Je sais bien que NFS n'est pas un protocole très sûr et qu'il ne faut
évidemment pas l'ouvrir vers l'extérieur.
Cependant, j'aurais besoin de lancer un serveur NFS sur une des machines
du réseau, afin d'y centraliser les sources (packages, ports et cie),
ainsi que le homedir de l'admin.
La meilleure solution n'est-elle pas plutôt de mettre ce serveur dans le
LAN, et de faire une règle dans le firewall qui autorise les ports NFS
uniquement dans le sens DMZ -> unique machine LAN.
Il y a un risque de compromission du LAN, dans ce cas, si une machine de
la DMZ est compromise ET que cette machine compromise peut exploiter une
faille RCP.
Si, d'autre part, je le monte dans la DMZ, le risque de compromission
des sources (et surtout des outils dans le /home de l'admin) est encore
plus grand.
Qu'en pensez-vous ?
Merchi,
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Mon, 10 Nov 2003 10:43:33 +0000, Xavier HUMBERT wrote:
Il y a un risque de compromission du LAN, dans ce cas, si une machine de la DMZ est compromise ET que cette machine compromise peut exploiter une faille RCP.
Si, d'autre part, je le monte dans la DMZ, le risque de compromission des sources (et surtout des outils dans le /home de l'admin) est encore plus grand.
Pourquoi ne pas faire du "push" du LAN vers la DMZ, avec par exemple "rsync over shh" ?
Les flux DMZ vers LAN, ça me fait toujours un peu peur, même si on ne peut parfois pas les éviter. Une saine parnoïa, quoi ...
Nicob
On Mon, 10 Nov 2003 10:43:33 +0000, Xavier HUMBERT wrote:
Il y a un risque de compromission du LAN, dans ce cas, si une machine de
la DMZ est compromise ET que cette machine compromise peut exploiter une
faille RCP.
Si, d'autre part, je le monte dans la DMZ, le risque de compromission des
sources (et surtout des outils dans le /home de l'admin) est encore plus
grand.
Pourquoi ne pas faire du "push" du LAN vers la DMZ, avec par exemple
"rsync over shh" ?
Les flux DMZ vers LAN, ça me fait toujours un peu peur, même si on ne
peut parfois pas les éviter. Une saine parnoïa, quoi ...
On Mon, 10 Nov 2003 10:43:33 +0000, Xavier HUMBERT wrote:
Il y a un risque de compromission du LAN, dans ce cas, si une machine de la DMZ est compromise ET que cette machine compromise peut exploiter une faille RCP.
Si, d'autre part, je le monte dans la DMZ, le risque de compromission des sources (et surtout des outils dans le /home de l'admin) est encore plus grand.
Pourquoi ne pas faire du "push" du LAN vers la DMZ, avec par exemple "rsync over shh" ?
Les flux DMZ vers LAN, ça me fait toujours un peu peur, même si on ne peut parfois pas les éviter. Une saine parnoïa, quoi ...
