Salut tous.
Je me suis mis en tête de trouver un boîtier pour Odroid-C2/N2 (donc une carte avec un CPU un peu péchu et un port SATA) avec 2 emplacements 3.5 ou 2.5, pour en faire un NAS Raid1 fait maison (probablement avec mdadm et OpenMediaVault).
Et j’ai du mal à trouver un tel boîtier. Quelqu’un connaît une réf ou c’est une chimère ?
Éventuellement avec une autre carte (je suis pas figé tant qu’on peut mettre une distri Linux dessus et que la communauté est relativement active).
Bien sûr l’objectif est que le prix soit en dessous de 150-200€, le prix de l’entrée de gamme Syno (avec leur CPU de mollusque).
Merci de vos conseils
David Ponzone
ANSSI Agence nationale de la sécurité des systèmes d'information
Recommandations de sécurité relatives à TLS - Version 1.2 - 26/03/2020
https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/
Licence ouverte / Open Licence (Etalab v1) : https://www.etalab.gouv.fr/licence-ouverte-open-licence
Pas de surprises dans ces recommandations.
La version précédente 1.1 datait du 19/08/2016.
Les protocoles recommandés :
TLS v1.2, TLS v1.3
RSA ECDSA
ECDHE secp256r1,secp384r1,secp521r1 (NIST), x25519, x448, brainpoolP256r,brainpoolP384r, brainpoolP512r1
DHE 2048 bits 3072 bits ou plus
AES ChaCha20 Camellia ARIA
GCM, CCM, CBC (sous condition)
SHA256 SHA384
Pas de compression
...
Suites recommandées en annexe A
Exemples d'application en annexe B
- Application à la compilation de OpenSSL
- Application à la configuration de modules applicatifs pour Apache [orienté serveur public] et NGINX [client maîtrisé]
Pas de recommandation pour le mail (SMTP + StartTLS) ni DOH ni DOT
Pas de lien vers des outils de test.
Avis personnel pour tout ce qui suit :
- brainpool Camellia ARIA inutiles si l'on ne maîtrise pas serveur et client maison (ces protocoles ne sont pas implémentés
dans les navigateurs courants)
- CCM est à réserver pour l'Internet des objets (pas implémenté dans les navigateurs courants)
- on peut privilégier x25519, x448 sur les courbes du NIST (question de confiance)
- x448 peut servir dans le cas de serveurs mandataires
- dans le cas de SMTP + StartTLS, on observe qu'il y a toujours des acteurs majeurs qui sont restés à TLS 1.0, il est
donc difficile de ne garder que TLS v1.2 et TLS v1.3
Pour HTTPS une configuration pourrait être :
TLS v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter selon les goûts personnels)
Pour SMTP + StartTLS une configuration pourrait être :
TLS v1, v1.1, v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter si pas besoin de TLS v1 et v1.1)
Les outils de test :
Qualys SSL Server Test : https://www.ssllabs.com/ssltest/index.html
Internet.nl : https://internet.nl/Hardenize.com : https://www.hardenize.com/
STARTTLS Everywhere : https://starttls-everywhere.org/
CryptCheck : https://tls.imirhil.fr/
Pour les enregistrements DANE TLSA (3 1 1 et 2 1 1 recomandés) :
chaingen de Viktor Dukhovni : https://go6lab.si/DANE/chaingen
hash-slinger : https://github.com/letoams/hash-slinger
JFB
PS Message sous licence CC0, règles de Croker applicables.
--
"We can't return to normal, because the normal that we had was precisely
the problem."
Bonjour à toutes et à tous,
Je me permets de vous informer de ceci :
Nous sommes un groupe (en cours de constitution) de volontaires avec des
compétences techniques en IT/cybersécurité prêts à soutenir les acteurs
cruciaux à la vie locale en cas de crise.
Si vous souhaitez en faire partie, rejoignez nous sur Discord :
https://discord.gg/pYjA3q
--
Cordialement,
Antoine Nivard
antoine(a)nivard.com
Tél: 06 52 57 79 69
0x0376B6D29E35A2B3
Bonjour,
On profite de cette étrange période pour revenir sur un sujet
qui nous ennuie depuis quelques mois...
Pour notre ticketing, principalement pour les petits clients chez
qui on fait de la régie, on utilisait osticket, plus un patch
permettant de noter le temps qu'on passait sur chaque ticket /
réponse:
https://github.com/osTicket/osTicket/pull/3231
Malheureusement, l'osticket 1.10 se fait vieux, fonctionne
correctement mais a pas mal de petits bugs qui finissent par
devenir casse-pieds... Donc on s'est dit qu'on allait mettre à
jour. Malheureusement, le patch n'est plus maintenu, et n'a pas
été mis à jour, ni pour la 1.12, ni pour la 1.14.
Du coup, on a essayé de regarder pour intégrer le patch
nous-mêmes, mais ça touche tellement de choses partout que ça
nous semble au mieux compliqué, au pire non-maintenable.
