Swimming in the Cryptonote Pools

Botception: a bot spreading scripts with bot capabilities

Stagecraft of malicious office document - a look at recent campaign

WebAssembly Reverse Engineering and Analysis

Red Teamer 2.0: Automating the C&C Setup process

Mirai: beyond the aftermath

HTTP Malware distinguishing features

Tracking actors with their WebInjects

Alex Ionescu - La mort du génie logiciel

Attaques side-channel sur des wallets hardware

Side channel sur le chiffrement dans un chipset mobile

LEIA: un analyseur pour carte à puce

iDRACKAR

WEN ETA JB

L'Audit des GPO

IDArling, plateforme de rencontre pour reverseur

Journey to a RTE-free X.509 parser

DLL Game and auther mis-directions

Mirage: un framework d'attaque BLE

BGP et géométrie Riemmanienne

GUSTAVE: Fuzzing de systèmes d'exploitation embarqué

Dissection de l'hyperviseur VMWare

Watermarking Electro-magnétique

10 ans de challenge SSTIC...

Le challenge SSTIC 2019

Sollution du challenge SSTIC.

RUMP Sessions

rump 1 - SSTIC

Russian style (lack of) Randomness

Le quantique c'est fantastique

Ethereum: chasse aux contrats vulnérables

Analyse de sécurité d'un portefeuille pour cryptomonaies

A tale of Chakra bugs

V2G Injector: whispering to cars and charging units.

Analyse de firmwares de points d'accès

Under the DOM: Instrumentation de navigateurs pour l'analyse JavaScript

Source-Fu: désobfuscation de code source

Hyper-V - Techniques d'attaques et de défense contre la corruption de mémoire

J1

Introduction

Virtualisation dans un cloud de télécomunication

A long way to DevSecOps : Épisode 1, Épisode 2, Épisode 3, Épisode 4, Épisode 5, Épisode 6.

Comme je l’avais annoncé précédemment j’ai effectué une première migration de Blogger à WordPress. Le jour où j’écris ces lignes le blog WordPress est auto-hébergé et fonctionne dans un conteneur, mais pas dans un cluster Kubernetes.

La sécurité de départ

WordPress

Déjà, vous allez me dire qu’utiliser WordPress c’est un peu aimer le risque. On estime que WordPress c’est en 2019 environ 35% des sites Web. Ce qui est déjà conséquent, même trop. On imagine assez facilement le niveau d’exposition, et le nombre de sites qui ne sont pas à jour. Cela me rappelle un certain ver Santy.A qui touchait les forums phpBB. De plus c’est sans compter sur tous les modules additionnels que l’on peut ajouter dans ce CMS. Chaque module utilisé peut potentiellement porter des vulnérabilités et doivent être mis à jour au fur et à mesure des releases, parfois de manière indépendante et parfois de manière liée comme pour les thèmes.

Les conteneurs

Utiliser des conteneurs alors que leur sécurité est très fortement décriée, c’est aller au suicide ? Je pense qu’effectivement, il faudra bien vérifier la sécurité du socle avant de partager des ressources entre différents utilisateurs (aller un ptit lien vers la présentation SSTIC sur la sécurité K8S). Pour ma part, je reste le seul administrateur de ma plate-forme. Les utilisateurs utiliseront les services et passeront tous par l’Ingress de K3S.

Comme je l’avais dit dans l’épisode 1, une des problématiques qui apparait en premier est de savoir quelles sont les images collectées et quel est le contenu de ces images. Avant de les déployer sur l’infra il faut savoir si ces images suivent les bonnes pratiques de sécurité. On commence ici à mettre un pied dans le process de DevSecOps, et ce n’est pas le sujet pour le moment. On reviendra dans le pipeline de développement par la suite, comme je l’ai déjà dit : la route est longue.

Je ne vais pas faire un article complet sur la sécurité des conteneurs. Pour résumer très vite, les droits d’exécution peuvent parfois être plus élevés que nécessaire. C’est ce cheminement vers la sécurité qui a donné naissance à Podman, à Docker en rootless mode (encore abordé à la DockerCon cette année), ou encore à une approche encore plus extrême avec les Kata Containers. Bon l’avantage c’est qu’à l’intérieur du conteneur (qui doit être minimal), l’exposition est réduite. Mais doit être mis à jour à chaque fois qu’une vulnérabilité touche cette base.

Durcissement mail

Dans l’épisode précédent nous avons déployé un service mail. J’ai depuis « durci », en ouvrant sur l’extérieur que les ports nécessaires (super !). Cette mise à jour s’est effectuée de manière transparente en redéfinissant le déploiement et les ports exposés au niveau du conteneur (par défaut si ce n’est pas déclaré, les ports sont fermés). De plus c’est redéfini au niveau de la description du service, qui est exposé à l’intérieur du cluster (voir les services commentés dans le code dispo ici).

Nous avons vu rapidement un des premiers avantages du fichier Manifest YAML, et nous avons pu en quelques lignes faire des modifications n’ayant aucun impact fonctionnel sur le service rendu. Nous allons voir que c’est cette accélération qui est importante et qui va nous apporter un avantage considérable sur la vision du S.I. traditionnel (même si aucun principe au niveau sécurité n’est remis en cause).

Une projection de la sécurité

D’un certain point de vue, je pense que JCVD avait raison, sur la cristallisation d’un état futur, participant à la réussite de son projet. On aurait tout aussi bien pu entendre des mots comme « traçabilité des exigences », « BDD » (Behavior Driven Development), ou plus récemment « DSC » chez Microsoft (Desired State Configuration).

