Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-07-2015 12:44:05

MoxSite
Membre
Inscription : 28-07-2015

Projet de serveur à la maison derrière la Freebox 6

Bonjour,

Tout d'abord je trouve ce site très sympa, ça donne envie de vous rejoindre et papoter Debian/Linux avec vous :-). Bravo !

J'ai un serveur dédié chez Online avec plusieurs sites dessus, comme je compte monter un PC/Serveur mini ITX basse consommation, je veux en profiter pour héberger mes sites à la maison, mais je ne sais pas si c'est une bonne idée au final, mais d'un côté,ça m’évitera de payer un serveur dédié 20€/mois.

Avant d'aller plus loin voici ma connexion internet :

- VDSL Free, avec IP Fixe
- 45Mb/s en Down. 12Mb/s en UP.


Ma config pour mon serveur (commandée) :
- Seagate Barracuda 7200.14 SATA 6Gb/s 1 To   
- G.Skill NT Series 8 Go DDR3 1600 MHz CL11   
- Cooler Master Elite 130
- ASRock AM1B-ITX   
- AMD Athlon 5350 (2.05 GHz)   
- Corsair Builder Series VS350 80PLUS

Mes sites :
5 sites PHP-FPM/Nginx pilotés avec un CMS fait maison, ayant en moyenne 400 v/jour.

Ce projet de PC/Serveur chez moi qui me servira pour plusieurs choses :

- Serveur mutimédia
- Serveur Nas
- Cloud
- 1 Serveur web pour le développement (LXC)
- 1 Serveur web pour la prod (LXC)
- Serveur mail

Ce PC basse conso tournera H24. Je compte mettre dessus une Debian Jessie, les services accessibles depuis le web, seront dans des conteneurs LXC pour plus de sécurité, car je ne veux pas exposer mon PC à la porter de tous.

Cependant j'ai quelques questions, concernant la sécurité :

- le fait d'exposer son IP, représente des risques ?
- Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?
- Quelles sont les contraintes à héberger ses sites chez soit ?
- Dans le cas d'un serveur mail (postfix) à la maison, cela posera quel problème ?

Merci d'avance pour vos réponses :-).

Hors ligne

#2 28-07-2015 17:50:46

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

Salut !

- le fait d'exposer son IP, représente des risques ?
Je ne comprends pas bien la question, qu'appelles-tu exposer son IP ?
Sinon, évidemment ouvrir un serveur sur le web représente des risques, le tout étant de bien configurer tout ça.

- Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?
Oui, j'ai la même chose sans fail2ban mais je n'ai pas 400 v/jour.

- Quelles sont les contraintes à héberger ses sites chez soit ?
La facture : 30€ /an pour moi mais mon bouzin n'est qu'un desktop,
Le bruit : c'est allumé 24/24, donc on évite la chambre
Les coupures d'électricité, sans onduleur, ça peut faire bobo même si je n'ai jamais eu de grave soucis.

J'ajouterai qu'il faut faire gaffe à ce que tu vois depuis chez toi car tu vas passer en réseau local entre ton pc et ton serveur, donc il faut penser à passer par un proxy pour vérifier comment tout cela passe par le web.

- Dans le cas d'un serveur mail (postfix) à la maison, cela posera quel problème ?
Chanceux, tu n'es pas chez Orange.
Je ne peux pas te répondre puisque mon port 25 n'est pas ouvert, donc pas de serveur mel.
Fail2ban devient obligatoire puisque ce port là, tu ne pourras pas le changer.

Bon, ceci dit, je le répète, mon hébergement n'est pas d'une grosse densité mais il me rend bien service et pour moi, c'est devenu hors de question de payer de nouveau un hébergeur.

Dernière modification par Papadakis (28-07-2015 17:51:43)


Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#3 28-07-2015 17:58:59

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

Je n'ai pas testé personnellement, mais je pense que c'est possible de s'auto-héberger. L'utilisation des containers LXC me parait un bon moyen de ne pas tout mélanger.
Les LXC au même titre pour les machines virtuelles permettent d'avoir un sous-réseau et donc éventuellement de séparer ce qui doit aller sur le net et ce qui ne doit pas.

Il faut cloisonner au maximun, le réseau, les applications, les mots de passe etc....

Sinon, une des limitations de l'auto-herbergement, c'est l'upload mais 12Mb/s  semble un bon chiffre pour commencer. Il faut voir le bruit aussi.

En ce moment, il y a cozy pour le partage qui semble sympa, le projet est assez jeune mais prometteur.
http://cozy.io/fr/

Hors ligne

#4 28-07-2015 18:07:39

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

- le fait d'exposer son IP, représente des risques ?


Pas nécessairement, effectivement il faut bien configurer cela. Avec la freebox tu as la possibilité de mettre une IP en DMZ le cas échéant.

MoxSite a écrit :

Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?


Changer les ports ne te protégera que si tu te protèges des scans de ports (portsentry peut être utile). En cloisonnant bien tes serveurs et en créant plusieurs couches de sécurité ça devrait le faire.
Si tu n'as pas absolument besoin que tes services aient un accès permanent depuis l'intérieur tu peux te monter un serveur VPN aussi.

