FRsAG July 2014

frsag@frsag.org

27 participants
11 discussions

Déploiement de poste
by David Mercereau 29 Jan '15

29 Jan '15

Bonjour à tous, Quel solution de déploiement de poste client utilisez-vous ? Dans la structure ou je suis en poste, mon prédécesseur utilisait WDS mais à mon arrivé ça fonctionnait très mal j'ai donc opté pour CloneZilla en PXE (que je connaissais déjà) dans l'urgence... J'ai couplé clonezilla avec sysprep et s'en suit un petit script bat maison qui renomme la machine, puis reboot, puis l’intègre au domaine.... Dans un précédent job on m'avait venté les mérites de Microsoft Deployment Toolkit (MDT) qui, sur le papier, est top. (fresh install avec installation des drivers selon des profiles de poste, idem pour les logiciels... Est-ce quelqu'un à un retour d'expérience sur ce produit ? On m'a aussi parlé d'OPSI (http://www.opsi.org/fr) ça semble beau sur le papier mais en vrai ça donne quoi ? Idem pour FOG (http://www.fogproject.org/) Merci d'avance pour vos retours, David

5 6

Climatisation pour mise en place de salle serveur
by Antoine Benkemoun 29 Aug '14

29 Aug '14

Bonjour à tous, Je vous contacte car ma société va changer de locaux et nous allons être confrontés à la mise en place d'une salle serveur. Actuellement, tout est géré par le gestionnaire du bâtiment mais dans les nouveaux bâtiments, on va devoir se débrouiller nous-même. Nous sommes en train de voir avec la gérance pour la mise en place des éléments électriques et anti-incendie. Néanmoins la partie climatisation nous revient. Actuellement il y a déjà une climatisation en place mais qui sera largement insuffisante. Nous cherchons donc des retours d'expérience que vous pourriez avoir par rapport à la mise en place d'une solution de climatisation pour une salle serveur de taille relativement modeste (2-3 baies assez haute densité). L'option datacenter n'en est pas une car l'intégralité des utilisateurs de l'infrastructure sont dans le même bâtiment au même étage. Quels types de contrats avez-vous pu rencontrer ? Nous avons vu qu'il existe des climatisations de rack, est-ce intéressant/efficace ? Nous sommes en Suisse mais si vous avez des références/partenaires en France, ça peut tout de même nous aider :-) Bonne journée et merci d'avance pour vos retours, Antoine

