Bonjour, question toute simple : quand on possède un dédié low cost
est-il généralement protégé par un firewall externe sur lequel chaque
client peut pendre la main pour définir les règles qui le concernent ?
Parce que sinon ça signifie Iptables sur le dédié lui même (pas super
pratique si on a plusieurs serveurs, et pas super sécure non plus) et en
cas de fausse manip on peut se retrouver avec une machine injoignable
(plus de ssh). Comment se sortir de ce mauvais pas dans ce cas ?
Quelqu'un intervient ? Coût de l'intervention ?
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Defense in depth c'est à dire plusieurs niveaux de protection.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Defense in depth
c'est à dire plusieurs niveaux de protection.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Defense in depth c'est à dire plusieurs niveaux de protection.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Zouplaz
Yves wrote:
rene-marc wrote:
Zouplaz :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Yves wrote:
rene-marc wrote:
Zouplaz <user@domain.invalid> :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host
différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de
réaliser des opérations de maintenance (ex. manager MySQL desktop) via
un tunnel SSH et un forwarding de ports.
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Par exemple empêcher tout connexion TCP MySQL à partir d'un host différent du serveur lui même.
Dans ce cas, autant passer par une socket UNIX...
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Zouplaz
Zouplaz wrote:
Calimero wrote:
Pour ma culture, en quoi iptables n'est pas "sikiour" ?
Non j'ai pas dit ça... Je pense que c'est tout à fait bien
Bin si je l'ai écrit... Mais que diable voulais-je bien dire ? Je pense tout à fait le contraire !
Ce soir j'ai musique, ça doit être ça - je suis pas à ce que je fais ;-) !
Zouplaz wrote:
Calimero wrote:
Pour ma culture, en quoi iptables n'est pas "sikiour" ?
Non j'ai pas dit ça... Je pense que c'est tout à fait bien
Bin si je l'ai écrit... Mais que diable voulais-je bien dire ? Je pense
tout à fait le contraire !
Ce soir j'ai musique, ça doit être ça - je suis pas à ce que je fais ;-) !
Pour ma culture, en quoi iptables n'est pas "sikiour" ?
Non j'ai pas dit ça... Je pense que c'est tout à fait bien
Bin si je l'ai écrit... Mais que diable voulais-je bien dire ? Je pense tout à fait le contraire !
Ce soir j'ai musique, ça doit être ça - je suis pas à ce que je fais ;-) !
Patrick Mevzek
Parce que sinon ça signifie Iptables sur le dédié lui même (pas super pratique si on a plusieurs serveurs, et pas super sécure non plus) et en cas de fausse manip on peut se retrouver avec une machine injoignable (plus de ssh). Comment se sortir de ce mauvais pas dans ce cas ? Quelqu'un intervient ? Coût de l'intervention ?
Quand le problème survient, c'est déjà trop tard. Reboot nécessaire, en espérant que les règles ne soient pas rechargés au démarrage, ou intervention de petites mains directement sur la machine.
Pour éviter ce problème: - mettre ses règles dans un script iptables.sh - mettre les commandes d'effacement de toutes les règles dans reset_open.sh - quand on a besoin d'ajouter des règles: 1) modifier iptables.sh 2) faire: (iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette. Et si pas de problèmes, un petit kill suffit.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Parce que sinon ça signifie Iptables sur le dédié lui même (pas super
pratique si on a plusieurs serveurs, et pas super sécure non plus) et en
cas de fausse manip on peut se retrouver avec une machine injoignable
(plus de ssh). Comment se sortir de ce mauvais pas dans ce cas ?
Quelqu'un intervient ? Coût de l'intervention ?
Quand le problème survient, c'est déjà trop tard. Reboot nécessaire,
en espérant que les règles ne soient pas rechargés au démarrage, ou
intervention de petites mains directement sur la machine.
Pour éviter ce problème:
- mettre ses règles dans un script iptables.sh
- mettre les commandes d'effacement de toutes les règles dans
reset_open.sh
- quand on a besoin d'ajouter des règles:
1) modifier iptables.sh
2) faire:
(iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette.
Et si pas de problèmes, un petit kill suffit.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Parce que sinon ça signifie Iptables sur le dédié lui même (pas super pratique si on a plusieurs serveurs, et pas super sécure non plus) et en cas de fausse manip on peut se retrouver avec une machine injoignable (plus de ssh). Comment se sortir de ce mauvais pas dans ce cas ? Quelqu'un intervient ? Coût de l'intervention ?
Quand le problème survient, c'est déjà trop tard. Reboot nécessaire, en espérant que les règles ne soient pas rechargés au démarrage, ou intervention de petites mains directement sur la machine.
Pour éviter ce problème: - mettre ses règles dans un script iptables.sh - mettre les commandes d'effacement de toutes les règles dans reset_open.sh - quand on a besoin d'ajouter des règles: 1) modifier iptables.sh 2) faire: (iptables.sh; echo 'A'; sleep 1m ; echo 'B'; reset_open.sh) &
Ainsi on est assuré de récupérer la main si boulette. Et si pas de problèmes, un petit kill suffit.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Calimero
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
-- @+ Calimero
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de
réaliser des opérations de maintenance (ex. manager MySQL desktop) via
un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne
se bind sur les interfaces publiques.
La majorité des softs pas trop mal écrits permettent ce genre de chose.
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
-- @+ Calimero
Yves
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
C'est ce que j'allais répondre ;-)
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet
de réaliser des opérations de maintenance (ex. manager MySQL desktop)
via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne
se bind sur les interfaces publiques.
