Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
6083 connectés 

 

 

Votre rapport aux utilisateurs ?




Attention si vous cliquez sur "voir les résultats" vous ne pourrez plus voter

 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  5160  5161  5162  ..  5710  5711  5712  5713  5714  5715
Auteur Sujet :

Les informaticiens aigris : anecdotes et conseils

n°63407251
Je@nb
Kindly give dime
Posté le 06-07-2021 à 12:19:52  profilanswer
 

Reprise du message précédent :

doum a écrit :

petite question vmware parceque la je seche.
 
Je deploie un nouveau vsphere avec 3 hotes en test.
le vshpere est hebergé sur les hotes.
 
J'installe les hotes, j'installe vsphere sur un des hotes, je configure vsphere, crée un cluster, mets les 3 hotes dedans ok.
 
Je crée un dvswitch. j'ai donc une carte réseau dans le vswitch0, qui porte le vmkernel d'admin, et une carte réseau dans le dvswitch. je crée un distributed port group qui porte le vlan d'admin
je bascule les vmkernel des hotes du vswitch0 vers le dvswitch
 
> tous les hotes passent en "network connectivity lost"  
 
alors que je continue a les ping sans probleme.
 
je seche.


 
Ouvre un ticket chez Plam

mood
Publicité
Posté le 06-07-2021 à 12:19:52  profilanswer
 

n°63407298
l0g4n
Expert en tout :o
Posté le 06-07-2021 à 12:27:09  profilanswer
 


doum a écrit :

 

fait en meme temps


Kindly décrit mieux ce que t'a fait alors, avec l'ordre :o


Message édité par l0g4n le 06-07-2021 à 12:27:26

---------------
Fort et motivé. Sauf parfois.
n°63407353
Vini
Vini - Le vrai
Posté le 06-07-2021 à 12:34:59  profilanswer
 

doum a écrit :

petite question vmware parceque la je seche.
 
Je deploie un nouveau vsphere avec 3 hotes en test.
le vshpere est hebergé sur les hotes.
 
J'installe les hotes, j'installe vsphere sur un des hotes, je configure vsphere, crée un cluster, mets les 3 hotes dedans ok.
 
Je crée un dvswitch. j'ai donc une carte réseau dans le vswitch0, qui porte le vmkernel d'admin, et une carte réseau dans le dvswitch. je crée un distributed port group qui porte le vlan d'admin
je bascule les vmkernel des hotes du vswitch0 vers le dvswitch
 
> tous les hotes passent en "network connectivity lost"  
 
alors que je continue a les ping sans probleme.
 
je seche.


C’est quoi vSphere sur les hôtes ? Un vCenter sur un des ESXi ? Ensuite, bien que ça soit possible et supporté, l’expérience fait qu’on préfère laisser un vmk0 sur un vSwitch Standard :D
 
Les flux entre vCenter (vpxd) et ESXi (vpxa) sont bons ? Genre le 902 ?


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°63407884
Iv4ndi
Posté le 06-07-2021 à 13:25:57  profilanswer
 

l0g4n a écrit :


J'ai démissionné.


Propre.  [:clooney8]

n°63408169
doum
Mentalita nissarda
Posté le 06-07-2021 à 13:48:47  profilanswer
 

Je@nb a écrit :


 
Ouvre un ticket chez Plam


 
mais bien sur suis je bete
 
kindly doing it now
 

Vini a écrit :


C’est quoi vSphere sur les hôtes ? Un vCenter sur un des ESXi ? Ensuite, bien que ça soit possible et supporté, l’expérience fait qu’on préfère laisser un vmk0 sur un vSwitch Standard :D
 
Les flux entre vCenter (vpxd) et ESXi (vpxa) sont bons ? Genre le 902 ?


