Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Nicolas Simond]

Bonjour à tous,

Ici, on utilise SecretServer (on-premise).
Le prix est correct et on peut même intégrer une fonction de rotation des mots 
de passe en automatique sur tous les équipements et / ou faire en sorte que les 
techniciens se connectent sans accès aux mots de passes.

Bonne journée,

--
Cordialement,
Best regards,
__
Nicolas Simond
Administrateur Systèmes et réseaux

https://www.nicolas-simond.ch/

‐‐‐ Original Message ‐‐‐

On Friday, June 25th, 2021 at 9:02 PM, Cedric Millet (pro) 
 wrote:

> Oui lockpass/lockself le fait (c'est du online pas de solution onprem, que
> 

> je sache). Fonction monitor (c'est une option pour chaque fiche) qui envoie
> 

> un email aux admin et manager qui ont acces a la fiche, des que quelqu''un
> 

> accede a cette fiche .
> 

> Sinon il y a la fonctionnalité pour que l'utilisateur ne puisse lire/copier
> 

> le password (c'est une option pour chaque fiche), il faut qu'il utilise
> 

> l'extension lockself sur son navigateur web qui auto remplit le champ. Pas
> 

> toujours compatible avec des contraintes de prod où tu n'as pas forcement
> 

> acces à la fois à l'equipement et à internet.
> 

> Mais si tes users n'ont pas acces au password, alors tu n'as plus besoin de
> 

> le changer dès qu'ils partent de la boite.
> 

> Le ven. 25 juin 2021 à 18:12, Kévin GUERY via frnog frnog@frnog.org a
> 

> écrit :
> 

> > Bonjour,
> > 

> > Il me semble que lockpass de lockself le fait mais à vérifier.
> > 

> > Cordialement,
> > 

> > GUERY Kévin,
> > 

> > Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud <
> > 

> > aurelien.rouz...@gmail.com> a écrit :
> > 

> > Bonjour,
> > 

> > Je me permets de rebondir sur ce mail pour préciser un besoin.
> > 

> > On est d'accord que idéalement lors du départ d'un admin il faudrait
> > 

> > pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement
> > 

> > faisable (ou du moins dans des structures n'ayant pas trop de ressources
> > 

> > ...).
> > 

> > Du coup il serait intéressant de ne changer que les secrets qui ont été
> > 

> > éventés (un mot de passe admin local d'un équipement à été consulté
> > 

> > explicitement).
> > 

> > D'où ma question, avez vous connaissance de gestionnaires de mot de passe
> > 

> > qui permettent cela : de garder privé un mot de passe et d'enregistrer à
> > 

> > qui il à été divulgué explicitement et quand.
> > 

> > Ce qui permettrait fortement de limiter le nombre de passwords à changer
> > 

> > si ils ne sont jamais sortis du coffre fort.
> > 

> > J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du
> > 

> > soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est
> > 

> > open bar pour toute la base.
> > 

> > Merci d'avance pour vos réponses,
> > 

> > Cordialement,
> > 

> > Aurélien
> > 

> > Le ven. 11 juin 2021 à 16:05, Benoît Grangé benoit.gra...@gmail.com a
> > 

> > écrit :
> > 

> > Bonjour à tous,
> > 

> > j'imagine que vous avez une solution d'authentification centralisée (AAA,
> > 

> > RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs
> > 

> > pour vos équipements ou logiciels de vos infrastructures ou CPE clients.
> > 

> > Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> > 

> > 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> > 

> > pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> > 

> > renouvelés quand un admin s'en va, et que cela supporte une mise à
> > 

> > l'échelle raisonnable ?
> > 

> > Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> > 

> > solution de PAM qui ne vous coûte pas un bras ?
> > 

> > Au plaisir d'échanger, bon vendredi à tous !
> > 

> > --
> > 

> > Benoît Grangé
> > 

> > Mobile: 06 58 58 05 59
> > 

> > Liste de diffusion du FRnOG
> > 

> > http://www.frnog.org/
> 

> Liste de diffusion du FRnOG
> 

> http://www.frnog.org/

publickey - me+frnog@nicolas-simond.ch - 0x756F19C4.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Michel Py via frnog]

>> Michel Py a écrit :
>> Pour en revenir à la question de l'équilibre entre deux transit dont l'un 
>> serait Comcast
>> (est-ce qu'il faut mieux que l'autre soir un T1 ou un T2), je prends 
>> toujours les idées !

> David Ponzone a écrit :
> C’est une question réthorique ou pas ?

Non.

> C’est quoi le but:

Principalement pour les employés, surfer pour ceux qui sont là, VPN 
split-tunnel pour ceux qui sont à la maison et la ribambelle de site distants 
dont la moitié sont Comcast.
Avec COVID il y en a plein qui travaillent de la maison et on s'attend à ce que 
la moitié y ait pris gout et qu'ils ne reviennent pas.

> Je sais franchement pas s’il y a une réponse parfaite à cette question.

Probablement pas, c'est pour ça que je demande un trolldi.

