Bonsoir, Sun Wukong (ML Ubuntu-fr) a écrit : > Le 05.12.2006 19:28,, le perspicace Christophe Meessen s'exprimait en > ces termes: > >> Bonsoir, >> >> je suis en train d'installer un ordinateur avec plusieurs interfaces >> réseau en vue de l'utiliser comme firewall. >> >> Q1 : J'ai commencé à installer edgy-server, mais on m'a conseillé >> d'installer plutôt dapper-server à cause du LTS. Est-ce une erreur >> d'installer edgy-server ? Serais-je par exemple obligé de migrer vers >> une versions suivante dans un an ? >> > Logiciel Libre = Liberté. Tu es Libre, Max ;-) > Si ton firewall est destiné à protéger une entreprise, alors oui, > peut-être que Dapper est plus pérenne. Mais dans un cas comme dans > l'autre, si une faille de sécurité est détectée, elle sera corrigé dans > les mêmes délais. Dapper Server bénéficie d'un service de 5 ans (si je > ne me trompe), Edgy Eft est en quelque sorte une version de transition > entre deux LTS et sera supportée moins longtemps. > Edgy sera supportée 18 mois (comme toutes les versions intermédiaires d'un cycle).
> Est-ce que tu devras alors migrer dans un an ? NON. En informatique > professionnelle, on ne migre que pour bénéficier de nouvelles fonctions > ou de mises à jour correctives. Si tu installes Edgy Eft et qu'on > découvre une faille de sécurité dans le firewall iptable dans 10 ans, > ben à ce moment là, tu pourras décider si oui ou non tu dois migrer. > > Ce n'est que dans le monde M$ qu'on pousse les usagers à prendre la > nouvelle version, lorsque l'on reçoit un fichier.doc de nouvelle > génération que notre version antérieure ne peut pas lire. Et tout ce qui > s'en suit... > > >> Q2: L'installation d'edgy-server est laborieuse et je regrette >> l'interface graphique dont le copier coller par exemple ou etherreal. >> tcpdump c'est un peu brut de décoffrage. Un compromis est-il >> envisageable ? >> > Euh... Je ne comprend pas ta question. Je pense comprendre que Xorg > n'est pas installé par défaut sous Edgy Eft Server ? Rien ne n'empêche > de l'installer malgré tout. Pour l'administration, tu passes dans le > runlevel qui va bien et qui démarre Xorg, et pour le reste, dans le > runlevel (qui va bien aussi) qui ne lance pas Xorg. > Sun, je t'avais déjà corrigé ;-). L'utilisation de X ou non n'est pas régie dans les dérivées de Debian (et dans Debian) par le runlevel. C'est lors de la configuration du gestionnaire de connexion que tu dis s'il doit ou non se lancer. Dans le cas d'un firewall, on peut imaginer de mettre un gestionnaire de fenêtre très léger comme fluxbox. En effet, la version server n'installe pas X, ni de gestionnaire de fenêtre. C'est une bonne base pour un firewall plutôt que de partir d'une distribution avec trop de choses que l'on va enlever. Un firewall, tu n'as pas besoin de grand chose. Plutôt que de t'embêter à installer des logiciels inutiles sur la machine, je te propose plutôt de conserver l'installation minimale et d'administrer ton firewall en ssh depuis un autre poste. (donc, install de base + apt-get install openssh-server shorewall, et c'est tout ;-)). >> Q3: je voudrais utiliser shorewall, mais je voudrais être sûr qu'il >> est démarré avant d'activer l'interface internet. Avec mon fw actuel >> j'ai eu une attaque qui consistait à planter la machine puis envoyer >> des trames directement après avant que le soft de firewall a eu le >> temps de s'activer. J'ai vu qu'il est possible de définir des scripts >> à lancer avant l'initialisation de certains interfaces. Cela pourrait >> faire l'affaire, mais je voudrais aussi que les règles iptables >> soient par défaut (a priori) le rejet total de messages plutôt que la >> règle actuelle qui est de tout laisser passer. >> > Ça sort de mes compétences, tout ça :-) Mais tu ne poses pas de question. > shorewall est très souple et fait tout ça très bien (et c'est largement documenté sur le net). >> Q4: sur mandrake squid était installé par défaut. Là je passe a >> ubuntu et je me demande si squid est bien utile ? >> > Ben il est utile si tu en as besoin. Facile la réponse :-) Et puisque la > babasse est dans la DMZ, mieux vaut supprimer les services inutiles. > > >> Q5: je souhaiterais configurer certains services en chrooted tel que >> dhcpd, named, ntpd et éventuellement squid. Il y aurait beaucoup de >> choses à changer ? >> > Joker ! > De base, seul postfix est chrooté, mais tu peux adapter les installations pour les faire tourner dans un chroot. Il faut traiter au cas par cas, ce n'est pas énorme comme travail, mais ça demande un peu de travail laborieux. > Je comprend, ô combien ! qu'on utilise Ubuntu pour toutes ses qualités > :-) Mais pour information, il existe une (des ?) distributions minimales > destinées uniquement à configurer des firewalls. > Parce que Ubuntu c'est la meilleure voyons Sun :-). Etant admin je dirai que personnellement, j'ai la même approche : j'essaye d'utiliser au maximum partout le même outil : j'ai moins de choses à suivre (une seule distribution), un seul outil de paquetage à apprendre, etc. Sinon, IPCop est une excellente distribution spécialisée dans les firewall. En espérant t'avoir aidé. Lionel -- ubuntu-fr mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
