sécurité

Sécurité des Systèmes d'Information (SSI)

Journée IMdR : Maîtrise de la composante logicielle pour la sécurité, sûreté et durabilité des systèmes complexes

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 11/11/13
  • Correction mineure : 11/11/13
Mots-clés

Journée IMdR : Maîtrise de la composante logicielle pour la sécurité, sûreté et durabilité des systèmes complexes

  • Type de ressource : événement
  • Date de publication du document ou de l'événement : Nov 2012
  • Auteur(s) ou responsable(s) : IMdR (Institut pour la Mesure du Risque)
  • Contact pour plus d'informations : Emile Geahchan

Présentation de l'intervention d'Emile Geahchan (co-Responsable Thématique PLUME Sécurité) sur le thème : "L’usage des logiciels libres dans les systèmes informatiques critiques répond-il aux impératifs de sécurité et de sûreté ?". Le fichier de la présentation est donné ci-joint.

Cette présentation s'est déroulée dans le cadre de la journée IMdR : "Maîtrise de la composante logicielle pour la sécurité, sûreté et durabilité des systèmes complexes". Le support en pièce jointe détaille cette journée.

Merci aux responsables et contributeurs PLUME qui m'ont aidé dans cette tâche délicate.

Fiche logiciel validé
  • Création ou MAJ importante : 11/04/13
  • Correction mineure : 11/04/13
Mots-clés
Pour aller plus loin

NfSen : interface web d'affichage de flux réseau traversant des éléments actifs

Description
Fonctionnalités générales

NfSen permet de générer des graphes qui correspondent au trafic réseau circulant sur des éléments actifs, tels les commutateurs, les routeurs, les serveurs. Il est nécessaire que ces éléments supportent le protocole "Netflow" (développé par Cisco) ou le protocole "Sflow", pour récolter des données de trafic.

NfSen se présente sous la forme d'une interface web permettant la consultation de la volumétrie des données de trafic des éléments actifs qui sont récupérées par le collecteur associé à Nfdump.

NfSen vous permet de tirer avantage de l’utilisation des commandes shell Nfdump directement depuis l'interface Web et l’outil donne un rendu graphique constitué des données de trafic (volumétrie, nombre de flows, nombre de paquets TCP, etc..) NetFlow ou Sflow.

Autres fonctionnalités

NfSen permet:

  • l'affichage des données réseaux, Flows, Packets et Bytes en utilisant RRD (Round Robin Database),
  • la navigation aisée entre les différentes données issues du réseau,
  • la possibilité de sélectionner des plages horaires,
  • la gestion de "profiles" contenant les données d'une plage horaire ou des données enregistrées en continue,
  • un système d'alarmes par la définition de conditions,
  • la possibilité d'utiliser des "plugins" ou de créer ses propres "plugins" pour l'analyse avancée des flux réseaux.
Interopérabilité

Nécessite des données issues de sources NetFlow ou SFlow, récupérées sur votre serveur par le collecteur Nfdump (que ce soit IPV4 ou IPV6).

Les équipement Cisco peuvent être configurés pour collecter des statistiques de trafic IP et les exporter vers un collecteur Netflows.

Les autres éléments actifs du réseau peuvent généralement exporter des paquets SFlow vers un collecteur SFlow.

Sflow est un équivalent à NetFlow, avec une licence libre de droits, et fonctionne en mode statistique par interface réseau.. http://www.sflow.org/

Pour vos serveurs, vous pouvez installer une sonde fprobe, mais attention, vous devrez rendre compatible fprobe avec NFDump lors de la compilation de ce dernier.

Contexte d'utilisation dans mon laboratoire/service

NfSen est en exploitation sur plusieurs sites de l'OSU Pytheas.

Installé sur une VM Debian Squeeze, la machine contient également Nfdump compilé avec l'option "sflow".

Sur le site A nous récupérons les données SFlow de trois équipements qui englobent l'ensemble du trafic réseau du parc.
- Le routeur (Extreme Network)
- Le Firewall (Fortinet)
- Les baies serveurs (switch HP)

Nous avons fait plusieurs profiles NfSen partant de méthodes différentes, tels que:
- Trafics par Vlan
- Trafics par Machine
- Trafics par ports
- Trafics entre plage IP A et plage IP B

Nous utilisons le collecteur le plus proche de la source. Par exemple, pour les Vlans, le Routeur, pour le WAN, le firewall, et ainsi de suite.

En valeur ajoutée, quelques plugins de la communauté NfSen tels que PortTracker et SURFmap. Vous trouverez bon nombre de plugins sur le sourceforge de NfSen Plugins

Nous commençons à utiliser les possibilités d'alarmes.

Le stockage des données Sflow récupérées se fait sur une baie de disques.

Nous comptons environ 50Go de données Sflow par profile "Live" pour un an d'utilisation, sur un parc d'environ 600 machines.

Limitations, difficultés, fonctionnalités importantes non couvertes
  • Le paquet Nfdump disponible dans les dépôts Debian Squeeze n'est pas compatible avec les sources SFlow.
    Vous devrez donc le compiler avec l'option --enable-nfprofile --enable-sflow

  • La configuration des sources SFlow/Netflow peut s'avérer très complexe. Cet aspect ne sera pas traité ici et il est important de se renseigner auprès de la documentation de vos éléments actifs.

