Gestion wapt – all in one package

Salut ça fait longtemps !      Aujourd’hui un article wapt, ça change ^^

Je vous propose de manager wapt de manière différente. On va oublier 30 secondes la console et on va créer un paquet wapt qui va installer des paquetwapt…

Avant WAPT, j’utilisais WPKG. Et ce que j’aimais bien faire c’était gérer les paquets à installer en fonction du nom des postes.

On va faire la même chose avec wapt. Le principe de fonctionnement est le suivant: J’installe sur tous mes postes un paquet wapt nommé tis-all-in-on-package

Et dans ce paquet je définis la liste paquets wapt à installer, supprimer ou oublier. en fonction de différents tests.

J’ai donc fait un paquet wapt d’exemple  ici :
https://wapt.lesfourmisduweb.org/tous-les-packages?recherche=smp-all-in-one-package

Il inclut un certain nombre d’exemples que vous pouvez reproduire !

Je peux donc aller aussi loin que python me le permet dans la finesse de choix des paquets à installer.  Lorsque l’on a un gros parc, c’est quelque chose de très pratique. Un seul paquet wapt gère l’ensemble du parc.

Je sais que certain d’entre vous aimerait gérer la liste des logiciels àge installer en fonction des OU présente dans l’ad. Avec ceci cela pourrait être possible 😉

 

Checker les dernières version des logiciels en ligne

checklist

Bonjour

Dernière petite nouveauté pour mon dépôt.
Avant, pour savoir que je devais faire un paquet wapt je devais m’amuser à aller vérifier les sites à la main et c’était un peu au petit Bonheur la chance ou alors je devais attendre qu’un utilisateur m’indique une mise à jour.

J’ai donc fait un petit script qui va surfer et vérifier à ma place toutes les heures si une mise à jour est disponible et va ensuite m’envoyer un email si la version a changé depuis la dernière fois.

Je ne vais pas publier ce script car vraiment il n’est pas très propre et au prochain changement de design des sites, tout peut sauter. Je modifierais donc en conséquence

En revanche, vous avez ici :
https://wapt.lesfourmisduweb.org/wapt/resultupdate.txt

…la sortie du script, et vous pouvez donc l’exploiter si vous le souhaitez.

Avec ce genre de script a mettre en crontab :

adressemail=blog@lesfourmisduweb.org
pathtemp=/tmp/resultupdate.txt
path=/home/simon/resultupdate.txt
rm -f $pathtemp
wget https://wapt.lesfourmisduweb.org/wapt/resultupdate.txt -O $pathtemp
DIFF=$(diff $path $pathtemp)
if [ "$DIFF" != "" ]
then
echo -e "Des mises a jours sont visiblement disponnible : \n\n"$DIFF'\n\nPensez a faire le Paquet WAPT ' | mail -s "Mise a jour logiciel disponnible en ligne" $adressemail
rm -f $path
mv $pathtemp $path
fi
rm -f $pathtemp

Puis ajoutez le en crontab :

crontabe -e

ajoutez :

0 */5 * * *  /chemin/du/script/majdispo.sh

 

Self Service Password, google apps, office 365 et check password script

change-your-password-623x427

Un petit article utile pour samba et Windows Active Directory

Dans mon établissement nous avons de plus en plus de classe portable (les élèves apporte leur propre pc portable).

Les identifiants et mot de passe pour accéder au wifi, owncloud, etc sont ceux de l’AD, si l’utilisateur veut changer son mot de passe, il doit se connecter a un pc du domaine pour le changer, pas pratique.

J’ai donc mis en place « Self Service Password »:
http://ltb-project.org/wiki/documentation/self-service-password

C’est une page web qui permet de changer son mot de passe :

ssp_change_nooptions

 

Mais cet interface permet donc d’aller encore plus loin et pourrait bien vous changer la vie. En cas d’oublie de mot de passe, le système peut proposer plusieurs méthode pour le réinitialiser:

 

  • Reset by questions
  • Reset by mail challenge (token sent by mail)
  • Reset by SMS (trough external Email 2 SMS service)

Quelques fonctions supplémentaire sont notamment disponible, notamment le fait de gérer plus finement la politique de mot de passe.

Un email peut également être envoyée après un changement de mot de passe afin de détecter des comportements malveillant.

Une dernière fonctionnalités est très intéressante : le posthock

Le posthook est un script où est envoyé le nom d’utilisateur et le mot de passe après le changement de mot de passe.

Je profite donc du posthock pour envoyer le nouveau mot de passe à mon google apps et mon office 365 avec samba4.

En effet, pour samba4, avant, j’envoyai les mot de passe via ce genre de script :
https://github.com/baboons/samba4-gaps

Mais ce genre de script me force à stocker les mot de passe de façon réversible dans l’AD, et je n’aime pas trop ça…

L’autre méthode que j’ai envisager pour  samba est d’utiliser le
« check password script », mais malheureusement cela ne fonctionne plus avec samba4 : https://lists.samba.org/archive/samba/2016-June/200293.html

Edit 08/11/2016 :
Le « check password script » semble être pris en charge dans la version 4.5 de samba. Malheureusement je n’ai pas trouvée de solution pour récupérer le nom d’utilisateur :-/

Ce genre de système est quand même utile avec un active directory, en effet le système de synchronisation  des mot de passe office 365 synchronise les mot de passe toute les 15 minute il me semble. Avec les script office 365 que j’utilise, le changement est instantanée.