7 10

Re: [FRsAG] NFSv4 et ACL : problèmes
by Jonathan Tremesaygues 22 Aug '14

22 Aug '14

Bonjour, Ne marche pas non plus en NFSv3 :-/ Montage de l'export de test en nfs3 : [root@sl65 mnt]# mount -o vers=3,acl whale:/share/MD0_DATA/test whale/ [root@sl65 mnt]# nfsstat -m /mnt/whale from whale:/share/MD0_DATA/test Flags: rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150 Vérification de la présence des ACL : [root@sl65 mnt]# ll total 8 drwxrwx---+ 3 root root 4096 Jul 31 09:14 whale [root@sl65 mnt]# getfacl whale # file: whale # owner: root # group: root user::rwx user:lrouge:rwx user:jtremesay:rwx user:nfsnobody:--- group::rwx mask::rwx other::rwx default:user::rwx default:user:lrouge:rwx default:user:jtremesay:rwx default:user:nfsnobody:--- default:group::rwx default:mask::rwx default:other::--- Tentative d'accès au dossier : [jtremesay@sl65 mnt]$ ls whale/ ls: cannot open directory whale/: Permission denied Cordialement Jonathan On 07/30/2014 06:15 PM, Jean Milot wrote: > Bonjour, > > Moi, j'ai abandonné NFSv4. Je force l'utilisation de la version 3 pour > utiliser les ACLs. > > Cordialement, > > Jean > > > > Le 30 juillet 2014 16:40, Jonathan Tremesaygues > <jonathan.tremesaygues(a)menta.fr > <mailto:jonathan.tremesaygues@menta.fr>> a écrit : > > Bonjour la liste, > > Nous essayons désespérément de faire fonctionner les ACL sur du > partage réseau > NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant > sous un linux > custom et les clients sont essentiellement des Scientific Linux > (RHEL-like) > 6.5. Les comptes des utilisateurs sont stockés dans un LDAP. > > ######################## > # Configuration du serveur (whale) : # > ######################## > [~] # cat /etc/idmapd.conf > [General] > Verbosity = 9 > Pipefs-Directory = /var/lib/nfs/rpc_pipefs > Domain = menta.fr <http://menta.fr> > > [Mapping] > Nobody-User = guest > Nobody-Group = guest > > [Translation] > Method = nsswitch > > > [~] # cat /etc/exports > "/share/NFS" > *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys) > "/share/NFS/shared" > 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) > <http://192.168.10.0/255.255.254.0%28rw,nohide,async,no_root_squash,insecure…> > "/share/NFS/test" > 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) > <http://192.168.10.0/255.255.254.0%28rw,nohide,async,no_root_squash,insecure…> > > > [~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping > N > > > [~] # ll /share/NFS/ > drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./ > drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../ > drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/ > drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/ > > > [~] # getfacl /share/NFS/test > getfacl: Removing leading '/' from absolute path names > # file: share/NFS/test > # owner: root > # group: root > user::rwx > user:jtremesay:rwx > group::rwx > mask::rwx > other::--- > default:user::rwx > default:group::rwx > default:mask::rwx > default:other::--- > > > > ################### > # Configuration d'un client : # > ################### > [jtremesay@hawk ~]$ cat /etc/idmapd.conf > [General] > Verbosity = 9 > Pipefs-Directory = /var/lib/nfs/rpc_pipefs > Domain = menta.fr <http://menta.fr> > > [Mapping] > Nobody-User = nobody > Nobody-Group = nobody > > [Translation] > Method = nsswitch > > > [jtremesay@hawk ~]$ mount | grep whale > whale:/ on /mnt/whale type nfs > (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121) > > > [jtremesay@hawk ~]$ nfsstat -m > /mnt/whale from whale:/ > Flags: > rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150 > > > [jtremesay@hawk ~]$ ll /mnt/whale/ > total 134 > drwxr-xr-x. 19 root root 1024 Jul 29 10:16 . > drwxr-xr-x. 5 root root 4096 Jul 29 10:46 .. > drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared > drwxrwx---. 2 root root 4096 Jul 22 15:44 test > > > [jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/ > A::OWNER@:rwaDxtTcCy > A::jtremesay@menta.fr:rwaDxtcy > A::GROUP@:rwaDxtcy > A::EVERYONE@:tcy > A:fdi:OWNER@:rwaDxtTcCy > A:fdi:GROUP@:rwaDxtcy > A:fdi:EVERYONE@:tcy > > > [jtremesay@hawk ~]$ ll /mnt/whale/test/ > ls: cannot open directory /mnt/whale/test/: Permission denied > > > Lorsque que j'utilise la même configuration (mêmes réglages > d'idmapd.conf, > mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça > fonctionne : seul moi et root peuvent accéder au dossier "test". > Donc à priori le problème viendrait du QNAP mais je vois pas trop > ce que j'ai pu oublier de modifier ou vérifier. > > Si quelqu'un a une idée... Merci d'avance > > > Cordialement, > Jonathan Tremesaygues > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > > > > > -- > MILOT Jean > Tél. : 0659514624 > milot.jean(a)gmail.com <mailto:milot.jean@gmail.com> >

