monitoring + sécurité + iptables
This commit is contained in:
parent
959bb0339e
commit
c3c774d2e6
|
@ -578,29 +578,63 @@ bantime = 3600
|
||||||
|
|
||||||
<section>
|
<section>
|
||||||
<h2>Monitoring</h2>
|
<h2>Monitoring</h2>
|
||||||
|
- statistiques
|
||||||
|
* nombreuses métriques locales
|
||||||
|
* Munin, Collectd/Grafana, Beats/ELK
|
||||||
|
|
||||||
Il existe de nombreux programmes évolués permettant de générer des courbes et statistiques.
|
- alerting
|
||||||
Citons Nagios, Munin, etc.
|
* surveillance de services SMTP, POP3, HTTP, NNTP, PING, etc. + ressources (charge processeur, utilisation des disques, etc.)
|
||||||
Le plus connu d'entre eux est certainement Nagios qui permet de surveiller de nombreux services (SMTP, POP3, HTTP, NNTP, PING, etc.) mais également les ressources (charge processeur, utilisation des disques, etc.).
|
* Nagios, Icinga, Zabbix, Monit
|
||||||
La mise en place de Nagios (ou d'un équivalent) pour un nombre de serveurs dépassant la dizaine est fortement conseillée.
|
|
||||||
</section>
|
</section>
|
||||||
|
|
||||||
<section>
|
<section>
|
||||||
|
|
||||||
<h2>Sécurité</h2>
|
<h2>Sécurité</h2>
|
||||||
|
sécurité physique
|
||||||
|
- protection du BIOS par mot de passe
|
||||||
|
- protection du boot loader
|
||||||
|
- empêcher le reboot
|
||||||
|
- clear_console
|
||||||
|
- reporting
|
||||||
|
|
||||||
|
sécurité logicielle
|
||||||
|
- gestion des mots de passe
|
||||||
|
- configuration sécurisée
|
||||||
|
- veille
|
||||||
|
- mises à jour de sécurité
|
||||||
|
- sauvegardes
|
||||||
|
- firewall
|
||||||
</section>
|
</section>
|
||||||
|
|
||||||
<section>
|
<section>
|
||||||
<h2>réseau / iptables</h2>
|
<h2>réseau / iptables</h2>
|
||||||
|
|
||||||
Couche physique : Ethernet
|
Rappels réseau
|
||||||
(adresses MAC)
|
|
||||||
Couche réseau : IPv4
|
Couche physique : Ethernet (adresses MAC)
|
||||||
(adressage, HostID, NetID, Masque,
|
Couche réseau : IPv4 (adressage, HostID, NetID, Masque, Brodcast, protocole ARP, ICMP)
|
||||||
Brodcast, protocole ARP, ICMP)
|
Couche transport : TCP, UDP (notion de ports, mode connecté)
|
||||||
Couche transport : TCP, UDP
|
|
||||||
(notion de ports, mode connecté)
|
|
||||||
Couche application : HTTP, SMTP, DNS, etc.
|
Couche application : HTTP, SMTP, DNS, etc.
|
||||||
|
|
||||||
|
# iptables -L -t filter -v
|
||||||
|
|
||||||
|
• INPUT: les chaînes appliquées sur INPUT concerneront tout paquet à destination de localhost
|
||||||
|
• OUTPUT: les chaînes appliquées sur OUTPUT concerneront tout paquet en provenance de localhost
|
||||||
|
• FORWARD: le paquet n'est pas destiné à la machine locale, mais il doit être relayé sur une autre interface.
|
||||||
|
Les chaînes de FORWARD ne concerneront pas les paquets à destination ou venant de la machine locale.
|
||||||
|
|
||||||
|
Exemple de règles :
|
||||||
|
|
||||||
|
# iptables -A INPUT -i eth1 -j ACCEPT
|
||||||
|
# iptables -A INPUT -p tcp --sport 143 --dport 1024:65535 -s 31.170.8.33 -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||||
|
|
||||||
|
minifirewall
|
||||||
|
|
||||||
|
# cd /etc/default && wget "https://forge.evolix.org/projects/minifirewall/repository/revisions/master/raw/minifirewall.conf" -O minifirewall
|
||||||
|
# cd /etc/init.d && wget "https://forge.evolix.org/projects/minifirewall/repository/revisions/master/raw/minifirewall"
|
||||||
|
# chmod 700 /etc/init.d/minifirewall
|
||||||
|
# chmod 600 /etc/default/minifirewall
|
||||||
|
|
||||||
</section>
|
</section>
|
||||||
|
|
||||||
<section>
|
<section>
|
||||||
|
|
Loading…
Reference in a new issue