Posts on Aperture Zone

Watercooling forever

Fri, 17 Apr 2026 00:00:00 +0000

Troisième round de la saga watercooling. Un ancêtre, un Juno P6 Full Tower de 2001, un Ryzen 7 5700X qui étouffait en aircooling, une meuleuse, une Dremel et un Corsair iCUE H100i.

Les deux premiers volets de la saga watercooling étaient volontairement synthétiques — quelques photos, l’essentiel, pas de roman. Cette fois j’ai décidé de vous en mettre une tartine bien épaisse. Vous êtes prévenus.

“j’en veux un aussi”

Il y a une phrase qui résume tout le projet, c’est “j’en veux un aussi”.

TrueNAS SCALE : retour d'expérience sans filtre

Tue, 14 Apr 2026 00:00:00 +0000

TrueNAS SCALE s’est imposé ces dernières années comme la référence open source pour construire un NAS performant en infra perso. Basé sur Debian Linux et propulsé par ZFS, il promet le meilleur des deux mondes : la robustesse d’un système de fichiers de niveau entreprise et la flexibilité d’une plateforme moderne avec conteneurs et applications intégrées. Sur le papier, c’est séduisant. Dans la pratique, c’est un peu plus nuancé — et c’est l’objet de cet article.

Cisco ASA & Firepower FTD — Guide Complet

Sun, 12 Apr 2026 00:00:00 +0000

Guide complet débutant → professionnel — Cisco ASA 5500-X · Firepower FTD · FMC · AnyConnect · IPS Snort 3

Table des matières

Partie 1 — Cisco ASA

Partie 2 — Migration ASA → FTD

Partie 3 — Cisco Firepower FTD

Installer Passbolt CE sur Ubuntu 24.04 avec une CA interne

Thu, 09 Apr 2026 00:00:00 +0000

En voulant monter mon propre serveur Passbolt, je me suis appuyé sur l’excellent article de caddy666 : https://aperturezone.fr/posts/passbolt/. Sauf que la version a pas mal évolué depuis, et plusieurs étapes ne correspondaient plus à ce que je voyais à l’écran. J’ai donc décidé de rédiger une mise à jour — ça n’enlève rien à la pertinence de l’article original qui reste une très bonne introduction à Passbolt, mais les manipulations ci-dessous reflètent l’état actuel de la version CE 5.10.0 sur Ubuntu 24.04.

OCS Inventory NG — Ce que la doc ne dit pas

Thu, 09 Apr 2026 00:00:00 +0000

Le projet

L’idée de départ était simple : déployer OCS Inventory NG pour centraliser l’inventaire matériel et logiciel de l’infrastructure. Un serveur, des agents, une console web. Rien de bien compliqué.

Spoiler : Je coyais que ce serait du caviar, ben j’ai mangé des cailloux.

Acte 1 — L’installation serveur, ou “perl est ton ennemi”

L’installation d’OCS côté serveur passe par un script setup.sh qui pose des questions. Beaucoup de questions. Et qui attend des réponses précises — appuyer sur Entrée sans réfléchir, c’est la croix et la bannière.

DRP sur Hyper-V avec Veeam : du chaos au failover propre

Fri, 03 Apr 2026 00:00:00 +0000

J’ai une infrastructure virtualisée sous Hyper-V avec un serveur de backup/DRP séparé. La stack complète tourne sur 19 VMs : deux domaines Active Directory avec approbation, des DNS forwarders Linux (BIND9), du RADIUS, du monitoring, des services applicatifs… bref, pas un truc qu’on peut se permettre de remettre en route n’importe comment.

L’objectif du projet était simple à énoncer, complexe à réaliser :

Basculer toute l’infra sur le serveur DRP en un minimum d’actions, avec continuité de service garantie (en tout cas ne pas couper l’aces a internet) puis revenir en prod proprement.

Sauvegarder ses GPO avec Ansible et WinRM

Thu, 02 Apr 2026 00:00:00 +0000

Les Group Policy Objects sont au cœur de toute infrastructure Active Directory sérieuse. Elles définissent les paramètres de sécurité, les droits, les configurations des postes, les restrictions logicielles. En cas de sinistre, de mauvaise manipulation, ou simplement d’un besoin de revenir en arrière après un changement, ne pas avoir de sauvegarde de ses GPO c’est s’exposer à des heures de reconstruction laborieuse.

L’interface graphique de la console de gestion des stratégies de groupe propose bien une fonction de sauvegarde, mais elle est manuelle, oubliable, et surtout non versionnée. L’objectif de cet article est de l’automatiser proprement avec Ansible via WinRM, sur une infrastructure comportant deux domaines Active Directory distincts, avec archivage long terme sur un NAS et rapport par mail.

