Salta el contingut

Preocupacions de seguretat d'IsardVDI

Per defecte IsardVDI en mode de producció obrirà alguns ports de contenidor al món públic ja que són necessaris (es poden modificar a isardvdi.cfg)

  • 80/TCP: Redirecciona HTTP a HTTPS i mètode HTTP CONNECT per fer proxy dels clients spice
  • 443/TCP: Port web segur i port de visualitzadors HTML5
  • 9999/TCP: Port de passarel·la proxy RDP per connectar clients RDP
  • 443/UDP: VPN Wireguard per a usuaris client
  • 4443/UDP: VPN Wireguard per a hipervisors d'infraestructura. No cal obrir-lo en una configuració tot-en-un.
NAME                        SERVICE                     PORTS
isard-api                   isard-api
isard-authentication        isard-authentication
isard-core_worker           isard-core_worker
isard-db                    isard-db
isard-engine                isard-engine
isard-grafana               isard-grafana
isard-grafana-agent         isard-grafana-agent
isard-guac                  isard-guac
isard-hypervisor            isard-hypervisor
isard-loki                  isard-loki
isard-portal                isard-portal                0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 0.0.0.0:9999->9999/tcp,
isard-prometheus            isard-prometheus
isard-redis                 isard-redis
isard-scheduler             isard-scheduler
isard-squid                 isard-squid
isard-static                isard-static
isard-stats-cadvisor        isard-stats-cadvisor
isard-stats-go              isard-stats-go
isard-stats-node-exporter   isard-stats-node-exporter
isard-stats-rethinkdb       isard-stats-rethinkdb
isard-storage               isard-storage
isard-vpn                   isard-vpn                   0.0.0.0:443->443/udp, 0.0.0.0:4443->4443/udp,
isard-webapp                isard-webapp
isard-websockify            isard-websockify

Per aplicar una seguretat base i configuracions d'infraestructura complexes a la vostra instal·lació teniu alguns scripts d'exemple per a Debian 10 a la carpeta sysadm:

  • debian_docker.sh: Aquest no és un script de seguretat, només és el primer que hauríeu de fer: instal·lar docker i docker-compose. Consulteu la documentació per a altres scripts d'instal·lació d'exemple o millor aneu a la documentació més recent per a la vostra distribució a (https://docs.docker.com/engine/install/)[https://docs.docker.com/engine/install/]
  • debian_firewall.sh: Aquest és un script d'exemple per instal·lar i configurar fail2ban i gestionar ports amb firewalld en lloc de deixar que docker obri els ports per defecte.