Disclaimer

Je tiens évidemment à refaire un disclaimer au beau milieu de ma réflexion. Car évidemment j’écris ces lignes sans avoir composé de plan particulier, sans savoir ou tout cela va me mener. La forme du discours est lui même contradictoire au fond et au message que j’aimerais faire passer. Mais j’aurais le temps de venir corriger certaines choses, et le plus important est de toujours tenter de s’améliorer. Donc, ce que je vais essayer d’expliquer n’est évidemment que mon point de vue et ce n’est certainement pas partagé par tout le monde. Tous conseils, « vérités » doivent être replacés dans le contexte de ce que l’on veut accomplir…

IaC

« Je code donc je suis« , pourrait dès à présent être remplacé par « Je code ce que j’ai envie d’être ». Dans ces belles déclarations philosophiques, ce qui est intéressant c’est de pouvoir agir à un seul endroit sur le fonctionnel, le service, et la sécurité. C’est aussi peut-être réconcilier au sein d’une même équipe le développeur, l’opérationnel et la sécurité (jusqu’à aujourd’hui c’était difficile).

Découpage en couches

L’avantage du cluster Kubernetes c’est sa faible adhérence au socle d’infra utilisé. Dans mon cas j’ai choisi de le faire fonctionner sur un « compute node » sur un fournisseur Cloud (j’en ferais certainement un billet). Le fournisseur Cloud se charge de maintenir à jour sa base de virtualisation, je dois me charger de maintenir à jour l’OS virtualisé ainsi que la base K3S. Les applicatifs (conteneurs) n’ont aussi que peu d’adhérence avec l’infra de conteneurisation. Tout peut être mis à jour indépendamment de chaque couche. K3S possède aussi une procédure pour se mettre à jour automatiquement, mais n’ayant pas de contrainte de disponibilité je ne l’utiliserais peut-être pas.

Jusqu’à aujourd’hui le principal frein à la mise à jour de l’applicatif, était les fortes dépendances et les impacts forts en production. Le coût estimé était parfois trop lourd vis à vis du risque pris d’arrêter et de redémarrer les services (ou même vis à vis du coût de revient de l’applicatif en production).

Déploiement de WordPress

Manifest YAML

Il suffit de s’inspirer du repo :

Architecture n-tiers

Avec un fichier de déploiement tel que celui utilisé pour WordPress on peut voir que celui-ci utilise deux applications/conteneurs principa(les/aux) :

• WordPress (Application PHP fonctionnant sur Apache)
• Base de donnée MySQL

Avec K3S la sécurité reste minimale car la couche réseau utilisée est aussi minimaliste. Il est possible d’aller plus loin avec des implémentations comme Calico ou Cilium. Et de définir des règles réseau supplémentaires pour les déploiement des services. Je pense que cela pourra faire l’objet d’un article plus approfondi, notamment dans cette volonté de consolider toujours un peu plus notre cluster K3S. On peut voir aussi qu’avec les « Network Policies » ce sont des fichiers YAML qui seront intégrés au projet, et donc que les problématiques de sécurité adhèrent au projet. L’application de ces règles n’impactent pas le service (sauf si des règles viennent à couper des flux nécessaires). Je ne résiste pas à mettre un lien SSTIC intéressant aussi sur eBPF sur Kubernetes.

En première étape, ce qu’il est important de noter, c’est que depuis l’extérieur en passant par Traefik, il est impossible d’accéder directement à la base de données, que les services ne sont pas directement exposés. En deuxième étape, nous verrons plus tard…

La donnée

Toute la donnée importante de ce déploiement est située dans des volumes Kubernetes. L’utilisation d’applicatifs en conteneur répond facilement à une des questions importantes pour un DPO : Où sont situées mes données ? Et personnellement, pour le stockage, la sauvegarde, voir l’archivage des données c’est beaucoup simple : il suffit de sauvegarder tous les volumes persistants du cluster. En réalité, ça fait beaucoup moins de données que si on sauvegarde l’intégralité d’un cluster VMware avec Veeam, beaucoup moins de ressources utilisés et des problématiques de compression et de déduplication qui s’envolent. Il faut noter que des données de configuration sont stockées dans des objets ConfigMap, ou Secrets directement au sein du cluster, et qu’il ne faut pas les oublier…

Conclusion

Je crois que vous avez fini par comprendre où je voulais en venir. Mon but n’était pas technique, sur la toile on trouve suffisamment de ressources pour déployer telle ou telle application. J’avoue que parfois comme les technos vont assez vite, tout n’est pas tout à fait à jour. J’ai essayé de pointer du doigt certaines portes d’entrées, que l’on ose ou pas prendre. J’entends trop de questions ou d’affirmations sur les conteneurs ou Kubernetes qui me font sourire ou pleurer… « Kubernetes ce n’est pas pour nous », « Les conteneurs en production c’est mal », « Docker ce n’est pas secure », etc…

Je pense qu’il faut prendre un peu de recul, et surtout que l’accélération possible offerte par ces technologies est plutôt une opportunité (si vous partez sur les ressources que j’ai fourni, il faut moins de 15 minutes pour avoir des services qui tournent). Il faut se poser les bonnes questions avant de démarrer, mais les possibilités de test, de reproductibilité et d’infrastructure immutable sont de réels avantages pour un expert sécurité qui voudra apporter du hardening par petites touches.

Je pense continuer à apporter des petits compléments dans cette série d’épisodes, mais on peut dire que dès à présent la majorité du message est passé. Si vous avez des commentaires, des compléments, n’hésitez pas : ici ou sur Twitter, c’est permis !!!

L’article K3S/WordPress – A (long) way to DevSecOps – Épisode 4 est apparu en premier sur n0secure.org.

A long way to DevSecOps : Épisode 1, Épisode 2, Épisode 3, Épisode 4, Épisode 5, Épisode 6.

Helm

On va reparler des Charts et de Helm pour accélérer le déploiement de certains éléments. J’ai réussi à monter en compétence sur le contenu des fichiers YAML, et donc on peut passer à la vitesse supérieure. Il faut néanmoins faire attention à ce qui est « auto-magiquement » poussé dans le cluster (revoir la chaîne de confiance et toussa, toussa… bref on ne va pas se répéter…).

