# ----------------------------------------------------------------------
# filename      nodes.txt
# description   compte-rendu de la visioconf sécurité France-Grilles
#		2 ème partie de l'atelier sécurité de novembre
# date/heure    2010-11-26, 10h-12h
# ----------------------------------------------------------------------

# Minutes taker: Clement Gauthey, Thierry Mouthuy, Sebastien Ciprien

# Participants:

Jerome Pansanel
Victor Mendoza
Emmanuel Medernach
Jean Claude Chevaleyre
Clément Gauthey
Sebastien Ciprien
Cyrille Bonamy
Xavier Jeannin
Thierry Mouthuy
Juan Carlos Carranza 
Yannick Legré
Nicolas Clementin
Christophe Diarra
Hélène Cordier
Jean Michel Barbet
Frédéric Schaer
Pierrick Micout
Guillaume Philippon

# Résumé des discussions

1.  Présentation des outils opérationnels de la grille

  serveur pakiti
	Comparaison entre les RPMs installés avec une liste officielle. Le code de couleur permet de classer les vulnétabilités.
		Attention d'être à jour sur les vulnérabilités critiques, sinon le site peut être bloqué
        accessible aux contacts sécurité des sites
        D.F: quelques sites sans contact sécurité
            => role conseillé mais pas obligatoire
        vérifications basées sur la version des RPM
        utilisation de bases de données génériques (RedHat, etc.)
            => gestion des spécificités de la grille (modification de la
               criticité d'une vulnérabilité)

    nagios security box
        accessible aux contacts sécurité NGI
        confidentialité des données pour les échanges mais en clair dans la BDD
            => accès restreint
        possibilité de création de sondes personnalisées (ex. RDS)
	Surveillé par EGI Csirts. Peut donc entrainer la fermeture du site !

    expérience GRIF : intégration de Pakiti avec Quattor
        serveur Pakiti :
          - la pakiti standard tourne comme un job. Seulement quelques machines sont testées
		pakiti local permet de surveiller toutes les machines.. p.ex à GRIF (Philippon)
		Quelques problèmes si trop de machines = erreur mysql à cause des communications persistentes
           - permet de voir les grosses vulnérabilités d'un site facilement
           -  configuration intégrée à Quattor
           - mise à jour des machines par crontab
           - surveillance de toutes les machines grille (pas seulement WN)
           - mise a disposition de la communauté Quattor de la configuration

    D.F: Les MAJ au CC-IN2P3 sont gérées avec Puppet. Quels sites sont intéressés par leur retour d'expérience ?
        pas de réponse

    J.Pansanel et le groupe certification du pole infrastructure va travailler sur la configuration minimale de RPMs à installer sur les composants
        dont un objectif est d'établir une liste des RPMs ayant des fichiers suid/sgid
        mais comment définir les paquets utiles ? une expérience peut en avoir besoin qu'à un moment donné
	=> la liste des rpms retenue doit être envoyé au groupe opération utilisateur ( Tristan) pour validation de l'adéquation avec les besoins des utilisatuers.

    mise en place d'une Nagios security box pour les contacts sites sécurité
        => discussion en cours

    dashboard sécurité : collecte les résultats des tests, affichage pertinent
        ne faut-il pas restreindre très fortement l'accès au dashboard ?
        problème de confidentialité pour CoD/RoD :
            remonter des informations génériques (p.ex. X problèmes de criticité Y en cours)
                n'est-ce pas déjà une information (trop) confidentielle ?
                H.Cordier: CoD/RoD = liste de personnes clairement définie et restrictive
        avis des contacts sécurité :
            GGUS utilisé ? non à cause des données confidentielles
                dans tous les cas, un RT sécurisé sera utilisé
                test et déploiement du RT CSIRT en cours
            H.Cordier : d'autres modes de contrôle d'accès que celui du dashboard actuel ?
                D.F: utilisation des rôles GOCDB pour authN et ???
	
    besoin d'outils spécifiques pour les VOs (cas biomed)
        surveillance des portails ? définir des portails de confiance ?
              Y. Legré: surveillance difficile car beaucoup d'applications biologiques embarqués dans les jobs
			Mais à creuser.	
	      DF : les VOs doivent savoir qu'on est prêt à les aider si besoin.
	      H.Cordier : Cette question peut être éventuelement être remontée au niveau EGI ?

2. dissémination sécurité

2. Dissémination

     france-grille.fr
		Suivre les liens : Communauté scientique -> sécurité -> info technique -> Matériels
		Pour aller sur le site EGI-CSIRT ( en cours de construction ).

     site EGI CSIRT : 	C'est un site avec les dernières alertes, des infos sur le hardening etc. 
      centralisation des inforamtions sécurité grille pour administrateurs de ressources.

    réflexion sur l'intégration de la sécurité dans les formations des administrateurs de site
		
    D.F : besoin de formation spécifique ?
        D.F: p. ex. formation Quattor sur les mises à jour de sécurité ?
	N. Clementin: Comment on se rend compte d'un incident sécurité sur le site?
        

    procédure gestion des incidents : 
        - On s'adresse à qui ?
	- temps de réaction : Entre t0 et t0 + 4 heures (il faut avertir à ce moment-là EGI)
		Entre les 2, avertir le site et la NGI
	- Le workflow proposé par la NGI respecte EGI. Il est donc correct et d'application. Il s'impose donc !

        JC.? : formaliser les échanges lors de problème de sécurité
            après discussion, envoyer un courriel récapitulatif
                quel contenu (p. ex. composants ciblés, procédure Quattor) ?
            discussion sur la liste operation, et liste alerte uniquement pour les recommandations finales ?
	Le groupe sécurité devrait rassembler les informations et transmettre les recommandations
	- discussion sur la liste opérations
	- garder la liste des alertes pour les vraies alertes !

3. canaux de communications

	Résumé
		- Utilisateur : Contacter alertes-securite-l@france-grilles.fr   
		- Administrateur : Contacter Csirt local ou alertes-securite-l@france-grilles.fr
		Le Csirt local est rensigné dans la GOCDB - Csirtemail 

    H.Cordier : les sondes des outils de sécurité EGI remontent-elles suffisamment d'informations ?
        N.Clementin : comment se rendre compte d'un incident en cours sur son site ? quels sont les indices ?
            D.F : pas de différences par rapport à d'autres ressources de l'organisme
                collaboration avec les équipes sécurité de l'organisme
                p. ex. contrôler le résultat des sondes, vérifier l'intégrité des fichiers (tripwire)
                    pas forcément évident à mettre en place

    H.Cordier : sécurité challenge
        élargissement à l'ensemble des sites pour l'année prochaine
            D.F: NGI pilote = Espagne en février
                => déploiement pas prévu avant mars 2011

4. divers
    D.F : prochaine atelier : fin mars/début avril 2011 en face-à-face