Vlákno názorů k článku Stavíme vlastní e-mailový server: základní nastavení systému od tatarko - Aj ja chlavim autora avsak : 1. vypinat firewalld...
-
Je to samozřejmě pravda, ale taky by se k tomu dalo dodat, že server nemá být hostovaný na cizím VPS, protože spoustu věcí lze vyčíst z memory dumpu, na konzoli lze zachytávat klávesnici atd atd. Proto tuto část bezpečnosti v návodu příliš neřeším a proto tam neřeším ani šifrování dat. Prostě to nemá smysl. Na serveru generuji v návodu klíč proto, protože to prostě funguje a nemusím řešit, jak vygenerovat klíč v Linuxu, Windowsu, Macu a já nevím, kde ještě. Jsou to drobné ústupky, ale na druhou stranu je to pořád lepší, než root s heslem 1234 a povoleným přihlášením odkudkoliv.
-
Strator (neregistrovaný)
ad 1. To samé se dá říci i o NetworkManageru, ale konfigurace serveru je statická, takže dynamický firewall je zbytečnost. Při hromadné správě (kontejnery) by se nad tím dalo uvažovat. Obě to jsou technologie pro stroje které často mění síťové připojení a je zbytečné mít na serveru další běžící (a chybové a zdroje žeroucí) daemony. A líbí se mi ta pragmatičnost autora, která nezachází tak daleko (např. vypnutím SELinuxu).
-
tatarko (neregistrovaný)
kedze je to mail server tak server bude otvoreny na cely internet a vy napisete ze "dynamický firewall je zbytečnost" a iptables niesu dynamicke potom kedze firewalld iba vola iptables ?
Obě to jsou technologie pro stroje které často mění síťové připojení - nie niesu...
A ja som pisal, ze vypinat je to skoda a nie ze je to zle.
Este raz chvalim autora za clanok.
-
Stratos (neregistrovaný)
Zkuste mi napsat co navíc oproti statickým pravidlům mi přinese použití firewalld na mailserveru? Já své důvody, proč je podle mého názoru zbytečný, popsal.
A ano, iptables nejsou dynamické (ač třeba autorem použitý modul recent tuto představu nabourává :-) v tom smyslu v jakém dynamiku ve své definici používá firewalld.
-
j (neregistrovaný)
Tvuj argument je naprosto mimo ... standardni instalace ti nahodi Xka kde/gnome/ ... a muzu argumentovat, ze neni duvod to tam nemit, protoze je to prece defaultni soucasti systemu ...
Prvni pravidlo jakykoli bezpecnosti je zcela vzdycky minimalismus. Tzn terminovat cokoli co neni nezbytne nutny.
-
Filip JirsákStříbrný podporovatelK argumentům pro
iptables-servicebych přidal to, že všude na internetu je plno návodů na iptables. Jakmile to máte něčím obalené (ať už jsou to „jen“ distribuční skripty, nebo je nad tím celá aplikace), komplikuje použití všech těch materiálů – přečtete si, jak něco nakonfigurovat v iptables, pak musíte zjistit, jak firewalld mapuje věci na iptables a pak to nakonfigurovat tak, aby vám z firewalld nakonec vypadla ta pravidla pro iptables, která jste znal na začátku. Přičemž třeba u těch distribučních skriptů to bývá tak, že ten postup transformace z konfiguráku do pravidel iptables není nikde zdokumentován, takže nezbývá než najít si to v příslušném skriptu. Skript, na kterém musím dělat nejdřív reverzní inženýrství, mi nijak nepomáhá, právě naopak. Samozřejmě také může nastat případ, kdy daná nadstavba příslušnou věc nepodporuje vůbec, a pak musím ještě řešit, jak skloubit tu nadstavbu s nativními iptables.Podobné je to často s konfigurací sítě. To byl můj největší problém, když jsem kdysi začínal s Linuxem – přečetl jsem si návod, nakonfiguroval síť a firewall pomocí
ipaipchains, a pak jsem zjistil, že distribuce má na konfiguraci sítě jakési podivné soubory, které naipvůbec nepasují (bodejť by také pasovaly, když skripty ještě používalyifconfig).Takže pokud někdo využije ty služby, které poskytuje nějaká nadstavba, ať ji používá. Ale pokud je to obecný návod, je podle mne mnohem lepší použít základní nástroj, protože si to pak každý může transformovat pro tu svou nadstavbu, kterou používá.
-
Filip JirsákStříbrný podporovatel
Ano, to je důvod, proč samotný OpenWRT nepoužívám a vážně uvažuju, že na Turris Omnia dám jiný systém. Na router dávám Linux proto, protože umím v Linuxu síť nakonfigurovat podle svých představ – ne proto, aby mi v tom nějaká mezivrstva překážela.
