Archives pour la catégorie Administration

LoupZeur à la recherche d’un emploi

plop,

Je viens de terminer mon alternance pour mon Master (Bac+4), et je suis donc à la recherche d’un emploi dans la region Alsace (Strasbourg et environs) dans le domaine de l’informatique bien sûr ;).

Mon superbe CV en html est dispo ici.

Les domaines qui m’intéressent :

  • L’administration système (Linux)
    • Services maitrisés :
      • Web : Apache (php,modsecurity), nginx
      • DB : MySQL
      • Failover : RHC (RGmanager, corrosync, …), DRBD (réplication de bases de données)
      • VPN : OpenVPN, Cisco, pptpd
      • Mail : Exim/Dovecot
      • Partage de fichiers : (pro|pure)ftpd, samba
    • Gestion des utilisateurs, des droits, …
  • Sécurité informatique (Linux)
    • Évaluation des risques
    • Audit (pas de quoi être un pentester pro, juste assez pour comprendre les vecteurs d’attaques)
    • Définition et mise en place des SP, AC et RAP (Iptable, Akari, ModSecurity, /etc/security)
    • Mise en place de solutions de chiffrement de connexions (IpSec, SSL, Vpn) et de données (Cryptoloop, …)
    • Définition et mise en place d’architectures réseaux et systèmes « sécurisées » (Ossec, Snort/Suricata, Prelude) à coupler avec les SP, AC et RAP.
  • Développement
    • Langages, méthodes et … : Cf. CV

Si jamais mes compétences peuvent vous sembler utile, mon mail et mon téléphone sont dispo sur le CV.

Bonnes vacances.

iptables: FAI ou VPN il faut choisir

plop à tous …

Un article que je voulais écrire depuis longtemps, mais par manque de temps je l’ai zappé.
Ici le but de la manoeuvre est d’utiliser iptables (et la magie du routage de linux) pour choisir ce qui passe par l’IP du VPN (P2P, …) et par votre FAI (Browsing, …) (on peut aussi rajouter la connexion 3G du téléphone pour ceux qui veulent taper comme un sourd dans la BP 😉 et avoir des latences minimal pour le browsing).

Note : les – – sont à faire sans espace, il s’agit d’un bug de wordpress :s
Continuer la lecture de iptables: FAI ou VPN il faut choisir

iptables module owner : comment autoriser spécifiquement les connexions des utilisateurs

plop

Un rapide mémo/article, sur comment autoriser des connexions établit par des utilisateurs spécifiques avec iptables.
L’idée générale étant que l’on drop tout par défaut, et que l’on autorise seulement certaines connexions par ports/logiciels, le soucis étant que si l’on ne connait pas les ports de sortie de notre services sur de nouvelles connexion (cas de serveurs tor/P2P dans lesquels les ports peuvent être aléatoire), on est obligé de passer en policy accept pour profiter un maximum du service (au risque que si le service http soit compromis un hacker puisse depuis le process ouvrir une connexion inverse pour bypass le firewall en drop sur l’entrée).
Continuer la lecture de iptables module owner : comment autoriser spécifiquement les connexions des utilisateurs

Ossec et stats sur munin

Plop à tous …
Encore un article sur Ossec … avec cette fois-ci quelques exemples de statistiques à afficher avec munin. Les scripts sont extrêmement simple à modifier pour chercher des infos spécifique à certaines exploitations propres à une infrastructure données (web, mails, …).

Le but de l’article est de présenter rapidement comment créer des graphes sur munin en bash
Continuer la lecture de Ossec et stats sur munin

Améliorer les performances d’apache avec nginx

Plop à tous …

Comme vous l’aurez sûrement remarqué, la quasi-totalité de mes derniers articles sont tirés d’expériences (plutôt foireuses) me poussant souvent à remettre en questions certaines notions que je pensais acquises … cet article n’y coupera pas :s.

Après avoir vénéré les serveurs apache pendant 7 ans, j’ai eu récemment à m’asseoir sur mes convictions et à installer nginx pour avoir des performances convenables …

Note du 2016/02/20 : L’erreur a été d’installer apache en mod_prefork sur un environnement demandant de grosse perf, en utilisant un mpm_event avec un fcgi, ça marche très bien.
Continuer la lecture de Améliorer les performances d’apache avec nginx

Connecter un réseau de machines virtuelles sur un réseau local

Plop à tous …

Les tutos concernant les interconnexions entre réseaux virtuelles et réseaux locaux sont légions sur internet, mais leur propretés pour le réseau ou leur flexibilité laissent souvent à désirer (entre les techniques foireuse à coup de nat iptables, les rejeux arp via parprouted et j’en passe).
Continuer la lecture de Connecter un réseau de machines virtuelles sur un réseau local

SSL via GNUTLS sur apache2

Plop à tous …

Aujourd’hui j’ai joué a « qui a la plus grosse » config ssl et c’est là que j’ai remarqué que le mod_ssl d’apache ne supportait que les protocoles SSLv3 et TLSv1.0 (le TLSv1.1 est en cours de dev) ce qui donnait un score pitoyable à mon blog sur ssllabs (qui permet d’avoir une idée du niveau de sécurité de l’implémentation ssl/tls d’un serveur web).


(Au passage certaine banques françaises en sont encore au niveau F, donc c’était déjà pas trop mal pour un blog ^^).

Continuer la lecture de SSL via GNUTLS sur apache2

Protection DDos et ban de masse

Plop …
J’ai eu droit à ma première intervention sur serveur DDosé, au départ 2/3 machines qui envoyaient des paquets SYN en boucle sur un serveur minecraft (écrit en java donc avec 200 SYN/sec le serveur tombe), et à la fin c’est environ 150 machines qui se sont relayés pour Dosé.

La plupart du temps lorsque l’on recherche des protections DDos on trouve des sites qui recommandent de mettre direct un limit sur un port sans tenir compte de la source … ce qui peut se révéler utile sur des petits serveurs, mais pas lorsque l’on tourne à plusieurs centaines de connexion seconde.

Continuer la lecture de Protection DDos et ban de masse