Journal Puppet [2] : run puppet et cron

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
20
mai
2017

Publié à l'origine sur cyphercat.eu/puppet-partie-2.

Lancer un run puppet avec cron

Lancement automatique du run puppet sur les nodes avec cron toutes les heures :

note : chaque tache cron ajouté nativement par puppet sera mis dans crontab, vous pouvez les lister avec crontab -l sur vos nodes.

  cron { "puppet":
    ensure  => present,
    command => 'puppet agent -t --onetime --http_read_timeout 2m --logdest /var/log/puppetlabs/puppet/puppet`/bin/date +\\%Y\\%m\\%d\\%H\\%M`.log 1>/dev/null 2>&1',
    user    => 'root',
    minute  => fqdn_rand
(…)

Journal Déploiement et automatisation avec Puppet 4.9 - partie 1

18
14
fév.
2017

Puppet est l'outil de gestion de configuration le plus connu, il a vu le jour en 2005, bien avant ses principaux concurrents (2009 pour Chef, 2011 pour Salt, 2012 pour Ansible). Il propose depuis maintenant longtemps une solution open-source en parallèle de la version entreprise (qui est évidemment payante) et il a eu le temps de grandir pour atteindre une taille plus que respectable.

Au contraire d'Ansible (…)

Journal Déploiement et automatisation avec Ansible - partie 1

Posté par  (site web personnel) . Licence CC By‑SA.
52
7
jan.
2017

Au programme de cette année : l'automatisation ! Il existe plusieurs outils connus pour ça, vous en avez sans aucun doute entendu parler si vous êtes adminsys : Puppet, Chef, Salt et le petit dernier : Ansible.

Ansible a la réputation d'être le plus "accessible" avec une courbe d'apprentissage assez basse. Il peut être pertinent de l'utiliser à partir d'un seul serveur pour faciliter des déploiements selon les besoins (configuration des outils basique, serveur web, BDD…).

Au contraire (…)

Journal À la recherche des clients mail sous Linux

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
23
16
août
2016

Mettons tout de suite les choses au clair : on veut un client mail moderne, avec une jolie interface (qui fait wooosh wooosh, exactement) et orienté grand public. Dans cette optique, on va d'abord vouloir quelque chose d'ergonomique et d'utilisable dès le premier démarrage sans devoir installer un plugin ou aller bidouiller un fichier de config. Et l'importance de la gestion de GPG arrivera donc nettement après…

Donc, histoire que l'on se soit bien compris (…)

PSES / HSF 2016 : Appels à propositions !

Posté par  (site web personnel) . Édité par Nils Ratusznik, Benoît Sibaud, claudex, palm123 et Nÿco. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
14
26
avr.
2016
Communauté

Le festival auto-organisé par vous, l'équipe de Pas Sage En Seine et les membres du /tmp/lab, se tiendra à Choisy-le-Roi du 30 juin au 3 juillet 2016.

Logo

Nous vous invitons à participer à PSESHSF 2016 en accueillant vos propositions : ateliers et conférences bien sûr, mais aussi installations, performances, discussions et autres formes d'interventions pratiques ou artistiques. Des thèmes sont proposés, pas imposés, pour laisser place à la manifestation d'idées originales.

Envoi de spam à partir d'un serveur, comment réagir ?

Posté par  (site web personnel) . Édité par palm123, Nils Ratusznik et Benoît Sibaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
55
5
août
2015
Sécurité

Après l'article sur comment retrouver l'origine d'une attaque, nous allons voir aujourd'hui comment accueillir comme il se doit sur votre serveur un envoi de spam. Pour changer, on partira du principe que l'on est sur une Debian avec un postfix. Notre serveur s'appelle exemple.octopuce.fr, et notre site de référence installé sur ce serveur s'appelle exemple.com.

On partira aussi du principe que l'on n'aime pas beaucoup le spam… voire même qu'on lui mettrait bien un bon coup de clavier en pleine poire.

Journal Debug SSL/TLS avec OpenSSL - partie 1

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
30
21
juil.
2015

Si tu es en pleine session de dé/bug SSL/TLS, cet article peut t'éviter quelques désagréments ;-)

SSL Labs, l'incontournable

On ne le présente plus, le site de Qualys permet de tester la configuration de son serveur facilement avec une interface web bien faite. Le test permet d'avoir un rapport concernant les points suivants :

  • Authentification : validité du certificat (nom du site, période de validité…),
  • présence et validité de la chaîne de certificat (chain)
  • Protocoles disponibles (SSLv2, SSLv3, TLS 1.0 (…)

Call for hack pour la 7ème édition de Passage en Seine

Posté par  (site web personnel) . Édité par Florent Zara, palm123, Nÿco et Benoît Sibaud. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
6
18
mai
2015
Communauté

Passage en Seine est un événement qui mêle conférences et ateliers autour du hack, de contenu libre, de P2P, de créativité, d'hacktivisme, d'électronique, de la presse, d'art et de culture libre… Les sujets abordés y sont vastes et ne sont pas forcément techniques. L'entrée y est toujours libre, gratuite et ouverte à tou·te·s : curieux & curieuses, hackers & hackeuses, développeurs & développeuses, passant-e-s et pas sages…
log PSES
L’édition 2015 de Passage en Seine aura lieu du 18 au 21 juin à Numa (39 rue du Caire à Paris, métros Sentier, Réaumur-Sébastopol ou Strasbourg-Saint Denis) et le Call for Hack est ouvert jusqu'au dimanche 24 mai !

