administration de logiciels

Informations pour installer ou administrer des logiciels

Présentations du Tutojres de février 2010 "sécurité des sites web"

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 06/03/10
  • Correction mineure : 15/03/11
Mots-clés

Présentations du Tutojres de février 2010 "sécurité des sites web"

Ce tutoJRES n°12 était consacré à la sécurité des sites Web. Il s'adressait tant aux administrateurs système qu'aux développeurs.
Le programme présenté était le suivant :

  • Typologie des menaces Magali Contensin (IBDML)
    Les différentes menaces et méthodes d'attaque sur les applications web.
  • Les outils de détection de vulnérabilités Magali Contensin (IBDML)
    Kai Poutrain (LIF)
    Une synthèse avec avantages et inconvénients des différents outils permettant de détecter des vulnérabilités dans les applications web. Analyse dynamique (on essaie de corrompre un site web en fonctionnement), analyse statique (on analyse le code source de l'application), prise d'empreintes. La présentation n'est pas disponible pour des raisons de confidentialité. Une recommandation toutefois, ne jamais effectuer des tests d'intrusion sur un site en production.
  • Détection d'incidents Web Christophe Dubois (CERTA)
    Xavier Marronnier (CERT-Renater)
    Les sources, les méthodes utilisées pour détecter des sites compromis. La présentation n'est pas disponible pour des raisons de confidentialité. La recommandation forte est d'appliquer les correctifs de sécurité.

  • Maintenir une configuration Apache en production Jacquelin Charbonnel (LAREMA)
    Comment configurer Apache ? Les pièges à éviter.

  • mod_security, reverse proxy Thierry Dostes (IMM)
    Un serveur Apache avec mod_security est de fait un pare-feu applicatif web (WAF) à base d'outils libres, fonctionne sur la base de listes noires régulièrement mises à jour. Architecture à mettre en place, installation et configuration de l'outil. Un vrai plus en matière de sécurité.
  • Bonnes pratiques PHP/MySQL Magali Contensin (IBDML)
    Les règles que doivent suivre les développeurs pour produire un code sûr. La principale : vérifier toutes les données en entrée et en sortie.

  • Développement et sécurité : choix dans le logiciel Sympa David Verdin (CRU)
    Une appréciation des risques (vol de listes d'adresses, détournement du gestionnaire de listes pour envoi de spam) a conduit à la mise en places de mesures de sécurité. Choix technologiques, difficultés rencontrées.

  • Etude de la pertinence et de l'intérêt des appliances IPS web à l'INRIA Philippe Lecler (INRIA)
    Un pare-feu applicatif web (WAF) peut-il répondre aux besoins d'un organisme de recherche ? Processus de sélection d'un produit, mise en place d'un pilote avec du matériel prêté, mécanisme d'auto-apprentissage, un bilan plutôt positif, par contre le coût peut faire hésiter.

A noter que les présentations sont disponibles sur le site http://www.jres.org/tuto/tuto12/index, sauf la deuxième et la troisième pour des raisons de confidentialité et les videos devraient être mises en ligne prochainement.

EOLE : distribution de logiciels permettant d'installer des serveurs réseau Internet-Intranet

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 27/01/10
  • Correction mineure : 19/12/11
  • Fiches logiciel PLUME connexes : Ubuntu
Mots-clés

EOLE : distribution de logiciels permettant d'installer des serveurs réseau Internet-Intranet

EOLE est un projet développé par le Pôle de Compétence EOLE du Ministère de l’éducation nationale.

L’objectif du projet EOLE est de proposer des solutions clef en main pour la mise en place de serveurs Intranet-Internet. EOLE est conçu sur la base de logiciels libres et gratuits (licence GPL).
Le code est ouvert, utilisable, modifiable et redistribuable par tous (y compris hors Education nationale).

La distribution EOLE est conçue comme une "Meta distribution" basée sur la distribution Linux Ubuntu.
Elle en reprend les éléments essentiels comme l'installeur de la distribution et les procédures de mise à jour par paquets.

Cependant, à partir de cette distribution de base un travail de sélection et d’élimination à été effectué par les concepteurs de façon à ne retenir que les programmes strictement nécessaires au projet EOLE. Par ailleurs des paquetages spécifiques EOLE ont été créés et ajoutés.

