Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-04-2016 12:18:10

Orsam999
Membre
Distrib. : Debian GNU/Linux 7.9 (wheezy)
Noyau : Linux 3.2.0-4-486
Inscription : 16-01-2015

[Résolu] Debian 8 - VirtualHost

Bonjour à tous,

Après des mois d'hésitation (vu que j'avais enfin réussi à me dépêtrer de Debian 7 big_smile), je suis enfin passé à Debian 8, enfin, c'est encore en cours de configuration.

Comme je recommence depuis le début pour cette nouvelle machine, j'ai besoin de vos conseils, afin de remettre à plat toute ma précédente config, et je reviens donc aux fichiers VirtualHost.

Ma config est simple :

J'ai des sites publics dans /var/www et des sites privés dans /home/mes_sites_de_test

Pour les sites privés j'aimerais autoriser leurs accès uniquement à partir de certaines IP (locale et IP fixes) même chose pour phpmyadmin. Mais je ne sais pas ou mettre ça.

J'ai vu beaucoup de doc concernant les VirtualHost, mais je n'en trouve pas qui documente chaque options. Vous avez des adresses ?? En français si possible. Ceci me permettrais de bien comprendre ce que je mets dans mes fichiers VirtualHost, au lieu de copier bêtement des bouts de code sans connaitre leurs utilités.

Le problème se pose aussi pour tout ce qui concerne la sécurité (ssh par exemple) où on trouve des tonnes de configuration sans savoir exactement quoi faire et pourquoi. roll
Pour info, je n'ai fait que cette "configuration" sur le nouveau serveur https://phollow.fr/2010/02/renforcer-la … rveur-ssh/

Mais je suis un peu perdu dans tout ça..

Merci d'avance pour votre aide

Orsam

Dernière modification par Orsam999 (10-04-2016 07:44:38)


Celui qui ne progresse pas chaque jour, recule chaque jour.
Confucius

Hors ligne

#2 07-04-2016 12:29:27

sk4rr
Membre
Lieu : Lognes, France
Distrib. : Debian Sid
Noyau : 4.0.0-1-amd64
(G)UI : Xfce4
Inscription : 17-05-2015

Re : [Résolu] Debian 8 - VirtualHost

Bonjour,

Je vais répondre seulement à quelques points, désolé.

Limiter les accès à un site web dépends du moteur, apache2 ou nginx, et se place dans le vhost. Pour apache2 :

# Limiter l'accès
Order Deny,Allow
Deny from all
Allow from IP_AUTORISEE_1
Allow from IP_AUTORISEE_X


Pour nginx :

# Filtrage IP
allow           IP_AUTORISEE_1
allow           IP_AUTORISEE_X
deny            all;


Les lignes sont relativement simples à comprendre :

  • apache2 : définir dans quel ordre on agit, rejeter tout le monde, autoriser spécifiquement des IP

  • nginx : autoriser des IP, rejeter les autres


Pour phpmyadmin je te donne la modification uniquement sur apache2 :

nano /etc/apache2/conf.d/phpmyadmin.conf


Ajoute entre <Directory /usr/share/phpmyadmin> et </Directory> le code donné plus haut.

La sécurité de ssh est un point assez complexe...
Mon premier conseil, avoir un mot de passe root en béton (générer un mot de passe 64 caractères ou plus) :

apt install pwgen


pwgen -s -y -1 64 1


Ensuite, tu peux bannir automatiquement ceux qui font trop de tentatives échouées de connexion à ton serveur juste en installant fail2ban :

apt install fail2ban


Mes deux conseils sont une façon "low cost" de sécurisé un peu ton serveur. Le mieux, c'est tout de même d'utiliser l'authentification par clef et de désactiver totalement la connexion par mot de passe au niveau de ssh.

J'espère avoir été utile.