Active Directory : krbtgt, de la théorie à la pratique

Wed, 01 Apr 2026 00:00:00 +0000

Dans la première partie de cet article, on a posé les bases : ce qu’est le compte krbtgt, pourquoi le Golden Ticket est une menace sérieuse, et une architecture Ansible théorique pour automatiser les rotations. Si vous n’avez pas lu cette partie, je vous encourage à commencer par là.

Ici on passe aux choses sérieuses. Le playbook de la partie 1 était volontairement simplifié pour illustrer le concept. En environnement de production réel, les choses se compliquent — le script interactif qui refuse d’être piloté, le fichier XML qui n’est pas trouvé, le double-hop Kerberos qui bloque tout, la forêt racine qui n’est pas celle qu’on croit. Autant d’obstacles que j’ai rencontrés et résolus, que je vous documente ici.

Migration Server 2022 : forêt multi-domaines

Fri, 27 Mar 2026 00:00:00 +0000

Dans un article précédent, j’avais décrit la montée en niveau fonctionnel 2016 et l’audit des approbations entre mes deux domaines. Je terminais sur cette note : “Il va aussi falloir penser à upgrader l’OS de mes autres contrôleurs.”

Voilà. C’est fait.

Le contexte

L’infrastructure repose sur une forêt Active Directory à deux domaines :

Un domaine racine de forêt, dédié aux serveurs et aux hyperviseurs — deux contrôleurs de domaine assurent sa disponibilité. Le premier porte les rôles domaine (PDC Emulator, RID Master, Infrastructure Master), le second les rôles forêt (Schema Master, Domain Naming Master).
Un domaine enfant, dédié aux stations de travail et aux utilisateurs — deux contrôleurs de domaine également. Le premier concentre les rôles FSMO du domaine ainsi que le service DNS et le DHCP principal. Le second assure la continuité : Global Catalog, DNS secondaire, DHCP en failover et Autorité de Certification. Sans ces rôles, un second DC ne serait qu’un réplica passif — autant lui donner une vraie raison d’exister.

Tous tournaient sous Windows Server 2016, dont le support mainstream est terminé depuis 2022 et le support étendu se termine en janvier 2027. Le moment de migrer vers Windows Server 2022 était venu.

Active Directory : krbtgt le compte qui fait peur

Wed, 25 Mar 2026 00:00:00 +0000

Il y a des éléments dans Active Directory qu’on oublie totalement parce qu’ils n’apparaissent jamais dans les opérations courantes. Le compte krbtgt en fait partie. Invisible dans le quotidien, il est pourtant au cœur de toute l’authentification Kerberos de votre domaine — et sa compromission est l’un des scénarios les plus catastrophiques qu’un attaquant puisse déclencher.

Dans cet article, on va explorer ce qu’est vraiment ce compte, pourquoi il faut changer son mot de passe régulièrement, et comment automatiser cette opération proprement avec Ansible.

Automatiser le backup des config d'équipements réseau avec Ansible

Mon, 23 Mar 2026 00:00:00 +0000

Dans un homelab ou une infrastructure pro, les équipements réseau sont souvent les grands oubliés des stratégies de sauvegarde. On pense à sauvegarder les VMs, les données, les serveurs — mais rarement les configurations des switches et des bornes WiFi. Pourtant, en cas de panne ou de remplacement matériel, ne pas avoir la configuration sous la main peut coûter des heures de reconstruction.

Dans cet article, on va mettre en place un playbook Ansible qui sauvegarde automatiquement les configurations de nos équipements réseau, les stocke localement avec une rétention de 30 jours, et envoie un rapport HTML par mail à chaque exécution.

Spanning Tree Protocol : comprendre et déployer STP/MSTP

Fri, 13 Mar 2026 00:00:00 +0000

Introduction

Si vous avez plusieurs switches, vous avez forcément entendu parler du Spanning Tree Protocol. Mais entre la théorie et la mise en pratique, il y a souvent un fossé — surtout quand on tombe sur du matériel atypique avec des interfaces surprenantes.

Cet article retrace une mise en place réelle de MSTP sur trois switches HP 1910 (basés sur Comware H3C), avec les problèmes rencontrés et les solutions trouvées. Spoiler : le GUI ne sera pas votre ami.

Aperture Zone now available in English!

Thu, 12 Mar 2026 00:00:00 +0000

Bonne nouvelle ! Aperture Zone est désormais disponible en anglais sur aperturezone.com !