  • Le netflow de certains firewalls (NSEL) ne fonctionne pas sur toutes les versions de Nfdump.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Unix - Linux. Testé sur Debian 5 et 6.

Plates-formes

Plateformes Unix - Linux
Package NfSen proposé en archive tar.gz

Logiciels connexes
  • PHP et Perl:
    NfSen est écrit en PHP et en Perl et devrait donc marcher sur tous les systèmes *NIX.
    Versions Perl > 5.6.0 et PHP > 4.1 requises ainsi que les extensions Perl "Socket" et "regex".

  • Modules Perl:
    Pour que les alertes NfSen fonctionnent, vous devez ajouter les modules Mail::Header et Mail::Internet
    Tous les graphiques de NfSen requièrent RRD Tool. Le module Perl RRD Tool est donc requis.

  • Outil Nfdump:
    Le backend de NfSen fonctionne avec Nfdump qui collectera et analysera les données NetFlow.
    Vous devez avoir Nfdump >= 1.5.8.

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Ensemble du code hébergé sur SourceForge.

Eléments de pérennité
  • Le projet semble bien suivi avec des évolutions régulières.
  • Version 1.3.6p1 mise en ligne le 24 janvier 2012.
  • Mises à jour régulières pour une meilleure intégration à Nfdump et pour la résolution de bugs.
  • Logiciel stable et abouti.
  • Liste vivante (environ 50 posts/mois sur nfsen-discuss).
Références d'utilisateurs institutionnels
  • Plusieurs sites de l'OSU Pytheas.
  • DSI du CNRS.
Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur

Vous trouverez de la documentation sur les liens suivants:

Divers (astuces, actualités, sécurité)

L'installation se fait aisément sur Fedora, Debian, Ubuntu.
La seule vraie difficulté est de compiler Nfdump pour autoriser les données Sflow.

Pour activer la sonde Sflow sur HP, Extreme XOS et Fortinet (Fortigate), reportez vous à la documentation constructeur, cela se fait très simplement. La sonde transfère les données en UDP sur un port/une adresse IP configuré au sein de l'élément actif, à destination de l'IP du serveur, où se trouvent Nfdump et NfSen.

Vous pouvez me contacter pour avoir le package Nfdump pour Debian Squeeze compilé avec sflow en cas de difficultés.

NB : peut s'utiliser conjointement avec NetMet pour avoir une métrologie fine du réseau.

Contributions
Mots-clés

Séminaire Aristote sur la sécurité et la mobilité

L'association Aristote organise le 7 février 2013 à l’École Polytechnique à Palaiseau un séminaire sur la sécurité et la mobilité.

Le détail du programme est donné en ligne : http://www.association-aristote.fr/doku.php/public....

Les inscriptions se font en ligne également à http://www.association-aristote.fr/doku.php/public... (gratuite pour les membres Aristote).

Equivalents libres de certains logiciels commerciaux

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 26/09/12
  • Correction mineure : 09/10/12

Equivalents libres de certains logiciels commerciaux

Le Groupe Logiciel a lancé une enquête afin d'identifier les logiciels scientifiques commerciaux utilisés dans la communauté Enseignement Supérieur et Recherche, et qui feront l'objet d'un marché national "logiciels". Les besoins et résultats de cette enquête ont été synthétisés dans ce document.

Une collaboration entre PLUME et le Groupe Logiciel est par ailleurs en place afin entre autres de proposer des alternatives non propriétaires aux solutions logicielles commerciales. Ainsi, les logiciels équivalents cités ci-dessous sont uniquement ceux qui sont présents sur PLUME, donc cette liste n'est certainement pas exhaustive.

A noter également que cette liste n'est pas à considérer comme une préconisation d'utilisation d'un logiciel libre à la place d'un logiciel commercial, mais comme une information, au titre de la collaboration précitée.

Fiche logiciel validé
  • Création ou MAJ importante : 30/03/13
  • Correction mineure : 30/03/13
Mots-clés
Pour aller plus loin

Fail2ban : détecte les attaques en "force brute" et stoppe les adresses IP des attaquants

Description
Fonctionnalités générales

Fail2ban est un outil de sécurité informatique qui permet, à partir de l'exploitation des fichiers journaux ("logs"), de protéger un serveur en bloquant temporairement ou définitivement des adresses IP de machines à partir desquelles des attaques réseau ont été remarquées. De façon générale, fail2ban peut exploiter n'importe quel fichier de log, pour détecter par exemple de multiples tentatives de connexion, des soumissions d'url malveillante, etc ...

Lors de la détection d'une attaque ou d'une action malveillante, fail2ban est capable de mettre à jour dynamiquement les règles du pare-feu local du serveur pour bloquer pendant un temps donné les flux en provenance de l'adresse IP d'où provient l'attaque, mais il peut aussi exécuter, si nécessaire, n'importe quelle autre action.

La version 0.8.7 introduit la possibilité de traiter différemment les adresses IP qui se sont déjà faites bannir plusieurs fois.

Autres fonctionnalités

Fail2ban est très flexible et permet de surveiller un grand nombre de services système différents comme par exemple ssh, ftp, mail, web, ... Il suffit de disposer d'un fichier de log à analyser et de définir un "filtre" qui indique quelles sont les lignes qui correspondent a priori à une activité malveillante. Fail2ban est fourni par défaut avec de nombreux filtres prédéfinis pour repérer les attaques les plus fréquentes, notamment, sur des services standards.