La majorité des softs pas trop mal écrits permettent ce genre de chose.
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
C'est ce que j'allais répondre ;-)
Francois Cartegnie
rene-marc wrote:
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
"pour faire comme sous windows"...
lui manque un antivirus aussi :)
rene-marc wrote:
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
"pour faire comme sous windows"...
lui manque un antivirus aussi :)
Zouplaz
Calimero wrote:
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
C'est vrai mais comme j'ai pas vraiment envie de passer tout ça en revue et qu'en plus je ne me fais pas trop confiance (un oubli est aisé) je préfère de loin me fier à quelques bonnes règles iptables basée sur l'adage populaire "Tout est interdit, sauf ce qui est explicitement autorisé". C'est plus facile à tester, c'est centralisé mais bon, question de point de vue.
Calimero wrote:
Zouplaz wrote:
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet
de réaliser des opérations de maintenance (ex. manager MySQL desktop)
via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne
se bind sur les interfaces publiques.
La majorité des softs pas trop mal écrits permettent ce genre de chose.
C'est vrai mais comme j'ai pas vraiment envie de passer tout ça en revue
et qu'en plus je ne me fais pas trop confiance (un oubli est aisé) je
préfère de loin me fier à quelques bonnes règles iptables basée sur
l'adage populaire "Tout est interdit, sauf ce qui est explicitement
autorisé".
C'est plus facile à tester, c'est centralisé mais bon, question de point
de vue.
Je ne le désire pas, je tiens à concerver un accès TCP - Ca me permet de réaliser des opérations de maintenance (ex. manager MySQL desktop) via un tunnel SSH et un forwarding de ports.
Tu as le paramètre "bind-address = 127.0.0.1" pour éviter que mysql ne se bind sur les interfaces publiques. La majorité des softs pas trop mal écrits permettent ce genre de chose.
C'est vrai mais comme j'ai pas vraiment envie de passer tout ça en revue et qu'en plus je ne me fais pas trop confiance (un oubli est aisé) je préfère de loin me fier à quelques bonnes règles iptables basée sur l'adage populaire "Tout est interdit, sauf ce qui est explicitement autorisé". C'est plus facile à tester, c'est centralisé mais bon, question de point de vue.
J1
Zouplaz :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Prévenir des SYNflood? Restreindre l'accès SSH à quelques IP? Filtrer les ICMP timestamp requests? Logger et bloquer les scans de ports? Blacklister certaines IP indésirables?
Il y en a des kilomètres... L'étendue des possibilités offertes par iptables est plutot vaste!
-- J1
Zouplaz <user@domain.invalid> :
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
Prévenir des SYNflood?
Restreindre l'accès SSH à quelques IP?
Filtrer les ICMP timestamp requests?
Logger et bloquer les scans de ports?
Blacklister certaines IP indésirables?
Il y en a des kilomètres...
L'étendue des possibilités offertes par iptables est plutot vaste!
Parce que sinon ça signifie Iptables sur le dédié lui même
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
Prévenir des SYNflood? Restreindre l'accès SSH à quelques IP? Filtrer les ICMP timestamp requests? Logger et bloquer les scans de ports? Blacklister certaines IP indésirables?
Il y en a des kilomètres... L'étendue des possibilités offertes par iptables est plutot vaste!
-- J1
J1
rene-marc wrote:
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
"pour faire comme sous windows"...
Il dit qu'il ne voit pas le rapport.
lui manque un antivirus aussi :)
Et pourquoi pas? SMTP : Plusieurs MTA savent s'interfacer avec des antivirus. HTTP : mod_security peut s'interfacer avec clamav pour éviter l'upload de fichiers verolés. La liste est ouverte, il y a aussi les FTP, Samba, et sans doute d'autres, qui peuvent utiliser un antivirus pour scanner des fichiers/flux susceptibles d'être accédés par des machines clientes sensibles aux virus.
Cette discussion aurait plus sa place sur fr.comp.securite, AMHA.
Amicalement,
-- J1
rene-marc wrote:
J'ai une question stupide: quel est l'intéret d'un firewall sur une
machine de ce type ?
"pour faire comme sous windows"...
Il dit qu'il ne voit pas le rapport.
lui manque un antivirus aussi :)
Et pourquoi pas?
SMTP : Plusieurs MTA savent s'interfacer avec des antivirus.
HTTP : mod_security peut s'interfacer avec clamav pour éviter l'upload
de fichiers verolés.
La liste est ouverte, il y a aussi les FTP, Samba, et sans doute
d'autres, qui peuvent utiliser un antivirus pour scanner des
fichiers/flux susceptibles d'être accédés par des machines clientes
sensibles aux virus.
Cette discussion aurait plus sa place sur fr.comp.securite, AMHA.
J'ai une question stupide: quel est l'intéret d'un firewall sur une machine de ce type ?
"pour faire comme sous windows"...
Il dit qu'il ne voit pas le rapport.
lui manque un antivirus aussi :)
Et pourquoi pas? SMTP : Plusieurs MTA savent s'interfacer avec des antivirus. HTTP : mod_security peut s'interfacer avec clamav pour éviter l'upload de fichiers verolés. La liste est ouverte, il y a aussi les FTP, Samba, et sans doute d'autres, qui peuvent utiliser un antivirus pour scanner des fichiers/flux susceptibles d'être accédés par des machines clientes sensibles aux virus.
Cette discussion aurait plus sa place sur fr.comp.securite, AMHA.