10 20

Serveur compromis, et après ?
by Fernando Lagrange 15 Aug '14

15 Aug '14

Bonjour, Je suis un peu vert: un serveur que j'administre a été compromis ! :-X J'ai été alerté car une page web de phishing a été mise en place, à cause d'une application que je n'avais pas mise à jour. En y regardant de plus près, j'ai trouvé aussi une page pour envoyer du SPAM. De fait: il y avait plus de 200 pourriels en cours d'envoi sur le serveur d'à côté. Là, j'ai été trop rapide et tout effacé, maintenant je me dis que j'y aurais bien jeté un œil à ces pourriels… :-/ Mes recherches sur le net arrivent surtout sur comment se prémunir (mettre en place la sécurité), je n'ai pas trouvé grand-chose sur « l'après ». L'après non-technique, j'entends. Du coup, comment vous faites: 1. pour vérifier que tout va bien techniquement ? et surtout: 2. est-ce qu'il faut suivre des démarches pour se prémunir au cas où une plainte tomberait dans X temps ? Personnellement, après avoir coupé les accès aux pages concernées: 1. a. J'ai regardé l'arborescence des htdocs dans l'historique des sauvegardes (et retrouvé depuis quand c'est arrivé) b. vérifié les courriels metche de surveillance de l'arborescence /etc (pas vu de modifs de ce côté-là) c. j'ai installé rkhunter (on n'est jamais trop prudent, mais est-ce utile à postériori ?) d. j'ai mis à jour (et je suis en négociation avec ma hiérarchie pour garder les serveurs à jour, mais c'est pas simple) e. Je continue à éplucher les logs de la période, j'hésite à installer logwatch f. je vais baisser les alertes munin sur le nombre de courriels par seconde (mais j'imagine que ça va me faire des faux-positifs et une bonne attaque passera inaperçue) h. je vais faire monter la réinstallation de ce serveur vers le haut de la pile des choses à faire ;) 2. Je suis en train d'envoyer un message à FRSAG. ;) Plus sérieusement, je me demande s'il ne faut pas que je déclare quelque chose quelque part ? (Je sais pas trop si je pourrai fournir des infos précises d'ici 2, 5 ou 10 ans…) Et vous, si ça vous est arrivé, avez-vous fait quelque chose ? Que s'est-il passé ensuite ? (J'accepte les messages en privé si vous pensez que c'est trop sensible en public, n'hésitez-pas à me renvoyer sur des discussions similaires.) @+ -- Fernando Lagrange Demo-TIC - Outils En Ligne http://www.demo-tic.org Jabber/XMPP: fernando(a)im.apinc.org

10 13

NFSv4 et ACL : problèmes
by Jonathan Tremesaygues 30 Jul '14

30 Jul '14

Bonjour la liste, Nous essayons désespérément de faire fonctionner les ACL sur du partage réseau NSFv4. Le serveur de partage est un NAS QNAP TS-879-PRO tournant sous un linux custom et les clients sont essentiellement des Scientific Linux (RHEL-like) 6.5. Les comptes des utilisateurs sont stockés dans un LDAP. ######################## # Configuration du serveur (whale) : # ######################## [~] # cat /etc/idmapd.conf [General] Verbosity = 9 Pipefs-Directory = /var/lib/nfs/rpc_pipefs Domain = menta.fr [Mapping] Nobody-User = guest Nobody-Group = guest [Translation] Method = nsswitch [~] # cat /etc/exports "/share/NFS" *(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys) "/share/NFS/shared" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) "/share/NFS/test" 192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys) [~] # cat /sys/module/nfsd/parameters/nfs4_disable_idmapping N [~] # ll /share/NFS/ drwxr-xr-x 19 root root 1.0k Jul 29 10:16 ./ drwxr-xr-x 32 root root 1.0k Jul 29 14:34 ../ drwxrwxrwx 12 root shared 4.0k Jul 17 15:00 shared/ drwxrwx--- 2 root root 4.0k Jul 22 15:44 test/ [~] # getfacl /share/NFS/test getfacl: Removing leading '/' from absolute path names # file: share/NFS/test # owner: root # group: root user::rwx user:jtremesay:rwx group::rwx mask::rwx other::--- default:user::rwx default:group::rwx default:mask::rwx default:other::--- ################### # Configuration d'un client : # ################### [jtremesay@hawk ~]$ cat /etc/idmapd.conf [General] Verbosity = 9 Pipefs-Directory = /var/lib/nfs/rpc_pipefs Domain = menta.fr [Mapping] Nobody-User = nobody Nobody-Group = nobody [Translation] Method = nsswitch [jtremesay@hawk ~]$ mount | grep whale whale:/ on /mnt/whale type nfs (rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121) [jtremesay@hawk ~]$ nfsstat -m /mnt/whale from whale:/ Flags: rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150 [jtremesay@hawk ~]$ ll /mnt/whale/ total 134 drwxr-xr-x. 19 root root 1024 Jul 29 10:16 . drwxr-xr-x. 5 root root 4096 Jul 29 10:46 .. drwxrwxrwx. 12 root shared 4096 Jul 17 15:00 shared drwxrwx---. 2 root root 4096 Jul 22 15:44 test [jtremesay@hawk ~]$ nfs4_getfacl /mnt/whale/test/ A::OWNER@:rwaDxtTcCy A::jtremesay@menta.fr:rwaDxtcy A::GROUP@:rwaDxtcy A::EVERYONE@:tcy A:fdi:OWNER@:rwaDxtTcCy A:fdi:GROUP@:rwaDxtcy A:fdi:EVERYONE@:tcy [jtremesay@hawk ~]$ ll /mnt/whale/test/ ls: cannot open directory /mnt/whale/test/: Permission denied Lorsque que j'utilise la même configuration (mêmes réglages d'idmapd.conf, mêmes exports, mêmes ACL) depuis un serveur sous Scientific Linux, ça fonctionne : seul moi et root peuvent accéder au dossier "test". Donc à priori le problème viendrait du QNAP mais je vois pas trop ce que j'ai pu oublier de modifier ou vérifier. Si quelqu'un a une idée... Merci d'avance Cordialement, Jonathan Tremesaygues

