elefante-borneu-yul-{01,02,03} (#45): firewall restritivo, ssh & mosh…

… ainda liberados
fititnt · May 28, 2019 · a2b6d9c · a2b6d9c
1 parent 807122d
commit a2b6d9c
Show file tree

Hide file tree

Showing 3 changed files with 116 additions and 18 deletions.
diff --git a/logbook/elefante-borneu-yul-01.sh b/logbook/elefante-borneu-yul-01.sh
@@ -137,7 +137,9 @@ sudo apt install -y traceroute nmap dnsutils
 
 #------------------------------------------------------------------------------#
 # SEÇÃO 1: PREPARAÇÃO DOS SERVIDORES PARA OPERAREM EM CLUSTER                  #
-# TL;DR:                                                                       #
+# TL;DR:  explicitamente define IP fixo de hostname e domínios completos       #
+#         para os demais clusters (questão de performance e, em casos bem      #
+#         especificos, de segurança) bem como reune as regras do firewall      #
 #------------------------------------------------------------------------------#
 
 ##### /etc/hosts _______________________________________________________________
@@ -164,27 +166,26 @@ sudo vi /etc/hosts
 #         deve-se acessar via KVM.
 
 # Checa status do firewall
+sudo ufw status
 sudo ufw status verbose
-
-# sudo ufw allow 22 # Use isso temporariamente, depois vamos ter IPs especiais
-# sudo ufw enable
+sudo ufw status numbered
 
 #### Coneção liberada entre todas as portas dos nós do mesmo datacenter --------
 # Estas configurações permitem todas as coneções entre os nós do cluster.
 # Os demais itens são para acessos de outras máquinas
-sudo ufw allow from 149.56.130.19
-sudo ufw allow from 149.56.130.66
-sudo ufw allow from 149.56.130.178
+sudo ufw allow from 149.56.130.19 comment "*, elefante-borneu-yul-01.etica.ai"
+sudo ufw allow from 149.56.130.66 comment "*, elefante-borneu-yul-02.etica.ai"
+sudo ufw allow from 149.56.130.178 comment "*, elefante-borneu-yul-03.etica.ai"
 
 #### SSH/mosh ------------------------------------------------------------------
 # TODO: temporario, remover isto e restringir IPs (fititnt, 2019-05-28 16:32 BRT)
-sudo ufw allow OpenSSH
-sudo ufw allow mosh
+sudo ufw allow ssh comment "SSH, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
+sudo ufw allow mosh comment "Mosh, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
 
 #### MariaDB/MySQL -------------------------------------------------------------
-
-sudo ufw allow from 104.167.109.226 to any port 3306 comment "MySQL, aguia-pescadora-alpha.etica.ai"
-sudo ufw allow from 192.99.247.117 to any port 3306 comment "MySQL, aguia-pescadora-bravo.etica.ai"
+# Sites de aplicação tem direito de acessar as porta específicas do MariaDB
+sudo ufw allow from 104.167.109.226 to any port 3306 comment "MariaDB, aguia-pescadora-alpha.etica.ai"
+sudo ufw allow from 192.99.247.117 to any port 3306 comment "MariaDB, aguia-pescadora-bravo.etica.ai"
 
 ##### Firewall, ativação _______________________________________________________
 sudo ufw enable

diff --git a/logbook/elefante-borneu-yul-02.sh b/logbook/elefante-borneu-yul-02.sh
@@ -143,14 +143,18 @@ sudo apt install -y traceroute nmap dnsutils
 
 #------------------------------------------------------------------------------#
 # SEÇÃO 1: PREPARAÇÃO DOS SERVIDORES PARA OPERAREM EM CLUSTER                  #
-# TL;DR:                                                                       #
+# TL;DR:  explicitamente define IP fixo de hostname e domínios completos       #
+#         para os demais clusters (questão de performance e, em casos bem      #
+#         especificos, de segurança) bem como reune as regras do firewall      #
 #------------------------------------------------------------------------------#
 
