I. Présentation

Lorsque l'on déploie une machine virtuelle sur un environnement VMware, il convient d'installer les VMware Tools au sein de la machine virtuelle, qu'elle tourne sous Windows ou Linux. Dans ce tutoriel, je vais prendre une machine virtuelle sous Debian 10, sur un ESX de VMware, et vous expliquer comment installer les VMware Tools en ligne de commande. La procédure est similaire sur d'autres distributions Linux.

L'installation des VMware Tools est importante pour bénéficier de certaines fonctionnalités, mais aussi pour optimiser les interactions entre la machine virtuelle et l'hyperviseur VMware. Que ce soit un serveur VMware ESX ou simplement VMware Workstation / Player.

• Synchronisation de l'heure entre l'hyperviseur et la VM
• Éteindre proprement la VM directement à partir de l'hyperviseur
• Glisser-déposer et Copier-coller entre la VM et l'hôte physique (dans le cas d'une installation en mode graphique de Debian)
• Etc.

Nous verrons dans ce tutoriel qu'il y a deux façons d'installer les outils VMware dans une VM Linux : VMware Tools ou Open-VM Tools.

II. Installer les VMware Tools sous Debian

A. Monter les sources VMware Tools dans la VM

Dans le système d'exploitation invité, nous devons monter le "CD" qui contient les sources d'installation des VMware Tools. Pour cela, effectuez un clic droit sur la VM, puis : SE invité > Installer VMware Tools.

La suite de l'installation s'effectue en ligne de commande sur le serveur : soit en console directement, soit au travers d'une connexion SSH.

B. Réaliser l'installation des VMware Tools

On va devoir monter notre CD d'installation sur la machine, ce qui nécessite de créer un point de montage. Pour les commandes à venir, je pars du principe que je suis connecté avec un compte "root" sur la machine, mais sinon ajoutez "sudo" devant les commandes.

mkdir /mnt/cdrom

Maintenant que le point de montage "cdrom" est créé,  on va lui associer le périphérique "cdrom", comme ceci :

mount /dev/cdrom /mnt/cdrom

Vous devriez obtenir le retour suivant dans la console :

mount: /mnt/cdrom: Attention: périphérique protégé en écriture, monté en lecture seule.

À partir de ce moment-là, le contenu des VMware Tools est accessible dans le dossier "/mnt/cdrom". Maintenant, on va se positionner dans le dossier "/tmp" pour extraire à cet emplacement le contenu de l'archive TAR.GZ correspondante aux VMware Tools.

cd /tmp

Ensuite, avec la commande "tar" on va décompresser le contenu du fichier "VMwareTools-10.3.22-15902021.tar.gz". Attention, le nom du fichier peut varier en fonction de la version de votre hyperviseur VMware.

tar xzpf /mnt/cdrom/VMwareTools-10.3.22-15902021.tar.gz

Sinon, on peut utiliser la commande suivante qui fonctionnera peu importe la version grâce au wildcard :

tar xzpf /mnt/cdrom/VMwareTools-*.tar.gz

Les sources d'installation sont désormais copiées en local sur notre machine virtuelle : on peut démonter le point de montage "/mnt/cdrom" car nous n'avons plus besoin du CD.

umount /mnt/cdrom

Il ne reste plus qu'à exécuter le script Perl d'installation. Il se situe dans le dossier "vmware-tools-distrib", ce dernier étant lui-même dans "/tmp" (dossier dans lequel nous sommes actuellement).

cd vmware-tools-distrib

Une fois dans le dossier, exécutez le script d'installation :

./vmware-install.pl

Validez l'installation en indiquant "yes" et appuyez sur "Entrée". Nous reviendrons en fin d'article sur le message qui s'affiche au sujet du paquet "open-vm-tools".

Ensuite, il y a une série de questions : dans la majorité des cas, appuyez simplement sur "Entrée" pour valider, sauf si vous souhaitez répondre autre chose que la valeur par défaut. Il n'est pas nécessaire d'activer toutes les fonctionnalités proposées par les VMware Tools.

L'installation doit s'effectuer sans encombre sur votre machine ?

C. Supprimer les sources

Pour finir le travail, nous allons supprimer le dossier avec les sources des VMware Tools :

rm vmware-tools-distrib/ -Rf

Terminez par un redémarrage de votre machine pour finaliser l'installation.

