Journal Attaques par force brute sur un serveur de mail

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
42
25
juin
2023

Bonjour à tous.

J'ai finalement obtenu quelque chose d'acceptable contre les attaques par force brute sur mon serveur de mail. Je ne pense pas avoir grand chose à cacher (c.f. nothing to hide) et mes emails personnels sont apparemment très intéressants pour quelqu'un :-D. Je suis actuellement en train de tester cette solution.

Je la partage ici, pour aider ceux qui aiment les sets nftables.

Le contexte.

En résumé, depuis peu, je vois un réseau /24 entier, dans un pays (…)

Journal NFtables, successeur d'Iptables

Posté par  (site web personnel) .
Étiquettes :
34
25
mar.
2009
Patrick Mac Hardy, le chef du projet Netfilter, travaille depuis quelques temps maintenant à une ré-écriture d'Iptables sous un nouveau nom : NFtables. J'en avais eu vent juste avant les Netfilter user day en septembre dernier, mais l'arrivée en retard du sieur Mac Hardy m'avais, outre passablement faché, privé d'une revue de ce nouveau projet.
Hors, depuis le 18 mars dernier, NFtables est officiellement disponible en version alpha (pas pour kevin, hein) et fait donc partie intégrante du développement (…)

nftables, successeur d'iptables

Posté par  . Modéré par Pascal Terjan.
Étiquettes :
27
29
mar.
2009
Sécurité
Patrick Mac Hardy, chef du projet Netfilter, travaille depuis l'été 2008 à une ré-écriture d'iptables sous un nouveau nom : nftables. Or, depuis le 18 mars dernier, nftables est officiellement disponible en version alpha. C'est le moment d'en refaire le tour.

NdM : Un grand merci à switcher pour son journal dont est tiré la dépêche.

Proxmox Virtual Environment 8.2 avec assistant d'import VMware disponible

Posté par  . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
20
26
avr.
2024
Virtualisation

Proxmox Server Solutions GmbH a publié la version 8.2 de sa plate-forme de virtualisation libre Proxmox Virtual Environment (VE).
La solution Proxmox VE est sous licence GNU Affero GPLv3. Proxmox Server Solutions propose un support d’entreprise à partir de 110 € par an et par processeur.

Principales nouveautés de la version 8.2

  • La plate-forme Proxmox VE 8.2 est basée sur Debian 12.5 (“Bookworm”), et un noyau Linux 6.8. Les developpeurs ont mis à jour QEMU 8.1, LXC 6.0, Ceph 18.2, et ZFS 2.2.
  • Assistant d’import pour les machines virtuelles VMware ESXi : Il facilite aux utilisateurs la possibilité d’importer des machines virtuelles directement à partir d’autres hyperviseurs. Actuellement, il permet d’importer des VM basées sur VMware (ESXi et vCenter). Vous pouvez l’utiliser pour importer la VM entière, avec la plupart des paramètres de configuration d’origine mappés sur le modèle de configuration de Proxmox VE.
  • Installation automatisée : un nouvel outil « proxmox-auto-install-assistant » automatise entièrement le processus d’installation sur le métal nu. Le déploiement rapide des hôtes Proxmox VE peut être réalisé grâce à une installation automatisée, éliminant le besoin d’un accès manuel au système. Pour utiliser cette approche, un fichier de réponses contenant les paramètres de configuration requis pour le processus d’installation doit être préparé. Ce fichier peut être facilement inclus dans l’ISO, stocké sur un disque supplémentaire comme une clé USB ou transmis via le réseau.
  • Backup fleecing : Lors du processus de sauvegarde d’une machine virtuelle (VM) en cours d’exécution, il est important de prendre en compte l’impact négatif potentiel d’une cible de sauvegarde lente sur les performances des E/S invitées. Pour atténuer cet impact, l’utilisation de toison peut s’avérer très positive. Le «fleecing» implique la mise en cache de blocs de données dans une image de «fleecing» au lieu de les envoyer directement à la cible de sauvegarde. Cette technique est particulièrement utile lors de la sauvegarde d’invités gourmands en E/S sur un serveur de sauvegarde Proxmox distant ou tout autre stockage de sauvegarde avec une connexion réseau lente.
  • Modernisation du pare-feu avec nftables (aperçu technologique) : Proxmox VE propose désormais une nouvelle implémentation de pare-feu qui remplace iptables par nftables. La nouvelle implémentation est développée dans le langage de programmation Rust. Bien que la nouvelle implémentation soit presque identique en termes de fonctionnalités, il est important de noter que le pare-feu nftables doit être activé manuellement et reste en mode aperçu, permettant à la communauté de fournir de précieux commentaires.

Forum Linux.général Cas d'utilisation : N'autoriser que firefox à sortir sur les ports HTTP(S)

Posté par  . Licence CC By‑SA.
Étiquettes :
4
21
juil.
2015

Bonjour forum,

Denis Szalkowski pense qu'on ne peut pas n'autoriser que firefox à sortir sur les ports 80 et 443 .

Après recherche rapide, j'ai l'impression que la meilleure solution serait de combiner une isolation en cgroup (grâce à systemd ?) et un filtrage meta cgroup grâce à nftables. Je n'ai jamais fait cela et n'ai pas le temps aujourd'hui.

Points bonus : Je soupçonne qu'une notification graphique XDG correspondant au rejet d'une connexion sortante avec des informations concernant l'application concernée (…)

Forum général.cherche-logiciel Visualisation de logs nftables

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
24
fév.
2022

Bonjour,

Je recherche une solution pour visualiser les statistiques d'un cluster de firewalls basé sur nftables.

J'ai déjà ulogd2 qui enregistre les paquets, donc je peux facilement exporter du JSON, pour LogStash / Grafana / ElasticSearch / Kibana / etc…

Si vous connaissez un tutoriel, orienté Debian, pour installer un service qui permettrait de récolter les logs de ULOGD2 et les pousser vers un serveur, par exemple en utilisant un exporteur Prometheus, ça me va. Les informations que j'ai trouvé (…)

Forum Linux.debian/ubuntu Debian 10 Buster : Problème iptables/nftables avec Docker

Posté par  . Licence CC By‑SA.
Étiquettes :
3
6
août
2019

Bonjour,

Je viens de migrer sous Debian Buster une machine de dev et un serveur Kimsufi.
Du côté de ma machine locale pas de souci, mais côté Kimsufi je rencontre un problème certainement lié à la migration iptables/nftables. Lorsque je lance une stack de containers avec docker-compose j'obtiens l'erreur suivante :

ERROR: Failed to program FILTER chain: iptables failed: iptables --wait -I FORWARD -o br-1f984716e934 -j DOCKER: iptables v1.8.2 (nf_tables):  RULE_INSERT failed (Invalid argument):
(…)