Forum général.général maintenabilité, sécurité des ip et authentification des serveurs

Posté par  (site web personnel) . Licence CC By‑SA.
4
9
mai
2023

Bonjour à tous,

Ce matin j'ai été confronté à problème "d'infra" et j'ai eu une prise de conscience, du coups petit tour sur mon forum préféré pour avoir votre retour d'expérience en entreprise (j'insiste en entreprise et non en bricolage à la maison ;) ).

Contexte :
7h15 j'arrive tout détendu du… weekend et je découvre que la baie serveur est off. Petite inspection physique côté arrivé électrique, pas de problème. Je remonte jusqu'à l'onduleur et je découvre qu'il est tombé en marche dans son processus de reboot. Bref j'arrive à le remettre en charge et rebooter l'ensemble.

Petit à petit le réseau revient puis les serveurs mais forcément c'est le début de semaine et tout ne redémarre pas correctement et je dois me connecter aux hyperviseurs. Voilà le contexte est posé et passons à la prise de conscience.

Tout d'un coups je me rends compte d'un point faible : comment faire si je perd la mémoire ? Car oui j'ai beaucoup de truc en tête (certaines ip ou mots de passes…). Dernièrement j'ai mis en place un gestionnaire de mot de passe mais pas de chance il est sur l'infra qui était off. Donc pas d'infra, pas de mots de passes. Pareil si tout ceci était sur une solution dédié (glpi ou un pauvre tableur stocké sur un serveur).

Maintenant la question : comment rendre toutes ces informations accessible à un autre membre de l'entreprise tout en alliant maintenabilité et sécurité ?

Merci pour vos lumières.

  • # considérer la base de connaissance technique comme une infra critique ...

    Posté par  . Évalué à 4. Dernière modification le 09 mai 2023 à 12:02.

    … et la traiter comme telle.

    En gros, ça veut dire la faire tourner sur une infra indépendante de ton infra actuelle (pas une VM sur les mêmes hyperviseurs, peut-être même un serveur dédié - ou chez un prestataire externe - mais attention aux SLA) que tu répliques sur un autre site. Et tout ce qui est nécessaire à l'accès à la doc (authentification, SSO, etc) doitr être géré de la même façon.

    Après il faut penser à la doc de remise en service du service de gestion de doc technique :) Mais si les choses sont bien faites, il y aura peu d'informations à partager entre vous (dossier partagé sur un serveur bureautique, ou repo GIT, synchronisé régulièrement vers les postes de travail des collaborateurs  ?

    • [^] # Re: considérer la base de connaissance technique comme une infra critique ...

      Posté par  (site web personnel) . Évalué à 3.

      En gros, ça veut dire la faire tourner sur une infra indépendante de ton infra actuelle (pas une VM sur les mêmes hyperviseurs, peut-être même un serveur dédié - ou chez un prestataire externe - mais attention aux SLA) que tu répliques sur un autre site. Et tout ce qui est nécessaire à l'accès à la doc (authentification, SSO, etc) doitr être géré de la même façon.

      J'y ai bien pensé mais c'est trop lourd pour notre petite structure.

      Après il faut penser à la doc de remise en service du service de gestion de doc technique :)

      C'est le serpent qui se mord la queue…

      Mais si les choses sont bien faites, il y aura peu d'informations à partager entre vous (dossier partagé sur un serveur bureautique, ou repo GIT, synchronisé régulièrement vers les postes de travail des collaborateurs  ?

      L'idée d'un espace de stockage accessible uniquement au service info synchronisé régulièrement est pas mal. Il faut croire que c'était trop simple :)

      Merci de tes suggestions.

      Born to Kill EndUser !

  • # retex retex retex

    Posté par  . Évalué à 8.

    C'est pour ça qu'il faut des anciens, qui ont de l'expérience ou des expériences.

    Quelques pistes en vrac pour répondre à la question de la doc:

    • imprimer la doc critique (penser à mettre une DATE sur les documents imprimés) … pas les mots de passes en clair hein, mais la procédure technique à suivre pour éteindre les machines, pour les allumer, les petites astuces ou choses indispensables (genre allumer la baie de stockage avant les serveurs). Ajouter quelques photos pour qu'un collègue ayant les compétences mais ne connaissant pas les lieux puisse être efficace.
    • mettre cette doc à un endroit particulier du local dont l'accès est sécurisé (de tt façon si un méchant arrive physiquement à cet endroit c'est "mort")
    • ajouter une LAMPE de poche (avec des piles d'avance, ou mieux, un bidule à batterie usb + dynamo pour être autonome en cas de pb) si le local est une pièce obscure
    • étiqueter le maximum de choses, par exemple les prises électriques sur le bandeau comme ça vous savez quel bidule vous branchez/débranchez quand vous jouez avec ladite prise
    • etc.

