Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2183 connectés 

 



Vot' poste actuel
Sondage à 2 choix possibles.




Attention si vous cliquez sur "voir les résultats" vous ne pourrez plus voter

 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  109  110  111  112  113  114
Auteur Sujet :

• Administrateur Systèmes linux/unix & Réseaux •

n°171374
l0g4n
Proxmox&Beer
Posté le 02-10-2020 à 19:11:37  profilanswer
 

Reprise du message précédent :
Un seul device. Et une seule VM dessus. Limite la virtu sert a rien (mais en fait si pour des raisons très spécifiques).
J'suis dans une branche où 80+To de stockage sur un serveur, c'est normal :D


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
mood
Publicité
Posté le 02-10-2020 à 19:11:37  profilanswer
 

n°171375
XaTriX
Maitre blabla
Posté le 02-10-2020 à 22:09:17  profilanswer
 

En même temps 80To c'est pas extraordinaire et 8To c'est limite ridicule :o


---------------
☢️ Now we are all sons of bitches ☣️ • OK Dîmer • "Xat le punk à chien facho raciste. C'est complexe comme personnage." caudacien 05/10/2020
n°171376
l0g4n
Proxmox&Beer
Posté le 02-10-2020 à 22:12:03  profilanswer
 

Ça dépend. Avec 8 dac et en prenant 16U au total, ouai.
Dans 2U, ça commence à être pas mal. Surtout avec du compute et pas un Xeon D :D
Dans 1U en full flash, ça doit être sexy :D


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
n°171377
privacy
Posté le 02-10-2020 à 22:23:23  profilanswer
 

l0g4n a écrit :

Un seul device. Et une seule VM dessus. Limite la virtu sert a rien (mais en fait si pour des raisons très spécifiques).
J'suis dans une branche où 80+To de stockage sur un serveur, c'est normal :D

 

Juste pour faire des snapshots  :O

n°171379
Fredouye
Shivers !
Posté le 03-10-2020 à 15:44:19  profilanswer
 

Y'en a qui jouent avec des pure storage (fa) et ansible/api rest ?


---------------
Le dernier arrivé est fan de Phil Collins
n°171380
iloveandro​id
Posté le 03-10-2020 à 19:58:31  profilanswer
 

Drapal  :bounce:

n°171456
iv4ndi
Posté le 11-10-2020 à 17:39:41  profilanswer
 
n°171457
Plam
:o
Posté le 11-10-2020 à 18:21:40  profilanswer
 


 
Are you happy with the customer service?  [:arantheus]


---------------
Ossifié, comme fusionné dans son cockpit
n°171458
DrDooM
Posté le 11-10-2020 à 19:11:58  profilanswer
 

Plam a écrit :

Are you happy with the customer service?  [:arantheus]


"He said he doesn't care!"


---------------
Désigné membre du camp du mal par sylphide pinklady :pt1cable:
n°171459
XaTriX
Maitre blabla
Posté le 11-10-2020 à 19:43:19  profilanswer
 


Ca va faire du boulot pour Plam  [:calimefrog:5]


---------------
☢️ Now we are all sons of bitches ☣️ • OK Dîmer • "Xat le punk à chien facho raciste. C'est complexe comme personnage." caudacien 05/10/2020
mood
Publicité
Posté le 11-10-2020 à 19:43:19  profilanswer
 

n°171598
gremi
Vieux con des neiges d'antan
Posté le 27-10-2020 à 16:00:38  profilanswer
 

https://fr.aliexpress.com/item/4000 [...] 724dsLv2So
 
Tout le monde a son masque ? :o
http://hachefere.ovh/Sysadmin-d-veloppeurs-h-ros-Non-jetable-masque-facial-anti-poussi-re-masque-de-Protection-respirateur.jpg_Q90.jpg


---------------
In aligot we trust.
n°171599
Plam
:o
Posté le 27-10-2020 à 16:04:44  profilanswer
 

Niiiice :love:


---------------
Ossifié, comme fusionné dans son cockpit
n°171600
li1ju
ho putain, ça tourne !
Posté le 27-10-2020 à 16:37:07  profilanswer
 

3.12€ le masque, + 2,49€  de frais de port..
 [:deejayboulette:1]

n°171601
XaTriX
Maitre blabla
Posté le 27-10-2020 à 18:53:33  profilanswer
 

Il est moche et si vous portez un masque c'est que vous avez fait un mauvais choix :o


---------------
☢️ Now we are all sons of bitches ☣️ • OK Dîmer • "Xat le punk à chien facho raciste. C'est complexe comme personnage." caudacien 05/10/2020
n°171602
Shadow aok
Moitié de demi en 3/4 d'entier
Posté le 27-10-2020 à 19:13:04  profilanswer
 

