Chrome Version 58 et Certificat SelfSigned

 

Depuis la mise à jour en version 58 Google chrome n’autorise plus l’utilisation de certificat auto-signé sans SAN (SubjectAltName). La plupart du temps un certificat auto-signé était généré sans SAN et Chrome ne surveillant que la présence du CN (Common Name) pour valider ou non l certificat.

Il va donc falloir recréer un certificat valide pourvu de SAN, j’ai dû faire cette manipulation dans le cadre de mon travail pour notre outil de Ticket GLPI protégé par SSL.

Continuer la lecture de « Chrome Version 58 et Certificat SelfSigned »

Update & installation Widget Centreon CES 3.3

centreon_logo

Je suis en cours d’installation d’une nouvelle version de Centreon dans mon entreprise. L’ancienne version en place couplait Nagios 3 avec Centreon mais se faisait vieille et surtout je ne parvenait plus a extraire les données de monitoring de Centreon.

J’ai choisi de passer entièrement sous Centreon avec la solution tout-en-un CES sortie dernièrement Centreon 3.3

L’installation est extrêmement simple et rapide, je n’ai pas mis longtemps à retrouver mes marques et à refaire petit à petit mes sondes de surveillance. Je n’ai pas fait de tuto quand à cette installation je le ferait peut être plus tard quand j’aurai plus de temps.

Continuer la lecture de « Update & installation Widget Centreon CES 3.3 »

Mise à jour PFsense 2.2.5 Lightsquid et Sarg

Dernièrement j’ai dû procéder à la mise à jour de nos appliances pfSense dans mon entreprise, suite à la réinstallation des paquets à jour j’ai installé SARG et LightSQUID qui m’aident à identifier les consommations de bande passante de notre proxy.

La mise à jour ne permettait d’afficher les rapports d’aucun des deux reporters, j’ai donc dû procédér à plusieurs manipulations afin de récupérer le bon fonctionnement de ces paquets.

Continuer la lecture de « Mise à jour PFsense 2.2.5 Lightsquid et Sarg »

Atraci : Spotify free pour PC

Atraci

Vous aimez la musique mais vous n’avez pas forcément les moyens de vous payer un abonnement premium Spotify, vous ne pouvez plus tolérer les pubs entre vos morceaux sur Spotify Free. Atraci est pour vous, ce logiciel s’installe sur votre PC et vous permet de retrouver tout vos morceaux directement.

Comment ça ? c’est gratuit ? ça ne doit pas être bien légal ça mon petit monsieur ! Et bien théoriquement si, c’est même pour ça que j’en parle, puisque ce logiciel se contente d’aller chercher votre musique sur Youtube … et d’en diffusé que l’audio.

ça fonctionne parfaitement une application Android et IOS étant même prévu sous peu !

 

Tuto : Mise en place de l’authentification Kerberos SSO sur Apache + configuration SSO GLPI

L’Authentification forte de type SSO ‘Single Sign-On’ d’une application Web hébergée en réseau local sur un serveur Linux avec Apache via un Kerberos sous Windows 2008 Server.

On peut résumer le fonctionnement de la manière suivante : un utilisateur ouvre une session sur le domaine et navigue vers une page http protégée du réseau Intranet. Habituellement, on affiche une boite invitant l’utilisateur à saisir son nom d’utilisateur et mot de passe alors qu’il est déjà connu de l’AD, vu qu’il a saisi les mêmes informations pour se connecter à son compte Windows. Le but du Single Sign-On est d’authentifier l’utilisateur sans qu’il soit obligé de ressaisir plusieurs fois les mêmes informations.

