[gull] systemd - script de demarrage/arret - aide [Resolu]

Daniel Cordey dc at pxcluster.com
Mon Aug 20 11:42:25 CEST 2018 


On 19. 08. 18 22:28, Frederic Dumas wrote:
>
> Quand on a une application qui tourne 24/24 en écoute de port et prend du trafic entrant inconnu, on se dit que plus on blinde la sécurité, mieux ça vaut. Faute d’avoir lu suffisamment à propos de ces options, je demande conseille ici. Quelles seraient les options de systemd pertinentes à activer, pour réduire les risques de compromission du système, en cas d’exploitation d’une faille applicative ? La question pourrait concerner aussi d’autres services lancés en tache de fond et frontalement accessibles depuis l’Internet: systemd peut-il aider à renforcer leur sécurité ? Je connais et utilise évidemment fail2ban.
>

Excellent article, Merci !

Comme le répète très souvent Marc Schaefer (avec raison !), la sécurité 
est un concept, pas un produit. Systemd est un mécanisme qui permet de 
démarrer des processus lorsque l'on démarre le système. C'est donc du 
côté des différents produits et outils disponibles qu'il faut se 
tourner. Pour fermer les ports, on peut faire appel a un firewall du 
gene ufw ou autre (perso j'utilise un script "home-made" de règles 
iptables). On peut aussi utiliser la technologie du port-knocking, ce 
qui implique que l'on doit avoir un programme qui tourne en arrière-plan 
pour cette fonctionnalité; mais on peut aussi avoir un script basé sur 
des règles iptables pour ça (quoique très vite illisible). Ensuite, on 
peut décider d'avoir un programme de scan du système... ainsi que des 
scripts de monitoring des logs, etc.

Les solutions sont multiples et impliques d'utiliser de multiples 
solutions et stratégies. On peut bien sûr en configurer un certain 
nombre avec systemd (pour les firewall par exemple), alosr que d'autres 
seront en daemon ou lancés par le cron... A voir selon l'outil. Mais il 
n'y a pas de solution unique, d'autant que cela évolue au gré des 
nouvelles attaques que l'on découvre en permanence.

fail2ban est un bon point de départ de protection de certains types 
d'attaques des applications. Mais certaines attaques de bas niveau sont 
gérés plus efficacement avec de simples règles iptables, couplées à 
"ipset" pour bannir les adresses. Aussi, dans certains cas il est 
préférables de "ralentir" un pirate que de simplement le rejeté...

dc

More information about the gull mailing list