admin syst rés

Logiciels (logiciels libres en majorité) ou ressources (liées aux logiciels) utiles aux administrateurs systèmes et réseaux informatiques
Mots-clés

Séminaire en ligne 'DNSSEC' 9 fev 2012

Le jeudi 09/02/2012 à 15h00 (durée estimée 1h30), le pôle ARESU de la DSI-CNRS organise avec Surfnet (équivalent de Renater aux Pays-Bas) un séminaire web sur le thème « DNSSEC ».

L’orateur est M. Roland van Rijswijk (SURFnet Middleware Services).

L'agenda du séminaire :

  • DNS et ses faiblesses.
  • C’est quoi DNSSEC? Son fonctionnement.
  • Déploiement de DNSSEC. Par où commencer ?
  • Les pièges à éviter.
  •  L’approche de Surfnet et ses choix techniques.
  • Problèmes d’exploitation.

Pour s'inscrire: http://cnrs-event.webex.com

Le séminaire sera diffusé par Webex en VoIP. prévoir un casque pour suivre l’audio.

Fiche logiciel validé
  • Création ou MAJ importante : 19/12/11
  • Correction mineure : 11/03/13
Mots-clés

Cacti : métrologie d'équipements et de services informatiques ou réseaux

Description
Fonctionnalités générales

Cacti est un logiciel complet de métrologie de traffic réseau, d'équipements (réseau...) et de services informatiques basé sur RRDTool (fiche plume). Complet dans le sens où il permet de collecter des données de performances sur les différents équipements surveillés, stocker ces données dans des bases, générer des graphes et les visualiser grâce à une interface web.

Collecter des données :

A intervalle donné (5 minutes par défaut), Cacti va collecter des valeurs ou mesurer des temps de réponse grâce à son ordonnanceur intégré. Il existe plusieurs types d'ordonnanceurs, du plus simple écrit en PHP au plus performant écrit en C. Cacti interroge les hôtes principalement par l’intermédiaire du protocole SNMP. Une majorité d'équipements réseaux et informatiques proposent cette fonctionnalité mais si ce n'est pas le cas, Cacti peut aussi interroger via des scripts étendant grandement les possibilités.

Alimenter des bases de données :

Comme dit en introduction, Cacti s'appuie sur RRDTool développé par Tobias Oetiker (http://tobi.oetiker.ch/hp/) qui est également l'auteur des logiciels comme Smokeping ou le célèbre MRTG. Le grand principe de RRDTool est de stocker les valeurs dans des bases de données tournantes à taille fixe, appelées "Round Robin Archive". On ne conserve que les "n" dernières valeurs, les valeurs sont moyennées pour alimenter une autre base portant sur une période de temps plus grande, et ainsi de suite.

Générer des graphes :

S'appuyant sur RRDTool, Cacti fournit une représentation graphique de ces valeurs et de leur évolution dans le temps. Les graphes sont générés en temps réel et l'on peut zoomer ou changer l'échelle de temps. Une arborescence permet de naviguer simplement entre les équipements et les graphes associés.

Proposer une interface :

Cacti permet aux utilisateurs de consulter les graphes à travers une interface web écrite en PHP. Mais elle permet aussi d'effectuer très simplement toute la configuration de l'outil. De plus, afin de permettre une délégation des taches, Cacti propose une gestion des accès très fine.

Exemples de graphes

Le débit réseau entrant et sortant d'un pare-feu :

Le filtrage de spam (avec j-chkmail) :

Détection d'effets de bord suite à une modification de la configuration du serveur de messagerie :

Exemple d'attaque violente qui pourrait faire s'écrouler le service, l'équipe a pu réagir avant :

Autres fonctionnalités

Système de templates

Une des forces de Cacti est de pouvoir grandement réutiliser le travail effectué. Par l'intermédiaire d'un mécanisme de modèles, appelé templates, il est possible d'automatiser plus ou moins la création d’hôtes d'une même famille de matériels. De plus, il est possible d'importer et d'exporter des "templates" ce qui permet le partage entre utilisateurs de Cacti.

Gestionnaire de plugins

Cacti en natif n'embarque pas de gestionnaire de plugins, mais cela est prévu sur la "road map" du projet. Néanmoins, un contributeur a développé un gestionnaire appelé PIA (Plug In Architecture). Pour installer PIA, il est nécessaire de modifier le code de Cacti ce qui rend possible par la suite l'ajout de plugins de façon automatique.

Une liste des plugins proposés par la communauté est disponible ici :
http://docs.cacti.net/plugins

Méthode d'authentification flexible

Cacti propose trois méthodes d'authentification : authentification interne, authentification par annuaire LDAP ou authentification déléguée à Apache. Cette dernière est très intéressante car on va pouvoir utiliser tous les modules existants pour Apache sans pour autant modifier quoi que se soit dans Cacti.

Parmi les modules Apache d'authentification, l'authentification CAS (fiche PLUME) nous intéresse particulièrement. En effet, ce web SSO est très souvent utilisé dans nos établissements, utiliser cette méthode permet à Cacti de s'intégrer parfaitement dans le SI de l’établissement.

Interopérabilité

Utilisation du protocole SNMP

Cacti utilise majoritairement des requêtes SNMP pour interroger les équipements réseaux et autres. Ce protocole est très répandu sur les matériels réseaux tels que les routeurs, les commutateurs, les onduleurs, les sondes de températures, les imprimantes, etc. De plus, sur les systèmes d'exploitations récents, on peut installer ce service et même y ajouter ses OID personnalisés.

