CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER.

Slides:



Advertisements
Présentations similaires
Intégration de logiciels Open-Source dans un ordinateur simplifié basé sur Linux Stage du 6 avril au 30 juin 2006.
Advertisements

Active Directory Windows 2003 Server
Master Professionnelle Sciences et Techniques 2 juillet
Evaluation des scripts dinstall de Globus UKHEP rpm INFN script CNRS script.
TESTBED TESTPLAN OBJECTIFS: Évaluer les services, fonctionnalités et l'installation des releases du testbed. CONTEXTE: Test effectué dans un contexte de.
MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.
Intégration du système de production LHCb sur la DataGRID V. Garonne, CPPM, Marseille Réunion DataGRID France, 13 fv fév
Atelier System Copy.
simulateur de réseau de machines UML connectées par WiFi mode ad-hoc
Les outils d’intégration continue
2012 Aix-Marseille Université
Déploiement sur le serveur Scribe eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur.
Guide MQ WebSphere MQ v7.0.1 et V7.1 1er retours d’experiences
Les outils de déploiement
Un outil de tests de sécurité V 1.3
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Les logiciels d'administration système V 1.2
Les outils de déploiement. Une liste FAI System Imager.
Master 1 ère année Sécurité des Systèmes Informatique 1 Compilation à partir du code source  Pouvoir installer un logiciel avant qu’il ne soit packager.
Vmware au CC-IN2P3 Déploiement rapide d’une infrastructure destinée à de la formation et réflexions sur vSphere.
Elabore par BELKADHI ABIR BEN HASSEN SALMA CHEBBI MARWA
Heatbeat au LAL Marec erwan Charbonnel Jaclin.
Alice LCG Task Force Meeting 16 Oct 2008Alice LCG Task Force Meeting 16 Oct 2008 BARBET Jean-Michel - 1/20BARBET Jean-Michel - 1/20 LCGFR Marseille Juin.
EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
1Fréquence des versions de Fedora et de Ubuntu 2Les logiciels utilisés sur notre site (liste non exhaustive) 3 Exemples de différences entre Fedora et.
Sauvegarde entre 2 serveurs GNU/Linux Configuration d’une connexion sécurisée entre les 2 serveurs Sauvegarde entre les deux serveurs Test de la solution.
Accounting régional. Status actuel Base de données node56 : – 22GiB de données – 16 sites – 3.7TiB disponibles… Tous sites sur la base de données node56.
Tivoli Storage Manager
Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Déploiement et gestion du poste de travail à la Ville de Lausanne Christophe Lambert LAMBERT CONSULTING.
Frédérique Chollet Yannick Patois Réunion LCG-France, Nantes 19 septembre 2012 Résultats du questionnaire DPM.
Résumé CHEP 2010 Distributed processing and analysis Grid and cloud middleware Thèmes : 1.
Quattor : Opérations Courantes - G. Philippon/M. Jouvin4-5/2/2009Quattor : Opérations Courantes - G. Philippon Opérations courantes.
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
Quattor : Gérer la Configuration d’Un Site
Mise en place d’un VLAN grille
Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social & Humain Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social.
Virtualisation d’Application Fabienne Guignard
NAGIOS dans un cluster de la grille EGEE
DINQ/DSIN/INSI/ETSO/APGI
BTS SIO SISR Session 2014 Parayre David-Alexandre
ATLAS Ghita Rahal CC-IN2P3 Novembre 9, /6/2006Réunion CAF2 Activités Création et externalisation d’outils de monitoring de l’état du T1 (CPU,
LHCb DC06 status report (LHCb Week, 13/09/06) concernant le CC : –Site currently fine / stable 3% of simulatated events 30% of reconstructed events –Site.
Développement Méthode adoptée Outil de développement Les grandes étapes La documentation.
Développement et maintenance sur le projet RefPack
D0 côté info D0 à FNAL  Données du RunII  Infrastructure matérielle  Infrasturucture logicielle  Monte Carlo à D0 D0 à Lyon  Production Monte Carlo.
9 février 2010 Enrique Ruiz Mateos Architecte avant-vente Microsoft
Nicolas HO.  Installation, intégration et administration des équipements et des services informatiques  Maintien de la qualité des services informatiques.
Heg Haute école de gestion de Neuchâtel Standards Préparation et distribution.
StratusLab is co-funded by the European Community’s Seventh Framework Programme (Capacities) Grant Agreement INFSO-RI Session I : Installation et.
Sortir de MAUI – quelles options ? HTCondor dans un CREAM-CE Guillaume Philippon.
Opérations courantes Guillaume PHILIPPON. Sommaire Mise à jour des QWG Gestion des utilisateurs Ajout/Suppression d’un programme Préparation des « OS.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Session “Site Administrator” Pierre Girard.
Développement des templates Quattor de gLite à EMI Guillaume PHILIPPON.
Utilisation de Quattor par GRIF Michel Jouvin LAL/Orsay
Mercredi 1er juin 2016 Panorama sur les outils de monitoring Cyril L’Orphelin David Bouvet.
JI2006Muriel Gougerot - Nicole Iribarnes Virtualisation au LAPP.
Jenkins, votre serviteur C. Loomis (CNRS/LAL) Journée LoOPS 11 décembre 2012.
1DSM - DAPNIA / MW0901 Lustre au DAPNIA. 2DSM - DAPNIA / MW0901 Machines utilisées –2 PC DELL de bureau optiplex GX280 : NODE08 : P4 à 3,2 Ghz – 2Mo de.
Configuration des sites Intérêt de la mutualisation ! Existant avec Quattor Tendance Puppet Discussion.
Réunion des sites LCG France- Marseille juin ACTIVITES DU GROUPE ACCOUNTING FRANCE GRILLES Cécile Barbier (LAPP)
Mardi 30 mars 2010 Les Outils d'Exploitation et de Surveillance Cyril L’Orphelin, Atelier technique France Grilles, 31 Mai 2010 IN2P3/CNRS Computing Centre,
CSM Outil de Management de Clusters Jean-Claude CHEVALEYRE Laboratoire de Physique Corpusculaire / AUBIERE.
TÂCHES D’ADMINISTRATION DE LA NAGIOSBOX BIOMED LE 24 Mai 2011, Christine Leroy,
Colloque LCG France14-15 mars SURVEILLANCE ET GESTION D’INCIDENTS Cécile Barbier (LAPP)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Monitoring dans EGEE Frederic Schaer ( Judit.
1DSM - IRFU / PM Compte rendu du site GRIF.
Eric Fede : Obernai Intégration des services grille dans l'exploitation des systèmes informatiques du laboratoire.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Session “Site Administrator” Pierre Girard.
Site Monitoring -Contexte des sites Grilles EGEE &/|| LCG -Etat des sites Francais -Le groupe de travail LCG-Fr / SA1-FR monitoring et les prochaines actions.
Intégration GRIF Michel Jouvin Comité Technique GRIF 28 Novembre 2005.
Transcription de la présentation:

