Richard DEMONGEOT a écrit 29 commentaires

En ligne, avec le bon vieux BNC 10Mbps :)
Et les T, et les bouchons verts.

Je vois qu'il y a plus de "cadavres" cachés qu'attendus ici aussi :).

Surtout que je ne connais pas le client final.

Mon client/ami est le prestataire du client final. Il se bat pour faire mettre à jour, et tente de faire backuper les données :).

Pas mon infra, mais oui.

Première idée : Virtualise ta merde, puis tu backup la VM.
Mais pas le matériel, pas les 2 fois 1To nécessaires pour faire le P2V.

Bah … Pour Syno, ça tombe pas trop mal, c'est le second use case NAS que j'ai identifié.
Et j'ai un syno sous mes pieds là.

Donc à voir si je peux le faire tourner en docker / app Syno :). Mais je vais avoir du mal à fiabiliser Windows & Syno en même temps :).

C'est un serveur on premise, bare metal.
Pas de VM. Une VM, c'est simple, une API vers Proxmox VE, et on lance le backup, même à la demande :).

Mais un bare metal, pas de PVE en dessous.

Par contre, ça ne backup pour le moment que les fichiers, pas l'hôte complet. Donc tu va être content sur ce point.

Et pour le backup des VMs entières, je suis partagé. D'un côté, je suis d'accord avec le Infra As Code; De l'autre, j'ai la réalité des clients.
Et le client qui a installé X ou Y soft sans le dire, ==> IAAS cassé.
Du coup, je suis plus en mode : c'est complémentaire.
IAAS quand possible; backup de la VM (surtout que c'est des durty map donc que les cheunks modifiés) pour s'affranchir de la rigueur des clients.

Hello,

Merci pour ce retour, en effet c'est chaud la migration, mais pas mon problème.

Je teste sur du windows 11 Famille en parallèle, et je vais chopper des windows 2022 / 2025 pour tester aussi.
Pour l'instant, je me concentre sur mon use case précis, sachant que la TODO est assez velue, il faudrait aussi que je choppe les droits NTFS proprement :).

Mais vu que c'est du GO, ça devrait être portable en 2022/2025.

La première réponse, car ils utilisent Windows, et pas Linux :).

Plus sérieusement, application métier qui n'a pas été portée sur les versions plus récentes, ou qui nécessite de repasser à la caisse pour une upgrade si j'ai bien compris.

Hello,

Quel type de NAS?
Syno? Qnap?

le même client est déjà en train de me parler "bah porte le sur syno".
Mais oui, 10To, ça picotte :). Encore heureux, nous ne sommes plus en 2005, avec nos pauvres ADSL 512k ;)

Hello,

Pour le moment, l'export se fait vers un proxmox backup serveur uniquement.
Proxmox backup server propose (en beta actuellement) de l'export vers du S3, donc indirectement ça peut faire ce que tu veux.

Pour prêcher pour ma paroisse, Nimbus Backup propose des offres en Air Gapped (disques ou LTO).
C'est pas de l'immuable, à proprement parler, mais bonne chance pour que le ransomware vienne taper sur un disque hors ligne.

Question bonus, pensez vous, maintenant que je suis parti dans une GUI, que je le pousse aussi sous Linux & MacOS?

Edit, il n'y a pas de messages privés pour envoyer les mots de passes :(

Le SSO ne sera pas couvert par ce soft, le soft sera un client SSO.

Et le but, c'est justement d'éviter les moyens honteux pour transmettre un fichier open VPN.

Là, en but ultime :

En tant qu'IT tu intègre l'outil au SSO de l'entreprise, ou à ton LDAP/AD.
Tu déclare une root CA, que tu trust sur tous les postes.
Tu déclare une sub CA pour OpenVPN.
Tu met en place une mise à jour de la CRL sur les serveurs OpenVPN régulière.

ensuite, embauche d'un salarié : tu lui fait son compte AD, tu lui donne son PC et son mot de passe, oui, avec le joli papier :).
Il le change tout de suite. Il se connecte sur l'outil, et paf, il a un .ovpn dédié.
Il déclare la perte du PC ou autre, la RH se connecte sur l'outil, et révoque le certificat.