Il est également très flexible par rapport à la conduite à tenir, qui est définie dans des fichiers "actions". Au delà d'un seuil configuré pour chaque service à surveiller, une action est exécutée. Fail2ban peut bloquer l'adresse IP de l'attaquant au moyen d'une configuration appropriée dans iptables, ou par les fichiers hosts.deny ou encore envoyer un mail ou remonter l'information à un système centralisé, etc.

Un certain nombre d'actions de base sont disponibles par défaut.

Contexte d'utilisation dans mon laboratoire/service

Fail2ban est utilisé sur la machine "sas" d'entrée du campus de Luminy. La plupart des services du campus ne sont autorisés de l'extérieur que depuis les machines sas. En rajoutant fail2ban, ces machines "sas" sont un peu plus sécurisées de manière, notamment, à éviter les attaques en force brute.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré
  • Fail2ban est disponible de base, entre autres, dans les dépôts Debian, Ubuntu, Fedora, Mandriva, OpenSUSE, FreeBSD. * Disponible via dépôt additionnel dans la plupart des autres distributions.
Plates-formes

Toute plateforme disposant du langage Python.

Logiciels connexes

Pour arrêter les tentatives d'intrusion en force brute, fail2ban utilise des logiciels de filtrage d'adresse IP comme :
- iptables
- netfilter

Autres logiciels aux fonctionnalités équivalentes

Denyhosts, dernière version en 2009

Environnement de développement
Type de structure associée au développement

Trois développeurs, plus de multiples contributeurs pour le maintien des paquetages.

Eléments de pérennité

Le projet est assez actif avec une nouvelle version tous les ans à peu près (non seulement des corrections de bugs, mais aussi de nouvelles fonctionnalités)

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Divers (astuces, actualités, sécurité)

Par défaut, l'action d'exclusion des adresses IP effectue une configuration des iptables. Dans le cas de machines virtuelles notamment sous openvz, iptables n'est utilisable que sur l'hôte. Si l'on souhaite gérer les exclusions dans les machines virtuelles, il faut utiliser l'action hostsdeny de fail2ban qui se base sur le fichier /etc/hosts.deny

Contributions
Fiche logiciel validé
  • Création ou MAJ importante : 19/12/11
  • Correction mineure : 11/03/13
Mots-clés

Cacti : métrologie d'équipements et de services informatiques ou réseaux

Description
Fonctionnalités générales

Cacti est un logiciel complet de métrologie de traffic réseau, d'équipements (réseau...) et de services informatiques basé sur RRDTool (fiche plume). Complet dans le sens où il permet de collecter des données de performances sur les différents équipements surveillés, stocker ces données dans des bases, générer des graphes et les visualiser grâce à une interface web.

Collecter des données :

A intervalle donné (5 minutes par défaut), Cacti va collecter des valeurs ou mesurer des temps de réponse grâce à son ordonnanceur intégré. Il existe plusieurs types d'ordonnanceurs, du plus simple écrit en PHP au plus performant écrit en C. Cacti interroge les hôtes principalement par l’intermédiaire du protocole SNMP. Une majorité d'équipements réseaux et informatiques proposent cette fonctionnalité mais si ce n'est pas le cas, Cacti peut aussi interroger via des scripts étendant grandement les possibilités.

Alimenter des bases de données :

Comme dit en introduction, Cacti s'appuie sur RRDTool développé par Tobias Oetiker (http://tobi.oetiker.ch/hp/) qui est également l'auteur des logiciels comme Smokeping ou le célèbre MRTG. Le grand principe de RRDTool est de stocker les valeurs dans des bases de données tournantes à taille fixe, appelées "Round Robin Archive". On ne conserve que les "n" dernières valeurs, les valeurs sont moyennées pour alimenter une autre base portant sur une période de temps plus grande, et ainsi de suite.

Générer des graphes :

S'appuyant sur RRDTool, Cacti fournit une représentation graphique de ces valeurs et de leur évolution dans le temps. Les graphes sont générés en temps réel et l'on peut zoomer ou changer l'échelle de temps. Une arborescence permet de naviguer simplement entre les équipements et les graphes associés.

Proposer une interface :

Cacti permet aux utilisateurs de consulter les graphes à travers une interface web écrite en PHP. Mais elle permet aussi d'effectuer très simplement toute la configuration de l'outil. De plus, afin de permettre une délégation des taches, Cacti propose une gestion des accès très fine.

Exemples de graphes

Le débit réseau entrant et sortant d'un pare-feu :

Le filtrage de spam (avec j-chkmail) :

Détection d'effets de bord suite à une modification de la configuration du serveur de messagerie :

Exemple d'attaque violente qui pourrait faire s'écrouler le service, l'équipe a pu réagir avant :

Autres fonctionnalités

Système de templates

Une des forces de Cacti est de pouvoir grandement réutiliser le travail effectué. Par l'intermédiaire d'un mécanisme de modèles, appelé templates, il est possible d'automatiser plus ou moins la création d’hôtes d'une même famille de matériels. De plus, il est possible d'importer et d'exporter des "templates" ce qui permet le partage entre utilisateurs de Cacti.

