Mise en place d'un proxy SSH

Slides:



Advertisements
Présentations similaires
Utilisation avancée de linux Réseau Démarrage et arrêt.
Advertisements

COMPTE RENDU DU PPE 3 Cyrille Matungulu 1. S OMMAIRE Présentation de la demande du client MFC Choix techniques pour le projet Securisa Etapes du Montage.
LPI 101 : Administration Systèmes sur Linux – S. Taramarcaz Installation et paquetages  Architecture des disques dur  Installer un gestionnaire de démarrage.
Logiciel EDR Antivirus et Antimalware Intelligent, Sûr, Simple.
Du bon usage de la virtualisation de serveurs Pascal Mouret DOSI Campus Luminy Université de la Méditerranée.
25/09/2016DRT du CRDP de l'académie de Lyon1 OCSInventory Expression du besoin Présentation OCS Démonstrations des fonctionnalités de base Déploiement.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Présentation sous Licence Creative CommonsLicence Creative Commons Ubuntu installation de logiciels.
Méthodes d’utilisabilité pour les nuls Alain Désilets National Research Council of Canada.
Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
Séminaire Novembre Outils de diagnostic réseau (O.D.R)
Scribe Serveur pédagogique Séminaire octobre 2009.
La mise en réseau des ordinateurs à l'école Sources : Educnet christian.caleca.free.fr.
L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,
Arrêt automatique de serveurs basé sur un DNS N. RUDOLF JI 2016.
Cahier des charges.
Zabbix solution open source de supervision
Session de partage : l’autohébergement
ATS8500 Standalone Downloader.
PPE : Gestion de parc informatique
Présentation Scribe NG Serveur pédagogique.
Stockage / Sauvegarde / Archivage
Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
Fleet Management.
Page 4-3 Le programme InSQL Configure
Mise en place d'un proxy SSH
Mise en place d’un serveur DHCP
Commande show ip dhcp binding
Batterie TSE.
Préparation de mise à jour
Réalisation d'agents de surveillance Zephir
fonctionnalités iiS iis
Le cloud… Pourquoi, comment et budget
Solution de déploiement logiciel
Présentation OCS-Inventory au LAPP
mardi 11 septembre 2018mardi 11 septembre 2018
AD & DNS, Cluster Apache Préparation des TP.
Le business model de la souscription
Documentation technique (Linux)
Direction commerciale
Windows Server 2012 Objectifs
L’hébergement de fournisseurs d'identités par RENATER
SRT2 APACHE.
Prise en main Emmanuel Braux Institut Mines Telecom / Télécom Bretagne
ok.
Un été de porcelaine ( Mort Shuman )
Migration de l’architecture classique vers le cloud privé
Présentation du projet Raspberry
Sujet / theme 1: Gestion des interfaces (logiciel RH)
DNS ET DHCP SOUS LINUX INSTALLATION ET CONFIGURATIONS EXPOSE GROUPE 2 THEME:THEME: REDIGE PAR IBRAHIMA FAYE.
LAB FORTIGATE I & II JUIN Config initial Configurer vos interfaces Port1 = /24 PortWan= /24 Pointez votre DNS sur Pointez.
Vidéoconférence à la demande sur Clouds
Mobile Device Management
Introduction à la démarche DevOps
Comprendre le fonctionnement d’un réseau
Présentation Projet Val Lamartinien
Les 2 individus doivent réussir un des examens ci-dessous
Démarrer avec Azure AD Domain Services
Michel Jouvin Comité des utilisateurs 14 Mai 2007
Aymeric Weinbach MVP Microsoft
Intégration GRIF Michel Jouvin Comité Technique GRIF 28 Novembre 2005.
Des Fiches d’animaux.
Présentation des missions en entreprise et formation
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Présentation des missions en entreprise
Outils de gestion de Exchange
Les 2 individus doivent réussir un des examens ci-dessous
This presentation uses a free template provided by FPPT.com BIENVENUE AUX PRE- SOUTENANCES RESEAUX ET TELECOMMUNICATIONS.
Transcription de la présentation:

Mise en place d'un proxy SSH → Bonus : ansible François Legrand JI 2014

Objectifs Limiter la surface d'attaque à 1 (ou 2) machines Proxy ssh Les méchants Les méchants Gentil Gentil Gentil Gentil Nos petits serveurs Nos petits serveurs F. Legrand

SSH Proxy rbash est mon ami rbash pour « restricted bash » → on définit les commandes accessibles dans /usr/rbin en créant des liens logiques vers les commandes souhaitées ln -s /usr/bin/ssh /usr/rbin/ssh ln -s /usr/bin/scp /usr/rbin/scp ln -s /bin/nc /usr/rbin/nc Protection « naturelle » contre les failles de bash (car les commandes env ou bash ne sont pas accessibles) ! On force les « users normaux » à rbash et on autorise le bash standard aux admins (dans /etc/ldap.conf et /etc/profile) → Détails dans le poster dynamique F. Legrand

ANSIBLE Qu'est-ce que c'est ? « radically simple IT automation engine that automates cloud provisioning, configuration management, application deployment, intra-service orchestration, and many other IT needs. » Alternative à Puppet Courbe d'apprentissage très rapide ( 2 heures suffisent) Basé sur ssh (pas de d'agent ou de client à installer, une clé ssh suffit) Templates YAML Mode push F. Legrand

ANSIBLE Comment ça marche : les hosts Un fichier « hosts » qui liste vos machines à administrer [proxmox-servers] lpnhevirt1.in2p3.fr location=1222-SS-09 lpnhevirt2.in2p3.fr location=1222-2-10 [physical-debian-servers] lpnauth2.in2p3.fr location=1222-SS-09 [physical-servers:children] proxmox-servers physical-debian-servers F. Legrand

ANSIBLE Comment ça marche : les playbooks Des fichies « playbook » qui listent les actions à réaliser - hosts: debian-like-servers:lpnclaude.in2p3.fr tasks: - name: install fail2ban apt: pkg=fail2ban state=present - name: push config copy: src=jail.local-debian dest=/etc/fail2ban/jail.local mode=0644 owner=root group=root - name: start fail2ban command: /etc/init.d/fail2ban restart F. Legrand

ANSIBLE Comment ça marche : push On pousse la config en lançant le playbook $ ansible-playbook -s -K fail2ban.yml TASK: [install fail2ban] ****************************************************** ok: [lpnhevirt1.in2p3.fr] ok: [lpnhevirt2.in2p3.fr] TASK: [push config] ********************************************************* changed: [lpnhevirt1.in2p3.fr] ok: [lpnhevit2.in2p3.fr] F. Legrand