors du passage python2.6 à 
2.7[2]. Le coup final arrivera sans doute avec le passage à python3 (il y a 
encore de la marge), sauf si plusieurs failles de sécurités se présentent ou 
une incompatibilité avec un nouveau FS comme Btrfs mais je doute. 

[1]: 
http://savannah.nongnu.org/bugs/?group=rdiff-backup&func=browse&set=open&msort=0&advsrch=0&morder=bug_id%3C&order=date#results
[2]: 
http://http.debian.net/debian/pool/main/r/rdiff-backup/rdiff-backup_1.2.8-7.debian.tar.gz
> 
>   Arnaud.


-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] ClamWin + ClamSentinel

2015-06-21 Par sujet Xavier Claude 
Le dimanche 21 juin 2015 11:48:33 Arnaud Launay a écrit :
> Le Tue, Jun 16, 2015 at 03:15:53PM +0200, GROS Jerome a écrit:
> > Sanesecurity a été cité comme signatures complémentaires pour
> > clamav, j'utilise
> > https://www.securiteinfo.com/services/improve-detection-rate-of-zero-day-m
> > alwares-for-clamav.shtml pour compléter le bon clamav !
> 
> Je vais un peu voler le fil, mais ça reste dans la même veine...
> J'utilise toujours spamassassin pour l'antispam, mais il laisse
> passer de plus en plus de @#! . L'état de l'art au niveau des
> règles et de l'antispam à utiliser, c'est quoi, de nos jours ?

Salut,

J'utilise spamassassin et peu de spam passe. Par contre, il faut bien penser à 
mettre les règles à jour (CRON=1 dans /etc/default/spamassassin) et je fait de 
l'apprentissage de spam avec dovecot-antispam.
-- 
Xavier Claude
cont...@xavierclaude.be
___
Liste de diffusion du FRsAG
http://www.frsag.org/