A peine plus d'un mois après le lancement de la version bêta, ASUSTOR a dévoilé aujourd'hui la première version stable de l'ADM 3.5. En vous connectant sur l'interface d'administration de votre NAS, la mise à jour sera proposée.

Pour rappel, voici les nouveautés de cette version :

• Un nouveau widget "Préférences"

Accessible grâce à un bouton en haut à droite de l'interface ADM, ASUSTOR a intégré un nouveau widget dans le but de regrouper dans une même zone les fonctions situées dans plusieurs zones habituellement. En fait, vont être regroupées les fonctions des préférences, des services et du contrôle d'accès, dans une même interface. L'objectif est de rendre la navigation plus simple et plus efficace.

Voici ce que ça donne dans la pratique :

• MyArchive continue d'évoluer...

Avec ADM 3.5, la solution d'archivage de données, MyArchive, bénéficie de fonctionnalités supplémentaires. Au niveau stockage, il faut savoir que désormais le système de fichiers Btrfs est supporté. C'est une bonne nouvelle puisque cela apporte deux fonctionnalités supplémentaires : les snapshots et le versioning.

Par ailleurs, l'Explorateur de fichiers d'ADM évolue en conséquence afin de permettre la navigation au sein des snapshots situés sur les disques MyArchive. Grâce à cette fonctionnalité, il devient facile de restaurer la version antérieure d'un fichier.

Cette nouveauté est disponible sur les modèles de NAS : AS31, 32, 40, 50, 51, 61, 62, 63, 64, 70, Nimbustor et Lockerstor.

• Synchronisation EZ Sync

L'Explorateur de fichiers va également donner une petite place à l'outil de synchronisation EZ Sync afin qu'il soit plus intégré à l'interface ADM. Avec cette nouvelle interface, vous pouvez déplacer des données (fichiers ou dossiers) vers ou depuis un dossier EZ Sync d'un simple glisser-déposer.

Cette mise à jour corrige également différents bugs. Maintenant c'est à vous de jouer... Pour ma part, c'est fait ! 😉

I. Présentation

Depuis quelques versions et releases les distributions Linux ont adopté SystemD. Cela permet de gérer au mieux les processus exécutés au sein duy système. Mais, ce que l'on sait moins, c'est que l'utilitaire systemd fournit de nombreuses commandes dont une particulièrement permettant la supervision de l'activité des processus ainsi que leur occupation en ressources: CPU et mémoire. Je vous propose dans ce tutoriel de décrire rapidement les fonctionnalités et les possibilités de la commande systemd-cgtop, équivalent à la commande universelle top permettant de suivre les processus.

II. Introduction aux cgroups

Les Control Groups (abrégés en cgroups), est une des nouveautés du noyau linux depuis la version CentOS7, permettant de limiter, comptabiliser et isoler éventuellement, l’utilisation des ressources du système : processeur, mémoire et disque.

Au début de ce projet, on parlait essentiellement de "conteneur de processus". Mais, dès 2007, le projet a été baptisé Control Groups et intégré au noyau linux 2.6.24. Depuis, de nombreux contrôleurs et nouveautés ont été ajoutés.

L’un des objectifs des cgroups est de fournir une interface unifiée pour les différents cas d’utilisation, du contrôle de processus au travers des mécanismes de priorité (avec nice), à la virtualisation du système d’exploitation (avec LXC, OpenVZ…). Ainsi, les cgroups permettent :

• La limitation de ressources: les groupes peuvent être mis en place afin de ne pas dépasser le seuil de la capacité de mémoire (en incluant le cache du système).
• La priorisation de ressources: certains groupes peuvent obtenir un plus grand quota de la capacité du processeur ou de la bande passante d’entrée-sortie.
• La comptabilisation de ressources: certaines commandes permettent de mesurer l’occupation des ressources consommées par certains systèmes.
• L’isolation de ressources: permet la séparation en espace de nommage pour les groupes afin qu’ils ne puissent pas interagir avec les processus des autres groupes, ni avec leurs connexions réseau ou leurs fichiers.
• Le contrôle de ressource: afin de figer les groupes et créer un point de reprise et permettre le redémarrage en cas de problème.

