Billets récents
From categories:
page 1123...next »

Je viens d'ajouter le mail de confirmation sur le site.
C'est tout bidon finalement, il n'y a pas besoin de serveur de mail.
On peut paramétrer le header du mail comme on veut (mettre une adresse microsoft en source, etc).

Pour cet après-midi, je vais installer un ligthttpd sur une VM, pour le configurer (ssl, urlrewriting,…), comme ça on gagnera du temps demain.

Re: Lighttpd or not ? by Jerome_HJerome_H, 14 Jan 2009 11:40

En y réfléchissant, je pense que l'installation se fera après la sountenance/rapport, quand tout aura été validé.

Je l'espère bien.

Pour l'architecture avec machine de tête, il faut vraiment la faire valider

C'est clair. Faudrait en parler aux profs. Leur montrer le Wiki ou qu'on prenne une initiative.

J'y pense, on a encore toute les règles de firewall à définir :(

J'y est pensé. Comme pour Snort. Pour Snort ce n'est pas difficile.
Mais j'ai pas beaucoup avancé toujours à cause du réseau.
C'est pour ça qu'une étape importante maintenant c'est qu'on fixe notre réseau, avec les adresses …
On verra demain en crypto ;-)

Tenez, je viens enfin de Tester Ulteo. C'est le fondateur de Mandriva (Mandrake plutôt) qui en est à l'origine.
C'est cool, y a toutes les applications nécessaires et à jour. Même OpenOffice 3 ! Et le bureau est assez réactif.
Ce qui est bien aussi, c'est qu'on peut supprimer son compte (ça devient rare cette option !).

Re: l'organisation de la BDD by Cedric_BCedric_B, 12 Jan 2009 22:51

En y réfléchissant, je pense que l'installation se fera après la sountenance/rapport, quand tout aura été validé.

Dans l'état actuelle des choses, j'opterai aussi pour des machines réelles. On a pas assez de RAM pour virtualiser des serveurs de prod.

Pour l'architecture avec machine de tête, il faut vraiment la faire valider, parce que je ne me rappelle pas avoir entendu que l'on aurait 4 machines :/
Et dans le cas où cette machine tombe, on passe en indisponibilité, il faudrait donc fixer un temps de reprise.
Je ne vois pas trop comment une Debian pourrait prendre le relais. En l'activant à la main, à distance, par cette fameuse serrure sécurisée ? En gros, elle ne doit faire que de la répartition finalement cette machine.

Lighttpd n'as pas l'air trop hard à configurer. On n'a qu'un seul site, entièrement en https, donc pas besoin de VirtualHost.

J'y pense, on a encore toute les règles de firewall à définir :(

Re: l'organisation de la BDD by Jerome_HJerome_H, 12 Jan 2009 20:14

Moi je préfère des vrais machines que des virtuelles. En plus après faut aussi surveiller le système hôte.
ça prendra un peu plus de temps à re-déployer, mais :

  • on n'arrivera pas à faire planter nos systèmes ;
  • si une tombe quand même une autre peut prendre le relais.

Pour lighttpd
Oui, donc si on prend bien cette architecture on pourra faire communiquer les Debian uniquement avec la BSD.
On peut également utiliser la boucle localhost. Je pense que ça devrait aller.

Pour greensql
Pareil, faut qu'on valide cette architecture. Sinon, j'air regardé sur le site, ça n'est pas compliqué à installer et configurer.

Pour la catastrophe
On sauvegardera nos systèmes via dd. Ou on peut les mettre sur une partition différentes, c'est plus dangereux mais ça va plus vite.

On file quand un accès aux profs ? Histoire qu'ils peuvent nous dire que notre architecture correspond à leur attentes…

Re: l'organisation de la BDD by Cedric_BCedric_B, 12 Jan 2009 19:37

Re :)

Quelques p'tites merdes ce week-end on fait que j'ai pu que installer FreeBSD vendredi soir et pas pu installer une debian en machine virtuelle comme j'ai dit à Cédric non plus…

Sinon faudra voir aussi si on utilise des machines virtuelles, ou bien si on installe physiquement sur les machines. C'est risqué d'installer sur VMWare, surtout au niveau de la RAM et ressources CPU… Après le problème si on installe sur les machines physiques, c'est le redéploiement d'un serveur, ca prendra un peu de temps…

A priori on aura

FreeBSD : machine de tête, avec seulement du nginx dessus pour la répartition de charge des serveurs webs. P'tete s'en servir pour la centralisation des logs (ya un utilitaire chflags qui permet d'ajouter un mode sappnd aka system-append only).

