Bonjour à tous,
Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
..) et chaque profil n'a accès qu'à ce qu'il a besoin.
Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à
valider, l'
Bonjour,
Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion
Il avait été présenté dans ce podcast :
https://www.nolimitsecu.fr/the-bastion/
Je ne sais pas si c'est simple à déployer...
À bientôt
François
Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> Bonjour à tous,
> A
+1
Nicolas Girardi.
> Le 13 avr. 2021 à 10:34, Francois Lesueur a
> écrit :
>
> Bonjour,
>
> Peut-être "Le Bastion" de chez OVH ? https://github.com/ovh/the-bastion
> Il avait été présenté dans ce podcast :
> https://www.nolimitsecu.fr/the-bastion/
>
> Je ne sais pas si c'est simple à déplo
Je n’ai pas la solution parfaite, mais déjà dans ton .ssh/config tu peux
mettre un "SeverAliveInterval 30" pour maintenir la connexion, on peut même
baisser a 5 pour les 4G dans le train :-)
Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un
tmux dans le shell (sur le bastio
Salut Mickael,
Regarde du côté de Wallix + OneLogin
(https://www.onelogin.com/partners/technology-partners/wallix).
A+
Le 13/04/2021 10:28, « Mickael Hubert » a écrit :
Bonjour à tous,
Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
connectons à des accès VPN,
Hello Mickael,
Par le passé, j’ai mis en place cet solution https://goteleport.com/ en tant
que Bastion SSH avec record session + 2FA Hard Yubikey.
Intégration transparente au niveau de OpenSSH tant que la config est bien faite
et qu’un login au bastion est réaliser.
Je ne travaille plus dans l
+1
Avec le bastion Wallix on peut proxyfier tous les flux d'admin et notamment
les flux SSH.
Si mes souvenirs sont bons, d'après la norme PCI-DSS une seule 2FA est
nécessaire. Celle-ci peut être faite au moment de l'authentification sur le
Bastion.
Une fois sur le Bastion, en fct des privilèges le
Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> Bonjour à tous,
> Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
> connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
> ..) et chaque profil n'a accès qu'à ce qu'il a besoin.
> Mais dans le cadre de notr
Le mardi 13 avril 2021 (10:40), Remi Desgrange écrivait :
>
> Pour les clés 2FA phy les yubikey cpas mal.
>
C'est hors sujet par rapport à la question posée mais je signale que
les clefs fido2/U2F peuvent aussi rendre plus souples l'usage des
clefs ssh. Avec un ssh pas trop vieux supportant les
Bonjour,
Pour ma boite je cherche des gens qui peuvent me faire maintenance software
(pas hardware) d'un mx80 et me fournir une license S-MX80-SA-FP :)
Merci de me répondre en privé :)
Cordialement,
Xavier
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Le 13/04/21 à 10:40, Remi Desgrange a écrit :
> Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un
> tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce
> que tu fais (compliance toussa) + retour de la session si le SSH coupe.
Sauf que je suppose qu
On Tue, Apr 13, 2021 at 11:01:29AM +0200, Julien Escario wrote:
>
> Le 13/04/2021 à 10:26, Mickael Hubert a écrit :
> > Bonjour à tous,
> > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous
> > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc
> > ..) et
Le 13/04/2021 à 13:33, Will van Gulik a écrit :
> Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support
> u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs
> derrnière n'ont pas encore de ssh 8.2 ? Je suis dans un cas similaire,
> j'aimerai faire du 2FA, proba
Il semble que Arista-2, quand il reçoit les routes de Arista-1, juge ces routes
meilleures que celles apprises en eBGP. Cela se voit au nombre de routes reçues
en retour par Arista-1 (i.e. quasi rien). Arista-2 juge donc que pour sortir de
ton AS il faut aller vers Arista-1 via le lien « iBGP »,
Hello.
C'est quelque chose qui est de l'ordre du protocole BGP.
Au sein du même AS dans lequel tes routeurs de bordures font partis, il n'y
a pas de prepend de l'AS-PATH quand la route est apprise de l'autre côté.
Donc il cherche la route la plus courte d'un point de vue de "l'extérieur"
Si tu ve
Hello
Je rajouterais que sur Cisco et Arista (peut être d autres) il y a l
attribut weight qui reste purement local et prévaut devant le localpref.
++
Pierre
Le mar. 13 avr. 2021 à 16:29, Alexis Lameire a
écrit :
> Hello.
> C'est quelque chose qui est de l'ordre du protocole BGP.
>
> Au sein
Le 13/04/2021 à 15:24, Julien Escario a écrit :
Note : gpg-agent ne semble pas
supporter l'agent-forwarding (ou j'ai loupé un truc).
gpg-agent supporte l'agent-forwarding. Je l'utilise avec une clé Yubico.
C'est assez pratique et, je pense, pas si dangereux que ça car tu dois
valider chaque
On Tue, Apr 13, 2021 at 03:24:48PM +0200, Julien Escario wrote:
>
> Le 13/04/2021 à 13:33, Will van Gulik a écrit :
> > Question bête (encore une ;)), est-ce qu'avoir ssh 8.2 pour le support
> > u2f sur le bastion (uniquement) pourrait fonctionner si les serveurs
> > derrnière n'ont pas encore de
Bonsoir,
On a repris un opérateur récemment et ses ressources IP & ASN publiques
(d'autres vont suivre). Les ressources sont en train d'être migrées au
niveau du RIPE pour être rattaché à notre LIR principal.