Gestionnaire de plugins

Cacti en natif n'embarque pas de gestionnaire de plugins, mais cela est prévu sur la "road map" du projet. Néanmoins, un contributeur a développé un gestionnaire appelé PIA (Plug In Architecture). Pour installer PIA, il est nécessaire de modifier le code de Cacti ce qui rend possible par la suite l'ajout de plugins de façon automatique.

Une liste des plugins proposés par la communauté est disponible ici :
http://docs.cacti.net/plugins

Méthode d'authentification flexible

Cacti propose trois méthodes d'authentification : authentification interne, authentification par annuaire LDAP ou authentification déléguée à Apache. Cette dernière est très intéressante car on va pouvoir utiliser tous les modules existants pour Apache sans pour autant modifier quoi que se soit dans Cacti.

Parmi les modules Apache d'authentification, l'authentification CAS (fiche PLUME) nous intéresse particulièrement. En effet, ce web SSO est très souvent utilisé dans nos établissements, utiliser cette méthode permet à Cacti de s'intégrer parfaitement dans le SI de l’établissement.

Interopérabilité

Utilisation du protocole SNMP

Cacti utilise majoritairement des requêtes SNMP pour interroger les équipements réseaux et autres. Ce protocole est très répandu sur les matériels réseaux tels que les routeurs, les commutateurs, les onduleurs, les sondes de températures, les imprimantes, etc. De plus, sur les systèmes d'exploitations récents, on peut installer ce service et même y ajouter ses OID personnalisés.

Utilisation de scripts

Cacti peut aussi passer par des scripts pour interroger des équipements. Peu importe le langage tant que la sortie est formatée pour Cacti. Ainsi on va pouvoir utiliser des requêtes HTTP, des connections SSH/TELNET ou tout autre moyen pour récupérer les valeurs que l'on souhaite afficher. Il n'y a aucune limite.

Contexte d'utilisation dans mon laboratoire/service

Pour ma part, j'ai mis en place ce produit dans plusieurs DSI (INRA...), en particulier pour la surveillance de leur système d'information. Dans ce sens, j'ai utilisé Cacti pour monitorer une grande variété d'équipements et de services :

  • Pare-feux, switchs, routeurs : trafics entrants/sortants, paquets rejetés.
  • Serveurs Linux : load average, utilisation espace disque, consommation I/O, etc.
  • Service messagerie : nombre de processus, mails entrants/sortants, statistiques j-chkmail, taille de la mailq, connexions pop(s)/imap(s)/smtp, etc.
  • Onduleurs : charges/phases, autonomie, capacité des batteries, températures internes, etc.
  • Sondes : températures, humidités, luminosités.
  • Passerelles TOIP : nombre de communications simultanées.

Ces plateformes sont toujours en production, mes collègues s'en servent régulièrement pour suivre l'évolution de l'utilisation des services ou pour remonter l'origine d'un incident. Ce produit demande un peu de temps lors de la phase de configuration mais son coût d'exploitation est très faible : pas de problème d’espace disque saturé et pas de corruption de bases de données grâce à l'utilisation de RRDTool. Une fois les templates installés, il suffit de les instancier pour chaque nouvel hôte.

Limitations, difficultés, fonctionnalités importantes non couvertes

Supervision limitée

Cacti détecte qu'un hôte n'est pas joignable pour ses besoins internes (pour optimiser le temps de collecte en évitant des timeout inutiles). Mais Cacti n'est en aucun cas un outil de supervision servant à alerter l’administrateur d'un incident. Pour ce besoin, il y a des outils plus pertinents, comme Nagios (fiche PLUME) par exemple.

Interface vieillissante

L'interface de Cacti n'est pas multilingue, elle est proposée à l'heure actuelle seulement en anglais. Néanmoins, il est indiqué dans la road map le support prochain de plusieurs langues.

De plus, l'interface web ne bénéficie pas des avancés du "web 2.0". Il faut cliquer de très nombreuses fois pour configurer quelque chose, trier des listes est un peu long, tout comme naviguer dans l'arborescence de visualisation.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Cacti est une application web écrite en PHP, elle s'installe donc depuis les sources sur tout système d'exploitation disposant d'un serveur de documents web, d'un serveur de bases de données et du moteur PHP ainsi que les modules nécessaires.

Quelques distributions proposent Cacti sous formes de package, c'est le cas de Debian et ses dérivés ainsi que Red Hat et ses dérivés.

Logiciels connexes

Nagios :

Nous avons indiqué dans la partie "Limitations et difficultés" que Cacti n'était pas un logiciel de supervision. Dans de nombreux EPST nous retrouvons le couple Nagios/Cacti car ces logiciels sont complémentaires. Nous ne pouvons faire de supervision pertinente sans avoir la métrologie pour définir les bons seuils d'alarme. De même, de la métrologie seule ne nous mettrait pas en capacité de réagir suffisamment vite en cas d'incident sur le SI.

Si vous souhaitez en savoir plus sur le logiciel de supervision Nagios, consultez la fiche dédiée :
http://www.projet-plume.org/fr/fiche/nagios

Weathermap :

Certains administrateurs apprécient d'avoir une vue d'ensemble de leur infrastructure. Weathermap permet de construire une carte des équipements et des liens réseaux. Un code couleur est utilisé pour représenter la charge des liens réseaux, on peut aussi afficher l'état des équipements (up/down) et intégrer des graphes Cacti lorsque la souris survol un objet particulier.