+##### /etc/hosts _______________________________________________________________
+
 sudo vi /etc/hosts
 ## Adicione ao final do arquivo:
 ## Cluster, demais nos
-#149.56.130.19	elefante-borneu-yul-01.etica.ai		elefante-borneu-yul-01
-###149.56.130.66	elefante-borneu-yul-02.etica.ai		elefante-borneu-yul-02
+###149.56.130.19	elefante-borneu-yul-01.etica.ai		elefante-borneu-yul-01
+#149.56.130.66	elefante-borneu-yul-02.etica.ai		elefante-borneu-yul-02
 #149.56.130.178	elefante-borneu-yul-03.etica.ai		elefante-borneu-yul-03
 
 # Nota: teste ping de todas as maquinas para todas as demais. Nós vamos usar
@@ -159,6 +163,50 @@ sudo vi /etc/hosts
 # causar uma lentidão absurda em certos casos. E vale a pena não correr riscos
 # (fititnt, 2019-05-26 14:35 BRT)
 
+##### Firewall, configuração ___________________________________________________
+# Nota 1: idealmente deveríamos ter uma rede privada, mas não temos dinheiro para
+#         isso neste projeto comunitário.
+# Nota 2: idealmente deveríamos ter um VPN. Isso pode ser configurado no futuro.
+#
+# Nota 3: caso fique preso do lado de fora (ex.: bloqueou a porta do SSH)
+#         deve-se acessar via KVM.
+
+# Checa status do firewall
+sudo ufw status
+sudo ufw status verbose
+sudo ufw status numbered
+
+#### Coneção liberada entre todas as portas dos nós do mesmo datacenter --------
+# Estas configurações permitem todas as coneções entre os nós do cluster.
+# Os demais itens são para acessos de outras máquinas
+sudo ufw allow from 149.56.130.19 comment "*, elefante-borneu-yul-01.etica.ai"
+sudo ufw allow from 149.56.130.66 comment "*, elefante-borneu-yul-02.etica.ai"
+sudo ufw allow from 149.56.130.178 comment "*, elefante-borneu-yul-03.etica.ai"
+
+#### SSH/mosh ------------------------------------------------------------------
+# TODO: temporario, remover isto e restringir IPs (fititnt, 2019-05-28 16:32 BRT)
+sudo ufw allow ssh comment "SSH, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
+sudo ufw allow mosh comment "Mosh, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
+
+#### MariaDB/MySQL -------------------------------------------------------------
+# Sites de aplicação tem direito de acessar as porta específicas do MariaDB
+sudo ufw allow from 104.167.109.226 to any port 3306 comment "MariaDB, aguia-pescadora-alpha.etica.ai"
+sudo ufw allow from 192.99.247.117 to any port 3306 comment "MariaDB, aguia-pescadora-bravo.etica.ai"
+
+##### Firewall, ativação _______________________________________________________
+sudo ufw enable
+
+##### Firewall, correção _______________________________________________________
+
+#### Opção de remoção via regra ------------------------------------------------
+ufw delete (...regra...)
+
+#### Opção de remoção numero da regra ------------------------------------------
+# Exibe as regras com numeros
+sudo ufw status numbered
+
+# Delete a regra via o numero dela (obtido com comando anterior)
+sudo ufw delete XXXX
 
 #------------------------------------------------------------------------------#
 # SEÇÃO 2: INSTALAÇÃO E CONFIGURAÇÃO DO MARIADB + GALERA CLUSTER               #

diff --git a/logbook/elefante-borneu-yul-03.sh b/logbook/elefante-borneu-yul-03.sh
@@ -137,14 +137,18 @@ sudo apt install -y traceroute nmap dnsutils
 
