ratw3 a écrit 69 commentaires

  • [^] # Re: un petit mix...

    Posté par  . En réponse au message Filtrage SSL. Évalué à 1. Dernière modification le 20/11/14 à 01:38.

    heuuuu…
    je dirais que ton probleme a pas beaucoup de solutions…

    Pour filtrer un contenu SSL:
    1) tu utilise un MiTM like (cf Squid SSLBump + CARoot perso pour pas avoir de warning)
    Perso on utilise une solution commerciale qui marche au top… McAfee SWG.

    Mais tu dois surement pouvoir le faire avec Squid, voir meme un truc plus sexy:

    • authentification ntlm avec fallback basic sur squid (pour les tablettes & co)
    • url_rewrite_program qui check via un script bach/perl si le user est déja "validé" ou non (ca te permet de balancer des CGU à valider + un mini tuto pour importer le CA public de ton Lycée sur cette page dans le cs des devices/machines où tu ne peux pas déployer en GPO…)
    • SSLBump "propre avec CARoot" (avec le tuto précédent fini les avertissements pour les devices/clients que tu ne gères pas tablettes, android etc…)
    • Le tout bien tunné (optimisation de cache & co)
    • serveur doublé avec un haproxy pour faire du load balancing

    => ton problème est solutionné

    ou

    2) tu utilises snort qui travaillera "au dessus" et oui si tu mets dans ton host l ip de FB elle sera détectée par snort (si tu as mis une policy qui filtre FB)… POur ce qui est de basculer un user bloquer dans un vlan différent je trouve ça ignoble :) avec Snort tu peux envoyer des tcp/rst du coup la connection sera pétée c'est pas beau mais ça bloque :)

    pis de toute façon FB et les autres utilisent de multiples sous domaine pour les images, le chat etc… donc quand bien même il ya une entré dans un host local ca ressemblera pas à grand chose :)

  • [^] # Re: SOLVED SSH via PAM LDAP + RADIUS

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    yop… ce n'est pas vrai tu peux retourner la doc 50 fois tu n'arriveras à rien…
    en faite il faut réutilser les chaines existantes dans common-auth qui sont autrement plus complexes que de simples cascades/chaines…

    Ce qui est dommage c'est le fait que tes réponses soient aussi approximatives que le temps passé à étudier la question.

    Mais à côté de cela tu participes c'est déjà pas mal :)

  • # un petit mix...

    Posté par  . En réponse au message Filtrage SSL. Évalué à 1. Dernière modification le 16/11/14 à 02:10.

    Bonjour,

    concernant ton besoin de faire de l'analyse SSL j'avais posté il ya quelques temps des questions là dessus mais des "pseudos" puristes des libertés individuelles m'avaient immédiatement lapidé en place publique …

    Bon concernant les solutions:
    Squid + SSLBump -> déjà testé ça fonctionne pas très bien dans le sens ou ca merde au niveau de la charge (voir si cela s'est amélioré depuis…) d'autre part tes users auront des messages d'avertissement sur tous les sites et ça c'est juste horrible (pour outrepasser cela il faudrait diffuser un certificat trusted généré via un CAroot maison…) si tu as accès à touss les devices ça peut être une solution …

    La solution de l'analyse via DNS est pas mauvaise… si bien entendu tu filtres le port 53 tcp/udp vers Internet (exclusion de ton DNS local)…

    Tu pourrais aussi utiliser snort pour ton trafic ce qui aurait également pour avantage de bloquer du trafic pas propre (malware & co) au besoin. (il existe des règles pour des catégories web cf porn & co mais elles ne semblent pas très efficace)
    ```

  • [^] # Re: SOLVED SSH via PAM LDAP + RADIUS

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 0. Dernière modification le 14/11/14 à 00:21.

    NeoX, je ne commenterai pas tes interventiosn inutilement nombreuses et contre productives. (me concernant je n'ai connu que cela sur les réposnes que tu as envoyé sur la plus part des topics que j 'ai posté… Le ton que tu utilises ne te mets pas en valeur puisque tu n'as pas été capable de fournir de réponse ou tout au plus un RTFM et des liens que tu n'as même pas lu… Je sais aussi fair eune recherche Internet quand au fait de faire un chain c'est facile quand on sait quoi chainer (hein ?), parce qu entre les sections, auth, session, password l'existant les imbrications entre pam_unix; pam_ldap pam_radius, pam_env, pam_deny etc… j'aurais bien voulu voir comment tu aurais résolu ça avec tes liens google ;)

  • # SOLVED SSH via PAM LDAP + RADIUS

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    Pour ceux que ça intéresse:
    Je précise qu'il n'y a AUCUN exemple faisant cela sur le net :)

    en gros pam faisait appel a common-auth via la directive:
    @include common-auth

    Comme je ne voulais pas que cela affecte tout le systeme… j'ai commenté l'include mais j'ai récupéré son contenu que j'ai "injecté dans le fichier sshd:

    J'y ai rajouté:
    auth sufficient /lib/security/pam_radius_auth.so

    Voila du coup à quoi la direcive auth de PAM correspond pour le fichier SSHD:

    auth    [success=2 default=ignore]  pam_unix.so nullok_secure
    auth    [success=1 default=ignore]  pam_ldap.so minimum_uid=1000 use_first_pass
    auth        sufficient     /lib/security/pam_radius_auth.so
    # here's the fallback if no module succeeds
    auth    requisite           pam_deny.so
    # prime the stack with a positive return value if there isn't one already;
    # this avoids us returning an error just because nothing sets a success code
    # since the modules above will each just jump around
    auth    required            pam_permit.so
    # and here are more per-package modules (the "Additional" block)
    auth    optional            pam_cap.so 
    

    Du coup j'ai mon double facteur !

    si je SSH une box authentifié en LDAP je dois saisir:
    motdepasse_ldap_suivi_de_otp_affichédans_le_labsde_temps

    et hop $

    :)

  • [^] # Re: PAM comment ca marche

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    Salut NeoX,
    merci pour cette réponse :)
    tiens la prochaine fois je ferais un man de ce que je cherche avant de faire un post, ou peut etre je ne poserai pas la question…
    non plus sérieusement, tes liens n'apportent malheureusement aucune réponse à ma problématique.

    je vais faire des tests et je publierais le résultat ici

  • # PAM comment ca marche

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 0. Dernière modification le 12/11/14 à 01:31.

    Finalement, même si je n'espère plus vraiment de réponse :) ma question pourrait être simplifiée et généralisée pour PAM…

    Comment configurer PAM avec des required/sufficient, quoi configurter, account,auth,password ?

  • [^] # Re: mon pb c'est pas ldap...

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 0.

    Non tu n'as pas compris: si tu prends ton lien tu verras la chose suivante:

    "Note that we have not made any changes to the account setup, so the user is expected to have *a local account on the machine* or you can configure account to use pam_ldap and point it to your AD/LDAP server.
    "

    Dans ce cas pam_radius va effectivement faire du double facter mais si et seulement si le compte ldap existe aussi en local… d'ou l'idée d'utiliser une auth LDAP puis de rajouter notre auth RADIUS

    "two factor authentification": ca veut pas dire utiliser 2 mois de passes… ca veut dire avoir 2 facteurs d'auth, rien ne t'empècherait de les concaténer dans 1 seul et unique chaine de caractère…

  • [^] # Re: mon pb c'est pas ldap...

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    oui c'est tout à fait ca:
    - Ce que tu connais: ton login/mdp LDAP
    - Ce que tu as, ton téléphone portable qui fait tourner un logiciel de TOTP qu va te générer un mdp unique pour 30secondes

  • # mon pb c'est pas ldap...

    Posté par  . En réponse au message Authentification PAM LDAP+RADIUS. Évalué à 1.

    Bonjour,
    Merci pour vos réponses.
    Peut être me suis je mal exprimé mais mon problème c'est pas de faire du pam_ldap, ça y a des dixaines de tutos :)

    Mon souci c'est que une fois le pam_ldap configuré je veux ajouter un deuxième facteur d'authentification (via un serveur radius)…

    Ma problématique pour simplifier c est que j ai besoin d'utiliser les informations de ldap mais au moment de la saisie de Password: faire appel à radius.

    ou au pire devoir taper:
    Password: la_je_met_pass_ldap
    Password: la_je_met_pass_radius

    voilou !

    Merci

  • # Gluster remplit sa fonction

    Posté par  . En réponse au message Gluster, des explications svp. Évalué à 1.

    Salut,
    A ma connaissance DRBD permet de faire du RAID-1 like (le disque "paire" est activé en cas de failure du disque actif)

    En aucun cas il ne permet de metre en place le setup dont je parle…

    Gluster semble etre la solution j ai trouvé ca:
    http://www.howtoforge.com/setting-up-a-standalone-storage-server-with-glusterfs-and-samba-on-debian-squeeze-p2

    Testé, ça marche… par contre j'essaie ca sur 2 VM debian avec Virtualbox et ça mange monstrueusement du CPU…

  • [^] # Re: champ host

    Posté par  . En réponse au message Gestion d'accès centralisée. Évalué à 1.

    Salut!

    Super tu peux développer un peu, et me dire sur quoi tu t ais appuyé pour la mise en place ???

    Merci!

  • # 2 problèmes

    Posté par  . En réponse au message Gérer les demandes de règles firewall.. Évalué à 1.