Kerberos fonctionne avec un système de jetons, qu’on appellera des ‘tickets’. L’authentification se passe en plusieurs étapes :

sso_apache_-_diagram

  1. le poste client demande un ticket au serveur Kerberos
  2. le KDC retourne un ticket, vu que le client est déjà identifié sur le réseau
  3. le poste client formule la requête au serveur Web en incluant le ticket

Plusieurs avantages de cette méthode :

  • L’utilisateur s’identifie une seule fois et peut ensuite accéder de façon transparente aux différents services
  • Le nom d’utilisateur et son mot de passe ne sont jamais transmis sur le réseau

Continuer la lecture de « Tuto : Mise en place de l’authentification Kerberos SSO sur Apache + configuration SSO GLPI »

De l’hygiène informatique expliquée : Le RDV Tech

fic-2013-valls-pellerin-idenum-anssi-hygiene-informatique-684x250

L’hygiène informatique, qu’est ce que c’est ? Non non il ne s’agit pas de se laver les mains avant de toucher à son clavier, quoi que ça pourrait aussi être grandement conseillé. Ce mot défini en fait les bonnes pratiques à mettre en place pour votre sécurité avec les outils informatiques.

Cela peux aller d’une simple politique de mot de passe à la mise en place de la double authentification, de réseau VPN, ou même de chiffrement de mail etc etc…

Je suis tombé récemment sur un excellent podcast hoster par Patrick Beja qui s’intitule Le Rendez-vous Tech, il s’agit d’un podcast de vulgarisation de la tech, des gadgets et autres bizarreries de l’Internet. En gros vous apprendrez un peu plus sur le monde de la tech de façon simple et compréhensible.

Dans un numéro spécialement dédié à l’hygiène informatique Patrick reviens sur les principes de base qu’il est possible de mettre en place pour la sécurité de votre vie numérique.

Je vous conseille vivement d’écouter ce numéro et pourquoi pas vous abonnez au podcast qui diffuse de manière bi-mensuel.

Vous pouvez aussi participer financièrement à l’émission par le biais d’un Patreon

Tuto : Installation OwnCloud sur Ubuntu Server 13.10

OwnCloud est une solution de Cloud Personnel, en gros elle vous permettra d’installer dans votre environnement un GoogleDrive … mais en mieux parce-que c’est chez vous 🙂

Dans le cadre personnel j’utilise quotidiennement Google Drive, mais dans un souci de parano (ce qui est sur le sol américain leurs appartient) pour mon entreprise j’ai plutôt opté pour une solution “propriétaire”, l’espace disque ne nous manque pas et nous permet donc de diffuser ce service facilement à nos utilisateurs.

Pour le moment je n’ai pas tellement fait de comparatif de solution, j’ai opté pour celle dont j’ai le plus entendu parler OwnCloud

Elle présente l’avantage d’être libre,la partie serveur est dispo sur la plupart des distributions Linux et les clients de synchronisation disponible sur Windows, iPhone et Android (Payant toute fois pour les clients mobiles). Parfait pour nous puisque nous sommes dans ce genre d’environnement diversifié.

De plus elle est compatible avec le protocole WebDav, ce qui permettra d’utiliser n’importe quel client avec cette configuration.

Pour le choix de la distrib Server je m’oriente naturellement vers Ubuntu 13.10 Server Edition, car je connais et que j’aime … et que c’est mon tuto alors je fait ce que JE veux ! Bon passons à la partie main dans le cambouis …

  • INSTALLATION DU SERVEUR OWNCLOUD

Pour la partie serveur je vous passe les détails de l’installation, une petite VM : deux core, 1Go de RAM et 40 Go d’espace disque (c’est peu mais c’est du LVM ça s’agrandit), le tout en dmz parce-que c’est sa place 🙂

Pour l’installe les paquets .debs sont dispo donc on se fait pas ch…

Ensuite configurer votre mot de passe Mysql (Attention c’est le mot de passe root donc bien le retenir) puis vous pouvez aussi optionnellement installer phpmyadmin pour vérifier la bonne installation de la base de données sur votre serveur.