REMARQUE : les cgroups permettent de contrôler les processus d’une façon beaucoup plus complète et détaillée que les niveaux de priorité gérés avec la commande nice.

L’utilisation de contrôle n’est rien d’autre qu’une suite de processus liés par un même critère. Ces groupes peuvent ainsi organisés hiérarchiquement de façon que chacun hérite de son groupe parent. Le noyau linux fournit l’accès à plusieurs contrôleurs (que l’on peut considérer comme des sous-systèmes) à travers l’interface cgroup.

En effet, il est possible d’associer un ou plusieurs contrôleurs à un même cgroup :

• cpuset pour l’allocation de ressources CPU et mémoire
• cpuacct pour comptabiliser la consommation de cycle CPU
• memory pour contrôler la mémoire vive et le cache d’un groupe
• devices pour autoriser ou refuser l’accès à un périphérique
• net_cls pour gérer l’accès au réseau
• blkio pour gérer l’accès aux périphériques de type bloc

Les Control Groups peuvent être utilisés de multiples façons :

• en accédant au système de fichier virtuel cgroup manuellement via la commande mount
• en créant et administrant des groupes à la volée en utilisant les commandes cgcreate, cgexec, cgclassify de la bibliothèque libcgroup.
• via le daemon du moteur de règles pouvant automatiquement déplacer les processus de certains utilisateurs, groupes ou commandes vers un cgroup en respectant la configuration souhaitée.
• indirectement, à travers d’autres utilitaires utilisant eux-mêmes les cgroups comme LXC, SystemD ou libvirt.

Comme pour tout système, il est possible également de superviser l’activité de SystemD, grâce à la commande systemd-cgtop.

Exemple : affichage systemd-cgtop

III. La commande systemd-cgtop

Cette commande permet de présenter les groupes de contrôle au sommet de la hiérarchie des contrôles locaux du système de façon ordonnée selon un des champs : CPU, mémoire, ou entrées/sorties disque. L’affichage est rafraichi à intervalles réguliers (par défaut toutes les secondes). Le fonctionnement est approximativement le même que pour la commande top des processus système.

REMARQUE : si la commande systemd-cgtop n’est pas associée à un terminal tty, aucun entête de colonne ne s’affichera et une seule itération sera exécutée. On a alors la possibilité de mentionner l’option --iterations= pour préciser le nombre de boucle à exécuter.

La commande possède de nombreuses options, permettant de fournir le paramètre d’accès (aussi appelé path) au groupe de contrôle, le n° de tâche ou de processus, la charge CPU, l’utilisation mémoire ou celle des disques via ses entrées/sorties. Voici un récapitulatif des différentes options possibles :

Lorsque l’on souhaite connaître à quelle hiérarchie appartient un groupe de contrôle, il suffit d’utiliser la commande systemd-cgls pour afficher l’arbre complet de la hiérarchie du système trié par groupe de contrôles.

Cette commande affiche de façon récursive le contenu hiérarchique des groupes de contrôle du système au sein d’une arborescence. Elle met en évidence les processus par cgroup et leur service associé. En effet, pour rappel le service systemd principal nomme les groupes de contrôle d’après les services.

REMARQUE : il existe aussi la commande systemd-delta permettant d’identifier et comparer les fichiers de configuration du répertoire /etc ayant leur correspondance par défaut dans le dossier /usr :

On peut également interroger le système via la commande traditionnelle ps en utilisant les options suivantes :

$ ps xawf -eo pid,user,cgroups,args

Cela permet alors de lister les processus avec le n° PID, l’utilisateur associé, le cgroup d’appartenance et les arguments du processus sous la forme suivante :

IV. Conclusion

Voilà un bref aperçu de la puissance de SystemD et des groupes de contrôle. On voit ainsi les possibilités d’optimisation des processus en les ordonnançant de façon minimaliste. Par ailleurs, cela permet également de superviser les processus et de déterminer le cas échéant ceux qui déborde ou utilise les ressources du système de façon incohérente. Et je dois reconnaître, même si au début je n’étais pas un partisan de SystemD, que je suis plutôt agréablement surpris de sa capacité à révéler les coulisses du système et à faciliter la vie des administrateurs.

