J'utilisais jusqu'ici Smoothwall sur une machine d=E9di=E9e pour faire=20
office de pare-feu. Je compte maintenant utiliser une Debian sarge sur=20
une machine que je suis en train d'assembler, plus silencieuse.=20
L'int=E9r=EAt =E9tant, outre le silence, un meilleur contr=F4le des servi=
ces=20
pr=E9sents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de=20
machine pour;
- la gestion des r=E8gles iptables,
- le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas pr=E9sent, ou bie=
n=20
pouvoir tourner sur une machine lambda du r=E9seau priv=E9 et travailler =
=E0=20
distance.
Question subsidiaire: pour effectuer un backup r=E9gulier de cette=20
machine, je ne l'ai jamais utilis=E9 mais j'imagine que rsync est l'outil=
=20
id=E9al ? Est-ce que rsync est bidirectionnel ? C'est =E0 dire puis-je=20
l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B)=20
que pour faire une mise =E0 jour (de B vers A) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
sich
David Soulayrol a écrit :
Bonjour à tous,
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire office de pare-feu. Je compte maintenant utiliser une Debian sarge sur une machine que je suis en train d'assembler, plus silencieuse. L'intérêt étant, outre le silence, un meilleur contrôle des services présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de machine pour;
- la gestion des règles iptables, - le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou bien pouvoir tourner sur une machine lambda du réseau privé et travailler à distance.
Question subsidiaire: pour effectuer un backup régulier de cette machine, je ne l'ai jamais utilisé mais j'imagine que rsync est l'outil idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire puis-je l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B) que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, et ntop pour pas mal d'autres choses. Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fait des scans de port par exemple. Il y'a également FWanalog qui permet de générer des graphs en fonction des paquets bloqués (origine, destination, ports, etc).
Concernant rsync il est maitre > esclave. Par conséquent si tu veux inverser la synchro il faut faire une autre commande rsync. Pour de la réplique maitre <> maitre voir du coté d'unison.
En espérant que cela puisse te donner des pistes.
sich
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
David Soulayrol a écrit :
Bonjour à tous,
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire
office de pare-feu. Je compte maintenant utiliser une Debian sarge sur
une machine que je suis en train d'assembler, plus silencieuse.
L'intérêt étant, outre le silence, un meilleur contrôle des services
présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de
machine pour;
- la gestion des règles iptables,
- le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou bien
pouvoir tourner sur une machine lambda du réseau privé et travailler à
distance.
Question subsidiaire: pour effectuer un backup régulier de cette
machine, je ne l'ai jamais utilisé mais j'imagine que rsync est l'outil
idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire puis-je
l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B)
que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, et
ntop pour pas mal d'autres choses.
Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fait
des scans de port par exemple.
Il y'a également FWanalog qui permet de générer des graphs en fonction
des paquets bloqués (origine, destination, ports, etc).
Concernant rsync il est maitre > esclave. Par conséquent si tu veux
inverser la synchro il faut faire une autre commande rsync.
Pour de la réplique maitre <> maitre voir du coté d'unison.
En espérant que cela puisse te donner des pistes.
sich
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire office de pare-feu. Je compte maintenant utiliser une Debian sarge sur une machine que je suis en train d'assembler, plus silencieuse. L'intérêt étant, outre le silence, un meilleur contrôle des services présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de machine pour;
- la gestion des règles iptables, - le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou bien pouvoir tourner sur une machine lambda du réseau privé et travailler à distance.
Question subsidiaire: pour effectuer un backup régulier de cette machine, je ne l'ai jamais utilisé mais j'imagine que rsync est l'outil idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire puis-je l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B) que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, et ntop pour pas mal d'autres choses. Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fait des scans de port par exemple. Il y'a également FWanalog qui permet de générer des graphs en fonction des paquets bloqués (origine, destination, ports, etc).
Concernant rsync il est maitre > esclave. Par conséquent si tu veux inverser la synchro il faut faire une autre commande rsync. Pour de la réplique maitre <> maitre voir du coté d'unison.
