Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 21-11-2016 00:33:19

Endotheline
Membre
Inscription : 20-11-2016

Sécurité serveur domestique

Bien le bonjour,

Tout nouvel arrivant sur Linux/Debian JESSIE (3j), je suis encore en phase d'apprentissage total (et un peu galère), j'ai besoin de votre aide.

Tout d'abord, je vous expose mon projet :

Crée un serveur domestique, une sorte de NAS pas cher et qui peu servir à d'autres choses en cas de besoin.
Le serveur est un vieux PC, placé dans mon salon et relié a la TV.
Ce serveur est administrer de 2 manières : - Via le PC directement (clavier, souris) ou via un PC Windows 10 (c'est mal).
J'utilise ce serveur pour : -partager du contenu multimédia à mon PC Windows (UNIQUEMENT a ce PC en local, j'insiste sur ce point), télécharger des fichiers (légaux, bien évidement..), et comme "Home Center" (KODI)

A 99% du temps, c'est donc a ceci que servira mon installation.

Pas de panique, je ne demande pas une aide pour mettre tout cela en place, c'est déjà fait ! Je sais chercher par moi même.

Voici donc, suite au projet exposé, où j'en suis :

J'ai installer Debian JESSIE sur le serveur en question et j'ai configuré le tout. (J'ai quand même mis une interface graphique GNOME, même si cela est inutile sur un serveur ! Étant débutant, ca aide malgré tout !)
J'ai configuré le serveur en SSH, pour l'administrer a distance. (le clavier et souris au milieu du salon, ca me saoul !!)
J'ai installé Samba pour le partage de dossier avec mon PC Windows (Streaming des vidéos présentent sur le serveur, autant le dire)
J'ai installé FileZila sur mon PC Windows pour le transfert de fichiers.
J'ai installé JDownloader sur le serveur et je l'ai configuré pour l'utiliser avec MyJDownloader a distance.
J'ai installé KODI pour le "Home Center" sur le serveur.
J'utilise KODI Remote pour contrôler KODI avec mon smartphone ( C'est le pied de pas devoir se lever )

Vous l'aurez donc compris, mon projet est en place et fonctionne a merveille !

C'est la que je viens à vous ! Je me pose beaucoup de questions sur la sécurité de l'ensemble. Je me suis renseigné, j'ai trouver pas mal de cours (openclassroom, entre autre) pour sécuriser tout ca.
Iptables
Fail2ban
et bien d'autre ..
J'ai trouvé tout ce qu'il me faut pour configurer le tout.
Seul problème, c'est le bordel quand je met cette sécurité en place ! Plus d'accès avec mon kodi remote, et j'en passe ..

Voici donc ENFIN mes questions (cela me semblait important de décrire le projet pour que vous puissiez m'aider au mieux) :


N'ayant aucun intérêt à avoir accès a tout ca hors réseau local, je me demandais si il était possible de configurer le serveur pour qu'il n'accepte que le LOCAL ??
Cela éviterai ainsi toute intrusions, ca compliquerai pas mal les choses en tout cas.
Cette solution me parait complexe car le serveur a besoin d'internet malgré tout.

Si cela n'est pas possible, comment sécuriser le tout, sans devenir dinguo pour les accès ? ?

Troisième et dernière question, est ce vraiment nécessaire de sécuriser tout ca ? il n'y a que moi qui ai acces a ce serveur et je n'envoie l'adresse a personne.

Merci pour votre lecture et pour vos futures réponses.

Greg

Hors ligne

#2 21-11-2016 12:07:16

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Sécurité serveur domestique

Bonjour,

Le serveur étant situé derrière un routeur domestique (box) il n'est pas accessible* depuis Internet sauf à avoir déclaré expressément une redirection de port sur la box vers le serveur.

L'autre possibilité pour atteindre le serveur serait de "rebondir" sur une machine du LAN, mais dans ce cas un filtrage par IP sera inopérant si la machine en question doit pouvoir accéder au serveur. Ça reste néanmoins une méthode difficile voir impossible à exploiter, je la mentionne pour être complet.

Avec iptables tu peux toujours limiter les IPs qui ont accès au serveur depuis le LAN pour éviter l'ajout inopiné d'un PC sur le LAN, éventuellement inclure un filtrage sur l'adresse MAC (ça se contourne facilement).

À mon avis tes craintes concernant une intrusion depuis le net ne sont pas fondées, et sont plus liées à une incompréhension du problème qu'à une réelle menace. Tu ne différencies pas par exemple le fait que le serveur soit accessible depuis Internet et celui qu'il ait accès à Internet, ce qui correspond concrètement à des règles de filtrage séparées et indépendantes; on peut interdire l'accès depuis l'extérieur (y compris les machines du LAN) au serveur tout en autorisant celui-ci à accéder à Internet.

Espérant avoir un peu débroussaillé le terrain...  smile


edit: *: pas accessible en IPv4. Il vaut mieux par contre désactiver IPv6 si on ne veut pas avoir à gérer cette partie, ou au moins définir une politique de rejet par défaut pour IPv6. À moins que la box ne le gère pas, auquel cas on est tranquille.

Dernière modification par tux12 (21-11-2016 13:00:34)

Hors ligne

#3 21-11-2016 14:15:14

Endotheline
Membre
Inscription : 20-11-2016

Re : Sécurité serveur domestique

Bonjour,

Merci pour ta réponse très complète et asser claire !
En effet, je n'y connais absolument rien, je me débrouille comme je peux.

Donc pour résumer ta réponse,

Malgré le fait que je n'ai aucun pare feu configurer sur mon serveur (tous les ports sont donc ouvert)
Malgré le fait que j'ai créé une connexion ssh pour administrer le serveur
Malgré le fait que mon pc y a accès
Malgré le fait que le serveur est relié à internet
Etc ..

Je ne risque pas d'intrusion via le net ? Tout se passe en local et l'accès au serveur est "fermer" hors lan ?

Hors ligne

#4 22-11-2016 08:02:03

mizapar
Membre
Distrib. : nutyx/debian8/ubuntu
(G)UI : openbox
Inscription : 26-10-2016

Re : Sécurité serveur domestique

c'est pas censé arrivé,
faut bien configuré en amont (rooter), tu peut juste ajouter  un antivirus et autre logiciels de scan, regarde sur le wiki dans le theme securité, et fais un petit scan de temps en temps.
apres, comme tu as reussi a monter ton reseau, pour la connaissance autant regarder comment fonctionne le parefeu logiciel avec iptable, mais c'est pas super intuitif a comprendre
(je doit aussi me pencher sur le sujet.)

et tu peut aussi deconnecter ta box quand tu ne l'utilise pas, ou debrancher le cable reseau simplement.
mais sur du reseau local t'es pas obligé de te prendre la tete.

Hors ligne

Pied de page des forums