IV. L'installation avec Open-VM Tools

Open-VM Tools (OVT), c'est l'équivalent des VMware Tools, mais sous licence open source, supportée par VMware. Il s'agit d'une alternative stable qui offrira les mêmes fonctionnalités, mais son fonctionnement est différent, notamment pour les mises à jour.

Pour mettre à jour les VMware Tools, il faut passer par l'hyperviseur directement comme nous avons pu le voir, et on peut gérer les mises à jour avec vSphere Update Manager. En comparaison, pour mettre à jour Open-VM Tools, il faut mettre à jour le paquet dans la VM directement : comme n'importe quel autre paquet.

L'installation est très simple puisque ce paquet est disponible dans les dépôts officiels de Debian (et d'autres distributions). Il suffit d'exécuter la commande suivante :

apt-get install open-vm-tools

Dans le cas où vous utilisez un système avec une interface graphique, utilisez plutôt cette commande pour installer un paquet supplémentaire :

apt-get install open-vm-tools open-vm-tools-desktop

Ensuite, on peut vérifier la version installée sur la machine avec la commande suivante :

/usr/bin/vmware-toolbox-cmd -v

Par exemple :

10.3.22.561 (build-15902021)

N'oubliez pas de redémarrer à la fin de l'installation, comme avec les VMware Tools officielles.

The post Comment installer les VMware Tools sur Debian 10 ? first appeared on IT-Connect.

Le FBI va contribuer au site Have I Been Pwned dans le but de partager les mots de passe compromis découverts lors des différentes enquêtes policières. Un bon moyen d'améliorer l'efficacité du service Pwned Passwords du site.

Le site Have I Been Pwned permet de savoir si votre adresse e-mail fait l'objet d'une fuite de données, notamment en regroupant les informations obtenues à partir des bases de données ayant fuité à la suite d'attaques informatiques. Ce site propose un service nommé Pwned Passwords qui vous permet de vérifier si votre mot de passe a déjà été compromis. Si c'est le cas, le site vous indique également combien de fois il a était trouvé dans les fuites de données. Aujourd'hui, il y a plus de 600 millions de mots de passe référencés.

Un petit essai avec le mot de passe "azerty123"... Résultat, il a été trouvé 38 771 fois dans les fuites de données. Et encore, je n'ai pas essayé avec "password" ;-).

Le créateur du site Have I Been Pwned, Troy Hunt, a annoncé que le FBI allait contribuer à son site dans le but d'avoir une base de données encore plus complète. Le service Pwned Passwords va devenir encore plus pertinent puisqu'il va contenir également des mots de passe relevés lors des enquêtes menées par le FBI. Du coup, si votre mot de passe est vulnérable, vous pouvez le changer avant qu'il soit utilisé dans une attaque.

Le FBI partagera les mots de passe sous la forme de hash aux formats SHA-1 / NTML. Il est à noter que le site vous permet de télécharger la base de mots de passe (une dizaine de Giga-octets) dans le but de permettre aux administrateurs de réaliser des analyses hors ligne. Actuellement, Troy Hunt recherche des volontaires pour l'aider à développer une API qui permettrait d'interroger plus facilement (et de façon automatique) la base de données du service Pwned Passwords.

Pwned Passwords

Source

The post Le FBI va contribuer au site Have I Been Pwned first appeared on IT-Connect.

Les French Days se déroulent du mercredi 26 mai au mercredi 02 juin 2021 : l'occasion de profiter des promotions proposées par la plupart des marques. Forcément, il y a de nombreuses offres sur Amazon et dans cet article je vais vous partager quelques offres de chez Anker et de ses marques Soundcore et Eufy.