 
Oui, en gros on va voir plusieurs "datacenter" (au sens vmware)
le vsphere tournera sur des hotes d'admin, en ha, et gerera a la fois le datacenter d'admin et de production.
 
actuellement je teste avec 3 esxi d'admin, qui donc ont le vshpere installé dessus.
 
ah ca m'arrange pas ca, c'est ultra relou a gérer avec terraform les switchs standards. c'est quoi la raison ?  
 
les flux sont exactement les memes entre avant et apres
 
en gros avant j'ai vshpere > vlan > vswitch > vmk0 > vswitch > meme vlan > esxi
apres j'ai vshpere > meme vlan > dvswitch > vmk0 > dvswitch > meme vlan > esxi
 
donc si les flux passaient avant je vois pas trop pk ils passeraient plus apres :D  
 
d'autant que je ping sans probleme les esxi depuis le vsphere en shell. Et je peux sans probleme leur modifier des confs (via terraform ou non)
 
ce que j'ai fait :
 
vswitch et vmk0 sur vmnic4
dvswitch crée sur vmnic5
ajout d'un distributed port group avec le meme vlan sur dvswitch
dans la gui, je migre le vmk0 sur le dvswitch et sur le distributed port group, avec migration egalement de la vm vsphere pour l'hote qui l'heberge
migration ok je migre vmnic4 sur le dvswitch

n°63409163
l0g4n
Expert en tout :o
Posté le 06-07-2021 à 15:01:26  profilanswer
 

Vous voyez, quand je disais que les noms des produits vmware c'était le bordel :o


---------------
Fort et motivé. Sauf parfois.
n°63409253
pwarlk
Posté le 06-07-2021 à 15:09:02  profilanswer
 

l0g4n a écrit :

Vous voyez, quand je disais que les noms des produits vmware c'était le bordel :o


d'ailleurs, j'ai trouvé son erreur. Il a pris un produit de la mauvaise boite au milieu:
 
vshpere  
vlan
dvswitch  
vmk0  
dvswitch  
vlan
 
DMware, c'est le système de messagerie interne de twitter, rien à voir avec de la virtu :o

n°63409726
neodam
c'est joli mais ça sert a rien
Posté le 06-07-2021 à 15:53:28  profilanswer
 

j'ignore si c'est que pour la blague ou pas pwarlk mais le fait est qu'en plus le vrai nom c'est
vsphere distributed switch, ce qui donne donc vdswitch.
:)

n°63410077
Vini
Vini - Le vrai
Posté le 06-07-2021 à 16:21:45  profilanswer
 

doum a écrit :


 
mais bien sur suis je bete
 
kindly doing it now
 


 

doum a écrit :


 
Oui, en gros on va voir plusieurs "datacenter" (au sens vmware)
le vsphere tournera sur des hotes d'admin, en ha, et gerera a la fois le datacenter d'admin et de production.
 
actuellement je teste avec 3 esxi d'admin, qui donc ont le vshpere installé dessus.
 
ah ca m'arrange pas ca, c'est ultra relou a gérer avec terraform les switchs standards. c'est quoi la raison ?  
 
les flux sont exactement les memes entre avant et apres
 
en gros avant j'ai vshpere > vlan > vswitch > vmk0 > vswitch > meme vlan > esxi
apres j'ai vshpere > meme vlan > dvswitch > vmk0 > dvswitch > meme vlan > esxi
 
donc si les flux passaient avant je vois pas trop pk ils passeraient plus apres :D  
 
d'autant que je ping sans probleme les esxi depuis le vsphere en shell. Et je peux sans probleme leur modifier des confs (via terraform ou non)
 
ce que j'ai fait :
 
vswitch et vmk0 sur vmnic4
dvswitch crée sur vmnic5
ajout d'un distributed port group avec le meme vlan sur dvswitch
dans la gui, je migre le vmk0 sur le dvswitch et sur le distributed port group, avec migration egalement de la vm vsphere pour l'hote qui l'heberge
migration ok je migre vmnic4 sur le dvswitch


 
Désolé mais tu ne réponds pas à la question... ou alors j'ai mal compris.
 
C'est quoi vSphere ? C'est le ou les vCenter ?  
 
T'as une capture d'écran de l'inventaire flouté qu'on voit les différents niveau ? Datacenters > Clusters?
 
Sinon MP si c'est sensible/confidentiel. Et si t'as du support, je peux t'ouvrir le ticket et faire une prise en main si besoin.