Je conseille de passer par une phase de compréhension des éléments contenus dans les fichiers YAML et de bien « galérer » avec kubectl, avant d’accélérer avec Helm.

Installation

Pour installer Helm sur Ubuntu 20.04, c’est assez simple on va passer par snap :

sudo snap install helm --classic

Il faut ajouter dans le fichier .profile du répertoire home :

export KUBECONFIG=/etc/rancher/k3s/k3s.yaml
export PATH=$PATH:/snap/bin
source ~/.profile

Et vérifier que helm accède bien au cluster K3S :

$ helm ls
NAME    NAMESPACE       REVISION        UPDATED STATUS  CHART   APP VERSION

Ajouter le dépôt par défaut :

$ helm repo add stable https://kubernetes-charts.storage.googleapis.com/

Monitoring

On va utilise Prometheus qui est incubé par la CNCF. C’est un logiciel assez prometteur (comme sont nom l’indique), il permet de stocker des métriques dans une base de données temporelle. Il va questionner des « exporters » en HTTP, puis stocke les infos en base. Grafana se charge de la visualisation. Cela permet d’avoir un ensemble plutôt léger programmé en Go.

J’apprécie aussi la couche Beats de chez Elastic, mais mon mini-cluster n’est clairement pas taillé pour accueillir une Elastic Stack (ELK).

[Nouvelle vidéo qui reprend tout ce qui est écrit ici]. Je vous invite à souscrire et à mettre un ptit pouce bleu (nous sommes restés so 2.0 avec le blogging).

Prometheus

Création de l’emplacement de travail

mkdir monitoring
cd monitoring

Téléchargement des valeurs customisables (dans le fichier prometheus.yaml), puis installation (mais ne pas oublier de modifier les valeurs désirées) :

helm inspect values stable/prometheus > prometheus.yaml
helm upgrade --install prometheus -f prometheus.yaml -n monitoring stable/prometheus

Il suffit de modifier les valeurs désirées dans le fichier YAML généré. Dans mon cas j’ai juste changé la classe des PVC (Persistent Volume Claim).

Grafana

helm inspect values stable/grafana > grafana.yaml (dans le fichier grafana.yaml)
helm upgrade --install grafana -f grafana.yaml -n monitoring stable/grafana

Ingress

Un petit apply sur ce fichier et Grafana est accessible sur l’URL mis en paramètre.

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: ingressroutetls-grafana
  namespace: monitoring
spec:
  entryPoints:
    - websecure
  routes:
  - match: Host(`grafana.example.com`)
    kind: Rule
    services:
    - name: grafana
      port: 80

Pour se connecter il faut récupérer le mot de passe « admin » par défaut :

kubectl get secret --namespace monitoring grafana -o jsonpath="{.data.admin-password}" | base64 --decode ; echo

Source

Première étape, ajouter la source « Pometheus » à Grafana. Dans la configuration par défaut du Chart, celui-ci est disponible au sein du cluster à l’adresse : http://prometheus-server:80

Dashboards

Il existe quelques dashboards pré-configurés pour aller plus vite, cependant il est important de passer un peu de temps pour avoir son propre dashboard, et avoir les informations désirées en tête de page.

Node Exporter Full

Étape facile, il faut se connecter sur : https://grafana.example.com/dashboard/import et importer le dashboard ayant l’ID 1860.

Voilà le résultat par défaut :

Kubernetes Dashboard

Pour ce dashboard, il faut importer l’ID 8685 :

Conclusion

Le monitoring est essentiel dans la création d’un cluster Kubernetes de production. Dans notre cas cela peut être assez limité, tant que les services restent minimaux, mais ce n’est plus totalement le cas (on voit déjà de la pression au niveau des process). Il va falloir jouer sur les paramètres d’allocation de ressources des Pods, pour que l’orchestration se passe de manière plus aisée.

L’article K3S/Monitoring – A (long) way to DevSecOps – Épisode 5 est apparu en premier sur n0secure.org.

Installation

Prérequis

Il faut un petit cluster Kubernetes avec 3 nœuds minimum.

Sur Ubuntu il faut installer open-iscsci sur tous les noeuds :

apt-get install open-iscsi

Installation via kubectl

kubectl apply -f https://raw.githubusercontent.com/longhorn/longhorn/master/deploy/longhorn.yaml

Documentation complète : https://longhorn.io/docs/0.8.0/install/

Utilisation

Installation de WordPress

On peut reprendre le fichier manifest déjà présenté précédemment en changeant juste la classe de stockage des données « managed-nfs-storage » en « longhorn ».

Visualisation dans l’interface

On ne voit pas grand chose dans ces captures d’écran, aller voir sur le site officiel si vous voulez approfondir.

Page d’accueil

Visualisation des nœuds actifs

Volumes WordPress

Page de configuration

Conclusion

Ce petit projet vient d’être accepté au sein de la CNCF, semble prometteur pour différents cas d’usage :

• Petits clusters montés rapidement, sans utilisation d’un espace de stockage dédié,
• Clusters bare metal sans déploiement d’un driver de stockage spécifique et dédié,
• Déploiement rapide sur un cluster de VPS (mon cas d’utilisation),
• Etc.

De plus, c’est facile à installer, à comprendre, la sauvegarde et le snapshoting est intégré. (Pour info, il y a des exemples pour monter une sauvegarde rapidement sur Minio). Bref il n’y a plus de prétexte à ne pas utiliser Kubernetes.

L’article Rancher Longhorn 1.0.0 est apparu en premier sur n0secure.org.

Installation de iptables-permanent

Comme son nom l’indique ce paquet permet de sauvegarder en permanent les règles iptables stockées dans les fichiers /etc/iptables/rules.v4 (pour IPv4) et rules.v6 (pour IPv6).

apt install iptables-permanent

rules.v4

Les règles suivantes passent tous les paquets arrivant depuis l’extérieur en DROP. Comme c’est un serveur Web j’ouvre SSH, HTTP, HTTPS. J’accepte aussi les réponses aux requêtes DNS émises, et aux potentielles mises à jour de paquets via APT. J’accepte aussi les requêtes entrantes sur l’interface locale. Puis je log et drop le reste des paquets, ça permet de faire un peu de débogage.