Debian :
3 serveurs lighttpd : A voir ce qu'on fait au niveau du filtrage (ça ignore toutes les requêtes sauf celles provenant du serveur de tête; ou alors il tourne que sous localhost et on fait transiter le tout par un tunnel ssh, ce qui est discret mais un peu plus couteux en ressources je pense)
2 serveurs green-sql : Permet de filtrer les requêtes SQL contenant du code malicieux. La mise en place des serveurs green-sql dépend fortement de l'orientation de l'architecture MySQL mise en place, donc faut voir.
2 serveurs mysql : Le problème de la réplication MySQL c'est que ya un maître et un esclave (normal). On peut exécuter que des ordres SELECT sur l'esclave, et tout les ordres existants sur le maître. La réplication est effectuée grâce à un binlog, que l'esclave doit surement loader tous les x temps. Donc en gros, tous les ordres sont effectués sur le maître. L'esclave prends que le relai si le maître tombe. Ou bien on peut dire que on balance tous les SELECT sur l'esclave, et le reste sur le maître. Et faut voir comment gérer vite fait le cas ou le maître ou l'esclave tombe.

Donc maintenant, les scénarios catastrophes :

La machine de tête tombe : Ca c'est le scénario le plus galère. Soit on remonte la machine from scratch, install à la main, on balance un p'tit script sh install.sh qui nous reconf toute la machine et c'est parti. Ou alors une fois que la machine est clean (virtuelle ou bien physique ?), on backup les partitions hardware avec dd, ou bien on fait des backups des machines virtuelles vmware. Ou alors une des debian prend le relai le temps de remonter le serveur de tête. J'pense que c'est le moins, genre celle qui aura aucun serveur MySQL d'installé. Après faut voir en combien de temps on peut gérer le basculement.

Le MySQL maître tombe : Faut voir comment gérer ça, et le tester en grandeur nature. Ya surement déjà des scripts pré-faits qui gèrent le truc, dunno, à se renseigner.

Le MySQL esclave tombe : Si l'esclave tombe, c'est pas grave, ca générera surement des warnings sur le maître comme quoi les binlogs ont pas pu être mis à jour sur l'esclave.

Re: l'organisation de la BDD by stephmstephm, 12 Jan 2009 17:47

Ah oui, on est fixé sur les technologies qu'on va utiliser ?
lighttpd ?
green-sql ? …

Re: l'organisation de la BDD by Cedric_BCedric_B, 12 Jan 2009 17:17

Voilà, il y a par exemple ce service :
http://www.jetable.org/fr/

Faut aussi qu'on pense à la serrure sécurisé … ça saoule.

Re: l'organisation de la BDD by Cedric_BCedric_B, 12 Jan 2009 17:00

C'est clair, cette semaine le temps ne manque pas. Mais il ne faut pas attendre de consignes des profs. Faut qu'on se lance.
Ce que je vais faire ce soir (et commencer dès maintenant même ;-). En réfléchissant à divers trucs et certainement en éditant le Wiki.

On ne sait même pas sil faut un rapport ou quelque chose. Au pire je fais une petit rapport avec la wiki en LaTeX. ça va vite.
On a même une petite analyse des risques, ça va les impressionner.

On pourra aussi leur donner un accès au Wiki que l'on contrôle. Donc avec une adresse mail à nous. Il existe un service qui donne des adresses poubelles durant un temps donné. Je ne me souviens plus du nom, je vais chercher. Au pire, ben hotmail, ah ah :-)
En voyant le boulot et notre réflexion sur le wiki, Francine sera toute fière !

Re: l'organisation de la BDD by Cedric_BCedric_B, 12 Jan 2009 15:40

Mouais, c'est vrai que personne ne s'affole…

A première vue, on a pas mal de créneau libre cette semaine (mercredi toute la journée, jeudi matin, …). On pourrait installer un minimum de truc sur machine virtuelle, pour au moins faire tourner quelque chose. Il faudrait qu'on est des consignes précises de ce qu'il faut.

