Saltar a contenido

Preocupaciones de seguridad de IsardVDI

Por defecto IsardVDI en modo de producción abrirá algunos puertos de contenedor al mundo público ya que son requeridos (pueden modificarse en isardvdi.cfg)

  • 80/TCP: Redirecciona HTTP a HTTPS y método HTTP CONNECT para hacer proxy de clientes spice
  • 443/TCP: Puerto web seguro y puerto de visualizadores HTML5
  • 9999/TCP: Puerto de gateway proxy RDP para conectar clientes RDP
  • 443/UDP: VPN Wireguard para usuarios cliente
  • 4443/UDP: VPN Wireguard para hipervisores de infraestructura. No necesita abrirse en una configuración todo-en-uno.
NAME                        SERVICE                     PORTS
isard-api                   isard-api
isard-authentication        isard-authentication
isard-core_worker           isard-core_worker
isard-db                    isard-db
isard-engine                isard-engine
isard-grafana               isard-grafana
isard-grafana-agent         isard-grafana-agent
isard-guac                  isard-guac
isard-hypervisor            isard-hypervisor
isard-loki                  isard-loki
isard-portal                isard-portal                0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 0.0.0.0:9999->9999/tcp,
isard-prometheus            isard-prometheus
isard-redis                 isard-redis
isard-scheduler             isard-scheduler
isard-squid                 isard-squid
isard-static                isard-static
isard-stats-cadvisor        isard-stats-cadvisor
isard-stats-go              isard-stats-go
isard-stats-node-exporter   isard-stats-node-exporter
isard-stats-rethinkdb       isard-stats-rethinkdb
isard-storage               isard-storage
isard-vpn                   isard-vpn                   0.0.0.0:443->443/udp, 0.0.0.0:4443->4443/udp,
isard-webapp                isard-webapp
isard-websockify            isard-websockify

Para aplicar una seguridad base y configuraciones de infraestructura complejas a su instalación tiene algunos scripts de ejemplo para Debian 10 en la carpeta sysadm:

  • debian_docker.sh: Este no es un script de seguridad, es solo lo primero que debería hacer: instalar docker y docker-compose. Consulte la documentación para otros scripts de instalación de ejemplo o mejor vaya a la documentación más reciente para su distribución en (https://docs.docker.com/engine/install/)[https://docs.docker.com/engine/install/]
  • debian_firewall.sh: Este es un script de ejemplo para instalar y configurar fail2ban y gestionar puertos en firewalld en lugar de dejar que docker abra los puertos por defecto.