EOLE comporte une série de modules logiciels. Chaque module constitue une distribution GNU/LINUX spécifique orientée solution qui permet d’installer facilement un serveur dédié. Les services offerts sont pré-configurés, l’ensemble est cohérent. Un module Eole est un ensemble cohérent de logiciels destiné à répondre à un besoin précis. Il s’installe sur un serveur dédié.

La procédure d’installation est entièrement automatisée, elle facilite le déploiement sur de nombreux sites déportés. L'installation se fait à partir d'une image ISO qui permet de graver un CD d’installation. Ce CD est multi module, le choix du module à installer est proposé au boot.

Les modules logiciels de EOLE sont les suivants :

  • Sphynx : Concentrateur pour réseau privé virtuel
  • Amon : Le pare-feu
  • Horus : Serveur de Fichiers
  • Zephir : Gestion du parc des serveurs Eole
  • Scribe : Serveur pédagogique
  • Sentinelle : Outils graphiques de supervision des serveurs (couplé à Zephir)
  • Eclair : Serveur de client léger sous Linux
  • ZephirLog : Concentrateur de fichiers journaux (log)
  • AmonEcole : Solution complète pour un établissement : un pare-feu Amon et un Scribe sur le même serveur
  • Seshat : Le relais de messagerie

Les piles BitNami : pour installer plus facilement des logiciels open source

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 19/04/10
  • Correction mineure : 19/12/11
Mots-clés

Les piles BitNami : pour installer plus facilement des logiciels open source

Les "BitNami stacks" sont des packages qui permettent de faire tourner tout une gamme de produits open source avec le minimum d'efforts de déploiement.

Certains logiciels open source sont assez délicats à installer, en particulier du fait qu'ils s'appuient sur tout un environnement déjà fonctionnel, et parfois complexe. Une application Web par exemple requiert souvent d'avoir préétabli un environnement serveur Web/ PHP/MySQL, ou Python, ou TomCat etc.

Les environnements xAMP avaient déjà simplifié le problème pour le trio Apache/PHP/MySQL, mais BitNami va beaucoup plus loin dans la facilité et la souplesse de mise en œuvre de cette approche. On peut par exemple télécharger une "pile" Drupal et lancer une instance Drupal sur son poste de travail par un simple double-clic sans aucune interférence avec l'environnement logiciel préexistant sur ce poste de travail.

Ça c'est pour la facilité. Mais la souplesse de mise en œuvre est aussi très intéressante. BitNami permet :

  • d'installer sa propre version d'"infrastructure BitNami" (généralement Web), sur laquelle on pourra faire tourner un logiciel open source également fourni par le site,
  • de lancer des stacks intégrés "infrastructure+application" d'un simple double-clic,
  • de faire tourner ce logiciel open source dans une machine virtuelle optimisée pour (c'est l'approche "appliance") ; il faut dans ce cas là avoir à disposition un mécanisme de gestion de machines virtuelles comme VirtualBox,
  • de lancer un stack "Linux+infrastructure+application" sur le cloud ; là il faut disposer d'une machine "cloud" chez Amazon par exemple.

Bien sûr, l'environnement fourni par BitNami est rarement celui requis par un déploiement au sein d'une infrastructure de laboratoire et encore moins de mésocentre ou de centre de calcul. Mais il peut être d'une aide inestimable pour les tests voire maquettages quand le produit logiciel visé requiert une infrastructure logicielle complexe, ou qui ne tourne pas en natif sur son poste de travail.

La liste des produits actuellement (avril 2010) disponibles sur le site est :

Infrastructure

DjangoStack
JRubyStack
LAMPStack
LAPPStack
MAMPStack
MAPPStack
RubyStack
SAMPStack
WAMPStack
WAPPStack

Blog

Roller
Typo
WordPress (voir la fiche PLUME)

Bug-Tracking

Mantis (voir la fiche PLUME)
Redmine (voir la fiche PLUME)
Trac (voir la fiche PLUME)

Business Intelligence

JasperServer

CMS

Alfresco
Drupal (voir la fiche PLUME)
Enano CMS
Joomla! (voir la fiche PLUME)
KnowledgeTree
Radiant CMS
eZ Publish
ocPortal

CRM

SugarCRM

ECM
Alfresco
KnowledgeTree

Forum

phpBB

Photo Sharing

Coppermine Photo Gallery
Gallery (voir la fiche PLUME)

Planning

Tracks

Poll Management

Opina

Portal Server

JasperServer
Liferay

Project Management

Redmine (voir la fiche PLUME)

Version Control

Subversion (voir la fiche PLUME)

Wiki

DokuWiki (voir la fiche PLUME)
MediaWiki (voir la fiche PLUME)
Trac (voir la fiche PLUME)

e-Commerce

Spree

eLearning

Moodle (voir la fiche PLUME)

TutoJRES 'Sécurité des sites Web' 4/2/2010 Paris

Le tutoJRES n°12 est consacré à la sécurité des sites Web. Il s'adresse tant aux administrateurs système qu'aux développeurs.