    Chez nous depuis longtemps la doc est rédigée dans un dokuwiki lequel a la bonne idée de tout avoir sous forme de fichiers plats, résultat un coup de rsync + gpg et toutes les archives sont sur [mettez ici ce que vous voulez] …

    Dans la procédure mensuelle : vérifier la date de la doc, imprimer une nouvelle version si besoin, vérifier les piles, charger la batterie etc.

    Ça rejoint rapidement un truc de dingue qui porte le nom magique de PRA…

    eric.linuxfr@sud-ouest.org

    • [^] # Re: retex retex retex

      Posté par  . Évalué à 4.

      imprimer la doc critique (penser à mettre une DATE sur les documents imprimés) … pas les mots de passes en clair hein, mais la procédure technique à suivre pour éteindre les machines, pour les allumer, les petites astuces ou choses indispensables (genre allumer la baie de stockage avant les serveurs). Ajouter quelques photos pour qu'un collègue ayant les compétences mais ne connaissant pas les lieux puisse être efficace.

      Pour les mots de passe, soit le faire à la "old school" avec un stockage en coffre (mais la encore il faut gérer les accès du coffre), soit les mettre dans un fichier ou gestionnaire de secret (et là aussi il faut gérer les accès au fichier) … On peut envisager également d'utiliser des couples clé publiques/clés privées plutôt que les mots de passe pour pouvoir se connecter via ssh et redémarrer des services.

      Dans la procédure mensuelle : vérifier la date de la doc, imprimer une nouvelle version si besoin, vérifier les piles, charger la batterie etc.

      J'ajouterais également la gestion de la validité des mots de passes des sereurs/services "critiques" (avec changements réguliers), ou gestion des clés publiques sur les comptes de connection (gérer les clés des personnes qui entrent/sortent des effectifs de la boite).

    • [^] # Re: retex retex retex

      Posté par  . Évalué à 4.

      Pareil : la doc imprimée (Redmine permet d'imprimer tout le wiki d'un seul clic), et chaque câbles et fibres étiquetées aux deux extrémités.

      C'est pas bête le coup de la lampe de poche !

  • # euh..

    Posté par  . Évalué à 2.

    c'est amusant, c'est un sujet assez sensible…

    mon voisin a perdu son disque dur externe, sa sauvegarde keepass était dessus
    son pc portable a eu un probleme de disque dur, qui s'allumait plus

    que faire pour récupérer ses passwords si le gestionnaire de mdp n'est plus accessible?

    pour moi la réponse est simple :
    je n'utilise aucun gestionnaire de mdp, j'en utiliserai jamais
    le gestionnaire de mdp est aux comptes numériques, ce que le tel portable est aux banques : une dépendance non souhaitée.

    c'est peut etre "mal penser" en contexte cybersécu, mais dépendre d'un tiers au lieu de ma simple personne physique, me met mal à l'aise avec l'idée

    • [^] # Re: euh..

      Posté par  . Évalué à 5.

      mon voisin a perdu son disque dur externe, sa sauvegarde keepass était dessus

      Dans ce cas il ne faut pas forcément se passer d'un gestionnaire de mots de passe, mais s'assurer, comme toute sauvegarde, que celle-ci est dupliquée suffisamment, et s'assurer que les sauvegardes sont bien lisibles.

      c'est peut etre "mal penser" en contexte cybersécu, mais dépendre d'un tiers au lieu de ma simple personne physique, me met mal à l'aise avec l'idée

      dépendre d'une seule personne physique dans un contexte pro est plus mal que de dépendre d'un tiers ( accident, décès, vacances, indiqponibilité …). Dépendre d'un tiers n'est pas un mal en soi, il faut juste bien le choisir.

    • [^] # Re: euh..

      Posté par  (site web personnel) . Évalué à 3.

      Cela marche pour un usage perso.

      Mais quand tu es dans une équipe de x personnes et des partenaires extérieur gérant toute une infra c'est pas la même chose.

      Il faut que l'information soit disponible au bon moment, à jour et sécurisé car extrêmement critique.

      Born to Kill EndUser !

    • [^] # Re: euh..

      Posté par  (site web personnel) . Évalué à 5.

      je n'utilise aucun gestionnaire de mdp, j'en utiliserai jamais

      J'ajoute que le gestionnaire de mots de passes est important car il permet de s'affranchir de retenir les mots de passes et du coups de ne pas utiliser le même mdp par commodité (et manque de mémoire) pour plusieurs services. C'est encore plus efficace si tu utilise des mots de passes générés aléatoirement.

      Born to Kill EndUser !

  • # Copie locale

    Posté par  (site web personnel) . Évalué à 3.

    Pour l'infra dans mon labo la doc est dans un dokuwiki, je fais régulièrement un rsync des données de celui-ci, et j'ai un docker qui me permet de lancer localement le dokuwiki avec la doc.

    Concernant les mots de passes, du keepasscx… et une copie locale régulière du fichier.

    Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.