Et vu que tu peux avoir autant de CA / Sub CA que tu veux, bah autant faire propre :).

En gros, pour chaque sub CA, tu peut définir :

• Quel protocole servir;
• Est-ce du self-service ou demande libre + approbation ou demande uniquement pour les groupes logués.

Et toute idée de feature est bonne a prendre :)

Je suis en train de purger le poc, je te fait un compte de test, et à Olivier aussi.

Hello,

Réponse de normand :
ça dépends de l'entreprise :).

Si c'est un "gros" comme je dis avec plusieurs centaines de salariés, je demande un minimum d'efforts (mention sur leur site, autorisation d'informer qu'ils utilisent cette solution, pourquoi pas faire faire un audit du code?)

Si c'est une boulangerie, aucune exigence, mais la pub peut aider et serai appréciée.

C'est ce que j'avais en tête aussi.

J'aimerai publier en GPL / BSD, et c'est un objectif moyen / long terme.
Mais je veux me protéger d'autres PKI A-A-S; et tenter d'éviter du canibalismes dans certains cas.

J'ai peu d'espoir, car je sais très bien que
1/ il faut être au courant qu'ils l'utilisent;
2/ le prouver;
3/ prouver que ça viole la licence.

Donc dans les fait, c'est presque plus pour me rassurer qu'autre chose :). Mais voila.

EJBCA community est très limité.

Tu n'a pas les authentification centralisées, pas la haute disponibilité, pas les modules pour générer les conf OpenVPN par exemple.

Quand j'avais regardé, c'était assez sommaire la version community, et très vite très cher pour la version enterprise.

C'est pas sur du web qu'ils pensaient l'utiliser.
Que pour du pur backend interne chez eux.

Donc même si ils exposent le nom sur l'outil en lui même, utilisé par 2 personnes, ça ne changera rien :/

Mais je vais relire la affero pour confirmer :)

Je l'attendais cette remarque :)

Effectivement, c'est pas libre. Mais pour répondre honnêtement :

Purement personnel :
Certains "gros" que je connais voudraient l'utiliser sans aucune contre partie.
Cette licence, même si elle n'est pas libre, me permet d'avoir le code ouvert, et de bloquer cet usage.
Et d'entendre ces entreprises dire "de toute façon dans 3 mois tu met ça opensource et on l'utilise sans vergognes, sans aucun retour - je demandais juste qu'ils mentionnent le produit & que je puisse les mentionner - ça m'a un peu dégouté.

Seconde raison, après le temps de dev, si je peux vendre un service managé pour rentabiliser un peu, je prend, comme tout le monde, j'ai besoin de vivre et de nourrir les enfants.

Mais si vous avez mieux comme licence, je prend :).

Hello,

De manière très rapide, et actuellement :

Une interface/API disponible en web;
Un stockage MariaDB (clef chiffrées avec une option mdp utilisateur pour l'utilsiation).

Donc très méchament, une interface WEB à un openssl + le repo GIT :).

Mais l'interface permet de valider / révoquer les certificats, de pousser un CSR (comme des scripts shell, on est d'accord) etc.

A moyen terme, utilisation de nitrokey en guise d'HSM hardware (ou intégration avec un autre HSM)
et autre vision souhaité faire du Shamir Shared Secret entre 3 membres de l'entreprise pour dévérouiller la clef ROOT.
Dès que j'ai assez avancé, le SSS pourrait être fait à partir de NitroKey utilisateur (donc 2 sur 3 utilisateurs pour reconstituer le mdp de la clef root, donc pour signer l'intermédiaire).

