fbpx
O F E P

Loading

Ubuntu « You may need to re-run your boot loader[grub] »

Suite à une mise à jour du kernel, vous pourriez voir apparaître le message suivant:

« you may need to re-run your boot loader[grub] »

Si tel est le cas, la solution est simple:

Selection 024
Ubuntu "You may need to re-run your boot loader[grub]" 4

update-grub va regénérer la configuration et le tour est joué!

Assurez-vous que /initrd.img existe et pointe vers un fichier valide.

Selection 025
Ubuntu "You may need to re-run your boot loader[grub]" 5

(Français) Poursuivre une mise à jour Ubuntu « do-release-upgrade »

[:fr]

screen pic2
(Français) Poursuivre une mise à jour Ubuntu "do-release-upgrade" 8

Une coupure de courant, une coupure réseau, un moment d’inattention suite à une mise en veille du laptop et vous voilà déconnecté d’une session SSH lors d’une mise à jour majeure de votre serveur Linux Ubuntu.

Pas de panique, il est possible de reprendre la session!
Ubuntu lance le process d’upgrade dans un « screen« , ce qui permet de faire « screen resume » par la suite et de reprendre où on en était.

En lisant le « man », on peut lire:

-D -r
Reattach a session. If necessary detach and logout remotely first.

Ceci nécessite que vous avez uniquement perdu la connexion. Ca ne fonctionnera pas si vous avez stoppé la mise à jour.

$
ssh: connect to host x.x.x.x port 22: Connection timed out

(déconnexion)

$ ssh clv20478

(reconnexion au serveur et ensuite on « resume » la session grâce à « screen »)
$ sudo screen -D -r

La mise à jour reprend où on en était, on ne perd pas de temps.[:]

Datacenter Interxion – location de baies – colocation ou housing de serveurs à Bruxelles

20190117 123056

Dans le cadre d’une migration, un de nos clients a déplacé son infrastructure de serveurs de son datacenter privé vers une formule de co-location « datacenter housing ».

Pourquoi de la colocation de serveurs et location de baies datacenter à Bruxelles ?

La location de baies « U » et la migration apportent plusieurs avantages pour votre entreprise:

  • Passer d’un modèle CAPEX à un modèle OPEX en terme d’investissement de son datacenter
  • S’affranchir de tous les problèmes et coûts liés à la maintenance de son infrastructure physique datacenter (ventilation, électricité, systèmes d’accès physique,..)
  • Lisser ses budgets en payant un montant fixe par mois qu’il peut planifier à l’avance
  • Libérer l’espace réservé à son datacenter privé qu’il décommissionne
  • Garder le contrôle sur la sécurité physique, celle-ci étant déléguée à Interxion qui vérifie les accès – certification ISO27001 (Information Security Management)
  • Grâce aux partenaires d’OFEP, profiter d’une environnement de colocation, ce qui lui permet de louer le nombre de ‘U’ dans le rack qu’il souhaite, sans devoir surinvestir et payer pour des espaces non-utilisés
  • Se sécuriser grâce à une infrastructure firewall et SSL VPN virtualisée, qui protège son environnement, toujours dans un modèle OPEX
  • Profiter d’une ligne internet redondante, d’ip publiques dédiées et de plusieurs VLAN’s dédiés

Non seulement, vous réduisez vos coûts mais, en plus, vous profitez d’une infrastructure physique et réseau mieux sécurisé qu’auparavant.

Le datacenter et la colocation, location de baies, chez Interxion à proximité de Bruxelles

interxion datacenter colocation serveurs rack


Le datacenter Interxion est situé à Zaventem, à proximité de Bruxelles. Ce dernier est sécurisé par des grilles automatiques, dispose d’un parking à proximité de l’entrée et des gardes de sécurité se relayent jour et nuit afin d’assurer l’accueil et de contrôler les accès. Pour renter, il faut être annoncé et présenter sa carte d’identité. Les accès sont enregistrés.

Interxion est un société néerlandaise et gère actuellement 41 datacenter dans 11 pays européens.

Une salle de repos avec une machine à café et un distributeur de boissons est également à disposition.

 

Le datacenter et la colocation à proximité de Bruxelles en photos

Les serveurs et l’infrastructure du client sont maintenant installés. Le câblage est réalisé. Les connexions vers les systèmes iLO sont configurés via un réseau Out-of-band afin de pouvoir opérer à distance, si nécessaire, sans avoir à se déplacer.

Un ensemble de tests pré-établis ont été exécutés afin de s’assurer que la migration s’est effectuée avec succès.

Support du matériel et intervention dans le datacenter Interxion

Plusieurs formules sont possibles:

  • Installation ou intervention planifiée
  • Intervention urgente effectuée par le client
  • Intervention urgente effectuée par un technicien du datacenter. Un ticket est ouvert et le matériel est envoyé directement au datacenter par courrier express.

Intéressé par une offre similaire de colocation (housing) – location de baies datacenter Interxion ? Voici l’offre d’OFEP

    • Co-location de serveurs dans un datacenter (racks entiers, 10U, 20U ou même un seul ‘U’) – offre « As a Service »
    • Accès internet redondant via plusieurs internet providers si nécessaire
    • Forfait électricité en kWh/mois
    • IPv4 adresses publiques fixes (avec reverse DNS) dédiées – offre « As a Service »
    • IPv4 et IPv6 disponibles
    • Frais fixes mensuels – facturation trimestrielle ou mensuelle
    • Possibilité de profiter d’une infrastructure de gestion à distance (SSL VPN) ou firewalls via des machines virtuelles redondante – offre « As a Service »
    • VLAN’s dédiés pour les machines physiques
    • Support disponible par nos équipes pour la migration, l’installation et la configuration
    • Bande passante disponible en Gigabit
    • KVM disponible si nécessaire (pour connecte un clavier, souris et écran facilement pour les dépannages)
    • Diminuer votre impact sur le climat grâce au plan « Green IT » d’Interxion

Contactez-nous pour une offre ![:]

Encryption « at rest »

[:fr]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

Encryption

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:en]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

799px Encryption illustration 20180112

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:]

(Français) VMware ESX et locking d’un vmdk par une vm

[:fr]

Comment vérifier si un fichier est locké par une VM ?