Depuis peu, une nouvelle version de Weathermap est proposée : PHP Weathermap qui est en fait un plugin pour Cacti. Il s'installe donc en quelques instants et s'intègre encore mieux dans l'outil Cacti.

Autres logiciels aux fonctionnalités équivalentes

Cacti est un peu le standard de fait en matière de métrologie mais il existe d'autres outils :

  • MRTG : Logiciel libre développé par Tobias Oetiker et qui a inspiré grandement Cacti.
  • Zabbix : Logiciel libre de supervision et métrologie.
  • Centréon : Surcouche graphique libre pour Nagios proposant un peu de métrologie.
  • Smokeping : Encore un logiciel libre développé par Tobias Oetiker. C'est un outil spécialisé dans les temps de réponses.
Environnement de développement
Eléments de pérennité

Il est toujours difficile d'évaluer la pérennité d'un projet libre. La première release de Cacti (v0.5) a été faite le 23 septembre 2001. C'est un projet qui dure depuis 10 ans, on peut donc supposer qu'il a encore de belles années devant lui.

De plus, la communauté Cacti qui s'exprime à travers le forum officiel est très réactive pour les demandes de support et publie de nombreuses contributions (plugins, templates, scripts...). Il y a plus de 30 000 membres inscrits sur ce forum.

Enfin, on trouve sur internet des tutoriels, des documentations d’installation et des templates supplémentaires. De grands constructeurs proposent même leurs templates, par exemple F5 met à disposition le nécessaire pour monitorer leur loadbalancer :
http://devcentral.f5.com/Forums/tabid/53/aft/16275...

Références d'utilisateurs institutionnels
  • Université Nancy 2 : 1 plateforme (Serveur : 2 coeurs ; RAM : 1Go ; RRD : 65 Mo) surveillant 149 hôtes et 567 indicateurs.
  • INRA

Il existe un sujet sur le forum officiel Cacti traitant des performances et du dimensionnement :
http://forums.cacti.net/viewtopic.php?f=4&t=6206

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Le forum officiel de Cacti :
http://forums.cacti.net/

Documentation utilisateur

Un excellent tutoriel proposé par Linagora décrivant les concepts de base de Cacti et RRD :
http://linagora.org/_media/contrib/supervision/doc...

Une liste des "templates" les plus utilisés :
http://forums.cacti.net/viewtopic.php?f=12&t=15067

Fiche logiciel à valider
  • Création ou MAJ importante : 05/12/11
  • Correction mineure : 08/03/13
Mots-clés

Chimithèque : Gestion de stock de produits chimiques

Ce logiciel est en cours d'évaluation par la communauté PLUME. Si vous utilisez ce logiciel en production dans notre communauté, merci de déposer un commentaire.
Description
Fonctionnalités générales

Chimithèque est une application qui a été conçue de manière générique, c'est à dire qu'elle essaie de répondre aux besoins de l'ENS, Ecole Normale Supérieure de Lyon, mais aussi d'autres établissements. Elle a été pensée de manière générale par des chimistes et biologiste pour être utilisée par d'autres chimistes et biologistes dans et hors ENS.

Ce logiciel est composé de Fiches Produit et de Fiches de Stockage.

  • une fiche produit contient des informations générales relatives au produit : nom, synonymes, N° CAS, formule brute, formule linéaire, lien vers la FDS (fichier enregistré ou lien internet), pictogrammes de danger et phrase de danger et de prudence (nouvelle et ancienne législation)...
  • une fiche stockage contient des informations concernant un flacon présent dans l'établissement : lieu de stockage, conditionnement, date d'entrée, code barre généré automatiquement, nom du fournisseur, référence du fournisseur.

Il est possible de faire des recherches par nom, formule brute, numéro CAS ou par localisation mais aussi selon leur dansgerosité (tous les inflammable ou tous les CMR, ...)

C'est un outil important pour les services hygiène et sécurité puisqu'il permet de faire des recherches par rapport aux dangers physiques et aux dangers pour la santé.

L'accès aux données enregistrées dans Chimithèque peut être restreint pour certains utilisateurs grâce à un système de droit assez fin : par défaut, tous les utilisateurs ont la possibilité de voir les fiches produit. Ensuite pour chaque utilisateur on peut choisir de lui donner le droit de voir, modifier, créer et/ou supprimer les fiches produit, fiches de stockage, utilisateurs, entrepôts, ... Un utilisateur pouvant créer des utilisateurs ne peut évidemment pas donner plus de droits qu'il n'en a.
Les administrateurs de l'entité ont tous les droits et appartiennent automatiquement à toutes les entités.

Autres fonctionnalités

Chaque utilisateur appartient à une ou plusieurs entité (correspondant à des labos ou équipes de recherche). On définit une ou plusieurs personne(s)  "manager" pour chacune des entité, qui sera/seront la/les personne(s) à contacter.

Dans chaque entité, on peut avoir plusieurs entrepôts dans lesquels on va stocker les produits (fiches de stockage liées à une fiche produit et à un entrepôt)

Pour toute personne ayant les droits correspondants :

  • chaque fiche produit peut être modifiée (création d'un historique), clonée (permettant la création rapide d'une fiche pour un produit ayant seulement une spécificité différente) ou supprimée si elle est orphenile (c'est à dire si aucune fiche de stockage lui est liée).
  • chaque fiche de stockage peut être modifiée (historique), clonée, supprimée (création de fiches de stockage archivées), marquée pour destruction ou empruntée.

