Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/11/14 11:04] – [Création d'un firewall basique] kyane | technique:infrastructure:machines_virtuelles:reseau_ssh [2021/11/22 22:49] – ↷ Liens modifiés en raison d'un déplacement. qduchemi | ||
---|---|---|---|
Ligne 65: | Ligne 65: | ||
Sur Alpine, il faudra [activer les scripts `local.d·`](https:// | Sur Alpine, il faudra [activer les scripts `local.d·`](https:// | ||
- | < | + | < |
On exécute le script : | On exécute le script : | ||
Ligne 82: | Ligne 82: | ||
Aujourd' | Aujourd' | ||
- | ## Création | + | < |
- | + | ||
- | ==== Firewall ==== | + | |
- | + | ||
- | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | + | |
- | Pour cela on utilise | + | |
- | + | ||
- | On commence par l' | + | |
- | + | ||
- | ```bash | + | |
- | apt-get install ufw | + | |
- | ``` | + | |
- | + | ||
- | Sur la plupart des machines, l' | + | |
- | + | ||
- | Les règles de base seront donc : | + | |
- | + | ||
- | ```bash | + | |
- | # Autorisation du SSH | + | |
- | ufw allow in 22 | + | |
- | # Autorisation de HTTP/S | + | |
- | ufw allow in 80 | + | |
- | ufw allow in 443 | + | |
- | # On ouvre la socket Docker sur le réseau | + | |
- | ufw allow in 2376 | + | |
- | ``` | + | |
- | + | ||
- | Enfin on définit une politique d' | + | |
- | + | ||
- | ```bash | + | |
- | ufw default deny | + | |
- | ufw default allow outgoing | + | |
- | ufw enable | + | |
- | ``` | + | |
La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. | La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. | ||
- | |||
- | **Il est très important de noter que Docker passe au travers des règles firewall configurées via `ufw`. Tout les services Docker qui écoutent directement sur un port de la machine (Traefik par exemple) sont donc automatiquement exposés sur Internet, sans protection du firewall.** |