Le 14 févr. 06 à 20:00, Bruno Bonfils a écrit :
Nous ne travaillons pas dans le meme genre de reseau. Dans ce cas
precis, c'est un serveur unique qui est hoste. Donc je ne vois pas en
quoi il y a besoin d'une DMZ, tout ca, cf plus loin mon avis sur le
filtrage
Il est hébergé où ? Tout seul sur internet chez un hosteur ? Ddans ce
cas, tu mets un ipfilter & tu laisse des services plus ou moins
douteux mais qui peuvent te faciliter la vie. Même ssh, je le laisse
pas en accès ouvert pour tout le monde.
Tu viens de contruire une maison, il y a 10 portes d'entree, parce que
tu as pris l'option FULL ! (ahah je me venge) et la, tu te rends
J'installe les binaires, mais je laisse pas tout actif quand même. Un
serveur racké sans ecran avec dtlogin lancé, ça m'énerve autant que
toi. Je prends le full parce que j'ai plus intéressant à faire que
sélectionner package par package. Et au prix ou je suis payé, ça
serait de toute façon du vol pour mon patron. Hein quoi ? Qui a déjà
que c'était déjà du vol de toute façon ? Attends un peu que je
t'attrape toi.
compte que tu n'en veux pas autant, alors tu vas construire un mur
devant ! Tout ca pour dire, que pour moi, et pour la plupart des gens
en securite, un firewall c'est une protection supplementaire, pas
forcement necessaire d'ailleurs. Si tu veux fermer un port (fitrer),
Ben non, y a plein de service pratique qui me regarde moi, mais pas
le client & sûrement pas la concurrence. Je vais pas me priver de le
lancer quand même !
ben plutot que de l'ouvrir et de le filtrer; tu le fermes; point.
(je parle bien entendu de filtrage sur une machine simple, pas sur des
multi interfaces tout ca)
Et ensuite tu passe tout temps a regarder dans milles fichier de
conf, qui de toute façon ne sont pas à jour parce qu'une IP d'un
partenaire a changé, être sur que tout les patchs sont jour ? Je
sabre tout ça, je sécurise un peu la machine, je retire les trucs qui
riment vraiment à rien (pas de xfs, de serveur X activé par exemple).
Le reste je le confie aux bons soins du firewall, qui me donne un
point d'accès unique & tranquille. Sur celui ci par contre,
j'applique la même règle que toi : tout fermé & j'ouvre en fonction
des besoins. Mais comme ça je suis tranquille si un jour d'humeur
masochiste j'ai lancé smc & que j'ai oublié de l'arrêter. De toute
façon, il est bloqué qu'il soit actif ou pas.
ssh n'est pas un service indispensable, ce n'est que le plus
quand la machine est 100km de toi, un peu.
Ben non, un coup de ilom, un modem & vive le port console. Mais c'est
pas vrai, le même au fond de la classe qui prétend maintenant que je
fais preuve de mauvaise foi. Mais il m'en veut !
Au moins nous sommes d'accord sur ca :p Par contre je pige, dans les
docs Sun parle de la console Web de SMC, avec des jolis screenshots et
tout, et quand je veux le démarrer il me dit qu'il y a pas de services
enregistrés. Après une recherche sur le net, il semblerait que la
console WEB de SMC soit plus ou moins un vague vaporware; enfin
qu'elle ne serait pas gratuite.
Bon ça me rassure, je croyais être fou, je vois que je suis pas le
seul dans le cas.
Mais à part ça, un truc qui écoute sans rien faire, je m'en fous
totalement. Si j'ai la chance de travailler sur une machine qui ne
provient pas tout droit de la grande galerie de l'évolution, ça ne
changera rien.
Pas moi; pas sur une machine public du moins.
Si t'as mis un firewall, si justement. Et entre un solution au cas
par cas & la solution globale, je commence toujours par regarder la
solution globale. C'est uniquement pour le reste que je raffine.
--
Never forget to KISS
Keep It Simple Stupid.
_______________________________________________
Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures
Solaris_fr@x86.sun.com
http://x86.sun.com/mailman/listinfo/solaris_fr
