Reprise du message précédent :
Sinon tu fait une pki ssh et c'est marre : t'a juste a faire truster ta pki, et quand le mec a plus le droit tu révoques son certif.

le truc qui se fait en 2 clics c'est vrai

Mais clair quand je vois le temps que j'ai perdu a mettre du renouvellement automatique sur let's encrypt a cause d'un putain de NTP merdique.

t'avais qu'à mettre en place ta propre horloge atomique, noob

 
Je crois que son problème c'est la clé privée du serveur.
C'est chiant d'avoir un "ohlala MITM warning!" du client SSH, surtout sur des opérations automatiques (à moins d'avoir du SSHFP et du DNSSEC)

Voila.

Ah vous parlez de la clé qui génère l'empreinte du serveur, c'était pas super clair.

Vous réinstallez openssh tous les quatre matins pour que ce soit un problème ?

Si ta machine est morte et doit se faire remplacer. Pourquoi réinstaller ssh?

Non mais justement c'était ironique.

Je vois pas trop le problème de dire aux clients de vider l'entrée dans leur known_hosts parce que la machine a changé.

Et si vraiment tu veux sauvegarder la clé pour pouvoir la reprovisionner, bah fais-le...

Optimiser pour rien avoir à faire sur les autres machines

On cherche un outil de suivi d'activité qui permette de tracer simplement tout ce qu'on fait
 
ajd on a rien, et des fois quand un truc se met a merder, c'est sympa de pouvoir faciilement retrouver que tiens y'a 1h machin a toucher a ce serveur ou changer un parametre sur le controleur wifi bref
 
vous avez des trucs comme ca chez vous ?

n'importe quel outil de ticketing ?

ca implique que les gens aillent y mettre ce qu'ils font

T'as des outils comme Cyberark PSM qui vont enregistrer les sessions ssh/rdp
J'ai un client qui utilise ca, ca m'a déjà permis de mettre un taquet au gars du support qui avait défoncé l'install que je venais de finir

Qui gère quand même le change management mais sinon oui

tout le monde,
 
Question con : je dois installer des polices sur un poste Win7 et que tous les utilisateurs puissent les utiliser. Or il semblerait que ces polices ne s'installent pas pour tous les utilisateurs, mais que pour l'utilisateur logué. Et ce, même si je le fais avec mon compte admin.
Mes démarches :
_ je sélectionne la police, avec n'importe quel compte, je clique "install" et elle est bien installée, mais que pour l'utilisateur logué.
_ je copie la police dans le répertoire Windows\Fonts et pourtant, l'utilisateur logué ne la verra pas.
 
J'ai googlé bien sûr, il y a une option aussi à décocher, en rapport avec la langue utilisée. Il semblerait qu'il faut le faire pour tous les utilisateurs...  
 
Bref, ma question est : avez-vous été confronté à ce petit problème et avez-vous trouvé une solution toute simple?  
 
Merci de vos retours

Ca s'appelle ITIL je crois

Une GPO concernant tous les utilisateurs d'un PC? Histoire que toutes les personnes qui se connecteront sur ledit PC installe la police automatiquement via une GPO?

 
 
avec telnet au moins tu t'emmerdes pas avec ces conneries de sécurité  

Je n'ai hélas pas accès aux GPOs. Ici, c'est réservé à l'élite basée à Manille. Moi, je ne suis plus qu'un grunt

Bah tu fais un ticket avec une demande de changement. Soit vous avez des GPO, soit vous avez un outil de gestion de parc, soit les deux.
 
Dans tous les cas intégrer de nouvelles polices c'est intégrer des bouts de code dont ça doit aussi passer par une validation côté sécu.

Il ne te reste plus qu'à leur faire un petit eMail et escalader le problème...  

 
c'est ultra lourd un outil de ticketing pour dire "je suis allé installé les 2 bornes wifi demandé" "j'ai reset le serveur machin"
 
Y'a tjs un paxon de truc a remplir.
 
on voudrait un truc vraiment plus basique

et j'emmerde ITIL et toutes ses normes a la con

ok donc cyberark totalement hors sujet

Des calendriers Exchange ?

 
un board gitlab ?

Tu veux de la gestion de changements sans ITIL ? Bah non c'est pas possible. Tu nous dis que tu n'as même pas d'outil de ticketing, ni le courage de créer des tickets, je ne vois pas trop ce qu'on peut faire pour toi, t'es en mode 100% TPE là
Ensuite tu n'es pas obligé d'implémenter tout ITIL, mais tu veux bosser proprement il te faut au moins la base de la base.

des post-it, un fil et des pinces a linge

ouais, je vois mal comment on pourrait à la fois bosser à l'arrache et avoir de la traçabilité, faut faire un choix

non mais detendez vous les gars
 
evidemment qu'on a un outil de ticketing
pour les incidents.
 
La je parle d'un suivi de modif. mais un truc light, juste pouvoir remonter un fil/faire de la recherche pour trouver si quelqu'un a touché a quelque chose.
 
mais si on met en place un truc ultra lourd a la itil, personne le fera j'en suis sur.
 
je vais pas mettre 3min a saisir un ticket de reboot pour un reboot qui m'a pris 12s a faire.
 
si ca erxiste pas tant pis

Ben ça existe mais ça nécessite plus de rigueur..
Ce que tu demandes c'est du change management, c'est effectivement dans ITIL, mais au delà du côté processus, l'idée derrière est de tracer tout changement et d'y associer tes assets concernés (bonus CMDB).

Et cerise sur le gâteau le jour où tu veux faire un change (si tu as bien paramétré ton workflow), tu as automatiquement l'analyse d'impact associé

Nous on utilise iTop et on a le change + incident management dans le même outil.

En voulant demander conseil à notre auto proclamé expert linux m'a trouvé trop chiant niveau sécurité et m'a demandé de faire du rlogin ou telnet à la place. Je lui ai dis merci pour le conseil poliment
Il a passé facilement 30 minutes à m'expliquer l'inutilité de ssh et de la sécurité globalement.

No joke.

Tu cherches aussi

J'avoue.

D'ou le bien précisé auto proclamé Ce mec est tellement nawak. Le kysykoné ultime. Capable de mélanger des trucs vrais à des conneries, lui donnant quand même une vague crédibilité technique pour certains collègues non informaticiens.
C'est une putain de plaie quand il s'y met en fait.

 
Il part en tournée en province bientôt ? J'aimerai bien voir le spectacle de cet héritier de Popeck

C'est plus compliqué. En gros il te sort toutes les excuses "qu'il y ai de la sécurité ailleurs et je regarderais ensuite pour sécuriser mes trucs", "sécuriser pas totalement à fond en mode parano/ que même la nsa et le fbi pleurerait face a ton infra ca sert a rien alors autant tout ouvrir", avec surtout comme objectif de rien foutre plus par légère fainéantise/non envie de se mettre a jour techniquement

Ça passe encore plus facilement avec Linux que Windows les "experts"...
Là où je suis, y'a un "expert" linux, faut voir le niveau des interventions en réunion  
J'ai pas la prétention d'être expert linux, loin de là et j'arrive à juger le niveau...  
Donc oui je deviens de fait le nouvel expert    

+1 pour itop.

 
 
-999 pour Itop
 
long a alimenter, exploration des impacts mal foutu et lent. Si tu met les services/apps avec impact c'est clairement pas génial, trop fouillis.

Pas fan non plus...

on l'utilise ici en tant que cmdb centrale, ça fait le boulot (mais je suis juste utilisateur)