Utilisation de scripts

Cacti peut aussi passer par des scripts pour interroger des équipements. Peu importe le langage tant que la sortie est formatée pour Cacti. Ainsi on va pouvoir utiliser des requêtes HTTP, des connections SSH/TELNET ou tout autre moyen pour récupérer les valeurs que l'on souhaite afficher. Il n'y a aucune limite.

Contexte d'utilisation dans mon laboratoire/service

Pour ma part, j'ai mis en place ce produit dans plusieurs DSI (INRA...), en particulier pour la surveillance de leur système d'information. Dans ce sens, j'ai utilisé Cacti pour monitorer une grande variété d'équipements et de services :

  • Pare-feux, switchs, routeurs : trafics entrants/sortants, paquets rejetés.
  • Serveurs Linux : load average, utilisation espace disque, consommation I/O, etc.
  • Service messagerie : nombre de processus, mails entrants/sortants, statistiques j-chkmail, taille de la mailq, connexions pop(s)/imap(s)/smtp, etc.
  • Onduleurs : charges/phases, autonomie, capacité des batteries, températures internes, etc.
  • Sondes : températures, humidités, luminosités.
  • Passerelles TOIP : nombre de communications simultanées.

Ces plateformes sont toujours en production, mes collègues s'en servent régulièrement pour suivre l'évolution de l'utilisation des services ou pour remonter l'origine d'un incident. Ce produit demande un peu de temps lors de la phase de configuration mais son coût d'exploitation est très faible : pas de problème d’espace disque saturé et pas de corruption de bases de données grâce à l'utilisation de RRDTool. Une fois les templates installés, il suffit de les instancier pour chaque nouvel hôte.

Limitations, difficultés, fonctionnalités importantes non couvertes

Supervision limitée

Cacti détecte qu'un hôte n'est pas joignable pour ses besoins internes (pour optimiser le temps de collecte en évitant des timeout inutiles). Mais Cacti n'est en aucun cas un outil de supervision servant à alerter l’administrateur d'un incident. Pour ce besoin, il y a des outils plus pertinents, comme Nagios (fiche PLUME) par exemple.

Interface vieillissante

L'interface de Cacti n'est pas multilingue, elle est proposée à l'heure actuelle seulement en anglais. Néanmoins, il est indiqué dans la road map le support prochain de plusieurs langues.

De plus, l'interface web ne bénéficie pas des avancés du "web 2.0". Il faut cliquer de très nombreuses fois pour configurer quelque chose, trier des listes est un peu long, tout comme naviguer dans l'arborescence de visualisation.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Cacti est une application web écrite en PHP, elle s'installe donc depuis les sources sur tout système d'exploitation disposant d'un serveur de documents web, d'un serveur de bases de données et du moteur PHP ainsi que les modules nécessaires.

Quelques distributions proposent Cacti sous formes de package, c'est le cas de Debian et ses dérivés ainsi que Red Hat et ses dérivés.

Logiciels connexes

Nagios :

Nous avons indiqué dans la partie "Limitations et difficultés" que Cacti n'était pas un logiciel de supervision. Dans de nombreux EPST nous retrouvons le couple Nagios/Cacti car ces logiciels sont complémentaires. Nous ne pouvons faire de supervision pertinente sans avoir la métrologie pour définir les bons seuils d'alarme. De même, de la métrologie seule ne nous mettrait pas en capacité de réagir suffisamment vite en cas d'incident sur le SI.

Si vous souhaitez en savoir plus sur le logiciel de supervision Nagios, consultez la fiche dédiée :
http://www.projet-plume.org/fr/fiche/nagios

Weathermap :

Certains administrateurs apprécient d'avoir une vue d'ensemble de leur infrastructure. Weathermap permet de construire une carte des équipements et des liens réseaux. Un code couleur est utilisé pour représenter la charge des liens réseaux, on peut aussi afficher l'état des équipements (up/down) et intégrer des graphes Cacti lorsque la souris survol un objet particulier.

Depuis peu, une nouvelle version de Weathermap est proposée : PHP Weathermap qui est en fait un plugin pour Cacti. Il s'installe donc en quelques instants et s'intègre encore mieux dans l'outil Cacti.

Autres logiciels aux fonctionnalités équivalentes

Cacti est un peu le standard de fait en matière de métrologie mais il existe d'autres outils :

  • MRTG : Logiciel libre développé par Tobias Oetiker et qui a inspiré grandement Cacti.
  • Zabbix : Logiciel libre de supervision et métrologie.
  • Centréon : Surcouche graphique libre pour Nagios proposant un peu de métrologie.
  • Smokeping : Encore un logiciel libre développé par Tobias Oetiker. C'est un outil spécialisé dans les temps de réponses.
Environnement de développement
Eléments de pérennité

Il est toujours difficile d'évaluer la pérennité d'un projet libre. La première release de Cacti (v0.5) a été faite le 23 septembre 2001. C'est un projet qui dure depuis 10 ans, on peut donc supposer qu'il a encore de belles années devant lui.

De plus, la communauté Cacti qui s'exprime à travers le forum officiel est très réactive pour les demandes de support et publie de nombreuses contributions (plugins, templates, scripts...). Il y a plus de 30 000 membres inscrits sur ce forum.

