Serveur @ home

Bussiere · Janvier 24, 2013, 5:22

[quote=“vylsain, post:20, topic: 54770”][/quote]

Le truc c’est que tu ouvres un port vers l’exterieur, donc ta machine physique a un port ouvert sur le 80.

Moe · Janvier 24, 2013, 5:57

[quote=“Ewi, post:13, topic: 54770”][/quote]
T’as pensé à un NAS justement ? Pour 200 € t’auras ptet pas un modèle hyper puissant, mais 4 sites Web et un serveur FTP c’est pas très gourmand.

[quote=“LoneWolf, post:17, topic: 54770”][/quote]
Tu peux développer ce qui t’inquiète ? Ewi n’a encore rien installé que tu lui parles déjà de défaçage. :wacko:

Ewi · Janvier 24, 2013, 6:28

[quote=“Bussiere, post:21, topic: 54770”][/quote]

oui, c’est le principe d’un serveur web :)
si tu vas par la, un truc sécurisé, c’est un truc déconnecté.

Bussiere · Janvier 24, 2013, 6:42

[quote=“Ewi, post:23, topic: 54770”][/quote]

Ce que dit lonewolf.

Un reseau interne pour tes données de vacances et un externe pour les serveurs.

Et sans etre jusque la machine séparés.

IMHO

LoneWolf · Janvier 24, 2013, 7:54

[quote=“Moe, post:22, topic: 54770”][/quote]

[quote=“Ewi, post:23, topic: 54770”][/quote]
Je veux juste dire que faire un NAS (donc a priori interne) pour des données perso, les comptes, les photos de vacances, photocopies de fiches de paye ET sur la même machine un serveur web, donc accessible par le tout venant des internets, c’est risqué

Ça nécessite une veille techno sur les trous de sécurité de tout les éléments du serveurs qui est importante, sachant que tu as beaucoup de chance "d’oublier le compte test a la con que j’avais mis en place pour le cousin rapido avec un password de merde"™.

Si tu as le temps de faire ca, c’est super cool, perso je préfère avoir mon hébergement a 70 euros/an ailleurs, gérer par un mec qui fait que ça (et sans mes données importantes, et que je sauvegarde souvent), plutôt que passer mes week end a être parano sur mes données perso sur mon serveur interne nas/serveur web externe. Sachant que c’est un de mes métiers de sécuriser un serveur web, je préfère (par expérience) en mettre le moins possible sur les trucs à accès direct.

Mais je dois être trop parano (et c’est aussi un de mes métiers :))

PS: la VM, c’est pas une mauvaise idée, mais c’est un peu pareil, ça se sécurise. Si t’as un chemin réseau VM <-> hote, et que tu négliges la sécurité de l’hôte, c’est pas mieux.

LoneWolf
La sécurité réseau, c’est un métier et ça prend un temps fou.

Bussiere · Janvier 24, 2013, 8:27

Je confirme aussi.

Des que tu fous un serveur en ligne, c’est la jungle.

J’ai laché aussi les serveurs home made & co, quand tu vois que a peine tu met ton site en ligne sans filer aucune adresse a personne, tu as des robots qui tentent des urls comme phpmyadmin et des mots de passes ou des injections et tout.

Perso peter des protections, des serveurs (dans un cadre legal bien sur), c’est rigolo c’est creatif tu as un rush d’adrenaline.
Autant sécuriser un serveur c’est long chiant et un travail de fourmis.

Tu as a securiser et a tenir a jour :
Ton os, ton serveur web, ton cms ou ton langage de prog, et ta bd.

Pour moi le hack c’est comme de l’art , et la securisation c’est de la compta (froid, long et chiants).
Perso la compta m’a toujours emmerdé.

So un serveur arm alors ?

Ewi · Janvier 24, 2013, 8:47

[quote=« Bussiere, post:26, topic: 54770 »][/quote]

Les deux, je vais faire commander par mon taff une Raspberry et tester ce que ca donne et le HP sera la apres

LoneWolf · Janvier 24, 2013, 9:00

Hum mouais… La Pi a de l’intérêt en HTPC, mais en serveur web, tu l’utilises pas dans ce qu’elle sait faire: du multimedia.
Comme disait cedric, les shevaplug sont plus adapté a un petit serveur web et perso, j’ai récemment acheté ça:
http://www.newit.co.uk/shop/products.php?cat=21

2 cartes réseaux, une carte wifi, possibilité de faire de l’Access point direct, c’est l’appareil rêvé pour faire un firewall.
Le port esata permet aussi de l’exploiter en NAS (a voir niveau performances quand même, mais je vais bientôt configurer tout ca) même si pour moi, l’essence même de ce mini ordinateur reste le firewalling.