---------------
« Quand tu vois la gueule des voitures sur le parking, tu comprends vite qui gagne bien sa vie et qui la sponsorise » ©duck
n°63411067
pwarlk
Posté le 06-07-2021 à 17:51:28  profilanswer
 

neodam a écrit :

j'ignore si c'est que pour la blague ou pas pwarlk mais le fait est qu'en plus le vrai nom c'est
vsphere distributed switch, ce qui donne donc vdswitch.
:)


 
C'était purement pour la blague. J'avais aussi "et VLAN dans sa gueule", mais c'était encore moins drôle :)
Mais c'est jamais dérangeant de partager des connaissances.

mood
Publicité
Posté le 06-07-2021 à 17:51:28  profilanswer
 

n°63413974
doum
Mentalita nissarda
Posté le 06-07-2021 à 22:27:59  profilanswer
 

Vini a écrit :


 
Désolé mais tu ne réponds pas à la question... ou alors j'ai mal compris.
 
C'est quoi vSphere ? C'est le ou les vCenter ?  
 
T'as une capture d'écran de l'inventaire flouté qu'on voit les différents niveau ? Datacenters > Clusters?
 
Sinon MP si c'est sensible/confidentiel. Et si t'as du support, je peux t'ouvrir le ticket et faire une prise en main si besoin.


 
oui le vcenter desole
 
c'est bon ecoute je l'ai refait ca marche cette fois j'ai pas d'alarme
 

n°63416698
gamer-fou
AHHHHHH§§§!!!
Posté le 07-07-2021 à 09:43:50  profilanswer
 

https://msandbu.org/printnightmare-cve-2021-1675/
Faille 0day qui pique, qui rend possible pour tout utilisateur connecté au domaine d'exécuter du code en tant que local system sur les contrôleurs de domaine [:joce]
[:spawn_cqn:3]

Message cité 1 fois
Message édité par gamer-fou le 07-07-2021 à 11:27:45

---------------
Music is the most high!
n°63418565
Dezerd
Posté le 07-07-2021 à 12:35:19  profilanswer
 

gamer-fou a écrit :

https://msandbu.org/printnightmare-cve-2021-1675/
Faille 0day qui pique, qui rend possible pour tout utilisateur connecté au domaine d'exécuter du code en tant que local system sur les contrôleurs de domaine [:joce]
[:spawn_cqn:3]


Visiblement , la simple preco (assez ancienne d'ailleurs) d'arreter et de désactiver le spooler sur les DC permet d'eviter la propagation.


---------------
503 Service Unavailable
n°63418582
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 12:38:06  profilanswer
 

Dezerd a écrit :


Visiblement , la simple preco (assez ancienne d'ailleurs) d'arreter et de désactiver le spooler sur les DC permet d'eviter la propagation.


Euh.
Non.
Ça permet que la faille sur le DC soit pas exploitable. Ça la corrige pas sur le reste du SI.
Et puis y'a pas de propagation en soit, c'est une faille, pas un malware :D


Message édité par l0g4n le 07-07-2021 à 12:38:31

---------------
Fort et motivé. Sauf parfois.
n°63419021
MsieurDams
Livreur de lasagnes en moto
Posté le 07-07-2021 à 13:22:18  profilanswer
 

Super on va pouvoir imprimer des KOALAS


---------------
moant@hfr. The Captain formerly Static | *Brains, GroJulius, on ne vous oublie pas*
n°63419223
Slyde
Lizard of the Coast
Posté le 07-07-2021 à 13:38:53  profilanswer
 

[:rofl]

n°63419313
Ivy gu
3 blobcats dans un trenchcoat
Posté le 07-07-2021 à 13:45:36  profilanswer
 

[:froghettosky62:5]


---------------
By reading this post, you agree to our Terms and Conditions.
n°63419371
Iv4ndi
Posté le 07-07-2021 à 13:49:58  profilanswer
 

MsieurDams a écrit :

Super on va pouvoir imprimer des KOALAS


 Ce génie [:casey tatum:5]

n°63420091
nebulios
Posté le 07-07-2021 à 14:44:55  profilanswer
 

Dezerd a écrit :


Visiblement , la simple preco (assez ancienne d'ailleurs) d'arreter et de désactiver le spooler sur les DC permet d'eviter la propagation.