Enfin, on trouve sur internet des tutoriels, des documentations d’installation et des templates supplémentaires. De grands constructeurs proposent même leurs templates, par exemple F5 met à disposition le nécessaire pour monitorer leur loadbalancer :
http://devcentral.f5.com/Forums/tabid/53/aft/16275...

Références d'utilisateurs institutionnels
  • Université Nancy 2 : 1 plateforme (Serveur : 2 coeurs ; RAM : 1Go ; RRD : 65 Mo) surveillant 149 hôtes et 567 indicateurs.
  • INRA

Il existe un sujet sur le forum officiel Cacti traitant des performances et du dimensionnement :
http://forums.cacti.net/viewtopic.php?f=4&t=6206

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Le forum officiel de Cacti :
http://forums.cacti.net/

Documentation utilisateur

Un excellent tutoriel proposé par Linagora décrivant les concepts de base de Cacti et RRD :
http://linagora.org/_media/contrib/supervision/doc...

Une liste des "templates" les plus utilisés :
http://forums.cacti.net/viewtopic.php?f=12&t=15067

Fiche logiciel validé
  • Création ou MAJ importante : 21/11/11
  • Correction mineure : 02/03/14
Mots-clés
Pour aller plus loin
  • Fiches logiciel PLUME connexes : Cacti

phpLicenseWatcher : supervision de serveurs de jetons flexlm

Description
Fonctionnalités générales

phpLicenseWatcher est un outil web développé en PHP permettant la supervision de serveurs de licences "flexlm" et la distribution de "jetons" aux utilisateurs qui témoignent de l'utilisation des logiciels gérés par flexlm.
Par exemple avec phpLicenseWatcher on peut suivre l'utilisation des licences d'un logiciel comme Matlab dont l'utilisation est soumise à une gestion de "jetons" via flexlm.

phpLicenseWatcher est donc une interface graphique aux commandes "lmutil" et "lmstat" qui permet de suivre l'état et l'historique de l'utilisation des jetons. Il exploite aussi les logs du démon flexlm avec une possibilité de recevoir des mails de rappel à l'expiration des licenses ou des statistiques d'utilisation.

Autres fonctionnalités

Sur la page d'administration :

  • graphiques d'utilisation journalière/hebdomadaire/mensuelle et annuelle de chaque licence
  • statistiques sur les dénis d'utilisation pour chaque licence
  • statistiques d'utilisation de chaque licence pour chaque utilisateur

Extensions possibles (non testées) avec le projet phpLicenseWatcherExtension : http://sourceforge.net/projects/phplwextension/

Interopérabilité
Contexte d'utilisation dans mon laboratoire/service

Au LaMCoS, cet outil est utilisé pour permettre un suivi et la visibilité de statistiques sur l'utilisation des licences gérées par plusieurs serveurs "flexlm" (matlab, comsol, ansys, fortran, PBSPro).

Environnement du logiciel
Plates-formes

Linux ou une plateforme supportant apache et php

Logiciels connexes

phpLicenceWatcher fonctionne avec un serveur web comme apache et php
Il nécessite les binaires lmstat et lmutil ainsi que le paramétrage d'une crontab pour les alertes mails et l'utilisation des licences.

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Vladimir Vuksan est le développeur principal.

Références d'utilisateurs institutionnels

La DSI de l'INSA de Lyon utilise également phpLicenceWatcher pour superviser ses 14 serveurs flexlm.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Divers (astuces, actualités, sécurité)

L'accès aux logs du démon lmgrd doit être possible pour affiner les statistiques (comme les dénis d'accès pour cause de jetons tous utilisés).

Fiche logiciel validé
  • Création ou MAJ importante : 07/10/12
  • Correction mineure : 23/12/13
  • Rédacteur de la fiche : Pascal Mouret - Direction Opérationnelle du Système d'Information, Campus Luminy (Université d'Aix-Marseille)
  • Relecteur(s) : Thierry Dostes (IMM Service Informatique)
    Michel Court (Polytech Marseille)
  • Responsable thématique : Maurice Libes (OSU Institut Pytheas - UMS 3470 CNRS)
Mots-clés

netdisco : cartographie des matériels actifs sur un réseau local

Description
Fonctionnalités générales

Netdisco est un logiciel open source qui permet de dresser une cartographie d'un réseau via SNMP. Il offre une vision synthétique du parc d'équipements réseau, de l'utilisation des classes IP, de la localisation des différents clients réseau (PC, imprimantes, ...) sur les différents commutateurs, des noms DNS ainsi que des noms NETBIOS utilisés. On dispose très rapidement d'une vision synoptique à jour de l'état du réseau.
Une fonctionnalité intéressante est de savoir "sur quel port de quel commutateur est connecté le PC possédant telle adresse IP ?"

Un des intérêts de Netdisco est qu'il est capable de découvrir automatiquement la topologie du réseau, en se connectant aux équipements via SNMP, et en utilisant les protocoles de découverte de voisins tels que CDP ou LLDP fréquemment implémentés sur différentes marques de commutateurs réseau (Cisco ou HP par exemple).

Cependant, si certains des commutateurs ne possèdent pas le protocole de découverte automatique suscité, il est possible de faire une cartographie "manuelle" du réseau au moyen d'un fichier de topologie qui indique quels commutateurs sont connectés ensemble via quel port d'interconnexion.

