firewall et sécurité

reveal/sysadmin.html

@@ -588,96 +588,103 @@ bantime  = 3600
 </section>
 
 <section>
-<h2>Monitoring</h2>
+  <h2>Monitoring</h2>
-<p>
+  <ul>
-<ul>
+    <li>statistiques
-<li>statistiques
+      <ul>
-<ul>
+        <li>nombreuses métriques locales</li>
-<li>nombreuses métriques locales</li>
+        <li>Munin, Collectd/Grafana, Beats/ELK</li>
-<li>Munin, Collectd/Grafana, Beats/ELK</li>
+      </ul>
-</ul>
+    </li>
-</li>
+    <li>alerting
-<li>alerting
+      <ul>
-<ul>
+        <li>surveillance de services SMTP, POP3, HTTP, NNTP, PING, etc. + ressources (charge processeur, utilisation des disques, etc.)</li>
-<li>surveillance de services SMTP, POP3, HTTP, NNTP, PING, etc. + ressources (charge processeur, utilisation des disques, etc.)</li>
+        <li>Nagios, Icinga, Zabbix, Monit</li>
-<li>Nagios, Icinga, Zabbix, Monit</li>
+      </ul>
-</ul>
+    </li>
-</li>
+  </ul>
 </section>
 
 <section>
+  <section>
+    <h2>Sécurité</h2>
+  </section>
 	<section>
-<h2>Sécurité</h2>
+    <h3>Sécurité physique</h3>
-<p>
+    <ul>
-<ul>
+      <li>protection du BIOS par mot de passe</li>
-<li>sécurité physique
+      <li>protection du boot loader</li>
-<ul>
+      <li>empêcher le reboot</li>
-<li> protection du BIOS par mot de passe</li>
+      <li>clear_console</li>
-<li> protection du boot loader</li>
+      <li>reporting</li>
-<li> empêcher le reboot</li>
+      <li>fermeture de session en cas d'inactivité</li>
-<li> clear_console</li>
+    </ul>
-<li> reporting</li>
-</ul>
-</li>
-</ul>
 	</section>
 	<section>
-<h2>Sécurité (suite)</h2>
+    <h3>Sécurité logicielle</h3>
-<ul>
+    <ul>
-<li>
+      <li>gestion des mots de passe</li>
-sécurité logicielle
+      <li>configuration sécurisée</li>
-<ul>
+      <li>veille</li>
-<li> gestion des mots de passe</li>
+      <li>mises à jour de sécurité</li>
-<li> configuration sécurisée</li>
+      <li>sauvegardes</li>
-<li> veille</li>
+      <li>firewall</li>
-<li> mises à jour de sécurité</li>
+    </ul>
-<li> sauvegardes</li>
-<li> firewall</li>
-</ul>
-</li>
 	</section>
 </section>
 
 <section>
 	<section>
 <h2>Réseau / iptables</h2>
-<p>Rappels réseau</p>
+  </section>
-<ul>
+  <section>
-<li>Couche physique : Ethernet (adresses MAC)</li>
+    <h3>Rappels réseau</h3>
-<li>Couche réseau : IPv4 (adressage, HostID, NetID, Masque, Brodcast, protocole ARP, ICMP)</li>
+    <ul>
-<li>Couche transport : TCP, UDP (notion de ports, mode connecté)</li>
+      <li>Couche physique : Ethernet (adresses MAC)</li>
-<li>Couche application : HTTP, SMTP, DNS, etc.</li>
+      <li>Couche réseau : IPv4 (adressage, HostID, NetID, Masque, Brodcast, protocole ARP, ICMP)</li>
-</ul>
+      <li>Couche transport : TCP, UDP (notion de ports, mode connecté)</li>
+      <li>Couche application : HTTP, SMTP, DNS, etc.</li>
+    </ul>
 	</section>
+
 	<section>
-<pre>
+    <h3>Afficher les règles du firewall</h3>
-<code>
+    <pre>
+    <code data-trim class="hljs nohighlight">
 # iptables -L -t filter -v
-</code>
+    </code>
-</pre>
+    </pre>
-<p>
-<ul>
-<li>INPUT: les chaînes appliquées sur INPUT concerneront tout paquet à destination de localhost</li>
-<li>OUTPUT:  les chaînes appliquées sur OUTPUT concerneront tout paquet en provenance de localhost</li>
-<li>FORWARD: le paquet n'est pas destiné à la machine locale, mais il doit être relayé sur une autre interface.
-Les chaînes de FORWARD ne concerneront pas les paquets à destination ou venant de la machine locale.</li>
-</ul>
-</p>
 	</section>
+
 	<section>
-<h2>Réseau / iptables (suite)</h2>
+    <ul>
-<p>Exemple de règles :<p>
+    <li>INPUT: les chaînes appliquées sur INPUT concerneront tout paquet à destination de localhost</li>
-<pre>
+    <li>OUTPUT:  les chaînes appliquées sur OUTPUT concerneront tout paquet en provenance de localhost</li>
+    <li>FORWARD: le paquet n'est pas destiné à la machine locale, mais il doit être relayé sur une autre interface.
+    Les chaînes de FORWARD ne concerneront pas les paquets à destination ou venant de la machine locale.</li>
+    </ul>
+	</section>
+
+	<section>
+  <h3>Exemple de règles :</h3>
+  <pre>
+  <code data-trim class="hljs nohighlight">
 # iptables -A INPUT -i eth1 -j ACCEPT
-# iptables -A INPUT -p tcp --sport 143 --dport 1024:65535 -s 31.170.8.33 -m state --state ESTABLISHED,RELATED -j ACCEPT
+  </code>
-<pre>
+
-<p>Etude de minifirewall</p>
+  <code data-trim class="hljs nohighlight">
-<code>
+# iptables -A INPUT -p tcp --sport 143 --dport 1024:65535 \
-# cd /etc/default && wget "https://forge.evolix.org/projects/minifirewall/repository/revisions/master/raw/minifirewall.conf" -O minifirewall
+    -s 31.170.8.33 -m state --state ESTABLISHED,RELATED -j ACCEPT
-# cd /etc/init.d && wget "https://forge.evolix.org/projects/minifirewall/repository/revisions/master/raw/minifirewall"
+  </code>
-# chmod 700 /etc/init.d/minifirewall
+  </pre>
-# chmod 600 /etc/default/minifirewall
+</section>
-</code>
+
+<section>
+  <h3>Analyse de minifirewall</h3>
+  <ul>
+    <li>Dépôt du projet :<a href="https://forge.evolix.org/projects/minifirewall/repository/">forge.evolix.org/projects/minifirewall/repository/</a></li>
+    <li>Instruction d'installation : <a href="https://forge.evolix.org/projects/minifirewall/wiki">forge.evolix.org/projects/minifirewall/wiki</a></li>
+  </ul>
 	</section>
 </section>