Mathias - Ingénieur système LINUX

Expérience professionnelle

Déc. 2021 à juin 2022 : architecte infrastructure / Lead DevOps
Givaudan : Argenteuil / télétravail
Mise en place d'un collecteur de logs pour l'ensemble des serveurs de la société :
• amélioration de l'architecture initiale après discussions en interne
• préparation des configurations serveur et clients
• automatisation via Ansible et RH Satellite
En parallèle une étude de RH Satellite vs Ansible a été effectué pour permettre à Givaudan de mieux comprendre les limitations de
Satellite et comment les contourner en utilisant Ansible directement.

Sept. 2020 à juin 2022 : architecte infrastructure / Lead DevOps
Sysdream - Levallois-Perret / télétravail

De septembre 2020 à avril 2021 :
Mise en place d'une zone à diffusion restreinte compatible ANSSI :
• accès à la plateforme autorisés via Radius (EAP-TLS / MacAuth) au travers de switch Cisco (Freeradius, wpa_supplicant,
Yubikeys)
• nettoyage des disques et déploiement / redéploiement de systèmes personnalisés sur portables physiques (en utilisant FAI :
Fully Automated Installation
• plateforme web pour stockage des données
• mise en place d'éléments d'infrastructure dédiés :
• DNS (Bind) avec différentes vues pour obtenir des comportements et des réponses différents selon l'adresse du client
et haute-disponibilité (Keepalived)
• Gestion des logs avec Graylog, elasticsearch et syslog-ng en concentrateur TLS pour pouvoir vérifier les certificats
clients
• mise en place d'une PKI hiérarchisée à l'aide d'un jeu d'outils préparés en partie sur mon temps libre et amélioré
durant cette prestation
• configuration des switchs Cisco et du routeur PFSense
• virtualisation avec Promox et Qemu
• mise en place d'équipements physiques : serveur, switches Cisco, routeur PFsense, câblage

De mai 2021 à décembre 2021 :
Création d'un outil de déploiement de platformes quelconques avec Terraform pour VMware ESX.
Le but était de construire une plateforme pour un jeu type attaque / défense. Cette plateforme devant exister en plusieurs exemplaires
pour les besoins du jeu, c'est Terraform qui a été retenu pour les déploiements. Finalement d'autres plateformes devant être déployées
aussi, il a été décidé d'écrire un outil basé sur Terraform capable de :
• déployer 1 à n plateforme quelconque, une plateforme comprenant 1 à m réseaux et chaque réseau 0 à p serveurs ou routeurs
• déployer des fermes de serveurs lorsque que la description d'une VM indique une répétition de celle-ci
• d'étaler sur les hyperviseurs les VM ou les plateformes
L'ensemble des machines déployées doivent ensuite recevoir une configuration propre au travers de tâches Ansible.

Sept. 2020 à aujourd'hui : architecte infrastructure
Sysdream - Levallois-Perret / télétravail

De septembre 2020 à avril 2021 :
Mise en place d'une zone à diffusion restreinte compatible ANSSI :
• accès à la plateforme autorisés via Radius (EAP-TLS / MacAuth) au travers de switch Cisco (Freeradius, wpa_supplicant,
Yubikeys)
• nettoyage des disques et déploiement / redéploiement de systèmes personnalisés sur portables physiques (en utilisant FAI :
Fully Automated Installation
• plateforme web pour stockage des données
• mise en place d'éléments d'infrastructure dédiés :
• DNS (Bind) avec différentes vues pour obtenir des comportements et des réponses différents selon l'adresse du client
et haute-disponibilité (Keepalived)
• Gestion des logs avec Graylog, elasticsearch et syslog-ng en concentrateur TLS pour pouvoir vérifier les certificats
clients
• mise en place d'une PKI hiérarchisée à l'aide d'un jeu d'outils préparés en partie sur mon temps libre et amélioré
durant cette prestation
• configuration des switchs Cisco et du routeur PFSense
• virtualisation avec Promox et Qemu
• mise en place d'équipements physiques : serveur, switches Cisco, routeur PFsense, câblage

