[PPNL-Techteam] csf firewall
casper.gielen at piratenpartij.nl
casper.gielen at piratenpartij.nl
Fri Jul 20 17:40:14 CEST 2012
Op 20-07-12 11:51, Bob Sikkema | DigitalForce.eu schreef:
> Er zit een variable testing in de /etc/csf/csf.conf
> Als je deze op 1 zet, vervalt de firewall na 5 minuten (instelbaar)
> Hier ga ik niet nog eens een script voor maken. Als je de file ziet, zie
Het nadeel hier van is dat je er aan moet denken. De ervaring leert dat
mensen dit gaan vergeten of denken dat het niet nodig is voor hun
simpele aanpassing. Ik in ieder geval wel :/
> je dat het nagenoeg dummy-proof is, en het is veel gebruikt. Daarnaast
> kun je er altijd nog via de console op.
Wat betreft die console heb je gelijk, dat is op zich een goede
fallback. Wel hebben we geen toegang tot de console van de mailserver.
Als daar iets mee mis gaat moet iemand naar het datacenter toe* **.
> Moeten we het doen, of niet doen. we zijn ondertussen 2-3 weken verder,
> enorm veel mailtjes, en alles staat nog -nagenoeg- wagenwijd open :-|
Ik wil het best proberen maar ben nog een beetje sceptisch. Van wat ik
er van gezien heb is het firewall-gedeelte erg dunnetjes. Kan het ook
met complexere systemen omgaan zoals onze vm-hosts?
In de configuratie-file zie ik niet meer dan een lijstje poorten die
door mogen.
Ik krijg het gevoel dat het dit heel erg gericht is op non-techneuten.
Mensen die een fire&forget beveilingpakket nodig hebben om hun webserver
te beveiligen.
Voor zover ik het kan beoordelen, op grond van de informatie die ik kan
vinden, krijg ik er geen goed gevoel bij.
Misschien werkt het geweldig maar ik heb genoeg te doen en gebruik
liever tools die ik al ken. Voel je vrij om CSF op andere systemen te
installeren, iets is beter dan niets, maar ik denk dat we tegen
beperkingen aan gaan lopen.
* Op zich is dat ook een behoorlijk ongewenste situatie en zou het beter
zijn om die VM te verhuizen of van die hoster eisen dat ze
console-toegang regelen maar dat terzijde.
** Ik draai daar nu al een extra scriptje dat een bestandje op mijn
webserver controleert en de firewall reset als ik het teken geef.
--
Casper Gielen
More information about the Techteam
mailing list