Re: l'organisation de la BDD by Jerome_HJerome_H, 12 Jan 2009 12:44

Bonne année ! ;-)

ça va être une bonne semaine projet. Je le sens.
Je pense que pour la soutenance de lundi (je crois) aucun système ne sera installé. ça n'a pas l'air de bouger. À moins qu'ils nous préviennent en milieu de semaine …

Re: l'organisation de la BDD by Cedric_BCedric_B, 11 Jan 2009 22:41

1er post de 2009 :)

Voici ce que je propose concernant la structure de nos serveurs services de BDD. On en avait discuté avec Cédric dans la semaine, ce post est là pour formaliser.
Etant donné que la réplication MySQL est un poil difficile à organisée avec 3 instances, j'ai pensé à n'en utiliser que 2. Rien d'extraordinaire pour le moment, mais là où c'est intéressant, c'est de définir une instance principale, l'instance maître, et une instance secondaire, l'instance esclave, et de mettre en place une réplication de maître vers esclave.
On aura donc ainsi une sauvegarde temps réel de la BDD.

Une autre astuce, c'est de mettre dans le code du site Web, les 2 instances. Si l'instance maître ne répond pas, il tente sur l'instance esclave automatiquement. Invisible pour l'utilisateur, si la réplication fonctionne parfaitement.

Il ne restera plus qu'à remettre en place le maître à partir des données de l'esclave (à la main, on en inversant la réplication).

Dommage que mon hdd du portable est plein, j'aurais bien testé la réplication entre 2 VM…

l'organisation de la BDD by Jerome_HJerome_H, 11 Jan 2009 16:10
Re: HIDS
Cedric_BCedric_B 09 Dec 2008 23:09
in discussion Discussions générales / Système » HIDS

Optimisations. Voilà la version 0.4 va beaucoup plus vite ! Et tous les liens symboliques sont filtrés correctement.
ça prend environ 10 secondes pour traiter plus de 400 fichiers sur mon vieux PC. Et le processeur ne travail même pas beaucoup plus que normalement.

Voilà :

"""
[root@localhost pyHIDS]# python genBase.py
Loading public key
Generating data base…
404 files in the base.
[root@localhost pyHIDS]# python pyHIDS.py
[10/12/08 00:02:46] HIDS starting.
[10/12/08 00:02:51] [notice] /etc/sane.d/stv680.conf ok
[10/12/08 00:02:51] [notice] /etc/X11/xorg.conf.mdv1227283295 ok
[10/12/08 00:02:51] [notice] /etc/X11/xorg.conf.mdv1227084349 ok
[10/12/08 00:02:51] [notice] /etc/gconf/gconf.xml.defaults/%gconf-tree-nl.xml ok
[10/12/08 00:02:51] [notice] /etc/sane.d/matsushita.conf ok
[10/12/08 00:02:51] [notice] /etc/avahi/avahi-daemon.conf ok
.
.
.
[10/12/08 00:02:56] [notice] /etc/modprobe.d/ipw-no-associate.conf ok
[10/12/08 00:02:56] [notice] /etc/security/pam_env.conf ok
[10/12/08 00:02:56] [notice] /etc/dbus-1/session.conf ok
[10/12/08 00:02:56] [notice] /etc/fonts/conf.avail/70-yes-bitmaps.conf ok
[10/12/08 00:02:56] Error(s) : 0
[10/12/08 00:02:56] Warning(s) : 0
[10/12/08 00:02:56] HIDS finished.
[root@localhost pyHIDS]#
"""

Et dans l'expression régulière je prend tout ce qui contient conf.
On peut encore améliorer un peu certainement.
ça donne envie de scanner toute la racine ;-)

Re: HIDS by Cedric_BCedric_B, 09 Dec 2008 23:09
Re: HIDS
Cedric_BCedric_B 07 Dec 2008 21:43
in discussion Discussions générales / Système » HIDS

Ah oui, je me demandais si ça avait une utilité de vérifier tous les .conf dans /etc. Via le module glob ça va vite.
Je me disais que c'est inutile, mieux vaut surveiller ce qui est important. Sinon on pourrait surveiller encore tous pas mal d'exécutables…
Mais en même temps plus on surveille, plus facilement on détectera une intrusion.

Je pense que ça ne sert pas à grand chose de tout scanné. Même avec un HIDS "normal" on ne scanne pas tout.

Comme compromis, on pourrait scanner tous les fichiers de configuration de /etc, puis le reste on le précisera comme on le fait actuellement.
Niveau performance, on ne perdra quasiment rien je pense. Ce ne sont que des fichiers texte. Même avec les exécutables ça ira toujours vite je pense.
Lors des tests que j'ai fait pour le TP de produit de la sécurité, avec des boucles de 10000000000 (dix milliards) d'itérations, ça allait encore vite sur un gros fichier. Puis là on a threadé …

Re: HIDS by Cedric_BCedric_B, 07 Dec 2008 21:43
Re: HIDS
Cedric_BCedric_B 07 Dec 2008 20:56
in discussion Discussions générales / Système » HIDS

Version 0.3
Voilà je viens d'uploader la version 0.3.