De mai 2021 à aujourd'hui :
Création d'un outil de déploiement de platformes quelconques avec Terraform pour VMware ESX.
Le but était de construire une plateforme pour un jeu type attaque / défense. Cette plateforme devant exister en plusieurs exemplaires
pour les besoins du jeu, c'est Terraform qui a été retenu pour les déploiements. Finalement d'autres plateformes devant être déployées
aussi, il a été décidé d'écrire un outil basé sur Terraform capable de :
• déployer 1 à n plateforme quelconque, une plateforme comprenant 1 à m réseaux et chaque réseau 0 à p serveurs ou routeurs
• déployer des fermes de serveurs lorsque que la description d'une VM indique une répétition de celle-ci
• d'étaler sur les hyperviseurs les VM ou les plateformes
L'ensemble des machines déployées doivent ensuite recevoir une configuration propre au travers de tâches Ansible.


Mai à juin 2020: ingénieur système - Samba : file server avec auth AD
SAFT Batteries - télétravail
Aider l'équipe en place pour résoudre les problèmes de PROD et pour les aiguiller vers une solution plus moderne et moins coûteuse utilisant Active Directory aussi bien pour l'authentification Samba que pour les utilisateurs systèmes.
Samba 3 & 4 : comprendre l'existant pour résoudre et expliquer les problèmes
documentation de la solution en place : authentification AD pour la partie Samba et utilisation des fichiers locaux (passwd et group) pour la partie système
Samba 4 : documentation des options possibles pour une modification de l'architecture afin d'obtenir une solution entièrement basée sur Active Directory afin de limiter les futurs coûts d'exploitation en remplaçant l'utilisation des fichiers locaux pour le stockage des utilisateurs et groupes système par l'utilisation de Winbindd :
en utilisant les RID Microsoft pour une génération automatique et pérenne des UID et GID.
en utilisant la RFC2307 pour stocker, entre autres, les UID et GID dans des champs dédiés de l'arbre LDAP.

Sept. 2017 à sept. 2019 Architecte technique systèmes pour infrastructures à base de logiciels libres
Bouygues Télécom
La mission consistait à apporter une expertise systèmes et infrastructures à une équipe en charge de services informatiques temps réel faisant
partie du pôle réseau (du développement à la production). Ces services permettaient par exemple l’authentification des bbox ou l’envoi de
SMS provenant des partenaires commerciaux vers les clients (ex. : SMS de confirmation provenant d’une banque pour valider un achat, SMS
publicitaires...).
Mise en place d’une méthodologie permettant simplement de modifier les serveurs applicatifs afin que ceux-ci transmettent leurs logs
systèmes au puits de logs des équipes de sécurisation du parc (SIEM, protocole syslog) et les logs applicatifs au puits de logs dédiés aux logs
applicatifs (Kafka/ES/Kibana, protocole Kafka).
Création d’un master durci (hardening) Centos 7, participation, avec les équipes de sécurité de la DSI et du pôle réseau, à la rédaction d’un
document générique pour durcir les systèmes Centos 7 pour l’ensemble de Bouygues Télécom.
Aides et conseils apportés aux équipes environnantes concernant les questions pouvant être liées au système d’exploitation (équipes gérant le
run comme les équipes de développeurs) ou simplement génériques (comme la gestion des certificats SSL dans les serveurs web et les reverse
proxies HAProxy).
Écriture de scripts pour faciliter le déploiement de Docker et Rancher ou pour déployer des règles iptables (firewall) sur les serveurs.
Mise en place de serveurs DNS locaux pour pallier les délais de configuration des DNS globaux, avec transfert vers les DNS globaux pour
permettre une configuration simple côtés clients.
Documentation : procédures techniques et dossier d’architecture.
Écoute et conseils :
- processus : les comprendre pour les appliquer et/ou proposer des axes d’amélioration
- équipes : les comprendre pour les aiguiller vers la résolution de leur problème ou, parfois, pour comprendre l’un de nos problèmes afin
d’aiguiller nos managers dans leurs demandes auprès des autres équipes.
- managers : comprendre le besoin pour les aiguiller vers une solution adéquate techniquement et logistiquement.
- sécurité : comprendre l’existant, ses points forts et ses lacunes, pour proposer des axes améliorations, des déploiements d’infrastructures de
gestion centralisées pour garder les systèmes à jour, maintenir les hardening à niveau et vérifier sa présence, centraliser les logs, s’assurer que
les paquets téléchargés ne soient pas modifiés par un tier...