> C’est quoi la cible ? Les eyeballs ou le contenu ?

Les eyeballs.

> Si non, t’as quoi comme possibilité de T1 ?

Pratiquement ce que je veux.

> Et US seulement aka « ailleurs c’est des sauvages beaahhh », ou le reste 
> du monde compte un peu quand même ?

Beaahhh le reste du monde c'est des sauvages, surtout ces mecs avec un 
béret, une bouteille de rouge et une baguette sous le bras :P

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Cedric Millet (pro)]

Oui lockpass/lockself le fait (c'est du online pas de solution onprem, que
je sache). Fonction monitor (c'est une option pour chaque fiche) qui envoie
un email aux admin et manager qui ont acces a la fiche, des que quelqu''un
accede a cette fiche .

Sinon il y a la fonctionnalité pour que l'utilisateur ne puisse lire/copier
le password (c'est une option pour chaque fiche), il faut qu'il utilise
l'extension lockself sur son navigateur web qui auto remplit le champ. Pas
toujours compatible avec des contraintes de prod où tu n'as pas forcement
acces à la fois à l'equipement et à internet.
Mais si tes users n'ont pas acces au password, alors tu n'as plus besoin de
le changer dès qu'ils partent de la boite.

Le ven. 25 juin 2021 à 18:12, Kévin GUERY via frnog  a
écrit :

> Bonjour,
>
> Il me semble que lockpass de lockself le fait mais à vérifier.
>
> Cordialement,
>
> GUERY Kévin,
>
> Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud <
> aurelien.rouz...@gmail.com> a écrit :
>
> Bonjour,
>
> Je me permets de rebondir sur ce mail pour préciser un besoin.
> On est d'accord que idéalement lors du départ d'un admin il faudrait
> pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement
> faisable (ou du moins dans des structures n'ayant pas trop de ressources
> ...).
> Du coup il serait intéressant de ne changer que les secrets qui ont été
> éventés (un mot de passe admin local d'un équipement à été consulté
> explicitement).
> D'où ma question, avez vous connaissance de gestionnaires de mot de passe
> qui permettent cela : de garder privé un mot de passe et d'enregistrer à
> qui il à été divulgué explicitement et quand.
> Ce qui permettrait fortement de limiter le nombre de passwords à changer
> si ils ne sont jamais sortis du coffre fort.
>
> J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du
> soft) et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est
> open bar pour toute la base.
>
> Merci d'avance pour vos réponses,
>
> Cordialement,
>
> Aurélien
>
> Le ven. 11 juin 2021 à 16:05, Benoît Grangé  a
> écrit :
>
> Bonjour à tous,
>
> j'imagine que vous avez une solution d'authentification centralisée (AAA,
> RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs
> pour vos équipements ou logiciels de vos infrastructures ou CPE clients.
>
> Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> renouvelés quand un admin s'en va, et que cela supporte une mise à
> l'échelle raisonnable ?
>
> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> solution de PAM qui ne vous coûte pas un bras ?
>
> Au plaisir d'échanger, bon vendredi à tous !
>
> --
> *Benoît Grangé*
> Mobile: 06 58 58 05 59
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Alarig Le Lay]

On Fri 25 Jun 2021 20:39:23 GMT, David Ponzone wrote:
> Si non, t’as quoi comme possibilité de T1 ?

NTT, Telia, Cogent (environ par ordre de préférence)

Sinon : IT sparkle, telefonica espagna, dtag, aorta, att, verizon,
sprint.

En plus de tata, zayo, gtt et oti déjà évoqués

J’en oublis toujours deux ou trois, mais en gros c’est un truc comme ça.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Alarig Le Lay]

On Fri 25 Jun 2021 19:49:42 GMT, David Ponzone wrote:
> C’est un grand débat de sodomiseur de mouches, comme je les aime mais
> un T1 c’est nomalement qqun qui ne paie aucun transit.
> Donc qui n'a que des peerings settlement-free.
> Je ne sais pas comment les outils d’analyse différencient un peer d’un
> upstream pour un réseau de cette taille, mais la page wikipedia de
> Tier-1 network confirme que Comcast est ce qu’on appelle un Tier1.5,
> car ils ont au moins Tata comme transit.

Hum, je ne suis pas sûr que ça soit du transit, les routes apprises par
tata on la même localpref que les autres T1.

RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#show bgp 14.201.218.0/24
Fri Jun 25 18:20:35.183 utc
BGP routing table entry for 14.201.218.0/24
Versions:
  Process   bRIB/RIB  SendTblVer
  Speaker  0   0
Last Modified: Jun  8 14:18:58.237 for 2w3d
Paths: (1 available, no best path)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  1299 7545 7545 7545 7545, (received & used)
96.109.22.227 (inaccessible) from 66.208.229.9 (96.109.22.227)
  Origin IGP, metric 0, localpref 250, valid, internal
  Received Path ID 0, Local Path ID 0, version 0
  Community: 7922:403 7922:3000
  Originator: 96.109.22.227, Cluster list: 96.109.22.250, 96.109.22.30
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#show bgp 203.240.231.0/24
Fri Jun 25 18:20:50.496 utc
BGP routing table entry for 203.240.231.0/24
Versions:
  Process   bRIB/RIB  SendTblVer
  Speaker  0   0
Last Modified: Feb  8 22:21:31.237 for 19w3d
Paths: (1 available, no best path)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  3491 9848 4670, (received & used)
68.86.1.68 (inaccessible) from 66.208.229.9 (68.86.1.68)
  Origin IGP, metric 0, localpref 250, valid, internal
  Received Path ID 0, Local Path ID 0, version 0
  Community: 7922:403 7922:3000
  Originator: 68.86.1.68, Cluster list: 96.109.22.250, 96.109.22.50
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#show bgp 189.253.56.0/21
Fri Jun 25 18:21:00.318 utc
BGP routing table entry for 189.253.56.0/21
Versions:
  Process   bRIB/RIB  SendTblVer
  Speaker  0   0
Last Modified: Feb  8 22:21:24.237 for 19w3d
Paths: (1 available, no best path)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  174 8151, (received & used)
96.109.22.227 (inaccessible) from 66.208.229.9 (96.109.22.227)
  Origin IGP, metric 0, localpref 250, valid, internal
  Received Path ID 0, Local Path ID 0, version 0
  Community: 7922:403 7922:3000
  Originator: 96.109.22.227, Cluster list: 96.109.22.250, 96.109.22.50
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#show bgp 185.118.56.0/22
Fri Jun 25 18:22:24.092 utc
BGP routing table entry for 185.118.56.0/22
Versions:
  Process   bRIB/RIB  SendTblVer
  Speaker  0   0
Last Modified: Feb  8 22:21:22.239 for 19w3d
Paths: (1 available, no best path)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  6453 16371 16371 16371 16371, (received & used)
96.109.22.243 (inaccessible) from 66.208.229.9 (96.109.22.243)
  Origin IGP, metric 0, localpref 250, valid, internal
  Received Path ID 0, Local Path ID 0, version 0
  Community: 7922:403 7922:3000 7922:3120
  Originator: 96.109.22.243, Cluster list: 96.109.22.250, 96.109.22.30
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[David Ponzone]

> 
> Pour en revenir à la question de l'équilibre entre deux transit dont l'un 
> serait Comcast (est-ce qu'il faut mieux que l'autre soir un T1 ou un T2), je 
> prends toujours les idées !

Je sais franchement pas s’il y a une réponse parfaite à cette question.
C’est quoi la cible ? Les eyeballs ou le contenu ?
Et US seulement aka « ailleurs c’est des sauvages beaahhh », ou le reste du 
monde compte un peu quand même ?

C’est quoi le but:
-équilibrer entre 2 liens
-backup
-réduire RTT au max

Si le reste du monde compte un peu quand même, tu pourrais ptet compléter par 
un T1 genre Zayo ou Lumen (ils ont changé de nom encore une fois ou pas ?) ou 
GTT.
C’est une question réthorique ou pas ?
Si non, t’as quoi comme possibilité de T1 ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Michel Py via frnog]

> Raphael Mazelier a écrit :
> La définition d'un tiers 1 ca reste pour moi un AS qui apprend tout internet 
> via des peerings
> gratuits. A minima donc avec l'ensemble des autres Tiers1.  Le problème c'est 
> qu'on ne sait
> pas vraiment qui paye qui. Ou du moins on a de forte suspiscion dans certains 
> cas.

> David Ponzone a écrit :
> C’est un grand débat de sodomiseur de mouches, comme je les aime mais un T1 
> c’est
> nomalement qqun qui ne paie aucun transit. Donc qui n'a que des peerings
> settlement-free. Je ne sais pas comment les outils d’analyse différencient un 
> peer
> d’un upstream pour un réseau de cette taille, mais la page wikipedia de 
> Tier-1 network
> confirme que Comcast est ce qu’on appelle un Tier1.5, car ils ont au moins 
> Tata comme transit.

Je plussoie les deux : ce n'est pas parce que Comcast a des sessions BGP avec 
les autres Tier-1 que c'est gratuit. L'idée de settlement-free c'est que, vu 
que le volume est plus ou moins le même pour les deux pairs, ce n'est pas la 
peine de s'enquiquiner avec la facturation. Si le volume tombe en-dessous d'un 
certain niveau, soit le gros dé-peere le petit, soit ils les forcent à acheter 
du transit, moyennant de l'argent bien entendu.

Pour en revenir à la question de l'équilibre entre deux transit dont l'un 
serait Comcast (est-ce qu'il faut mieux que l'autre soir un T1 ou un T2), je 
prends toujours les idées !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[David Ponzone]

C’est un grand débat de sodomiseur de mouches, comme je les aime mais un T1 
c’est nomalement qqun qui ne paie aucun transit.
Donc qui n'a que des peerings settlement-free.
Je ne sais pas comment les outils d’analyse différencient un peer d’un upstream 
pour un réseau de cette taille, mais la page wikipedia de Tier-1 network 
confirme que Comcast est ce qu’on appelle un Tier1.5, car ils ont au moins Tata 
comme transit.