Il ne vous reste plus qu’a vous connectez sur //votreserveur/owncloud

à la première connexion vous aller devoir créer une nouvel utilisateur, se sera l’administrateur de votre serveur OwnCloud, de plus c’est ici que vous devrez configurer la connexion à la base de donnée Mysql

CONFIGURATION DU SERVEUR OWNCLOUD

Pour la configuration nous allons tout d’abord activer le ssl sur le site afin de crypter le flux de données entre vos users et le serveur, pour cela quelques lignes de commande pour activer le ssl sur apache

 

Une fois activé nous allons forcer le mode https dans l’interface de ownCloud on se connecte donc à //serveurowncloud/owncloud et on se rend dans

Puis on va cocher la case pour forcer le https

Nous allons ensuite activer le mode LDAP pour pouvoir relier notre serveur ownCloud à notre annuaire (Dans mon cas j’ai du faire un peu de routage NAT pour ouvrir le flux entre mon serveur en DMZ et mon AD), les utilisateurs seront alors créer directement sur le serveur et auront un accès disponible. Pour cela il va falloir ajouter l’application LDAP Users and Goup, on clique sur le + en bas à gauche de l’interface et on ajoute l’application en l’activant dans le menu

Une fois activer il faut de nouveau se rendre dans le menu d’administration vous aurez alors un message d’alerte vous indiquant qu’il manque le plugin LDAP à php pour fonctionner correctement, pour résoudre cela sur votre serveur

 

Une fois le service apache redémarré reconnecter vous à l’interface et rendez-vous dans le menu administration, vous ne devriez plus voir de message d’erreur, nous allons donc pouvoir passer à la partie configuration de l’authentification LDAP

Veuillez noter que pour le moment la confiugration n’est pas correct il va falloir modifier quelques paramètre dans l’onglet advanced

Cocher la case Serveur LDAP insensible à la casse(Windows)

Puis dans la partie Paramètre du répertoire

De la vous pourrez tester votre configuration et devriez obtenir le message suivant,

Rendez-vous maintenant dans User Filter et choisie le filtres person, puis dans Login Filter cocher Nom d’utilisateur LDAP normalement le système dois vous indiquer que la configuration est OK

Rendez vous dans la section utilisateurs pour contempler votre travail 🙂

Vous pouvez dès maintenant vous connecter avec un utilisateur de votre AD qui aura alors un espace attitré

Une fois notre lien LDAP établie nous allons chercher à connecter nos utilisateurs à leurs nouveau Cloud et pour cela j’ai choisi la connexion d’un net drive en WebDav, l’utilisateur retrouve ainsi son Cloud comme étant un lecteur à par entière sur son poste.

Mais avant cela nous allons devoir configurer un certificat ssl signé pour notre serveur, en effet, sans certificat le lien WebDav entre la machine Windows et notre serveur ne fonctionnera pas. Pour ma par j’ai choisi un certificat signé par l’autorité CAcert, l’avantage c’est que c’est gratuit, l’inconvénient c’est que vous devrez importer le certificat root de cacert sur l’ensemble de vos postes client.

SECURISATION DU SITE WEB

Dans un premier temps il faudra créer votre compte sur le //www.cacert.org ensuite déclarer votre domaine, une fois le domaine déclarer et vérifier (par mail) vous devrez créer un certificat de serveur

Après si vous avez une autorité à vous ben allez y ça le fait aussi donc sur le serveur on se connecte et on créer la demande de certificat

 

Puis on édite le fichier csr avec son éditeur préférer et on copie l’intégralité des donnés entre les balises

  • -----BEGIN CERTIFICATE REQUEST-----
  • -----END CERTIFICATE REQUEST-----

Sur le site de Cacert on va dans Certificats de Serveur -> Nouveau et on colle le contenu dans l’encadré “Coller Votre CSR”

Enfin on soumet la demande de certificat à l’autorité avec l’option SOUMETTRE (Chaud !)