1 0

[FRnOG] [JOBS] Recherche poste admin Linux / Nagios
by Cyril Feraudet 30 Jul '14

30 Jul '14

Bonjour, Je recherche un poste d'admin Linux, j'ai un profil orienté monitoring depuis quelques années. A votre bon cœur ... http://feraudet.com/CV.pdf -- Cyril Feraudet http://perfwatcher.org/

3 3

Recherche Ingénieur(e) Systèmes et réseaux
by Arnauld Peyrou 10 Jul '14

10 Jul '14

Bonjour, Nous recherchons actuellement un ingénieur systèmes et réseaux dont voici ci dessous la fiche de poste: ___________________________________________________________________________________________________________________________________________________________________ Contexte Avec plus de 2 000 collaborateurs et chercheurs, l’Institut national de recherches archéologiques préventives est la plus importante structure de recherche archéologique française et l’une des premières en Europe. Placé sous la double tutelle du ministère de la Culture et de la Communication et du ministère de l’Enseignement supérieur et de la Recherche, l’Inrap réalise l’essentiel des diagnostics archéologiques et des fouilles en partenariat avec les aménageurs privés et publics : soit près de 2 000 chantiers par an, en France métropolitaine et dans les départements d’outre mer. Les missions de l’institut s’étendent à l’exploitation scientifique des résultats et à la diffusion de la connaissance archéologique auprès du public, actions pouvant prendre la forme de partenariats nationaux comme internationaux. Doté d’une organisation reposant sur un siège parisien et huit directions interrégionales, il dispose d’un budget de 166 millions d’euros. Le service technique et support de la direction des systèmes d’informations, composé de 5 personnes, est chargé d’assurer le bon fonctionnement et les évolutions de l’ensemble de l’infrastructure informatique de l’Inrap. *Mission* Sous la responsabilité du chef du service, et en collaboration étroite avec les membres de l’équipe, l’ingénieur(e) système et réseau assure la continuité de fonctionnement des infrastructures système Linux et Windows, et mène des projets d’évolution du système d’information de l’Inrap. Fonctions Dans les conditions définies ci-dessus l’ingénieur(e) systèmes et réseaux, est chargé(e) de : - Suivre le déroulement des projets d’infrastructure placés sous sa responsabilité et mettre en place les indicateurs nécessaires à leur suivi ; - Être force de proposition pour l’ensemble des projets de systèmes d’information ; - Participer à la définition des besoins de l’Inrap en matière d’infrastructure technique ; - Apporter son expertise dans la résolution incidents N2 et N3 ; - Maintenir en condition opérationnelle les infrastructures techniques ; - Effectuer des actions d’administration, de maintenance et d’optimisation des infrastructures systèmes, en lien avec les autres membres de l’équipe technique et support ; - Etablir les cahiers des charges correspondants et proposer des choix de solutions ; - Analyser les risques et alerter en cas de nécessité ; - Assurer la veille technologique sur tous les aspects de l’infrastructure et proposer des évolutions ; *Les fonctions décrites ci-dessus correspondent aux principales fonctions prévues pour ce poste, elles peuvent faire l’objet d’adaptations en fonctions des besoins de service.* Ce poste est rattaché au service Technique et Support de la Direction des systèmes d’information (DSI). Il est basé au siège de l’INRAP à Paris. De rares déplacements de courte durée dans toute la France sont à prévoir ainsi que quelques interventions en horaire décalés. Poste ouvert hors filière hors catégorie, à pourvoir par recrutement interne ou externe. Les titulaires de la fonction publique peuvent être recrutés sur ce poste par la voie du détachement. Niveau de diplôme requis - Doctorat, ou troisième cycle ou diplôme équivalent - Master 2 recevable Les diplômes auront été obtenus dans le domaine de l’informatique, type Bac +4, +5, Ecole d’ingénieur ou universitaire. Compétences et expériences requises - Expérience de la production informatique dans une logique de qualité de service et d’amélioration de la production. *Compétences techniques :* - Maîtrise de l’administration de systèmes d’exploitation (Linux et Windows) ; - Connaissance dans les systèmes Windows (Active Directory, WSUS, MDT, etc.) ; - Maîtrise des réseaux d’entreprise (TCP/IP, VPN, Firewall, Wan) ; - Connaissance d’un système de visioconférence / TOIP ; - Bonne connaissance des outils de supervision des SI (Nagios, Munin, Cacti, etc.) ; - Connaissance dans l’exploitation de SAN (lun, zoning,…) ; - Compétences dans le déploiement d’une solution de virtualisation dans un environnement de production ; - Connaissance d’un langage de programmation : (Python, Php appréciés) ; - Connaissance en scripting : (powershell, vbscript, shell appréciés) ; - Connaissance de bases de données (MySQL, SQL Server, Oracle appréciés) ; - Connaissance des environnements professionnels Google appréciée ; *Compétences personnelles :* - Forte implication ; - Capacité à travailler en mode projet ; - Capacité à impliquer l’ensemble du personnel dans une démarche d’amélioration de la production ; - Capacités relationnelles et rédactionnelles ; - Sens de l’organisation ; - Capacité à travailler en équipe. *Candidature* Les candidats sont invités à adresser leur candidature (CV, lettre de motivation) *au plus tard le 15 août 2014 *inclus à Benoît Lebeaupin, directeur des ressources humaines : Inrap, 7 rue de Madrid 75008 Paris ou par email à *service-recrutement(a)inrap.fr <service-recrutement(a)inrap.fr>* Cordialement, Arnauld PEYROU Responsable Technique et Support Direction des Systèmes d'Information. Inrap - 7 rue de Madrid - 75008 Paris Tél : 01 40 08 80 48. www.inrap.fr Abonnez-vous à la lettre d'information de l'Inrap : http://www.inrap.fr/newsletter.php

