Reprise du message précédent :

 
Si ça "pause" effectivement, ya aucune difficulté ...  
 
Et on va peut-être pas relancer ici les échanges désagréables du topic des aigris, hein ?

+1

Autocorrection de smartphone
Non mais en vrai, les contraintes de l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) sur les SI (Systèmes d'information) liés à la LPM (Loi de Programmation Militaire), non seulement ça n'empêche pas de bosser si le SI est construit intelligemment et en tenant compte des contraintes opérationnelles métier comme d'administration/MCO (Maintien en Condition Opérationnelle)/MCS (Maintien en Condition de Sécurité), mais en plus c'est très light par rapport à ce qui peut se faire dans des situations qui demandent encore plus de sécu. Que je sache, c'est en gros : faites homologuer vos SI d'importance vitale, ayez un service de détection PDIS (Prestataire de Détection d'Incident de Sécurité) avec collecte par sonde et évènement, ayez un service PRIS (Prestataire de Réponse aux Incidents de Sécurité) si vous vous faites ouvrir, faites des audit PASSI (Prestataires d'audit de la sécurité des systèmes d'information) de temps en temps, utilisez des produits qualifiés quand ils existent et qu'ils répondent aux besoins, appliquez le guide d'hygiène*. C'est cher (ça, oui, c'est clair que c'est pas donné), mais y'a rien de vraiment impossible.

Un bon exemple, ce sont les SI Diffusion Restreinte. Globalement, à part II (Instruction interministérielle) 901, y'a pas d'obligation mais que des recommandations. Alors oui, ça demande un peu de taff, et un peu de formation des utilisateurs (surtout de sensibilisation en fait), mais quand tu regardes les recommandations, y'a rien d'infaisable : https://www.ssi.gouv.fr/uploads/202 [...] e-v1.0.pdf .

*Liste non exhaustive, j'suis pas expert en conformité réglementaire

Si tu as un lexique des acronymes aussi, ça en fait un paquet de nouveaux pour suivre ce que tu dis. LPM par exemple le premier truc qui me vient à l'esprit c'est Longest Prefix Match, une table sur un routeur Arista.

Done. J'ai pas fait pour PDF dans le lien, par contre

C'est quoi un smartphone ?

Thanks a bundle

 
Je n'ai aucune prétention de bien faire
 

 
Tu oublies la ségrégation une appli/un subnet, les firewalls devant de chaque subnets, les subnets d'admin par type de techno, le SAS pour échanger les données, les postes d'admin dédiés, et j'en oublie. Quand tu as 10/15 applis représentant 200 machines sur un parc de 40000, c'est super lourd quand on te parachute ça comme ça sans prévenir et que tu es déja en train de pousser fort sur d'autres sujets qui ont 10 ans de retard pour te faciliter la vie sur le reste
 
Enfin bref, on s'amuse bien avec ces débats mais au final, chacun fait ce qu'il veut/peut en fonction de plein critères et contraintes
 

 
ça marche encore dans des SI où les apps sont devs en interne, et poussées sur une prod.
 
ça me parait complètement irréaliste de vouloir poser ça dans un univers "moderne" où le modèle de licence des apps devient de plus en plus "offre on-premise finie, passez dans le cloud".

Dans les SI IV, les apps SaaS ça doit pas être monnaie courante
Et d'expérience, les éditeurs de SaaS, quand tu leurs dit "bonjour, raison de secu, je veux votre truc chez moi", en général ils répondent : "oui, on a une appliance on premise, elle est pas au catalogue officiel mais on veut vraiment travailler avec vous alors on va vous faire une offre"

plus de coeur coeur dans les messages merci

Et souvent ils s'arrangent pour que le pricing soit assez délirant pour intimider les décideurs...

J'ai pas eu le cas. Sur plusieurs produits. Mais je suppose que certains en abusent, évidemment. (Et puis les coûts pour une société qui fait du SaaS de se mettre a devoir supporter des déploiements sur x hyperviseurs, y configuration réseaux et z annuaires... Ça doit pas être zéro non plus).

 
comment on arrive de "se connecter en root sur son serveur" à "sécurité des SI habilité secret défense / confidentiel otan / ... sur x hyperviseurs/ y réseaux / z annuaires" ??
il y a un certain gap.

Sinon ya le bastion d"OVH.

Les sources sont dispos sur Github

Personne n'a jamais parlé de SD. A priori, c'est une donnée qui est SD, pas un SI
Mais perso, ce genre de SI, c'est ma vie d'admin système

Ça existe les recommandations de l'ANSSI en version américaine, anglaise, voire israélienne ? Ce serait intéressant de comparer, voir s'ils recommandent un peu les mêmes pratiques, ou si ça diffère sensiblement suivant les cas Toujours intéressant d'avoir plusieurs opinions sur une même problématique.