Vous aurez alors l’ensemble de votre certificat générer sur la page, copier le contenu de cette page dans un nouveau fichier sur votre serveur par exemple : example.cert.pem et modifier le fichier de configuration de votre serveur apache concernant les sites en https

Enfin on vérifie que le certificat est bien proposé à notre client par le serveur web

Attention à bien installer le certificat root de Cacert dans votre autorité de certification Racine de Confiance qui se trouve ici Cacert Root Cert

LOGIN WEBDAV VIA EXPLORATEUR WINDOWS

 

Enfin notre utilisateur souhaite relier son espace Cloud dans son Windows, et bien un simple lecteur réseau fera l’affaire, pour cela il suffit de repérer l’url du WebDav utilisateur en se rendant dans l’interface web puis sur le menu Personnel,

Enfin sur votre PC dans l’outil le manager de connexion lecteur réseau rentrer les infos suivantes

Normalement votre dossier WebDav (Cloud) devrait monter dans votre session Windows, vous pourrez alors supprimer et enregistrer des fichiers dans ce répertoire ils seront automatiquement disponible dans votre espace Cloud.

 

 

 

 

 

Installation de sondes de Monitoring VMWare sur Centreon/Nagios

logiciel-de-virtualisation-vmware-851710

Suite à mon billet d’installation sur Nagios j’ai dernièrement mis en place des sondes de surveillance dans l’infra de mon entreprise, étant donner que j’ai pas mal chercher et pas mal galérer pour faire cette configuration je vous met ici les différentes étapes que j’ai suivi, en esperant que cela puisse vous aider.

Ce plugin est développé par la société OP5 et est disponible en version OPEN SOURCE pour les utilisateurs de Nagios. J’ai réaliser l’installation sur une Ubuntu 10.10

  • Installation des dépendances

Tout d’abord afin de préparer la mise en place de ce plugin nous allons devoir télécharger et installer plusieurs dépendances :

Ensuite nous allons devoir installer le SDK VMWare correspondant à notre version de Vsphere (ici 4.1) il est disponible sur le site de VMWARE il vous faudra un compte pour le télécharger une fois télécharger transférer le sur votre machine (WinSCP) //www.vmware.com/support/developer/viperltoolkit/
Suivez les instructions à l’écran pour procéder à l’installation du SDK

  • Installation du plugin

Le plugin est disponible sur NagiosExchange //exchange.nagios.org/directory/Plugins/Operating-Systems/*-Virtual-Environments/VMWare/check_vmware_api/details Il suffira de télécharger ce plugin et de le coller dans le répertoire par défaut de vos plugins Nagios /usr/local/nagios/libexec

Il faudra aussi le rendre exécutable :

  • Création du compte de monitoring

Afin de se connecter à votre vCenter pour récupérer les informations vous aller devoir créer un compte en lecture seule sur votre infrastructure. Pour cela dans votre domaine AD créer un utilisateur Monitoring et attribué le en lecture seule sur votre vCenter :

check_vmware_api

check_vmware_api2

check_vmware_api3Dans l’onglet permission sélectionner Read-Only

  • Test du Plugin

Vous pouvez dès à présent tester votre plugin avec une commande simple depuis votre serveur de monitoring

check_vmware_api4

-D : nom dns ou adresse IP de votre vCenter

-u : Utilisateur Read-Only vCenter

-p : mot de passe

-l : Commande à monitorer

Comme vous le voyez cette commande dois vous renvoyé une réponse qui vous indique le pourcentage d’utilisation de processor de votre vCenter.

 

  • Création des commandes Centreon

Depuis Centreon nous allons maintenant configurer des commandes nous permettant de questionner notre ferme VMWare autant les machines virtuelle que les hôtes ESX.

Dans un premier temps nous allons définir des variables utilisées pour ces commandes, rendez-vous dans Centreon ==> Configuration ==> Nagios ==> (Menu de gauche) ressources. Cliquez sur « Add ». Puis entrez dans « Resources Name » : $USER10$ dans « MACRO Expression » : Nom d’utilisateur ESXi, cliquez sur « Save ». Répétez cette opération pour chaque élément présent dans le tableau ci-dessous :

 

Resources Name

MACRO Expression

$USER11$

Mot de passe ESXi

$USER12$

IP du vCenter

$USER13$

Nom d’utilisateur du vCenter

$USER14$

Mot de passe du vCenter

 

  • Commandes destinées à questionner les VMs

 

check_vcenter_vm_cpu

$USER1$/check_vmware_api.pl -D $USER12$ -u $USER13$ -p $USER14$ -N $HOSTALIAS$ -l cpu -s usage -w $ARG1$ -c $ARG2$