Juillet à septembre 2017 Consultant authentification et sécurité
Groupe Les Échos / Le Parisien
Dans le cadre du rassemblement des éditions des deux journaux et du déménagement de l’informatique de Les Échos, la mission consistait
initialement à migrer les serveurs de fichiers à base de Samba.
Étude des différentes méthodes d’authentification disponibles afin de garder les serveurs de fichiers connectés à Active Directory tout en
supprimant l’authentification Centrify.
Rédaction de documentations pour pouvoir utiliser soit Winbind soit SSSD, en modifiant ou non l’AD pour lui adjoindre la RFC2307
permettant de stocker les attributs UNIX dans l’arbre LDAP.
Audit de sécurité des serveurs de fichiers et propositions de modification des configurations et des différentes arborescences pour améliorer la
sécurisation des données.
Solaris : Reconfiguration réseau de serveurs, documentation d’une méthode de clonage de systèmes et migration de zones.

Avril 2015 à mars 2017 Architecte Samba 4 pour intégration d’un Active Directory national
DGFiP : Direction générale des finances publiques
La mission consistait à vérifier la faisabilité d’utiliser le logiciel Samba 4 à la place des produits Microsoft pour déployer un Active Directory
afin d’obtenir une infrastructure d’authentification nationale.
La plateforme devait être virtualisée, redondante, aisément reconstructible, sauvegardée et restaurable, permettre l’intégration de l’ensemble
des différents personnels de l’entreprise, prendre en compte les mouvements des personnels et les refléter dans l’annuaire LDAP et permettre
une authentification forte.
Activités :
Réalisation d’un POC virtualisé, architecture et documentation, choix des serveurs pour héberger les plateformes de virtualisation, mise en
place des hyperviseurs (QEmu/KVM), écriture de scripts de déploiement automatique des serveurs virtualisés et de mise à jour de la base de
données en fonction des entrées reçues, tests de charge et de volumétrie, étude des points à améliorer pour obtenir un logiciel à même de
réaliser la tâche voulue et interface entre la DGFiP (et l’organisme devant financer ce développement) et les développeurs du logiciel Samba 4
et de nombreuses réunions pour obtenir que d’autres équipes soient impliquées pour gérer la complexité de cette nouvelle infrastructure pour la
maintenir en condition ainsi qu’injecter régulièrement les informations concernant les changements d’affectations des personnels.
Deux difficultés principales se sont posées :
- Tout d’abord la volumétrie. En effet en 2015 la DGFiP est composée de plus 120 000 personnes et la base de données n’était pas capable de
supporter une telle volumétrie. Il a donc fallu réussir à trouver une méthode financement pour modifier le logiciel après avoir défini quelles
points devaient être corrigés.
- Du fait de la complexité d’un AD la reprise d’exploitation a demandé des efforts. En effet c’est l’équipe des postes de travail qui était en
charge du POC et du déploiement mais un Active Directory est une infrastructure serveur nécessitant des mises à jour fréquentes. Il fallait
qu’une des équipes gérant les serveurs Linux accepte de s’occuper de la gestion des systèmes et qu’un lien soit créé entre l’équipe gérant l’AD
et l’une des équipes ayant accès aux mouvements du personnel (RH ou équipes LDAP). De plus la plateforme étant virtualisée, une équipe
traitant ce sujet devait pouvoir reprendre cette activité.