Autres fonctionnalités
  • Affichage graphique de la topologie du réseau.
  • Gestion web des ports et VLANs sur les équipements réseau.
  • Connexion directe aux équipements réseau.
  • Tri des équipements par marque, OS, version.
  • Détection des conflits d'adresses IP.
  • Une fonctionnalité intéressante est d'obtenir le résultat d'un "traceroute" de niveau 2 entre les commutateurs qui composent le réseau local... Ainsi, si vous donnez 2 adresses IP, Netdisco indiquera tous les commutateurs traversés et leurs ports d'interconnexion pour rejoindre les 2 adresses.
Interopérabilité

Protocole SNMP

Contexte d'utilisation dans mon laboratoire/service

Netdisco est utilisé au niveau du campus de Luminy pour suivre l'utilisation d'une classe B. A l'heure actuelle, environ 80 équipements réseau y sont configurés (200 à terme). Il permet aux équipes de gestion de parc de suivre l'utilisation des adresses IP et de gérer l'affectation de nouvelles adresses. En cas de problème, il est très facile, à partir d'une adresse IP ou d'une adresse MAC ou d'un nom Netbios, de remonter au port du commutateur ethernet concerné. Pour l'équipe réseau, cela donne une vision globale et synthétique du parc de commutateurs/routeurs et de la topologie du réseau.

Limitations, difficultés, fonctionnalités importantes non couvertes

Le point névralgique dans Netdisco concerne les MIBs (Management Information Base) SNMP. La plupart des équipements habituels ont leurs MIBs incluses, mais si vous possédez des équipements moins courants, il faut se procurer les MIBs adéquates, ce qui est un travail itératif (chaque MIB étant basée sur un certain nombre d'autres MIBs) parfois un peu long.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Debian, Fedora, CentOS, RedHat, Mandriva, Ubuntu

Plates-formes

Toute plateforme logicielle supportant Perl (>=5.8) et Apache. Il faut également avoir accès à une base PostgreSQL.
Fonctionne a priori sous Windows en utilisant Cygwin.

Environnement de développement
Type de structure associée au développement

Communauté de développeurs (10 au 18/09/2012).

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Listes de diffusion (anglais) : http://sourceforge.net/mail/?group_id=80033

Documentation utilisateur

Doc originale (anglais) : http://www.netdisco.org/install.html

Divers (astuces, actualités, sécurité)

L'installation depuis le site Web de Netdisco est bien détaillée (cf lien ci-dessus), mais relativement longue. Il ne faut pas espérer l'installer en 5 mn, mais les bénéfices en terme de gestion d'un réseau local sont assez importants et l'investissement est largement récompensé !

Pour une installation via un paquet, ce n'est pas immédiat non plus mais beaucoup plus facile. Sous Debian notamment, une fois le paquet installé, il y a encore des choses à faire : cf /usr/share/doc/netdisco-backend/README.Debian et /usr/share/doc/netdisco-frontend/README.Debian
Les MIBs 3Com/H3C ne sont pas incluses par défaut. Cf http://sites.google.com/site/jrbinks/code/netdisco... pour quelques infos sur la procédure à suivre pour les rajouter.

Egalement, toutes les fonctionnalités ne sont pas activées par défaut. Par exemple, pour disposer du bouton "L2 traceroute", il est nécessaire de modifier une variable (traceroute) dans le fichier de configuration. Bien lire la documentation, notamment celle du backend pour être sûr de tout avoir.

Contributions

Pour déposer les propositions de patches : https://sourceforge.net/tracker2/?group_id=80033&a...
ou pour contribuer au développement, s'inscrire sur la liste netdisco-devel (https://lists.sourceforge.net/lists/listinfo/netdi...).

Fiche logiciel validé
  • Création ou MAJ importante : 03/03/13
  • Correction mineure : 03/03/13
Mots-clés
Pour aller plus loin

MySecureShell : serveur FTP sécurisé avec contrôles d'accès

Description
Fonctionnalités générales

MySecureShell est à la fois un "shell" de connexion, ainsi qu'un serveur FTP sécurisé (appelé «sftp-server » dans le projet).

Le serveur FTP repose sur le protocole sécurisé SSH (SFTP). Le shell permet de mettre en œuvre les règles inscrites dans le serveur SFTP. Ces règles, nommées directives sur le site Web du projet, sont aux nombres de 58. Pour résumer, elles permettent de :

  • gérer les droits d’accès au contenu des répertoires de connexion (lecture/écriture, limites du nombre de fichiers ouverts en lecture/écriture, etc.),

  • gérer le trafic (temps de connexion, bande passante, nombre maximal de connexions sur le serveur, etc.),

  • restreindre l'accès d'un utilisateur à son seul dossier personnel (compte "chrooté").

L’administration du serveur peut être faite à l'aide d'une interface graphique ou en ligne de commandes en éditant un seul fichier de configuration bien documenté. Par exemple, il est possible d’offrir plus de droits à un compte utilisateur en ajoutant quelques lignes dans le seul fichier de configuration.

La granularité poussée des droits des utilisateurs et l’étendue des possibilités de gestion du serveur SFTP sont les principaux atouts de ce projet.

Autres fonctionnalités

Il est possible d'étendre les fonctionnalités de MySecureShell en mettant en place une plateforme d'échange de fichiers volumineux.

Le réglage fin des droits utilisateurs permet par exemple de créer un ou des compte(s) chrooté(s) faisant office de répertoire d'échange accessible depuis Internet. Ainsi, un utilisateur "extérieur" au réseau de l'unité, à qui on communiquerait le login/mot-de-passe d'un compte convenu pourra déposer en toute sécurité (connexion chiffrée) tous les documents à destination de la personne concernée du laboratoire ou du service.