!80!90

Vérifie la charge CPU de la machine virtuelle – Argument : niveau WARNING et CRITICAL (en %)

check_vcenter_vm_mem

$USER1$/check_vmware_api.pl -D $USER12$ -u $USER13$ -p $USER14$ -N $HOSTALIAS$ -l mem -s usage -w $ARG1$ -c $ARG2$

!80!90

Vérifie la charge mémoire des machines virtuelles – Argument : niveau WARNING et CRITICAL (en %)

check_vcenter_vm_net

$USER1$/check_vmware_api.pl -D $USER12$ -u $USER13$ -p $USER14$ -N $HOSTALIAS$ -l net -s usage -w $ARG1$ -c $ARG2$

!102400!204800

Vérifie la charge réseaux des machines virtuelles – Argument : niveau WARNING et CRITICAL (en Kbps)

check_vcenter_vm_swap

$USER1$/check_vmware_api.pl -D $USER12$ -u $USER13$ -p $USER14$ -N $HOSTALIAS$ -l mem -s swap -w $ARG1$ -c $ARG2$

!500!1000

Vérifie la swap des machines virtuelles – Argument : niveau WARNING et CRITICAL (en MB)

check_vcenter_datastore

$USER1$/check_vmware_api.pl -D $USER12$ -u $USER13$ -p $USER14$ -N $HOSTALIAS$ -l vmfs -s $HOSTALIAS$ -w “$ARG1$:” -c “$ARG2$:”

!15%!10%

Vérifie l’espace libre sur le datastore – Argument : espace libre WARNING et CRITICAL (en %)

 

  • Commande destinées à questionner les hôtes

 

check_vcenter_esx_health

$USER1$/check_vmware_api.pl -D $USER12$ -H $HOSTALIAS$ -T 20 -u $USER13$ -p $USER14$ -l runtime -s health

Vérifie l’Etat de santé de vos serveurs ESX

check_vcenter_esx_io

$USER1$/check_vmware_api.pl -D $USER12$ -H $HOSTALIAS$ -T 20 -u $USER13$ -p $USER14$ -l io

Vérifie les entrée/sortie de votre serveur ESX

check_vcenter_esx_net

$USER1$/check_vmware_api.pl -D $USER12$ -H $HOSTALIAS$ -T 20 -u $USER13$ -p $USER14$ -l net

Vérifie l’état des vmnic de vos serveurs ESX, indique si l’une d’elle est déconnectée

check_vcenter_esx_temperature

$USER1$/check_vmware_api.pl -D $USER12$ -H $HOSTALIAS$ -T 20 -u $USER13$ -p $USER14$ -l runtime -s temperature

Vérifie les sondes de températures sur vos serveurs ESX

check_vcenter_esx_vmfs_local

$USER1$/check_vmware_api.pl -D $USER12$ -H $HOSTALIAS$ -T 20 -u $USER13$ -p $USER14$ -l vmfs -s $ARG1$ -w $ARG2$  -c $ARG3$

!esx02:local!75%!80%

Vérifie l’espace libre sur le datastore en local

 

Et voila pour la configuration, j’ai réaliser quelques commandes pour le moment et tout fonctionne correctement.

 

Installation de SquidAnalyser

logo-squidanalyzer

Suite à mes deux précédents articles sur l’installation d’un Proxy/cache/Antipub j’ai trouver une nouveau analyseur de logs grâce à Issa et à son post (disponible sur son blog en cliquant sur son pseudo)

SquidAnalyser va nous permettre d’analyser les logs de Dansguardian sans problème, pour cela il faut simplement que le format de sorti de vos logs Dansguardian soit le même que celui de Squid, vérifier dans votre fichier dansguardian.conf que les deux lignes suivantes sont présentes

logfileformat = 3
loglocation = ‘/var/log/dansguardian/access.log’

Une fois cette vérification faite voici les quelques étapes obligatoires pour installer ce nouvel analyseur :