Pour le serveur de courriel, je ne saurais te dire, j'hésite encore, principalement du fait de la disponibilité : que se passe-t'il si le serveur tombe quand je ne suis pas là ? où vont les mails ? smile


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#5 28-07-2015 22:33:22

Ir0nsh007er
Membre
Lieu : Montréal, PQ, Canada
Distrib. : Debian GNU/Linux 9.0 Stretch/Sid
Noyau : 4.7.0-1-amd64 #1 SMP Debian 4.7.5-1 (2016-09-26) x
(G)UI : Xfce 4.12.3
Inscription : 30-04-2015
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

Ici moi jai un petit matos pour usage perso, serveur web/cloud/ssh/samba, et pc desktop simultanément.
Un bon iptable + fail2ban via un bon routeur DD-WRT et changer les ports par default = aucun trouble ici...

UPS a considéré.

Moé avec mon P4: Intel(R) Pentium(R) 4 CPU 3.40GHz, Mémoire: 6G DDR2, Carte Graphique: NVIDIA Corp GT216 [GeForce GT 220] (rev a2)
Ir0nsh007er (49 72 30 6E 73 68 30 30 37 65 72).  Mon CV
Noob un jour, noob toujours cool
01001001 01110010 00110000 01101110 01110011 01101000 00110000 00110000 00110111 01100101 01110010

Hors ligne

#6 29-07-2015 01:02:37

MoxSite
Membre
Inscription : 28-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Je ne comprends pas bien la question, qu'appelles-tu exposer son IP ?


Je parle des risques liés à l'utilisation de services accessibles depuis le web, comme le serveur web par exemple.

La facture : 30€ /an pour moi mais mon bouzin n'est qu'un desktop,
Le bruit : c'est allumé 24/24, donc on évite la chambre
Les coupures d'électricité, sans onduleur, ça peut faire bobo même si je n'ai jamais eu de grave soucis.


Je paie 20€/mois alors si je peux eviter de les payer tout en gardant le contrôle sur mes données à la maison, ce serait une vraie révolution lol. Perso je n'ai pas de coupures aussi, mais lorsqu'on doit être dispo H24, vaut mieux avoir un onduleur, bien que la carte mère de mon serveur support le Wake On Lan, donc un petit coup de paquet magique depuis à mon smartphone le serveur se lancera tout seul :-). De plus la Freebox est compatible et peut laisser passer je l'ai déjo utilisé pour les sauvegardes de mon dédié ce dernier réveil le Pc du bureau pour effectuer des sauvegardes la nuit.

Concernant le port 25, free permet de l'utiliser et de le débloquer, mais reste la question de la disponibilité et surtout pour se faire accepter par les autres serveurs mail sans finir dans le dossier des "indésirables".

Sinon j'ai lu dans un mini "tuto" qu'il est possible d'utiliser le SMTP de son FAI + son propre SMTP, mais en paramétrant Postfix pour utiliser celui du FAI quand il s'agit de Yahoo, Hotmail, Gmail, etc... cela évite de finir dans le dossier "spam". Bref, je ne sais pas quoi faire pour les mails. Il y a tellement de choses à prendre en compte.

Hors ligne

#7 29-07-2015 01:07:14

MoxSite
Membre
Inscription : 28-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

sogal a écrit :

MoxSite a écrit :

- le fait d'exposer son IP, représente des risques ?


Pas nécessairement, effectivement il faut bien configurer cela. Avec la freebox tu as la possibilité de mettre une IP en DMZ le cas échéant.

MoxSite a écrit :

Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?


Changer les ports ne te protégera que si tu te protèges des scans de ports (portsentry peut être utile). En cloisonnant bien tes serveurs et en créant plusieurs couches de sécurité ça devrait le faire.
Si tu n'as pas absolument besoin que tes services aient un accès permanent depuis l'intérieur tu peux te monter un serveur VPN aussi.

Pour le serveur de courriel, je ne saurais te dire, j'hésite encore, principalement du fait de la disponibilité : que se passe-t'il si le serveur tombe quand je ne suis pas là ? où vont les mails ? smile



Je ne connaissais pas portsentry, je vais bien me renseigner smile.

Dans mon cas le VPN me sera utile dans quel cas ? accéder à mon serveur depuis l’extérieur en chiffrant ma connexion ? J'aurai besoin d’accès en local pour le développement web, mais sur un conteneur LXC indépendant.

Le PC/Serveur hôte sera en réalité un simple pc mini itx basse conso à "tout faire", branché sur la la télé en HDMI (utilisé occasionnellement), il fera office de serveur Nas, Cloud, bureautique, etc.

Dernière modification par MoxSite (29-07-2015 01:15:08)

Hors ligne

#8 29-07-2015 07:48:07

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

Je ne connaissais pas portsentry, je vais bien me renseigner



PortSentry has the ability to detect portscans(including stealth scans) on
the network interfaces of your machine. Upon alarm it can block the
attacker via hosts.deny, dropped route or firewall rule.