1 0

Solution AES 256 sous Linux sauf pour Root
by Stanislas Garret 07 Jul '14

07 Jul '14

Bonjour la liste, Je me permet de vous adresser un petit courrier pour un problème identifié. Je suis en train de mettre en place une architecture applicative outsourcée. Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me permettra pas d'être root sur la machine (ou uniquement temporairement). la problématique est que si j'outsource mes fichiers, un de mes clients demande à ce que ceux-ci soient cryptés en AES 256. L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour l'encryption nous avons utilisé MS-EFS sur des dossiers particuliers. Je voudrais avoir un peu le même comportement, mais que root (mon outsourcer normalement) n'y ai pas accès. Voyez-vous des solutions pérennes sur RHEL 6.5 ? Merci d'avance Stan

7 12

Re: [FRsAG] Solution AES 256 sous Linux sauf pour Root
by Nikita Kozlov 07 Jul '14

07 Jul '14

Salut, Contrairement à ce qui a été dit, c'est faisable de bloquer les accès de l'utilisateur root a certains fichiers si tu mets en place un des divers divers rbac disponible sous Linux. Au hasard pour ceux que j'ai testé : grsec/rbac et selinux. Par contre ça peut être complexe à mettre en place et je ne sais pas si c'est simple à faire particulièrement sous rhel (jamais utilisé). -- nikita Stanislas Garret <satanas.g(a)free.fr> a écrit : >Bonjour la liste, > >Je me permet de vous adresser un petit courrier pour un problème identifié. > >Je suis en train de mettre en place une architecture applicative outsourcée. > >Cette archi (Serveur phy / 8 Cores / 64 Gb + 2 To de données) ne me >permettra pas >d'être root sur la machine (ou uniquement temporairement). > >la problématique est que si j'outsource mes fichiers, un de mes clients >demande à ce que >ceux-ci soient cryptés en AES 256. > >L'application était déjà outsourcée mais sous Windows 2008R2 et donc pour >l'encryption nous avons >utilisé MS-EFS sur des dossiers particuliers. > >Je voudrais avoir un peu le même comportement, mais que root (mon >outsourcer normalement) n'y ai pas accès. > >Voyez-vous des solutions pérennes sur RHEL 6.5 ? > >Merci d'avance > >Stan > >_______________________________________________ >Liste de diffusion du FRsAG >http://www.frsag.org/

2 1

Offre d'emploi
by jean-alexis lauricella 03 Jul '14

03 Jul '14

Tout est dans l'annonce. Le lieu et le contexte est très sympa. http://www.irt-systemx.fr/wp-content/uploads/2013/04/TEO_Administrateur_Sys… lieu : http://www.irt-systemx.fr Jean-Alexis

1 1

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG July 2014