Écouteurs sans-fil avec réduction de bruit active - Soundcore Liberty Air 2 Pro

• Prix d'origine : 129.99 €
• Prix de l'offre : 99.99 €
• Lien vers l'offre : https://amzn.to/3vGTMsk
• Lien vers le test : Test Soundcore Liberty Air 2 Pro

Casque sans-fil - Soundcore Life Q30

• Prix d'origine : 79.99 €
• Prix de l'offre : 59.99 €
• Lien vers l'offre : https://amzn.to/3frq4BX
• Lien vers le test : Test Soundcore Life Q30

Hub USB-C 5-en-1 - Anker

• Prix d'origine : 37.99 €
• Prix de l'offre : 29.99 €
• Lien vers l'offre : https://amzn.to/34oQZIn

Chargeur USB-C 20 Watts - Anker Nano

• Prix d'origine : 19.99 €
• Prix de l'offre : 16.99 €
• Lien vers l'offre : https://amzn.to/3utdjLy
• Lien vers le test : Test Anker Nano

Kit 2 caméras sans-fil et base - eufyCam 2C (x2) et HomeBase

• Prix d'origine : 239.99 €
• Prix de l'offre : 199.99 €
• Lien vers l'offre : https://amzn.to/3uwN32S
• Lien vers le test : Test EufyCam 2C

Sonnette vidéo connectée - Eufy Security Doorbell (nécessite la base Eufy HomeBase)

• Prix d'origine : 129.99 €
• Prix de l'offre : 89.99 €
• Lien vers l'offre : https://amzn.to/34pliyL

Sonnette vidéo connectée autonome - Eufy Security Doorbell

• Prix d'origine : 129.99 €
• Prix de l'offre : 89.99 €
• Lien vers l'offre : https://amzn.to/3oViJxU

Détecteur d'ouverture / fermeture connecté - Eufy Security (nécessite la base Eufy HomeBase)

• Prix d'origine : 29.99 €
• Prix de l'offre : 21.99 €
• Lien vers l'offre : https://amzn.to/3fSrRit

Caméra sans-fil d'intérieur 2K - Eufy Indoor Cam 2K

• Prix d'origine : 39.99 €
• Prix de l'offre : 31.99 €
• Lien vers l'offre : https://amzn.to/34Dy5Ol
• Lien vers le test : Test Eufy Indoor Cam 2K

Caméra extérieure avec projecteur intégré - Eufy Security

• Prix d'origine : 159.99 €
• Prix de l'offre : 129.99 €
• Lien vers l'offre : https://amzn.to/3oWbUw1

Happy French Days !

The post French Days 2021 : les offres d’Anker, Soundcore et Eufy first appeared on IT-Connect.

En mars dernier, un incendie a ravagé une partie d'un centre de données situé à Strasbourg et appartenant à la société OVHCloud. Cet événement marquant a été lourd de conséquences pour de nombreuses entreprises. Aujourd'hui, OVH veut aller de l'avant et rassurer plus que jamais ses clients.

Suite à cet incendie, des millions de sites Internet étaient inaccessibles, même plusieurs heures après le drame. Le plus grave, c'est que des entreprises ont perdu toutes les données de leur site, de leur serveur, hébergé chez OVH ! En effet, de nombreux clients n'avaient pas conscience que la sauvegarde était une option payante et ils se pensaient protégés d'un incident de ce genre. Un joli rappel à l'ordre sur le fait que le Cloud n'est pas magique et qu'il faut penser à vérifier que ses données sont bien sauvegardées. Un principe à respecter peu importe où est hébergé le serveur.

Hier, Octave Klaba, fondateur et dirigeant d'OVHcloud, s'est exprimé sur BFM Business au sujet de l'incendie et il est clair qu'il veut rassurer sa clientèle. Ce qui est intéressant dans son discours, c'est qu'il dit : « Nous souhaitons sortir de cette crise par le haut » . Pour sortir de cette crise par le haut, il a annoncé deux mesures principales.

Suite à l'incendie du 10 mars dernier à Strasbourg, le fondateur d'OVH Octave Klaba annonce que "l'ensemble des services vont désormais avoir le back-up (sauvegarde), nous allons l'offrir"

@chrisjaku, @olesovhcom pic.twitter.com/zwq53BOSiH

— BFM Business (@bfmbusiness) May 25, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

OVHcloud va proposer la sauvegarde gratuite

Octave Klaba a annoncé que l'ensemble des services allaient bénéficier d'une sauvegarde. Cette sauvegarde sera automatique et gratuite pour tous les clients. De quoi éviter les mauvaises surprises si un incident de ce genre était amené à se reproduire.

Les services hébergés des sites de Roubaix, Gravelines ou Strasbourg seront sauvegardés au sein de nouveaux datacenters installés en région parisienne. La sauvegarde ne sera pas au même endroit que les données de production, voilà déjà une bonne nouvelle.