En ces temps très particuliers, notamment avec le passage en télétravail de manière précipité pour de nombreuses personnes, on peut se demander comment rester productif ? Certaines personnes se demandent peut-être comment rester concentré sur son travail, comment gagner du temps ou encore comment rester motivé ? L'infographie ci-dessous, bien qu'elle ne soit pas dédiée au télétravail, vous donnera surement des idées ! Au passage, elle intègre quelques conseils sur le ton de l'humour, tant qu'à faire... Puisque le déconfinement a débuté, certains conseils seront désormais plus faciles à suivre : c'est une bonne nouvelle.

Bonne lecture 👀

Infographie offerte par Wrike - logiciel de gestion de l'échéancier du projet

Pour ce mois de mai 2020, Microsoft a préparé une jolie salve de mises à jour puisqu'il corrige 111 failles de sécurité, dont 16 classées critiques. C'est la troisième fois de suite que le Patch Tuesday intègre plus de 100 correctifs.

Lorsque l'on regarde le bulletin de sécurité Microsoft, on constate qu'il y a différents produits concernés : Windows, le navigateur Edge (basé sur EdgeHTML et sur Chromium), Internet Explorer, Windows Defender, la suite Office, ainsi que différents composants comme ChakraCore, .NET Framework et .NET Core. En complément, SharePoint est également tout particulièrement touché par plusieurs failles.

Windows, que ce soit les versions clients ou serveurs, est touché par une vulnérabilité classée comme importante et qui offre à l'attaquant la possibilité d'exécuter du code à distance. La référence est CVE-2020-1067. Il est à noter que cette vulnérabilité touche également Windows 7, vous devez disposer d'un support étendu acheté auprès de Microsoft pour récupérer cette mise à jour. Pour Windows 10 et Windows Server 2019, Microsoft a corrigé une vulnérabilité dans le composant "Windows Subsystem for Linux", associé à la référence CVE-2020-1075. En complément, la version d'Edge basée sur EdgeHTML est concernée par la vulnérabilité "CVE-2020-1096" qui touche son moteur PDF et qui permettrait une exécution de code à distance.

SharePoint est concerné par quatre failles critiques ce mois-ci, dont deux failles qui permettraient à l'attaquant d'accéder à du contenu, de le lire et le modifier, mais aussi d'exécuter du code arbitraire sur le système. Cela fait référence aux CVEs suivantes : CVE-2020-1023 et CVE-2020-1102.

Toutes les informations sont disponibles sur le portail Microsoft Security

I. Présentation

Dans cet article, je vais traiter la problématique suivante : comment sécuriser les connexions distantes RDP grâce à l'authentification multifacteur ? 

Tout d'abord, un rappel sur l'authentification multifacteur, appelée également MFA pour Multi Factor Authentication. Lorsqu'un mécanisme de MFA est en place, l'accès au service concerné est possible seulement lorsque l'utilisateur qui tente de se connecter valide deux facteurs d'authentification. Par exemple, il saisit son mot de passe et ensuite, une seconde authentification est demandée : un code reçut par SMS ou un code via une application type Google Authenticator, par exemple.

Pour la connexion à un serveur applicatif ou d'infrastructure, que ce soit un serveur Active Directory, un serveur RDS, etc... il peut-être intéressant de mettre en place le MFA pour la connexion avec des comptes sensibles ayant des privilèges élevés. Plus largement, le MFA peut s'appliquer à tous les comptes utilisateurs qui se connectent en RDP sur un serveur, on peut imaginer par exemple un serveur RDS qui héberge les applications liées à la comptabilité : cela prend tout son sens de protéger l'intégralité des accès distants.

Il existe différentes solutions tierces sur le marché pour mettre en oeuvre cette couche de sécurité supplémentaire, dans ce tutoriel, la démonstration porte sur l'utilisation du logiciel UserLock de l'éditeur IS Decisions.

• Le cas UserLock

Le logiciel UserLock supporte plusieurs méthodes pour ce facteur supplémentaire qui intervient en plus du mot de passe. D'une part, nous avons la prise en charge des applications TOTP c'est-à-dire avec un mot de passe à utilisation unique basé sur le temps, comme c'est le cas avec les applications suivantes : Google Authenticator, LastPass Authenticator ou encore Microsoft Authenticator. En complément, UserLock est compatible avec certains jetons matériels programmables comme la célèbre YubiKey.