Toutes les explications et quelques scripts écrits en bash pour automatiser la gestion des comptes sont donnés sur le site :
http://pmc.polytechnique.fr/pagesperso/dc/echange....

Interopérabilité

MySecureShell s'appuie sur OpenSSH. Pour optimiser la sécurité, il est donc souhaitable d'avoir une version récente et pleinement fonctionnelle de ce dernier.

Contexte d'utilisation dans mon laboratoire/service

MySecureShell est utilisé en tant que serveur d'échange de fichiers volumineux. Les utilisateurs apprécient le niveau de sécurité qu'offre le service et surtout le niveau de confidentialité.

Limitations, difficultés, fonctionnalités importantes non couvertes

Les utilisateurs doivent savoir utiliser un client FTP supportant le SSH tel que FileZilla.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Debian/Ubuntu et CentOS/Fedora.

Pour les autres distributions : sur le site web du projet, le tarball contenant toutes les sources est accessible en téléchargement.

Plates-formes

Multi-plateformes

Logiciels connexes

OpenSSH doit être installé et pleinement fonctionnel AVANT d'installer MySecureShell.

Pour utiliser l'interface graphique des outils d'administration du serveur, l'installation des bibliothèques graphiques de Java est nécessaire.

Sur le site du projet, il est proposé des outils graphiques de monitoring comme :

  • GeekTool (Mac OS X)
  • Samurize (Windows)
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Projet initié par Sébastien Tardif et Pierre Mavro.

Eléments de pérennité

La première version de MySecureShell v0.1 date du 26/09/2004. L'équipe de développeurs est active car le logiciel change de version 1 à 2 fois par an.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Contributions

Pour contribuer au projet, il suffit de se faire connaître à l'adresse e-mail: teka2nerdman [at] users [dot] sourceforge [dot] net

Comparateur de CMS

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 28/09/11
  • Correction mineure : 28/09/11
Mots-clés

Comparateur de CMS

CMSMatrix est un site web mettant à disposition un outil de comparaison d'une très longue liste de CMS (Content Management System, gestion de contenu).
Ce service est comparable à celui proposé par le site Fiche Plume WikiMatrix qui compare des wikis.

Les informations de description des différents CMS sont apportées par les auteurs des CMS ou par des utilisateurs de ces systèmes, et éventuellement corrigées et/ou complétées par les utilisateurs de CMSMatrix.

Une liste de critères de comparaison est proposée, et l'utilisateur peut sélectionner les points qui l'intéressent plus particulièrement.

Une liste de discussion est accessible, à la condition de s'inscrire sur ce site : http://www.cmsmatrix.org/discussion

Un ensemble de sites relatifs aux CMS en général est également disponible: http://www.cmsmatrix.org/links

Les informations fournies permettent de faire un premier tri en sélectionnant les critères représentatifs des besoins identifiés dans un contexte bien défini.

Fiche logiciel validé
  • Création ou MAJ importante : 30/03/12
  • Correction mineure : 19/08/13
Mots-clés

KeePass : gestionnaire de mots de passe

Description
Fonctionnalités générales

KeePass est un logiciel de gestion de mots de passe pour une équipe ou un projet donné.

KeePass a reçu la certification CSPN de l’ANSSI (pour la version portable).

L'idée est de centraliser dans un fichier unique chiffré un ensemble d'informations de connexion (nom d'utilisateur, mot de passe...). L'accès à ce fichier peut se faire en parallèle par différents membres de l'équipe, KeePass gère la concurrence d'accès.

C'est donc une alternative pratique et sécurisée aux habituels fichiers texte ou tableurs, protégés en général par des droits d'accès au niveau OS (et par un mot de passe supplémentaire parfois pour les tableurs).

L'outil peut également servir comme gestionnaire de mots de passe personnels : un utilisateur peut ainsi gérer avec cet outil ses nombreux mots de passe pour les multiples sites auxquels il se connecte. Il permet ainsi d'utiliser des mots de passe aléatoires, ce qui est un gage important de sécurité. Il existe une version portable pour clé USB qui permet d'utiliser facilement sa base de mots de passe à partir de différentes machines.

Autres fonctionnalités

Divers mécanismes ont été implémentés pour se protéger, autant que possible, des keyloggers.

Interopérabilité

Les informations gérées par KeePass peuvent être importées et exportées dans différents formats ouverts, comme CSV ou XML, ou via des formats propriétaires d'autres logiciels du même genre, comme indiqué à cet endroit http://keepass.info/help/base/importexport.html.

Contexte d'utilisation dans mon laboratoire/service

KeePass est utilisé pour gérer les différents logins/mot de passe pour un projet donné. Cela permet de partager de manière sécurisée ces informations entre les membres d'une même équipe projet, interne au service ou avec un prestataire. Pour éviter de partager un secret entre plusieurs personnes, il est possible d'utiliser l'extension CertKeyProvider qui offre une protection par certificat au lieu d'un mot de passe.

Keepas est l'outil idéal pour n'avoir qu'un seul mot de passe à retenir, ce qui permet d'en choisir un robuste, et utiliser sur les différentes applications ou sites auxquels on se connecte des mots de passe extrêmement robustes car longs et aléatoires .