Du coup, on cherche un autre système de ticketing, qui
permettrait autant que possible nativement de supporter la
feature de time-tracking (et autant que possible de reporting
/par client/ ("organisation" en osticket) (et pas par utilisateur
ou agent...), afin que l'on ne se retrouve pas encore bloqué dans
quelques mois / années.
On a regardé un certain nombre de système, dont certains qui font
le café, mais au final on n'a pour l'instant rien trouvé qui
corresponde au cahier des charges:
- tourne sous Linux
- la techno on s'en fiche, on préférerait que ce soit léger, mais
si c'est une usine à gaz comme gitlab mais qui fait le travail,
ainsi soit-il. Jira on a regardé, mais les rares modules de
timetracking ne nous ont pas semblé adaptés, souvent difficile
de tester ceci dit.
Dans l'idéal, du PHP/MySQL ça nous arrangerait, ça demeure
simple, on maîtrise parfaitement, et on aurait rien à faire de
plus pour que ce soit installable et backupé... Du coup de
notre point de vue, c'est léger. Néanmoins, s'il faut du
nginx/passenger/postgresql, on fera aussi.
- payant ou non. On préfère de l'opensource, mais si le prix est
raisonnable, pourquoi pas.
- possibilité pour les utilisateurs de se connecter en web,
suivre leurs tickets et y répondre
- possibilité de répondre par mail et que ce soit assigné au bon ticket
- ET LA @#¡! de possibilité de suivi temporaire.
- (bon et si ça peut éviter d'avoir un design moche des années
90, ça ne nous déplairait pas non plus, mais c'est accessoire)
Je n'ai pas l'impression qu'on cherche la lune pourtant, mais
juste la possibilité de pouvoir taper la réponse au ticket et de
mettre à côté dans une case "j'ai passé 30 minutes", ça a l'air compliqué...
Si quelqu'un a une idée, ça m'intéresse, je suis en plein désarroi.
Arnaud.
Bonjour à tous,
Comme évoqué précédemment, dans le contexte de crise sanitaire actuelle,
Tranquil IT a décidé de soutenir les entreprises impactées en mettant
gratuitement à disposition des licences WAPT Enterprise.
WAPT sera l'allié des administrateurs systèmes et autres responsables
informatiques pendant cette période favorisant le télétravail. Le
logiciel de gestion de parc informatique à distance propose notamment la
gestion des Windows Update, le déploiement de logiciels, l'inventaire
informatique, la gestion des agents Linux et Mac, la gestion des dépôts
secondaires, ...
Pour recevoir vos licences, faites la demande ici :
https://www.tranquil.it/licences-exceptionnelles-de-wapt-enterprise/
Toute l'équipe est à votre disposition si besoin !
Prenez soin de vous !
--
*Camille BARILLÉ, Chargée de Communication*
Tranquil IT
12 avenue Jules Verne (Bât. A)
44230 Saint Sébastien sur Loire (FRANCE)
tel: +33 (0) 240 975 755
/Retrouvez-nous sur les réseaux :/
twitter <https://twitter.com/TRANQUIL_IT> linkedin
<https://www.tranquil.it/wp-content/uploads/07_linkedin.png> youtube
<https://www.youtube.com/channel/UCl45FZItnoOlXsaWUa3UrTw>
------------------------------------------------------------------------
Tranquil IT
<https://www.tranquil.it/licences-exceptionnelles-de-wapt-enterprise/>
Hello @ tous en ces temps hollywoodiens,
On a des devs ios qui ne jurent que par apple et ne peuvent bosser que sur mac du coup. Les macs à iso perfs valent au moins 40% de plus qu’un (bon) PC sous linux. On se rapproche d’un petit serveur sans la possibilité d’upgrade.
Je voudrais prévoir un pca en cas de panne de ce racket $€ avec une VM sous Virtual box mais je n’arrive pas à trouver un ISO (il faut un mac). J’ai plus confiance à la liste que certains sites web pour le téléchargement des iso d’OS.
Avez-vous eu le même pb ?
Merci
Hugo
Après avoir manipé LXC, je me mets à LXD.
Les deux tiers des questions posées par le "wizard" qui fait la config
initiale restent pour moi sans réponses claires.
> $ lxd init
>
> Would you like to use LXD clustering? (yes/no) [default=no]: n
>
> Do you want to configure a new storage pool? (yes/no) [default=yes]: no
>
> Would you like to connect to a MAAS server? (yes/no) [default=no]: no
>
> Would you like to create a new local network bridge? (yes/no)
> [default=yes]:
>
> What should the new bridge be called? [default=lxdbr0]:
>
> What IPv4 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]:
>
> What IPv6 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: none
>
> Would you like LXD to be available over the network? (yes/no) [default=no]: no
>
> Would you like stale cached images to be updated automatically? (yes/no) [default=yes] yes
>
> Would you like a YAML "lxd init" preseed to be printed? (yes/no) [default=no]:
Quelqu'un est-il déjà passé par là et pourrait me prendre 15mn en video
call demain pour m'aider en quelques mots?
A défaut, je lirai avec attention toute documentation vers laquelle on
voudra me rediriger.
Google ne fut pas mon ami™:
https://lxd.readthedocs.io/en/latest/#faq
Merci.
