Apprenti Technicien IT

Paolo Ferraris

Portfolio de Compétences — Systèmes, Réseaux & Stockage

Filtrer par domaine :
Systèmes

Administrateur Systèmes & Hyperviseurs

🛠️ Compétences acquises

  • Proxmox VE 9 : Gestion de nœuds de calcul, de clusters et du quorum en environnement distribué.
  • Virtualisation GPU (SR-IOV) : Découpage matériel d'iGPU Intel Iris Xe avec persistance DKMS lors des mises à jour système.
  • Conteneurs LXC : Sécurisation, montage bind mounts (`noatime,backup=0`), isolation et ID Mapping personnalisés.
  • Active Directory (ADDS) : Gestion complète sous Windows Server, stratégies GPO, serveurs d'impression et RRAS/NAT.
  • Automatisation Shell : Scripts d'orchestration pour la mise à jour centralisée des conteneurs et des piles Docker.
Contexte : Projets d'automatisation multimédia (Arr-Stack, Jellyfin avec transcoding matériel) et simulation complète AD en réseau d'entreprise isolé.
Symptôme : Gel total du stockage Proxmox (`/etc/pve`) et échec réseau au boot à froid.
Analyse : Interverrouillage systemd où `zfs-import-cache` attendait `open-iscsi` qui dépendait de la couche réseau, elle-même bloquée par l'initialisation des disques virtuels de l'hyperviseur.
Résolution : Suppression de la dépendance forcée au démarrage et refactorisation de `/etc/fstab` avec les options `_netdev,nofail,x-systemd.after` pour forcer un montage dynamique et propre après le réseau.
Réseaux & Sécurité

Administrateur Réseaux & Sécurité

🛠️ Compétences acquises

  • Adressage IPv6 Dual-Stack : Délégation de préfixe FAI, intégration d'adresses ULA (`fddf::/64`) et lien-local.
  • VPN WireGuard : Routage de tunnels chiffrés sous environnement IPv6 maillé pour l'accès aux réseaux internes.
  • Traefik & SSL/TLS : Configuration de certificats Let's Encrypt par challenge DNS Cloudflare et durcissement HTTPS (HSTS, TLS 1.2/1.3).
  • Pare-feu & IPS : Gestion de firewalld/nftables et interconnexion de CrowdSec LAPI avec bouncers au niveau noyau sur l'hôte PVE.
  • Sécurisation applicative : Mise en œuvre de reverse proxying avec SSO Authelia (WebAuthn/Passkeys) et Geoblocking par base IP2Location.
Contexte : Sécurisation réseau zero-trust de l'infrastructure homelab et routage inter-sous-réseau sécurisé pour une découpeuse laser industrielle.
Symptôme : Perte de connectivité IPv6 locale entre les machines et conteneurs virtuels (erreur NDP d'adresse injoignable).
Analyse : Le pare-feu Proxmox bloquait par défaut le trafic de découverte multicast (MLD) requis pour l'association MAC/IP en IPv6 avec le snooping du routeur FAI.
Résolution : Autorisation explicite d'ICMPv6 (groupes `fe80::/10` et `lan6`), configuration de `mcast_router 2` sur la carte réseau de l'hôte et de `multicast_querier 1` sur le pont `vmbr0`.
Stockage

Ingénieur Stockage & SAN/NAS

🛠️ Compétences acquises

  • SAN iSCSI : Configuration de volumes blocs distants via LIO target (`targetcli`) sur lien dédié 10G SFP+.
  • ZFS & NFS : Pools ZFS locaux en miroir, exports de datasets NFS v4.2 avec gestion fine des UIDs/GIDs (`no_root_squash`).
  • MergerFS (Tiered Storage) : Pooling hybride dynamique agrégeant disques SAS lents et caches rapides NVMe locaux.
  • Optimisation Flash : Mise en œuvre de TRIM ciblé et asservi à l'exécution de scripts de déplacement (`fusion_mover.sh`).
  • Ajustement Système : Récupération de ~550 Go d'espace utile par réduction du ratio de blocs EXT4 de 5% à 1% (`tune2fs`).
Contexte : Administration de la grappe de stockage de 35 To "Fusion" et migration de nœuds de stockage de Proxmox Backup Server vers PVE natif.
Symptôme : Cliquetis cycliques bruyants sur disques durs Seagate Exos SAS en période d'inactivité.
Analyse : Le micrologiciel du disque effectuait des balayages thermiques de calibrage (TFC) sur des secteurs réalloués à la sortie du mode veille profond. Le paramétrage de gestion d'énergie (EPC) était désynchronisé.
Résolution : Alignement des paramètres de veille EPC (`Idle_A`, `Idle_B`) par `sdparm` et développement d'un service systemd au boot forçant la veille prolongée propre pour stopper l'usure moteur.
Sécurité Offensive

Analyste en Pentesting & Audits

🛠️ Compétences acquises

  • Audits de Sécurité Externes : Déploiement temporaire et sécurisé de serveurs VPS (Hetzner Cloud) pour simuler des attaques WAN.
  • Reconnaissance de Services : Port-scanning à haute vitesse avec Rustscan et détection d'empreintes applicatives avec Nmap.
  • Scan de Vulnérabilités : Templating d'attaques automatisées via Nuclei (recherche de CVEs, ciphers SSL obsolètes et fuites d'infos).
  • Validation d'Ingress : Simulation d'abus d'en-têtes HTTP (Host Headers / SNI spoofing) pour tester le filtrage du Reverse Proxy.
Contexte : Validation de la sécurité périmétrique IPv6 du Homelab et audits de conformité de reverse proxy.
Symptôme : Besoin de certifier que CrowdSec et le pare-feu Proxmox coopèrent pour bannir une source offensive externe.
Analyse : Lancement d'un scan agressif simulé depuis le VPS externe cible. Le proxy a intercepté les requêtes malveillantes et a envoyé l'alerte à la base LAPI.
Résolution : L'IP offensive a bien été bannie automatiquement au niveau du noyau de l'hyperviseur Proxmox (vérification de la table ipset `crowdsec-bans`), interrompant le scan instantanément à la source.
Support & Maintenance

Support & Outillage Matériel

🛠️ Compétences acquises

  • Flashage Firmware Négocié : Extraction de microgiciels propriétaires (Samsung Magician ISO) et flashage CLI via `nvme-cli`.
  • Déploiement WDS / PXE : Injection automatisée de pilotes tiers VirtIO (NetKVM, vioscsi) dans des boot images Windows PE.
  • Administration Clavier & MCU : Modification et persistance de configuration de microcontrôleur de périphériques (EEPROM) sous protocole WebHID.
  • Dépannage Matériel Hardware : Diagnostic et isolation acoustique de châssis, suivi SMART des secteurs de disques.
Contexte : Support utilisateur entreprise (simulation), administration de parcs de serveurs de fichiers et maintenance hardware Homelab.
Symptôme : Gel complet du POST de la carte mère (code debug 73/92) ou latence de boot de 2m30s causé par la carte HBA LSI SAS2308.
Analyse : L'Option ROM de la carte HBA (conçue pour les anciens BIOS) entrait en conflit avec l'UEFI AM5 moderne. L'outil standard `sas2flash` était inutilisable en raison des sécurités de verrouillage noyau.
Résolution : Lancement de l'outil interactif bas niveau `lsiutil` sous Proxmox pour effacer sélectivement l'Option ROM obsolète sans toucher au firmware IT-mode actif, restaurant un boot instantané.