Rsyslog en duplication de log (sur Redhat)

Rsyslog en duplication de log

Bonjour à tous, aujourd’hui je vais vous montrer comment configurer un serveur Rsyslog en duplication de log, c’est une configuration qui est très très utile quand on bosse sur un SIEM. En effet, parfois les solutions (au hasard Broadcom SEP…) qui émettent du syslog ne permettent pas toujours d’envoyer les logs à plusieurs destinations. C’est gênant car en cas d’étude ou tout simplement changement de SIEM, on ne peut pas dupliquer les logs vers le nouveau système. Si c’est mal géré cela peut obliger à des bascules en mode big bang dans ce genre de situation, ce qui n’est pas pas idéal pour des reprises en douceur.

Mais ce problème peut être simplement adressé avec un petit serveur rsyslog devant le SIEM. En effet ce service possède nativement la fonctionnalité de reforwardé des logs. Du coup, un petit passage dans la doc de rsyslog et un nouveau serveur plus tard et pouf on a la procédure suivante :

Installer et configurer Rsyslog en duplication de log

yum install rsyslog

Puis configurer en éditant le fichier /etc/rsyslog.conf. Notez que vous avez un générateur de configuration automatique fourni directement sur le site du projet. Il faut admettre que la syntaxe n’est … Lire la suite

Chiffrer une base MariaDB pour Gophish

Chiffrer une base MariaDB

Salut à tous, aujourd’hui on va regarder comment on peut protéger des tables de base de données et chiffrer une base MariaDB. En effet, dans ce précédent article sur Gophish, je vous ai montré quelques outils open source pour faire des campagnes de phishing. Ce que je n’ai pas pris le temps de vous dire, c’est que lorsqu’on fait du Phishing en entreprise (ou en presta), on récupère de la donnée personnelle, au sens RGPD, mais genre en masse.

Déjà, en amont de la campagne, votre « client » va devoir vous donner la liste des utilisateurs cibles et leur adresses e-mail. Et puis pendant la campagne, les « victimes » vont s’authentifier sur un portail laisser un nom d’utilisateur, potentiellement un mot de passe, un horaire, etc. Bref, autant je ne fais pas partie des ayatollahs qui considèrent qu’une adresse IP toute seule est une donnée personnelle, autant dans ce type de cas, il n’y a pas trop de débat.

Du coup, on a des obligations vis à vis de ces données : protection, information en cas de pépins, destruction, enregistrement dans un registre du traitement, etc. je ne vais pas vous refaire le RGPD ici. Mais dans ce … Lire la suite

Docker et Portainer part 7 – Mettre à jour Portainer

Docker et Portainer

Salut à tous, J’avais pas tout à fait terminer de vous parler de portainer dans le dernier TP, je devais vous parler de la supervision des performances et consommation RAM/CPU dans Splunk, et du coup en taffant sur le sujet, j’ai dû mettre à jour Portainer. Je me suis rendu compte que je ne vous avais pas documenté cette action.

Rappel des articles de la série « Docker et Portainer » :

Mettre à jour Portainer

Du coup, portainer est un des rares conteneurs qu’on ne peut pas mettre à jour automatiquement (ou en tout cas je n’ai pas trouvé facilement depuis l’interface). Par contre la mise en jour en ligne de commande est très simple et tient … Lire la suite

Docker et Portainer part 6 – NextCloud avec Docker, Déployer un « Cloud » personnel

Docker et Portainer

Salut à tous, Ça vous dirait d’héberger vous même vos propres services « Cloud » (genre maps, notes, photos, contact, calendrier) ? Ça tombe bien aujourd’hui je vais vous parler de NextCloud avec Docker et comment déployer votre « cloud » personnel.

Pour le coup, je précise que suis pas un intégriste Anti-GAFAM quand-il s’agit mes données personnelles (j’ai quasiment tout qui fini ou passe chez Google à un moment ou à un autre). Par contre, quand il s’agit de mes activités « Pro » (à mon taf ou sur mes activités indépendantes avec System Sec) : je suis vachement moi chaud pour laisser trainer des données de clients ou de mon employeur chez eux bizarrement ! C’est dans ce cadre que je me suis retrouvé à monter une petite infra Drive & Notes sur le serveur.

Rappel des articles de la série « Docker et Portainer » :

Lire la suite