La préco est de ne jamais mutualiser serveur d'impression et DC pour commencer. Il y a déjà eu une faille de ce genre il y a des années, jamais corrigée (solution: migrer le serveur d'impression autre part que sur un DC).

n°63420202
Profil sup​primé
Posté le 07-07-2021 à 14:54:15  answer
 

MsieurDams a écrit :

Super on va pouvoir imprimer des KOALAS


 
 [:somberlain7]

n°63421332
gloubiboul​ga
-
Posté le 07-07-2021 à 16:25:32  profilanswer
 

nebulios a écrit :


La préco est de ne jamais mutualiser serveur d'impression et DC pour commencer. Il y a déjà eu une faille de ce genre il y a des années, jamais corrigée (solution: migrer le serveur d'impression autre part que sur un DC).


 
Et même de ne jamais mutualiser un DC avec quoi que ce soit d'autre, même un service Microsoft genre DHCP.  
L'ANSSI dans ses précos pour les environnements à risque c'est de n'avoir, en plus d'aucune mutualisation et bien entendu comme pour tous les autres serveurs pas d'accès à/depuis internet, aucun code non MS. C'est à dire que si tu utilises Cortex XDR / Crowdstrike >> pas sur ton DC, si le DC est virtualisé >> sur un host HyperV, etc.


---------------
-
n°63421967
lestat67se​l
:-)
Posté le 07-07-2021 à 17:09:47  profilanswer
 

gloubiboulga a écrit :


 
Et même de ne jamais mutualiser un DC avec quoi que ce soit d'autre, même un service Microsoft genre DHCP.  
L'ANSSI dans ses précos pour les environnements à risque c'est de n'avoir, en plus d'aucune mutualisation et bien entendu comme pour tous les autres serveurs pas d'accès à/depuis internet, aucun code non MS. C'est à dire que si tu utilises Cortex XDR / Crowdstrike >> pas sur ton DC, si le DC est virtualisé >> sur un host HyperV, etc.


 
 :cry:  :cry:  :o  

n°63422524
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 17:54:12  profilanswer
 

Attend, on t'a pas encore dit qu'il faut pas héberger sur le même hyperviseur des charges avec des besoins de sécu ou des expositions réseaux différentes.
En gros, sur un hyperviseur avec un DC, tu n'héberge que des vm tiers 0 administrées que par des personnes d'un niveau de confiance et de privilèges homogène.
Voir par exemple le guide d'administration sécurisée.


---------------
Fort et motivé. Sauf parfois.
n°63423464
3point14
Posté le 07-07-2021 à 19:34:15  profilanswer
 

Salut,
Je dois envoyer des données en sftp à 50 milliards de partenaires. :o
Sa vous choque d'imposer à l'ensemble des partenaires le même login / clef publique de connexion ?

Message cité 1 fois
Message édité par 3point14 le 07-07-2021 à 19:34:48
n°63423505
jeffk
Posté le 07-07-2021 à 19:38:41  profilanswer
 

Oui.

 

Et sachant que c'est 50 milliards de partenaires ca finira par être publique donc pourquoi mettre un auth ?


Message édité par jeffk le 07-07-2021 à 19:39:31
n°63423528
Ivy gu
3 blobcats dans un trenchcoat
Posté le 07-07-2021 à 19:41:20  profilanswer
 

autant faire du bittorrent dans ce cas [:wade:3]


---------------
By reading this post, you agree to our Terms and Conditions.
n°63423628
nebulios
Posté le 07-07-2021 à 19:52:11  profilanswer
 

gloubiboulga a écrit :


 
Et même de ne jamais mutualiser un DC avec quoi que ce soit d'autre, même un service Microsoft genre DHCP.  
L'ANSSI dans ses précos pour les environnements à risque c'est de n'avoir, en plus d'aucune mutualisation et bien entendu comme pour tous les autres serveurs pas d'accès à/depuis internet, aucun code non MS. C'est à dire que si tu utilises Cortex XDR / Crowdstrike >> pas sur ton DC, si le DC est virtualisé >> sur un host HyperV, etc.