En gros il détecte qui chercher à scanner et peut bloquer l'indélicat de différentes façons. Effectivement bien lire la documentation pour éviter de se bloquer tout seul ! (ça m'est arrivé (+/- volontairement !) en le testant wink )

Pour le VPN, en effet, peut-être pas utile dans ton cas si toutes les ressources fournies sont destinées à être utilisées / accessibles depuis l'internet. Je l'utilise pour des ressources que je veux conserver en local uniquement (NFS, wiki, webgallery).


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#9 31-07-2015 00:39:17

MoxSite
Membre
Inscription : 28-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Bonsoir,

Je vais installer PortSentry et bien l'étudier :-).

Pour le VPN, tu l'utilises comment exactement ? Moi aussi j'ai certaines ressources destinées à une utilisation locale.

Hors ligne

#10 31-07-2015 21:56:30

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

Pour le VPN, tu l'utilises comment exactement ?



J'ai créé une VM sur le serveur sur laquelle j'ai installé openVPN. Je redirige le port 1194 de la Freebox vers cette VM.
J'utilise des règles iptables pour assurer la translation d'IP vers le LAN et les options de configuration adaptées dans le configuration du VPN pour pousser au client les routes et le DNS interne.

Ce n'est peut-être pas la configuration la plus orthodoxe, idéalement j'aurai préféré avoir un vrai routeur derrière la Freebox et ce service VPN installé directement dessus plutôt dans une machine, même virtuelle, faisant partie du LAN, mais bon, j'ai pas les moyens smile


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#11 31-07-2015 22:19:24

Atys
Membre
Distrib. : Debian GNU/Linux unstable (sid)
Noyau : Linux 4.8.0-2-686-pae
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Salut,

Je ne connais pas grand chose sur l'auto-hébergement mais ça ne peu qu'être instructif !
PortSentry est bien je trouve, pour le hardware avec 8 Go ça va à mon avis.

Hors ligne

#12 11-08-2015 19:27:06

MoxSite
Membre
Inscription : 28-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Bonsoir tout le monde,

Me revoilà après quelques temps :-). J'ai reçu et monté ma petite config depuis, franchement elle est top pour son prix : 319€, que du bonheur avec les conteneurs LXC big_smile.

J'ai appliqué une petite couche de sécurité pour ma Debian, notamment en installant PortSentry, fail2ban + iptables + le routeur de la Freebox, clé RSA, SSL, etc.. et des mots de passe de plus de 25 caractères lol big_smile, maintenant je peux continuer mon projet d'auto-hébergement. J'ai installé ownCloud avec MariaDB et Nginx, maintenant va ça se compliquer un peu pour le serveur mail à la maison smile.

J'ai testé PortSentry depuis mon serveur dédié, ça marche super bien, merci sogal smile.

Dernière modification par MoxSite (11-08-2015 19:28:16)

Hors ligne

#13 24-08-2015 01:50:07

mortalius
Membre
Distrib. : Debian GNU/Linux stretch/sid
Noyau : Linux 4.0.0-2-amd64
(G)UI : Xfce 4.12
Inscription : 27-02-2012

Re : Projet de serveur à la maison derrière la Freebox 6

Bonjour MoxSite,

Je vois que tu utilise un AMD 5350 sur une AM1B-ITX, probablement accompagné d'un petit ventilo CPU(celui d'origine). Que penses-tu du ventilo en lui même ? du bruit ?

Merci d'avance.

Hors ligne

#14 24-08-2015 02:35:52

MoxSite
Membre
Inscription : 28-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

mortalius a écrit :

Bonjour MoxSite,

Je vois que tu utilise un AMD 5350 sur une AM1B-ITX, probablement accompagné d'un petit ventilo CPU(celui d'origine). Que penses-tu du ventilo en lui même ? du bruit ?

Merci d'avance.


Bonsoir,

Les fixations du ventilateur sont un peu galère, il faut y aller avec modération lors du montage pour ne pas endommager la carte mère.

Sinon avec la configuration par défaut du Bios de la AM1B-ITX, le ventilo tourne à 2900tpm, ça ne sert à rien, le CPU dépasse rarement les 37°c, du coup j'ai réduis sa vitesse dans le Bios, il tourne à 1900tpm maintenant, on peut décentre plus, car le CPU ne chauffe pas. Sinon niveau bruit c'est silencieux. J'ai aussi un ventilateur en façade de 12cm (vitesse réduite via Bios 1000tpm largement suffisant) qui tourne + celui de l'alim, on peut dormir dans la pièce sans problème ! J'ai le boité ITX à coté de la TV, il ne gène absolument pas au niveau bruit. J'ai aussi un ventilateur sur le côté dans le boité Cooler Master Elite 130, celui-là je l'ai carrément débranché, il ne sert vraiment à rien avec une telle config :-).

Dernière modification par MoxSite (24-08-2015 02:39:30)

Hors ligne

Pied de page des forums