 

Interopérabilité

Possibilité d'export CSV (ou HTML) des résultats d'une recherche.

Contexte d'utilisation dans mon laboratoire/service

Actuellement, 150 personnes environ utilisent cette application au sein de l'ENS. Ces utilisateurs sont des biologistes, chimistes, personnels hygiène et sécurité, géologues.
Un peu plus de 4000 fiches produits ont été saisies et environ 2800 fiches produits ont des fiches de stockage associées.
Les retours que nous avons eu sont positifs : assez simple d'utilisation, pas de soucis particulier.

Limitations, difficultés, fonctionnalités importantes non couvertes

Ce que Chimithèque n'est pas :

  1. une base de données de tous les produits chimiques existants dans le monde: l'application est fournie avec X fiches produit (pour X voir sur la page principale) et ces fiches peuvent être échangées grâce à une fonctionnalité d'import/export
  2.  une application immédiatement connectable a des appareils comme de scanners à code barre ou d'autres applications
Environnement du logiciel
Plates-formes

Linux

Environnement de développement
Références d'utilisateurs institutionnels

Actuellement, nous savons que l'application est utilisée à :

  • l'École Nationale supérieure de chimie de Clermont-Ferrand
  • Université de Montpellier
  • IUT de Besançon-Vesoul

Certainement prochainement :

  • Université de St Etienne
Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Divers (astuces, actualités, sécurité)

Possibilité de s'inscrire à la liste de diffusion destinée aux établissements extérieurs à l'ENS (infos de mises à jours) : https://listes.cru.fr/sympa/info/chimitheque

Fiche logiciel validé
  • Création ou MAJ importante : 03/03/13
  • Correction mineure : 03/03/13
Mots-clés
Pour aller plus loin

MySecureShell : serveur FTP sécurisé avec contrôles d'accès

Description
Fonctionnalités générales

MySecureShell est à la fois un "shell" de connexion, ainsi qu'un serveur FTP sécurisé (appelé «sftp-server » dans le projet).

Le serveur FTP repose sur le protocole sécurisé SSH (SFTP). Le shell permet de mettre en œuvre les règles inscrites dans le serveur SFTP. Ces règles, nommées directives sur le site Web du projet, sont aux nombres de 58. Pour résumer, elles permettent de :

  • gérer les droits d’accès au contenu des répertoires de connexion (lecture/écriture, limites du nombre de fichiers ouverts en lecture/écriture, etc.),

  • gérer le trafic (temps de connexion, bande passante, nombre maximal de connexions sur le serveur, etc.),

  • restreindre l'accès d'un utilisateur à son seul dossier personnel (compte "chrooté").

L’administration du serveur peut être faite à l'aide d'une interface graphique ou en ligne de commandes en éditant un seul fichier de configuration bien documenté. Par exemple, il est possible d’offrir plus de droits à un compte utilisateur en ajoutant quelques lignes dans le seul fichier de configuration.

La granularité poussée des droits des utilisateurs et l’étendue des possibilités de gestion du serveur SFTP sont les principaux atouts de ce projet.

Autres fonctionnalités

Il est possible d'étendre les fonctionnalités de MySecureShell en mettant en place une plateforme d'échange de fichiers volumineux.

Le réglage fin des droits utilisateurs permet par exemple de créer un ou des compte(s) chrooté(s) faisant office de répertoire d'échange accessible depuis Internet. Ainsi, un utilisateur "extérieur" au réseau de l'unité, à qui on communiquerait le login/mot-de-passe d'un compte convenu pourra déposer en toute sécurité (connexion chiffrée) tous les documents à destination de la personne concernée du laboratoire ou du service.

Toutes les explications et quelques scripts écrits en bash pour automatiser la gestion des comptes sont donnés sur le site :
http://pmc.polytechnique.fr/pagesperso/dc/echange....

Interopérabilité

MySecureShell s'appuie sur OpenSSH. Pour optimiser la sécurité, il est donc souhaitable d'avoir une version récente et pleinement fonctionnelle de ce dernier.

Contexte d'utilisation dans mon laboratoire/service

MySecureShell est utilisé en tant que serveur d'échange de fichiers volumineux. Les utilisateurs apprécient le niveau de sécurité qu'offre le service et surtout le niveau de confidentialité.

Limitations, difficultés, fonctionnalités importantes non couvertes

Les utilisateurs doivent savoir utiliser un client FTP supportant le SSH tel que FileZilla.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Debian/Ubuntu et CentOS/Fedora.

Pour les autres distributions : sur le site web du projet, le tarball contenant toutes les sources est accessible en téléchargement.

Plates-formes

Multi-plateformes

Logiciels connexes

OpenSSH doit être installé et pleinement fonctionnel AVANT d'installer MySecureShell.

Pour utiliser l'interface graphique des outils d'administration du serveur, l'installation des bibliothèques graphiques de Java est nécessaire.

Sur le site du projet, il est proposé des outils graphiques de monitoring comme :

  • GeekTool (Mac OS X)
  • Samurize (Windows)
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Projet initié par Sébastien Tardif et Pierre Mavro.

