App Splunk : développer un TA pour VSFTPD

Splunk Logo

Salut à tous, j’espère que vous avez passé des bonnes vacances ? Aujourd’hui on continue la série d’article sur Splunk et on va intégrer des logs dans Splunk sans utiliser une application existante. On va développer notre propre App Splunk de type « TA » pour intégrer des logs VSFTPD. La documentation officielle de Splunk sur le sujet est ici et .

C’est quoi une « App » Splunk déjà ?

Techniquement, une App Splunk est un ensemble d’éléments Splunk parmi des scripts, rapports, commandes de recherche, d’entrées de données, de sourcetypes, de lookups, d’alertes, etc. packagés ensemble pour une technologie ou un cas d’usage spécifique dans le but de faciliter la vie des utilisateurs, opérateurs ou des admins.

Dans ces Apps, vous entendrez aussi parler d’Add-on de Splunk, il s’agit également d’applications au sens technique, mais dépourvu d’interface graphique.

Et encore parmi ces Add-on, on trouve encore les « TA » (pour « Technology Add-on ») qui sont des Add-on spécialisés dans la collecte, l’analyse et la normalisation (au sens CIM) de sources de données particulières pour aider à leur intégration dans Splunk. Si vous vous souvenez, mes TP Splunk sur Nginx et iptables se basaient sur … Lire la suite

Augmenter la taille d’un disque dur sous Linux avec LVM et Hyper-V

Augmenter la taille d'un disque dur sous Linux avec LVM

Salut à tous, aujourd’hui un TP axé système pour savoir comment Augmenter la taille d’un disque dur sous Linux avec LVM sous Hyper-V . En effet, j’ai rencontré ce cas de figure récemment après avoir taillé un /var un peu trop court sur une de mes machines virtuelles. Et si on trouve plein de documentation sur LVM pour redimensionner ses partitions et ajouter d’autres disques dans un volume group, le changement de la taille physique du disque dur n’est pas vraiment abordé correctement en ligne à mon goût. D’où ma tentative de répondre à cette question, ci dessous.

LVM ?

Si vous ne savez de que c’est (mais qu’est ce que vous faîtes ici alors ?) : c’est pour Logical Volume Manager. C’est mieux expliqué sur Wikipédia, donc je ne vais pas m’étendre la dessus. Pour faire simple, cela permet d’ajouter une couche d’abstraction entre vos volumes physique et les partitions utilisée par l’OS et ainsi de gérer logiciellement le partitionnement, la réplication ou encore la taille des partitions utilisé sur la machine ; et de changer tout ça dynamiquement…

Le schéma ci dessous résume vite fait quelques concepts en jeu dans un système LVM.

Augmenter la taille d'un disque dur sous Linux avec LVM

Augmenter la taille d’un

Lire la suite

Attaques par clés USB

Attaques par clés USB

Salut à tous, aujourd’hui on fait le point sur les attaques par clés USB. Vous avez entendu parler de ces attaques « théoriques » ou un attaquant dépose une ou des clés USB pourries sur le parking de l’entreprise, puis attends gentiment que les utilisateurs du SI la branche pour « voir ce qu’il y dessus » ?

Alors bon, même si les attaques hardware sont à la mode, il semble qu’elles soient « limitées » dans la réalité, surtout à cause des moyens qu’elles nécessitent :

  • D’abord, il faut acheter du matériel, parfois relativement coûteux, surtout s’il ne s’agit pas de clés USB classique.
  • Parfois il faut customiser le matériel : boitier, apparence, firmware, software.
  • On doit alors se déplacer physiquement pour les déposer.
  • Pour finir, avec un taux de réussite très aléatoire.

Attaques par clés USB, Desktop.ini et Hash NTLM

Pour finalement un impact qui me semblait jusqu’ici  « limité » à un accès plus ou moins privilégié à la machine qui reçoit la clé… C’est à dire moins intéressant qu’une bête campagne de mails piégés. Du coup, je suis un peu tombé de ma chaise en lisant cet article (à lire!), ou le « petit Kevin » Lire la suite

Clés SSH et transferts SCP sans mot de passe

Transferts SCP sans mot de passe

Salut à tous, aujourd’hui un rapide tuto pour sécuriser et automatiser des transferts SCP sans mot de passe entre 2 machines linux. Pour ça on va utiliser des clés SSH, d’un point de vue crypto, il s’agit simplement d’un système classique clé publique/privée où vous installer votre clé publique sur un serveur puis vous utilisez la clé privée associée pour prouver votre identité auprès de ce serveur. A noter qu’un problème de ce système pour SSH c’est qu’il ne supporte pas nativement les certificats X509 et que par défaut il faut utiliser un format SSH « maison ». Il existe néanmoins des builds de openSSH supportant les certificats numérique standard comme PKIX-SSH.

Et sans transition la procédure pour mettre ça en place avec des clés SSH classiques.

Génération de clés SSH

Sur le serveur qui devra exécuter SCP et établir la connexion TCP :

apt-get install openssh-client

Puis générer une bi-clé RSA pour SSH :

ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): /home/user/.ssh/script1_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/script1_rsa
Your public key has been saved in 
Lire la suite