Voici donc mon script posthock pour google Apps et office 365:
https://github.com/sfonteneau/script_modify_password_googleapps_and_office365/

Attention ! Pour que le script fonctionne, la politique de complexités de mot de passe doit être sur 8 caractère minimum et 16 maximum !

J’espère un jour que le « check password script » re-fonctionne a nouveau

 

Owncloud – Lecteur réseau – webdav

webfolder

Encore un petit article pour un petit souci que j’ai rencontrée.
dans mon établissement où nous avons montée un owncloud. Le owncloud est très pratique pour les enseignants et élèves à l’extérieur. Avec le client installé à l’extérieur sur le poste personnel des enseignants c’est parfait.
En revanche, en interne, c’est plus compliqué. J’ai d’abord pensé à faire un partage samba pour ensuite monter un lecteur réseau sur la session, mais au niveau des droits entre samba et owncloud c’est un peu plus compliqué.

Lire la suite

Wifi – FreeRadius 802.1x – Squid/SquidGuard

SKU288251-03

Il y a un moment maintenant déjà, j’avais fait un article « Pourquoi il ne faut pas utiliser Squid en mode transparent ? ». J’avais là ma solution de filtrage. Mais pas  forcément la solution d’authentification.

J’avais pensée utiliser packetfence, mais c’est plus une solution de NAC. Pfsense est intéressant également, mais ne convenait pas trop à mon projet. Packetfence est d’ailleurs trop gourmand en ressource.

Je suis donc partie sur le principe me faire ma solution faite main, voici une petite vidéo de présentation de ma solution :

Lire la suite

MAJ – Lutter contre les ransomwares

detecter-logiciel-espion

Il y a quelque temps j’avais fait un article « Lutter contre les ransomwares » :

Lutter contre les ransomwares

Aujourd’hui une petite mise a jour s’impose.

J’ai pris tous les ransomwares trouvées dans ma boite spam et j’ai commencé à les tester un par un.

Ce qui change par rapport au dernier article, ce que je dois faire:

– Ajout de l’extension JS a la liste des extensions non autorisées dans les GPO de restriction logiciel

– Blocage des MACRO dans Microsoft office avec les gpo (admx) fournis par Microsoft: https://www.microsoft.com/en-us/download/details.aspx?id=35554
Basculer le « Paramètre de notification de Macro VBA » a « Désactiver tout sans notification ». Dans mon établissement, personne n’utilise les macros. Je n’ai donc pas d’utilités à les laisser activées

Et bien sûr, maintenir son parc de logiciel à jour pour éviter qu’une faille de sécurité soit exploitée. Exemple: (http://www.lemondeinformatique.fr/actualites/lire-adobe-corrige-24-failles-dans-flash-player-dont-celle-utilisee-par-les-ransomwares-64462.html)

Édit :

Je me contente ici de décrire techniquement et froidement les méthodes.

K3nny a retranscris plus proprement ce que j’ai écris ici :

http://reseaux85.fr/index.php?title=Strat%C3%A9gie_de_Restriction_Logiciel_et_Applocker

et ici :

http://reseaux85.fr/index.php?title=S%C3%A9curit%C3%A9_-_Crypto-Locker/Ransomware

Merci Let’s encrypt de rendre le web plus sûr !

sslicon

J’écris ce que je sais (ou ce que je pense savoir).
Si vous voyez une erreur, n’hésitez pas a me corriger dans les commentaires

——–

Petit article rapide car Let’s encrypt est sortie en beta public !
Et ça marche super bien !! Et c’est gratuit !

Petit rappel le https sert principalement pour l’utilisateur a chiffrer la connexion entre le serveur et l’utilisateur.

Certificat Auto-signé :
Il est possible aujourd’hui de générer aujourd’hui des certificats auto-signé mais il générerons une erreur car il ne sont pas signée avec une autorité de certification reconnue par les navigateurs. Lire la suite

Wpad Chrome Firefox et isInNet(myIpAddress()

Petite article car j’ai été confronté a un soucis tout bête avec le wpad Chrome, Firefox et ie.

Je souhaitais utiliser un truc du genre :

if(isInNet(myIpAddress(), « 172.29.0.0 », « 255.255.0.0 »)) { return proxy_no; }
return proxy_yes;

En gros, si tu est dans le vlan 172.29.0.0 tu n’applique pas le proxy. Mais pour tout le reste oui

Cela fonctionne parfaitement avec ie et firefox mais pas avec chrome 🙁

J’ai donc contacté google pour savoir pourquoi cela ne fonctionnait pas avec eux. Il s’agit en faite d’un bug:  https://code.google.com/p/chromium/issues/detail?id=267101

L’issue est ouverte depuis longtemps mais n’est pas réparée.

Google m’a quand même donnée une solution, utiliser isInNetEx :

Lire la suite