UserLock est un logiciel payant qui apporte une couche de sécurité supplémentaire sur votre infrastructure pour protéger vos serveurs Windows, mais aussi les postes de travail. La solution s'appuie sur un agent à déployer sur les clients à sécuriser. Ensuite la configuration et la supervision s'effectuent depuis une console centralisée via un client lourd, mais aussi une interface web.

En complément du MFA, voici quelques cas d'usage du logiciel UserLock :

• Empêcher les accès en dehors de certaines heures
• Restriction sur la connexion : un utilisateur peut se connecter au serveur seulement à partir d'une machine spécifique
• Quota de temps de connexion
• Reporting sur les sessions RDS (utilisateur, date, heure, temps de connexion, IP publique, etc.)
• Surveiller l'activité des comptes utilisateurs sensibles et détecter les comportements suspects
• Etc.

II. Installation de UserLock

L'installation s'effectue assez simplement en suivant l'assistant et la documentation disponible en ligne. Le logiciel s'appuie sur une base de données notamment pour stocker l'activité des utilisateurs et pouvoir réaliser du reporting.

Par défaut, le logiciel utilise une base MS Access pour faciliter l'évaluation du logiciel. En production, il conviendra d'utiliser un système supporté et adapté, à savoir : MS SQL Express, MS SQL Server ou MySQL.

Pour ma part, j'ai utilisé la base MS Access dans le cadre de l'évaluation de cette fonctionnalité, et j'ai simplement installé un serveur principal. La solution propose d'installer un serveur de secours dit "Serveur de sauvegarde" afin d'assurer la haute disponibilité de UserLock dans votre environnement.

Il est à noter que l'outil n'effectue pas de modification sur l'Active Directory ou à son schéma.

Lorsque l'installation est terminée, nous arrivons sur une interface au design agréable et qui rappelle le "Gestionnaire de serveur" de Windows Server.

Pour surveiller et protéger un hôte, il faut déployer un agent UserLock dessus. Plusieurs prérequis sont à prendre en compte pour que l'agent soit déployé à distance et qu'il fonctionne correctement : le ping doit être autorisé entre les deux hôtes, l'accès au registre à distance doit être autorisé pour le serveur UserLock sur l'hôte distant, et de la même façon le serveur UserLock doit pouvoir interagir via le protocole SMB.

Ensuite, le déploiement d'un agent peut s'effectuer en mode automatique ou manuel. Si le mode automatique est activé, lorsqu'un hôte rejoint la zone surveillée (Unités d'organisation de l'AD sélectionnées lors de l'installation) alors l'agent sera automatiquement déployé sur l'hôte. En mode manuel, c'est à l'administrateur de déclencher l'installation.

Pour ma part, j'ai déployé l'agent sur mon serveur SRV-RDS-01 qui est membre du domaine it-connect.local et qui est un serveur RDS.

III. RDP : configurer le MFA avec UserLock

Pour activer le MFA sur un utilisateur, il faut le déclarer en tant que compte protégé dans UserLock. Cette opération s'effectue dans la section "Comptes protégés" du serveur UserLock, à savoir "SRV-MGMT-01" dans mon exemple.

Un assistant est là pour nous guider... Nous pouvons déclarer un compte protégé pour un utilisateur, pour un groupe ou même pour une unité d'organisation complètement, ce qui facilite la gestion et l’homogénéisation des règles entre les comptes sensibles.

Pour ma part, je vais seulement protéger un compte utilisateur.

La recherche directement dans l'annuaire Active Directory permet de trouver le compte utilisateur ciblé, dans mon exemple il s'agit du compte "itconnect_admin".

Il est possible de mettre en place des règles de protection sur une période donnée, cette protection temporaire est configurable avec une date de début et une date de fin. Ici, il s'agit d'une protection permanente.

Il suffit de valider, le compte itconnect_admin apparaît dans la liste des comptes protégés. On peut remarquer que pour cet utilisateur, l'authentification multifacteur est pour le moment sur l'état "non configuré".

