Bonjour à tous,

Lorce que j'ai installé FC5, je n'ai pas du tout installé de sécurité ni de firewall.

J'aimerai le faire car j'ai des bases sql pour mon busininess et je me dit qu'il vaurait mieux me protéger.

Existe-t-il un tutos pour ça ?

Ou avez-vous un conseil à me donner sur comme m'y prendre ?

Merci, jet
Merci pour l'info.

Mais je ne comprends pas bien, car il y a dans le menu "bureau" - "administration" - "niveau de sécurité et pare-feu". Une fenêtre de configuration pour la sécurité.

Je pensais que là il y a avait de quoi configurer. Mais je n'ai aucune idée de ce que je dois cocher et activer et surtout quelles seront les conséquences.

Alors si qqun utilise SELinux ou l'autre onglet de cette fenêtre, je serais curieux de savoir ce qu'il faut faire !

Merci, Jet
Dans quel contexte fais-tu tourner ta base de données? en interface à un serveur Web?

Les onglets SELinux, par défaut, en strict, confinent les exécutables mysqld ou httpd pour que ceux-ci n'utilisent que les ressources qui leur sont nécessaires (onglet "services de protection SELInux").

Il faut par ailleurs régler les interfaces du système (premier onglet: Firewall) qui concernent les échanges entre ton système et le reste du monde. Si tu fais tourner un serveur httpd tu dois choisir WWW comme service de confiance.

Précise ce que tu souhaites faire pour plus d'infos.
par défaut, en strict,
NON ! en targeted, strict n'est dispo qu'en rpm à yumer ! Au moins avec FC5 !
Merci,

En effet, j'utilise le service httpd pour ma base de données en local. Pas de lien avec hebergeurs !

Je voulais en effet bien comprendre la différence entre les 2 onglets. Si je coche simplement les services proposés dans le premier onglet est-ce suffisant ?

Je pensais que dans un premiet temp les options "courrier (smpt)" et "WWW (HTP)" et "WWW (HTTPS) étaient suffisants. Je ne fais pas de Telnet, samba.

En revanche "FTP" et "SSH" je ne sais pas si j'utilise. Je vais sur des site "ftp" pour télécharger des archives, est-ce dans ce cas qu'il faudrait cocher cette case ?

Merci,
Jet
Il faut dissocier deux niveaux:

1- le firwall, qui règle les échanges de ton système avec l'extérieur,
2- SELinux, qui confinent des ressources pour des programmes.

Tu fais tourner un serveur Web (httpd -> apache) qui est accessible depuis l'extérieur. Il te faut donc le rendre accessible au travers du firewall ("service de confiance"). Et tu dois aussi le confiner au travers de SELinux pour éviter, en cas de faille, qu'un utilisateur externe ne puisse accéder à des ressources spécifiques au-delà de ce qui est nécessaire à httpd.

Pour le firewall, les réglages concernent de facto les services que ton système rend à l'extérieur. Tu ne fais pas tourner de serveur SMTP (serveur de messagerie) ou FTP, tu n'as pas besoin de cocher ces cases. Ce choix ne t'interdira pas d'accéder à des serveurs FTP pour téléchager, car tu seras en position de client et non en position de serveur.

Pour samba, si tu assures, sur ton réseau local, des partages de répertoires ou impressions, en partage avec des utilisateurs Windows, tu dois effectivement cocher la case. Pour telnet, tu peux oublier: je te recommande, si tu dois accéder à ton système depuis l'extérieur, d'utiliser ssh.

SELInux: je t'ai répondu en environnement FC6 (politique dite "stricte"). Il y a eu, voici quelques temps, des échanges sur l'apport de SELinux (voir notamment le fil suivant. La FAQ SELinux explique les différences entre niveaux (targeted, strict ...).

Donc:

* tu déclares WWW comme un service de confiance (et lui seul si tu ne fais tourner aucun autre serveur devant être accessible depuis l"extérieur)
* tu appliques la politique SELinux strict (ou targeted) : choix par défaut me semble-t-il; tu laisses donc SELinux confiner httpd.

Un conseil: dans les services activés, contente-toi de lancer ceux dont tu te sers. Tu trouveras des posts sur ce sujet (ne fais pas tourner nfs si tu ne t'en sers pas etc ...).
Tu fais tourner un serveur Web (httpd -> apache) qui est accessible depuis l'extérieur.
Non, je le fais tourner en local uniquement (localhost), donc si je comprends bien, inutile de cocher aucune de ces cases si j'utilise ma machine comme client (peu importe les services). Tout ceci est important si j'utilise ma station comme un serveur pour différents services devant/pouvant être accéssibles depuis l'extérieur, juste ?

le produit que j'utilise pour gérer mes clients est vtiger. il utilise imap pour les emails. Mais tourne en local.

Donc, aucune option de "niveau de sécurité et pare-feu" n'est vraiment nécessaire ?

N'hésites pas à me dire si je me fourvoie complètement !

Merci en tout cas pour avoir pris le temps de m'éclairer,
Jet
Oui. Par défaut, tous les services seront vus comme des services "n'étant pas de confiance" pour traduire le fait que tu ne coches pas les cases correspondantes.

Ton firewall, activé, ne laissera pas passer des requêtes externes -venant du réseau- visant à invoquer ces services.

Nota: as-tu mis en place un partage samba? si oui, il faut que tu laisses le service accessible depuis l'extérieur ...
Sorry si je mets du temps à capter, suis pourtant pas suisse (meme si j'y vis) mais plus on m'explique longtemps, plus vite je comprends :-D

Donc, tu me conseilles d'activer quelles cases du firewall ?

Car j'ai pas encore compris, dans la mesure où je n'offre aucun service (dumoins je crois) est-ce nécessaire d'activer ces cases et si oui lesquelles ?

Désolé enocre, j'en ris mais il me manque un ptit bout !

Jet
Aucune case! Ainsi, aucun service ne sera regardé comme service de confiance et le firewall interdira toute connexion externe à ces services ...
Voilà, voilà.
Bien compris et merci bcp pour les précieuses réponses.
Jet