technique:infrastructure:machines_virtuelles:reseau_ssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/02/14 22:06]
qduchemi ↷ Page déplacée de technique:infrastructure:vm:reseau_ssh à technique:infrastructure:machines_virtuelles:reseau_ssh
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/09/16 11:24] (Version actuelle)
Ligne 87: Ligne 87:
 ``` ```
 GRUB_CMDLINE_LINUX_DEFAULT="quiet cgroup_enable=memory swapaccount=1" GRUB_CMDLINE_LINUX_DEFAULT="quiet cgroup_enable=memory swapaccount=1"
 +```
 +
 +==== Firewall ====
 +
 +Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. Cela permet par exemple de n'autoriser les accès aux sondes de monitoring que par le serveur de monitoring.  
 +Pour cela on utilise [ufw](https://doc.ubuntu-fr.org/ufw) qui est un firewall assez simple à utiliser. 
 +
 +On commence par l'installer:
 +```
 +apt-get install ufw
 +```
 +
 +On peut ensuite définir des règles d'accès. Par exemple ici des règles de bases que l'on a sur toutes les machines :
 +```
 +# Autorisation du SSH
 +ufw allow in 22
 +# Autorisation de HTTP/S
 +ufw allow in 80
 +ufw allow in 443
 +# On ouvre la socket Docker sur le réseau
 +ufw allow in 2376
 +# Autorisation d'accès au serveur de monitoring sur le Prometheus node-exporter
 +ufw allow proto tcp from 91.224.148.61 to any port 9100
 +ufw allow proto tcp from 2a03:7220:8080:3d00::1 to any port 9100
 +```
 +
 +Enfin on définie une politique d'accès par défaut (fermé en entrée, ouvert en sortie) et on active ufw.
 +```
 +ufw default deny
 +ufw default allow outgoing
 +ufw enable
 ``` ```
  • technique/infrastructure/machines_virtuelles/reseau_ssh.1581714370.txt.gz
  • de qduchemi