Le Tuesday 29 Sep 2009 à 21:45:58 (+0200), bernard.schoenacker@free.fr a écrit :
> je recherche quelques conseils permettant de mettre en
> place une passerelle linux sur une compact flash ....
Ce que j'ai mis en place à plusieurs reprises.
> matériel :
> 3 nic eepro100
> 1 ralink
> 1 pppoe
Un boitier Soekris 4501
Une installation normale, d'abord. Ensuite, il faut limiter au maximum
les accès en écriture sur la CF :
- corriger /etc/rsyslog.conf (perso, je le désactive)
- utiliser tmpfs pour /tmp /var/tmp et /var/log (selon ta RAM)
- mettre RARUN et RAMLOCK à yes dans /etc/default/rcS (selon ta RAM)
- j'ai mis le nécessaire pour faciliter l'utilisation de FWBuilder à
distance (ssh avec authentification par clé, batch)
- configuration de ssh en mode d'authentification par clé uniquement
- pas d'utilisateur local (connexion directe par root, mais uniquement
avec clé SSH déclarée)
- monter la racine en RO pour limiter les écriture que l'on aurait
oubliées et les tentatives de compromission.
- j'installe les paquets prelink, localepurge, deborphan
Je prépare une image réinstallable en quelques minutes :
- je lance "aptitude clean" et "find /var/log -type f -exec bash -c
'echo > {}' \;" pour faire du ménage, suivi de localepurge, deborphan,
/etc/crond.daily/prelink et /etc/cron.daily/mlocate manuellement.
Pour faire une mise à jour (systeme ou du pare-feu), je dois juste
penser à remonter le FS en RW :
mount -o remount,rw /
et penser à le reverrouiller apres :
mount -o remount,ro /
Il y aurait plein de choses à dire sur ce sujet, avec la
personnalisation du comportement de bash (voire de d?ash, des
timeout, de snort, tripwire, logcheck, ssmtp, règles IPTables,
tcpwrapper, recompil du noyau, aufs/squashfs ou unionfs/squashfs, chattr
-i, ... Mais voila en gros ce que je peux te dire, de mémoire et qui
tienne dans un message, mais il ne faut voir cela que comme un début de
configuration.
Je te conseille de faire ton installation sur un disque dur normal, avec
debbootstrap, puis de te 'chroot'er dedans pour continuer et de
transférer tout le contenu de ce répertoire en une seule fois sur ta CF,
tu limiteras les écritures et il ne te restera plus qu'à installer GRUB.
Je ne peux pas te donner l'intégralité de ma solution car plus j'avance
dans les détails, plus c'est spécifique à mon besoin et différent du
tien. Mais en allant un peu plus loin, tu aboutiras à une installation
très stable proche d'une véritable appliance qui ne nécessite jamais de
redémarrage.
Bonne soirée
Fanfan
--
DES FELICITATIONS
Bravo ! Nous ne savons même pas le dire en français.
[ Jules Renard ]
Attachment:
signature.asc
Description: Digital signature