[PPNL-Techteam] csf firewall

Bob Sikkema | DigitalForce.eu bob.sikkema at digitalforce.eu
Fri Jul 20 17:56:41 CEST 2012 

ik vind -imho- enkel een firewall en fail2ban niet genoeg.

Weet je een alternatief? Indien nee, dan stel ik voor om deze in te
voeren? Stemmen?

On 20-07-12 17:40, casper.gielen at piratenpartij.nl wrote:
> Op 20-07-12 11:51, Bob Sikkema | DigitalForce.eu schreef:
>> Er zit een variable testing in de /etc/csf/csf.conf
>> Als je deze op 1 zet, vervalt de firewall na 5 minuten (instelbaar)
>> Hier ga ik niet nog eens een script voor maken. Als je de file ziet, zie
> 
> Het nadeel hier van is dat je er aan moet denken. De ervaring leert dat
> mensen dit gaan vergeten of denken dat het niet nodig is voor hun
> simpele aanpassing. Ik in ieder geval wel :/
> 
>> je dat het nagenoeg dummy-proof is, en het is veel gebruikt. Daarnaast
>> kun je er altijd nog via de console op.
> 
> Wat betreft die console heb je gelijk, dat is op zich een goede
> fallback. Wel hebben we geen toegang tot de console van de mailserver.
> Als daar iets mee mis gaat moet iemand naar het datacenter toe* **.
> 
>> Moeten we het doen, of niet doen. we zijn ondertussen 2-3 weken verder,
>> enorm veel mailtjes, en alles staat nog -nagenoeg- wagenwijd open :-|
> 
> Ik wil het best proberen maar ben nog een beetje sceptisch. Van wat ik
> er van gezien heb is het firewall-gedeelte erg dunnetjes. Kan het ook
> met complexere systemen omgaan zoals onze vm-hosts?
> In de configuratie-file zie ik niet meer dan een lijstje poorten die
> door mogen.
> Ik krijg het gevoel dat het dit heel erg gericht is op non-techneuten.
> Mensen die een fire&forget beveilingpakket nodig hebben om hun webserver
> te beveiligen.
> 
> Voor zover ik het kan beoordelen, op grond van de informatie die ik kan
> vinden, krijg ik er geen goed gevoel bij.
> 
> Misschien werkt het geweldig maar ik heb genoeg te doen en gebruik
> liever tools die ik al ken. Voel je vrij om CSF op andere systemen te
> installeren, iets is beter dan niets, maar ik denk dat we tegen
> beperkingen aan gaan lopen.
> 
> * Op zich is dat ook een behoorlijk ongewenste situatie en zou het beter
> zijn om die VM te verhuizen of van die hoster eisen dat ze
> console-toegang regelen maar dat terzijde.
> 
> ** Ik draai daar nu al een extra scriptje dat een bestandje op mijn
> webserver controleert en de firewall reset als ik het teken geef.
>

More information about the Techteam mailing list