frafra a écrit 55 commentaires

Bravo pour ce projet, le sujet est intéressant et je n'ai rien posté depuis une éternité.

D'abord il est possible de restreindre les IP sources à certains pays. Il y a par exemple ipdeny. Un court script pour le transformer au format voulu fera l'affaire.

Coté alternatives il existe teleport qui fait à la fois bastion ssh mais aussi web, bdd et k8s avec du 2FA et l'enregistrement de sessions.

Enfin, j'aime assez l'idée de mettre tout derrière un vpn. Un seul port udp en écoute et pour Wireguard une bonne intégration sur Android où on peut même choisir les applis qui passent par le vpn. Il y a des gestionnaires de configurations web si besoin de gérer des clients.

En espérant avoir alimenté vos reflexions.

Un truc sympa peut-être d'utiliser un gestionnaire de sources (je crois que mercurial est écrit en python) pour "commiter" automatiquement les modifications après la sauvegarde.

Il est alors possible de garder traces des anciennes versions en cas de "rollback", de générer facilement des "diff" et même avoir un front web pour suivre tout ça.

stunnel ? (pas testé)

Partager une machine, pourquoi pas, je trouve l'idée sympa.

Combien avez-vous d'IP ?
Si vous n'en avez qu'une, comment sont établies les responsabilités si une action malveillante est commise avec la machine ?
Comment sont répartis les ports ? Qui prend le port 80 pour son serveur web ?

Je pense qu'il parle de WAFS (http://en.wikipedia.org/wiki/Wide_area_file_services)

Ca permet d'avoir un cache local des fichiers répliqué sur une infra centrale.
Plusieurs constructeurs proposent leur solution maison (bien sur incompatibles entre elles).

Le gros intérêt c'est de pouvoir envisager l'hébergement de son serveur de fichiers en datacenter.

Lis la doc ... c'est pas forcement recompiler le kernel mais ajouter très simplement un param passé au kernel au boot (ie dans grub.conf ou lilo.conf)

Moins coûteux qu'une migration si tu as déjà les licences vmware.

Mais comme tu le dis ... c'est toi l'admin :)

Le décalage d'horloge sur vmware est un problème hyper connu. C'est dommage de migrer pour ça.
Dis à tes admins de fouiller sur google ou sur le site vmware, il faut juste modifier un param du kernel et au pire installer ntp.

Un lien parmi d'autres : http://kb.vmware.com/selfservice/microsites/search.do?langua(...)

http://planet-websecurity.org/OpenSocial%2C+Hacked+in+under+(...)

Le titre du post suffit à tout expliquer : "OpenSocial, Hacked in under 45 minutes".

Backup-manager (http://www.backup-manager.org/) permet de backuper, graver, copier sur le réseau ... Il est ecrit en shell, il est simple, complet et facile à mettre en oeuvre (un fichier de conf).
Il peut utiliser différents formats de fichiers et en particulier dar (http://dar.linux.free.fr/) qui gère la compression, la crypto, les backups différentiels/incrementaux et la taille max des fichiers.

Sur http://picasa.google.com/linux/learn_more.html il est dit :
"Total size: 24MB. Includes Picasa software (9MB), Wine (12MB) and Gecko engine (3MB)."

Puis un peu plus loin :
"Picasa for Linux runs the current Windows version of Picasa using a carefully tested version of Wine ... "

Ceci explique pourquoi picasa fonctionne aussi bien avec wine et qu'il ne s'agit pas d'une erreur dans le "a propos" mais d'une seule et même version. Je parie qu'en fouillant dans le dossier de l'installation de ton picasa, tu trouveras des bouts de wine ...

1/ Comment les Chinois sont-il entrés ?
Croyez-vous les militaires assez malades pour laisser leur informatique de défense accéder à internet ou être accessibles depuis internet ? Je ne crois pas qu'ils aient laissé les ports ssh/tse/... de leurs bécanes ouverts et accessibles à tous !
Mais je fais peut être fausse route, peut être sont ils entrés par un autre moyen que l'internet. Reste qu'on nous parle de "cyberhackers".
Quoi qu'il en soit : "Faudrait pas prendre les enfants du bon dieu pour des canards sauvages" (Audiard).