Dernière modification par sk4rr (07-04-2016 12:31:55)


"Vous savez. Quand on y pense. La quintessence de la vie, je veux dire, depuis le départ, depuis le développement de la première cellule qui s'est divisé en deux cellule. Le seul but de la vie n'a jamais été que la transmission des connaissances acquises, il n'y a jamais eu de but supérieur.", Lucy

Hors ligne

#3 07-04-2016 17:27:39

Orsam999
Membre
Distrib. : Debian GNU/Linux 7.9 (wheezy)
Noyau : Linux 3.2.0-4-486
Inscription : 16-01-2015

Re : [Résolu] Debian 8 - VirtualHost

Bionjour sk4rr,

Et merci pour tes précieux conseils !

Pour Apache, c'est bon..

PhpMyAdmin, je n'ai pas encore installé sur mon nouveau serveur (sur mon serveur précédent, j'avais mis un .htaccess avec demande de code).

En ce qui concerne SSH, je suis le seul à m'y connecter.

Dans hosts.deny j'ai mis :

ALL:ALL



Et dans hosts.allow j'ai mis :


sshd:192.168.0.* # Pour le local
sshd:888.888.888.88 # Mon IP Fixe
sshd:888.888.888.88 # IP Fixe bureau
 



Donc je pense que pour la connexion SSH c'est bon...

Mais je ne sais pas si ajouter une couche avec fail2ban est utile après tout ça..

A ton avis ?

Merci encore.

Orsam


Celui qui ne progresse pas chaque jour, recule chaque jour.
Confucius

Hors ligne

#4 08-04-2016 09:11:29

sk4rr
Membre
Lieu : Lognes, France
Distrib. : Debian Sid
Noyau : 4.0.0-1-amd64
(G)UI : Xfce4
Inscription : 17-05-2015

Re : [Résolu] Debian 8 - VirtualHost

Orsam999 a écrit :

PhpMyAdmin, je n'ai pas encore installé sur mon nouveau serveur (sur mon serveur précédent, j'avais mis un .htaccess avec demande de code).


Ce n'est pas la méthode documentée, mais je suppose que ça fait la même chose smile

Orsam999 a écrit :

Mais je ne sais pas si ajouter une couche avec fail2ban est utile après tout ça..


Effectivement, j'utilise l'astuce des fichiers hosts.deny et hosts.allow, mais j'ai tout de même un fail2ban parce qu'il ne protège pas que SSH, mais tout un tas d'autres services ouverts sur l'extérieur (ex : apache2).

La sécurité, y en a jamais assez, perso je cumule :

  • fichiers hosts.deny et hosts.allow

  • fail2ban

  • clef pour me connecté en ssh (mot de passe désactivé)



Après, inutile d'être parano, fail2ban suffit normalement à faire renoncer puisqu'il va bannir au bout de x tentatives un hôte qui échoue à se connecté (bruteforce/dictionnaire trèèèèèès long) ; en gros, faut que le pirate sache que ce qu'il y a derrière ton serveur vaut la peine pour qu'il perde autant de temps dessus.


"Vous savez. Quand on y pense. La quintessence de la vie, je veux dire, depuis le départ, depuis le développement de la première cellule qui s'est divisé en deux cellule. Le seul but de la vie n'a jamais été que la transmission des connaissances acquises, il n'y a jamais eu de but supérieur.", Lucy

Hors ligne

#5 09-04-2016 06:24:33

Orsam999
Membre
Distrib. : Debian GNU/Linux 7.9 (wheezy)
Noyau : Linux 3.2.0-4-486
Inscription : 16-01-2015

Re : [Résolu] Debian 8 - VirtualHost

Bonjour sk4rr,

en gros, faut que le pirate sache que ce qu'il y a derrière ton serveur vaut la peine pour qu'il perde autant de temps dessus



En faite, si un pirate arrive à entrer sur mon serveur, le pauvre risque de mourir d'ennui, il y a des tests, des tests, et des sauvegardes de tests.. lol

Mais je pense que tu as raison pour Fail2ban... Je vais regarder ça, car pour l'instant je suis le seul à me connexion en ssh sur mon serveur, mais qui sait, les choses peuvent changer...

Merci encore pour tes conseils.

Orsam


Celui qui ne progresse pas chaque jour, recule chaque jour.
Confucius

Hors ligne

Pied de page des forums