FRsAG March 2020

frsag@frsag.org

62 participants
24 discussions

by David Ponzone

Salut tous. Je me suis mis en tête de trouver un boîtier pour Odroid-C2/N2 (donc une carte avec un CPU un peu péchu et un port SATA) avec 2 emplacements 3.5 ou 2.5, pour en faire un NAS Raid1 fait maison (probablement avec mdadm et OpenMediaVault). Et j’ai du mal à trouver un tel boîtier. Quelqu’un connaît une réf ou c’est une chimère ? Éventuellement avec une autre carte (je suis pas figé tant qu’on peut mettre une distri Linux dessus et que la communauté est relativement active). Bien sûr l’objectif est que le prix soit en dessous de 150-200€, le prix de l’entrée de gamme Syno (avec leur CPU de mollusque). Merci de vos conseils David Ponzone

1 year, 9 months

[TECH] ANSSI Recommandations de sécurité relatives à TLS - v1.2

by Jean-Francois Billaud

ANSSI Agence nationale de la sécurité des systèmes d'information Recommandations de sécurité relatives à TLS - Version 1.2 - 26/03/2020 https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/ Licence ouverte / Open Licence (Etalab v1) : https://www.etalab.gouv.fr/licence-ouverte-open-licence Pas de surprises dans ces recommandations. La version précédente 1.1 datait du 19/08/2016. Les protocoles recommandés : TLS v1.2, TLS v1.3 RSA ECDSA ECDHE secp256r1,secp384r1,secp521r1 (NIST), x25519, x448, brainpoolP256r,brainpoolP384r, brainpoolP512r1 DHE 2048 bits 3072 bits ou plus AES ChaCha20 Camellia ARIA GCM, CCM, CBC (sous condition) SHA256 SHA384 Pas de compression ... Suites recommandées en annexe A Exemples d'application en annexe B - Application à la compilation de OpenSSL - Application à la configuration de modules applicatifs pour Apache [orienté serveur public] et NGINX [client maîtrisé] Pas de recommandation pour le mail (SMTP + StartTLS) ni DOH ni DOT Pas de lien vers des outils de test. Avis personnel pour tout ce qui suit : - brainpool Camellia ARIA inutiles si l'on ne maîtrise pas serveur et client maison (ces protocoles ne sont pas implémentés dans les navigateurs courants) - CCM est à réserver pour l'Internet des objets (pas implémenté dans les navigateurs courants) - on peut privilégier x25519, x448 sur les courbes du NIST (question de confiance) - x448 peut servir dans le cas de serveurs mandataires - dans le cas de SMTP + StartTLS, on observe qu'il y a toujours des acteurs majeurs qui sont restés à TLS 1.0, il est donc difficile de ne garder que TLS v1.2 et TLS v1.3 Pour HTTPS une configuration pourrait être : TLS v1.2, v1.3 certificats ECDSA - RSA 4096 bits paramètres DH ffdhe4096.pem courbes X448:X25519:secp521r1:secp384r1:prime256v1 suites TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256; (à adapter selon les goûts personnels) Pour SMTP + StartTLS une configuration pourrait être : TLS v1, v1.1, v1.2, v1.3 certificats ECDSA - RSA 4096 bits paramètres DH ffdhe4096.pem courbes X448:X25519:secp521r1:secp384r1:prime256v1 suites TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256; (à adapter si pas besoin de TLS v1 et v1.1) Les outils de test : Qualys SSL Server Test : https://www.ssllabs.com/ssltest/index.html Internet.nl : https://internet.nl/ Hardenize.com : https://www.hardenize.com/ STARTTLS Everywhere : https://starttls-everywhere.org/ CryptCheck : https://tls.imirhil.fr/ Pour les enregistrements DANE TLSA (3 1 1 et 2 1 1 recomandés) : chaingen de Viktor Dukhovni : https://go6lab.si/DANE/chaingen hash-slinger : https://github.com/letoams/hash-slinger JFB PS Message sous licence CC0, règles de Croker applicables. -- "We can't return to normal, because the normal that we had was precisely the problem."

