Ouvrir un ticket d’assistance
Assistance client 24/7
Ouvrir un ticket d’assistance
Français
Sécuriser votre serveur Linux avec les règles riches de Firewalld
La gestion de la sécurité du réseau est essentielle lors de l’exécution d’applications ou de services sur un serveur Linux, en particulier sur une plateforme de haute performance comme ava.hosting. Firewalld, un outil de gestion de pare-feu dynamique utilisé dans des distributions telles que CentOS, RHEL et Fedora, offre un contrôle puissant grâce à sa fonction de règles riches. Les règles riches permettent de mettre en place des politiques précises et granulaires pour sécuriser votre serveur, bien au-delà des paramètres de base du pare-feu. Par exemple, vous pouvez utiliser une règle riche pour autoriser uniquement l’IP de votre bureau à accéder à SSH sur votre serveur ava.hosting, le protégeant ainsi d’un accès non autorisé. Ce guide explore les règles riches de Firewalld, comment les implémenter et les meilleures pratiques pour protéger votre environnement ava.hosting.
Que sont les règles riches dans Firewalld ?
Les règles riches sont une méthode avancée de définition des politiques de pare-feu, offrant des options de filtrage supplémentaires telles que :
- La spécification des adresses source et destination
- Autoriser ou rejeter le trafic en fonction des protocoles ou des ports
- La définition de règles de journalisation et d’audit
- La définition de limites de débit et d’actions pour des connexions spécifiques
Les règles riches permettent aux administrateurs de créer des politiques de sécurité plus fines que les règles de base basées sur les zones et les services.
Vérification des règles riches existantes
Pour vérifier si des règles riches sont actuellement configurées, exécutez la commande suivante :
firewall-cmd --list-rich-rulesCette commande affichera toutes les règles riches actuellement actives dans le pare-feu.
Ajouter une règle riche
Pour ajouter une nouvelle règle riche, utilisez la syntaxe suivante :
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Cette règle autorise le trafic SSH en provenance d’une adresse IP spécifique (192.168.1.100).
Après avoir ajouté une règle, rechargez Firewalld pour appliquer les changements :
firewall-cmd --reloadBloquer le trafic avec une règle riche
Pour bloquer le trafic en provenance d’une adresse IP spécifique, utilisez la règle suivante :
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.200" drop'Cette règle supprimera silencieusement tout le trafic en provenance de 192.168.1.200 sans envoyer de réponse.
Autoriser le trafic pour un port et un protocole spécifiques
Pour autoriser le trafic pour un port et un protocole particuliers, comme HTTP sur le port 80 :
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'Cette règle autorise le trafic HTTP en provenance de n’importe quel appareil du sous-réseau 192.168.1.0/24.
Enregistrement et audit du trafic
Pour enregistrer les paquets abandonnés à des fins de surveillance, utilisez :
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'Cette règle bloque le trafic en provenance de 192.168.1.150 et l’enregistre avec le préfixe [FIREWALL-DROP].
Suppression d’une règle riche
Pour supprimer une règle riche spécifique, utilisez
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Rechargez ensuite Firewalld :
firewall-cmd --reloadMeilleures pratiques pour la gestion des règles riches
- Testez toujours les nouvelles règles de pare-feu avant de les appliquer de manière permanente.
- Utiliser des règles de journalisation pour surveiller et analyser le trafic bloqué.
- Réviser régulièrement les règles de pare-feu pour s’assurer qu’elles sont conformes aux normes de sécurité.
- Restreindre l’accès aux services critiques par adresse IP ou sous-réseau.
Conclusion
Les règles riches de Firewalld offrent une flexibilité inégalée pour sécuriser le trafic réseau sur votre serveur Linux, ce qui en fait un must pour les administrateurs. Qu’il s’agisse de restreindre SSH à une seule IP, d’autoriser HTTP pour un sous-réseau de confiance ou d’enregistrer les tentatives d’accès non autorisé, les règles riches vous permettent d’élaborer des politiques de sécurité précises. Par exemple, vous pouvez bloquer une IP malveillante pour protéger votre application hébergée par ava.hosting ou enregistrer le trafic pour résoudre les problèmes de connectivité. En maîtrisant les règles riches et en tirant parti de l’infrastructure robuste d’ava.hosting, vous pouvez vous assurer que votre serveur reste sécurisé, efficace et résilient face aux menaces.
Related Posts
Que vérifier si votre site est en panne ?
Si votre site web cesse soudainement de se charger, ne paniquez pas. Les temps d’arrêt inattendus peuvent être dus à...
Quelles commandes permettent de vider le cache Git ?
La suppression du cache Git est le processus de suppression des données temporaires stockées dans un référentiel Git local. Ces...
Comment modifier les en-têtes et les pieds de page avec Elementor sur WordPress
L’en-tête et le pied de page sont des éléments cruciaux de tout serveur WordPress – ils déterminent l’expérience utilisateur, la...