p0ngdsebire a écrit : ↑ven. 17 févr. 2023 09:45ping,Dodo29 a écrit : ↑jeu. 16 févr. 2023 14:12 A la limite un dédié standalone type OVH, Scaleway, etc..., comme a dit dsebire, qui a juste une interface qui est exposé, en extrapolant je peux comprendre (même si, aujourd'hui on a des moyens de verrouille ça et monter un wireguard ou une machine de rebond sécurisée, mais je comprend que c'est de la bidouille et souvent pas supporté par l'éditeur).
c'est surtout casse gueule !
si la VM qui fait "proxy" ne démarre pas, ou si t'es obligé de passer en mode maintenance (pour faire les MAJ "proprement") bah t'as plus moyen de joindre la bécane.
par contre, ya moyen de n'autoriser qu'une liste d'IP à joindre les services au niveau du firewall dans esxi. c'est ce que je fais systématiquement.
pas parfait, mais acceptable (faut avoir confiance dans le firewall quoi)
perso je n'autorise qu'un certain nombre d'ip par port ouvert.
Ensuite j'évite de laisser le port d'origine de service ouvert, je natte, ça évite les automatisations qui cherchent (par exemple) si le 22 est ouvert.
Ensuite dans la mesure du possible, fail2ban.
Bon après quand je suis en mobilité je n'ai pas d'ip me permettant un accès c'est galère, des années que je dois mettre en oeuvre un vpn mais la flemme et parfois je fais une fausse manip et fail2ban me coupe
pour pallier le fait que la machine soit down il reste l'accès IMM/DRAC/ILO. C'est une faille, là encore on peut n'autoriser qu'une seule ip à s'y connecter afin de restreindre une grosse partie du risque. Où alors prendre la voiture pour aller appuyer sur le bouton 'on' mais bon ...