3 years, 2 months

Nos compétences et infrastructures au service de la crise

by Antoine Nivard

Bonjour à toutes et à tous, Je me permets de vous informer de ceci : Nous sommes un groupe (en cours de constitution) de volontaires avec des compétences techniques en IT/cybersécurité prêts à soutenir les acteurs cruciaux à la vie locale en cas de crise. Si vous souhaitez en faire partie, rejoignez nous sur Discord : https://discord.gg/pYjA3q -- Cordialement, Antoine Nivard antoine(a)nivard.com Tél: 06 52 57 79 69 0x0376B6D29E35A2B3

3 years, 2 months

Ticketing et "timer"

by Arnaud Launay

Bonjour, On profite de cette étrange période pour revenir sur un sujet qui nous ennuie depuis quelques mois... Pour notre ticketing, principalement pour les petits clients chez qui on fait de la régie, on utilisait osticket, plus un patch permettant de noter le temps qu'on passait sur chaque ticket / réponse: https://github.com/osTicket/osTicket/pull/3231 Malheureusement, l'osticket 1.10 se fait vieux, fonctionne correctement mais a pas mal de petits bugs qui finissent par devenir casse-pieds... Donc on s'est dit qu'on allait mettre à jour. Malheureusement, le patch n'est plus maintenu, et n'a pas été mis à jour, ni pour la 1.12, ni pour la 1.14. Du coup, on a essayé de regarder pour intégrer le patch nous-mêmes, mais ça touche tellement de choses partout que ça nous semble au mieux compliqué, au pire non-maintenable. Du coup, on cherche un autre système de ticketing, qui permettrait autant que possible nativement de supporter la feature de time-tracking (et autant que possible de reporting /par client/ ("organisation" en osticket) (et pas par utilisateur ou agent...), afin que l'on ne se retrouve pas encore bloqué dans quelques mois / années. On a regardé un certain nombre de système, dont certains qui font le café, mais au final on n'a pour l'instant rien trouvé qui corresponde au cahier des charges: - tourne sous Linux - la techno on s'en fiche, on préférerait que ce soit léger, mais si c'est une usine à gaz comme gitlab mais qui fait le travail, ainsi soit-il. Jira on a regardé, mais les rares modules de timetracking ne nous ont pas semblé adaptés, souvent difficile de tester ceci dit. Dans l'idéal, du PHP/MySQL ça nous arrangerait, ça demeure simple, on maîtrise parfaitement, et on aurait rien à faire de plus pour que ce soit installable et backupé... Du coup de notre point de vue, c'est léger. Néanmoins, s'il faut du nginx/passenger/postgresql, on fera aussi. - payant ou non. On préfère de l'opensource, mais si le prix est raisonnable, pourquoi pas. - possibilité pour les utilisateurs de se connecter en web, suivre leurs tickets et y répondre - possibilité de répondre par mail et que ce soit assigné au bon ticket - ET LA @#¡! de possibilité de suivi temporaire. - (bon et si ça peut éviter d'avoir un design moche des années 90, ça ne nous déplairait pas non plus, mais c'est accessoire) Je n'ai pas l'impression qu'on cherche la lune pourtant, mais juste la possibilité de pouvoir taper la réponse au ticket et de mettre à côté dans une case "j'ai passé 30 minutes", ça a l'air compliqué... Si quelqu'un a une idée, ça m'intéresse, je suis en plein désarroi. Arnaud.