Pour la secu réseau, j’ai écrit un papier ayant pour sujet la sécurisation minimale (à mon sens) d’un serveur LAMP (Linux Apache Mysql Php), je vais tacher de relancer mes relecteurs, ça peut intéresser quelques personnes ici je pense

LoneWolf
DreamPlug Firewalling FTW

Bussiere · Janvier 24, 2013, 9:23

[quote=“Ewi, post:27, topic: 54770”][/quote]

Comme dit y’a plus couillus que le Pie en arm regarde dans mes liens.

AnA-l · Janvier 24, 2013, 9:31

http://store.cstick.com/

Moe · Janvier 24, 2013, 9:49

Je suis assez d’accord avec ce que vous dites, les serveurs Web ça implique trop de logiciels différents pour être rassurant. Les failles sur les CMS c’est pas rare. Mais à vous lire il ne faut plus faire de Web, si c’est si risqué que ça, avec ou sans fichiers perso sur le même serveur …
[quote=“LoneWolf, post:25, topic: 54770”][/quote]Et les gens dont c’est le métier, ils ont des accès privilégiés pour connaître les risques en avant-première ? Il y a des listes de diffusion (je pense à Debian security) pour se tenir aux courants des trous de sécurité et autres risques. Ça ne suffit pas ? Je demande ça un peu naïvement, je ne demande qu’à être éclairé car s’arrêter à “y’a des gens dont c’est le métier”, je trouve que c’est se poser ses propres barrières alors qu’il y a sûrement des choses à apprendre.
[quote=“Bussiere, post:26, topic: 54770”][/quote]Ça fait partie du “jeu”, si ton serveur n’est pas mis à jour et est ouvert à toutes les failles connues, tu ne peux t’en prendre qu’à toi. Si tu le tiens à jour, t’as pas à craindre les attaques aléatoires, tu installes fail2ban si vraiment tu veux les limiter.[quote=“LoneWolf, post:28, topic: 54770”][/quote]A-t-on vraiment besoin d’un firewall quand on est derrière une box ADSL qui a priori ne laisse rien rentrer ?

Bussiere · Janvier 24, 2013, 10:15

Ça fait partie du “jeu”, si ton serveur n’est pas mis à jour et est ouvert à toutes les failles connues, tu ne peux t’en prendre qu’à toi. Si tu le tiens à jour, t’as pas à craindre les attaques aléatoires, tu installes fail2ban si vraiment tu veux les limiter.

So si tu lis bien j’explique toute les couches a surveiller pour les trous connus.
Os , serveur web , cms , bd.

Ensuite tu rajoutes a ca les trous non connus, donc tu dois monitorer regulierement ton serveur pour voir si il ne s’est pas fait zombifier en douce.

Ewi · Janvier 24, 2013, 10:25

pour la Raspberry, c’est juste que j’en ai au taff histoire de tester pour le fun

LoneWolf · Janvier 25, 2013, 12:16

[quote=« Moe, post:31, topic: 54770 »][/quote]
Sur cet affirmation, il y a deux choses super embêtantes:

Un serveur a jour peut avoir un trou de sécurité non découvert publiquement (les fameux 0-days) ou tout simplement un mot de passe de merde. Donc un serveur a jour n’est pas une sécurité suffisante (il y a d’autres précautions a prendre, a minima)
La présence d’une box adsl ne te permet pas d’affirmer que rien ne peut rentrer, puisque si tu veux faire de l’hébergement tu dois impérativement laisser passer au moins le port 80 (http).
Ce dernier point est le plus embêtant car il revient régulièrement notamment « nan mais c’est bon pour les pirates, j’ai un firewall donc mon serveur web risque rien ». Tu remplace, dans ce cas la, firewall par box adsl et ça fait la même chose.
A partir du moment ou tu as un service qui tourne derrière une box ou un firewall, tu ouvre la boite de pandorre et le fait d’avoir une protection frontale ne te protège plus puisque… BAH TU AS OUVERT!!
Ce qui revient a dire que:
_Ta sécurité finale est lié a celle d’apache, de sa configuration et des droits alloués au démon.
_Ta sécurité finale est aussi lié aux outils PHP/CGI/Whatever que tu as installé sur ton serveur apache. Tu auras beau avoir la meilleure sécurité possible d’apache, si un script PHP est mal fait et possède un trou, il est tout a fait possible d’ouvrir une 2eme porte d’entrée.