Eléments de pérennité

La première version de MySecureShell v0.1 date du 26/09/2004. L'équipe de développeurs est active car le logiciel change de version 1 à 2 fois par an.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Contributions

Pour contribuer au projet, il suffit de se faire connaître à l'adresse e-mail: teka2nerdman [at] users [dot] sourceforge [dot] net

Fiche logiciel validé
  • Création ou MAJ importante : 30/03/12
  • Correction mineure : 19/08/13
Mots-clés

KeePass : gestionnaire de mots de passe

Description
Fonctionnalités générales

KeePass est un logiciel de gestion de mots de passe pour une équipe ou un projet donné.

KeePass a reçu la certification CSPN de l’ANSSI (pour la version portable).

L'idée est de centraliser dans un fichier unique chiffré un ensemble d'informations de connexion (nom d'utilisateur, mot de passe...). L'accès à ce fichier peut se faire en parallèle par différents membres de l'équipe, KeePass gère la concurrence d'accès.

C'est donc une alternative pratique et sécurisée aux habituels fichiers texte ou tableurs, protégés en général par des droits d'accès au niveau OS (et par un mot de passe supplémentaire parfois pour les tableurs).

L'outil peut également servir comme gestionnaire de mots de passe personnels : un utilisateur peut ainsi gérer avec cet outil ses nombreux mots de passe pour les multiples sites auxquels il se connecte. Il permet ainsi d'utiliser des mots de passe aléatoires, ce qui est un gage important de sécurité. Il existe une version portable pour clé USB qui permet d'utiliser facilement sa base de mots de passe à partir de différentes machines.

Autres fonctionnalités

Divers mécanismes ont été implémentés pour se protéger, autant que possible, des keyloggers.

Interopérabilité

Les informations gérées par KeePass peuvent être importées et exportées dans différents formats ouverts, comme CSV ou XML, ou via des formats propriétaires d'autres logiciels du même genre, comme indiqué à cet endroit http://keepass.info/help/base/importexport.html.

Contexte d'utilisation dans mon laboratoire/service

KeePass est utilisé pour gérer les différents logins/mot de passe pour un projet donné. Cela permet de partager de manière sécurisée ces informations entre les membres d'une même équipe projet, interne au service ou avec un prestataire. Pour éviter de partager un secret entre plusieurs personnes, il est possible d'utiliser l'extension CertKeyProvider qui offre une protection par certificat au lieu d'un mot de passe.

Keepas est l'outil idéal pour n'avoir qu'un seul mot de passe à retenir, ce qui permet d'en choisir un robuste, et utiliser sur les différentes applications ou sites auxquels on se connecte des mots de passe extrêmement robustes car longs et aléatoires .

Limitations, difficultés, fonctionnalités importantes non couvertes

Une version native dédiée à Linux et MacOS (sans Mono) serait appréciable, même si des contributeurs annexes en ont mis des versions à disposition.

Environnement du logiciel
Plates-formes

Le produit est développé en .net. Il s'exécute nativement sous MS Windows et via l'émulateur Mono (Mono version 2.6 et ultérieures) pour Linux ainsi que MacOS.

Des contributeurs annexes ont mis à disposition des versions natives pour divers OS y compris pour des smartphones, le tout regroupé sur http://keepass.info/download.html.

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Le développement est géré par un particulier, Dominik Reichl, dont le site personnel est http://www.dominik-reichl.de/index.html.

Eléments de pérennité

Diverses récompenses ont été décernées à cet outil, comme le mentionne la page http://keepass.info/ratings.html.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Un forum est disponible, hébergé sur le SourceForge du projet : http://sourceforge.net/projects/keepass/forums.

Documentation utilisateur

La page principale d'aide, en anglais, est http://keepass.info/help/base/index.html.

Divers (astuces, actualités, sécurité)

La distribution standard la plus pratique est la version portable qui se présente sous forme de fichier ZIP. Une fois décompressée le ZIP dans un répertoire accessible à l'équipe projet, le partage se fait typiquement en positionnant des droits d'accès OS adaptés sur le dit répertoire.

L'utilisation du mode "master password" est la plus pratique. Il convient cependant de modifier une option de base afin de minimiser les risques d'attaques par force brute, en allant dans les options de la base de sécurité, onglet Sécurité, et en cliquant sur "1 second delay" (voir le détail sur http://keepass.info/help/base/security.html#secdic...).

A noter par ailleurs qu'une traduction en français de la distribution standard est présente à http://keepass.info/translations.html.

Contributions

Il est possible de développer des plugins en suivant la documentation http://keepass.info/help/v2_dev/plg_index.html.

Par ailleurs, à titre d'information, les codes sources de la version courante sont disponibles sur SourceForge, à http://downloads.sourceforge.net/keepass/KeePass-2....

Le développement se fait en C#.

Fiche logiciel validé
  • Création ou MAJ importante : 24/01/13
  • Correction mineure : 24/01/13
Mots-clés

Xymon : surveillance de serveurs, d'applications et de réseaux

Description
Fonctionnalités générales

Xymon (anciennement Hobbit – voir paragraphe Divers) est un logiciel qui permet de superviser en temps réel l'ensemble des éléments en réseau du système d'information (serveurs, routeurs, commutateurs réseau, baies de disques, imprimantes réseau...).

