Projet

Général

Profil

Actions
Copier le lien

Demande #4823

fermé

Re-évaluer START_FIREHOL=YES

Ajouté par Christian P. Momon il y a environ 4 ans. Mis à jour il y a presque 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
François Poulain
Catégorie:
Hypervision
Version cible:
Chapril - Sprint 2021 janvier
Début:
20/01/2020
Echéance:
% réalisé:

0%

Temps estimé:

Description

Dans la procédure d'installation d'une vm, dans la page https://admin.chapril.org/doku.php?id=admin:procedures:configuration-firewall-guest
on peut lire :

 Une fois qu'on est sûr de conserver le firewall, on peut activer le firewall via /etc/default/firehol :

/etc/default/firehol

    START_FIREHOL=YES

Ainsi le firewall est actif dès le démarrage du démon.
Sans cette dernière étape, votre serveur redevient à poil dès le prochain redémarrage !

Constat que cette configuration a été oubliée pour plusieurs vm récentes :

cpm@ocmstar (15:30:29) ~/Dossiers/April/Chapril/Adminsys 38 > ./do.sh "grep START_FIREHOL /etc/default/firehol" |grep -v "#" 
===== valise =====
START_FIREHOL=NO
===== xmpp =====
START_FIREHOL=NO
===== drop =====
START_FIREHOL=NO
===== allo =====
START_FIREHOL=NO
===== biliz =====
START_FIREHOL=NO
===== catom =====
START_FIREHOL=NO
===== grof =====
START_FIREHOL=NO

Par contre, cela ne semble pas gêner le démarrage automatique de firehol :

=(^-^)=root@biliz:~# systemctl status firehol
● firehol.service - Firehol stateful packet filtering firewall for humans
   Loaded: loaded (/lib/systemd/system/firehol.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2020-10-31 15:37:02 CET; 1h 35min ago
     Docs: man:firehol(1)
           man:firehol.conf(5)
  Process: 434 ExecStart=/usr/sbin/firehol start (code=exited, status=0/SUCCESS)
 Main PID: 434 (code=exited, status=0/SUCCESS)
[…]
=(^-^)=root@biliz:~# iptables-legacy -L |head
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
in_dhcp    all  --  anywhere             anywhere            
in_internal_trafic  all  --  192.168.1.0/24       biliz               
in_internal_trafic  all  --  192.168.1.0/24       biliz               
in_external_trafic  all  --  anywhere             biliz               
in_external_trafic  all  --  anywhere             biliz               
DROP       tcp  --  anywhere             anywhere             tcp flags:FIN,ACK/FIN,ACK ctstate INVALID,NEW
DROP       tcp  --  anywhere             anywhere             tcp flags:RST,ACK/RST,ACK ctstate INVALID,NEW
[…]

Questions :
  • pourquoi START_FIREHOL n'est-il plus pris en compte ?
  • faut-il retirer cette étape de la doc d'installation ?
Actions
Copier le lien

Formats disponibles : Atom PDF