3 years, 2 months

Utilisez WAPT pour faciliter le télétravail !

by Camille BARILLE

Bonjour à tous, Comme évoqué précédemment, dans le contexte de crise sanitaire actuelle, Tranquil IT a décidé de soutenir les entreprises impactées en mettant gratuitement à disposition des licences WAPT Enterprise. WAPT sera l'allié des administrateurs systèmes et autres responsables informatiques pendant cette période favorisant le télétravail. Le logiciel de gestion de parc informatique à distance propose notamment la gestion des Windows Update, le déploiement de logiciels, l'inventaire informatique, la gestion des agents Linux et Mac, la gestion des dépôts secondaires, ... Pour recevoir vos licences, faites la demande ici : https://www.tranquil.it/licences-exceptionnelles-de-wapt-enterprise/ Toute l'équipe est à votre disposition si besoin ! Prenez soin de vous ! -- *Camille BARILLÉ, Chargée de Communication* Tranquil IT 12 avenue Jules Verne (Bât. A) 44230 Saint Sébastien sur Loire (FRANCE) tel: +33 (0) 240 975 755 /Retrouvez-nous sur les réseaux :/ twitter <https://twitter.com/TRANQUIL_IT> linkedin <https://www.tranquil.it/wp-content/uploads/07_linkedin.png> youtube <https://www.youtube.com/channel/UCl45FZItnoOlXsaWUa3UrTw> ------------------------------------------------------------------------ Tranquil IT <https://www.tranquil.it/licences-exceptionnelles-de-wapt-enterprise/>

3 years, 2 months

ISO MacOS pour VirtualBox

by SIMANCAS Hugo

Hello @ tous en ces temps hollywoodiens, On a des devs ios qui ne jurent que par apple et ne peuvent bosser que sur mac du coup. Les macs à iso perfs valent au moins 40% de plus qu’un (bon) PC sous linux. On se rapproche d’un petit serveur sans la possibilité d’upgrade. Je voudrais prévoir un pca en cas de panne de ce racket $€ avec une VM sous Virtual box mais je n’arrive pas à trouver un ISO (il faut un mac). J’ai plus confiance à la liste que certains sites web pour le téléchargement des iso d’OS. Avez-vous eu le même pb ? Merci Hugo

3 years, 2 months

LXD init - choix ?

by Frederic Dumas

Après avoir manipé LXC, je me mets à LXD. Les deux tiers des questions posées par le "wizard" qui fait la config initiale restent pour moi sans réponses claires. > $ lxd init > > Would you like to use LXD clustering? (yes/no) [default=no]: n > > Do you want to configure a new storage pool? (yes/no) [default=yes]: no > > Would you like to connect to a MAAS server? (yes/no) [default=no]: no > > Would you like to create a new local network bridge? (yes/no) > [default=yes]: > > What should the new bridge be called? [default=lxdbr0]: > > What IPv4 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: > > What IPv6 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: none > > Would you like LXD to be available over the network? (yes/no) [default=no]: no > > Would you like stale cached images to be updated automatically? (yes/no) [default=yes] yes > > Would you like a YAML "lxd init" preseed to be printed? (yes/no) [default=no]: Quelqu'un est-il déjà passé par là et pourrait me prendre 15mn en video call demain pour m'aider en quelques mots? A défaut, je lirai avec attention toute documentation vers laquelle on voudra me rediriger. Google ne fut pas mon ami™: https://lxd.readthedocs.io/en/latest/#faq Merci. -- Frederic Dumas f.dumas(a)ellis.siteparc.fr

3 years, 2 months

le télétravail dans l'urgence

by Emmanuel Jacquet

Salut ! Je coince un petit peu sur la question suivante. Une organisation dont je m'occupe depuis peu, me demande maintenant de mettre le plus possible de monde en télétravail. Il y a entre autre des fichiers en partage, des appli propriétaires non réinstallable facilement. Le plus simple et rapide me semble de donner un accès style teamviewer à chaque personne depuis son ordi perso vers sa propre machine sur place. Est ce que teamviewer OU AUTRE permet ce genre de manip ? genre avec licence (pro, payante) installée partout, mais chaque user peut prendre la main à distance. Alternativement, qu'avez vous fait dans ce même genre de cas ? Merci d'avance ! Manu -- manu(a)formidable-inc.net