> Le 25 juin 2021 à 19:21, Alarig Le Lay  a écrit :
> 
> On Fri 25 Jun 2021 03:10:07 GMT, Michel Py via frnog wrote:
>> 
>> Est-ce que Comcast est vraiment un Tier-1, malgré ce que leur marketing dit ?
>> Cette question est valide aux iouéssè, pas dans l'hexagone. Il y en a parmi 
>> les lecteurs/trices qui ont voyagé.
>> 
>> 
>> Je suis poli, je ne demande pas si $big_french_fai est un Tier-1 :P
> 
> Ils peerent avec les T1, donc ils sont T1 : https://bgp.he.net/AS7922#_graph4
> Et $big_french_fai est T1 aussi : https://bgp.he.net/AS5511#_graph4
> 
> -- 
> Alarig
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Raphael Mazelier]

On 25/06/2021 19:21, Alarig Le Lay wrote:


Ils peerent avec les T1, donc ils sont T1 : https://bgp.he.net/AS7922#_graph4
Et $big_french_fai est T1 aussi : https://bgp.he.net/AS5511#_graph4



La définition d'un tiers 1 ca reste pour moi un AS qui apprend tout 
internet via des peerings gratuits. A minima donc avec l'ensemble des 
autres Tiers1.  Le problème c'est qu'on ne sait pas vraiment qui paye 
qui. Ou du moins on a de forte suspiscion dans certains cas.


--

Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Alarig Le Lay]

On Fri 25 Jun 2021 03:10:07 GMT, Michel Py via frnog wrote:
> 
> Est-ce que Comcast est vraiment un Tier-1, malgré ce que leur marketing dit ?
> Cette question est valide aux iouéssè, pas dans l'hexagone. Il y en a parmi 
> les lecteurs/trices qui ont voyagé.
> 
> 
> Je suis poli, je ne demande pas si $big_french_fai est un Tier-1 :P

Ils peerent avec les T1, donc ils sont T1 : https://bgp.he.net/AS7922#_graph4
Et $big_french_fai est T1 aussi : https://bgp.he.net/AS5511#_graph4

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Kévin GUERY via frnog]

Bonjour,

Il me semble que lockpass de lockself le fait mais à vérifier.

Cordialement,

GUERY Kévin,

Le 2021-06-25T18:03:14.000+02:00, Aurélien Rouzaud
 a écrit :

> Bonjour,
> 
> Je me permets de rebondir sur ce mail pour préciser un besoin.
> 
> On est d'accord que idéalement lors du départ d'un admin il
> faudrait pouvoir changer tous les passwords. Dans la vraie vie,
> c'est rarement faisable (ou du moins dans des structures n'ayant pas
> trop de ressources ...).
> 
> Du coup il serait intéressant de ne changer que les secrets qui ont
> été éventés (un mot de passe admin local d'un équipement à
> été consulté explicitement).
> 
> D'où ma question, avez vous connaissance de gestionnaires de mot de
> passe qui permettent cela : de garder privé un mot de passe et
> d'enregistrer à qui il à été divulgué explicitement et quand.
> 
> Ce qui permettrait fortement de limiter le nombre de passwords à
> changer si ils ne sont jamais sortis du coffre fort.
> 
> J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix
> du soft) et ce n'est pas possible avec cet outil : dès qu'on à la
> clé c'est open bar pour toute la base.
> 
> Merci d'avance pour vos réponses,
> 
> Cordialement,
> 
> Aurélien
> 
> Le ven. 11 juin 2021 à 16:05, Benoît Grangé
>  a écrit :
> 
>>  Bonjour à tous,
>>  
>>   j'imagine que vous avez une solution d'authentification
>>  centralisée (AAA,
>>  
>>   RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes
>>  nominatifs
>>  
>>   pour vos équipements ou logiciels de vos infrastructures ou CPE
>>  clients.
>>  
>>   Mais comment gérez-vous les comptes de 'dernier recours', les
>>  comptes
>>  
>>   'Administrator", les mots de passe 'enable' de vos nombreux
>>  d'équipements
>>  
>>   pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
>>  
>>   renouvelés quand un admin s'en va, et que cela supporte une mise
>>  à
>>  
>>   l'échelle raisonnable ?
>>  
>>   Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass,
>>  une vraie
>>  
>>   solution de PAM qui ne vous coûte pas un bras ?
>>  
>>   Au plaisir d'échanger, bon vendredi à tous !
>>  
>>   -- 
>>  
>>   *Benoît Grangé*
>>  
>>   Mobile: 06 58 58 05 59
>>  
>>   ---
>>  
>>   Liste de diffusion du FRnOG
>>  
>>   http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Aurélien Rouzaud]

 Bonjour,

Je me permets de rebondir sur ce mail pour préciser un besoin.
On est d'accord que idéalement lors du départ d'un admin il faudrait
pouvoir changer tous les passwords. Dans la vraie vie, c'est rarement
faisable (ou du moins dans des structures n'ayant pas trop de ressources
...).
Du coup il serait intéressant de ne changer que les secrets qui ont été
éventés (un mot de passe admin local d'un équipement à été consulté
explicitement).
D'où ma question, avez vous connaissance de gestionnaires de mot de passe
qui permettent cela : de garder privé un mot de passe et d'enregistrer à
qui il à été divulgué explicitement et quand.
Ce qui permettrait fortement de limiter le nombre de passwords à changer si
ils ne sont jamais sortis du coffre fort.