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Acceptable incoming TCP traffic
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 443 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i l0 -m -j ACCEPT
# Log and drop
-N LOGGING
-A INPUT -j LOGGING
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "[netfilter] " --log-level 4
-A LOGGING -j DROP
COMMIT

Il suffit de modifier la configuration rsylog, pour rediriger les logs dans un fichier spécifique (créer un fichier /etc/rsyslog.d/20-netfilter.conf) :

# Log kernel generated UFW log messages to file
:msg,contains,"[netfilter] " /var/log/netfilter.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& stop

Les logs seront situés dans /var/log/netfilter.conf.

rules.v6

Pour l’instant je bloque tout mais je pourrais avoir besoin d’ouvrir, donc je ne désactive pas IPv6.

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*raw
:PREROUTING DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*nat
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT

*security
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT

*mangle
:PREROUTING DROP [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]
COMMIT

Vérification avec Nmap

Un petit quickscan avec Zenmap permet de confirmer la fermeture de la plupart des ports :

Installation de fail2ban

Fail2ban permet de mettre dans « une prison » toutes les requêtes insistantes sur le service SSH (par défaut c’est ce service qui est le plus utilisé mais il est possible de le faire pour HTTP, FTP, SMTP, etc).

apt install fail2ban

Configuration

Les fichiers de configuration sont situés dans le répertoire /etc/fail2ban/jail.conf. Par défaut le service sshd est bien configuré.

Vous pouvez aller voir ici, c’est bien expliqué aussi.

Bonus : utilisation d’OpenSCAP

Utilisation depuis le serveur

apt install libopenscap8

Il faut télécharger les dernières version des listes de configuration de sécurité sous format XCCDF. Ces profils sont librement téléchargeables ici.

Le principal problème c’est qu’il n’existe aucun profil pour Ubuntu 20.04 et que la compatibilité ne doit pas être « immédiate » avec la version 18.04. Il suffit d’utiliser la version pour 18.04 et de tromper la vérification de version dans le fichier ssg-ubuntu1804-ds.xml et remplacer toutes les occurrences de « CODENAME=bionic$ », par « CODENAME=focal$ ».

Puis de lancer cette commande (nous allons vérifier les règles de sécurité basique proposée par l’ANSSI) :

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_anssi_np_nt28_minimal --report report.html ssg-ubuntu2004-ds.xml

La sortie standard ressemble à ça :

Un fichier report.html est généré :

Utilisation avec SCAP Workbench

Il est aussi possible d’effectuer à distance la vérification des règles via une connexion SSH. Il suffit de reprendre le fichier modifié des règles valables pour la version Bionic et de le charger dans l’application Workbench. Une fois l’exécution terminée on obtient directement dans l’application la validation des règles :

Conclusion

Lorsque l’on commence à mettre en place un minimum de règles de durcissement système le mieux est d’aller par étape et de bien comprendre ce que l’on essaye de mettre en place. L’avantage c’est que de nombreux utilisateurs se sont déjà frottés à cet exercice et que de nombreux tutoriels sont déjà disponibles pour aller plus vite.

Mettre en place des procédures pour améliorer la sécurité c’est bien, les vérifier et les contrôler c’est encore mieux (et optimum lorsque c’est périodique). Le projet OpenSCAP est vraiment utile pour le contrôle de ces différents points, celui-ci peut aussi valider si les CVEs sont correctement corrigés même si OpenVAS est clairement plus adapté pour ça.

Pour aller plus loin si vos règles OpenSCAP ne sont pas validées, il est possible via les playbooks Ansible fournis (dans le dossier Ansible), de corriger directement vos systèmes.

L’article Déploiement et sécurisation light d’un VPS sous Ubuntu 20.04 est apparu en premier sur n0secure.org.

A long way to DevSecOps : Épisode 1, Épisode 2, Épisode 3, Épisode 4, Épisode 5, Épisode 6.

Edit 23/07/2020 : Remplacement de « local-path », par un nouveau provisionner de stockage (OpenEBS) qui supporte bien Velero. Un PR a été soumis, et apportera prochainement le support du stockage par défaut de K3S.

Le projet Velero

Historique

Le projet Velero naît sous le nom de « Ark » sous contrôle de l’entreprise Heptio. En 2018 alors que VMWare se rend compte de l’ampleur des technologies Kubernetes, l’entreprise décide d’absorber des compétences pour rattraper son retard sur ces technologies « Cloud-Native ». Il suffit de checker la page Wikipédia de VMWare pour se rendre compte de l’effort accordé aux technos Cloud, et le résultat qu’est aujourd’hui l’offre mature de PKS :

Velero est donc aujourd’hui sous contrôle de VMWare et l’offre « open source » de VMWare se retrouve sous le nom de VMWare Tanzu. On y retrouve Velero toujours librement accessible.

Fonctionnement

Bon, je ne vais pas refaire une nième description de ce logiciel. En gros Velero va sauvegarder tous les éléments permettant de restaurer une application. Une petite démo sympathique se trouve ici.

La sauvegarde des éléments constituant une application peut-être effectuée sur un stockage compatible AWS, c’est ici que l’on va utiliser Minio.

Projet démo

Depuis les dernières releases, il y a un petit projet démo qui est inclus dans Velero. Nous n’allons pas l’utiliser mais il y a toutes les ressources nécessaires pour comprendre rapidement le fonctionnement de Velero.