PS : j'ai pris ces pays en exemple car ils ont une réputation en terme de sécurité, espionnage, pentest & IT, mais ça marche avec tous les pays of course

Pour les us, tu as la DISA et le NIST qui sont très actif. Il y a aussi l'agence Allemande (dont j'oublie toujours le nom). Les autres sont pas trop prolifiques en public

Et chaque pays va pousser le matos des marques de son pays. C'est pour ça que nous on se tape du bon matos de merde qualifié parce que c'est français et encore, uniquement avec les firmware d'il y a 2 ans  

Ouai, ça, c'est chiant par contre

Cf. St0rmshit ?

par exemple ouais

Ou d'autre. Après, y'a toujours moyen de contourner si t'a des réels besoins opérationnels et que tu as un process pour traiter ces exceptions.

Pour le sujet ssh, chez nous c'est clef ssh nominative poussée sur les serveurs via chef + renouvellement tous les 3 mois sinon elle dégage des serveurs.

Après sudo pour lancer des commandes Root si besoin.

 
On travail pour la même chose  .
 
Faire la france grande encore  

Bonjour les enfants,

J'essaie de faire un petit trick sous PFSense avec son service DHCP pour un de mes clients mais je bloque complet même si je me doute de l'origine du problème. Si jamais l'un de vous l'a déjà expérimenté je suis preneur d'une piste.

C'est un truc tout con, ça m'emmerde d'être bloqué sur ça.

Merci

ssshhhhhhh faut pas dire

Regarde de ce côté : https://github.com/ndejong/pfsense_fauxapi
 
En gros, ça te permet de lire/modifier le config.xml de pfSense à travers une API REST.

 
C'est plus propre mais ça ne complète pas ce que j'avais initialement en place. Je le garde de côté si je ne trouve aucune autre solution et pour les futures modifs sur d'autres infras pourvues de PFS, merci

J'ai l'impression que tu dois plutôt modifier /conf/config.xml, pour virer les "<staticmap>[...]</staticmap>"
 
Par contre, faut pas se louper dans ton sed

Ce serait un peu dommage d'avoir un fichier formaté dans un langage fait pour être facilement interpreté par une machine, et de le lire comme une bête chaîne de caractères.

Oui...quand c'est dispo je fais tout par API REST, avec Ansible c'est vraiment "simple" : FireEye, SMAX, Dynatrace, Secret Server, l'IPAM d'Efficient IP, etc.

non mais même modifier un xml ça se fait très bien, mais juste utiliser un outil fait pour ça

C'est exactement ce que je dois faire, avec la suppression du fichier /tmp/config.cache avant de relancer le service DHCP. Ta première remarque m'a bien aiguillé

Je suis bien d'accord, je suis en train de me mettre à niveau sur l'exploitation du XML pour trouver et exploiter l'outil adéquat dispo sous PFSense, SED et AWK me paraissent barbares. Le python est pratique pour ce genre d'opération ?

Je n'ai jamais eu à jouer sur du fichier XML jusque là, ce SI étant un peu (beaucoup) archaïque. C'est l'occaz de monter en compétence, joie.

Autant vous dire que je suis un Ovni quand je parle d'IaC

python avec lxml par exemple oui. Y'a une petite courbe d'apprentissage par rappord à du grep/sed basique mais c'est intéressant (et réutilisable plus tard sûrement).

La vidéo d'un live à la base (donc un peu longue) mais il te démontre pourquoi sudo c'est mal
https://www.youtube.com/watch?v=lZ4 [...] eCasalegno

Je veux bien une liste des arguments.
Et ensuite, je veux bien savoir :
- Comment tu autorises à lancer uniquement certaines commandes mais avec les droits root à un utilisateur donné ?
- Comment tu traces les actions de chaque utilisateur, en étant capable de les distinguer ?
- Comment utilises des outils d'automation, tu file le root à ton Ansible ?
- Comment tu gères le changement du mot de passe de root ?
- Comment tu distribus les creds ?

Sudo, c'est bien. Et avant qu'une random vidéo Youtube avec à peine 2000 vues me fasse changer d'avis face à (au pif) : l'ANSSI (https://www.ssi.gouv.fr/uploads/2016/01/linux_configuration-fr-v1.2.pdf), la DISA,  le NIST, et à peu près tous les gens dont la sécu c'est le métier, bon
Sur ton windows, tu désactive l'UAC et tu lances des sessions administrateur de domaine aussi ?

Son exemple concerne un desktop et pas un serveur (sans GUI donc).
Ici, on parle d'admin sys, donc de serveurs, cela n'a rien à voir.
Je n'ai même pas besoin d'aborder le sujet de ses arguments.

Renseigne toi sur la personne qui a fait la vidéo ... tu verras que lui aussi s'y connait plutôt bien en sécurité informatique  
Pour le reste, tu peux lui demander directement sur Youtube, cela sera surement plus simple.

Mais tu fais/penses ce que tu veux mon grand
N'oublie pas que derrière tes serveurs, il y a aussi des utilisateurs

Nan mais j'vais pas me farder 3h de monologue d'un random inconnu qui va à contre courant de tout ce qui est considéré comme une référence dans le domaine
Tout le monde "fait de la sécu", ça les empêche pas de raconter des conneries.
Et enfin, comparer un poste de travail et un serveur, bof.

"mon grand"
 
   

Ce n'est pas parce qu'il est inconnu pour toi, qu'il l'est pour tout le monde ...