ratw3 a écrit 69 commentaires

heuuuu…
je dirais que ton probleme a pas beaucoup de solutions…

Pour filtrer un contenu SSL:
1) tu utilise un MiTM like (cf Squid SSLBump + CARoot perso pour pas avoir de warning)
Perso on utilise une solution commerciale qui marche au top… McAfee SWG.

Mais tu dois surement pouvoir le faire avec Squid, voir meme un truc plus sexy:

• authentification ntlm avec fallback basic sur squid (pour les tablettes & co)
• url_rewrite_program qui check via un script bach/perl si le user est déja "validé" ou non (ca te permet de balancer des CGU à valider + un mini tuto pour importer le CA public de ton Lycée sur cette page dans le cs des devices/machines où tu ne peux pas déployer en GPO…)
• SSLBump "propre avec CARoot" (avec le tuto précédent fini les avertissements pour les devices/clients que tu ne gères pas tablettes, android etc…)
• Le tout bien tunné (optimisation de cache & co)
• serveur doublé avec un haproxy pour faire du load balancing

=> ton problème est solutionné

ou

2) tu utilises snort qui travaillera "au dessus" et oui si tu mets dans ton host l ip de FB elle sera détectée par snort (si tu as mis une policy qui filtre FB)… POur ce qui est de basculer un user bloquer dans un vlan différent je trouve ça ignoble :) avec Snort tu peux envoyer des tcp/rst du coup la connection sera pétée c'est pas beau mais ça bloque :)

pis de toute façon FB et les autres utilisent de multiples sous domaine pour les images, le chat etc… donc quand bien même il ya une entré dans un host local ca ressemblera pas à grand chose :)

yop… ce n'est pas vrai tu peux retourner la doc 50 fois tu n'arriveras à rien…
en faite il faut réutilser les chaines existantes dans common-auth qui sont autrement plus complexes que de simples cascades/chaines…

Ce qui est dommage c'est le fait que tes réponses soient aussi approximatives que le temps passé à étudier la question.

Mais à côté de cela tu participes c'est déjà pas mal :)

Bonjour,

concernant ton besoin de faire de l'analyse SSL j'avais posté il ya quelques temps des questions là dessus mais des "pseudos" puristes des libertés individuelles m'avaient immédiatement lapidé en place publique …

Bon concernant les solutions:
Squid + SSLBump -> déjà testé ça fonctionne pas très bien dans le sens ou ca merde au niveau de la charge (voir si cela s'est amélioré depuis…) d'autre part tes users auront des messages d'avertissement sur tous les sites et ça c'est juste horrible (pour outrepasser cela il faudrait diffuser un certificat trusted généré via un CAroot maison…) si tu as accès à touss les devices ça peut être une solution …

La solution de l'analyse via DNS est pas mauvaise… si bien entendu tu filtres le port 53 tcp/udp vers Internet (exclusion de ton DNS local)…