    Salut,
    Tu as 2 problèmes:
    - le côté "gestion du changement"
    - le côté technique

    Pour la gestion des changements peut être un outil de ticketting à la GLPI…
    Ou le framework PHP DadaBik qui te permet de crééer des tableaux SANS UNE LIGNE DE CODE, de donner des accès différents, te prévenir par mail lors d un insert etc…

    De même via DaDaBik vu que c est un tableau tu pourrais créer un script qui fait des extracts pour envouer vers ton FW du coup tu aurais résolu:
    - la gestion des changement/traçabilité de l information
    - le côté technique

    ++

  • [^] # Re: nginx

    Posté par  . En réponse au message HTTP Honeypot . Évalué à 1. Dernière modification le 31/01/14 à 01:31.

    hummm…
    l idée est séduisante :)

    mais je ne pense pas que le contenu ds POST soit loggé, hors c'est important aussi…
    Sinon y a peut être possibilité de le faire avec ModSecurity, un genre de "capture" all via SecAuditLog pour un domaine prédéfini.
    L'autre idée c'était de créer un script PHP qui dump _GET et _POST dans un fichier de logs…

    C'est certain que si tout pouvait rester dans de la conf apache (modsec) ce serait tooop!

  • [^] # Re: Les pipes, ça vient de Saint Claude

    Posté par  . En réponse au message Redirection standard... problème bizarre. Évalué à 1.

    elo, oui j ai bien ce message je l ai pa copy/paste j ai d ailleurs pas copier tt la ligne qui fait 1km avec les exclude :)

  • # merci mais...

    Posté par  . En réponse au message Analyse forensique de la mémoire. Évalué à 0.

    Merci pour vos feedback mais ces réponses sont partielles…

    Je cherche toujours à savoir comment effectuer un dump de la memoire en live…

    Si volatility est capable d analyser les images de dump linux c'est bien qu il y a un moyen simple d en faire…
    l option de "dd if=/dev/mem" en est elle une ???

    Concernant l"attaque froide" j ai cherché sans trouver de contenu "vraiment" détaillé…

    De même dites moi si je me trompe mais si l on reboot sur une ISO celle-ci sera chargée en mémoire et va écraser une partie/la totalité des données en mémoire ?

  • [^] # Re: awk

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    au top merci!

  • # Merci Merci et encore Merci à tous

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 1. Dernière modification le 29/11/13 à 08:20.

    Vous m'avez sauvés :D
    j'en étais là : !!!!!
    pour le coup je crois que je vais vraiment me mettre au perl!

    #!/bin/bash
    
    
    check=1
    
    while read a
    do
            NUM=1
            grep -e "<Host name=" > /dev/null 2>&1
    if [ $? = 0 ]
    then
                    while [ $check != "0" ]
            do
                    grep -A"${NUM}" "$a" d2 | grep "</Host"  > /dev/null 2>&1
                    if [ $? = 0 ]
                    then
                            check=0
                            IPS=$(echo $a | awk -F"\"" '{print $2}')
                            grep -A"${NUM}" "$a" d2 | grep -v Host | tr "\n" " " | sed "s/<\/Report>/;/g" | sed -e "s/<Report niveau=//g" -e "s/ID=//g" -e "s/title>//g" | tr ";" "\n" | awk '{print $1";"$2";"$3}' | sed "s/\"//g" | sed "s/<\///g" | sed -e "s/<//g" -e "s/>//g" |sed "s/;;//g" | sed "/^$/d" | grep -e ";3;" -e ";4"
                    else
                            NUM=$(expr $NUM + 1)
                    fi
            done
    
    
    fi
    done
  • [^] # Re: Un petit script perl

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    1000 * 1000 merci! ca marche au top

  • [^] # Re: xslt -> vraiment compliqué

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    Elo,
    Ca ne fonctionne pas j obtiens le résultat suivant:

    xsltproc script.xslt d2
    script.xslt:35: parser error : Extra content at the end of the document

    ^
    cannot parse script.xslt

    merci enormément quoi qu il en soit!!!

    Je vais me contenter du script perl qui fait le job a merveil!

  • [^] # Re: Un petit script perl

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    merci beaucoup!

    mais ca ne fonctionne pas:

    ./pe.pl
    d2:12: parser error : Extra content at the end of the document
    Host name="192.168.1.4">

    peut etre manque t il une boucle ?

  • [^] # Re: xmlgrep ?

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    pour le coup ca merite d etre testé!

    merci

  • # xslt -> vraiment compliqué

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 2.

    pour le coup j ai regardé du coté de xslt ca me semble VRAIMENT compliqué…

  • # perdu...

    Posté par  . En réponse au message Shell script / parse XML, limites ?. Évalué à 0.

    Je ne code pas en perl ni en python :(

    quant à xsltproc ok mais je ne comprend pas bien comment cela fonctionne il faut faire du xml2xslt ou quoi je comprend pas trop…

    d autant qu il y a plein d autre champ xml avant et apres qui ne m interesse pas donc je ne sais pas si c est possible.

    Si tu peux m en dire plus ?

  • [^] # Re: avec des vues

    Posté par  . En réponse au message Configuration BIND faire des ACL. Évalué à 0.

    Salut,
    C'est super c'est exactement ce que je cherche bon va falloir que je comprenne comment ça fonctionne pour mon besoin mais la fin de la page correspond exactement à ce que je veux faire "pour augmenter la sécurité etc…".

    Merci beaucoup!