Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tech:sql-01 [23/10/2025 17:32] – [Sauvegardes des bases] LibertAdmin
+++ tech:sql-01 [23/10/2025 17:36] (Version actuelle) – [Routage et filtrage avec iptables] LibertAdmin
@@ Ligne 79: / Ligne 79: @@
 Le paquet ''iptables-persistent'' doit avoir été installé pour conserver les modifications du pare-feu entre chaque redémarrage.
-Il est bien sûr extrêmement important de sécuriser SSH : interdire le login root avec mot de passe, utiliser de bons algorithmes de chiffrement, changer le port, n'autoriser qu'une IP distante (ou mieux, ne rien autoriser depuis internet et utiliser un VPN) et mettre en place un faux serveur SSH pour que les attaquants perdent leur temps à essayer de se connecter, sans vous faire perdre le vôtre (et ajouter un Fail2Ban évidemment). La recette reste secrète, désolé ! ;-)
+Pour IPv4, nous n'avons besoin d'aucune règle, cette machine est uniquement accessible au réseau local.
-Cela dit, pour information une configuration similaire à la suivante est en place :
-<code bash>
-# /etc/ssh/sshd_config.d/liberta.conf
-# Common parameters:
-Port <un_port>
-Port <un_autre_port>
-AcceptEnv LANG LC_*
-ChallengeResponseAuthentication no
-KbdInteractiveAuthentication no
-PrintMotd no
-PasswordAuthentication no
-Subsystem sftp /usr/lib/openssh/sftp-server
-UsePAM yes
-X11Forwarding no
-# Port <un_port> configuration for IPv4/IPv6:
-Match Address="<adresse_ipv4_de_confiance>,127.0.0.0/8,<adresse_ipv6_de_confiance>,fd00::/8" LocalPort=<un_port>
-    AllowUsers root <utilisateurice_de_confiance>
-# Port <un_autre_port> configuration for IPv4/IPv6:
-Match LocalPort=<un_autre_port>
-    AllowUsers <utilisateurice_de_confiance>
-</code>
-Pour IPv4, l'hyperviseur s'occupe déjà de tout router et rediriger, nous n'avons besoin d'aucune règle.
 En revanche, nous disposons d'une IPv6 routable et exposée sur internet ! Nous devons donc avoir des règles de pare-feu actives. Dans ''/etc/iptables-persistent/rules.v6'' :