Reprise du message précédent :

Que dalle, ou du moins pas à ma connaissance... La plateforme est même pas encore utilisée, j'ai repris le bébé en cours

 
Tu es bon pour recommencer ! je mettrais du backup avant les verrous si j'étais à ta place. Et une mise en prod quand ça sera rodé.

Putain cette loose.  
Et on peut accéder à la partoche VMFS de mon disque actuel à partir d'une install fraiche de ESXi?
Si c'est ça je me fais pas chier, jeudi je réinstalle direk. C'est pas comme si yavait de la conf de l'espace dessus.

Ton disque n'est pas chiffré mais tu bloques le port console ?  

Au delà de ça, tu bloques les accès consoles mais t'a pas d'annuaire de branché, qu'un seul compte local, ...
Sinon, t'es sur qu'esx a pas fait une partition pour lui et un datastore en s'installant ?!

Je dirai même plus, bloquer les users mais autoriser l'admin ... Via GUI. Quand tu sais qu'au log, suivant les confs les mdp circulent en clair, j'aurai plutôt tendance à faire l'inverse, voir interdire les GUI web et n'autoriser que le SSH via port knocking et une fois le SSH monté, tu fait un tunnel pour accéder au GUI web, sur lequel tu te log en user et élévation de privilège quand nécessaire => ton root/admin ne circule jamais sur le résal, encore moins sur un résal externe, et ça circule, il est jailé/tunnelisé/chiffré. De même pour faire des stats, ou du prealloc, pas besoin d'avoir un compte avec les droits admins.
En fait, je vois même pas l'utilité de bloquer SSH, qui sert pour d'autres trucs (tunnels vers le filler en mode chiffré ?), mais le blocage des consoles pour tout les users administratifs (su/sudo est ton amis). Comme il fait, c'est quand même loin des best practice surtout concernant les SPOF.
 
HTTPS over SSH, c'est quand même la base pour protéger un admin/root.  

Ouai fin sur un HV vmware, le ssh, c'est pas vraiment dans les bonnes pratiques.
Réseau d'admin dédié + bastion avec MFA et creds tournants ftw

Tunneling/VPN pour avoir du dédié, sans capacité de faire du vlan, sans capacité de séparation physique, ça reste la base. Et ton tunneling, tu le fais pas avec apache.
 
Bastion/MFA, quoi que t'en dise, c'est du SSL/SSH tunnel qui tourne dessous (empaqueté avec une jolie interface et une gestion token clickodrome), je te fait du captif équivalent sans problèmes avec une interface PFsense, une gestion des clés RSA, AES, wahtever fournisseur de certifs (comodo, CAcert, LE ou autre) et te link ça sur ton tel portable pour ton MFA avec une main dans le dos.
 
Si tu sais pas se qui tourne en dessous, utiliser des outils ça sert pas à grand chose. Faut commencer par apprendre à utiliser la base avant d'utiliser un clickodrome/prendre des raccourcis, parce qu'on a quand même l'exemple typique là de connaissances qui se perdent en passant d'admin' à je sais pas quoi en fait.
 
Edit : et remettre en question SSH, c'est un peu remettre en question la brique de base de tout système sécurisé : secure sock, vlan et autre sont basés sur des tunnels securisés (SSH, L2TP, PPTP, SSTP, t'as fait le tour des proto transport utilisable hormis séparation physique)
Edit2 : en fait tu confond transport et auth.

J'ai pas compris le dernier point : vlan basé sur des tunnels sécurisés

vlan c'est un tag 802.1q ajouté au niveau de la couche 2 OSI, on est loin en-dessous des tunnels qui s'appuient sur IP, donc au-dessus de la couche 3

Une info pour comprendre mieux ?

Je ne suis pas là pour discuter les requirements de sécurité, je fais ce qu'on me demande  
Et oui, je pense qu'il y a une partoche séparée pour le Datastore, mais vu que j'ai aucune sauvegarde, je vais pas faire le chaud et je vais réinstall sur un AUTRE disque et après importer les VMs.

Mais bordel pourquoi c'est aussi compliqué de télécharger un truc gratuit chez VMWare...  
Ce matin j'ai juste voulu prendre ESXi 6.5, j'ai tenté avec mon compte existant, ça me dit "ah mais vous êtes pas enregistrés pour ça", quand je clique ça veut pas... Pfouuu..

vmware.fr != vmware.com, je me suis déjà pris la tête avec ça

Là c'était chez vmware.com, mais ce matin ils étaient en maintenance en plus, et moi qui voulais juste récupérer l'iso de esxi avant d'aller au taf (on a une telle connexion moisie que je DL les isos chez moi ), du coup j'ai perdu une demi heure à essayer de faire cette opération le matin à 6h du mat

 
ça sent les exigences de la DG@ ça  
Un conseil, t'étales pas trop sur le net en disant pour qui tu bosses,on sait jamais  

Yes tu as raison, je vais modifier mes posts.

Sinon, autre souci: après avoir réinstallé VMware, j'ai pu récupérer mes VMs, tout est au poil.
Sauf qu'une des VMs avait un disque brut attaché, et VMware refuse catégoriquement de m'attacher ce disque même si je pète la table des partitions...
Vous auriez des avis là dessus?