En espérant que cela puisse te donner des pistes.
sich
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
David Soulayrol
Bonjour sich,
sich a écrit :
David Soulayrol a écrit :
Bonjour à tous,
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire office de pare-feu. Je compte maintenant utiliser une Debian sarge sur une machine que je suis en train d'assembler, plus silencieuse. L'intérêt étant, outre le silence, un meilleur contrôle des se rvices présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de machine pour;
- la gestion des règles iptables, - le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou bien pouvoir tourner sur une machine lambda du réseau privé et travailler à distance.
Question subsidiaire: pour effectuer un backup régulier de cette machine, je ne l'ai jamais utilisé mais j'imagine que rsync est l'outil idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire puis-je l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B) que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
J'en ai déjà entendu parler. Je vais creuser.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, e t ntop pour pas mal d'autres choses. Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fa it des scans de port par exemple. Il y'a également FWanalog qui permet de générer des graphs en fon ction des paquets bloqués (origine, destination, ports, etc).
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Concernant rsync il est maitre > esclave. Par conséquent si tu veux inverser la synchro il faut faire une autre commande rsync. Pour de la réplique maitre <> maitre voir du coté d'unison.
Merci pour l'info.
En espérant que cela puisse te donner des pistes.
Oui, merci beaucoup. J'approfondirai dès que j'en aurai le temps.
sich
-- David
Bonjour sich,
sich a écrit :
David Soulayrol a écrit :
Bonjour à tous,
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire
office de pare-feu. Je compte maintenant utiliser une Debian sarge sur
une machine que je suis en train d'assembler, plus silencieuse.
L'intérêt étant, outre le silence, un meilleur contrôle des se rvices
présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de
machine pour;
- la gestion des règles iptables,
- le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou
bien pouvoir tourner sur une machine lambda du réseau privé et
travailler à distance.
Question subsidiaire: pour effectuer un backup régulier de cette
machine, je ne l'ai jamais utilisé mais j'imagine que rsync est
l'outil idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire
puis-je l'utiliser aussi bien faire un backup (du pare-feu A vers une
machine B) que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
J'en ai déjà entendu parler. Je vais creuser.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, e t
ntop pour pas mal d'autres choses.
Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fa it
des scans de port par exemple.
Il y'a également FWanalog qui permet de générer des graphs en fon ction
des paquets bloqués (origine, destination, ports, etc).
Est-il intéressant d'installer également un outil de détection
d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un
marteau pour écraser des mouches, peut-on s'en passer si l'on surveille
régulièrement ses logs ?
Concernant rsync il est maitre > esclave. Par conséquent si tu veux
inverser la synchro il faut faire une autre commande rsync.
Pour de la réplique maitre <> maitre voir du coté d'unison.
Merci pour l'info.
En espérant que cela puisse te donner des pistes.
Oui, merci beaucoup. J'approfondirai dès que j'en aurai le temps.
J'utilisais jusqu'ici Smoothwall sur une machine dédiée pour faire office de pare-feu. Je compte maintenant utiliser une Debian sarge sur une machine que je suis en train d'assembler, plus silencieuse. L'intérêt étant, outre le silence, un meilleur contrôle des se rvices présents sur la machine (serveur web, courrier, ...).
Je souhaiterais savoir quels outils vous utilisez sur ce genre de machine pour;
- la gestion des règles iptables, - le monitoring des logs.
Ces solutions doivent ne pas utiliser X qui ne sera pas présent, ou bien pouvoir tourner sur une machine lambda du réseau privé et travailler à distance.
Question subsidiaire: pour effectuer un backup régulier de cette machine, je ne l'ai jamais utilisé mais j'imagine que rsync est l'outil idéal ? Est-ce que rsync est bidirectionnel ? C'est à dire puis-je l'utiliser aussi bien faire un backup (du pare-feu A vers une machine B) que pour faire une mise à jour (de B vers A) ?
Merci de vos conseils éclairés.