Mai 2014 Consultant pour une mission d'architecture HP-UX sur MS AD
Thales Global Services – Vélizy en freelance
L'entité Thales Global Services a pour mission d'écrire les documents d'architecture en vue d'harmoniser les techniques utilisées dans les
différents centres de données du groupe.
Ce document visait à décrire comment utiliser Kerberos pour l'authentification et Microsoft Active Directory (MSAD) pour les autorisations
(stockage des utilisateurs et des groupes système) sur les systèmes UNIX (Solaris et HP-UX) ainsi que les systèmes GNU/Linux (Redhat).
Les parties Solaris et GNU/Linux étant déjà écrites la mission consistait à décrire comment utiliser le module PAM pam_krb5 associé au client
LDAP-UX sur les systèmes HP-UX. La difficulté principale résidait dans les versions à utiliser - MSAD sur Win2k3 Server SP2 et HP-UX
11.00 – toutes deux très anciennes.
HP-UX + PAM + Kerberos + MS AD

Mai 2011 à août 2013 : Expert systèmes Linux et conseils en infrastructure pour L3 applicatif
Thalès puis GFI pour le compte d'Airbus
Contexte : une équipe de 10 à 15 techniciens (situés en France, Allemagne, Espagne, Angleterre et Inde), 4 fermes de serveurs (type blades, siutées en France, Allemagne, Royaume Uni et Espagne) hébergeant des systèmes Linux RH5 connectés à l'AD (comptes utilisateurs et groupes systèmes) utilisées pour le calcul HPC, pour les sessions distantes pour les utilisateurs (mode fenêtré ou bureau complet) et pour définir de nouvelles méthodes pour une meilleure industrialisation de la maintenance.
Support niveau 3 sur les diverses grappes de serveurs Oracle Secure Global Desktop (OSGD) des sites Airbus Européens :
configuration des serveurs de frontend et des applications, écriture de scripts de monitoring et de traitement par lot (ex : activation et réactivation automatique des serveurs)
configuration et déploiement sur l'ensemble de la ferme de sudo afin de pouvoir travailler avec les droits root – quand cela est vraiment nécessaire – sans interférer avec la politique de sécurité Airbus et les divers contrats de sous-traitance.
analyse des divers problèmes de comptes (AD, Vastool), d'autorisations (ADAM) et d'infrastructure (NFS, performances...)
écriture d'un script de déploiement de nouvelle version d'OSGD comprenant l'extraction des diverses configurations, sauvegarde rapide de l'ancienne version pour retour arrière, installation du RPM, injections des diverses configurations (via scripts pour les commandes internes SGD et via patchs pour les fichiers de configuration). Ceci pour pouvoir redéployer la globalité d'un serveur en cas de problème exceptionnel ou déployer des nouvelles versions en limitant l'interruption de service.
Activité de conseils concernant l’utilisation des diverses technologies disponibles composant l'infrastructure (CDTNG, VAS, AD, NFS, NIS via VAS...) en fonction des besoins et des possibilités offertes par les systèmes Red Hat GNU/Linux.
Résolution des incidents complexes puis définition de procédures, écriture de scripts pour simplifier les vérifications afin d'en réduire la compléxité et d'en simplifier le traitement. Formation des collègues aux nouveaux outils.
Configuration de Ganglia pour afficher des informations concernant l'utilisation de l'infrastructure SGD en plus de son utilisation normale de monitoring systèmes.
Participation à la définition d'un master Linux en vue d'être utiliser chez GFI Sud-Ouest en remplacement des systèmes Microsoft Windows pour les ingénieurs souhaitant travailler sous Linux.
Écriture de scripts pour l'assemblage d'une application (bash et awk, principalement) : Airbus fournit un fichier Excel contenant des noms d'objets à trouver dans des archives. Il faut ensuite extraire ces objets et les insérer à leur place au sein d'une arborescence donnée pour recréer l'application complète.
Écriture d'un script pour la gestion des groupes de contenus dans l'AD. Ce script a pour vocation d'être utilisé par des utilisateurs avancés mais non technique. La première version était en Bash et a été réécrite par un collègue en Python afin d'en simplifier la maintenance (Bash est peu recommandé pour les objets complexes). La difficulté aura été de sécuriser l'utilisation du script sachant que celui-ci devait être utilisable par tous les utilisateurs des systèmes et que les contrôles d'autorisation ne se faisaient pas au sein l'AD mais du script lui-même et bien sûr le système l'hébergeant.
Définition de GPO pour sécurisation des serveurs MS Windows accédés via TSE au sein des fermes OSGD.