Limitations, difficultés, fonctionnalités importantes non couvertes

Une version native dédiée à Linux et MacOS (sans Mono) serait appréciable, même si des contributeurs annexes en ont mis des versions à disposition.

Environnement du logiciel
Plates-formes

Le produit est développé en .net. Il s'exécute nativement sous MS Windows et via l'émulateur Mono (Mono version 2.6 et ultérieures) pour Linux ainsi que MacOS.

Des contributeurs annexes ont mis à disposition des versions natives pour divers OS y compris pour des smartphones, le tout regroupé sur http://keepass.info/download.html.

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Le développement est géré par un particulier, Dominik Reichl, dont le site personnel est http://www.dominik-reichl.de/index.html.

Eléments de pérennité

Diverses récompenses ont été décernées à cet outil, comme le mentionne la page http://keepass.info/ratings.html.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Un forum est disponible, hébergé sur le SourceForge du projet : http://sourceforge.net/projects/keepass/forums.

Documentation utilisateur

La page principale d'aide, en anglais, est http://keepass.info/help/base/index.html.

Divers (astuces, actualités, sécurité)

La distribution standard la plus pratique est la version portable qui se présente sous forme de fichier ZIP. Une fois décompressée le ZIP dans un répertoire accessible à l'équipe projet, le partage se fait typiquement en positionnant des droits d'accès OS adaptés sur le dit répertoire.

L'utilisation du mode "master password" est la plus pratique. Il convient cependant de modifier une option de base afin de minimiser les risques d'attaques par force brute, en allant dans les options de la base de sécurité, onglet Sécurité, et en cliquant sur "1 second delay" (voir le détail sur http://keepass.info/help/base/security.html#secdic...).

A noter par ailleurs qu'une traduction en français de la distribution standard est présente à http://keepass.info/translations.html.

Contributions

Il est possible de développer des plugins en suivant la documentation http://keepass.info/help/v2_dev/plg_index.html.

Par ailleurs, à titre d'information, les codes sources de la version courante sont disponibles sur SourceForge, à http://downloads.sourceforge.net/keepass/KeePass-2....

Le développement se fait en C#.

Mots-clés

Séminaire RESINFO-JoSy "AJAX et Bibliothèques Javascript pour les ASR" 3 Novembre - Paris

RESINFO organise sa prochaine journée système "JoSy" sur le thème "AJAX et Bibliothèques Javascript pour les ASR" le jeudi 3 Novembre dans l'amphithéâtre Michel Ange du siège CNRS à Paris.

Objectifs : la journée est consacrée aux technologies Web coté client...permettant de fournir es éléments de base aux ASR pour développer et déboguer des applications Web plus réactives et intuitives en utilisant la technologie AJAX et des bibliothèques Javascript. Un accent est mis sur l'utilisation de la librairie JQuery... des éléments dé sécurité seront donnés...au passage on parlera de HTML5... de REST ... et  pour terminer une introduction aux "framework" sera faite.

Inscription : gratuite mais obligatoire sur le formulaire  http://xstra.u-strasbg.fr/JOSY/

Cette journée sera diffusée via le web, et sera disponible en vidéo à la demande

Programme et plus d'information : site de RESINFO.

Fiche logiciel validé
  • Création ou MAJ importante : 19/09/11
  • Correction mineure : 18/04/13
Mots-clés
Pour aller plus loin
  • Mots-clés principaux : CMS

Ametys : gestion de contenu web (CMS)

  • Site web
  • Système : UNIX-like, Windows, MacOS X
  • Téléchargement
  • Version évaluée : 3.2
  • Langue(s) de l'interface : français, anglais
  • Licence : Autre

    La licence Apache est celle utilisée pour tous les développements issus de la fondation Apache. Il s'agit d'une licence open source assimilable à du GPL, mais sans aucune contrainte de redistribution, et permettant tous les usages des produits concernés.

Description
Fonctionnalités générales

Ametys est un système de gestion de contenu Web (CMS) destiné à répondre aux besoins de publications web des grands comptes industriels et des établissements publics (les administrations et les universités). Ce CMS a été adopté par une vingtaine d'établissements de l’enseignement supérieur pour sa structure adaptée au monde de l’enseignement :

  • Facilité de gestion d'un très grand nombre de contributeurs
  • Ergonomie facilitant la prise en main
  • Richesse du système d'édition des contenus

Les principales fonctionnalités sont les suivantes

  • Plate-forme multi sites
  • Facilite le partage de contenus
  • Fonctionnalités Web2.0 (connexion réseaux sociaux, widgets personnalisables)
  • Respecte les dernières normes d'accessibilité
  • Workflow facilement personnalisable
  • Internationalisation des sites gérés

Caractéristiques et autres fonctionnalités importantes

  • Assistants contextuels et ergonomie proche des outils bureautiques courants
  • Historisation du contenu, circuit de mise en ligne personnalisable, gestion avancée des droits
  • Outils d'aide à l'intégration et au déploiement multi-sites disponibles
  • Atelier charte graphique qui permet la création et la modification d’une charte graphique intégrée dans le CMS
  • Séparation Page-Contenu : un contenu peut être partagé par plusieurs pages de différents sites
  • Mise en ligne page par page
Autres fonctionnalités

Les Plugins sont des éléments intégrés ou complémentaires au CMS Ametys qui permettent d’étendre ses fonctions de base.

