Aller au contenu

Depuis

MS_Totor

Par MS_Totor
dans Corbeille

 Partager

Messages recommandés

MS_Totor Newbie

MS_Totor

Posté(e)
Posté(e)

mon besoin , très simple, j'ai blindé "un peu" les accès et sorties.

voici voilà la topographie généraliste pour ce test post produc:

-via iptables et un ids/ips limité aux flux https, http, ssh (port changé dans les services linux) et ftp

-via arptables pour n'accepter que les requêtes arp et route vers et venant de mon switch/routeur proprio à ma future implantation en serveur dédié et virer le reste des requêtes du réseau (anti spoof arp pour les servers du même sous-réseau géré par le même routeur)

A la base, tout accès externe autre que les ports servant pour ssh ou 80 est interdit sur le serveur en accès externe.

Tout accès en sortie du serveur, est limité au strict nécessaire, smtp, ntp, dns client et sortie apt-get pour tache de verif cron update & upgrade + maj flottantes pour des signatures ids/ips, antispam, et antivérole.

Tout autre accès au domaine principal et sites hébergés, https, imap, ftp, rsync, client ids etc...utiles à la gestion est autorisé via iptables et uniquement par tunnel ssh et clé.

Bref si j'arrive à séparer pour un même domaine et site joomla un accès web en http pour la consultation normale du site et interdire la consultation de dossiers sensibles en clair, et rediriger toute requête vers le dossier "sensible" vers du https en 443, c'est ok , car le port 443 sera autorisé uniquement via ssh pour accéder à ce repertoire, à mon "client lui même chrooté à son site".

C'est restrictif, mais de mon point de vue très basique en pleine assimilation de la chose, cela limite sérieusement les boulets sur les failles les plus connues qui reviennent et c'est rassurant pour le potentiel client et pour moi même dans un futur projet...

Voilà exactement ce que je souhaite faire :)

help c'est la presque dernière phase importante pour finaliser mon petit montage, le contrôle du tunneling possible externe à leurs domaines de gestions de domaines de mes clients pour du proxy et le filtrage adéquat est un autre débat à débattre joyeusement dans un autre sujet fort intéressant certes mais hors sujet...

bref tout accès autre que ssh vers le domaine ou 80 est drop

Merci bien

 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.