Dans un souci de simplification (et soulager vos routeurs), je voudrais
éteindre le vie
❦ 13 avril 2021 18:28 +02, Will van Gulik:
> De ce que j'ai lu dans le man et en re-regardant ma conf, j'utilise le
> forwarding-agent dans ma config, et je me connecte à un host (final) via
> un bastion. Dans ce cas, j'ai une clef pour mon bastion, et des clefs/une
> clef pour mes
> serveurs d
Le 13/04/2021 à 18:57, Cedric Schwoerer a écrit :
> Bonsoir,
>
> On a repris un opérateur récemment et ses ressources IP & ASN publiques
> (d'autres vont suivre). Les ressources sont en train d'être migrées au
> niveau du RIPE pour être rattaché à notre LIR principal.
>
> Dans un souci de simpli
+1
et mettre les deux AS (anciens et nouveaux) dans RPKI pour le meme
subnet, histoire de.
Bien sur cela n'est possible que lorsque tous les subnets sont sous le
meme LIR. Le 'peut pas' viens peut etre de la..
CQFD
On 13/04/2021 21:09, Spyou wrote:
Le 13/04/2021 à 18:57, Cedric Schwoerer
On Tue, Apr 13, 2021 at 09:09:33PM +0200, Spyou wrote:
>
> Le 13/04/2021 à 18:57, Cedric Schwoerer a écrit :
> > Bonsoir,
> >
> > On a repris un opérateur récemment et ses ressources IP & ASN publiques
> > (d'autres vont suivre). Les ressources sont en train d'être migrées au
> > niveau du RIPE
On Tue 13 Apr 2021 18:57:27 GMT, Cedric Schwoerer wrote:
> Dans un souci de simplification (et soulager vos routeurs)
Un préfixe est un préfixe, sauf si tu peux aggréger des préfixes
ensembles (et ne plus annoncer les more-spec) ça prendra exactement la
même place en TCAM.
--
Alarig
--
Hello,
Le mardi 13 avril 2021 à 18:57 +0200, Cedric Schwoerer a écrit :
> On a repris un opérateur récemment et ses ressources IP & ASN
> publiques (d'autres vont suivre). Les ressources sont en train d'être
> migrées au niveau du RIPE pour être rattaché à notre LIR principal.
>
> Dans un souci
C'est ce que je fais actuellement.
Mais le but c'est de vraiment simplifier au maximum le travail, la doc,
le réseau.
Mais il y a une paire de Mikrotik qui tient l'ASN actuellement que je
souhaite supprimer. Lui faire rentrer du trafic pour le faire ressortir
sur l'ASN principal derrière (avec
Hello,
Bon j'ai eu pas mal de retours, où tout converge vers la création d'un
2e objet route en parallèle, avec le nouvel ASN.
Effectivement, on m'a mis en garde sur les "mnt", surtout quand un
transfert de ressource est impliqué. On peut vite s'emmeler les
pinceaux quand on manipule des ressour
> Alexis Lameire a écrit :
> C'est quelque chose qui est de l'ordre du protocole BGP. Au sein du même AS
> dans lequel tes routeurs
> de bordures font partis, il n'y a pas de prepend de l'AS-PATH quand la route
> est apprise de l'autre
> côté. Donc il cherche la route la plus courte d'un point de
Michel,
Il faut lire...
Arista a un gros défaut oui c’est son temps pour programmer les routes. Tout
est en CPU est c’est long très long trop long (coucou quand tu as plus de 3M de
routes)
A la place ils ont fait des mécanismes pour qu’en moins de 60ms si je ne me
trompe pas ça bascule sur un
Salut Julien,
> Julien OHAYON a écrit :
> Michel, Il faut lire... Arista a un gros défaut oui c’est son temps pour
> programmer les routes.
> Tout est en CPU est c’est long très long trop long (coucou quand tu as plus
> de 3M de routes)
Mais c'est pas une excuse ? j'ai un full-feed sur un Cisco
Je te rejoins Michel.
Si j'ai 3 reproches à faire à Arista ce sont :
- La lenteur BGP
- Ne pouvoir avoir que 4000 VLAN sur une machine. Tu ne peux pas comme sur
IOS-XE ou XR par exemple avoir des sub avec un vlan déjà existant mais
différent.
- Ne pas faire de PPPoE ou L2TP (mais ca je leur p
Le mercredi 14 avril 2021 à 06:30 +, Julien OHAYON a écrit :
> - Ne pouvoir avoir que 4000 VLAN sur une machine. Tu ne peux pas
> comme sur IOS-XE ou XR par exemple avoir des sub avec un vlan déjà
> existant mais différent.
Ah bon ?
CR01-TH2#sh run int eth 5/3.666
interface Ethernet5/3.666
Oui mais c’est le même vlan ça Clément :)
Julien OHAYON
> Le 14 avr. 2021 à 08:40, Clement Cavadore a écrit :
>
> Le mercredi 14 avril 2021 à 06:30 +, Julien OHAYON a écrit :
>> - Ne pouvoir avoir que 4000 VLAN sur une machine. Tu ne peux pas
>> comme sur IOS-XE ou XR par exemple avoir des
> Julien OHAYON a écrit :
> Je te rejoins Michel. Si j'ai 3 reproches à faire à Arista ce sont :
> - La lenteur BGP
Pas d'excuse. Vu que je suis le troll institutionnel de cette liste, j'ai le
déplaisir de constater, à mon grand regret, que faire du BGP ce n'est pas à la
portée de tous les vend
34 matches
Mail list logo
