Blog GL2i

Outils pour utilisateurs

Outils du site

Piste : leave-gafam
fr:security:reaction

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:security:reaction [2024/08/17 21:53] – [Architecture] lonclegrfr:security:reaction [2025/08/03 13:24] (Version actuelle) lonclegr
Ligne 15: Ligne 15:
 J'ai configuré [[fr:security:iptables|iptables]] sur mon serveur de la façon la plus restrictive que je connaisse d'un point de vue réseau: uniquement deux IP publiques ont accès en SSH au serveur. Cela fonctionne très bien. Mais avec ce design il y a un cas limite. En effet, mes FAI ((Fournisseurs d'Accès Internet)) me fournissent des IP dynamiques. Elles peuvent donc changer sans préavis même si cela n'est pas arrivé une seule fois en 3 ans (( ne jamais dire jamais )). J'ai configuré [[fr:security:iptables|iptables]] sur mon serveur de la façon la plus restrictive que je connaisse d'un point de vue réseau: uniquement deux IP publiques ont accès en SSH au serveur. Cela fonctionne très bien. Mais avec ce design il y a un cas limite. En effet, mes FAI ((Fournisseurs d'Accès Internet)) me fournissent des IP dynamiques. Elles peuvent donc changer sans préavis même si cela n'est pas arrivé une seule fois en 3 ans (( ne jamais dire jamais )).
 J'ai accepté ce risque en gardant en tête ces deux idées: J'ai accepté ce risque en gardant en tête ces deux idées:
-  - Comme mes IPs ne changent pas très souvent et que j'utilise deux FAI différents alors la probabilité que les deux changent en même temps est faible. Je me disais que si une IP changeait alors il me resterai la deuxième pour remettre à jour les restrictions d'accès.+  - Comme mes IPs ne changent pas très souvent et que j'utilise deux FAI différents alors la probabilité que les deux changent en même temps est faible. Je me disais que si une IP changeait alors il me resterait la deuxième pour remettre à jour les restrictions d'accès.
   - Dans le pire scénario où les deux IP changeraient en même temps, je pourrais toujours utiliser la console d'administration d'urgence de mon hébergeur pour accéder à une console root de mon serveur et changer les restrictions d'accès d'[[fr:security:iptables|iptables]].   - Dans le pire scénario où les deux IP changeraient en même temps, je pourrais toujours utiliser la console d'administration d'urgence de mon hébergeur pour accéder à une console root de mon serveur et changer les restrictions d'accès d'[[fr:security:iptables|iptables]].
  
Ligne 29: Ligne 29:
 Dans cette nouvelle mouture, j'ai choisi d'introduire un [[https://fr.wikipedia.org/wiki/Bastion_(informatique)|serveur bastion]] dédié à SSH et qui serait protégé par [[https://blog.ppom.me/fr-reaction/|reaction]]. Dans cette nouvelle mouture, j'ai choisi d'introduire un [[https://fr.wikipedia.org/wiki/Bastion_(informatique)|serveur bastion]] dédié à SSH et qui serait protégé par [[https://blog.ppom.me/fr-reaction/|reaction]].
  
-{{ :en:security:architecture-one-server-access-with-bastion.png?direct&600 |Architecture avec un serveur bastion SSH}}+{{ :fr:security:architecture-one-server-access-with-bastion-fr.png?direct&600 |Architecture avec un serveur bastion SSH}}
 ===== Pourquoi pas Fail2ban ? ===== ===== Pourquoi pas Fail2ban ? =====
  
Ligne 45: Ligne 45:
 J'utilise l'outil depuis quelques semaines et j'en suis très satisfait. J'utilise l'outil depuis quelques semaines et j'en suis très satisfait.
 Prenez quelques minutes pour le tester vous-même 8-). Prenez quelques minutes pour le tester vous-même 8-).
-==== Usage ====+==== Utilisation ====
  
 Le service est actif depuis 2 semaines et 2 jours et l'utilisation mémoire est très basse. Le service est actif depuis 2 semaines et 2 jours et l'utilisation mémoire est très basse.
Ligne 55: Ligne 55:
 Voici mon playbook ansible pour configurer reaction sur mon serveur. Ce n'est pas parfait mais cela peut permettre de tester facilement. Voici mon playbook ansible pour configurer reaction sur mon serveur. Ce n'est pas parfait mais cela peut permettre de tester facilement.
  
 +
 +:!: J'ai migré à reation v2 en août 2025, [[reaction-v2|je vous en parle ici]].
  
 <code yaml> <code yaml>
fr/security/reaction.1723946036.txt.gz · Dernière modification : de lonclegr