From 98e49cabfb8a5047bbef2b39276bc43e36778801 Mon Sep 17 00:00:00 2001 From: Disassembler Date: Sat, 9 Jan 2021 20:07:55 +0000 Subject: [PATCH] =?UTF-8?q?Update=201.3.=20Nastaven=C3=AD=20a=20zabezpe?= =?UTF-8?q?=C4=8Den=C3=AD=20s=C3=ADt=C4=9B?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../1.3.-Nastavení-a-zabezpečení-sítě.md | 30 +++++++++++-------- 1 file changed, 18 insertions(+), 12 deletions(-) diff --git a/1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md b/1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md index 7816c68..a91a49a 100644 --- a/1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md +++ b/1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md @@ -1,14 +1,22 @@ ## Síťová rozhraní -Primární síťové rozhraní je `eth0` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu. +Primární síťové rozhraní je `ens3` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu. -Dále je na serveru nastaveno rozhraní síťového mostu `lxdbr0` sdílené mezi hostitelem a LXC/LXD kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24** +Dále je na serveru nastaveno rozhraní síťového mostu `lxcbr0` sdílené mezi hostitelem a LXC kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24** -LXC/LXD kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně: -- **GitLab:** 10.0.3.2 -- **SeedDMS:** 10.0.3.3 -- **Pan.do/ra:** 10.0.3.4 -- **Odoo:** 10.0.3.5 +LXC kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně: +- 10.0.3.2 onlyoffice +- 10.0.3.3 gitlab +- 10.0.3.4 seeddms +- 10.0.3.5 seeddms-postgres +- 10.0.3.6 dhis2 +- 10.0.3.7 dhis2-postgres +- 10.0.3.8 odoo +- 10.0.3.9 odoo-postgres +- 10.0.3.10 decidim +- 10.0.3.11 decidim-postgres +- 10.0.3.12 sahana +- 10.0.3.13 sahana-postgres Na serveru je zapnut IPv4 forwarding (konfigurace v souboru `/etc/sysctl.d/50-ip-forward.conf`) a obě síťová rozhraní jsou spravována pomocí `systemd-networkd`. @@ -28,14 +36,12 @@ Na serveru je nastaven firewall pomocí `iptables` a pomocného skriptu `firewal - Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S) - Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS) - Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres dasm.dasm.cz a infra.dasm.cz (@Disassembler) -- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery) -- Přijmi příchozí nová TCP spojení na portu 5432 (PostgreSQL) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery) -- Přijmi příchozí nová TCP spojení na portu 5672 (RabbitMQ) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery) +- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC kontejnery) - Přijmi příchozí nová spojení z localhostu - Zahoď všechna ostatní spojení **IPv4, tabulka *nat*, chain *PREROUTING*** -- Příchozí nová TCP spojení na portu 2222 pocházející z IP rozsahů českých ISP přesměruj na 10.0.3.2 (GitLab LXD kontejner), port 22 (SSH). Zdrojem pro rozsahy IP je služba [IPdeny](http://www.ipdeny.com/ipblocks/data/countries/cz.zone). +- Příchozí nová TCP spojení na portu 2222 pocházející z IP rozsahů českých ISP přesměruj na 10.0.3.2 (GitLab LXC kontejner), port 22 (SSH). Zdrojem pro rozsahy IP je služba [IPdeny](http://www.ipdeny.com/ipblocks/data/countries/cz.zone). **IPv4, tabulka *nat*, chain *POSTROUTING*** - Aplikuj maškarádu na spojení ze subnetu 10.0.3.0/24, která jsou směrována mimo subnet 10.0.3.0/24 @@ -60,7 +66,7 @@ Na serveru je nainstalován systém detekce narušení **Fail2ban**. Ten princip Monitorovány jsou následující služby: - **SSH** - - Soubor: `/var/log/auth.log` a tentýž soubor i v LXD kontejneru GitLab + - Soubor: `/var/log/auth.log` a tentýž soubor i v LXC kontejneru GitLab - Počet pokusů: 5 - **HTTP(S)** - Soubor: `/var/log/apache2/*error.log` a log webového rozhraní pro maily RoundCube `/usr/share/roundcube/logs/errors`