Et surtout, à moyen terme, possiblité de faire du Single Sign On avec le compte LDAP d'entreprise, donc le flux de création de compte VPN deviendrai :
1/ L'employé est créé dans l'IT en tant que salarié;
2/ il se logue sur l'interface, "je veux mon compte VPN"
3/ son certificat utilisateur est généré, ajouté au fichier ovpn, téléchargé par l'utilisateur;
4/ ça fonctionne.

L'idée est la même pour l'authentification des postes en wifi, ou pour toute authentification par certificat en entreprise.

L'autre avantage, la RH peut révoquer le certificat, la CRL se met à jour, et (si le VPN la lit ou la met a jour régulièrement), le compte VPN est coupé.

Hello,

Je ne sais pas quoi en penser non plus.

C'est vrai que l'IA générative fait beaucoup d'approximation, et nécessite une relecture approfondie, mais d'un autre côté, elle permet aussi de corriger des erreurs connes, et de gagner un temps précieux sur certaines tâches.

J'aurai tendance à dire que, comme pour tout outil, cela dépends de qui l'utilise, et comment.

J'ai vu des projets codés complètement à l'IA, qui (je ne suis pas dev) semblent très propres, complet, car le cadre avait été posé proprement au début; et d'autres qui sont beaucoup plus compliqué à maintenir.

Dans un tout autre contexte, lancer une IA pour rechercher des références (qu'on vérifie après), ça peut trouver des pépites, compliquées à trouver sinon.

Et merde, Il y a les 5 votes…..

Je vais devoir commander plein de choses, c'est mon épouse qui va faire la gueule :).

Liste des courses :
- Module GPS + antenne
- Carte SD (*2 pour remplacer celle qui vieillit tant que j'y suis)
- câble?

Et vu que j'ai pas eu de réponse, ce sera sur le Raspi 3 Modèle B. Pas le plus efficient, mais ça ira.

Seconde mission, lui trouver un petit endroit sympa, en IP fixe, pour le mettre ailleurs sur le réseau :)

Non, je n'en ai plus en stock.

Tout est parti ces dernières années pour faire tenir ^W^W^W Se taire :).

Bref, Bon troll à vous :).
Et si ily a encore du stock, faites moi signe, je connais des gens en ayant besoin.

Hello,

Je ne suis pas sur de comprendre l’intérêt du projet, et j'ai peur que ce soit même contre productif.

En effet, même si le 2FA est super chiant, l’intérêt est de prouver que c'est toi, et pas quelqu'un d'autre.

Quel problème ta solution apporte t'elle par rapport aux solutions existantes?

Ah la sacré poutre verte, gage de sérieux, avec la norme ISO-1664 :), et l'eternelle méthode R.a.c.h.e :)

On vois les anciens.

Pour la disparition, je dirai bien depuis 2008 ou 2009, donc presque rien, juste un ado en seconde quoi :).

Hello,

Merci pour ton retour.

Je n'avais pas envisagé de faire un journal sur ce sujet précis, d'autant que mon petit raspberry pi est vieillissant.

Je viens de chopper un second raspi, il faut que je récupère les cartes GPS, l'antenne etc. Et que je le remette à jour.

Au programme, passage d'une vieille distrib (deb10) à une debian 13; de ntpd à chrony, donc pouvoir l'inclure dans le pool NTS que j'ai initié pour mon infra structure.

Bref, j'ai du boulot pour le mettre à jour :) .

Je sais, admin sys, mais serveur pas à jour. Une honte.

Si vous êtes motivé, et que j'ai 5 personnes qui me le demande, je passe les commandes, et je fait ma nouvelle installe from scratch (+ remplacement de l'existant); et potentiellement je mettrai à jour l'ancien, pour avoir un second NTP stratum 1 dans mon pool, pour le bien de la communauté.

Alors aux votes :

• Qui est pour?
• Sur un second Pi 3B ? ou sur un modèle plus récent?