Novembre 2010 : Architecte virtualisation / clustering Linux freelance
Logica pour le compte de RTE – Paris
Étude d'architecture du socle système de l'EAI WebMethods avec RedHat Cluster Suite sur des machines virtuelles hébergées par un cluster ESX.
Proposition de diverses solutions selon les possibilités de l'infrastructure existante et des capacités techniques de l'outil WebMethods en version 7.


Septembre 2008 – juin 2010 : Ingénieur systèmes UNIX et Windows
HP pour le compte d'Airbus - Toulouse
Rédaction de documentation :
Déplacement de zones Solaris 10
Amélioration de la gestion des sauvegardes systèmes des machines virtuelles ESX pour que celles-ci soient réalisées par les ESX plutôt que par les systèmes hébergés.
Proposition d'amélioration du processus de migration des VMs des ESX v3.0 vers les ESX v3.5.
Utilisation de sudo pour permettre aux personnes n'étant pas contractuellement habilitées à utiliser le compte « root » de réaliser les tâches nécessitant un accès privilégié de le faire via un utilisateur standard.
Refonte de la gestion des droits des différents administrateurs des fermes Citrix.
Administration systèmes Redhat, AIX, Solaris, Windows Server.
Gestion de clusters ESX : définition de templates, configuration Vmotion, VMware HA, ajout et suppression de serveurs ESX.
Packaging d'applications : Apache pour IBM AIX 5.3.
Création et modification de scripts (de démarrage et autres).
Administration d'une baie de SAN XP 12000 (création des agrégats, configuraiton RAID, création des LUNs, attribution des LUNs aux divers contrôleurs, zoning des switchs, replacement de disques).
Administration de filers NetApp (gestion des agrégats, des volumes, des qtrees, des exports NFS et partages CIFS, des utilisateurs, des quotas).
Définition des préconisations pour le déploiement d'un serveur JumpStart sur le parc Allemand afin d'obtenir des environnements ISO pour les serveurs WebSphere entre la France et L'allemagne.
Gestion des incidents et problèmes quotidiens : analyse de la root cause, résolution ou transfert à l'équipe compétente.
Déploiement de systèmes (via NIM, JumpStart, KickStart, via les templates ESX) ou manuellement, déploiement de logiciels et patches systèmes.
Installation de serveurs Citrix, intégration dans les fermes Citrix, publications d'applications.
Création et modification de comptes et groupes utilisateurs locaux (UNIX et Windows) et à travers Active Directory.
Systèmes utilisés : SUN Solaris (6 à 10), IBM AIX (4.4 à 5.3), RHEL GNU/Linux (4.4 et 5.4), NetApp (7.x), Microsoft Windows Server 2000 & 2003.