Installation et utilisation

Installation d’OpenEBS

Avec Helm c’est simple :

helm repo add openebs https://openebs.github.io/charts
helm repo update
helm install --namespace openebs --name openebs openebs/openebs

Installation de Minio

Il est possible d’installer Minio directement sur le cluster Kubernetes. Dans mon cas je l’ai installé ailleurs, pour déporter la sauvegarde en dehors du cluster (disaster recovery). Dans le projet de démo il y a le fichier Manifest nécessaire pour déployer Minio.

Installation de Velero

Ici tout se passe en une ligne de commande. Il faut néanmoins préparer le fichier permettant de se connecter à Minio. Fichier exemple (secrets) :

[default]
aws_access_key_id = accessid
aws_secret_access_key = secretpassword

Il suffit de lancer la commande velero disponible dans la release de votre choix (auparavant il faut créer un bucket sur votre Minio – ici le nom est velero, et d’avoir l’URL de votre Minio – remplacer anywhere.com) :

velero install --provider aws --bucket velero --secret-file secrets --use-volume-snapshots=false --use-restic --backup-location-config region=minio,s3ForcePathStyle="true",s3Url=https://anywhere.com,publicUrl=https://anywhere.com --plugins velero/velero-plugin-for-aws:v1.0.0

La commande velero va pouvoir être utilisée par la suite pour gérer les sauvegardes (elle va se connecter automatiquement sur les APIs de l’application nouvellement déployée sur votre K8S).

Vous pouvez déjà vérifier l’état de santé de votre déploiement avec cette commande :

kubectl get deployments/velero -n velero

Le résultat attendu :

NAME     READY   UP-TO-DATE   AVAILABLE   AGE
velero   1/1     1            1           1h

Utilisation de Velero

J’ai déployé rapidement un Prometheus/Grafana sur mon infra K3S, on va le sauvegarder, le détruire puis le restaurer.

Monitoring

Voir l’épisode précédent.

Attention : il faut customiser le déploiement en utilisant « openebs-hostpath » en tant que StorageClass.

Visualisation du fonctionnement de Grafana

Sauvegarde du namespace Monitoring

Annotation des volumes de stockage (propre à mon déploiement) :

kubectl -n monitoring annotate pod/prometheus-server-596d96465b-lxnnc  backup.velero.io/backup-volumes=storage-volume
kubectl -n monitoring annotate pod/prometheus-alertmanager-644cf8f47c-bf5b4 backup.velero.io/backup-volumes=storage-volume
kubectl -n monitoring annotate pod/grafana-7fb88c95b7-lxzb2 backup.velero.io/backup-volumes=storage

velero backup create monitoring-save --include-namespaces monitoring

Vérification de la sauvegarde

# velero get backup

Visualisation dans Minio

Destruction de l’application

kubectl delete namespace monitoring

Vérification du statut

# kubectl get all -n monitoring
No resources found in monitoring namespace.

Restauration de l’application

velero restore create monitoring-restore --from-backup monitoring-save

Vérification du statut

# velero restore get
NAME                 BACKUP            STATUS      ERRORS   WARNINGS   CREATED                          SELECTOR
monitoring-restore   monitoring-save   Completed   0        0          2020-07-23 11:56:40 +0200 CEST   <none>

Tout est bien restauré et l’application est de retour, et on voit bien le petit temps d’indisponibilité sur la supervision :

Bonus

Politique de sauvegarde

Il est possible via la commande velero de programmer (scheduler :-p) des sauvegardes périodiques.

Toutes les heures avec un maximum d’une journée :

velero schedule create monitoring-hourly --schedule="@every 1h" --ttl 24h0m0s --include-namespaces monitoring

Tous les jours avec un maximum d’une semaine :

velero schedule create monitoring-daily --schedule="@every 24h" --ttl 168h0m0s --include-namespaces monitoring

Conclusion

Nous avons vu depuis le début de cette suite d’articles comment :

• installer K3S,
• déployer un provisionner de stockage (NFS ou vous pouvez utiliser Longhorn, comme je suis retourné sur un master node only, je vais utiliser OpenEBS),
• superviser rapidement le cluster avec une solution de monitoring,
• déployer ses premières applications (WordPress / Portainer),
• les sauvegarder et les restaurer et mettre en place une politique de sauvegarde.

C’est déjà une bonne base d’un point de vue infra, il faudra voir ce que l’on veut approfondir par la suite, plus d’un point vue DevOps. Si vous avez des commentaires, des compléments, n’hésitez pas : ici ou sur Twitter, c’est permis !!! Kenavo.

L’article K3S/Velero – A (long) way to DevSecOps – Épisode 6 est apparu en premier sur n0secure.org.

Précondition : Il faut avoir un Grafana de déployé dans votre cluster Kubernetes. Vous pouvez aller voir ici.

Installation de Loki

Ajout du repo

helm repo add loki https://grafana.github.io/loki/charts
helm repo update

Extraction des valeurs configurables

helm inspect values loki/loki-stack> loki-stack.yaml

Modification des valeurs

Je mets ici un extrait des valeurs pour ma propre configuration (fichier loki-stack.yaml). J’ai limité la période de rétention à une semaine. Et j’ai utilisé comme storageclass OpenEBS. J’ai choisi Promtail pour pousser les logs dans Loki.

loki:
  fullnameOverride: loki
  enabled: true

promtail:
  enabled: true
  loki:
    serviceName: loki

fluent-bit:
  enabled: false

grafana:
  enabled: false
  sidecar:
    datasources:
      enabled: true
  image:
    tag: 6.7.0

config:
  table_manager:
    retention_deletes_enabled: true
    retention_period: 168h

persistence:
  enabled: true
  accessModes:
  - ReadWriteOnce
  size: 10Gi
  annotations: {}
  # subPath: ""
  # existingClaim: ""
  storageClassName: openebs-hostpath

Déploiement

Création d’un namespace logs et déploiement de Loki dans celui-ci.

kubectl create namespace logs
helm upgrade --install loki -f loki-stack.yaml -n logs loki/loki-stack

Configuration de Grafana

Ajout de la source dans Grafana

Consultation des logs

Dans l’onglet explore (en sélectionnant comme source Loki), voici les logs pour le namespace « logs ».