À partir d’aujourd’hui, tous nos articles techniques sont accessibles dans les deux langues :

🇫🇷 Version française : aperturezone.fr
🇬🇧 English version : aperturezone.com

Traduction automatique

Pour rendre nos contenus accessibles au plus grand nombre, nous utilisons la traduction automatique DeepL. Les articles sont traduits automatiquement lors de leur publication.

Note importante : Caddy666, revisitera et corrigera manuellement les traductions pour garantir la qualité et la précision technique.

PFSENSE — Guide Complet & Professionnel

Thu, 12 Mar 2026 00:00:00 +0000

Guide professionnel niveau avancé — pfSense 2.7+ · FreeBSD · OpenVPN · IPsec · VLAN · HAProxy · Snort / Suricata

Table des matières

1. Prérequis matériels & environnement

pfSense repose sur FreeBSD et requiert du matériel dédié ou virtualisé pour des performances optimales en production.

LACP sur HP V1910 (H3C Comware)

Wed, 11 Mar 2026 00:00:00 +0000

Infrastructure concernée : HP V1910 (x2), Synology NAS (x3), TrueNAS, Windows Server 2022 (Hyper-V)

Le LACP (Link Aggregation Control Protocol), défini par la norme IEEE 802.3ad (intégrée à 802.1AX), permet de regrouper plusieurs liens physiques en un seul lien logique appelé LAG (Link Aggregation Group). Les bénéfices sont multiples :

Augmentation de la bande passante agrégée pour les flux multiples
Redondance automatique : si un lien physique tombe, les autres prennent le relais sans intervention
Négociation dynamique : le protocole détecte et s’adapte aux changements d’état des liens

⚠️ Important : LACP n’augmente pas le débit d’un flux unique. Un même flux reste toujours sur le même lien physique (hashing). Le gain se manifeste sur les flux multiples simultanés.

HTTPS sur HP ProCurve V1910

Tue, 10 Mar 2026 00:00:00 +0000

Sécuriser l’accès à l’interface web de ses switches managés, c’est une de ces tâches qui semble anodine sur le papier. Sur du matériel récent, c’est effectivement trivial. Sur des HP ProCurve V1910 — des switches Comware v5 qui équipent encore beaucoup de homelabs et de petites infrastructures — c’est une autre histoire. Cet article documente le chantier complet, les embûches, les découvertes, et la conclusion honnête sur ce que ça vaut vraiment.

Authentification WiFi WPA2-Enterprise avec NPS et Active Directory

Sat, 07 Mar 2026 00:00:00 +0000

Vous en avez assez de gérer une clé WiFi partagée que tout le monde connaît, que vous n’osez jamais changer de peur de devoir reconfigurer tous les appareils ? La solution propre, c’est WPA2-Enterprise — chaque utilisateur s’authentifie avec ses propres credentials Active Directory, sans jamais saisir de mot de passe WiFi. Le laptop joint au domaine se connecte automatiquement, de manière transparente, dès que le câble Ethernet est débranché.

Watercooling, oops i did it again !

Fri, 06 Mar 2026 00:00:00 +0000

J’ai vidé mon Pea et je me suis offert un 2eme kit Corsair (en fait il était soldé et il m’as supplié de l’acheter) Contrairement au premier artcile que j’ai publié, ce boitier n’as pas du tout été prevu pour acceuillir un water cooling, vous allez voir qu’il va falloir sortir la disqueuse !

Voila la tour avant modification, c’est pas une première jeunesse mais elle fonctionnelle c’est une Antec qui date du debut des années 2010

Active Directory : montée en niveau fonctionnel 2016 et audit des approbations

Mon, 02 Mar 2026 00:00:00 +0000

Il y a des chantiers qu’on reporte depuis des années. Pas parce qu’ils sont impossibles, mais parce qu’il y a toujours un truc qui bloque. Dans mon cas, c’était Exchange 2013 — ce bon vieux serveur mail qui se fichait en travers de toute tentative de modernisation de l’AD. Depuis sa migration vers une solution plus légère, la voie était libre. Voilà donc le récit d’une nuit de boulot bien remplie.

Hardening AD avec PingCastle

Thu, 26 Feb 2026 00:00:00 +0000

PingCastle & Hardening Active Directory

Active Directory est le pilier de la gestion des identités et des accès dans la majorité des environnements Windows. Sa criticité en fait aussi une cible privilégiée des attaquants. Un AD mal configuré peut permettre une élévation de privilèges, un mouvement latéral, voir une compromission totale du domaine.