Cette supervision s'effectue à partir d'une interface web simple et conviviale, incluant des repères sous forme d’icônes et de codes couleurs. Ces icônes permettent de visualiser immédiatement l'état d'un système, d'une application ou d'un service sur deux critères : son niveau d'alerte (OK, Warning, Critical, No data, No report et Disabled) et la durée de cet état (inférieur ou supérieur à 24 heures).
A partir de cette interface, on peut aussi suivre l'historique des évènements d'un système à l'aide de tableaux ou de graphiques.
Il est également possible de configurer des alertes par mail dans le cas d'évènements critiques (système qui ne répond plus, partition disque supérieure à 90%, montages NFS non présents,...).

Au niveau architecture, Xymon est composé de deux services : un service serveur qui tourne sous apache et un service client à installer sur chaque système à monitorer (excepté sur le matériel purement réseau où seule la disponibilité de l'équipement est surveillée).

Outre la commande ping classique, les tests réseaux effectués nativement par Xymon concernent les fonctionnalités des protocoles  : ftp, ssh, smtp, pop, imap(s), nntp(s), ldap(s) query, http(s), ssl, ajp13, vnc, clamd, spamd, cupsd, rsync, oracle tns listener.
Il est possible d'écrire la définition de ses propres tests (par exemple pour surveiller d’autres services réseaux, le RAID logiciel sur les serveurs ou ses propres systèmes de sauvegardes).
Il existe également de nombreux plug-ins disponibles ici (souvent sous formes de script shell à rajouter sur le client).

Autres fonctionnalités
  • L'interface web présente des graphes permettant de suivre l'évolution des données surveillées.
  • Configuration sur la base de l'édition de quelques fichiers textes très simples.
  • Il est possible de définir des relations de dépendances entre les tests. Par exemple, si l'hôte ne répond pas au ping, il y a de fortes chances que les autres tests relatifs à cet hôte soient infructueux. Dans ce cas, au lieu de lancer de multiples alertes pour chaque tests, seule l'information que l'hôte ne répond plus est envoyé.
  • Si on surveille un grand nombre de serveurs et de services, il est possible de spécifier des "services critiques", avec plusieurs niveaux de priorité, qui seront regroupés sur une page spécifique.
  • Il est possible d'acquitter une alerte pour indiquer que le problème va être pris en charge.
  • Il est possible de désactiver un test temporairement pour éviter les alertes pendant une maintenance programmée.
Contexte d'utilisation dans mon laboratoire/service

A l'Institut d'Astrophysique Spatiale, nous utilisons Xymon pour superviser l'ensemble de nos serveurs et équipements réseaux. La page d'accueil de l'interface a été séparée par catégories de services (Serveurs réseau, Serveurs de calcul, Projets, Centre de données IDOC, Équipements réseau, Imprimantes et Extérieur) pour un total de 130 systèmes surveillés.

Xymon est également utilisé au CMLS et au CPHT.

Limitations, difficultés, fonctionnalités importantes non couvertes

Sur le serveur, les systèmes à surveiller sont rajoutés à la main dans un fichier de configuration. Aussi, lorsque le système est remplacé ou n'existe plus, il faut penser à le supprimer du fichier de configuration pour ne pas se retrouver avec de fausses alertes.

Le support de snmp n'est pas pris en charge nativement. Pour pouvoir monitorer l'état des équipements réseaux (imprimantes, switchs,...), il est possible par exemple d'utiliser le programme devmon et d'y associer des scripts pour Xymon.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Xymon est intégré dans la plupart des distributions Linux.
Sous debian, il faut installer sur le serveur les 2 packages xymon et xymon-plugins. Sur le client, seul le package xymon-client est nécessaire.

Un client pour windows existe (bbwin) et est disponible sur SourceForge.

Plates-formes

Linux

Logiciels connexes
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Eléments de pérennité

Sous licence libre, le projet est réactif. La dernière version (4.3.10) est sortie le 6 août 2012. En moyenne, une mise à jour de version majeure tous les deux ans (7 mises à jour de versions mineures en 2011 et 3 en 2012).

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Une liste de distribution en anglais xymon [at] xymon [dot] com : http://lists.xymon.com/

Documentation utilisateur

Sur le site de démonstration, une documentation et des exemples de fichiers de configuration très fournis.
Egalement la page Tips and Tricks très pratique.

La documentation est également accessible dans l'interface web de toute nouvelle installation de Xymon (Onglet Help).

Pour une configuration avancée de Xymon, la page wiki du projet donne de très nombreuses informations.

Divers (astuces, actualités, sécurité)

Inspiré par l'outil historique Big Brother (non libre), Xymon avait pour nom initial Hobbit. Mais pour des raisons de droits d'auteur (Hobbit, ça vous dit quelque chose ?!), il a du changer son nom en novembre 2008 à partir de la version 4.2.2. Voir l'annonce de l'époque sur la liste de diffusion Hobbit.

Astuce : le lien « All non-green view » dresse sur une unique page la liste de tous les systèmes qui sont dans un état « anormal ». Très pratique, cette page peut servir de page d’accueil sur son navigateur ou sur un écran de supervision afin de réagir rapidement en cas de problème critique.

Sécurité : il est très recommandé d'installer Xymon sur un espace intranet. Pour une supervision depuis l'extérieur, une possibilité est de surveiller les alertes par mail.

Syndiquer le contenu