Des plugins sont disponibles en téléchargement sur le site d'Ametys. Ils sont classés en 2 familles :

  • Plugins communautaires accessibles via l'onglet "plugins communautaires" du site ametys"
  • Plugins officiels accessibles via l'onglet "plugins officiels" du site ametys

On peut citer quelques plugins à titre d'exemples :

  • Actualités : Gestion d‘actualités et d’événements.
  • Galerie multimédia : Création de galeries de photos, de vidéos ou de musiques.
  • Plugin Syndication : Affichage des flux RSS ou ATOM directement sur le site.
  • Media incorporés : Publication d’animations flash ou de vidéos issues de Dailymotion et Youtube.
  • Plugin Réseaux sociaux : Intégration des flux de données des réseaux sociaux externes sur le site web (Twitter, Facebook , Viadéo …). Permet aux visiteurs de partager les contenus sur les réseaux sociaux.
  • Plugin insertion de données : Affichage rapide et en quelques clics des données issues d’une base de donnée SQL ou d’un annuaire LDAP 
  • Plugin éditeur de charte : Modification de la charte graphique de votre site directement depuis votre navigateur Web. 
  • Plugin tableau de bord : Intégration d’un tableur listant les tâches à accomplir et celles accomplies. 
  • Plugin gadgets : Intégration de services « open social » équivalent à ceux utilisés sur iGoogle. Ils peuvent être imposés par le contributeur ou sélectionné par le visiteur.

Aperçu du CMS Ametys depuis la partie Administrateur

CMS UTT

 

Cet aperçu met en avant l'ergonomie du CMS avec sur la gauche le plan du site qui facilite la navigation ainsi que l'ergonomie des menus, proche des outils bureautiques standards (style MS Word).

Interopérabilité

Connecteurs avec le système d’information
Annuaire LDAP, Active Directory, Authentification SSO-CAS
ENT ESUP-Portail
Apogée (logiciel de l’AMUE)
Alfresco, Nuxeo via le standard CMIS

Contexte d'utilisation dans mon laboratoire/service

L'Université Technologique de Troyes s'est dotée d'un site Internet motorisé par le CMS Ametys, dans le but de moderniser sa plateforme web pour répondre à de nouveaux besoins :

  • Bénéficier d'une plateforme capable de gérer un grand nombre de collaborateurs
  • Gestion des droits avancée
  • Accessibilité pour des utilisateurs inexpérimentés
Limitations, difficultés, fonctionnalités importantes non couvertes

Malgré une documentation exhaustive sur le paramétrage du logiciel lors d'une intégration, l'intervention d'un intégrateur spécialisé Ametys est recommandée.
Les offres de formation sont synchronisables avec le CMS à partir d'un connecteur Apogée.
Le CMS Ametys est écrit en Java. Il nécessite donc un serveur dédié pour son hébergement, il ne peut pas se reposer sur des hébergements gratuits de type Free Pages Perso.

Environnement du logiciel
Plates-formes

Linux, Windows, Mac, Unix

Logiciels connexes

Java 6 ou +
Base de donnée (MySQL, Oracle, Derby)
Tomcat 6

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Anyware Services est l'éditeur du CMS Ametys.

Eléments de pérennité

Ametys est un logiciel open source utilisé par une vingtaine d'universités. Il est l'aboutissement d'une expertise acquise depuis 2002. Quatre développeurs travaillent à temps plein pour faire évoluer le logiciel en fonction du besoin des utilisateurs.

Références d'utilisateurs institutionnels

Le CMS Ametys est destiné aux organisations dont le nombre de contributeurs qui gèrent le site est élevé. C’est pourquoi de nombreuses institutions issues de l’enseignement supérieur ont choisi cette solution :

Pour consulter l'ensemble des sites Universitaires réalisés avec Ametys, consultez la page références clients.

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Une documentation pour les utilisateurs, les intégrateurs et les développeurs est disponible en ligne ( wiki.ametys.org ). Un forum d’entraide est également accessible.

L'éditeur du CMS Ametys, Anyware Services, développe également des modules fonctionnels qui peuvent répondre à des besoins spécifiques. Ceux déjà disponibles sont consultables sur le wiki ou sur le forum.

Documentation utilisateur

Un wiki recense toute la documentation du logiciel (utilisateur, installateur, intégrateur, développeur).

Divers (astuces, actualités, sécurité)

Différents plugins sont intégrables au CMS Ametys. Divisés en deux catégories, ils se composent des  plugins officiels disponibles en standard, ainsi que des plugins communautaires qui répondent à des besoins spécifiques :

  • Plugin "Pages personnelles" : il permet aux professeurs d'enregistrer leurs informations professionnelles dans un annuaire LDAP.
  • Plugin "Signaler des traductions" : il permet de lier deux pages similaires dont l'une est la traduction de l'autre dans une autre langue.
Contributions

Il est possible de contribuer au logiciel Ametys. Tous les renseignements sont disponibles sur le site.

Il est également possible de rejoindre la communauté Ametys sur Twitter ou Facebook.

Fiche logiciel validé
  • Création ou MAJ importante : 24/01/13
  • Correction mineure : 24/01/13
Mots-clés

Xymon : surveillance de serveurs, d'applications et de réseaux

Description
Fonctionnalités générales

Xymon (anciennement Hobbit – voir paragraphe Divers) est un logiciel qui permet de superviser en temps réel l'ensemble des éléments en réseau du système d'information (serveurs, routeurs, commutateurs réseau, baies de disques, imprimantes réseau...).

