Geekeries diverses

Pour placer un garde fou au niveau réseau sur vos serveurs ces quelques bases vous seront utiles:

• en entrée par défaut couper tout
• en sortie par défaut autoriser tout (c’est pas spécialement une bonne politique, mais c’est un premier jet)
• ouverture du port ssh de façon limitée
• ouverture du port http ET https

Et pour moi c’est tout.

Je vais reporter tout ça dans un tit script ansible ;-)

# become must be on each ufw if not I got a 'ERROR: You need to be root to run this script'

- name: Limit ssh access (brutforce)
  ufw:
    rule: limit
    port: ssh
    proto: tcp
  become: true

- name: Incoming disabled as default
  ufw:
    direction: incoming
    policy: deny
  become: true

- name: Outcoming enabled as default
  ufw:
    direction: outgoing
    policy: allow
  become: true

- name: Enable UFW
  ufw:
    state: enabled
  become: true

- name: Http server
  ufw:
    rule: allow
    port: http
    proto: tcp
  become: true

- name: Https server
  ufw:
    rule: allow
    port: https
    proto: tcp
  become: true

- name: Set logging
  ufw:
    logging: on
  become: true