Pour ma part j'utilise shorewall pour la gestion des règles iptables.
J'en ai déjà entendu parler. Je vais creuser.
Concernant le monitoring j'ai mrtg pour surveiller la bande passante, e t ntop pour pas mal d'autres choses. Après tu peux ajouter PSAD pour bloquer automatiquement une ip qui fa it des scans de port par exemple. Il y'a également FWanalog qui permet de générer des graphs en fon ction des paquets bloqués (origine, destination, ports, etc).
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Concernant rsync il est maitre > esclave. Par conséquent si tu veux inverser la synchro il faut faire une autre commande rsync. Pour de la réplique maitre <> maitre voir du coté d'unison.
Merci pour l'info.
En espérant que cela puisse te donner des pistes.
Oui, merci beaucoup. J'approfondirai dès que j'en aurai le temps.
sich
-- David
sich
David Soulayrol a écrit :
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Pour ma part je n'utilise pas snort.... Des alertes tu en auras tous les jours... Des attaques très très régulièrement... Tout dépend des services ouvert derrière le pare feu, si tout est fermé pas besoin de snort. J'oubliais dans ma liste avant, si ssh est ouvert, pense à installer fail2ban qui sert à bannir automatiquement une ip qui fait trop d'erreur pour s'authentifier sur ssh...
sich
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
David Soulayrol a écrit :
Est-il intéressant d'installer également un outil de détection
d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un
marteau pour écraser des mouches, peut-on s'en passer si l'on surveille
régulièrement ses logs ?
Pour ma part je n'utilise pas snort.... Des alertes tu en auras tous les
jours... Des attaques très très régulièrement... Tout dépend des
services ouvert derrière le pare feu, si tout est fermé pas besoin de
snort.
J'oubliais dans ma liste avant, si ssh est ouvert, pense à installer
fail2ban qui sert à bannir automatiquement une ip qui fait trop d'erreur
pour s'authentifier sur ssh...
sich
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Pour ma part je n'utilise pas snort.... Des alertes tu en auras tous les jours... Des attaques très très régulièrement... Tout dépend des services ouvert derrière le pare feu, si tout est fermé pas besoin de snort. J'oubliais dans ma liste avant, si ssh est ouvert, pense à installer fail2ban qui sert à bannir automatiquement une ip qui fait trop d'erreur pour s'authentifier sur ssh...
sich
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Tue, 28 Feb 2006 14:03:49 +0100 David Soulayrol a écrit:
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Pour ma part j'utilise deux petits outils personnels:
* surveillle (apt-get install surveillance) qui vérifie l'intégrité d'une famille de fichiers dont la liste est définie à l'in stallation (défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui évite de dépendre d'une librairie modifiablle. Toutes les erreurs je le lance et je suis averti de binaires modifiés.
Inconvénient: tu t'aperçois que de temps à autre sur une famille de machine, des inversions de bits arrivent spontanément.
* regarde (paquet cacheproc) qui recherchent des processus cachés.
J'ai mis ces deux commandes dans le crontab.
François Boisson
(les paquets sont sur deb http://boisson.homeip.net/sarge/ ./ )
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tue, 28 Feb 2006 14:03:49 +0100
David Soulayrol <david.soulayrol-ste-exterieure@fr.thalesgroup.com> a
écrit:
Est-il intéressant d'installer également un outil de détection
d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un
marteau pour écraser des mouches, peut-on s'en passer si l'on surveille
régulièrement ses logs ?
Pour ma part j'utilise deux petits outils personnels:
* surveillle (apt-get install surveillance) qui vérifie l'intégrité
d'une famille de fichiers dont la liste est définie à l'in stallation
(défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage
de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui
évite de dépendre d'une librairie modifiablle.
Toutes les erreurs je le lance et je suis averti de binaires modifiés.
Inconvénient: tu t'aperçois que de temps à autre sur une famille de
machine, des inversions de bits arrivent spontanément.
* regarde (paquet cacheproc) qui recherchent des processus cachés.