Cette supervision s'effectue à partir d'une interface web simple et conviviale, incluant des repères sous forme d’icônes et de codes couleurs. Ces icônes permettent de visualiser immédiatement l'état d'un système, d'une application ou d'un service sur deux critères : son niveau d'alerte (OK, Warning, Critical, No data, No report et Disabled) et la durée de cet état (inférieur ou supérieur à 24 heures).
A partir de cette interface, on peut aussi suivre l'historique des évènements d'un système à l'aide de tableaux ou de graphiques.
Il est également possible de configurer des alertes par mail dans le cas d'évènements critiques (système qui ne répond plus, partition disque supérieure à 90%, montages NFS non présents,...).

Au niveau architecture, Xymon est composé de deux services : un service serveur qui tourne sous apache et un service client à installer sur chaque système à monitorer (excepté sur le matériel purement réseau où seule la disponibilité de l'équipement est surveillée).

Outre la commande ping classique, les tests réseaux effectués nativement par Xymon concernent les fonctionnalités des protocoles  : ftp, ssh, smtp, pop, imap(s), nntp(s), ldap(s) query, http(s), ssl, ajp13, vnc, clamd, spamd, cupsd, rsync, oracle tns listener.
Il est possible d'écrire la définition de ses propres tests (par exemple pour surveiller d’autres services réseaux, le RAID logiciel sur les serveurs ou ses propres systèmes de sauvegardes).
Il existe également de nombreux plug-ins disponibles ici (souvent sous formes de script shell à rajouter sur le client).

Autres fonctionnalités
  • L'interface web présente des graphes permettant de suivre l'évolution des données surveillées.
  • Configuration sur la base de l'édition de quelques fichiers textes très simples.
  • Il est possible de définir des relations de dépendances entre les tests. Par exemple, si l'hôte ne répond pas au ping, il y a de fortes chances que les autres tests relatifs à cet hôte soient infructueux. Dans ce cas, au lieu de lancer de multiples alertes pour chaque tests, seule l'information que l'hôte ne répond plus est envoyé.
  • Si on surveille un grand nombre de serveurs et de services, il est possible de spécifier des "services critiques", avec plusieurs niveaux de priorité, qui seront regroupés sur une page spécifique.
  • Il est possible d'acquitter une alerte pour indiquer que le problème va être pris en charge.
  • Il est possible de désactiver un test temporairement pour éviter les alertes pendant une maintenance programmée.
Contexte d'utilisation dans mon laboratoire/service

A l'Institut d'Astrophysique Spatiale, nous utilisons Xymon pour superviser l'ensemble de nos serveurs et équipements réseaux. La page d'accueil de l'interface a été séparée par catégories de services (Serveurs réseau, Serveurs de calcul, Projets, Centre de données IDOC, Équipements réseau, Imprimantes et Extérieur) pour un total de 130 systèmes surveillés.

Xymon est également utilisé au CMLS et au CPHT.

Limitations, difficultés, fonctionnalités importantes non couvertes

Sur le serveur, les systèmes à surveiller sont rajoutés à la main dans un fichier de configuration. Aussi, lorsque le système est remplacé ou n'existe plus, il faut penser à le supprimer du fichier de configuration pour ne pas se retrouver avec de fausses alertes.

Le support de snmp n'est pas pris en charge nativement. Pour pouvoir monitorer l'état des équipements réseaux (imprimantes, switchs,...), il est possible par exemple d'utiliser le programme devmon et d'y associer des scripts pour Xymon.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Xymon est intégré dans la plupart des distributions Linux.
Sous debian, il faut installer sur le serveur les 2 packages xymon et xymon-plugins. Sur le client, seul le package xymon-client est nécessaire.

Un client pour windows existe (bbwin) et est disponible sur SourceForge.

Plates-formes

Linux

Logiciels connexes
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Eléments de pérennité

Sous licence libre, le projet est réactif. La dernière version (4.3.10) est sortie le 6 août 2012. En moyenne, une mise à jour de version majeure tous les deux ans (7 mises à jour de versions mineures en 2011 et 3 en 2012).

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums

Une liste de distribution en anglais xymon [at] xymon [dot] com : http://lists.xymon.com/

Documentation utilisateur

Sur le site de démonstration, une documentation et des exemples de fichiers de configuration très fournis.
Egalement la page Tips and Tricks très pratique.

La documentation est également accessible dans l'interface web de toute nouvelle installation de Xymon (Onglet Help).

Pour une configuration avancée de Xymon, la page wiki du projet donne de très nombreuses informations.

Divers (astuces, actualités, sécurité)

Inspiré par l'outil historique Big Brother (non libre), Xymon avait pour nom initial Hobbit. Mais pour des raisons de droits d'auteur (Hobbit, ça vous dit quelque chose ?!), il a du changer son nom en novembre 2008 à partir de la version 4.2.2. Voir l'annonce de l'époque sur la liste de diffusion Hobbit.

Astuce : le lien « All non-green view » dresse sur une unique page la liste de tous les systèmes qui sont dans un état « anormal ». Très pratique, cette page peut servir de page d’accueil sur son navigateur ou sur un écran de supervision afin de réagir rapidement en cas de problème critique.

Sécurité : il est très recommandé d'installer Xymon sur un espace intranet. Pour une supervision depuis l'extérieur, une possibilité est de surveiller les alertes par mail.

Syndiquer le contenu