OVHcloud veut sécuriser ses centres de données

L'objectif d'OVHcloud c'est bien sûr d'éviter qu'un incident comme celui-ci se reproduise. Pour cela, Octave Klaba a annoncé que l'entreprise allait « revoir ses normes internes de construction de centres de données futurs, mais aussi existants ». Des actions qui semblent nécessaires pour sécuriser l'activité de l'entreprise, mais aussi rassurer les clients qui ont pu perdre confiance en OVH.

Source

The post OVH : la sauvegarde va devenir automatique et gratuite pour tous les clients first appeared on IT-Connect.

I. Présentation

Établir une convention de nommage afin de donner un petit nom à chacun de ses serveurs, c’est à la fois très simple à expliquer et compliquer à maîtriser.

Tout le monde comprend l’intérêt de nommer des serveurs plutôt que de retenir leur adresse IP. C’est d’ailleurs le principe de la technologie DNS, qui est au cœur d’Internet.

Mais à vouloir être trop créatif ou à vouloir mettre trop d’informations, on peut très vite s’y perdre, et la gestion de nos serveurs peut vite ressembler à un casse-tête.

Du coup, je vous vois venir, vous allez me demander comment faire pour choisir une convention pratique, facile et efficace afin de nommer vos serveurs.

Parce que soyons honnête deux minutes, avoir un serveur qui s’appelle Astérix ou SRVWEB112, c’est bien, mais quand on se pose pour la huitième fois de la journée la question du rôle précis de ce serveur (production ? test ? développement ? Et hébergement de quelle application web au juste ?), c’est qu’il est temps de faire quelque chose. 

II. Les serveurs ne sont plus ce qu’ils étaient

À une époque pas si lointaine que ça, les serveurs étaient physiques. On pouvait les toucher, les aligner physiquement sur des étagères dans nos salles serveurs.

C’était quelque chose de concret. Et puis la virtualisation et le cloud sont arrivés, et le monde a changé.

Mais à l’époque, lorsqu’on achetait un nouveau serveur, c’était une machine physique qui allait occuper de la place dans notre salle serveur. Ça n’arrivait pas tous les jours. Et on gardait nos serveurs parfois pendant 10 ans.

Ça a changé depuis maintenant plusieurs années. Avec l’avènement du cloud et de la virtualisation (et maintenant des containers), on peut littéralement créer de nouveaux serveurs en moins de 60 secondes, et ce de manière entièrement automatisée.

On est passé de la gestion d’une dizaine de serveurs physiques à la gestion de centaines de serveurs et containers virtuels.

Là où on configurait notre système d’information dans la durée, on monte maintenant parfois des serveurs pour quelques minutes ou heures afin de tester une application.

Et notre manière de les nommer doit évoluer afin de s’adapter à cette nouvelle réalité.

III. L’art de nommer ses serveurs

Le nom d’un serveur est un choix des plus importants pour un sysadmin, d’autant plus qu’il l’utilisera derrière au quotidien.

Sondez votre entourage si vous ne me croyez pas : si vous trouvez quelqu’un qui utilise les IPv4 et les IPv6 au lieu des hostname des serveurs, je veux bien manger ma casquette. 

Trêve de plaisanterie, chacun y va de sa manière pour nommer ses serveurs. Il n’y a pas de bonne ou de mauvaise manière de nommer un serveur, à partir du moment où vous êtes capables de retrouver vos petits sans vous plonger dans une documentation de 500 pages.

Voici un tour d’horizon des conventions de nommage les plus répandues. Personnellement, je suis un adepte de la méthode du berger.

A. Laisser parler sa créativité

Si vous aimez les noms de serveurs évocateurs, vous êtes servi, et c’est probablement la méthode à privilégier.

Je me souviens d’entreprises et de sysadmin qui avaient choisi des conventions de nommage originales :

• Chaque serveur portait le nom d’un personnage du Seigneur des anneaux : Gandalf pour le serveur de fichiers par exemple.
• Les serveurs Linux avaient tous un nom se terminant en -us : Sinus, Cosinus, Proximus, etc
• Noms de serveurs inspirés des héros et dieux de la mythologie grecque, romaine, etc.