Conclusion

Trop souvent, chercher pourquoi une application ne fonctionne pas dans le cluster Kubernetes c’est problématique. Avec une interface pour visualiser les logs c’est un peu plus facile…

L’article Loki / Grafana sur K3S est apparu en premier sur n0secure.org.

Contexte

J’ai déjà parlé de la sauvegarde Cloud, que j’utilisais personnellement pour les fichiers les plus importants. A l’heure du numérique même si on se remet dans un contexte où la vie est certainement plus importante, et son éphémérité sa véritable quintessence, on peut quand même avoir besoin de sauvegarder quelques fichiers…

Dans quelques jours mon abonnement Office 365 prend fin, j’aurais pu continuer dans le même schéma, mais le but est à défaut de faire mieux, de faire différent. Alors on prend ses petites mimines et en 2 temps 3 mouvements on s’installe un petit NextCloud.

Bonus

Changer le StorageClass par défaut, c’est par ici.

Installation de NextCloud avec Helm

Prérequis

• Cluster Kubernetes (K3S au hasard)
• Helm
• Traefik en frontal

Extraction des valeurs

kubectl create namespace nextcloud
helm show values stable/nextcloud >> nextcloud.values.yml

Modification des valeurs

Voici la liste des valeurs que vous pouvez modifier (dans le fichier nouvellement créé) :

• nextcloud.host : nom de domaine
• nextcloud.password : ce que vous voulez
• internalDatabase.enabled=false : pour installer mariadb
• externalDatabase.enabled=true : pounr activer mariadb
• externalDatabase.password : ce que vous voulez
• mariadb.enabled=true : pour activer le container mariadb
• mariadb.db.password : correspond au password d’externalDatabase
• mariadb.persistence.enabled=true
• redis.enabled=true : pour activer le cache redis et avoir une appli un poil plus réactive
• persistence.enabled=true : pour le stockage de fichiers

Déploiement de NextCloud

helm upgrade --install nextcloud -f nextcloud.values.yml -n nextcloud stable/nextcloud

Note : par défaut le déploiement est très bien adapté à un cluster en déployant Mariadb en master/slave ainsi que Redis. On peut aussi augmenter le nombre de répliquas de l’application et (ou) activer le scaling horizontal…

Conclusion

Premier petit billet d’informations que l’on peut certainement trouver partout sur le net, cela me permet d’utiliser le blog en tant que bloc-notes. A bientôt…

L’article Quick Deploy #001 – NextCloud est apparu en premier sur n0secure.org.

Ce billet peut être la suite de celui-ci : Installation de NextCloud.

Téléchargement du Manifest

Je n’ai pas trouvé quelque chose de satisfaisant pour déployer OnlyOffice, j’ai donc refait un petit Kustomize (de plus j’ai galéré pour qu’il fonctionne derrière Traefik, donc ça peut vous économiser du temps). Il suffit de cloner ce dépot :

Customization du Manifest

Dans le fichier overlays/prod/kustomization.yaml, il faut changer le mot de passe permettant l’accès à OnlyOffice.

Il faut aussi changer l’URL dans le fichier overlays/prod/ingressroute-onlyoffice.yaml.

Installation

kubectl apply -k overlays/prod

Configuration de NextCloud

Ajouter le plugin OnlyOffice (dans les applications) :

Configurer le plugin en renseignant l’URL précédemment configurée, et le mot de passe d’accès (configuration) :

Utilisation

Pour finir, voilà à quoi ça peut ressembler :

Happy Office !!!

L’article Quick Deploy #002 – OnlyOffice DocumentServer est apparu en premier sur n0secure.org.

Extraction des valeurs

helm show values stable/rocketchat >> rocketchat.values.yaml

Valeurs intéressantes

Image

Tag : version docker

image:
  repository: docker.io/rocketchat/rocket.chat
  tag: 3.5.0
  pullPolicy: IfNotPresent

SMTP

smtp:
  enabled: true
  username: 
  password: 
  host: 
  port: 587

Paramètres Mongo

Il faut remplir les 2 champs « password », il est possible aussi de déployer Mongo en cluster avec plusieurs replicas en plus. J’ai ajouté la version de MongoDB, pour pouvoir la mettre à jour par la suite.

mongodb:
  ## Enable or disable MongoDB dependency completely.
  image:
    tag: 4.2.8
  enabled: true

  mongodbRootPassword: 

  mongodbUsername: rocketchat
  mongodbPassword: 
  mongodbDatabase: rocketchat

  replicaSet:
    enabled: true
    replicas:
      secondary: 0
      arbiter: 0
    pdb:
      minAvailable:
        secondary: 0
        arbiter: 0

  persistence:
    enabled: true
    ## mongodb data Persistent Volume Storage Class
    ## If defined, storageClassName: <storageClass>
    ## If set to "-", storageClassName: "", which disables dynamic provisioning
    ## If undefined (the default) or set to null, no storageClassName spec is
    ##   set, choosing the default provisioner.  (gp2 on AWS, standard on
    ##   GKE, AWS & OpenStack)
    ##
    # storageClass: "-"
    accessMode: ReadWriteOnce
    size: 8Gi

Persistance des données de Rocket Chat

persistence:
  enabled: true
  ## rocketchat data Persistent Volume Storage Class
  ## If defined, storageClassName: <storageClass>
  ## If set to "-", storageClassName: "", which disables dynamic provisioning
  ## If undefined (the default) or set to null, no storageClassName spec is
  ##   set, choosing the default provisioner.  (gp2 on AWS, standard on
  ##   GKE, AWS & OpenStack)
  ##
  # storageClass: "-"
  accessMode: ReadWriteOnce
  size: 8Gi

Exemple IngressRoute

Pour avoir accès depuis l’extérieur avec Traefik, voici un exemple de configuration :

