Archives mensuelles : novembre 2022

Synology – mise à jour de docker-compose

Par défaut les NAS Synology DSM 7 sont livrés avec docker et docker-compose.

Cependant la version de docker-compose est assez ancienne en version 1.xx alors que nous sommes déjà en version 2.13.

Bref, pour faire simple, le mieux est de rajouter dans votre PATH utilisateur, un répertoire et de mettre une version à jour de docker-compose.

Pratique

connectez-vous en ssh sur le nas avec un compte qui peut utiliser docker.

faites un test:

docker-compose -v
docker ps

allez dans votre HOME, => cd

Remarques: faîtes bien le cd , le bash synology DSM7.1 a un problème sur le répertoire par défaut à la connexion.

créez un répertoire bin à la racine de votre HOME dans lequel vous mettrez tous vos binaires.

mkdir bin
nano .bashrc

ajouter:

export PATH="/volume1/homes/monhome/bin:$PATH"

puis appliquer les modifications à la session courante:

source .bashrc

enfin dans le répertoire bin:

cd bin
curl -L https://github.com/docker/compose/releases/download/v2.13.0/docker-compose-`uname -s`-`uname -m` -o docker-compose

changer la version par la dernière présente sur https://github.com/docker/compose/releases/

faites un test:

docker-compose -v

K3OS, Proxmox et cloud-init

Rapide tutoriel pour install K3OS sur Proxmox et avoir une configuration basique cloud-init.

Pourquoi?

K3OS est le remplaçant de rancherOS avec une base de k3s et une automatisation de sa maintenance, idéal pour du self-hosted.

Proxmox est un virtualiseur léger et puissant.

Sauf que K3OS de base à 2 défauts,

  • un clavier US uniquement
  • une connexion ssh par clef uniquement, bien, mais très limitatif quand on a que noVNC et sans copier-coller…

La solution

  1. créer votre vm classique avec l’image iso K3OS sans la démarrer.
  2. Dans la section matériel, ajouter un lecteur cloud-init
  3. dans la section cloud-init maintenant accessible, configurer l’utilisateur à « rancher » et SSH clé public avec votre clé.

démarrez en mode live-cd.

Attention le clavier est en Qwerty, donc regardez un mapping sur internet pour les touches dont vous avez besoins.

  1. connectez-vous avec le compte rancher sans mot de passe (entrer).
  2. créez un répertoire cd : mkdir /home/rancher/cd
  3. monter le cdrom: mount /dev/cdrom /home/rancher/cd
  4. lancez l’installation: sudo k3os install
  5. à l’étape cloud-init, dîtes yes, puis en path /home/rancher/cd/user-data
  6. finissez l’installation
  7. sur votre poste configurez votre ~/.ssh/config avec par exemple:
Host k3os
 HostName 192.168.1.XX
 User rancher
 PreferredAuthentications publickey
 IdentityFile /Users/moi/mnt/p/.ssh/id_ed25519

au reboot:

ssh k3os

Et voilà!

P.S.: vous pouvez enlevez les volumes cloud-init ensuite.

Sécurité – Les demandes de certificats trahissent votre infrastructure

Comment les demandes de certificats peuvent trahir la structure publique et privée de votre infrastructure.

La sécurisation des communications est une réelle avancée dans l’amélioration de la vie privée.

Aujourd’hui les certificats ACME fournis par Let’s Encrypt ou ZeroSSL représentent la majorité des certificats utilisés dans le monde. Les statistiques le montre.

Cependant peu de gens savent ou prennent en compte que ces demandes sont publiques.

Et Alors ?

Un exemple

https://crt.sh/?q=voila.fr

Vous y verrez par exemple pour le site voila.fr possède des sous admin vip, etc, certains en wildcard ou ne répondant plus.

Même constat avec orange.fr par exemple.

Vous me direz, ou est le problème ?

Il est simple, vous informez la terre entière que vous avez un service nommé par exemple billing.stagingrealdata.macompagnie.fr , ce service est une cible privilégié.

Pourquoi ?

  • Ce service est peut-être en développement, vous ne voulez pas forcément communiquer dessus
  • La sécurité de ce service, n’est pas forcément parfaite, par exemple il peut avoir des comptes de test plutôt génériques avec des mots de passe très sommaire.
  • être non maintenu
  • être seulement accessible en interne, mais donne tout de même l’architecture de votre infrastructure alors que vous pensiez l’avoir protégée et cachée derrière un wildcard dns fictif.
  • et je vous laisse chercher les autres raisons.

Conclusion

A l’aire du Zero Trust, ce n’est pas grave en soit, mais ajoute une menace supplémentaire.

Bien-sûr tout ça va également dans le bon sens.

Référence et notes

https://github.com/SSLMate/certspotter/