Alors que je rencontre régulièrement des DC mutualisés avec tout et n'importe quoi : filer, IIS, PKI, SQL, voir l'appli métier de Robert le dev.
Je pense qu'ils s'agit plus des précos de Microsoft que de l'ANSSI. Ces derniers te conseillent plutôt de coller tes machines critiques en workgroup pour mieux les protéger :o

n°63423673
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 19:58:58  profilanswer
 

nebulios a écrit :


. Ces derniers te conseillent plutôt de coller tes machines critiques en workgroup pour mieux les protéger :o


Y'a des cas où ça fait sens. Genre ton infra de backup Veeam, ou ton vault de bastion d'admin cyberark.

Message cité 1 fois
Message édité par l0g4n le 07-07-2021 à 19:59:12

---------------
Fort et motivé. Sauf parfois.
n°63423678
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 19:59:33  profilanswer
 

3point14 a écrit :

Salut,
Je dois envoyer des données en sftp à 50 milliards de partenaires. :o
Sa vous choque d'imposer à l'ensemble des partenaires le même login / clef publique de connexion ?


Oui ?!?
Edit, j'ai lu avec le doigt. C'est toi qui envois.
Pas forcément, mais ça va rendre très chiant la rotation de la clé tous les X mois de ton côté. A tout les coups certains réagiront plus ou moins vite pour le changement, et tu va devoir gérer d'avoir les deux clés privées en même temps pour différents partenaires.

Message cité 1 fois
Message édité par l0g4n le 07-07-2021 à 20:04:35

---------------
Fort et motivé. Sauf parfois.
n°63423685
XaTriX
Posté le 07-07-2021 à 20:00:16  profilanswer
 


Triggered


---------------
[:dawa]
n°63423729
nebulios
Posté le 07-07-2021 à 20:05:22  profilanswer
 

l0g4n a écrit :


Y'a des cas où ça fait sens. Genre ton infra de backup Veeam, ou ton vault de bastion d'admin cyberark.


Je pense que c'est la pire idée qui soit pour plein de raisons pour le premier point. Diminuer significativement la sécurité d'une machines les plus critiques de l'infra, tout en y collant des comptes superadmins d'un domaine, j'ai du mal à y voir la logique.

n°63423824
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 20:13:57  profilanswer
 

nebulios a écrit :


Je pense que c'est la pire idée qui soit pour plein de raisons pour le premier point. Diminuer significativement la sécurité d'une machines les plus critiques de l'infra, tout en y collant des comptes superadmins d'un domaine, j'ai du mal à y voir la logique.


Qu'elle ne soit pas impactée quand ton domaine se fait ouvrir, ce qui arrive beaucoup.
Alors y'a des solutions plus élégantes hein, je dit pas le contraire. Cependant, elles sont pas tant diffusées que ça.
Du coup, par exemple chez Cyberark, le vault c'est aucune communication à part les autres composants Cyberark (et en option une cible pour les backups et 2/3 services, genre du ntp de mémoire), le firewall local verrouillé par l'application à son installation, les services locaux désactivés, pas d'application autre que le vault... Évidement pas d'accès distant, sauf depuis une IP configurée à l'installation pour une station d'admin dédiée (et que via le protocole de l'appli, pas en rdp).

 

Je vois pas en quoi tu diminue la sécurité de la machine dans ce scénario là.

 

Par contre, installer un windows serveur, le laisser en workgroup, installer une random appli et penser que c'est mieux, non, effectivement c'est être à côté de la plaque. Mais c'est pas de ça que je parle, donc je t'invite à consulter les doc de hardening veeam ou Cyberark pour qu'on parle de la même chose :jap:


---------------
Fort et motivé. Sauf parfois.
n°63424133
nebulios
Posté le 07-07-2021 à 20:51:09  profilanswer
 