Août 2008 : Ingénieur systèmes UNIX au sein de l'équipe Backup L2
HP pour le compte d'Airbus – Toulouse
Déploiement du client Tina pour écouler le backlog en retard.
Gestion des incidents de sauvegarde (problème de lecteur, de bande..).
Traque des incohérences entre les demandes contractuelles et la réalité du terrain afin d'en minimiser le nombre.

Octobre 2007 – juillet 2008 : Administrateur systèmes UNIX et Windows
HP pour le compte d'Airbus – Toulouse
Support aux équipes niveau 1 (en Indes) en cas de problèmes pour la gestion des incidents UNIX, Citrix et Windows.
Écriture de scripts ksh pour, entre autre, sauvegarder les tables NIS (et rechercher dans ces sauvegardes) sur disques de manière à ce qu'elles soient en permanence disponible en lecture aux équipes backup pour pouvoir par exemple retoruver rapidement l'ancien emplacement d'un espace filer qui aurait été déplacé ou encore les données (au sens du fichier passwd) d'un utilisateur ayant été effacé par erreur.
Restauration de profils utilisateurs Windows via NetBackup.
Restauration de données UNIX via TiNa.
Analyse des incidents filers avant escalade au niveau 2 UNIX pour alléger leur charge de travail.
Analyse de la sécurité du site web offrant une interface permettant de connaître les mots de passe « root » des serveurs UNIX afin de l'améliorer.

2007 : Administrateur systèmes GNU/Linux
ATMO Rhône-Alpes - Lyon
Écriture de scripts bash (suivi des onduleurs avec envoi de SMS sur les portables de service, résolution de diverses problématiques ponctuelles comme la configuration du fichier /etc/passwd pour permettre le rebond d'une machine à l'autre à la connexion de l'utilisateur via SSH sans qu'il ait besoinde s'authentifier une seconde fois).
Gestion des sauvegardes DAT (Veritas Netbackup).2007 : Administrateur systèmes Windows et GNU/Linux
Norsud - Taluyers
Configuration d'Active Directory pour automatiser le déploiement de logiciels sur les postes clients, la prestation prévoyait initialement la location d'un véhicule et un déplacement de plusieurs jours à travers la France).
Mise en place de relations d'approbation entre domaines Active Directory.
Réinstallation de contrôleurs de domaine après définition d'une procédure pour éviter la perte de données.
Conseils autour des futurs déploiements GNU/Linux et de la configuration des applications en place.


2006 : Administrateur système et Web en freelance
clancalendar.net
Administration du système (Debian GNU/Linux).
Migration de la base de données non relationnelle (MySQL) vers une base de donnée relationnelle (PostgreSQL).
Réécriture d'une partie du site.
Administration de la base de données.
Monitoring du site et du serveur avec Nagios.

2002 – 2006 : Ingénieur systèmes et réseau en freelance
GRETA Tertiaire du Grand Lyon - Lyon
Conseils, propositions de solutions, devis, conseils d'achat.
Déploiement et configuration d'Active Directory (Windows 2000), mutualisation des données de l'entreprise, mise en place de sauvegardes sur bandes.
Installation d'un domaine Active Directory (Samba/OpenLDAP) pour le serveur Novell Netware 3.12, gestion des utilisateurs via phpLDAPadmin pour simplifier cette gestion au personnel du GRETA.
Déploiement d'un firewall à base d'iptables (GNU/Linux), mise en place d'un VPN pour la maintenance à distance (OpenVPN), déploiement d'OS sur les parcs administratifs et pédagogiques (Windows 2000, Windows 98, Debian).

À titre personnel :
Virtualisation avec Qemu / KVM depuis plusieurs années
Écriture de scripts de déploiement de systèmes (création d'une archive par partition d'un système souche et déploiement de ces archives après préparation automatique des disques durs en fonction d'un fichier de configuration, post-installation possible pour personnaliser le système cible (configuration réseau, installation de paquets, lancement de script aléatoire)
Utilisation d'OpenVPN pour les accès réseau fixes depuis environ 2004.