| Re: [assoce magnum] Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité |
[ Thread Index |
Date Index
| More magnum.tuxfamily.org/association Archives
]
- To: association@xxxxxxxxxxxxxxxxxxxx
- Subject: Re: [assoce magnum] Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
- From: Nicolas JEUDY <njeudy@xxxxxxxxx>
- Date: Mon, 19 May 2008 20:50:36 +0200
> Excellent ! Tu fais un taf remarquable ;)
>
J'ai encore rien fait :)
> >
> > - modification du pam.d pour ajouter le module pam_ccreds et
> > nss_updatedb, pour pouvoir quant mm se connecter en cas de crash de la
> > base LDAP + un cache local ne fait pas de mal
>
> Des comptes systèmes unix classiques ne suffisent pas :-) ? Pose la
> question juste par curiosité perso car je connais pas les modules pam
> que tu évoques.
Si on veux éviter de créer 50 comptes avec 50 mots de passe différents, mieux
vaut mettre une annuaire central (LDAP, MYSQL etc ..)
Olivier à mis en place LDAP, ce que je trouve une bonne chose :) le jour ou on
a plusieurs serveurs, on synchronise les LDAP et paf tous les comptes sont
dispo sans soucis, et en plus on garde le même mot de passe partout
> > - ajout de fail2ban car d'après les log de auth.log, on se fait pas mal
> > testé sur ssh
>
> Il y a aussi la possibilité de le faire avec iptables (
> http://www.la-samhna.de/library/brutessh.html#3 ) ou encore
> http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_wi
>th_iptables/
>
> Pas testé perso avec iptables mais avec packet filter (pf) sous *BSD,
> ça le fait !
Fail2ban se met en place en 10min (urpmi fail2ban + ajout de la règle
shorewall qui va bien pour le SSH) et y a les outils pour voir les ip
bannies, si c'est une erreur on peut corriger facile ...etc .. c'est fait
pour et ca utilise IPtables pour bloquer les mechants :)
> Toujours par curiosité perso, c'est le Mandriva Directory Server dont
> tu parles stp ? Ca marche bien ce bouzin stp et est-ce que c'est pas
> trop compliqué à mettre en place :-) ?
J'utilise ca sur 6 serveurs en prod actuellement, et du coup, en 2 heures tu
as un système LDAP opérationnel avec gestion DHCP, DNS, MAIL, Droits d'accès
etc ... L'interface web pour ajouter et administrer tout ca est pratique, et
en plus, il y a un principe d'agent python qui te permet d'avoir une seule
interface web pour plusieurs serveurs. Ca gère aussi SAMBA, les imprimantes
(avec stats d'impression, droits d'impression etc ..)
Moi j'adore :)
Nicolas JEUDY
---
http://magnum.tuxfamily.org - http://wiki.mandriva.com/fr/Association_des_utilisateurs_de_Mandriva