On est d'accord, c'est très différent du scénario que je rencontre régulièrement (et de plus en plus): une machine Veeam en workgroup, avec un compte admin du domaine pour le AA, pas de renforcement, pas de gestion, pas d'audit. Et à côté de ça le domaine complètement à poil, sans aucune protection dont certaines sont dispos depuis des années : HVCI, Kerberos armoring, gMSA, audit, délégation, protection des partages SMB, SCT etc.

n°63424239
l0g4n
Expert en tout :o
Posté le 07-07-2021 à 21:00:01  profilanswer
 

Ah bah oui mais non, du coup on parle de deux scénarios complètement différent :D
Non, ce que tu décris, c'est juste un truc a l'arrache à côté d'un truc a l'arrache  :sweat: . Au final que ce soit dans le domaine ou pas, je suis pas sûr que ça change grand chose  :D


---------------
Fort et motivé. Sauf parfois.
n°63424381
nebulios
Posté le 07-07-2021 à 21:10:08  profilanswer
 

C'est encore plus facile en fait. Plus besoin d'escalader les comptes du domaine : brute force sur le mot de passe admin local de la machine (en NTLM), jackpot direct avec le compte admin du domaine...

n°63426789
Mysterieus​eX
Chieuse
Posté le 07-07-2021 à 23:47:19  profilanswer
 

Tu veux brute forcer quoi au juste ? Sachant que tu peux directement booter et éditer la ruche SAM "offline" pour squeezer les mots de passe locaux ?

n°63426863
Profil sup​primé
Posté le 07-07-2021 à 23:54:49  answer
 

MysterieuseX a écrit :

Tu veux brute forcer quoi au juste ? Sachant que tu peux directement booter et éditer la ruche SAM "offline" pour squeezer les mots de passe locaux ?

 

Pas si le disque est chiffré  :O

n°63427541
l0g4n
Expert en tout :o
Posté le 08-07-2021 à 08:33:10  profilanswer
 

MysterieuseX a écrit :

Tu veux brute forcer quoi au juste ? Sachant que tu peux directement booter et éditer la ruche SAM "offline" pour squeezer les mots de passe locaux ?


Ça c'est quand t'a un accès physique ou un dump de la vm. C'est quand même pas trop l'approche classique en ce moment :o


---------------
Fort et motivé. Sauf parfois.
n°63427554
Mysterieus​eX
Chieuse
Posté le 08-07-2021 à 08:36:08  profilanswer
 

On parle bien d'une faille client qui fait que sur un poste local, en ayant les droits admin locaux, on puisse faire une élévation sur l'admin local du DC.

n°63427982
l0g4n
Expert en tout :o
Posté le 08-07-2021 à 09:29:58  profilanswer
 

Euh, non. Tu as raté des postes. On parle de la conséquence d'avoir une machine en workstation hors domaine disposant des creds d'admin de domaine stockés quelque part pour une application X ou Y.


---------------
Fort et motivé. Sauf parfois.
n°63434125
Gauteng
Posté le 08-07-2021 à 20:09:55  profilanswer
 

l0g4n a écrit :

Attend, on t'a pas encore dit qu'il faut pas héberger sur le même hyperviseur des charges avec des besoins de sécu ou des expositions réseaux différentes.
En gros, sur un hyperviseur avec un DC, tu n'héberge que des vm tiers 0 administrées que par des personnes d'un niveau de confiance et de privilèges homogène.
Voir par exemple le guide d'administration sécurisée.


 
Genre les mecs qui dépensent trois francs six sous vont faire ça sur les "petits" sites où ils ont un seul hyperviseur. :o

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  5160  5161  5162  ..  5710  5711  5712  5713  5714  5715

Aller à :
Ajouter une réponse
 

Sujets relatifs
[AVIS/CONSEILS] Location de véhiculesconseils sur les combinés cafetières / expresso
Conseils pour achat combiné cafetière /expressoconseils pour visiter marseille
conseils pour logementDe quel instrument jouez-vous ? ainsi que quelques conseils !
[Topic Orléans] Bientôt la Kimouss 4000!Nouveau départ.. je tente ma chancer à paris.. besoin de conseils
Conseils, choix et avis de clim 
Plus de sujets relatifs à : Les informaticiens aigris : anecdotes et conseils


Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)