Re: [FRsAG] RHEL 7.x / CentOS 7.x | firewalld ou iptables?
shorewall, depuis... longtemps Ruben Alves a écrit : > Bonsoir a tous, > > Petite question y'a que moi qui persiste avec iptables sous CentOS 7? Ou > tout le monde a bien accepté ce changement et mange du firewalld a > longueur de journée? > > //Ruben > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] MariaDB + Docker
Je ne suis pas certain de voir l'intérêt de mettre une base de données dans un container. Perf DB = CPU * IO * RAM Typiquement le genre d'objets qu'on ne virtualise pas. Mais s'il faut absolument la mettre dans un container, j'irais plutôt la mettre dans un container LXC persistent, ou même juste dans un cgroups pour faire du contrôle de ressources. Si c'est pour sécuriser, voir firejail par example: https://l3net.wordpress.com/projects/firejail/ Cordialement, Stéphane Rémy Sanchez a écrit : Bonjour à tous, Je suis plutôt intéressé par les promesses de Docker et en particulier de CoreOS, et effectivement de premiers essais montrent que c'est plutôt pratique pour des applis web sans persistence. Maintenant voilà, je ne suis vraiment pas rassuré d'y mettre ma base de données car on a vraiment l'impression que même si l'image se lance, les data vont se vaporiser au prochain reboot. La question est donc, est-ce que quelqu'un l'a fait dans la vraie vie ? Est-ce que c'est viable ? Est-ce qu'il ne vaudrait pas plutôt mettre les serveurs de BDD sur des machines à part dans lesquelles on a invité etcd ? Merci pour les retours -- *Rémy Sanchez* http://hyperthese.net/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] ClamWin + ClamSentinel
Clairement, Applocker est trop méconnu, ça flingue 95% des malwares. Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser pour exécuter sa charge après avoir p0wné Adobe Reader. Le Cryptolocker de Boris va aussi avoir beaucoup de mal. Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS Office fonctionnera sans problème). Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas confiance dans Mordac le security officer et méprise le navigateur d'entreprise). Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell Zenworks eu). Sans parler de Vincent le dev agile et les 429862968 outils qu'il cherche à tester chaque jour. Exemples basés sur des cas réels ;) Le profil d'activités des utilisateurs est à regarder de près avant de déployer. Il faut aussi, de mémoire, un AD pas trop vieux (2008R2) et des licences Windows = Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux de SRP). Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un antivirus ça ne tient pas tant à la qualité de son code, qu'à la capacité de l'entreprise qui l'édite à proposer des mises à jour fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse RD et un gros support pour ça. Ca n'est guère le champ du logiciel libre. J'ai une affection particulière et subjective pour les produits Sophos (parce que ça pète jamais en prod). L'AV Trend par contre, juste une longue et pénible expérience de malwares non détectés. Cordialement, Stéphane Pierre Schweitzer a écrit : Pour protéger l'utilisateur de lui-même dans ce genre de situation, sous Windows, il existe des solutions Microsoft telles que : - AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx - EMET : https://support.microsoft.com/en-us/kb/2458544 Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est radical (et efficace). Et ça évite que l'utilisateur qui lance n'importe quoi sans réfléchir puisse compromettre son poste. On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote: Oui mais les utilisateurs sont des... utilisateurs :'( Cordialement, Bruno CSSI -Message d'origine- De : FRsAG [mailto:frsag-boun...@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel Le Mon, Jun 15, 2015 at 01:23:41PM +, CROCQUEVIEILLE Bruno [bruno.crocqueviei...@socgen.com] a écrit: [...] Je vais revenir donc sur ce pb en quelques lignes : Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX. Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir. (oui, je sais, je vis au pays des bisounours) ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Stockage objet et réplication asynchrone
ben les bases NOSQL orientées document ça fait exactement ça, non ? http://basho.com/riak/, l'une des meilleures. API très proche de S3. Cordialement, Stéphane Denis Fondras a écrit : Bonjour à tous, Je cherche une solution de stockage objet compatible S3 qui pourrait être répliquée de façon asynchrone et incrémentale dans un second DC. Le lien entre les deux sites n'étant pas performant (stabilité et vitesse), il faut quelque chose de robuste pour la réplication. Dans l'idée, ce serait un stockage compatible S3 associé avec rdiffbackup. J'ai testé Swift et LeoFS mais sans être convaincu par la partie réplication. Est-ce que quelque chose comme ça existe ? Merci, Denis ___ Liste de diffusion du FRsAG http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] BeyondCorp: et pour les partages réseaux ?