XaTriX a écrit :

Il est moche et si vous portez un masque c'est que vous avez fait un mauvais choix :o


 
C'est sûr qu'en ne faisant rien de ses journées, c'est difficile d'être le héros de quelqu'un au taff :o

n°171603
XaTriX
Maitre blabla
Posté le 27-10-2020 à 20:42:49  profilanswer
 

Je suis très actif :o


---------------
☢️ Now we are all sons of bitches ☣️ • OK Dîmer • "Xat le punk à chien facho raciste. C'est complexe comme personnage." caudacien 05/10/2020
n°171604
dd_pak
Posté le 27-10-2020 à 20:43:20  profilanswer
 

Shadow aok a écrit :


 
C'est sûr qu'en ne faisant rien de ses journées, c'est difficile d'être le héros de quelqu'un au taff :o


 
C’est le héros de la hype  [:fanou]

n°171605
ttyb0
sysadmin, libriste, hacker
Posté le 27-10-2020 à 22:18:20  profilanswer
 
n°171731
darxmurf
meow
Posté le 06-11-2020 à 07:22:26  profilanswer
 

M'sieurs d'ames [:prodigy] je déterre un vieux truc mais on discutait de la meilleure façon de se connecter en tant que root sur un serveur.
 
Vous êtes plutôt root@server via clé ssh ou user@server puis sudo ... ?


---------------
My makes - flickr - galerie HFR
n°171732
l0g4n
Proxmox&Beer
Posté le 06-11-2020 à 07:23:30  profilanswer
 

Jamais root.
Et sudo que si nécessaire.


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
n°171733
the_fireba​ll
I must fight this sickness
Posté le 06-11-2020 à 08:34:24  profilanswer
 

darxmurf a écrit :

M'sieurs d'ames [:prodigy] je déterre un vieux truc mais on discutait de la meilleure façon de se connecter en tant que root sur un serveur.

 

Vous êtes plutôt root@server via clé ssh ou user@server puis sudo ... ?

 

root@serveur avec clé ssh depuis des bastions

 

Ca nous évite de taper sudo devant chaque commandes ou de faire un sudo su - des qu'on est saoulé du sudo

 

Après ça dépend aussi des outils/scripts/playbooks don't on dispose pour se facilité la vie

 


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°171734
darxmurf
meow
Posté le 06-11-2020 à 09:00:42  profilanswer
 

l0g4n a écrit :

Jamais root.
Et sudo que si nécessaire.


 
Mais quand je me connecte sur un serveur c'est dans tous les cas pour faire des manip root [:paysan]
 

the_fireball a écrit :


 
root@serveur avec clé ssh depuis des bastions
 
Ca nous évite de taper sudo devant chaque commandes ou de faire un sudo su - des qu'on est saoulé du sudo
 
Après ça dépend aussi des outils/scripts/playbooks don't on dispose pour se facilité la vie
 


 
C'est ce que je fais aussi, SSH root depuis ma machine. Très rarement depuis une autre.


---------------
My makes - flickr - galerie HFR
n°171735
libussa
Posté le 06-11-2020 à 10:15:32  profilanswer
 

darxmurf a écrit :

M'sieurs d'ames [:prodigy] je déterre un vieux truc mais on discutait de la meilleure façon de se connecter en tant que root sur un serveur.
 
Vous êtes plutôt root@server via clé ssh ou user@server puis sudo ... ?


 

the_fireball a écrit :


 
root@serveur avec clé ssh depuis des bastions
 
Ca nous évite de taper sudo devant chaque commandes ou de faire un sudo su - des qu'on est saoulé du sudo
 
Après ça dépend aussi des outils/scripts/playbooks don't on dispose pour se facilité la vie
 


 
plusieurs avantage à ne pas se connecter en root direct ;