Plus détails dans la seconde partie de la dépêche.

Remonter une attaque et trouver la faille avec les logs d'Apache2

60
4
mai
2015
Sécurité

Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

Un peu plus de sécurité sous Linux

Posté par  (site web personnel) . Édité par Benoît Sibaud, palm123, bubar🦥, Xavier Teyssier et NeoX. Modéré par tuiu pol. Licence CC By‑SA.
Étiquettes :
48
5
mar.
2015
Debian

Un problème qui revient souvent lorsqu'on débute sous (GNU/)Linux concerne la sécurité de sa machine, que ce soit un serveur ou un ordinateur de bureau. Faut il installer un antivirus ? un firewall ? et les malwares ? les mises à jour ? Des sauvegardes ? Mais mon ordi va bien non ?

Certain-e-s d'entre vous ont sans aucun doute des configurations intéressantes et/ou exotiques, n'hésitez pas à les partager, tous le monde en sortira gagnant.

Et donc, au programme de cet article (testé sur Debian Wheezy) :

  • Mises à jour : cron-apt et checkrestart
  • Sécurité
    • virus : clamav,
    • malwares maldet,
    • rootkits rkhunter, chkrootkit, lynis
    • vérification de l'intégrité des paquets : debsums
  • nettoyage : deborphan, …
  • backups

NSA - À propos de BULLRUN

Posté par  (site web personnel) . Édité par Nils Ratusznik, rootix, NeoX, palm123, ZeroHeure et Nÿco. Modéré par Nils Ratusznik. Licence CC By‑SA.
45
5
fév.
2015
Sécurité

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Mettre en place un serveur Jabber avec du TLS et du Forward Secrecy

Posté par  (site web personnel) . Édité par ZeroHeure, palm123, Nÿco et NeoX. Modéré par ZeroHeure. Licence CC By‑SA.
56
27
jan.
2015
XMPP

J'ai publié il y a quelques mois un tuto pour mettre en place "facilement" un serveur XMPP/Jabber avec Prosody et du SSL/TLS plutôt bien configuré sous Debian, j'ai eu pas mal de retours positifs depuis et je pense qu'il pourrait intéresser d'autres personnes.

NSA / TAO : le chemin vers vos serveurs

Posté par  (site web personnel) . Édité par Benoît Sibaud, palm123, NeoX et tuiu pol. Modéré par ZeroHeure. Licence CC By‑SA.
34
24
sept.
2014
Sécurité

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Que peut faire le service d'élite JTRIG du GCHQ ?

Posté par  (site web personnel) . Édité par Benoît Sibaud, ZeroHeure et rootix. Modéré par rootix. Licence CC By‑SA.
23
5
août
2014
Sécurité

Bonjour tout le monde, comme l'article précédent la version originale de cet article possède énormément de liens et de références ; je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page. J'espère que ça vous plaira :)


Nous allons parler dans cet article du JTRIG (pour Joint Threat Research Intelligence Group), qui est l'équivalent anglais pour le GCHQ (les services de renseignements anglais) du département TAO de la NSA. La mission du JTRIG consiste entre autres à détruire ou à empêcher d'agir les ennemis en les discréditant via de fausses informations ou en empêchant leurs communications de fonctionner : déni de service (DoS) via appels ou sms, suppression de la présence en ligne d'une cible, changement de photos sur les réseaux sociaux (pour discréditer une cible ou augmenter drastiquement sa parano), captation des courriels (par exemple pour apporter de la crédibilité lors de l'infiltration d'un groupe), … la liste est longue.

NSA - temps de faire le (premier) point

Posté par  (site web personnel) . Édité par Benoît Sibaud, NeoX, palm123, Nÿco et Florent Zara. Modéré par patrick_g. Licence CC By‑SA.
69
2
août
2014
Internet

Préambule : bonjour tout le monde, j'ai écrit cet article il y quelques jours (NdM: sur son blog, puis republié par Reflets.info), j'en profite pour le partager avec vous. La version originale possède énormément de liens et je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page.

En 1988, on commença à parler du programme Echelon ; vient ensuite Frenchelon ; et bien sûr le lanceur d'alerte Edward Snowden. La Quadrature du Net a mis en place le site nsa-observer pour regrouper les infos. Dans la suite de la dépêche, un petit tour d'horizon rapide de ce site.