Lundi fut une journée 100% théorie de la sécurité, sous toutes ses formes : sécurité des équipements et des locaux, confidentialité et sauvegarde des données, garantir une disponibilité des services tendant vers les 100%, protection contre les menaces externes mais surtout internes, sensibilisation du personnel, consignation de toutes les actions de maintenance et rédaction de procédures, j'en passe et des meilleures. Nous avons rempli un tableau de salle de cours de points de sécurité, c'est vous dire... Ça fait toujours plaisir de voir qu'un bon administrateur systèmes et réseau devrait avoir à appliquer tout ça, bien que la réalité soit parfois radicalement différente (pour des raisons financières, de connaissances voire de professionnalisme).

Mardi fut consacré au pare-feu intégré au noyau Linux, Netfilter - et non pas "iptables", tas d'cons. La dernière fois que j'avais pratiqué activement l'utilisation de Netfilter remonte à environ un an et le moins que je puisse dire est que la reprise a été difficile. Bon, ce n'était pas si je ne connaissais rien de TCP/IP comme les "camarades", mais j'avoue avoir pas mal galéré pour retrouver les mécanismes de réflexion, surtout pour la gestion des suivi de connexions. Je suis ressorti lessivé de cette journée, mais bizarrement cela m'a fait du bien et m'a rappelé les longues heures de TP avec SantX desquelles nous ressortions en ne voyant plus que des netmasks et des --state NEW,ESTABLISHED ;)

Mercredi et hier, journées dédiées à Windows XP. Hum. Rectification : mercredi nous avons hacké des winXP un peu partout dans le monde, scannant des bancs d'IP et constatant avec effroi le nombre de machines vulnérables sur Internet. Hier, pendant que les autres apprenaient à créer leurs propres CD custom genre WinLSD - chose dont je me contrefous - mon formateur m'a conseillé de me remettre sur la configuration de ProFTPD et d'essayer de chiffrer les connexions avec une couche TLS. C'est possible grâce au mod_tls désormais intégré dans les sources et compilé par défaut dans le paquet Debian, et très facilement configurable (quasi-identique à Apache) ; au passage, j'en ai profité pour apprendre et configurer l'authentification via MySQL au lieu de la base de comptes UNIX classique. Donc voilà, le FTP reste ce qu'il est au niveau suivi de connexions - I'M YOUR WORST NIGHTMARE !!! - mais au moins, on ne voit plus passer le contenu en clair sur le réseau...

Enfin, aujourd'hui nous avons fait du proxy sous GNU/Linux avec l'incontournable Squid. Je n'en avais jamais fait, ne serait-ce que pour essayer... c'est désormais dans la poche. Pendant que les autres galériens peinaient à recopier de simples lignes de commandes écrites au tableau, je me suis lancé encore une fois sur le conseil de mon formateur sur une version un tantinet plus hardcore du TP, à savoir l'authentification des utilisateurs non pas par le biais de auth_ncsa mais par la couche d'authentification centralisée PAM, elle-même renseignée via MySQL. Pfffiouh. J'ai dû passer quatre ou cinq heures dessus mais avec l'aide de mon formateur j'ai réussi à en venir à bout :)

J'ai trouvé la technique pour ne pas péter un plomb dans cette formation : plutôt que d'être freiné par les autres je fais mon truc dans mon coin, et les formateurs sont les premiers à me le proposer. J'apprends à installer, configurer voire sécuriser des services que je ne connaissais pas encore ou peu... peut-être qu'un jour je pourrai réaliser tout ça en entreprise. Mouahahaha !!


Choose your future. Choose to sysadmin.

...quoique :þ~