Enfin, sur la question complète en elle même (le 2 ne concernait que l’affirmation de fin, qui est fausse quand tu fais de l’hébergement) , on a pas besoin d’un firewall quand on a déjà une box, SAUF si on a des besoins de firewalling plus évolué que ceux proposé par la box. En clair, si tu veux faire un hébergement web, mettre un, 2 ou 5 firewall en cascade ne protégeront pas plus qu’une box adsl.

En esperant que je suis clair

LoneWolf
Bon, je reprends mon papier sur la secu, tiens.

Ewi · Janvier 25, 2013, 12:24

Merci LoneWolf pour ces précision .
Apres, je le n’ai jamais dit le contraire… j’ai déjà géré un dedié pendant quelques année pour des site beaucoup plus gros… je devrai m’en sortir

Phil · Janvier 25, 2013, 2:27

A te lire Lonewolf si on veut vraiment faire un serveur chez soi, ce que peuvent faire en package les NAS récents tout-en-un, il faut alors avoir 2 accès internet ? Un accès internet avec, d’une part, un premier NAS “publique” sur la DMZ, et, d’autre part, sur un 2é accès internet bien au chaud derrière son firewall un NAS “privé”. Les 2 réseaux étant complétement étanches.

En fait quand on voit ces packages tout-en-un c’est tentant. Moi je n’en ai pas le besoin, mais je comprends ceux qui ont le besoin, en dépit du fait que j’étais quand même un peu parano, pensant que si c’est paramétré aux petits oignons ça le faisait. Mais si même les gens dont c’est le métier le déconseillent, à moins de les inviter chez soi une fois par moi faire un audit de notrr réseau, bonjour l’angoisse.

En revanche les VPN, il y a le même souci ou là pour le coup c’est secure ?

Ewi · Janvier 25, 2013, 3:28

[quote=« phili_b, post:36, topic: 54770 »][/quote]

sans compté qu’il ne faut utiliser CPL ou wifi… les intrusions sont possible

Ben · Janvier 25, 2013, 4:01

[quote=« Ewi, post:37, topic: 54770 »][/quote]
Le mec qui te retourne ton serveur par CPL, c’est qu’il est chez toi. Il a plus vite fait de partir avec

Bussiere · Janvier 25, 2013, 4:06

[quote=“Ben, post:38, topic: 54770”][/quote]

Ca peut deborder de ton reseau chez les voisins ou en dehors.

http://www.nikopik.com/2012/01/les-compteurs-delectricite-intelligents-deja-pirates.html

Le ccc avait fait une demo dessus.

Tiens j’ai retrouvé l’outil faifa :
http://events.ccc.de/congress/2008/Fahrplan/attachments/1212_OpenPattern_FAIFA_Presentation_25c3.pdf

Moe · Janvier 25, 2013, 5:23

[quote=« LoneWolf, post:34, topic: 54770 »][/quote]
Bien vu, j’allais dire ça : « personne viendra pirater mon NAS et récupérer mes 100 G de photos, ça lui prendra un mois pour tout envoyer ».

[quote=« LoneWolf, post:34, topic: 54770 »][/quote]
Spontanément je pense qu’un pirate se servirait du serveur pour envoyer des tonnes d’email et placer quelques pages de phishing, y’aurait d’autres conneries possibles ? Placer un mot de passe sur les fichiers perso puis faire chanter le propriétaire ? Apparemment certains malwares le font déjà.

[quote=« LoneWolf, post:34, topic: 54770 »][/quote]
Je suis d’accord, mais pour les 0-days je vois pas de solution. Si tu es au courant, tu peux couper ton serveur en attendant, éventuellement installer un patch s’il est dispo et si tu veux compiler ton logiciel, sinon t’attends …

[quote=« LoneWolf, post:34, topic: 54770 »][/quote]
Ok, la question sur le firewall c’était par curiosité pour savoir pourquoi toi tu utilises un firewall, si c’était pour avoir une meilleure protection et que j’ignorais un risque. Mais pour madame Michu, qui n’a aucun port d’ouvert sur sa box, il n’y a rien à craindre. On est d’accord.

[quote=« LoneWolf, post:34, topic: 54770 »][/quote]
Tu es parfaitement clair, merci pour les explications.