3 years, 2 months

Driver Carte SUN ATLS1QGE ref. 511-1422-01

by Jérémie

Bonjour, C'est troll-di, donc je commence avec mon sujet : J'ai deux cartes Sun ATLS1QGE, référence 511-1422-01 avec le chipset Sun, et l'inscription "neptune JTAG". Quand on cherche sur le site de Sun, il est fait mention d'une carte à chipset Intel i350. Plus de traces de cette carte a chipset Sun. Le module NIU sous Debian se charge en présence de la carte. La carte semble juste voir les connections/déconnections de câble. Il semble qu'il y ai eu un driver officielle Sun pour cette carte, mais il ne semble plus disponible, même avec un contrat. Avez-vous déjà croisé cette carte ? Savez-vous si on peut la faire fonctionner sous GNU/Linux ? Si oui, comment ? Cordialement,

3 years, 2 months

Re: [FRsAG] le télétravail dans l'urgence

by Matthieu Courtois

+1 Pour Apache Guacamole. Je l'ai mis en place chez nous avec un reverse proxy + authentification LDAPS ça marche très bien même sur des petites connexions. Si besoin j'ai fait un module PowerShell : https://github.com/UpperM/guacamole-powershell On Wed, Mar 25, 2020 at 11:49 AM Matthieu Courtois < courtois.matthieu.92(a)gmail.com> wrote: > +1 Pour Apache Guacamole. > > Je l'ai mis en place chez nous avec un reverse proxy + authentification > LDAPS ça marche très bien même sur des petites connexions. > > Si besoin j'ai fait un module PowerShell : > https://github.com/UpperM/guacamole-powershell > > On Wed, Mar 25, 2020 at 11:13 AM Philippe Beauchet < > philippe.beauchet(a)map.cnrs.fr> wrote: > >> Si Windows, je plussoie. >> C'est ce que l'on fait chez nous. >> >> Mais quelques remarques sur les "outils US". >> >> Par contre, toujours chez nous, mais cela peut vous concerner vous le >> privé. >> >> Mais pas Teamviewer. >> C'est PSSIE* non compatible. >> >> Attention aux VPN également. >> >> Si possible préférez le libre. A défaut d'avoir sa propre infra. >> >> Donc télétravail oui, mais faites gaffe si vos clients ont des données >> sensibles tel des brevets. Trump avec par exemple, patriot act obligent, >> espionne surement...encore plus qu'avant. >> >> Idem pour la visio. Pas de Skype et/ou zoom par exemple. Bon nous on à >> accès aux outils Renater (quand c'est pas surchargé) mais bon. >> >> Bon courage à toutes et à tous en ces temps difficile. >> >> >> * >> >> https://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-d… >> >> >> -- >> >> >> Cordialement, >> >> Philippe >> Service Informatique >> CNRS >> >> >> >> >> Le 25/03/2020 à 10:50, Romain a écrit : >> > VPN vers le bureau et RDP de la machine perso vers la machine pro ? >> > >> > Le mer. 25 mars 2020 à 10:36, Emmanuel Jacquet <manu(a)formidable-inc.net >> > <mailto:manu@formidable-inc.net>> a écrit : >> > >> > Salut ! >> > >> > Je coince un petit peu sur la question suivante. Une organisation >> > dont je m'occupe depuis peu, me demande maintenant de mettre le plus >> > possible de monde en télétravail. Il y a entre autre des fichiers >> > en partage, des appli propriétaires non réinstallable facilement. >> > >> > Le plus simple et rapide me semble de donner un accès style >> > teamviewer à chaque personne depuis son ordi perso vers sa propre >> > machine sur place. >> > >> > Est ce que teamviewer OU AUTRE permet ce genre de manip ? genre avec >> > licence (pro, payante) installée partout, mais chaque user peut >> > prendre la main à distance. >> > >> > Alternativement, qu'avez vous fait dans ce même genre de cas ? >> > >> > Merci d'avance ! >> > Manu >> > -- >> > manu(a)formidable-inc.net <mailto:manu@formidable-inc.net> >> > _______________________________________________ >> > Liste de diffusion du FRsAG >> > http://www.frsag.org/ >> > >> > >> > _______________________________________________ >> > Liste de diffusion du FRsAG >> > http://www.frsag.org/ >> > >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> >

3 years, 2 months

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG March 2020