Bonjour à tous,

Je viens récupérer vos connaissances ou un "conseil" des barbus...enfin ceux du culte nu(i)x.

Pour commencer, la petite histoire (je ne suis pas celui qui à mis en place le serveur, je récupère le BB).

Je viens de récupérer la gestion d'un serveur qui tourne sous Unbuntu 10.*** (donc plus de patchs depuis 2013   ) avec KVM dessus et 2 vm's.

Le serveur en question est dans une DMZ, quand je parle du serveur, je parle du KVM et des 2 VM's.

Le firewall est en open bar   mais y'a quand même fail2ban et rkhunter.

Le serveur à X11 d'installer, des softs comme libre office mais pas que et une tonne de protocole.

Niveau attaque...bah c'est la fête du slip et le KVM prend beaucoup (il est en front aussi)

Ah oui...le 22 est visible de l’extérieur ...tant qu'a faire...

Je précise que je n'ai pas la gestion du réseau (campus  de recherche scientifique publique).

Donc chaque demande RX doit se faire selon un protocole bien précis (DHCP par adresse Mac).

J'en viens à ma question.

Je ne peux pas laisser ce truc en l’état (je parle du serveur).

Je pensais à deux options.

La première, la plus simple à mettre en place, un serveur = une machine physique et carte réseau, vlan et basta (enfin avec firewall ect).

L’avantage, isolation physique et logique du serveur de mon Lan.
Le souci, gestion et achat d'une machine physique.

L'autre solution, utiliser un de mes serveurs aussi sous KVM mais qui se trouve dans mon lan et migrer les 2 vm's dessus.
Avantage, bah gestion plus simple pour moi et mise en HA idem.

Inconvénient, Je ne veux pas que le KVM se retrouve en front mais si je bridge une interface (eth1 par ex) et que je la rentre dans le Vlan de la DMZ, je reviens a faire  ce que je ne veux pas, mettre en front le KVM.

Troisièmement, rediriger le flux des vm's vers la DMZ(lan to DMZ) ... avec une restriction au niveau firewall.

Et la vient ma question  

Une autre idée ou alors une remarque sur mon raisonnement (j'ai pt zappé un truc d’évident   ) ?

nobody

J'inspire pas les foules

 
 
Faut se réveiller

Perso, mettre à jour cette vieillerie et mis en place d'un firewall sur la machine.

 
 
Merci  
 
 
Le souci n'est pas trop le FW (il en faut un   ) mais plutôt que le KVM soit en front et s'agissant d'une version ancienne même avec un FW (on réduit les risques avec) c'est pas un gage de sécurité (OS plus mis à jour).
 
Je veux savoir ce que vous feriez,
 
Machine physique en front dans DMZ donc sans kvm.
 
Mise en place d'un OS à jour avec KVM mais dans ce cas comment maximiser la secu ou éviter qu'il soit en front ?
 
Ou migration des vm's dans le Lan et routage de celle ci vers la DMZ ?
 
Je me pose la question car je  vais partir et je ne veux pas laisser au nouvel admin un canard a 3 pattes  
 
Je suis en pleine refonte de l'infra et je veux minimiser les coûts et simplifier la gestion un maximum .
 
C'est mon dilemme de la semaine    
 

 
Si ton serveur à 2 interfaces réseaux, alors une interface pour le management de l'hyperviseur et une interface bridgée dans la DMZ.
 

 
J'y ai pensé mais on n'est assez loin d'une isolation du KVM (ce qui est le cas d'une machine dédier se trouvant dans la DMZ).
 
Je vais voir ce que je peux faire pour maximiser la sécu au niveau de l'interface qui va se trouver dans la DMZ.

 
Pourquoi mettre le KVM dans la DMZ ?

 
 
Très bonne question, je n'en sais rien.
Je ne suis pas celui qui à mis en place le serveur  :o  
j'en hérite, je dois donc faire avec le temps de mettre en place une nouvelle solution.  
 
Je viens de modifier le FW en conséquence.