CEA DSM Irfu Mises à jour de sécurité… … et la pratique F.SCHAER

CEA DSM Irfu Quelles mises à jour ? CERTA : US-CERT : MAJ Kernels… mais pas seulement.

CEA DSM Irfu Quelles précautions (dans l’idéal)? RPMs signés Vérification des md5sum Tests complets sur machines hors prod Tests de reboot (kernel…) Redémarrage des services –Est-ce automatiquement fait par MAJ rpm ?? Tests de fonctionnalité ? –Ex.: Mise à jour apr dans GRIF -> DHCP inutilisables, réinstallations machines impossible

CEA DSM Irfu Quelle provenance ? Sources RPM de confiance. Pas de DAG/rpmforge/YYY –Quelle confiance accorder aux repositories? Distribution –Répertoire « Security » Sources recompilées –À partir des sources.srpm (distribution) ou.tar.gz –Eventuellement avec un SPEC extérieur inspecté

CEA DSM Irfu Pourquoi recompiler ? Patches possibles –(2010) Maui : fix pour crashes –(>2008) Kernel Support KVM (virtio) Fix de trous de sécurité non backportés –cf : https://bugzilla.redhat.com/show_bug.cgi?id=CVE –Résolu en 2006 dans le kernel, backporté chez redhat après CVE en 2009…Résolu en 2006 –(>2006) Nagios/nrpe/nagios-plugins : utilisateur créé (« nagios ») non-système. Patches pour fonctionnement SELinux

CEA DSM Irfu Pourquoi recompiler ? (2) Versions (récentes) indisponibles dans l’OS –Nagios/nrpe/nagios-plugins –SQUID/httpd –Nagiosgraph (mais bon nagiosgraph…) –MPI x64 (2006/2007) RPMs locaux –Plugins nagios grille –Outils de monitoring non packagés (cciss, multitail, eclipse BIRT,…)

CEA DSM Irfu Et dans la pratique ? En général, mises à jour après avis CVE Test et gestion des MAJ OS par OS (quattor + rpm = …) Un fichier de config par MAJ –Revert possible –« Niveau » de MAJ possible –Pour N OS, 2 architectures, 2xN templates à créer ET tester Nouveaux paquets + nouvelles dépendances = délais Limitation du nombre d’OS sur le site ?

CEA DSM Irfu Et dans la pratique ? Temps de déploiement : ~1 semaine –Attente de backports SL –MAJ de RPMs standard habituellement rapide et sans conséquence opérationelle –MAIS Gestion des reboot toujours inacceptable Comment éviter la downtime ???...?????? –BLOQUANTS : CE ? SE et pools ? Serveurs NFS ? –GENANTS : WMS ? Serveurs de machines virtuelles ? –TRES DERANGEANTS : WN ? (perte de production, jobs longs) »Migration de jobs ? Job suspend/(reboot)/resume ? Rsync journaliers : pas de vérification des md5 Quattor ignore les signatures

CEA DSM Irfu Questions en suspens Quelle confiance accorder aux serveurs SL CERN/FNAL/ETICS ? –Un serveur compromis = toute la grille ? –Miroirs Français ? (openbsd ? netbsd ?) SI repositories Français –Qui les gère, et comment ? –Serveur de clefs GPG ? –Tests de déploiement préalables ? –Compatibilité apt ? Yum ?

CEA DSM Irfu Questions en suspens Recompilation –Quelle infrastructure de compilation ? Actuellement (GRIF/IRFU), scripts maison qui présupposent: –Une machine installée par architecture supportée –Un compte local –Une clef SSH –Parfois sudo, pour installer des dépendances de compilation ETICS… beeerk. Koji (fedora) ? ?