  • principe du least privilege ; valable surtout pour les plus grosses équipes, mais si un jour vous avez besoin qu'une personne puisse faire certaines actions seulement, si sudo est en place c'est plus facile
  • ça rajoute une forme de 2fa ; il faut avoir une chose (clé ssh, certificat), et savoir une chose (le pwd user pour sudo). Même si avoir du vrai 2fa pour se connecter au serveur/bastion c'est encore mieux :o
  • dans une équipe, un gros intérêt c'est de pouvoir faire de l'audit. Si tout le monde se connecte en root, impossible de savoir qui a fait quoi et quand.
  • gestion des clés simplifiées ; ça évite de devoir enlever et remettre des clés à la mains ( :sweat: ) voire de parser l'authorized_keys de root ( :sweat: ). On peut avoir plusieurs fichiers authorized_keys, mais chaque modif de liste suppose alors de toucher à la conf sshd. Ce point peut être limiter si on utilise de la gestion de config (ce que tout le monde fait j'espère :o)

n°171736
Scrypt
Perplexe.
Posté le 06-11-2020 à 10:52:33  profilanswer
 

on se connecte plus aux machines :o


---------------
La justice sans la force est impuissante, la force sans la justice est tyrannique. Pascal
n°171737
Plam
:o
Posté le 06-11-2020 à 11:05:29  profilanswer
 

Ici c'est, autant que possible, SSH avec user (traçabilité) et sudo/password LDAP ou clef SSH, et à travers un VPN Wireguard (chaque VM a une patte dans le réseau « privé », et uniquement nécessaire une IP publique si besoin dans un autre réseau public). Aucun SSH n'écoute sur une IP publique, sauf une machine de rebond en cas de VPN down (et qu'avec une clef SSH, pas de root).

 

Ça permet d'avoir à la fois de la souplesse et en même temps de pas sacrifier à la sécu :jap:


Message édité par Plam le 06-11-2020 à 11:06:02

---------------
Ossifié, comme fusionné dans son cockpit
n°171738
iv4ndi
Posté le 06-11-2020 à 12:02:45  profilanswer
 

Tiens chez nous on va déployer de L'IAM avec OneIdentity.

 

Je ferais un retour.

Message cité 1 fois
Message édité par iv4ndi le 06-11-2020 à 12:03:14
n°171739
Mysterieus​eX
Chieuse
Posté le 06-11-2020 à 12:22:18  profilanswer
 

D'autres groupes que root ou sudoers existent, et d'autant plus manageable avec des cgroups pour isoler les systèmes qui ont besoin d'accès spécifiques.
Wheel (sans polkit/systemd) permet de faire toute l'admin soft, sudoers (sans polkit/systemd) permet de faire l'admin soft + 90% du hard. Faut vraiment en avoir besoin pour devoir faire du root (changement de kernel, modif des uid/partitions/mount système), et ce, dans le cadre du bare. Sinon, c'est isolation et démerde toi dans ton périmètre.

n°171740
gagaches
Posté le 06-11-2020 à 13:54:36  profilanswer
 

iv4ndi a écrit :

Tiens chez nous on va déployer de L'IAM avec OneIdentity.
 
Je ferais un retour.


 
 :hello: je veux bien effectivement.
 
Tu as des infos sur le choix du produit vs un Okta ou autre ?
(moi, c'est ça que je recherche typiquement: okta vs OneIdentity vs un outil non saas type IdentityServer)


---------------
Vous savez c'que c'est, mon problème ? Trop gentil.… >>Mon topic de vente<<
n°171742
iv4ndi
Posté le 06-11-2020 à 14:03:20  profilanswer
 

gagaches a écrit :

 

:hello: je veux bien effectivement.

 

Tu as des infos sur le choix du produit vs un Okta ou autre ?
(moi, c'est ça que je recherche typiquement: okta vs OneIdentity vs un outil non saas type IdentityServer)


Ah bah c'est des appliances physiques chez nous

n°171746
privacy
Posté le 06-11-2020 à 20:41:58  profilanswer
 

En lisant cette page, on se demande pourquoi la majorité des distributions bloque par défaut l'accès ssh pour le compte root  :O

n°171748
the_fireba​ll
I must fight this sickness
Posté le 06-11-2020 à 23:35:52  profilanswer
 

privacy a écrit :

En lisant cette page, on se demande pourquoi la majorité des distributions bloque par défaut l'accès ssh pour le compte root :O

 

Pour faire chier ceux qui bossent sûrement

 

Je trouve moins hypocrite de se connecter en root directement et de l'assumer que de se connecter avec un user et taper sudo su - en guise de premiere commande (déjà vu des centaines de fois)

 

Suivant ce qu'on a à faire, ajouter sudo à chaque fois c'est penible. Il y a sûrement des alternatives, mais comme partout, il faut du temps pour changer les gens et l'entreprise.

 

Dans un monde parfait, Puppet/ansible/autre et on ne se connecte plus sur les serveurs pour les taches de bases, et seulement pour régler des problèmes


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°171749
Shadow aok
Moitié de demi en 3/4 d'entier
Posté le 07-11-2020 à 00:03:01  profilanswer
 

root direct (via clé ssh commune) pour le n3 unix dans mon ancien boulot et accès via compte d'équipe pour tout le reste (on avait aussi cette méthode) avec sudo selon les droits.