EDIT: c'est bon, j'ai remis le disque originel sur lequel j'ai juste réinstallé ESXI, la VM a repris les bon paramètres et j'ai tout récup.

Question VMWare once again:
 
J'aimerais faire un backup de mes VM. Je n'ai que le client web, ou le Cli au besoin.
Si je fais un clic droit, j'ai "exporter en OVF", mais j'ai pas l'impression que ça compresse des masses..
Et dans le cas de ma VM avec le disque brut, j'aimerais ne prendre que le disque système. Possible, ou je vais devoir passer par un clonezilla?

Regarde GhettoVCB pour les backups sur esxi.

cockpit ça fonctionne bien? ça permet de gérer plusieurs machine (donc je l'installe sur un server, et j'en gère d'autres?) ou il faut l'installer sur chaque machine?  
Je pense qu'on doit l'installer sur chaque machine mais qu'on peut y acceder via une interface.
 
En fait j'ai en projet de remplacer mes derier server windows par du linux
Il m'en reste deux, un pour veeam ( je suis assez décu de l'agent linux qui ne permet pas de faire des recovery depuis le veeam B&R mais que depuis la vm en elle même), et l'autre comme managment server et accès rdp (derrière custom port et authentification double avec password + duo).
 
Donc je compte me faire une vm ubuntu desktop avec mes outils habituels, mes raccourcis (vers les différentes webui telles que ubinif controller, librenms, phpmyadmin, liste d'accès ssh,...) et voir pour trouver une autre solution de backup avec entre autre dump db  (peut etre repasser sur celle de proxmox, je dois encore étudier cette question)
 
 

J'y ai pensé aussi, mais le script n'a visiblement pas été mis à jour récemment, dernière maj en 2013.. J'ai peur que ça foire.

ça marche très bien, même si il est vieux

Bon ben alors je vais le mettre sur mon ESX. Parce que passer par de client web pour exporter les OVF, c'est moyennement pratique
On peut l'utiliser en oneshot, avec le montage d'un HDD externe? Je me souviens plus, à l'époque où j'en ai eu besoin j'avais un serveur NFS pour stocker les backups.

oui.
 
ça change rien au final, puisque tous les points de montage, que ce soit disque locaux, NFS ou USB finissent tous dans /vmfs/volumes/

ECMP OSPF ou BGP (routing sur l'hôte (hyperviseur)) ?
Sachant que derrière je remonte sur le backbone via OSPF

Je demande car bgp unnumbered est uber simple à config sur du cumulus

On commence à se mettre bien pour le 10GbE : https://fr.aliexpress.com/item/MNPA [...] 02581.html

C'est les prix sur eBay US depuis des années

Oui mais pour les US ou tu parles avec les FDP (+taxes?) pour l'import en FR ?

En théorie sans, mais faut pister les bons plans (eBay, servethehome, Reddit, ...). Perso j'ai topés mes cartes HP (2 dual port et 2 mono port) pour ~120€ sur HFR

Ouais j'ai déjà spot facilement du dual sfp+ pour 50-60€ sur du amazon uk
La c'est 34€ avec DAC 3m (le lien aliexpress).
Pour le mec qui a une FB Delta sur X-EPON tu rajoutes une trentaines d'euroboules et tu as 8gbps sur ton pécé (ce qui est fort utile )

C'est dommage qu'on ne puisse pas choisir comme dans les app slack/mattermost d'afficher les teams slack dans un dock latéral. Du coup ça fait pas mal d'onglets qui traînent en plus dès qu'on a plusieurs solutions :
La par exemple j'ai 4 teams, et 2 trucs perso (whatapps et SMS @ messages.google.com/web/ ).
Je pourrais installer l'appli mais je voulais justement éviter d'avoir une multitude d'applis et utiliser mes navigateurs...

personne n'a de bon plan pour une carte LSI SAS à part eBay ? je veux juste pouvoir la passer à du Freenas en passthrough

servethehome, smp-fr ?

#tagbash

Une cheatsheet bien fichu pour bash je trouve : https://devhints.io/bash

edit: même le site entier en fait : https://devhints.io/

Ah les cheatsheets, j'adore, merci, je connaissais pas

Ya aussi https://explainshell.com/ qui est génial pour expliquer la signification d'une ligne de commande un peu velue, en renvoyant aux man

génial !

 
Grand merci pour ce site que je ne connaissait pas !

dans un autre genre: https://cheat.sh/

https://command-not-found.com/ pour les grosses faignasses

 
La fork bomb en first-list    

Dites les gens, avec ESXi j'aimerais désactiver les mots de passe d'une certaine complexité.
Par défaut les paramètres passwdqc sont retry=3 min=disabled,disabled,disabled,7,7 et ça veut dire que le contrôle de qualité de mots de passe est désactivé pour les pwds d'une et 2 classes de caractères..
Moi j'aimerais qu'un user ne puisse PAS entrer un mot de passe avec un ou deux classes de caractères...
 
Vous auriez ça en stock siouplaît?

Génial les sites, merci

Qui utilise Oxidized ? Qui a eu des merdes avec ?