Il se tiendra le 4 février 2010, de 9h30 à 17h à Paris mais sera retransmis sur Internet (cf site TutoJRES)

Coordination : Laurent Aublet-Cuvelier - Unité Réseaux du CNRS.

Programme :

  • Typologie des menaces : Magali Contensin (IBDML)
  • Les outils de détection de vulnérabilités : Magali Contensin (IBDML) & Kai Poutrin (LIF) partielle
  • Détection d'incidents : Christophe Dubois (CERTA) & Xavier Marronnier (CERT-Renater)
  • Maintenir une configuration Apache en production : Jacquelin Charbonnel (LAREMA)
  • mod_security, reverse proxy : Thierry Dostes (IMM)
  • Bonnes pratiques PHP/MySQL : Magali Contensin (IBDML)
  • Développement et sécurité : choix dans le logiciel Sympa:  David Verdin (CRU)
  • Etude de la pertinence et de l'intérêt des appliances IPS web à l'INRIA : Philippe Lecler (IRISA)

L'inscription est gratuite et obligatoire : cf site TutoJRES

Groupe Calcul : communications et échanges de la communauté du calcul en France

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 19/12/09
  • Correction mineure : 22/03/13
Mots-clés

Groupe Calcul : communications et échanges de la communauté du calcul en France

Le groupe Calcul est un groupe de communications et d’échanges de la communauté du calcul en France. Créé en 2003, il rassemble à ce jour plus de 750 personnes sur sa liste de discussion.

Depuis 2009, ce groupe s’est structuré en un GDR (de l'INSMI) et un réseau métier (soutenu par la MRCT), et continue à oeuvrer pour la communauté.

Actions

Elles sont diverses :

  • Listes de discussion.
  • Organisation de journées techniques, de formations, d'écoles.
  • Participation à des manifestations scientifiques et techniques.
  • Soutien aux actions des méso-centres.

Calcul soutient le projet Relier.

Thématiques

Les échanges mutuels des membres de Calcul se veulent transverses à toute thématique technique, et orientés sur les problèmes liés à l’utilisation de l’informatique pour le calcul, au sens général du terme (calcul scientifique, mais aussi calcul formel, statistiques, ...) :

  • architecture (cluster ...),
  • logiciels de calculs (matlab, maple, scilab, ...),
  • compilateurs,
  • outils de développement (AGL, ...),
  • outils de visualisation,
  • parallélisme,
  • librairies scientifiques,
  • langages de programmation,
  • méthodologie de programmation, ...

Cible

Ce groupe a pour vocation d’être largement ouvert à tous les acteurs du calcul :

  • ingénieurs, chercheurs, doctorants,
  • multi-disciplinaires (mathématiques, physiques, biologie, ...),
  • recherche publique et privée.

Présentations séminaire 'Outils collaboratifs' JoSy Octobre 2009

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 27/11/09
  • Correction mineure : 19/10/10
Mots-clés

Présentations séminaire 'Outils collaboratifs' JoSy Octobre 2009

Cette JoSY (Journée Système), organisée comme les précédentes par Resinfo, la fédération des réseaux d'administrateurs système et réseau du CNRS, avait pour thème les outils collaboratifs. L'accent était mis sur les alternatives open source hébergeables au sein du CNRS aux outils propriétaires (par exemple Microsoft) ou mis à disposition gratuitement sur Internet (par exemple Google).

Voici la liste des outils présentés lors de cette journée :

  • Gestion de projets pour groupe de travail avec PHPCollab
  • Gestion de suivi d’action avec TRAC
  • Le couplage Sympa - ferme de wikis pour les organisations virtuelles
  • Partage d’agendas, carnets d’adresses et courriels avec OBM
  • Partage d’agendas et de documents, gestion de salles et réservation avec Zimbra

Les présentations et les vidéos sont disponibles sur cette page.

Tous ces produits sont décrits dans des Fiche Plume : cf 'Fiches logiciel PLUME connexes' dans le pavé en haut, à droite.