J'ai mis ces deux commandes dans le crontab.
François Boisson
(les paquets sont sur deb http://boisson.homeip.net/sarge/ ./ )
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Tue, 28 Feb 2006 14:03:49 +0100 David Soulayrol a écrit:
Est-il intéressant d'installer également un outil de détection d'intrusion ? Je crois que c'est le rôle de snort, non ? Est-ce un marteau pour écraser des mouches, peut-on s'en passer si l'on surveille régulièrement ses logs ?
Pour ma part j'utilise deux petits outils personnels:
* surveillle (apt-get install surveillance) qui vérifie l'intégrité d'une famille de fichiers dont la liste est définie à l'in stallation (défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui évite de dépendre d'une librairie modifiablle. Toutes les erreurs je le lance et je suis averti de binaires modifiés.
Inconvénient: tu t'aperçois que de temps à autre sur une famille de machine, des inversions de bits arrivent spontanément.
* regarde (paquet cacheproc) qui recherchent des processus cachés.
J'ai mis ces deux commandes dans le crontab.
François Boisson
(les paquets sont sur deb http://boisson.homeip.net/sarge/ ./ )
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
bonjour,
Le mardi 28 février 2006, François Boisson a écrit...
* surveillle (apt-get install surveillance) qui vérifie l'intégrité d'une famille de fichiers dont la liste est définie à l'in stallation (défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui évite de dépendre d'une librairie modifiablle. Toutes les erreurs je le lance et je suis averti de binaires modifiés.
J'utilise aide, pour ce faire. Un peu pénible à configurer, mais peut surveiller tout un tas de dossiers/fichiers.
-- jm
-- Pensez
bonjour,
Le mardi 28 février 2006, François Boisson a écrit...
* surveillle (apt-get install surveillance) qui vérifie l'intégrité
d'une famille de fichiers dont la liste est définie à l'in stallation
(défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage
de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui
évite de dépendre d'une librairie modifiablle.
Toutes les erreurs je le lance et je suis averti de binaires modifiés.
J'utilise aide, pour ce faire. Un peu pénible à configurer, mais peut
surveiller tout un tas de dossiers/fichiers.
Le mardi 28 février 2006, François Boisson a écrit...
* surveillle (apt-get install surveillance) qui vérifie l'intégrité d'une famille de fichiers dont la liste est définie à l'in stallation (défaut /bin, /usr/bin, idem avec sbin et les scripts de démarrage de /etc). Je l'ai compilé en statique avec son propre md5sum ce qui lui évite de dépendre d'une librairie modifiablle. Toutes les erreurs je le lance et je suis averti de binaires modifiés.
J'utilise aide, pour ce faire. Un peu pénible à configurer, mais peut surveiller tout un tas de dossiers/fichiers.
-- jm
-- Pensez
David Soulayrol
Bonjour,
Merci pour vos remarques. J'ai trouvé également des références à Firestarter, qui a une j olie interface graphique et qui peut également être piloté à distance.
Est-ce que vous auriez des retours d'expérience ou des commentaires sur shorewall(/webmin) face à firestarter ? L'interface de firestarter se fait-elle au détriment des possibilités ou de la sécurité sur les règles NetFilter générées ?
Merci encore, -- David
Bonjour,
Merci pour vos remarques.
J'ai trouvé également des références à Firestarter, qui a une j olie
interface graphique et qui peut également être piloté à distance.
Est-ce que vous auriez des retours d'expérience ou des commentaires sur
shorewall(/webmin) face à firestarter ? L'interface de firestarter se
fait-elle au détriment des possibilités ou de la sécurité sur les règles
NetFilter générées ?
Merci pour vos remarques. J'ai trouvé également des références à Firestarter, qui a une j olie interface graphique et qui peut également être piloté à distance.
Est-ce que vous auriez des retours d'expérience ou des commentaires sur shorewall(/webmin) face à firestarter ? L'interface de firestarter se fait-elle au détriment des possibilités ou de la sécurité sur les règles NetFilter générées ?
