Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:sql-01 [23/10/2025 17:28] – [PostgreSQL] LibertAdmintech:sql-01 [23/10/2025 17:36] (Version actuelle) – [Routage et filtrage avec iptables] LibertAdmin
Ligne 79: Ligne 79:
 Le paquet ''iptables-persistent'' doit avoir été installé pour conserver les modifications du pare-feu entre chaque redémarrage. Le paquet ''iptables-persistent'' doit avoir été installé pour conserver les modifications du pare-feu entre chaque redémarrage.
  
-Il est bien sûr extrêmement important de sécuriser SSH : interdire le login root avec mot de passe, utiliser de bons algorithmes de chiffrement, changer le port, n'autoriser qu'une IP distante (ou mieux, ne rien autoriser depuis internet et utiliser un VPN) et mettre en place un faux serveur SSH pour que les attaquants perdent leur temps à essayer de se connecter, sans vous faire perdre le vôtre (et ajouter un Fail2Ban évidemment). La recette reste secrète, désolé ! ;-) +Pour IPv4, nous n'avons besoin d'aucune règle, cette machine est uniquement accessible au réseau local.
- +
-Cela dit, pour information une configuration similaire à la suivante est en place : +
- +
-<code bash> +
-# /etc/ssh/sshd_config.d/liberta.conf +
- +
-# Common parameters: +
-Port <un_port> +
-Port <un_autre_port> +
-AcceptEnv LANG LC_*  +
-ChallengeResponseAuthentication no  +
-KbdInteractiveAuthentication no +
-PrintMotd no +
-PasswordAuthentication no +
-Subsystem sftp /usr/lib/openssh/sftp-server +
-UsePAM yes  +
-X11Forwarding no +
- +
-# Port <un_port> configuration for IPv4/IPv6: +
-Match Address="<adresse_ipv4_de_confiance>,127.0.0.0/8,<adresse_ipv6_de_confiance>,fd00::/8" LocalPort=<un_port> +
-    AllowUsers root <utilisateurice_de_confiance> +
- +
-# Port <un_autre_port> configuration for IPv4/IPv6: +
-Match LocalPort=<un_autre_port> +
-    AllowUsers <utilisateurice_de_confiance> +
-</code> +
- +
-Pour IPv4, l'hyperviseur s'occupe déjà de tout router et rediriger, nous n'avons besoin d'aucune règle.+
  
 En revanche, nous disposons d'une IPv6 routable et exposée sur internet ! Nous devons donc avoir des règles de pare-feu actives. Dans ''/etc/iptables-persistent/rules.v6'' : En revanche, nous disposons d'une IPv6 routable et exposée sur internet ! Nous devons donc avoir des règles de pare-feu actives. Dans ''/etc/iptables-persistent/rules.v6'' :
Ligne 729: Ligne 701:
 ==== Sauvegardes des bases ==== ==== Sauvegardes des bases ====
  
 +La plus critique et souvent la plus négligée des tâches est souvent cette partie, étrangement (Liberta en fait aussi partie et a déjà eu quelques sueurs froides par le passé).
 +
 +Nous utiliserons les outils standards fournis par MariaDB et PostgreSQL, bien plus fiables et adaptés que si nous avions compté sur nos partages ZFS (entre les contraintes de NFS et la multitude de paramètres de ZFS pour s'adapter au stockage de bases de données, nous avons choisi le plus simple et le plus fiable).
 +
 +Ici les prénoms ont été modifiés pour préserver leur confidentialité :)
 === MySQL/MariaDB === === MySQL/MariaDB ===
  
tech/sql-01.1761233305.txt.gz · Dernière modification : de LibertAdmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International


  • Afficher la page
  • Anciennes révisions
  • Liens de retour
  • Exporter en PDF
  • Exportation ODT
  • Import Word Document
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site