Si c'est du pur web, j'aurais tendance à plutôt mettre en place un système de synchronisation au dessus d'HTTP, plutôt qu'un partage à la CIFS/NFS. Mais ça ne répond pas exactement à la question... Par exemple, http://seafile.com est compatible Shibboleth et se synchronise en HTTPS. Cordialement, Stéphane Antoine Sirinelli a écrit : Bonjour, J'imagine que vous êtes tous au courant de la politique de Google où leurs services internes sont accessible depuis n'importe où sans passer par un vpn. Une description est visible là : http://research.google.com/pubs/pub43231.html. Autant je vois très bien comment faire la chose avec des applications web, autant j'ai un peu plus de mal à imaginer la même chose pour un partage réseau. Quel protocole utiliseriez vous (Samba, NFS+Kerberos, AFS...) ? Comment gérer ça en conjonction du SSO web ? Plus généralement, quelqu'un a déjà mis en place un partage réseau d'entreprise bien intégré dans l'OS pour clients nomades sans passer par un VPN ? Le seul que j'ai essayé c'est AFS et c'était une bonne usine à gaz. Merci de vos lumières, Antoine ___ Liste de diffusion du FRsAG http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] impots.gouv.fr, la classe
http://www.doyoubuzz.com/var/f/HM/Du/HMDustB9bOlLhrnKUZmWCpyN-i46_P1xVJ2Gk7cSF5R0YfzQe8.pdf Michael Hallgren a écrit : Que cela soit interdit, me semble un peu à la secu de l'autruche. Non ? ;-) mh Le 7 avril 2015 19:43:36 CEST, Alexis Lameire alexis.lame...@gmail.com a écrit : Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est lANSSI voir la CNIL si c'est des données perso. Alexis Le 7 avril 2015 19:15, Aurelgadjo aurelga...@gmail.com mailto:aurelga...@gmail.com a écrit : Le 3/31/15 13:06, Julien Escario a écrit : Mais que fait l'ANSSI ? A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien. J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à cont...@cert.ssi.gouv.fr mailto:cont...@cert.ssi.gouv.fr il y a 8 mois restés sans réponse. Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci. ___ Liste de diffusion du FRsAG http://www.frsag.org/ Liste de diffusion du FRsAG http://www.frsag.org/ -- Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté. ___ Liste de diffusion du FRsAG http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] impots.gouv.fr, la classe
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...) Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe. En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la nuisance sur internet. J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les mois à venir, notamment dans le cadre du projet FranceConnect et de l'entrée en vigueur du règlement européen EIDAS. Si d'autres bizarreries sont constatées sur les téléservices du ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom at finances dot gouv dot fr), on les routera aux DSI en charge. Bien cordialement, Stéphane Martin (RSSI MINEFI) Arnaud Launay a écrit : Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus: https://twitter.com/asl/status/582837760022749184 Arnaud. ___ Liste de diffusion du FRsAG http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] cherche cas usage des regex dans la vraie vie
https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns Mihamina RAKOTOMANDIMBY a écrit : Bonjour, Je dois faire un mini exposé sur les regex. Ca m'interesserait de pouvoir donner des exemples sur les recherches dans les logs. Je cherche donc des cas d'usage, dans lesquels il faut utiliser des regex pour trouver ce qu'on veut. Les truc du genre $grep Error access.log me semblent inutile pour ce coup là :-) du fait de la trop facilité du pattern. Le public: des sysadmins juniors *et* des devs web à qui on souhaite introduire à la recherche des erreurs dans les fichiers d'erreur (Apache, Tomcat, MySQL, PGSQL, Postfix, Exim,...) Auriez-vous des cas d'usage (bonus: avec la résolution et un sample)? Merci bien. ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Client XMPP SSO