Middleware

rocketchat-middleware.yaml :

apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: rocketchat-middleware
  namespace: rocketchat
spec:
  headers:
    contentTypeNosniff: true
    browserXssFilter: true
    #HSTS
    forceSTSHeader: true
    stsIncludeSubdomains: true
    stsSeconds: 31536000
    # remove Server and X-Powered-By headers
    customResponseHeaders:
      Server: ''
      X-Powered-By: ''

IngressRoute

rocketchat-ingressroute.yaml :

"rocket.chat-ingressroute.yaml"
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: rocketchat-https
  namespace: rocketchat
spec:
  entrypoints:
  - websecure
  routes:
  - match: Host(`chat.anywhere.com`)
    kind: Rule
    services:
    - name: rocketchat-rocketchat
      port: 80
    middlewares:
    - name: rocketchat-middleware

Résultat

Installation

helm upgrade rocketchat -f rocket.chat.values.yaml -n rocketchat stable/rocketchat
# installation de la configuration traefik
kubectl apply -f rocketchat-middleware.yaml
kubectl apply -f rocketchat-ingressroute.yaml

L’article Quick Deploy #003 – Rocket.Chat est apparu en premier sur n0secure.org.

Livebox v4

On pourrait se demander pourquoi garder un firewall aussi peu facile à configurer, et très peu lisible dans sa manière de fonctionner… Mais n’ayant finalement pas grand chose à protéger, je me dis qu’il est naturel de garder ce qui est fourni par défaut.

De plus j’ai petit à petit pris des décisions économiques en supprimant tout ce qui pouvait consommer plus de 50W en fonctionnement continu. Ces décisions font qu’aujourd’hui je n’ai pas forcément les moyens de déployer un pare-feu sur mon infra actuelle.

Configuration du firewall

Il est possible de passer en « élevé » ou « personnalisé », par défaut le « personnalisé » intègre les règles qui existent en « élevé ». A terme je passera certainement en « personnalisé », mais je reste en « moyen » pour l’instant.

Fail

Mon erreur vient du fait que j’ai configuré une IP en DMZ, pour des tests et que je n’ai pas enlevé cette IP une fois les tests terminés. En effet par défaut la Livebox va prendre en premier les règles NAT/PAT pour rediriger vers les services que vous avez derrière le firewall. Puis la Livebox va mapper tous les ports vers le serveur que vous avez mis en DMZ.

Je m’en suis rendu compte qu’après quelques temps à l’occasion d’un Nmap lancé depuis un VPS.

Conclusion

Faire des scans de temps en temps sur vos services peut remonter des oublis ou dysfonctionnements sur vos « homelabs ». Comme on y accorde pas forcément autant de temps et de précision qu’un réseau de production. Mais en parallèle j’avais commencé à réfléchir à des alternatives, vu que la Livebox est avare en logs, notamment ce genre de carte, mais je ne l’ai pas encore achetée. Et cela veut dire potentiellement d’acheter plus de matériels, comme switchs et routeur Wifi.

L’article Fail #001 – Firewall Box Opérateur est apparu en premier sur n0secure.org.

Pi-hole

Le fonctionnement

Toute consultation sur Internet ou utilisation d’une application connectée commence par une ou plusieurs requêtes DNS pour orienter les flux sur le Web. A partir de là toute requête DNS qui aboutit, peut potentiellement servir à afficher un ou plusieurs éléments d’une page, ou requêter les APIs d’une application.

On comprend aisément que si certaines requêtes DNS n’aboutissent pas, celle-ci sont abandonnées. C’est ainsi que Pi-hole fonctionne, c’est un serveur DNS possédant la capacité de mettre en blacklist, tout domaine ne servant qu’au tracking publicitaire des utilisateurs.

Raspberry Pi et pas seulement

L’avantage de ce projet est que maintenant il existe plusieurs façons de le déployer, et le petit docker est vraiment facile à mettre en œuvre.

Le docker-compose de la documentation officielle est suffisant pour se lancer :

version: "3"

# More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "67:67/udp"
      - "80:80/tcp"
      - "443:443/tcp"
    environment:
      TZ: 'America/Chicago'
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes:
      - './etc-pihole/:/etc/pihole/'
      - './etc-dnsmasq.d/:/etc/dnsmasq.d/'
    # Recommended but not required (DHCP needs NET_ADMIN)
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN
    restart: unless-stopped

En gros, le conteneur va écouter sur le port 53, pour les requêtes DNS et propose aussi de remplacer le serveur DHCP si besoin (67). L’interface d’administration sera disponible via les ports 80 et 443. Le mieux est d’utiliser un petit Traefik en frontal pour l’administration et avoir un certificat poussé par Let’s Encrypt. Computerz.solutions, a rédigé un bel article là dessus, allez faire un tour !!!

Bonus

Contrôle parental

Comme les serveurs DNS sont configurables, il est facile de mettre en place un pseudo contrôle parental avec certains type de DNS :

• OpenDNS
• AdGuard
• CloudFlare
• UltraDNS
• CleanBrowsing (celui que j’ai choisi, pour sa politique commerciale des logs)

Et comme ça peut filtrer assez fort sur certains contenus, voir même bloquer certains contenus Youtube, j’ai donc 2 instances de Pi-Hole qui fonctionne. De plus petit à petit ces services commencent à inclure aussi une politique de filtrage des publicités.

Pour aller encore plus loin

Gestion des listes

Il est possible d’ajouter d’autres sources de listes à bloquer, et d’ajouter par exemple des nom de domaines explicites dont on ne veut pas afficher le contenu :

Bloqueur de publicités sur le navigateur

Il faut aussi terminer cet article en parlant de l’extension qui permet de bloquer les publicités directement depuis le navigateur : uBlock Origin.

L’extension historique AdBlock Plus ayant perdu de sa superbe avec le virage commercial clairement pris, uBlock peut être une alternative de choix.

