Résultats de recherche pour bref

The Hive & Cortex et installation Docker…

Posté le de Aucun commentaire ↓

Bonjour à tous, je me suis rendu compte que je ne vous ai jamais parlé du projet The Hive & Cortex. Et comme je refait un peu de docker ces derniers temps, je trouve que c’est l’occasion de vous faire un petit tuto sur The Hive.

Rappel des articles de la série « Docker et Portainer » :

The Hive, c’est quoi ?

The Hive est une plateforme open-source de réponse à incident. Open Source jusqu’en version 4, … Lire la suite

Rsyslog too many open files

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je voulais vous partager une erreur que j’ai rencontrée récemment avec une infra Splunk, plus exactement avec la couche de collecte Rsyslog (vous savez celle que je recommande dans mon podcast sur les 10 commandements du SIEM). Cette erreur qu’on a fini par identifier dans les journaux avec le message suivant « rsyslog too many open files » et plus précisément la ligne suivante :

May 06 05:47:13 myserver rsyslogd[6896]: file '/splunk-inputs/PROXY/myproxyhost/2022-05-06T03+02-PROD-PROXY.log': open error: Too many open files [v8.24.0-41.el7_7.2 try http://www.rsyslog.com/e/2433 ]

Le log d’erreur arrive dans /var/log/message à priori. Néanmoins, de mon côté on ne l’a vu que depuis la commande journalctl, quelques exemples qui m’ont permis de la mettre en avant :

journalctl --no-pager | tail -f
journalctl -u rsyslog
journalctl --no-pager > /tmp/rsyslogtmp.log

Par défaut, la limite pour rsyslog était à 1024 fichiers ouverts simultanément sur notre système. Pas bien clair sur le pourquoi car les limites systèmes (cf. fichier /etc/security/limits.conf) été bien à 64000 :

ulimit -Sn
64000

Pour autant notre processus rsyslog plafonné à 1024 fichiers. Ce qui causait une erreur bien zarb où on perdait 15min de log au début de chaque heure. Du coup, avec l’aide … Lire la suite

Flameshot

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je vous partage juste un pointeur vers un petit outil que les jeunes m’ont conseillé : Flameshot, et c’est par ici que ça se passe :

https://flameshot.org/

Du coup, l’outil complète (voir remplace) bien les capacités de l’outil Capture, présent sur Windows par défaut. Notamment avec une pelleté de raccourcis clavier, et surtout la capacité à éditer votre capture directement dans l’App (mettre des flèches, des encadrés, du texte, flouter un endroit ou surligner un autre).

En double effet kiss-cool, l’outil est open source, sous licence GPL3 qui oblige à conserver le code en open-source si vous voulez faire votre version quand même.

Et en cerise sur le gâteau, celui-ci est disponible pour Windows, Mac et Linux (et pilotable en ligne de commande). Tout ceci ce vous permet d’utiliser le même outil partout. Ce n’est pas négligeable si, comme moi, vous travaillez avec plusieurs OS au quotidien.

Flameshot

Bref, c’est plutôt pas mal du tout ce truc. Aussi je vous invite à regarder, l’essayer et probablement l’adopter. Pour les téléchargement, c’est sur le GitHub : https://github.com/flameshot-org/flameshot/releases/latest

Capturez bien !… Lire la suite

BlockList iptable avec Splunk et d’AbuseIPDB

Posté le de Aucun commentaire ↓

Bonjour à tous, aujourd’hui je continue avec un article qui suit ce qu’on avait fait avec la Blacklist Iptables AbuseIPDB la dernière fois. Cette fois on va voir comment construire une BlockList iptable avec Splunk et d’AbuseIPDB.

Qu’est ce que j’entends derrière ce titre ? Simplement que la blacklist ma dernière fois n’est pas très « maline ». Dans le sens, où on verrouille juste 10 000 IP comme des bourrins et sans trop se demander si les vulns ou services qu’elles checkent nous concerne en effet. Alors, ça ne sert pas à rien hein. C’est une bonne base à bloquer facilement mais ce n’est pas forcément utile dans le sens où ces 10 000 ne se connecterons pas forcément à votre site ou infra au final.

En effet, ce qu’on souhaiterai plus, notamment dans une optique de CTI (Cyber threat Intelligence) : c’est de bloquer (sinon détecter au moins) celles qui se connectent effectivement sur nos services (genre à la fail2ban). Le problème c’est que fail2ban c’est bien en protection mono instance. Mais, quand vous protégez tout un système d’information, ça ne passe pas super bien à échelle. Par exemple, je vous laisse imaginez quand vous … Lire la suite