Bonjour, quel est le besoin exact ? A - que le client XMPP sur le poste puisse d’appuyer sur le jeton AD de façon à ce que l’utilisateur n’ait pas à ressaisir son mot de passe à l’ouverture du client XMPP ? B - ou simplement que l’utilisateur puisse saisir son login/passw AD dans le client XMPP pour s’authentifier ? B suffit pour répondre au problème « ne pas changer son mot de passe à de multiples endroits ». Cordialement, Stéphane Le 24 nov. 2014 à 15:58, ML Cybcorps m...@cybcorps.com a écrit : Bonjour les Admins ! Je cherche à mettre en place un système de messagerie interne à l'entreprise basé sur XMPP. En serveur, j'utilise Openfire couplé à l'AD, aucun problème de ce côté. Mais pour le client, je n'arrive pas à trouver chaussure à mon pied. Je souhaite que le client prenne en charge le SSO pour éviter aux utilisateurs de changer leur mot de passe à de multiples endroits tous les 3-6 mois ... J'ai regardé du côté d'Openfire et Pandion mais ils ne semblent plus maintenues ... Quelques retours d'expériences possible sur des clients XMPP en entreprise ? Cordialement, Jordan ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Client XMPP SSO
http://superuser.com/questions/642609/how-can-i-enable-kerberos-gssapi-authentication-in-pidgin-on-linux http://www.nealgroothuis.name/2013/09/gssapikerberos-authentication-in-pidgin/ (même chose) il y a quelques années il y avait eu un patch pour gajim aussi… pas testé. et avec gajim on se trimbale pygtk, pas très élégant sous windows comme dit précédemment, pidgin s’appuyant (toujours) (via sur l’implémentation MIT Kerberos, il faut que les libs soient installées, y compris sous windows voir http://web.mit.edu/kerberos/ pour les libs sinon pandion est dead et spark n’a pas reçu un commit depuis 3 ans Le 24 nov. 2014 à 22:10, ML m...@cybcorps.com a écrit : Merci pour vos réponses ! Pidgin fonctionne pas mal, et existe en multiplateforme. Point sympa, tu peux lui adjoindre des fonctionnalités via les plugins. Seul bémol, je me souviens qu'il fonctionnait (à l'époque) via l'implémentation MIT de Kerberos client, sous windows client, à tester donc dans ton environnement. A voir donc si c'est toujours nécessaire, les developpements ayant peut être évolué depuis les derniers tests que j'ai menés sous windows (sous linux, aucun souci d'intégration en revanche) J'utilise déjà Pidgin sur les postes Linux, aucun soucis effectivement ! Mais je n'ai pas trouvé de plugins permettant le SSO =/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Faille dans le protocole SSLv3
Stats relevées auprès de différents partenaires : - côté transitaires de paiements internet, 1% des transactions en SSLv3 - côté téléservices administration, en gros 3%. La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en Oracle Java 6. A partir de XP SP3 on peut faire du TLS 1.0 (IE8). On trouve parfois aussi des clients de Web Services codés avec de vieilles technos (Delphi 2010 par exemple). Bref avant de désactiver, vérifier avec ses clients. Stéphane Le 19 oct. 2014 à 12:18, Xavier Beaudouin k...@oav.net a écrit : Hello, La situation sur ce front n'est pas simple : couper SSLv3 c'est fermer la porte à des clients (les décideurs vont pas aimer), et le laisser en vie c'est compromettre la sécurité de tous les autres clients... Les équipes techniques ont-elles le pouvoir de pousser une telle décision ? :-) Ca fait plus de 6 mois que j'ai coupé SSLv3 de pas mal de services dont certains pour des clients type bancaires. Je n'ai jamais eu de retours négatifs, donc on peux penser que de fait, en interne chez ce type de clients on a déjà fait de sorte que SSLv3 soit bannis. D'un autre coté ça me rassure. A noter que je bosse pour une boite de logiciels et ne travaille pas avec du e-commerce. Xavier ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