--
Frederic Dumas
f.dumas(a)ellis.siteparc.fr
Salut !
Je coince un petit peu sur la question suivante. Une organisation dont je
m'occupe depuis peu, me demande maintenant de mettre le plus possible de
monde en télétravail. Il y a entre autre des fichiers en partage, des
appli propriétaires non réinstallable facilement.
Le plus simple et rapide me semble de donner un accès style teamviewer à
chaque personne depuis son ordi perso vers sa propre machine sur place.
Est ce que teamviewer OU AUTRE permet ce genre de manip ? genre avec
licence (pro, payante) installée partout, mais chaque user peut prendre la
main à distance.
Alternativement, qu'avez vous fait dans ce même genre de cas ?
Merci d'avance !
Manu
--
manu(a)formidable-inc.net
Bonjour,
C'est troll-di, donc je commence avec mon sujet :
J'ai deux cartes Sun ATLS1QGE, référence 511-1422-01 avec le chipset
Sun, et l'inscription "neptune JTAG".
Quand on cherche sur le site de Sun, il est fait mention d'une carte à
chipset Intel i350. Plus de traces de cette carte a chipset Sun.
Le module NIU sous Debian se charge en présence de la carte. La carte
semble juste voir les connections/déconnections de câble.
Il semble qu'il y ai eu un driver officielle Sun pour cette carte, mais
il ne semble plus disponible, même avec un contrat.
Avez-vous déjà croisé cette carte ? Savez-vous si on peut la faire
fonctionner sous GNU/Linux ? Si oui, comment ?
Cordialement,
+1 Pour Apache Guacamole.
Je l'ai mis en place chez nous avec un reverse proxy + authentification
LDAPS ça marche très bien même sur des petites connexions.
Si besoin j'ai fait un module PowerShell :
https://github.com/UpperM/guacamole-powershell
On Wed, Mar 25, 2020 at 11:49 AM Matthieu Courtois <
courtois.matthieu.92(a)gmail.com> wrote:
> +1 Pour Apache Guacamole.
>
> Je l'ai mis en place chez nous avec un reverse proxy + authentification
> LDAPS ça marche très bien même sur des petites connexions.
>
> Si besoin j'ai fait un module PowerShell :
> https://github.com/UpperM/guacamole-powershell
>
> On Wed, Mar 25, 2020 at 11:13 AM Philippe Beauchet <
> philippe.beauchet(a)map.cnrs.fr> wrote:
>
>> Si Windows, je plussoie.
>> C'est ce que l'on fait chez nous.
>>
>> Mais quelques remarques sur les "outils US".
>>
>> Par contre, toujours chez nous, mais cela peut vous concerner vous le
>> privé.
>>
>> Mais pas Teamviewer.
>> C'est PSSIE* non compatible.
>>
>> Attention aux VPN également.
>>
>> Si possible préférez le libre. A défaut d'avoir sa propre infra.
>>
>> Donc télétravail oui, mais faites gaffe si vos clients ont des données
>> sensibles tel des brevets. Trump avec par exemple, patriot act obligent,
>> espionne surement...encore plus qu'avant.
>>
>> Idem pour la visio. Pas de Skype et/ou zoom par exemple. Bon nous on à
>> accès aux outils Renater (quand c'est pas surchargé) mais bon.
>>
>> Bon courage à toutes et à tous en ces temps difficile.
>>
>>
>> *
>>
>> https://www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-d…
>>
>>
>> --
>>
>>
>> Cordialement,
>>
>> Philippe
>> Service Informatique
>> CNRS
>>
>>
>>
>>
>> Le 25/03/2020 à 10:50, Romain a écrit :
>> > VPN vers le bureau et RDP de la machine perso vers la machine pro ?
>> >
>> > Le mer. 25 mars 2020 à 10:36, Emmanuel Jacquet <manu(a)formidable-inc.net
>> > <mailto:manu@formidable-inc.net>> a écrit :
>> >
>> > Salut !
>> >
>> > Je coince un petit peu sur la question suivante. Une organisation
>> > dont je m'occupe depuis peu, me demande maintenant de mettre le plus
>> > possible de monde en télétravail. Il y a entre autre des fichiers
>> > en partage, des appli propriétaires non réinstallable facilement.
>> >
>> > Le plus simple et rapide me semble de donner un accès style
>> > teamviewer à chaque personne depuis son ordi perso vers sa propre
>> > machine sur place.
>> >
>> > Est ce que teamviewer OU AUTRE permet ce genre de manip ? genre avec
>> > licence (pro, payante) installée partout, mais chaque user peut
>> > prendre la main à distance.
>> >
>> > Alternativement, qu'avez vous fait dans ce même genre de cas ?
>> >
>> > Merci d'avance !
>> > Manu
>> > --
>> > manu(a)formidable-inc.net <mailto:manu@formidable-inc.net>
>> > _______________________________________________
>> > Liste de diffusion du FRsAG
>> > http://www.frsag.org/
>> >
>> >
>> > _______________________________________________
>> > Liste de diffusion du FRsAG
>> > http://www.frsag.org/
>> >
>> _______________________________________________
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>