À noter que si vous voulez tester il faudra changer quelques adresses. J'ai mis les adresses en dur quand j'ai testé avec cron
De plus, il vous faudra être root car le programme veut lire /etc/shadow. ça ne me pose plus de problèmes car maintenant j'ai mis un script shell dans cron.hourly qui exécute le script Python ;-) Il a donc plus de privilèges.

J'ai un peu changé les logs :
"""
[root@localhost pyHIDS]# python pyHIDS.py
[07/12/08 21:45:53] HIDS starting.
[07/12/08 21:45:53] [notice] /etc/security/limits.conf ok
[07/12/08 21:45:53] [notice] /etc/shadow ok
[07/12/08 21:45:53] [notice] /etc/ssh/ssh_config ok
[07/12/08 21:45:53] [notice] /boot/grub/menu.lst ok
[07/12/08 21:45:53] [notice] /etc/passwd ok
[07/12/08 21:45:53] Error(s) : 0
[07/12/08 21:45:53] Warning(s) : 0
[07/12/08 21:45:53] HIDS finished.
[root@localhost pyHIDS]#
"""
De cette façon on peut mieux faire des recherches avec grep sur une date, sur 'notice' ou un 'warning' (quand un hash diffère).

J'ai enlevé la fonction log_mysql qui ne servira à rien de toute manière …

La fonction log_syslog est uniquement utilisée quand les hash ne sont pas bons.

genBase.py est aussi plus sécurisé. Du coup, un test de pyHIDS.py devient futile. Je l'ai quand même laissé.

Re: HIDS by Cedric_BCedric_B, 07 Dec 2008 20:56
Re: HIDS
Cedric_BCedric_B 06 Dec 2008 16:04
in discussion Discussions générales / Système » HIDS

Excellent, le site netacad est en maintenance pour pas mal de temps en plus…

J'ai encore fait un peu de Python. Ainsi, j'ai commencé vite fait un log MySQL et mail ;-)
Y a trois méthodes de log :

  • log : fichier ;
  • log_mysql : base de données ;
  • log_mail : via mail.

Les deux derniers c'est pour le fun on va dire. Les mails seraient à la limite utilisés quand une valeur de hachage a changé.
Le log mail, c'est encore moins embêtant que MySQL.

Je voulais faire ça proprement, avec une classe pour les mails, une autre pour MySQL. Mais vu la taille du code, je me suis dit nan. C'est tellement cour que j'aurai plus de lignes inutiles que de codes…

Re: HIDS by Cedric_BCedric_B, 06 Dec 2008 16:04
Re: HIDS
Cedric_BCedric_B 05 Dec 2008 23:12
in discussion Discussions générales / Système » HIDS

Je viens de faire les logs avec ça.
ça fonctionne pas mal.
J'ai déjà loggé quelques messages pour tester. Faudra voir en détail le format, etc.

Re: HIDS by Cedric_BCedric_B, 05 Dec 2008 23:12

Étrange, je ne voulais pas éditer la page pourtant.

On bosse tellement qu'on arrive à bosser pile en même temps :)

T'as raison, je vais aller me reposer un peu.

Re: Design du site by Cedric_BCedric_B, 05 Dec 2008 20:47

C'est bien ce qu'il me semblait qu'il m'avait signalé un conflit.

Je me suis dit : "Peut-être un clique de trop…"

C'est bon j'ai fini, je te rend la main

:D

On bosse tellement qu'on arrive à bosser pile en même temps :)

Re: Design du site by Jerome_HJerome_H, 05 Dec 2008 20:40

Je t'ai chopé à ajouter l'onglet "Version 0.5" ! ;-)

Re: Design du site by Cedric_BCedric_B, 05 Dec 2008 20:35
Re: HIDS
Cedric_BCedric_B 05 Dec 2008 09:08
in discussion Discussions générales / Système » HIDS

Ce matin je ne ferai pas grand chose sur l'HIDS. CISCO …
Je viens juste de le rendre plus "compliant" avec la PEP 8. C'est plus beau et ça doit faire plaisir à Stéphane.
Je posterai plus tard.

Si vous vous ennuyez vous pouvez lire ça ainsi que ça, si vous êtes pressé lisez ça. Si vous avez vraiment le temps lisez ça.

Re: HIDS by Cedric_BCedric_B, 05 Dec 2008 09:08
page 1123...next »
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License