Pour configurer cette option, il faut double-cliquer sur le compte protégé dans la liste pour accéder à ses propriétés. Sur la page des propriétés, nous retrouvons une section nommée "Authentification multifacteur" : plutôt intéressant.

Il est nécessaire de passer l'option sur "Activée" et ensuite plusieurs options sont proposées :

• Types de connexion : lorsque le choix "non configuré" est retenu alors le MFA s'applique à toutes les connexions de cet utilisateur protégé. Sinon, on peut indiquer que le MFA s'applique uniquement lorsque l'utilisateur se connecte depuis une connexion distante, par exemple depuis son domicile. Autre choix, appliquer le MFA seulement sur une connexion RDP, autrement dit le MFA ne s'appliquera pas sur une ouverture de session locale.

En complément, une autre option nommée "La MFA sera demandée à ce compte" est proposée. Là encore, c'est intéressant puisque l'on peut indiquer que le MFA soit demandé à chaque connexion, même si l'hôte est connu, ou alors on peut demander une authentification MFA tous les X jours, ou encore lorsqu'il s'agit d'une connexion depuis une adresse IP inconnue jusqu'ici.

Une fois la configuration effectuée, on peut l'appliquer. Il ne reste plus qu'à tester... Mais avant cela, sachez que dans la partie configuration il est possible de personnaliser les messages qui s'affichent sur l'interface MFA que l'on va voir juste après lors d'une tentative de connexion.

IV. Le MFA en action sur une connexion RDP

Maintenant que la configuration est en place, il est temps de tester ! Pour cela, je vais me connecter à distance sur le serveur SRV-RDS-01 où l'agent UserLock est installé, à partir du compte itconnect_admin. Voyons ce qu'il se passe.... Tout d'abord, le mot de passe du compte est utilisateur m'est demandé, ce qui est classique.

Ensuite, un formulaire Multi-Factor Authentication s'affiche à l'écran dans la session RDP et reste en attente avant de me donner accès au serveur. Puisqu'il s'agit de la première utilisation du MFA avec ce compte, je dois l'associer avec l'application mobile en scannant le QR Code (ou saisir le long code qui est à l'écran).

Note : il est à noter que le MFA s'active automatiquement sur tous les serveurs où l'agent est installé. Il n'est pas possible de désactiver le MFA sur un serveur si cela est actif au niveau de l'utilisateur (compte protégé). Si vous ne voulez pas utiliser le MFA sur un serveur, dans ce cas l'agent UserLock ne doit pas y être installé.

Voici le formulaire MFA dans le détail :

Note : sur la copie d'écran ci-dessous, vous remarquerez le bouton "Demander de l'aide". En cas de difficultés à se connecter, un utilisateur peut cliquer sur ce bouton afin qu'une notification soit envoyée au service informatique. Cette notification contiendra notamment l'heure de la connexion, le compte utilisateur et le type de session.

Dans l'application, par exemple Microsoft Authenticator ci-dessous, on ajoute un compte et on scanne le code QR à l'écran pour créer l'association. Ensuite, un code temporaire et temporel s'affiche dans l'application, il faut le saisir dans l'interface MFA.

Si le code saisi est correct, alors la session RDP va s'ouvrir ! 😉

Lors des prochaines connexions puisque la clé MFA est déjà générée pour cet utilisateur, il faudra seulement saisir un code que l'on obtiendra via l'application Microsoft Authenticator.

Note : les messages sont disponibles en français, en fait cela se base sur la langue du serveur distant.

Le reporting de UserLock permet d'obtenir la liste des événements liés à la couche MFA, mais aussi de générer des graphiques, par exemple pour avoir le nombre d'événements MFA avec les différents états (MFA réussie, MFA annulée, MFA échouée, etc.) sur une période donnée.

Relativement simple à déployer via UserLock (à voir comment se passe l'intégration sur base de données type SQL Server), l'implémentation du MFA sur une infrastructure renforce nettement la sécurité et cela n'est pas négligeable, surtout avec la tendance actuelle et le boom du télétravail.

Il est à noter que l'éditeur vous propose d'essayer le logiciel gratuitement pendant 30 jours 👍