 #------------------------------------------------------------------------------#
 # SEÇÃO 1: PREPARAÇÃO DOS SERVIDORES PARA OPERAREM EM CLUSTER                  #
-# TL;DR:                                                                       #
+# TL;DR:  explicitamente define IP fixo de hostname e domínios completos       #
+#         para os demais clusters (questão de performance e, em casos bem      #
+#         especificos, de segurança) bem como reune as regras do firewall      #
 #------------------------------------------------------------------------------#
 
+##### /etc/hosts _______________________________________________________________
+
 sudo vi /etc/hosts
 ## Adicione ao final do arquivo:
 ## Cluster, demais nos
-#149.56.130.19	elefante-borneu-yul-01.etica.ai		elefante-borneu-yul-01
-###149.56.130.66	elefante-borneu-yul-02.etica.ai		elefante-borneu-yul-02
+###149.56.130.19	elefante-borneu-yul-01.etica.ai		elefante-borneu-yul-01
+#149.56.130.66	elefante-borneu-yul-02.etica.ai		elefante-borneu-yul-02
 #149.56.130.178	elefante-borneu-yul-03.etica.ai		elefante-borneu-yul-03
 
 # Nota: teste ping de todas as maquinas para todas as demais. Nós vamos usar
@@ -153,6 +157,51 @@ sudo vi /etc/hosts
 # causar uma lentidão absurda em certos casos. E vale a pena não correr riscos
 # (fititnt, 2019-05-26 14:35 BRT)
 
+##### Firewall, configuração ___________________________________________________
+# Nota 1: idealmente deveríamos ter uma rede privada, mas não temos dinheiro para
+#         isso neste projeto comunitário.
+# Nota 2: idealmente deveríamos ter um VPN. Isso pode ser configurado no futuro.
+#
+# Nota 3: caso fique preso do lado de fora (ex.: bloqueou a porta do SSH)
+#         deve-se acessar via KVM.
+
+# Checa status do firewall
+sudo ufw status
+sudo ufw status verbose
+sudo ufw status numbered
+
+#### Coneção liberada entre todas as portas dos nós do mesmo datacenter --------
+# Estas configurações permitem todas as coneções entre os nós do cluster.
+# Os demais itens são para acessos de outras máquinas
+sudo ufw allow from 149.56.130.19 comment "*, elefante-borneu-yul-01.etica.ai"
+sudo ufw allow from 149.56.130.66 comment "*, elefante-borneu-yul-02.etica.ai"
+sudo ufw allow from 149.56.130.178 comment "*, elefante-borneu-yul-03.etica.ai"
+
+#### SSH/mosh ------------------------------------------------------------------
+# TODO: temporario, remover isto e restringir IPs (fititnt, 2019-05-28 16:32 BRT)
+sudo ufw allow ssh comment "SSH, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
+sudo ufw allow mosh comment "Mosh, *, [TODO: restringir SSH no Cluster Elefante Borneu]"
+
+#### MariaDB/MySQL -------------------------------------------------------------
+# Sites de aplicação tem direito de acessar as porta específicas do MariaDB
+sudo ufw allow from 104.167.109.226 to any port 3306 comment "MariaDB, aguia-pescadora-alpha.etica.ai"
+sudo ufw allow from 192.99.247.117 to any port 3306 comment "MariaDB, aguia-pescadora-bravo.etica.ai"
+
+##### Firewall, ativação _______________________________________________________
+sudo ufw enable
+
+##### Firewall, correção _______________________________________________________
+
+#### Opção de remoção via regra ------------------------------------------------
+ufw delete (...regra...)
+
+#### Opção de remoção numero da regra ------------------------------------------
+# Exibe as regras com numeros
+sudo ufw status numbered
+
+# Delete a regra via o numero dela (obtido com comando anterior)
+sudo ufw delete XXXX
+
 
 #------------------------------------------------------------------------------#
 # SEÇÃO 2: INSTALAÇÃO E CONFIGURAÇÃO DO MARIADB + GALERA CLUSTER               #