Note : Bien faire attention aux extensions installées, car certaines extensions se permettent de copier ces leaders, pour finalement n’être que des spywares…

Conclusion

Comme annoncé dans l’introduction, Pi-hole a le mérite d’être devenu un incontournable dans une installation domestique. Cela permet de déployer un premier bouclier face aux trackers omniprésents sur la toile. Il est possible d’améliorer ce filtrage en passant par des services DNS spécifiques (en incluant la chasse aux sites malveillants), et de compléter du coté « end user » en utilisant les bonnes applications ou bonnes extensions. Cette bonne hygiène va vous permettre de bloquer une bonne partie d’Internet (on le voit assez facilement dans l’interface d’administration de Pi-hole, ou la moitié des requêtes peuvent être bloquées), et d’aller vers un internet un poil plus sûr et plus sain. Bon surf !!!

L’article Pi-hole – Bloqueur de publicités et plus est apparu en premier sur n0secure.org.

Fonctionnement des applications

Les applications sous Unraid sont pour la plupart des conteneurs Docker qui se basent directement sur les images officielles. Elle sont juste « customisées » par la communauté pour mettre en valeur les paramètres nécessaires à son démarrage. En gros via l’interface d’administration des applications nous avons accès aux variables du container (template).

Exemple (variables du container BitwardenRS) :

Plugins

Community Applications

Ce plugin est la base de tout le système des applications/plugins de Unraid. Il est le « store » des applications et plugins fournis par la communauté. Il faut l’ajouter via l’onglet plugin d’Unraid et saisir l’URL suivante :

https://raw.githubusercontent.com/Squidly271/community.applications/master/plugins/community.applications.plg

CA Backup / Restore Appdata

Ce plugin permet de sauvegarder toutes les « applications », de stopper tous les containers, de sauvegarder l’intégralité des données liées à ceux-ci puis de les redémarrer. Il est possible de définir un horaire, et de garder un historique de ces sauvegardes.

CA Auto Update Applications

Ce plugin est assez « magique », je l’ai testé ces derniers mois, et il permet de maintenir tout à jour automatiquement. Il permet de mettre à jour, les plugins et les containers (applications). De plus il est possible de définir un nombre de jours à attendre avant de les mettre à jour (histoire d’attendre que d’autres puissent corriger d’éventuelles erreurs de mise à jour entre temps).

Rclone

J’en ai souvent parlé, Rclone permet d’effectuer des synchronisations (sauvegardes), sur les différents fournisseurs Cloud de sauvegarde. Bref vraiment utile si vous voulez sauvegarder vos données en dehors de votre NAS.

User Scripts

Ce plugin permet de manager des scripts périodiques de manière graphique. Je l’utilise par exemple pour nettoyer le serveur, ou pour lancer les tâches de sauvegarde périodique. Il est possible de visualiser les logs depuis l’interface, par contre pour les notifications mails il vaut mieux les programmer dans le script. La commande « notify » permet d’envoyer des mails en utilisant les paramètres au niveau du serveur Unraid.

/usr/local/emhttp/webGui/scripts/notify

Pour aller plus loin

Je conseille de visualiser cette série de vidéos, ou l’auteur passe un peu plus en profondeur sur différents plugins utiles. Depuis les applications fournies par la communauté (Community Applications) il est possible sans effort d’installer :

• Bitwardenrs
• Pi-hole
• ddclient (si vous avez une IP publique dynamique)
• jdownloader (pour gérer vos téléchargements)
• NginxProxyManager (pour fournir des services depuis internet par exemple).
• Etc.

Note: Ces derniers sont maintenus par la communauté, à voir si vous voulez re-générer les containers pour des images plus récentes.

L’écosystème est assez immense, sachant qu’il est possible d’adapter assez rapidement une application Docker en un service Unraid.

L’article Unraid – Quelques plugins utiles est apparu en premier sur n0secure.org.

Installation de Gogs

Il y a quelques temps j’ai testé rapidement un déploiement rapide de Gogs sur K3S. Nous allons reprendre ces travaux et voir si ça fonctionne toujours.

Il suffit de récupérer les sources de ce Kustomize, puis de modifier les valeurs suivantes (dans l’overlay que vous voulez) :

• gogs-deployment.yaml : modifier le driver de stockage (j’ai mis par défaut openebs).
• gogs-ingressroute.yaml : pour correspondre au FQDN utilisé.

Configuration

Au premier lancement une interface vous permet d’effectuer une configuration assez facile de l’environnement Gogs, qui sera stocké sous forme de fichiers de configuration dans le répertoire persistent de Gogs. Il n’est pas possible de changer les valeurs depuis l’interface d’administration.

Voici les valeurs à modifier :

• Database Type : SQLite (base interne), si vous installez MariaDB ou postgreSQL sélectionnez la base que vous avez choisie (comme c’est un repo interne, pas besoin de se prendre la tête…)
• Domain : nom de domaine choisi dans le FQDN de déploiement.
• HTTP Port : 443.
• Application URL : FQDN.
• Autoriser ou pas les utilisateurs à s’enregistrer.
• Paramètre du serveur mail : Pour l’instant j’utilise un serveur mail externe.
• Etc.

Premier lancement

On se retrouve sur cette interface sans repo par défaut :

Création d’un repo de test :

Test du fonctionnement du repo :

Il suffit d’effectuer les commandes « Create new repository on the command line » pour valider le fonctionnement de Gogs.

Une fois les commandes effectuées on obtient un repo avec un README.md vide :

Traefik

Par défaut dans ce manifest, Traefik est utilisé, cela permet d’avoir le site sécurisé via TLS.

Vous pouvez regarder ce post pour déployer la base Traefik nécessaire pour K3S.

Mot de la fin

N’oubliez pas d’inclure cette application dans votre politique de sauvegarde.

L’article Quick Deploy #004 – Gogs est apparu en premier sur n0secure.org.