2/ La communication du pentagone.
J'ai une méfiance toute particulière à écouter la communication des organismes dont le métier est le secret (qu'ils soient us ou pas).
J'ai tjs l'impression de me faire avoir, que ce qu'ils disent les arrange. N'est-ce pas le pentagone qui a affirmé qu'il existait des armes de destruction massives en Iraq ? Reste à savoir quel est donc l'intérêt du pentagone à communiquer la dessus ?

3/ Une dernière question au passage, comment faire pour distinguer un hacker chinois d'un autre ? Je doute que l'ip soit une preuve absolue ... Peut êtres les techniques utilisées ...

Enfin voila, ce ne sont que des questions sans réponse ...

- faire du diskless (tu peux regarder ltsp(1)).
- utiliser vmware server (gratuit mais pas libre) ou une autre solution de virtualisation genre xen.
- créer toi même ton live cd.


1/ http://fr.wikipedia.org/wiki/Linux_Terminal_Server_Project

Installer ltsp sur ta gentoo pour faire serveur de terminaux X ?

J'utilise ocsinventory depuis plus d'un an et j'en suis très content. On peut même le coupler à glpi pour gérer son parc et ses licences.

Juste 2 remarques en passant :

1/ La nouvelle version de l'agent windows semble prometeuse, mais s'agissant d'un service windows il est nécessaire de l'installer à la main (sic).
Heureusement l'ancienne version de l'agent (lancé via logon script) existe tjs. Elle ne permet pas la télédistribution, mais a l'avantage de n'oublier aucune machine du domaine.

2/ Concernant l'interface web, ça me dérange de plus en plus de voir du code php, du sql (mysql only) et du html mélangé.
Peut être utiliser par exemple adodb et smarty serait un bon début ...


Cela dit, ça reste un très bon outil.

Il existe aussi sslexplorer (http://sourceforge.net/projects/sslexplorer/) dans le même esprit.

Merci pour le coup de mains, mais malheureusement phpmyannuaire est un annuaire de sites web alors que je cherche un annuaire de personnes au sens pages blanches du terme.

Activité personnelle oui.

L'idée c'est de pouvoire faire en ligne, le reporting d'une équipe d'admins.


Merci.

J'y ai déjà pensé, mais ça veut dire pas de consolidation, pas de stats, pas de tri etc ...

En fait nous avons un loadbalancer de marque "coyote". Je cherche une solution économique pour basculer rapidement en attendant les interventions du fabriquant.

C'est fait (http://linuxfr.org/forums/41/14688.html), je veux pas de pb avec la police :-)

Je n'aime pas trop les solutions à base de HB/VRRP/CARP qui utilisent des techniques d'arp-spoofing pour prendre l'ip virtuelle. Elles sont souvent pénibles à configurer, et posent des pb de mise à jour des tables arp sur certains switch et fw lorsqu'il y a basculement.


Mysql propose depuis la version 5 le mode cluster.
(http://dev.mysql.com/doc/refman/5.0/en/mysql-cluster-overvie(...)
Quelqu'un a essayé ?

A tar je préfère dar (http://dar.linux.free.fr/) qui apporte quelques avantages comme le découpage des archives, l'utilisation d'un catalogue, la compression séléctive ...

C'est un pb courant sur les routeurs de type soho.

L'explication :
Tu rediriges le port 80 venant de l'interface WAN(internet) vers le port 80 d'une adresse situé sur l'interface LAN.

Mais quand tu testes, tu viens du LAN et la redirection ne se fait pas. Donc le routeur te renvoit l'interface d'admin.
Logique quand on a l'explication ...

Conclusion :
Ta redirection fonctionne bien mais seulement quand tu arrives du net.

Solutions :
- Pour tester tu peux utiliser le proxy de ton FAI ou demander à quelqu'un de tester pour toi. Vérifie dans les logs de ton serveur web l'ip de provenance. Tu peux aussi faire une page php qui affiche l'ip (<?=$REMOTE_ADDR ?>).

- En local pour utiliser des virtualhosts il suffit de les mettre dans /etc/hosts et de les faire pointer sur la machine locale (sans passer par le routeur).

En esperant avoir été clair ...

Extrait de http://www.hispread.com/hispread_navg_05.html(...)

Is HispreadVIEW® available for Macintosh™ or Linux™?

Not yet. But we plan to provide HiSpreadVIEW® to Mac™ & Linux™ users in a short time.

Tout n'est pas perdu ...

Perso j'utilise http://feedonfeeds.com/(...)