 

Mais tout était loggué, donc on pouvait savoir qui avait fait quoi, même pour notre équipe.

Message cité 1 fois
Message édité par Shadow aok le 07-11-2020 à 00:03:23
n°171750
libussa
Posté le 07-11-2020 à 00:12:08  profilanswer
 


the_fireball a écrit :


 
Pour faire chier ceux qui bossent sûrement
 
Je trouve moins hypocrite de se connecter en root directement et de l'assumer que de se connecter avec un user et taper sudo su - en guise de premiere commande (déjà vu des centaines de fois)
 
Suivant ce qu'on a à faire, ajouter sudo à chaque fois c'est penible. Il y a sûrement des alternatives, mais comme partout, il faut du temps pour changer les gens et l'entreprise.
 
Dans un monde parfait, Puppet/ansible/autre et on ne se connecte plus sur les serveurs pour les taches de bases, et seulement pour régler des problèmes


 
faire chier ceux qui bossent, ce qu'il faut pas lire  :sarcastic:  
 
allez je remets ici quelques unes des raisons  

libussa a écrit :


plusieurs avantage à ne pas se connecter en root direct ;

  • principe du least privilege ; valable surtout pour les plus grosses équipes, mais si un jour vous avez besoin qu'une personne puisse faire certaines actions seulement, si sudo est en place c'est plus facile
  • ça rajoute une forme de 2fa ; il faut avoir une chose (clé ssh, certificat), et savoir une chose (le pwd user pour sudo). Même si avoir du vrai 2fa pour se connecter au serveur/bastion c'est encore mieux :o
  • dans une équipe, un gros intérêt c'est de pouvoir faire de l'audit. Si tout le monde se connecte en root, impossible de savoir qui a fait quoi et quand.
  • gestion des clés simplifiées ; ça évite de devoir enlever et remettre des clés à la mains ( :sweat: ) voire de parser l'authorized_keys de root ( :sweat: ). On peut avoir plusieurs fichiers authorized_keys, mais chaque modif de liste suppose alors de toucher à la conf sshd. Ce point peut être limiter si on utilise de la gestion de config (ce que tout le monde fait j'espère :o)


et pour info, tu peux toujours logger/auditer meme après un sudo su - (d'ailleurs ya que moi qui utilise sudo -i plutôt :o ?)
 

Shadow aok a écrit :

root direct (via clé ssh commune) pour le n3 unix dans mon ancien boulot et accès via compte d'équipe pour tout le reste (on avait aussi cette méthode) avec sudo selon les droits.
 
Mais tout était loggué, donc on pouvait savoir qui avait fait quoi, même pour notre équipe.


 
comment tu audites si il n'y a qu'un seul compte avec une seule clé ?  :??:  
 
 
En passant je remets ça là, ça devrait être une lecture obligatoire :o https://www.ssi.gouv.fr/uploads/201 [...] r-v1.2.pdf

n°171751
l0g4n
Proxmox&Beer
Posté le 07-11-2020 à 08:32:47  profilanswer
 

the_fireball a écrit :

 

Pour faire chier ceux qui bossent sûrement

 

Je trouve moins hypocrite de se connecter en root directement et de l'assumer que de se connecter avec un user et taper sudo su - en guise de premiere commande (déjà vu des centaines de fois)
 


Sauf que même comme ça, tu peux tracer qui est passé en Root et quelles commandes il a tapé en Root. C'est pas le cas si tu te connecte direct en root. Et je parle même pas de révocation des accès.
Perso je suis plus sudo -s sinon :o


---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
n°171752
ttyb0
sysadmin, libriste, hacker
Posté le 07-11-2020 à 09:24:15  profilanswer
 

root avec clé ssh personnel pour l’équipe système (petite équipe)
user interactif commun par mdp ou clé ssh personnel pour le reste (en fonction de l’historique du service, clé ssh par défaut maintenant)
gestion des clés ssh avec ansible
 
On a de la sécurité mais niveau log c’est pas fou à part la clé ssh utilisée. Au moins j’arrive à faire évoluer tout ça dans le bon sens.
 
Jo dois revoir énormément nos process pour passer à du compte nominatif…  [:poooop]


---------------
[Ventes]
n°171753
the_fireba​ll
I must fight this sickness
Posté le 07-11-2020 à 09:43:06  profilanswer
 

libussa a écrit :

 

faire chier ceux qui bossent, ce qu'il faut pas lire :sarcastic:

 

allez je remets ici quelques unes des raisons

 

C'est ton point de vue, et comme le trou du cul, tout le monde en a un, et ils sont tous égaux

 
libussa a écrit :

 

et pour info, tu peux toujours logger/auditer meme après un sudo su - (d'ailleurs ya que moi qui utilise sudo -i plutôt :o ?)

