<div dir="ltr">We use PfSense running HA Proxy (which is a plugin available naively to PfSense), which acts as our TLS termination for the public certificates (internal servers have internal certs) as well as our load balancers. TLS certs are managed with the ACME plugin for Let's Encrypt, and the Intel processor is using AES-NI to speed up the TLS.<div><br><div>overall for security just using a static service for serving the content solves most attack vectors, as there aren't any CGI or related scriptlets running server side.</div><div>Cut off public SSH (if required some advocate alternate ports, but this isn't so much as intrusion prevention as to prevent lock outs caused by spam bots). SSH should be using key based authentication.</div><div><br></div><div>For ciphers and modes for TLS / SSH etc, I recommend checking out <a href="http://cipherli.st">cipherli.st</a> and the Mozilla TLS guidelines. Cipherli.st has an up to date set of configs for most software TLS/SSH settings, and the Mozilla guide has better explanations of how these modes work and what they do.</div><div><br></div><div>For PfSense I allow our management pages externally since they also run our VPN (users can download a client), but if you don't need that I would cut off external access to PfSense.</div><div><br></div><div>I setup a rule to allow ports 80,443,873 to HAProxy (via PfSense, set to allow to a single host which is the IP HAProxy is listening on). For HAProxy it does a simple TCP socket check for 873 since Rsync isn't a supported mode in HAProxy, so if the socket is open it just balances between the servers.</div></div><div><br></div><div>Cheers,</div><div>-Jim</div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Oct 26, 2018 at 1:12 PM Ken Young <<a href="mailto:kenyis@rogers.com">kenyis@rogers.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">Hello,<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt"> </span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">My name is Ken Young and I am working with the StarlingX Open Source community to set up a mirror of all our 3<sup>rd</sup> Party dependency code and CentOS.  We currently have a prototype running but we would like to harden the security measures we have in place for the server.  For example, we would like to move this server behind an external firewall.<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt"> </span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">Would you be willing to share what security hardening you have completed for your mirrors?  Any information would be greatly appreciated.<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt"> </span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">Thank you in advance.<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt"> </span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">Regards,<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span lang="EN-US" style="font-size:11pt">Ken Y<u></u><u></u></span></div><div style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:Calibri,sans-serif"><span style="font-size:11pt"> </span></div></div>_______________________________________________<br>
CentOS-mirror mailing list<br>
<a href="mailto:CentOS-mirror@centos.org" target="_blank">CentOS-mirror@centos.org</a><br>
<a href="https://lists.centos.org/mailman/listinfo/centos-mirror" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/centos-mirror</a><br>
</blockquote></div>

<br>
<span style="color:rgb(51,51,51);font-family:"PT Sans","Myriad Pro",Arial,sans-serif;font-size:12.8px;letter-spacing:-0.1px;background-color:rgb(255,255,255)"> This message contains confidential information and is intended only for the individual named. If you are not the named addressee you should not disseminate, distribute or copy this e-mail. Please notify the sender immediately by e-mail if you have received this e-mail by mistake and delete this e-mail from your system. If you are not the intended recipient you are notified that disclosing, copying, distributing or taking any action in reliance on the contents of this information is strictly prohibited.</span>