J'utilise Keepass (loin d'être génial mais je n'ai pas eu le choix du soft)
et ce n'est pas possible avec cet outil : dès qu'on à la clé c'est open bar
pour toute la base.

Merci d'avance pour vos réponses,

Cordialement,

Aurélien

Le ven. 11 juin 2021 à 16:05, Benoît Grangé  a
écrit :

> Bonjour à tous,
>
> j'imagine que vous avez une solution d'authentification centralisée (AAA,
> RADIUS, TACACS, AD, ...) pour tous les accès avec des comptes nominatifs
> pour vos équipements ou logiciels de vos infrastructures ou CPE clients.
>
> Mais comment gérez-vous les comptes de 'dernier recours', les comptes
> 'Administrator", les mots de passe 'enable' de vos nombreux d'équipements
> pour qu'ils restent un tant soit peu confidentiels, qu'ils soient
> renouvelés quand un admin s'en va, et que cela supporte une mise à
> l'échelle raisonnable ?
>
> Avez vous un "cahier bleu" (Paul... si tu me lis) , un KeePass, une vraie
> solution de PAM qui ne vous coûte pas un bras ?
>
> Au plaisir d'échanger, bon vendredi à tous !
>
> --
> *Benoît Grangé*
> Mobile: 06 58 58 05 59
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Observium & F5, soucis de charge DB

[Raphael Mazelier]

Puisqu'on est vendredi ; es tu vraiment sur de mettre en place un 
systeme de monitoring basé sur rrd en 2021 ?


Observium étant ce qu'il est j'espere que tu as des équipements réseaux 
qui supportent le snmp aggressif et en effet une infrastructure systeme 
conséquente.


Btw tes F5 tu les polls ou tu les mets en load balancer ? vu l'erreur 
j'aurais tendance à dire que tu les polls, mais c'est intérressant car 
tu viens sans doute de découvrir soit un bug d'observium soit un bug sur 
tes F5 ou tu as trop de truc qui bouge.


--

Raph

On 25/06/2021 11:22, Cécile Martron via frnog wrote:

Hello à tous !

On est actuellement en train de mettre en place à Engie un Observium 
pour monitorer nos +1k devices réseaux.

L'archi est avec un RRDcache (master) + 4/5 pollers et une DB (AWS)

Le soucis, c'est qu'en rajoutant nos F5 (qui sont, certes, un peu 
chargés), on fait x11 sur le nombre de connection en DB. Et le load 
explose.

La commande SQL liée : "UPDATE lb_pool_members"

Avez vous déja eu ce soucis ? Savez vous le résoudre ?

Merci beaucoup :)
Cécile


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Gmail & son antispam

[Laurent Frigault]

On Fri, Jun 25, 2021 at 06:36:47AM +, Romain BAFFERT wrote:
> Bonjour, quelqu’un que je connais viens de me remonter le même souci,
> bounce direct et elle me dit que si elle enlève le lien dans sa
> signature ça semble passer…

J'ai déjà constaté un soucis similaire avec des domaines de mail qui
utilisent vade-retro.

Le problème, n'est bien souvent pas dans l'URL apparente originale du
message, mais dans celle qui a été ré-écrite par l'anti
spam/virus/cochonerie de l'utilisateur. Ces système font un GET sur
l'URL pour vérifier qu'elle n'est pas nocives ET la ré-écrivent dans une
redirection sur un sous-domaines à eux avant de délivrer lemessage dans
la boite de l'utilisateur.
https://www.good.tld/ devient
https://mon-anti-merde.weird.tld/xyzhfdshfjksdhf/

Avec les merdiciels en HTML cela devient https://mon-anti-merde.weird.tld/xyzhfdshfjksdhf/>https://www.good.tld/

L'utilisateur qui répond en croyant reprendre le message original
renvoie en réalité un lien sur le domaine mon-anti-merde.weird.tld qui
est blacklisté par l'antispam de destination qui a déjà reçu des
tombereaux de merde avec des URL sur ce domaine . Et paf le mail!

-- 
Laurent Frigault
Si la connerie se mesurait, il servirait de mètre-étalon... Y serait
à Sevres. (Michel Audiard)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Distribution d'alimentation rackable

[Vincent Duvernet]

Yop,

Ce n'est pas le rôle d'un bandeau de prise d'assurer une double alimentation 
donc tu ne trouveras pas. Il te faut de l'ATS.
Tu peux trouver l'ancien modèle chez APC AP7721 sur Ebay à pas trop cher.

