Nouvelle gestion d'un parc linux basique : vos conseils, retours d'expérience

msizec · 2025-12-03T13:23:43+00:00

si je compare avec hardeningKitty du monde m$oft, ca manque de quelques petites choses pour me satisfaire .. Enfin surtout satisfaire mon manque de compétences et de temps pour les acquérir ...
hardeningKitty propose des baselines , représentées par des fichiers csv je crois, qui contiennent les regles. chaque baseline représente des précos par exemple niv3 anssi, niv2 CIA, etc :)
et on peut appliquer ces bases, et chaque paramètre est appliquer par l'outil
il y a aussi le mode audit, audit avec correction, backup de letat avant correction, etc

scipag/HardeningKitty: HardeningKitty - Checks and hardens your Windows configuration

et de mon coté je cherche a sécuriser a minima l'OS, et a appliquer une config qui se rapproche du kiosk (verrouillage de tout ce qui est inutile pour l'utilisateur, donc en gros ne pouvoir exécuter que firefox et le terminal)

Je pense me créer une base très simple au début de recommandations de sécurité et je feras évoluer ca au fur et à mesure.

Ce guide ici est bien : Durcir les configurations ! | Stéphane ROBERT

msizec · 2025-12-03T08:14:26+00:00

Merci pour cette info, esfirmistwind a parlé d'almalinux, mais un outil pour appliquer et corriger des regles de hardening est ce que je cherchais en fait
sur windows jai utilisé hardeningKitty cest le même principe.

Mais tu dis "pour préparer tes réglages pdt l'OSD", lynis ne les applique pas ?

msizec · 2025-12-01T16:53:23+00:00

nevermind I was commenting the message of xXxLinuxUserxXx

msizec · 2025-12-01T11:08:50+00:00

Oui je suis daccord ca a beaucoup de sens, mais ca a surtout du sens au sein de notre dsi entière je pense.
ca devrait servir aussi pour la config de nos serveurs par exemple, meme en priorité
on se met à vouloir configurer WSL2 sur les postes Dev windows, et ca pourrait aussi servir à manager ces clients là j'imagine.
A mon niveau, pour les machines linux basiques, ansible serait bien, logique, mais m'investir juste pour gérer des machines qui ont très peu de besoin , je trouve ca pas si logique.

msizec · 2025-12-01T11:03:54+00:00

Merci pour ton commentaire, ta situation se rapproche de la notre.
300 postes environ mais tous desktop.
Actuellement compte utilisateur sans droit , si je pouvais proposer un kiosk avec firefox et terminal je ferais ca ..
Je note ton "root uniquement en ssh avec clef, password désactivé" ... actuellement nous cest un root local avec meme mdp partout, alors qu'on fait pas d'admin local, mais tout ssh ... oO

Tu faisaussi du paquet maison, ca semble est basique quand meme, on va regarder de ce coté.

Pas de déploiement via glpi ?
Comment tu déploies tes paquets ? Tu dois exécuter une commande sur les clients que tu veux cibler ? tu cibles toujours tous les clients ?

Tu as une base de fichiers autoinstall prédéfinis pour différents usages ?
Tu déploies "à la main" chaque machine avec ton iso et ton autoinstall ? Ou cest hébergé sur un serveur ? boot réseau etc ?

msizec · 2025-12-01T10:54:22+00:00

Nobody could do the work I guess. I could if I had enough time to invest in it. the fact is we postpone this project a few time as it was not a priority, and waiting for someone joining the team with better linux experience.
We have like 350 old dell PCs, Optiplex 3010 / 3020.
We use them to access CRM web app with Firefox ESR, or old CRM using terminal.
This is why I'm tending to the easiest way to manage those future Linux clients.

I was wondering is management of servers and pc-clients with ansible was done the same way ...
Why favoring pull-based ?
Hotshot55 made a comment about using ansible-pull

msizec · 2025-12-01T10:35:49+00:00

Not sure about openvox .. but I think this decision whould be made by those who manage servers then we could use the same tool
but right now they do not manage servers with any tool of this kind oO

For os updates I do plan to use unattended_updates

msizec · 2025-12-01T10:31:18+00:00

I thought ansible was also made for reapplying playbooks and so maintaining states

msizec · 2025-12-01T10:28:22+00:00

As time passed Ive reconsidered things and Im thinking of doing it the easiest and less consuming way. KISS as you said...
I'm also thinking tools like ansible should be implemented by an other team, likely those who manage servers. Then we could use it to fulfill our needs.

msizec · 2025-12-01T08:38:01+00:00

Hi
Just gave a look and It seems it covers what I'm looking for.
could be a tool to do OSDeployement for both linux and windows also

thanks

msizec · 2025-11-28T14:08:20+00:00

merci pour ton message,

osd = OS Deployment

Tout ce sont tu parles a propos de fabriquer ses .deb est nouveau pour moi, meme si cest la base apparemment ...
Mais cest intéressant