PingCastle est aujourd’hui l’un des outils de référence pour évaluer la posture de sécurité d’un Active Directory. Il a été développé par Vincent Le Toux, expert français reconnu dans les cercles de la sécurité offensive et dont la maîtrise des internals Windows et Active Directory est de notoriété publique. On lui prête notamment des liens étroits avec l’ANSSI — une légende urbaine tenace dans la communauté, alimentée par la profondeur et la qualité des règles de détection de l’outil, qui reflètent une connaissance des vecteurs d’attaque rarement atteinte en dehors des sphères étatiques. Vincent Le Toux est par ailleurs co-auteur de mimikatz, l’outil de référence mondial pour l’extraction de credentials Windows.

Integration d'un watercooling dans un vieux boitier LianLi

Wed, 25 Feb 2026 00:00:00 +0000

#Pour mon Noel, on m’as offert un kit de watercooling CORSAIR, c’est pas pour la pub c’est juste que je trouve que c’est du bon matoss (Si si le pere noel existe la preuve !)

Alors voila la tour qui va integrer le watercooling avant modifications, c’est boitier Lian li qui date d’entre 10 et 15ans mais encore tres propre et fonctionnel

Voila j’ai fais de la place pour travailler

Automatisation avec Ansible

Tue, 24 Feb 2026 00:00:00 +0000

Mise à jour des paquets, synchro NTP et notifications par e-mail HTML sur Ubuntu 24.04

Gérer manuellement plusieurs serveurs Linux devient vite fastidieux et source d’erreurs : oubli d’une mise à jour, décalage horaire non détecté, configuration NTP hétérogène… Ansible répond à ce problème en permettant d’automatiser l’administration système de façon reproductible, sans agent à installer sur les machines cibles.

Nous allons mettre en place un serveur Ansible sous Ubuntu 24.04 LTS, configurer un inventaire de serveurs, et déployer un playbook complet qui réalise en une seule exécution :

Serveur mail interne avec postfix et dovecot

Mon, 23 Feb 2026 00:00:00 +0000

J’ai besoin d’un serveur mail interne (il ne sera pas ouvert vers l’exterieur) pour recevoir les posts de l’infra en general, routeur switch ou rapports de backup on va faire ca avec postfix et dovecot sur une ubuntu 24.04, les mails sont destinés a un user AD existant

1. Joindre le serveur au domaine Active Directory avec SSSD

Installer les packages nécessaires

sudo apt update
sudo apt install realmd sssd sssd-tools adcli samba-common-bin libnss-sss libpam-sss

Découvrir et rejoindre le domaine

# Vérifier que le domaine est accessible
realm discover mondomaine.local

# Joindre le domaine (un compte AD avec droits suffisants est requis)
sudo realm join --user=Administrateur mondomaine.local

Vérifier la jointure

realm list

On doit voir quelque chose comme :

Installation et sécurisation de Passbolt

Fri, 20 Feb 2026 00:00:00 +0000

Tutoriel de Configuration et Sécurisation de Passbolt

Ce tutoriel couvre l’installation, la configuration et la sécurisation d’un serveur Passbolt : Documentation

Pré-requis

Un nom de domaine / nom d’hôte pointant vers un serveur, ou au moins la possibilité d’atteindre le serveur via une adresse IP statique.
Une VM avec au moins 2 coeurs et 2go de ram
Un serveur SMTP
Le service NTP fonctionnel pour éviter les problèmes d’authentification GPG
Ubuntu Serveur 24.04 avec chiffrement LVM
Provisionner les certificats SSL

Il est important d’utiliser un serveur propre, sans autres services ou outils déjà installés. Les scripts d’installation pourraient potentiellement crasher et endommager les données.

Configuration de la VM :

Clonezilla + Samba server

Thu, 19 Feb 2026 00:00:00 +0000

Bien, nous avons vu comment créer une image Clonezilla, nous avons vu également comment la restaurer, tout ça c’était en local donc maintenant on va refaire la même chose mais avec un stockage distant sur le réseau On va travailler avec un partage sur un serveur Microsoft avec authentification

Je commence par créer un utilisateur sur l’AD

Je ne me complique pas trop la vie, l’utilisateur s’appelle clonezilla

Backup system avec Clonezilla

Wed, 18 Feb 2026 00:00:00 +0000

Telechargez le dernier ISO en date sur https://clonezilla.org/downloads.php et preparez vous une clef usb bootable ou bootez pxe avec Iventoy par exemble