Le souci, c’est que dès que vous multipliez les serveurs, ça devient compliqué de se souvenir du rôle d’Astérix par rapport à Hercule. Du coup, ça vous oblige régulièrement à consulter votre documentation pour vous rappeler exactement de qui fait quoi.

Par contre l’avantage, c’est qu’un attaquant ne peut pas déduire le rôle d'un serveur à partir de son nom.

Personnellement, je ne vous conseille pas d’utiliser cette méthode, car vous pouvez vite vous mélanger les pinceaux, mais après tout, un nom de héros est toujours plus évocateur qu’un classique SRVFIC01.

B. La méthode itérative

Lorsqu’on a commencé à multiplier les serveurs (un rôle = un serveur virtuel), on a essayé d’attribuer des noms plus évocateurs à nos serveurs.

Sont donc apparus les SRVAD01, SRVFIC03, SRVWEB112, etc.

Le nom est certes évocateur et vous permet d’identifier rapidement qui fait quoi, mais si je vous demande quelle est la différence entre SRVWEB87 et SRVWEB112, vous allez bien vous creuser les méninges.

Ok, ce sont deux serveurs web. Mais tournent-ils sous Windows / IIS ? sous Linux / Apache ? Et pour quelle application ? Mystère...

Autre problème que cette méthode amène : Vous migrez SRVFIC01 et SRVFIC02 sur 2 nouveaux serveurs : SRVFIC03 et SRVFIC04. Puis vous supprimez les deux premiers, car ils sont vieillissants.

Pour un petit parc d’une cinquantaine de serveurs, c’est assez simple à suivre, mais pour un parc de serveurs conséquent, vous vous demanderez toujours s’il existe 4 serveurs de fichiers, ou seulement 2. Et si vous devez en ajouter un nouveau, faut-il l'appeler SRVFIC05, ou peut-on réutiliser SRVFIC01 ? À première vue si le serveur n'existe plus, on est tenté de dire que c'est OK. Mais peut-être y a-t-il des redirections DNS de SRVFIC01 vers SRVFIC03.

Bref, c'est mieux que la méthode précédente, mais je ne pense pas que cela soit viable sur le long terme, ou dans le cas d'une infrastructure multi cloud scalable.

C. La méthode préfixe - suffixe

Un nom du style SRVWEB112 permet de donner une information sur le rôle du serveur. Mais on est toujours dans le flou en ce qui concerne l’environnement du serveur, ainsi que sa localisation.

On utilise donc couramment des préfixes ou des suffixes pour cela. Par exemple :

• P pour un serveur de Production
• D pour un serveur de Développement
• T pour un serveur de Test

On choisit aussi souvent un préfixe de 3 lettres pour indiquer la localisation du serveur : utile lorsque nos serveurs sont éparpillés sur plusieurs sites ou datacenters. Par exemple, on pourrait choisir PAR pour indiquer que le serveur est hébergé à Paris, ou BDX pour indiquer qu’il se trouve à Bordeaux.

PARPSRVWEB04
BDXTSRVFIC02

Cela permet de donner beaucoup d’informations dans le nom de votre serveur, ce qui est toujours un plus quand vous devez administrer un gros parc de serveurs, ou par exemple un parc de serveurs multi-clients. Cependant, ça implique d’avoir un document décrivant avec exactitude les différents sigles utilisés. Et l’inconvénient majeur, c’est bien sûr qu’en cas d’attaque informatique, vous transmettez de précieuses informations à votre attaquant, via le nom du serveur.

Mais personnellement, je pense que le risque en vaut quand même la chandelle.

D. La méthode du berger

Pourquoi la méthode du berger ? Car on va considérer nos serveurs comme on considère un troupeau de moutons.

On a tendance à avoir aujourd’hui de plus en plus de machines, et on démultiplie les environnements : Production, Dev, Test, Préprod, Qualification, etc...

Et contrairement à il y a quelques années, nos serveurs ont pour certains une durée de vie éphémère : parfois de l’ordre de quelques minutes, le temps de tester une nouvelle fonctionnalité avant déploiement en production.

