lundi 16 février 2015

Firewalld : la théorie

Firewalld utilise les outils iptables pour communiquer avec Netfilter qui implémente le filtrage des paquets dans les distributions redhat/centos.

Une caractéristique de firewalld


Avec iptables, à chaque prise en compte de nouvelles règles, les sessions en cours étaient coupées. Dans le cas de firewalld, l’application de nouvelles règles ne coupent pas les sessions.

Outil pour configurer firewalld


Deux outils pour configurer firewalld:
  • Outil graphique: firewall-config
  • Outil en ligne de commande : firewalld-cmd


Configuration de firewalld


Il y a deux types de configuration : la configuration courante (runtime) et la configuration permanente (permanent). La configuration permanente est enregistrée dans les fichiers de configuration. Elle est utilisée au démarrage de la machine et au démarrage du service firewalld.
En cas de redémarrage du service ou de la machine, la configuration non permanente (runtime) est donc perdue.

Fichier de configuration


Les répertoires de configurations sont: /usr/lib/firewalld et /etc/firewalld.

Notion de zone


Firewalld utilise des zones pour gérer la sécurité. Chaque interface d’une machine fait partie d’une zone. Il est possible de mettre plusieurs interfaces au sein d’une même zone.
Pour simplifier la mise en production, des zones ont été prédéfinies: drop, block, public, external, dmz, work, home, internal, trusted.

Zone par défaut


La zone par défaut est la zone publique (public). Il est possible de changer la zone par défaut.

Notion de service


Des services sont également prédéfinies. Un service est l’association d’un protocole et d’un port. Par exemple, le service http et l’association du protocole tcp et du port 80.

La liste des services pré-définies est ici: /usr/lib/firewalld/services.

Il est possible d’ajouter des services en se basant sur les modèles proposés.

Configuration en ligne de commande


En fonction des règles souhaitées, différents options sont à notre disposition.

firewalld propose par exemple de passer des règles directement à iptables via une interface directe (direct interface). L’utilisation de cette option nécessite une bonne connaissance d’iptables pour ne pas ajouter de faille au pare-feu.

Enfin, il est possible de configurer firewalld directement dans les fichiers de configuration.

dimanche 15 février 2015

Ajout d'un certificat dans un keystore java

Le certificat à importer dans le magasin keystore java doit être au format pkcs12.

Convertir le fichier de certificat et la clé du format pem vers un fichier pkcs12


[root@linux conf]#  openssl pkcs12 -export -out cert.p12 -inkey /home/bob/certificat.key -in /home/bob/linux/certificat.pem
Enter Export Password:
Verifying - Enter Export Password:
[root@linux conf]#


Import dans le magasin keystore


Puis on importe le fichier pkcs12 dans le magasin keystore.js.
La création du magasin et l’import s’effectue avec la commande suivante:

[root@linux conf]# keytool -importkeystore -deststorepass "password"  -destkeystore cert.keystore -srckeystore cert.p12 -srcstoretype PKCS12 -srcstorepass "password"
L'entrée de l'alias 1 a été importée.
Commande d'import exécutée : 1 entrées importées, échec ou annulation de 0 entrées
[root@linux conf]#



Changement du mot de passe du magasin keystore


[root@linux conf]# keytool -storepasswd -keystore repkeystore
Entrez le mot de passe du fichier de clés :
Nouveau keystore password :
Indiquez encore le nouveau keystore password :
[root@linux conf]#

Comment ajouter une route statique sur une distribution Linux Ubuntu

Pour ajouter une route statique au démarrage d'Ubuntu, voici le fichier à modifier. Dans l'exemple on ajoute une route pour joindre ...