Voila l’ecran d’acceuil c’est minimaliste mais pas besoin de plus

On selectionne francais au hasard

On va choisir un clavier francais ce sera plus pratique

Selectionnez latin9

Start clonezilla evidement

Alors nous allons faire une image d’un disque complet vers une image donc on selectionne device-image

Restore system avec Clonezilla

Wed, 18 Feb 2026 00:00:00 +0000

Nous avons vu comment créer une image systeme avec Clonezilla Maintenant nous allons la restaurer On a vu dans le precedent article comment demarer, avoir le clavier francais, etc je refais pas les screens

On reselectionne notre dossier /dev/sdd1/CLONEZILLA comme source

Et on valide

Mode expert evidement

Donc cette fois on selectionne restoredisk

on selectionne l’image que l’on a crée précedement

Remplacement controlleur Raid

Mon, 16 Feb 2026 00:00:00 +0000

Probleme avec mon controlleur IBM ServeRaid M5015, j’ai pu trouver le meme en occaz sur Ebay pour 30 euros Donc remplacement ce sera transparent avec un import foreign config

Voila la bete, le ventillo dessu c’est deja du custom par ce que ca chauffait dur dur

Depose du ventillo pour le réutiliser

Pareil pour la batterie

Voila le remplacant

Bootez PXE avec Iventoy

Sun, 15 Feb 2026 00:00:00 +0000

Ventoy, beaucoup de personnes connaissent, on installe sur une clef ou un disque externe On ajoute des ISO et on boot sur l’iso qui nous interesse. Moins connue il y a la version serveur PXE

Un joli logo

wget https://github.com/ventoy/PXE/releases/download/v1.0.21/iventoy-1.0.21-linux-free.tar.gz pour recuperer l’archive

tar -xvf iventoy-1.0.21-linux-free.tar.gz Pour decompresser

sudo ./iventoy.sh start Vous pouvez maintenant vous connecter au GUI de votre serveur Iventoy

QUADRO Revival

Sat, 14 Feb 2026 00:00:00 +0000

J’avais besoin de remonter une carte graphique pour une machine destinée à faire de la bureautique Je ressors cette vielle Quadro d’outre tombe mais alors quel bruit insupportable L’axe du ventilo a prix du jeu ca frotte ca grince comme un animal a l’agonie

C’est pas une première jeunesse mais elle fonctionne…

Ah bah y a une belle couche de merde à l’intérieur…

Un coup de soufflette à 3 bars plus tard…

Bienvenue sur Aperture Zone

Fri, 13 Feb 2026 00:00:00 +0000

Beyond Specs. Deep Tech Stories.

Bienvenue sur APERTURE ZONE, un espace dédié aux expérimentations techniques, aux infrastructures et aux bidouilles qui vont au-delà des simples spécifications. Entre la datasheet et la réalité du terrain, il y a un monde. Parce que la vraie expertise ne se trouve pas dans les benchmarks marketing, mais dans les heures passées à débugger, à optimiser, à comprendre pourquoi ça chauffe, pourquoi ça lag, pourquoi ça ne scale pas. On laisse tomber le corporate qui te vend du matériel en te promettant la lune, les tutos copiés-collés qui ne marchent pas et les best practices qui ignorent les contraintes réelles du terrain. Ici, on parle de ce qui marche vraiment. De ce qui plante vraiment. Des solutions qu’on a trouvées à 3h du mat’ quand tout part en vrille. On ne dit pas que c’est mieux. On ne dit pas que c’est pour tout le monde. Mais c’est notre façon de faire de l’IT. Ce site n’est pas sponsorisé. On ne vend rien. On ne fait pas de placement de produit. Si on parle d’un matériel, c’est parce qu’on l’utilise vraiment et qu’on a un avis dessus. Les configurations qu’on partage, c’est ce qui tourne chez nous. En vrai. Pas dans un lab aseptisé, mais dans nos racks, avec nos contraintes, nos budgets extrêmement limités, notre matériel parfois vieillissant mais qu’on fait tenir parce qu’on sait comment.

Mod d'un SSD Nvme

Fri, 13 Feb 2026 00:00:00 +0000

J’ai remarqué par hasard que mon SSD M2, chauffait vraiment beaucoup Je n’arrivais même pas à laisser mon doigt dessus donc demontage

Voila le bébé.

Warranty void if removed… faut choisir etiquette ou surchauffe ? Le choix est vite fait on vire l’etiquette.

J’ai découpé un radiateur aux bonnes dimenssions dans un vieux radiateur de Pentium 3 qui trainait

Sous un autre angle le radiateur qui va bien