Et sinon autre point important s'il te prend l'idée de mettre un onduleur. J'ai 
souvenance d'avoir eu une conversation avec un ingé de chez APC qui me disait 
que (chez eux), il fallait obligatoirement des onduleurs on-line pour des 
raisons techniques. Y'a des trucs entre la fréquences des phases, la 
commutation entre les canaux et je ne sais plus quoi d'autre. Donc à bien 
vérifier pour ne pas se trouver banané.

Vincent


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Pierre 
DOLIDON
Envoyé : vendredi 4 juin 2021 11:28
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Distribution d'alimentation rackable

Re bonjour

dans ma recherche de mouton a 5 pattes :
un bandeau de prise qui contient une moitié avec l'alim électrique A et une 
autre moitié avec l'alim B (simple donc, pas ATS, ni manageable ni rien).
ça semble complètement introuvable, et le sur mesure, OMG les tarif. (du genre 
de ce que dedibox fourni dans les 1/4 de baie)

auriez vous une idée ?

encore merci

Le 03/06/2021 à 17:22, Pierre DOLIDON a écrit :
> Bonjour.
>
> Pour un petit projet, je recherche du matériel d'alimentation 
> électrique d'une baie (1/4 de baie pour être plus précis), mais je 
> peine à trouver mon bonheur sur toute la ligne.
> La baie est livrée avec 2 arrivées électriques (IEC 60309 3 pôles - 
> PNT - prises "caravanes" bleues), et j'aurai bien évidemment du 
> matériel a simple alimentation dans la baie.
> Mon saint Graal serait un ATS double alimentation + PDU manageable (en 
> IP). A la limite, le format de la prise importe peu, mais est-ce que 
> ce genre de matériel existe ou alors je rêve complètement ma vie ?
>
> Merci pour vos suggestions diverses et variées.
>
> Amicalement,
> Pierre.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[Michel Py via frnog]

>> Michel Py a écrit :
>> Les questions à 1000 balles (plus ou moins la même question) : Est-ce que, 
>> pour un meilleur équilibre
>> sans bidouiller, il vaudrait mieux que l'autre transit soit un Tier-1, ou un 
>> Tier-2 ?

> David Ponzone a écrit :
> Ben ça dépend de ta définition de Tier-1 donc de ta réponse à la question en 
> dessous :)

J'avais prévenu c'était une question de trolldi :P
Comme les agréments de peering ou de "peering payant" sont confidentiels, on ne 
saura jamais.


> Pas compris en fait, tu veux savoir s’ils sont Tier-1 si on compte que les 
> USA ? C’est pas valide comme question ça.

Pourquoi ? La notion de Tier-1 est devenue régionalisée, AMHA. Il y a des FAI 
qui se prétendent "Tier-1" en France, non ?
Ou en Asie, ou à Trifouilly-les-oies.


> Sinon au niveau mondial, je pense pas: 
> https://bgpview.io/asn/7922#upstreams-v4

C'est pas tellement les upstreams que je regarde, mais plutôt le nombre de 
pairs.
Quand je compare aux autres Tier-1, ça va pas chercher très loin.

Ils sont très bien connectés vers le haut (on s'y attendait) mais pas vers trop 
vers le bas (on s'y attendait aussi).
Donc je pense qu'une grande partie du trafic ne venant pas de chez eux va avoir 
l'AS d'un autre Tier-1 dedans.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[François Otho via frnog]

Désolé pour le message précédent, 

Régalez-vous avec mes ids  (c'est du test ^^)

Si un admin peut supprimer mes emails. 
Ou me dire si je peux envoyer un "/delete my error" quelque part ...



- Mail original -
> De: "Benoît Grangé" 
> À: "Paul Rolland (ポール・ロラン)" 
> Cc: "FRnOG ML" 
> Envoyé: Vendredi 25 Juin 2021 16:39:28
> Objet: Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier 
> recours' de vos équipements
> 
> Salut Paul,
> 
> KeePass est un bon outil (quelquefois un peu rustique, un peu geek)
> pour
> gérer des mots de passe personnels, mais par contre je pense qu'il il
> n'est
> pas adapté pour les mots de passe partagés au niveau d'une équipe car
> tout
> le monde a accès à tous les mots de passe (ou alors on fait plein de
> fichiers keepass avec des mdp maîtres différents), et on gère très
> mal les
> différentes versions.
> 
> Teampasswordmanager est-il bien maintenu ? Avez vous une évaluation
> de la
> sécurité de la solution ?
> 
> Ben
> 
> Le sam. 12 juin 2021 à 13:20, Paul Rolland (ポール・ロラン)
> 
> a écrit :
> 
> > Hello,
> >
> > On Sat, 12 Jun 2021 00:32:55 +0200
> > Maxime Pauwels  wrote:
> >
> > > Il existe pleins d'outils dans ta recherche.
> > > KeePass, numéro 1
> >
> > +1 pour Keypass/KeypassXC, mais il y a aussi teampasswordmanager
> > qui est
> > pas mal.
> >
> > Paul
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> 
> 
> --
> *Benoît Grangé*
> Mobile: 06 58 58 05 59
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Association #TeamRecup

[Vincent Duvernet]

Bonjour,

Donc je peux exclure les téléphones IP Cisco, je dois en avoir une 20aine qui 
prend la poussière mais que je voudrais éviter de benner alors qu'ils 
fonctionnaient.