 


 
libussa a écrit :

 

comment tu audites si il n'y a qu'un seul compte avec une seule clé ? :??:

 


En passant je remets ça là, ça devrait être une lecture obligatoire :o https://www.ssi.gouv.fr/uploads/201 [...] r-v1.2.pdf

 

Ici tout est enregistré par CyberArk et on passe par son PSMP donc aucun problème de traçabilité

 

Je me suis déjà tapé la propagande de l'anssi pour la LPM et c'est beau la théorie. Mais en pratique pour de la prod critique où la réactivité est importante, c'est inadapté.

 

C'est l'éternel discussion entre les admins/users et les personnes en charge de la sécurité.

 

Un serveur rend un service et si c'est trop compliqué/long pour le maintenir en état de rendre ce service à cause de la sécurité, il y a un problème quelque part

 

Bref c'est un débat sans fin root ou pas root, chacun à sa vision, ses contraintes, ses habitudes, etc

 

Mais ça anime des topics sur internet


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°171754
the_fireba​ll
I must fight this sickness
Posté le 07-11-2020 à 09:44:07  profilanswer
 

l0g4n a écrit :


Sauf que même comme ça, tu peux tracer qui est passé en Root et quelles commandes il a tapé en Root. C'est pas le cas si tu te connecte direct en root. Et je parle même pas de révocation des accès.
Perso je suis plus sudo -s sinon :o

 

Centrify, CyberArk et sailpoint ici pour tout ça


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°171755
Shadow aok
Moitié de demi en 3/4 d'entier
Posté le 07-11-2020 à 10:12:52  profilanswer
 


libussa a écrit :

 

comment tu audites si il n'y a qu'un seul compte avec une seule clé ? :??:

 

Parce que pour le n3 Unix, tu faisais bastion-> serveur du n3 Unix-> accès root direct à tout le parc, donc tu es bien connecté sur le bastion avec ton compte et ta clé perso, ce qui permet de savoir qui fait quoi, vu que l'audit commence au niveau du bastion.

n°171756
Shadow aok
Moitié de demi en 3/4 d'entier
Posté le 07-11-2020 à 10:13:32  profilanswer
 

the_fireball a écrit :

 

Centrify, CyberArk et sailpoint ici pour tout ça


 C'est une belle merde cyberark.
Maintenant, j'ai wallix, c'est pas mal.

n°171757
l0g4n
Proxmox&Beer
Posté le 07-11-2020 à 11:48:17  profilanswer
 

the_fireball a écrit :


Je me suis déjà tapé la propagande de l'anssi pour la LPM et c'est beau la théorie. Mais en pratique pour de la prod critique où la réactivité est importante, c'est inadapté.
 


Ou alors c'est que tu sais pas faire.
Parceque chez moi, ça pause pose a peu près aucune difficulté :D

Message cité 2 fois
Message édité par l0g4n le 07-11-2020 à 12:25:27

---------------
Le mieux n'est pas de savoir, c'est que les autres pensent que tu saches, après tu peux enfin apprendre !
n°171758
gagaches
Posté le 07-11-2020 à 12:19:26  profilanswer
 

l0g4n a écrit :


Ou alors c'est que tu sais pas faire.
Parceque chez moi, ça pause a peu près aucune difficulté :D


 
Si ça "pause" effectivement, ya aucune difficulté ... :o  
 
Et on va peut-être pas relancer ici les échanges désagréables du topic des aigris, hein ?


---------------
Vous savez c'que c'est, mon problème ? Trop gentil.… >>Mon topic de vente<<
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  109  110  111  112  113  114

Aller à :
Ajouter une réponse
 

Sujets relatifs
Quel adresse pour routeur cisco? 2 réseaux différents2 Livebox ( 2 reseaux) pour 1 imprimante
HPE IMC Monitoring Linux distrib2 cartes réseaux sur 1 PC connecté à 2 accès
Serveur Squid pour 5 réseaux (5 modems)Limitation droits utilisateurs AD/Linux
Logiciel opensource schémas réseauxMigrer bases SQL de xampp Windows vers serveur Linux
[Reseaux d'entreprise] Obtenir la WIFI pour utiliser tablettesdeux reseaux wifi avec une livebox
Plus de sujets relatifs à : • Administrateur Systèmes linux/unix & Réseaux •


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR