LINUX: Proxmox, Serveur de virtualisation Open-Source

02.09.2013 by MatMoul

Introdution :

Proxmox est une distribution Linux basée sur Debian permettant de créer un serveur de virtualisation tel que VMWare ou Hyper-V.

Pourquoi :

Après de longs tests sur différents serveurs de virtualisations, j'ai retenu cette distribution pour m'affranchir de systèmes propriétaires.

Proxmox a pour principal avantages de consommer peu de mémoire, d'être open source, d'être configurable via une interface web, de prendre en charge le format vmdk de VMWare ainsi que le clustering.

J'ai aussi testé des solutions comme OpenStack ou OpenNebula mais ceux-ci sont trop axés Data-Center pour une petite entité.
Vous pouvez aussi vous renseigner sur OpenNode basé sur CentOS qui est une bonne alternative mais j'ai quand même une préférence pour Proxmox.

Comment :

Il se base sur deux technologies différentes :

  • KVM qui permet de virtualiser un ordinateur.
  • OpenVZ qui permet d'isoler les processus Linux.

Chacun a ses avantages, nous y reviendrons plus tard.

Créer son propre serveur :

Je vous propose un tuto qui vous permettra de créer votre propre serveur de virtualisés.
Je vous site quelques exemples de machines virtuels :


Préparation :

Sélection d'un PC qui fera office de serveur :

  • Mainboard :
    • Controleur HDD le plus performant possible.
    • Utiliser des cartes réseaux physiques (si défectueuse, peut être changée).
  • RAM : (2GB min, de préférence 4GB, si possible 8GB ou plus)
    • 300Mb pour le système.
    • 256Mb pour une VM Linux standard.
  • HDD : (RAID1)
    • HDD1 : 130Gb (SSD)
    • HDD2 : 130Gb (SSD)  
    • HDD3 : 1TB
    • HDD4 : 1TB 
  • Network : (J'utilise 2 cartes pour le router, 3 avec le firewall)

Pour le RAID, il est mieux d'avoir un controlleur hardware mais pour des raisons économiques, je vous présenterais le RAID software dans un prochain poste (Cela ne vous demandera pas de recommencer votre installation).

Télécharger Proxmox :


Créer un média d'installation :

  • CD - Gravez votre iso sur un CD.


Installation :

Etape d'installation pour la version 3.0-0428106c-13.

Démarrer le PC sur le média d'installation.
Appuyez sur Enter pour démarrer l'installation et suivez les instructions.
Cliquez sur "I Agree".
Cliquez sur  "Next".
Sélectionnez le pays, la zone horaire et le clavier et cliquez sur "Next".
Définissez votre mot de passe "root" et votre e-mail et cliquez sur "Next".
Définissez votre nom de serveur (serveur.domaine.loc), IP, NetMask, Gateway, DNS et cliquez sur "Next".
Patientez...
Cliquez sur "Reboot".

Une fois sur le login, l'url d'administration de votre serveur est indiqué sur la console. (https://x.x.x.x:8006/)

Je vous propose d'installer quelques logiciels supplémentaire pour vous faciliter la vie.
On se connecte à la console ou par client SSH (PUTTY) avec le compte "root" et votre mot de passe.

printf "deb http://download.webmin.com/download/repository sarge contrib\ndeb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib\n" > /etc/apt/sources.list.d/webmin.list
wget -O - http://www.webmin.com/jcameron-key.asc | apt-key add - 
apt-get update
apt-get -y install nmon ntpdate webmin

On se connecte à Webmin via un navigateur Web (https://x.x.x.x:10000) (root, votre mot de passe).

Sur la première page, on clique sur "Install Updates Now"
Dans "Hardware - System Time - Time server sync", on définit :
- Timeserver hostnames or addresses : ch.pool.ntp.org 1.ch.pool.ntp.org 2.ch.pool.ntp.org
- Synchronize on schedule : Yes, at times below ..
- Time to sync : 5:40, 12:40


Résumé d'installation :

  • Proxmox : https://x.x.x.x:8006/  (root, votre mot de passe) 
  • Webmin : https://x.x.x.x:10000/  (root, votre mot de passe)

LINUX: Pourquoi passer à Linux !

30.07.2013 by MatMoul

Comme vous avez pu le constater avec l'affaire PRISM, il est dès plus important de revoir ses choix technologiques.

Pour commencer l'OS (Système d'exploitation). Celui-ci est la base de votre ordinateur ou smartphone. Le cercle des concepteurs est très limité. Microsoft, Apple et Google dominent le marcher.

Ces systèmes sont bons mais que savons nous d'eux ? Pas grand chose si ce n'est que l'on peut les utiliser.
Que transmettent-ils dans notre dos ? Impossible de le savoir.

Et c'est là que Linux devient la meilleure alternative pour son côté open-source. Pour faire simple, si vous n'êtes pas tranquille, vous pouvez auditer ou modifier le code pour vos propres besoins ou pour éliminer les parties de codes suspectes.

Je vous propose un petit reportage vous plongeant dans le monde de Linux et de l'open-source.

Nom de code Linux

PRISM: Des alternatives

30.07.2013 by MatMoul

Pour pouvoir passer à la suite, je vous propose encore ce site: https://prism-break.org/.

Celui-ci vous permettra de sélectionner au mieux vos OS, applications, smartphone.

C'est une mine d'or pour les alternatives Open-Source et gratuites.

PRISM: Anonymous et DDOS

04.07.2013 by MatMoul

Pour compléter le sujet des attaques informatiques de base, je suis obligé de faire un parenthèse sur les Anonymous et les attaques DDOS.

Les Anonymous sont un groupe ou plusieurs groupes (normalement un mouvement de base était unique mais certain se sont revendiqués Anonymous est on déclenchés des opérations en parallèle.)

On retiendra la redécouverte de Guy Fawkes (le masque des Anonymous le représente) grâce au film V for Vendetta.

A ne pas confondre avec des pirates qui pénètrent les réseaux pour y voler des informations, ceux-ci utilisent des méthodes d'occupation appelée attaque DDOS.

Maintenant l'attaque DDOS, ça ressemble à quoi ?
Pour faire une comparaison avec la vrai vie, vous pouvez représenter une manifestation visant à bloquer un rue ou un bâtiment. Celle-ci dérange les structures en place par occupation. Il faut un grands nombres de participants pour que la manifestation fonctionne et celle-ci est efémaire. Si il n'y a personne, c'est un échec. Mais dans le cas contraire, c'est que ce mouvement devrait être écouté vu qu'il représente un masse importante de personnes. Mais des lois ont été votée dans la majorité des pays afin de rendre ces revendications illégales.

Si je vous parles des attaques DDOS, c'est que cela est la méthode technologique de manifester. Je vous encourage à prendre en compte ces attaques informatiques comme une forme de manifestation et non comme un crime.

PRISM: Man In The Middle (MITM), ARP Spoofing

04.07.2013 by MatMoul

Voila maintenant que vous savez que vos e-mail circulent en claire sur le réseau et que tous points de transmissions à accès à l'ensemble du contenu, je vais vous présenter les attaques "Man In The Middle".

Ce que l'on nomme attaque "Man In The Middle" ou "L'Homme Du Milleu" et une technique qui consiste à faire transiter tout le flux réseau d'une cible par un point de surveillance.

Une fois le flux dérivé, il est très facile d'écouter ou même modifier le contenu transmit à la cible.

Pour déclencher un attaque MITM, il existe plusieurs solutions.

La plus simple mais nécessitant une complicité des transporteurs d'information (opérateurs télécoms ou des entreprises propriétaires des peerings) est d'installer un système de capture de trafique sur un des points de transmissions. C'est en gros ce que PRISM utilise avec un apport considérable par des remontées d'informations en temps réel des plus grands noms de l'IT.

Une autre méthode très connue est l'"ARP Spooging". Cette techniques permet de dérivé tout le trafique de la cible connectée au même réseau que vous (accès wifi dans un bar, hôtel ou tout autre endroit public). Lorsque j'ai découvert cette faille qui est toujours d'actualité, je n'ai pu m’empêcher de tester cette technique dans un bar avec un accès WIFI et c'est plutôt grisant de voire les cibles s'énerver en essayant d'accéder à FaceBook et se retrouvant sur une page du FBI indiquant que le site était coupé pour raison légale. J'en suis resté là mais il m'aurait été facile de créer un fausse page de LogIn FaceBook et pirater leur compte.

Dans une attaque MITM, il est aussi possible de vous voler votre cookie de session. Prenez l'exemple de votre compte bancaire. Vous entrez votre nom et mot de passe, vous passez le deuxième niveau d'authentification et là quelqu'un vous vole votre cookie et à accès à votre compte. C'est pourquoi il vous faut vous déconnecter du site lorsque vous avez terminé. Cela déconnecte aussi la session volée. De plus, ne vous connectez pas sur des sites sensibles depuis des accès public. Un bon administrateur système ou réseau peut récupérer vos mot de passe e-mail et bien plus.

Actuellement, l'on peut faire ça avec un simple Smartphone Android rooté.

Je ne vous donnerais pas plus d'infos sur le piratage mais sachez que n'importe quel intermédiaire traitant votre flux réseau non crypté est à même d'en modifier le contenu. Je vous conseil vivement de préférez le protocole HTTPS à HTTP. Cela ne vous protégera pas contre la NSA mais face aux petits pirates qui vous voles votre identité ou utilise votre carte bancaire à votre insu et ces futurs ingénieurs qui découvrent ces technologies dans nos universités.