C'est quoi le niveau matériel minimum ? Windows XP, Vista, 7 ?

Vincent

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Cécile 
MORANGE
Envoyé : mercredi 23 juin 2021 16:14
À : frnog-m...@frnog.org
Objet : [FRnOG] [MISC] Association #TeamRecup

Hello la liste !

Comme certain ont pu le voir sur Twitter, j'ai créé une association s'appelant 
Team Récup (https://www.teamrecup.fr).

L'objectif de cette association est de récupérer du matériel auprès de 
différentes entités (entreprise, association, particuliers...), de stocker, de 
réparer, remettre en état, et de redistribuer moyennant un don "au chapeau" 
(donation libre) aux particuliers et associations. 
L'association Team Récup n'a pas vocation à vendre à des entreprises.

Notre système de "vente" est basé sur le modèle du refurb: nous proposons une 
config de base, puis les personnes peuvent rajouter des composants, moyennant 
un coût supplémentaire (très minime).
Le but n'est pas du tout de faire de l'argent, l'argent reçu permettra de payer 
le stockage, et les différents trajets pour récupérer le matériel qui nous est 
donné.

Le but premier de l'association est d'aider les associations et particulier à 
se développer et à apprendre l'informatique, à travers le don de matériels 
physique et le conseil.

Nous aurons à terme un site web ou il sera directement possible de réserver une 
machine et de la configurer, et dans un second temps
(soon™) de proposer un système de dépot-vente.

J'en viens à ma demande : si vous avez du matériel dans vos stocks qui prennent 
la poussière, et que vous souhaitez leur donner une nouvelle vie, vous pouvez 
me contacter afin d'organiser la récupération (pour l'instant sur Paris,  et 
ses alentours, le stock était sur Ivry, si plus loin il faut que je m'organise).
Si vous souhaitez nous aider d'un autre manière, hésitez pas à me contacter 
aussi !

Merci d'avance !

Cordialement,

--
Cécile MORANGE
cont...@cecilemorange.fr
@AtaxyaNetwork


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Système pour gérer les mots de passe 'dernier recours' de vos équipements

[Benoît Grangé]

Salut Paul,

KeePass est un bon outil (quelquefois un peu rustique, un peu geek) pour
gérer des mots de passe personnels, mais par contre je pense qu'il il n'est
pas adapté pour les mots de passe partagés au niveau d'une équipe car tout
le monde a accès à tous les mots de passe (ou alors on fait plein de
fichiers keepass avec des mdp maîtres différents), et on gère très mal les
différentes versions.

Teampasswordmanager est-il bien maintenu ? Avez vous une évaluation de la
sécurité de la solution ?

Ben

Le sam. 12 juin 2021 à 13:20, Paul Rolland (ポール・ロラン) 
a écrit :

> Hello,
>
> On Sat, 12 Jun 2021 00:32:55 +0200
> Maxime Pauwels  wrote:
>
> > Il existe pleins d'outils dans ta recherche.
> > KeePass, numéro 1
>
> +1 pour Keypass/KeypassXC, mais il y a aussi teampasswordmanager qui est
> pas mal.
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
*Benoît Grangé*
Mobile: 06 58 58 05 59

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Observium & F5, soucis de charge DB

[Cécile Martron via frnog]

Merci pour la réponse.
Je vais regarder au niveau des index

Pour les plus experts, c'est une DB Aurora donc pas de soucis 
IOPS/storage/ram en vue.

Il y a déja un pooler (RDS Proxy) en front pour alléger la charge.

Le 25/06/2021 à 13:08, Remi Desgrange a écrit :
Commencez par supprimer le(s) index(es) sur cette table. Faudrait voir 
si votre bécane AWS a assez d'IOPS, mais là je ne suis pas bon sur le 
sujet je laisse à d'autre le soin de répondre. Peut-être utiliser un 
pooler de connexion sur la DB, je crois que Observium c'est du php 
donc ça devrait faire baisser le nombre de connexion drastiquement.


On Fri, Jun 25, 2021 at 11:24 AM Cécile Martron via frnog 
mailto:frnog@frnog.org>> wrote:


Hello à tous !

On est actuellement en train de mettre en place à Engie un Observium
pour monitorer nos +1k devices réseaux.
L'archi est avec un RRDcache (master) + 4/5 pollers et une DB (AWS)

Le soucis, c'est qu'en rajoutant nos F5 (qui sont, certes, un peu
chargés), on fait x11 sur le nombre de connection en DB. Et le
load explose.
La commande SQL liée : "UPDATE lb_pool_members"

Avez vous déja eu ce soucis ? Savez vous le résoudre ?