Formations, ressources et tutoriaux autour des logiciels libres

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 28/11/10
  • Correction mineure : 28/11/10
Mots-clés

Formations, ressources et tutoriaux autour des logiciels libres

Formations

 

Tutoriaux

epm : aide à la gestion des marchés publics

La Ville de Paris diffuse sous licence libre (Cecill V2) son application epm.
'L'application epm (Elaboration et Passation des Marchés) couvre des fonctionnalités métiers de gestion des marchés, ainsi que des fonctionnalités transversales de suivi, de pilotage (indicateurs Qualité) et d'administration des processus et des Agents habilités' indique le site Web.
Site web : http://www.epm.paris.fr/
Description du produit : http://www.epm.paris.fr/presentation-description.htm
Code source : http://www.epm.paris.fr/documentation-code-source.htm
Contact : contact [dot] epm [at] paris [dot] fr

OSSIR : Observatoire de la Sécurité des Systèmes d’Information et des Réseaux

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 07/08/09
  • Correction mineure : 07/08/09

OSSIR : Observatoire de la Sécurité des Systèmes d’Information et des Réseaux

L'Observatoire de la sécurité des systèmes d'information et des réseaux (OSSIR) est une association à but non lucratif (loi de 1901) existant depuis 1996 qui regroupe les utilisateurs intéressés par la sécurité des systèmes d'information et des réseaux.
L'association comprend actuellement :

  • quatre groupes de travail régionaux :
    • Paris depuis 1987, issu de la fusion du groupe Windows et SUR (Sécurité Unix et Réseau) en 2008 ;
    • RéSIST (Toulouse) depuis 1997 ;
    • Bretagne depuis 2007 ;
    • Rhônes-Alpes depuis 2009.
  • un groupe de réflexion technico-juridique

Les réunions permettent des échanges et des présentations techniques de solutions et d'expériences en sécurité. La participation aux groupes de travail est gratuite et libre d'accès. Les groupes se réunissent, en général, une fois par mois.
Chaque année, l'association organise la Journée de la Sécurité des Systèmes d'Information (JSSI). La JSSI'2010 se déroulera le mardi 16 mars 2010.
Les supports des présentations effectuées lors des réunions des groupes régionaux ou lors de la JSSI sont disponibles sur le site.

L'OSSIR assure la gestion et l'animation de listes électroniques :

  • une liste par groupe de travail réservée aux informations relatives au groupe ;
  • une liste réservée aux annonces des différents événements et manifestations concernant la sécurité ;
  • une liste de discussion modérée sur la sécurité.

Présentations du TutoJRES 'Annuaires : mise en oeuvre de SupAnn 2008'

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 16/07/09
  • Correction mineure : 17/08/09
Mots-clés

Présentations du TutoJRES 'Annuaires : mise en oeuvre de SupAnn 2008'

Le tutoJRES d'avril 2009, organisé par le CRU, a été consacré à la présentation des recommandations SupAnn 2008 et à leur mise en oeuvre. Vous trouverez sur la page http://www.jres.org/tuto/tuto11/index les transparents des présentations :

  • Enjeux d'un annuaire SupAnn, contexte et perspectives (JM Antoine - Nancy 1)
  • De Supann V1 à SupAnn 2008 (C. Claveleira - CRU)
  • Les attributs composites dans SupAnn 2008 (O. Mounier - St Etienne)
  • Représentations des structures dans SupAnn 2008 (P. Berger - Cocktail/ULR)
  • Problématique des identifiants et uids (S. Brachotte - UHP)
  • Les nomenclatures dans SupAnn 2008 (JP Le Guigner - CRU)
  • Attributs utilisateurs pour la fédération d'identités (O. Salaun - CRU)
  • Catégorisation des personnes dans l'annuaire (P. Berger - Cocktail/ULR)
  • Génération de l'annuaire LDAP à partir du SI Cocktail (P. Berger - Cocktail/ULR)
  • L'annuaire dans l'architecture : alimentation, utilisations transversales (Y. Richard - Rennes 2)
  • Alimentation de l'annuaire, problématiques des sources multiples (B. Branciard - Paris 1)
  • Provisionnement d'un annuaire SupAnn avec Dyna et validateur SupAnn (P.O. Terrisse - Nantes)
  • Usage des groupes (G. Forestier - UJF, B. Ferrari - INPG)
  • Application d'accueil des personnes / UNR et carte multi-services (P. Gambarotto - ENSEEIHT)
Syndiquer le contenu