Tu pourrais aussi utiliser snort pour ton trafic ce qui aurait également pour avantage de bloquer du trafic pas propre (malware & co) au besoin. (il existe des règles pour des catégories web cf porn & co mais elles ne semblent pas très efficace)
```

NeoX, je ne commenterai pas tes interventiosn inutilement nombreuses et contre productives. (me concernant je n'ai connu que cela sur les réposnes que tu as envoyé sur la plus part des topics que j 'ai posté… Le ton que tu utilises ne te mets pas en valeur puisque tu n'as pas été capable de fournir de réponse ou tout au plus un RTFM et des liens que tu n'as même pas lu… Je sais aussi fair eune recherche Internet quand au fait de faire un chain c'est facile quand on sait quoi chainer (hein ?), parce qu entre les sections, auth, session, password l'existant les imbrications entre pam_unix; pam_ldap pam_radius, pam_env, pam_deny etc… j'aurais bien voulu voir comment tu aurais résolu ça avec tes liens google ;)

Pour ceux que ça intéresse:
Je précise qu'il n'y a AUCUN exemple faisant cela sur le net :)

en gros pam faisait appel a common-auth via la directive:
@include common-auth

Comme je ne voulais pas que cela affecte tout le systeme… j'ai commenté l'include mais j'ai récupéré son contenu que j'ai "injecté dans le fichier sshd:

J'y ai rajouté:
auth sufficient /lib/security/pam_radius_auth.so

Voila du coup à quoi la direcive auth de PAM correspond pour le fichier SSHD:

auth    [success=2 default=ignore]  pam_unix.so nullok_secure
auth    [success=1 default=ignore]  pam_ldap.so minimum_uid=1000 use_first_pass
auth        sufficient     /lib/security/pam_radius_auth.so
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so 

Du coup j'ai mon double facteur !

si je SSH une box authentifié en LDAP je dois saisir:
motdepasse_ldap_suivi_de_otp_affichédans_le_labsde_temps

et hop $

:)

Salut NeoX,
merci pour cette réponse :)
tiens la prochaine fois je ferais un man de ce que je cherche avant de faire un post, ou peut etre je ne poserai pas la question…
non plus sérieusement, tes liens n'apportent malheureusement aucune réponse à ma problématique.

je vais faire des tests et je publierais le résultat ici

Finalement, même si je n'espère plus vraiment de réponse :) ma question pourrait être simplifiée et généralisée pour PAM…

Comment configurer PAM avec des required/sufficient, quoi configurter, account,auth,password ?

Non tu n'as pas compris: si tu prends ton lien tu verras la chose suivante:

"Note that we have not made any changes to the account setup, so the user is expected to have *a local account on the machine* or you can configure account to use pam_ldap and point it to your AD/LDAP server.
"

Dans ce cas pam_radius va effectivement faire du double facter mais si et seulement si le compte ldap existe aussi en local… d'ou l'idée d'utiliser une auth LDAP puis de rajouter notre auth RADIUS

"two factor authentification": ca veut pas dire utiliser 2 mois de passes… ca veut dire avoir 2 facteurs d'auth, rien ne t'empècherait de les concaténer dans 1 seul et unique chaine de caractère…

oui c'est tout à fait ca:
- Ce que tu connais: ton login/mdp LDAP
- Ce que tu as, ton téléphone portable qui fait tourner un logiciel de TOTP qu va te générer un mdp unique pour 30secondes

Bonjour,
Merci pour vos réponses.
Peut être me suis je mal exprimé mais mon problème c'est pas de faire du pam_ldap, ça y a des dixaines de tutos :)

Mon souci c'est que une fois le pam_ldap configuré je veux ajouter un deuxième facteur d'authentification (via un serveur radius)…

Ma problématique pour simplifier c est que j ai besoin d'utiliser les informations de ldap mais au moment de la saisie de Password: faire appel à radius.

ou au pire devoir taper:
Password: la_je_met_pass_ldap
Password: la_je_met_pass_radius

voilou !

Merci

Salut,
A ma connaissance DRBD permet de faire du RAID-1 like (le disque "paire" est activé en cas de failure du disque actif)

En aucun cas il ne permet de metre en place le setup dont je parle…

Gluster semble etre la solution j ai trouvé ca:
http://www.howtoforge.com/setting-up-a-standalone-storage-server-with-glusterfs-and-samba-on-debian-squeeze-p2

Testé, ça marche… par contre j'essaie ca sur 2 VM debian avec Virtualbox et ça mange monstrueusement du CPU…

Salut!

Super tu peux développer un peu, et me dire sur quoi tu t ais appuyé pour la mise en place ???

Merci!

Salut,
Tu as 2 problèmes:
- le côté "gestion du changement"
- le côté technique

Pour la gestion des changements peut être un outil de ticketting à la GLPI…
Ou le framework PHP DadaBik qui te permet de crééer des tableaux SANS UNE LIGNE DE CODE, de donner des accès différents, te prévenir par mail lors d un insert etc…

De même via DaDaBik vu que c est un tableau tu pourrais créer un script qui fait des extracts pour envouer vers ton FW du coup tu aurais résolu:
- la gestion des changement/traçabilité de l information
- le côté technique

++

hummm…
l idée est séduisante :)

mais je ne pense pas que le contenu ds POST soit loggé, hors c'est important aussi…
Sinon y a peut être possibilité de le faire avec ModSecurity, un genre de "capture" all via SecAuditLog pour un domaine prédéfini.
L'autre idée c'était de créer un script PHP qui dump _GET et _POST dans un fichier de logs…

C'est certain que si tout pouvait rester dans de la conf apache (modsec) ce serait tooop!

elo, oui j ai bien ce message je l ai pa copy/paste j ai d ailleurs pas copier tt la ligne qui fait 1km avec les exclude :)

Merci pour vos feedback mais ces réponses sont partielles…

Je cherche toujours à savoir comment effectuer un dump de la memoire en live…

Si volatility est capable d analyser les images de dump linux c'est bien qu il y a un moyen simple d en faire…
l option de "dd if=/dev/mem" en est elle une ???

Concernant l"attaque froide" j ai cherché sans trouver de contenu "vraiment" détaillé…

De même dites moi si je me trompe mais si l on reboot sur une ISO celle-ci sera chargée en mémoire et va écraser une partie/la totalité des données en mémoire ?

au top merci!

Vous m'avez sauvés :D
j'en étais là : !!!!!
pour le coup je crois que je vais vraiment me mettre au perl!

#!/bin/bash


check=1

while read a
do
        NUM=1
        grep -e "<Host name=" > /dev/null 2>&1
if [ $? = 0 ]
then
                while [ $check != "0" ]
        do
                grep -A"${NUM}" "$a" d2 | grep "</Host"  > /dev/null 2>&1
                if [ $? = 0 ]
                then
                        check=0
                        IPS=$(echo $a | awk -F"\"" '{print $2}')
                        grep -A"${NUM}" "$a" d2 | grep -v Host | tr "\n" " " | sed "s/<\/Report>/;/g" | sed -e "s/<Report niveau=//g" -e "s/ID=//g" -e "s/title>//g" | tr ";" "\n" | awk '{print $1";"$2";"$3}' | sed "s/\"//g" | sed "s/<\///g" | sed -e "s/<//g" -e "s/>//g" |sed "s/;;//g" | sed "/^$/d" | grep -e ";3;" -e ";4"
                else
                        NUM=$(expr $NUM + 1)
                fi
        done


fi
done

1000 * 1000 merci! ca marche au top

Elo,
Ca ne fonctionne pas j obtiens le résultat suivant:

xsltproc script.xslt d2
script.xslt:35: parser error : Extra content at the end of the document

^
cannot parse script.xslt

merci enormément quoi qu il en soit!!!

Je vais me contenter du script perl qui fait le job a merveil!

merci beaucoup!

mais ca ne fonctionne pas:

./pe.pl
d2:12: parser error : Extra content at the end of the document
Host name="192.168.1.4">

peut etre manque t il une boucle ?

pour le coup ca merite d etre testé!

merci

pour le coup j ai regardé du coté de xslt ca me semble VRAIMENT compliqué…

Je ne code pas en perl ni en python :(

quant à xsltproc ok mais je ne comprend pas bien comment cela fonctionne il faut faire du xml2xslt ou quoi je comprend pas trop…

d autant qu il y a plein d autre champ xml avant et apres qui ne m interesse pas donc je ne sais pas si c est possible.

Si tu peux m en dire plus ?

Salut,
C'est super c'est exactement ce que je cherche bon va falloir que je comprenne comment ça fonctionne pour mon besoin mais la fin de la page correspond exactement à ce que je veux faire "pour augmenter la sécurité etc…".

Merci beaucoup!