Merci beaucoup :)
Cécile


---
Liste de diffusion du FRnOG
http://www.frnog.org/ 



--
Cordialement, Rémi Desgrange


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Observium & F5, soucis de charge DB

[Remi Desgrange]

Commencez par supprimer le(s) index(es) sur cette table. Faudrait voir si
votre bécane AWS a assez d'IOPS, mais là je ne suis pas bon sur le sujet je
laisse à d'autre le soin de répondre. Peut-être utiliser un pooler de
connexion sur la DB, je crois que Observium c'est du php donc ça devrait
faire baisser le nombre de connexion drastiquement.

On Fri, Jun 25, 2021 at 11:24 AM Cécile Martron via frnog 
wrote:

> Hello à tous !
>
> On est actuellement en train de mettre en place à Engie un Observium
> pour monitorer nos +1k devices réseaux.
> L'archi est avec un RRDcache (master) + 4/5 pollers et une DB (AWS)
>
> Le soucis, c'est qu'en rajoutant nos F5 (qui sont, certes, un peu
> chargés), on fait x11 sur le nombre de connection en DB. Et le load
> explose.
> La commande SQL liée : "UPDATE lb_pool_members"
>
> Avez vous déja eu ce soucis ? Savez vous le résoudre ?
>
> Merci beaucoup :)
> Cécile
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement, Rémi Desgrange

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Gmail & son antispam

[Erwan David]

Le 24/06/2021 à 09:22, Romain a écrit :
> Ah bah...
>
> image.png
>
> Probablement des destinataires de tes emails qui ont utiliser le
> bouton "Spam" pour te signaler.


J'ai la même chose en écrivant à des gens dont je suis sûr qu'ils n'ont
jamais utilisé le bouton spam sur un de mes mails...

De fait, sous prétexte d'anti spam google demande maintenant que les
postmasters des petits domaines

1) prennent un compte google

2) inscrive leur domaine chez Google...


Bien envie de créer un compte google rien que pour ça, puis de bouncer
tout mail venant de google comme domaine spammeur (parceque des spams
venant de google avec signature DKIM qui matchent, j'en ai régulièrement)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Observium & F5, soucis de charge DB

[Cécile Martron via frnog]

Hello à tous !

On est actuellement en train de mettre en place à Engie un Observium 
pour monitorer nos +1k devices réseaux.

L'archi est avec un RRDcache (master) + 4/5 pollers et une DB (AWS)

Le soucis, c'est qu'en rajoutant nos F5 (qui sont, certes, un peu 
chargés), on fait x11 sur le nombre de connection en DB. Et le load explose.

La commande SQL liée : "UPDATE lb_pool_members"

Avez vous déja eu ce soucis ? Savez vous le résoudre ?

Merci beaucoup :)
Cécile


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BGP] question de trolldi à équilibrer deux transits pour un /24 (en angliche : load-balancer)

[David Ponzone]

> Les questions à 1000 balles (plus ou moins la même question) :
> Est-ce que, pour un meilleur équilibre sans bidouiller, il vaudrait mieux que 
> l'autre transit soit un Tier-1, ou un Tier-2 ?

Ben ça dépend de ta définition de Tier-1 donc de ta réponse à la question en 
dessous :)

> 
> Est-ce que Comcast est vraiment un Tier-1, malgré ce que leur marketing dit ?
> Cette question est valide aux iouéssè, pas dans l'hexagone. Il y en a parmi 
> les lecteurs/trices qui ont voyagé.
> 

Pas compris en fait, tu veux savoir s’ils sont Tier-1 si on compte que les USA 
? C’est pas valide comme question ça.
Sinon au niveau mondial, je pense pas:
https://bgpview.io/asn/7922#upstreams-v4 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Gmail & son antispam

[Romain BAFFERT]

Bonjour, quelqu’un que je connais viens de me remonter le même souci, bounce 
direct et elle me dit que si elle enlève le lien dans sa signature ça semble 
passer…

Elle est en exchange chez ovh.

Le 24 juin 2021 à 14:04 +0700, Jean-Yves LENHOF , a 
écrit :
Hello,

Depuis une semaine ou deux j'ai constaté que Google Gmail avait
semble-t-il changé sa politique antispam...
Sauf que maintenant au lieu d'envoyer une partie de mes mails dans les
dossiers Pourriels/Antispam/Messages Indésirables, là j'ai carrément des
refus par le serveur de mail.

J'en ai eu simplement en répondant à des mails qui sont sur la liste et
qui ont une adresse gmail en faisant répondre à tous et non uniquement
répondre à la liste. Il me semble pourtant pas trop que l'on fasse de la
publicité à outrance ici...

Je viens de rechecker les RBLs... j'ai normalement DMARC/DKIM et tout le
toutim
Si quelqu'un a des idées de ce qui me bloque désormais...


Cordialement,

--
Jean-Yves LENHOF
jean-y...@lenhof.eu.org


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/