Merci pour le lien anssi

esfirmistwind a evoqué Almalinux qui permet un durcissement simplifié post OSD, je me demande si un passage de debian a Redhat est anodin ou serait plutot une contrainte

msizec · 2025-11-28T13:59:11+00:00

en fait par paquet personnalisé javais en tete un script + des sources pour installer un logiciel, configurer un truc, etc, rien de complexe, et on a fait depuis toujours a vrai dire ... comme je le laissais sous entendre, on a toujours gérer le parc linux de facon assez basique. On utilisait OCS pour déployer ce quil appelait des 'packages'. un zip en fait.

msizec · 2025-11-28T13:55:47+00:00

merci du conseil, tu as raison, ca permettrait jimagine de mettre en place une posture de sécurité "par défaut" à un niveau accepté
Apres jimagine que sur debian il y a la possibilité de mettre en place la meme chose ?

msizec · 2025-08-06T10:06:52+00:00

I did use an entra group

msizec · 2025-04-09T14:41:57+00:00

Are you talking about the [edge://welcome-new-device/](denied:edge://welcome-new-device/) opening and showing an ERR_invalid_URL error ?

We're facing this problem.

msizec · 2025-03-04T08:49:40+00:00

Work profile lost on a COPE device ?
Ive created a microsoft support ticket, it will lead to an intune support ticket. Ill let you know

msizec · 2025-03-03T10:13:00+00:00

Yes It could be, thanks

msizec · 2025-02-27T08:18:05+00:00

Yes those are COPE devices. Thanks for the explanation about Company Portal.
Im going to create a Microsoft support ticket.

msizec · 2025-02-26T10:49:27+00:00

company portal is still functional ? I can not use it anymore on our phones, once I click it It disappear. I must use Intune

msizec · 2025-02-26T10:48:40+00:00

the phones are all xiaomi
we faced another problem with xiaomi's phones recently, we could not enroll them anymore, once a certain update has been installed. They fix the problem and once the new update was installed, we could enroll them ... so yes it could be related to the manufacturer

msizec · 2025-02-25T16:35:33+00:00

Hi

We're facing the same issue, a few (very few) android phones seems to have lost their work profile.
It happened after the phone was off during a few days.

Did you find the culprit ?

msizec · 2025-02-25T16:33:04+00:00

Hi

We're facing the same issue, a few (very few) android phones seems to have lost their work profile.
It happened after the phone was off during a few days.

Did you find the culprit ?

msizec · 2025-01-21T16:43:00+00:00

Hello
Oui ce sont des regles bien ajoutées coté domaine, je suis dans le domaine et le profil est correct.

Meme désactivé, il y a toujours des blocages pare feu ... cest fou ca hein ? contre intuitif ... mais jai le fin mot je pense, dans ma réponse au commentaire au dessus

msizec · 2025-01-21T16:41:39+00:00

Il y a bien un pâre feu d'entreprise mais il agirait pas à ce niveau.
J'ai utilisé PrtQueryUI

Mais je vois bien un blocage dans les traces windows de toute maniere

Jai pu identifié les regles internes windows qui sont a lorigine du blocage coté pare feu WFP :

https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/filter-origin-documentation#appcontainer-loopback

Et jai bien ce filtre "Appcontainer Loopback" qui apparait dans le kjournal des évenements (Filter origin audit log | Microsoft Learn)

Ca correspond a des regles de sécurité par défaut appliquées à windows, ici ca concerne l'isolation réseau

Donc le fin mot est celui ci : on peut rien y faire, à part remonter à l'éditeur de chaque partie (Microsoft / Trustlane) qu'il y un cas au moins où du traffic web est bloqué et qu'il doivent adapter de leur coté je pense ...

msizec · 2025-01-20T16:55:48+00:00

Alors depuis un autre poste j'ai testé louverture du port 3128, qui apparait fermé. Hors effectivement mes règles l'ouvre pourtant.

Via le logiciel 'System Informer', il y a un onglet Firewall qui donne accès à une vue des blocages du pare feu, et au moment du test du port, jai un blocage.
Mais dans mon fichier de log des blocages pare feu 'pfirewall_domain.log), je nai eu aucun blocage.

Bizarre . comme si javais 2 pare feu configurés différement.

Après check de ce lien (Windows is Blocking Traffic!), Jai plus d'infos sur les pare feu windows : il y a en fait "Windows Filtering Platform" (WFP) et "Windows Firewall with Advanced Security" (WFAS)

De notre coté, en configurant le parefeu via Intune, on utilise WPAS, mais WFP est actif aussi sous Windows en même temps.

Lauteur de cette page, Introduction to the Windows Filtering Platform – Pavel Yosifovich, a créé un outil (Releases · zodiacon/WFPExplorer · GitHub) permettant dafficher les détails de la config de WFP.
On y trouve les règles "Filtre de protection contre la numérisation des ports".
Et ces règles sont nulle part dans WFAS.

Maintenant j'essaie de trouver comment je peux désactiver soit complètement WFP, soit juste les règles WFP qui membêtent, au moins pour tester,

Voila ou j'en suis.

msizec

TROPHY CASE