Commandes à exécuter sur le host VMware

# vmkfstools -D v-fk-VMNAME-01-000001-delta.vmdk
Lock [type 10c00001 offset 88141824 v 608, hb offset 3297280
gen 9, mode 0, owner 00000000-00000000-0000-000000000000 mtime 10432282
num 0 gblnum 0 gblgen 0 gblbrk 0]
Addr <4, 153, 38>, gen 364, links 1, type reg, flags 0, uid 0, gid 0, mode 600
len 115972505600, nb 13825 tbz 0, cow 0, newSinceEpoch 13825, zla 3, bs 8388608
/vmfs/volumes/53921fde-d84a95a4-4477-00221960c653/v-fk-cloud-01 #

 

# vmkfstools -D v-fk-cloud-01-flat.vmdk
Lock [type 10c00001 offset 88199168 v 188, hb offset 3297280
gen 9, mode 1, owner 53db69a4-f18e41cd-4ace-00221961585f mtime 10418155
num 0 gblnum 0 gblgen 0 gblbrk 0]
Addr <4, 153, 66>, gen 139, links 1, type reg, flags 0, uid 0, gid 0, mode 600
len 332859965440, nb 39223 tbz 0, cow 0, newSinceEpoch 39223, zla 3, bs 8388608
/vmfs/volumes/53921fde-d84a95a4-4477-00221960c653/v-fk-cloud-01 #

 

Dans le premier cas, le owner est une suite de 0, pas de locking.

Dans le second cas, le owner est une VM qui accède au fichier vmdk en question.[:]

(Français) Fortinet – Fortigate et le port TCP/113 (ident)

[:fr]Par défaut, Fortigate ne répond pas aux paquets bloqués par une règle ‘deny’, à une exception près: le port TCP/113, service ident.

En scannant un firewall fortigate, on peut s’apercevoir que le scanning du port TCP/113 entraîne une réponse de type state ‘closed‘, ce qui signifie qu’un TCP-RST a été envoyé.

Fortinet Fortigate TCP/113

Tout porte à croire que le port est ouvert dans le firewall et qu’un serveur distant répond.

Après une recherche dans la documentation de Fortigate, on s’aperçoit qu’une option est activée par défaut pour répondre avec un TCP-RST aux requêtes sur le port TCP/113.

 

Pour désactiver cette fonctionnalité qui nous semble peu utile de nos jours, voici la commande à exécuter:

config system interface
                edit <interface> 
                set ident-accept enable
                next
                end

Remplacer <interface> par l’interface en question, par exemple wan1.

On refait le test:

Selection 008
Cette fois-ci le résultat est différent et TCP/113 n’apparait plus en ‘closed‘.[:]

Initialisation d’un disque dur (physique ou virtuel) via powershell

Quelques commandes clés pour paramétriser un disque dur (physique ou virtuel) via les commandes Power shell.

  1. Vérifier le statut actuel

PS C:\> get-disk

Number Friendly Name OperationalStatus Total Size Partition Style
—— ————- —————– ———- —————
1 VMware Virtual disk SCSI Disk Device Offline 1 TB RAW
0 VMware Virtual disk SCSI Disk Device Online 34 GB MBR

Il s’agit ici du disque numéro 1 de 1 Tera qui est actuellement au statut « Offline ».

 

2. Initialiser le disque

PS C:\> initialize-disk 1
PS C:\> new-partition -disknumber 1 -usemaximumsize -assigndriveletter
Disk Number: 1

PartitionNumber DriveLetter Offset Size Type
————— ———– —— —- —-
2 E 135266304 1023.87 GB Basic
3. Vérifier à nouveau le statut
PS C:\Program Files\Probus-IT\Hyper-V Tools\Backup> get-disk

Number Friendly Name OperationalStatus Total Size Partition Style
—— ————- —————– ———- —————
1 VMware Virtual disk SCSI Disk Device Online 1 TB GPT
0 VMware Virtual disk SCSI Disk Device Online 34 GB MBR

 

Le disque a maintenant un statut « Online ».

mount: unknown filesystem type ‘LVM2_member’

Si vous avez déjà été confronté à cette erreur et que vous utilisez LVM et MDADM, alors vous trouverez ici la solution à votre problème:

# mount /dev/mapper/group-data /mnt/disk/
mount: unknown filesystem type 'LVM2_member'

  1. Installer LVM2: apt-get install lvm2
  2. Charger le module: modprobe dm-mod
  3. Activer le logical volume LVM: vgchange -ay
  4. Mounter: mount /dev/mapper/group-data /mnt/disk/

$ sudo lvdisplay

— Logical volume —
LV Path /dev/group/data
LV Name root
VG Name group
LV UUID xxxxxxxxx
LV Write Access read/write
LV Creation host, time ,
LV Status available
# open 1
LV Size 74,50 GiB
Current LE 19073
Segments 1
Allocation inherit
Read ahead sectors auto
– currently set to 256
Block device 252:0