Pour des questions de haute disponibilité, on a aussi aujourd’hui nos serveurs qui sont éparpillés chez différents providers / hébergeurs, ce qu'on appelle le multi cloud : Azure, AWS, GCP, Digital Ocean, Cloud privé, etc, ce qui complexifie la gestion.

Dans ce contexte là, pour savoir où se trouve réellement SRVVWEB112 et quel est son rôle, pas le choix, vous devrez vous taper les 500 pages de documentation interne, en priant pour qu’elle soit à jour.

On a donc une nouvelle méthode de nommage qui a vu le jour : on regroupe ainsi nos serveurs par cluster indépendant, qui correspondent à des applications.

Par exemple, pour faire tourner mon site web, disons que j’ai les serveurs suivants :

• 2 serveurs web
• 1 serveur de cache
• 2 serveurs base de données

Ces serveurs vont donc appartenir au cluster applicatif « webprod ».

Et comme ils sont potentiellement hébergés aux quatre coins du monde, je vais indiquer dans leur hostname leur localisation, ainsi que le nom du provider chez qui ils sont, ce qui nous donnera :

<cluster-applicatif>-<rôle><id>-<localisation-datacenter>-<provider>.<domaine>

Dans notre cas, pour un serveur web hébergé chez AWS dans le datacenter de Paris, cela pourrait donner :

Webprod-web1-par-aws.mondomaine.com

L’avantage de cette méthode, c’est qu’elle est scalable, vous pouvez donc rapidement déployer de nouveaux serveurs pour un nouveau cluster applicatif, sans vous demander s’il s’agit du serveur web 97 ou 113.

Le second avantage que j’y vois, c’est que si vous déplacez un serveur de cluster applicatif, vous faites évoluer nécessairement son nom. Alors certes, ça demande des manipulations supplémentaires, mais vous êtes certain que le nom du serveur reflète bien son rôle actuel.

IV. Comment construire sa convention de nommage

Peu importe la manière de nommer vos serveurs, vous devrez rédiger une convention de nommage, et faire en sorte qu’elle soit partagée et connue de tous dans l’équipe.

Prenons le cas de la méthode du berger. Vous souhaitez passer le plus d’informations possible dans le hostname de votre serveur, et pour éviter les noms à rallonge, vous allez devoir utiliser des sigles.

Votre convention viendra donc expliquer quels sigles choisir.

• Pour le rôle du serveur, vous pouvez partir sur 2 ou 3 lettres. Par exemple DC pour Domain Controller, DB pour base de données, ou FIC pour serveur de fichiers.
• Pour la localisation physique du serveur (et donc du datacenter) 2 ou 3 lettres peuvent également correspondre : BDX pour Bordeaux, PAR pour Paris.
• Si vous souhaitez faire apparaître le cloud provider, utiliser 3 lettres peut également être intéressant : AZU pour Azure, AWS, GCP, DIO pour Digital Ocean, etc
• L’environnement (production, test, dev, préprod) est également important. Personnellement, je le code sur 1 lettre.
• Le type de serveur : physique, virtuel, container, etc.
• Vous pouvez également ajouter le code du pays (US, FR), la localisation de bâtiments

Note : vous pouvez aller encore plus loin et appliquer cette convention de nommage à tout équipement se connectant à votre système d’information : PC, smartphone, système de visioconférence, copieur, imprimante, objets connectés, etc, et identifier chaque type de terminal via un code dans le nom.

V. Conclusion

Nommer ses serveurs est un art, et il n’y a pas de bonne ou de mauvaise manière de faire : il faut trouver ce qui vous convient à vous et à votre équipe.

Personnellement, je fais le choix d’utiliser pour mes nouvelles machines la méthode du berger, afin d’organiser mes serveurs par cluster applicatif. J’y glisse également la localisation physique du serveur, ainsi que le nom du provider chez qui ce serveur se trouve actuellement, et s’il s’agit d’un serveur de production ou non.

Alors oui, ça fait des noms à rallonge, ça fait beaucoup d’informations qui peuvent être visibles dans le cas d’une attaque, mais c’est un gain de temps non négligeable au quotidien.

Quant aux attaques informatiques, que mon serveur s’appelle SRVPRODFIC01 ou Goldorak, si c’est une passoire il se fera trouer à coup sûr.

The post Quelle convention de nommage utiliser pour ses serveurs ? first appeared on IT-Connect.