logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-07-2015 11:44:05

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Projet de serveur à la maison derrière la Freebox 6

Bonjour,

Tout d'abord je trouve ce site très sympa, ça donne envie de vous rejoindre et papoter Debian/Linux avec vous :-). Bravo !

J'ai un serveur dédié chez Online avec plusieurs sites dessus, comme je compte monter un PC/Serveur mini ITX basse consommation, je veux en profiter pour héberger mes sites à la maison, mais je ne sais pas si c'est une bonne idée au final, mais d'un côté,ça m’évitera de payer un serveur dédié 20€/mois.

Avant d'aller plus loin voici ma connexion internet :

- VDSL Free, avec IP Fixe
- 45Mb/s en Down. 12Mb/s en UP.


Ma config pour mon serveur (commandée) :
- Seagate Barracuda 7200.14 SATA 6Gb/s 1 To   
- G.Skill NT Series 8 Go DDR3 1600 MHz CL11   
- Cooler Master Elite 130
- ASRock AM1B-ITX   
- AMD Athlon 5350 (2.05 GHz)   
- Corsair Builder Series VS350 80PLUS

Mes sites :
5 sites PHP-FPM/Nginx pilotés avec un CMS fait maison, ayant en moyenne 400 v/jour.

Ce projet de PC/Serveur chez moi qui me servira pour plusieurs choses :

- Serveur mutimédia
- Serveur Nas
- Cloud
- 1 Serveur web pour le développement (LXC)
- 1 Serveur web pour la prod (LXC)
- Serveur mail

Ce PC basse conso tournera H24. Je compte mettre dessus une Debian Jessie, les services accessibles depuis le web, seront dans des conteneurs LXC pour plus de sécurité, car je ne veux pas exposer mon PC à la porter de tous.

Cependant j'ai quelques questions, concernant la sécurité :

- le fait d'exposer son IP, représente des risques ?
- Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?
- Quelles sont les contraintes à héberger ses sites chez soit ?
- Dans le cas d'un serveur mail (postfix) à la maison, cela posera quel problème ?

Merci d'avance pour vos réponses :-).

Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#2 28-07-2015 16:50:46

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : Projet de serveur à la maison derrière la Freebox 6

Salut !

- le fait d'exposer son IP, représente des risques ?
Je ne comprends pas bien la question, qu'appelles-tu exposer son IP ?
Sinon, évidemment ouvrir un serveur sur le web représente des risques, le tout étant de bien configurer tout ça.

- Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?
Oui, j'ai la même chose sans fail2ban mais je n'ai pas 400 v/jour.

- Quelles sont les contraintes à héberger ses sites chez soit ?
La facture : 30€ /an pour moi mais mon bouzin n'est qu'un desktop,
Le bruit : c'est allumé 24/24, donc on évite la chambre
Les coupures d'électricité, sans onduleur, ça peut faire bobo même si je n'ai jamais eu de grave soucis.

J'ajouterai qu'il faut faire gaffe à ce que tu vois depuis chez toi car tu vas passer en réseau local entre ton pc et ton serveur, donc il faut penser à passer par un proxy pour vérifier comment tout cela passe par le web.

- Dans le cas d'un serveur mail (postfix) à la maison, cela posera quel problème ?
Chanceux, tu n'es pas chez Orange.
Je ne peux pas te répondre puisque mon port 25 n'est pas ouvert, donc pas de serveur mel.
Fail2ban devient obligatoire puisque ce port là, tu ne pourras pas le changer.

Bon, ceci dit, je le répète, mon hébergement n'est pas d'une grosse densité mais il me rend bien service et pour moi, c'est devenu hors de question de payer de nouveau un hébergeur.

Dernière modification par Papadakis (28-07-2015 16:51:43)


Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#3 28-07-2015 16:58:59

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

Je n'ai pas testé personnellement, mais je pense que c'est possible de s'auto-héberger. L'utilisation des containers LXC me parait un bon moyen de ne pas tout mélanger.
Les LXC au même titre pour les machines virtuelles permettent d'avoir un sous-réseau et donc éventuellement de séparer ce qui doit aller sur le net et ce qui ne doit pas.

Il faut cloisonner au maximun, le réseau, les applications, les mots de passe etc....

Sinon, une des limitations de l'auto-herbergement, c'est l'upload mais 12Mb/s  semble un bon chiffre pour commencer. Il faut voir le bruit aussi.

En ce moment, il y a cozy pour le partage qui semble sympa, le projet est assez jeune mais prometteur.
http://cozy.io/fr/

Hors ligne

#4 28-07-2015 17:07:39

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

- le fait d'exposer son IP, représente des risques ?


Pas nécessairement, effectivement il faut bien configurer cela. Avec la freebox tu as la possibilité de mettre une IP en DMZ le cas échéant.

MoxSite a écrit :

Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?


Changer les ports ne te protégera que si tu te protèges des scans de ports (portsentry peut être utile). En cloisonnant bien tes serveurs et en créant plusieurs couches de sécurité ça devrait le faire.
Si tu n'as pas absolument besoin que tes services aient un accès permanent depuis l'intérieur tu peux te monter un serveur VPN aussi.

Pour le serveur de courriel, je ne saurais te dire, j'hésite encore, principalement du fait de la disponibilité : que se passe-t'il si le serveur tombe quand je ne suis pas là ? où vont les mails ? smile


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#5 28-07-2015 21:33:22

Ir0nsh007er
Membre
Lieu : Montréal, PQ, Canada
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.15.39-4-pve
(G)UI : Terminal
Inscription : 30-04-2015
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

Ici moi jai un petit matos pour usage perso, serveur web/cloud/ssh/samba, et pc desktop simultanément.
Un bon iptable + fail2ban via un bon routeur DD-WRT et changer les ports par default = aucun trouble ici...

UPS a considéré.

Ir0nsh007er (49 72 30 6E 73 68 30 30 37 65 72).  Mon CV
Noob un jour, noob toujours cool
01001001 01110010 00110000 01101110 01110011 01101000 00110000 00110000 00110111 01100101 01110010

Hors ligne

#6 29-07-2015 00:02:37

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Je ne comprends pas bien la question, qu'appelles-tu exposer son IP ?


Je parle des risques liés à l'utilisation de services accessibles depuis le web, comme le serveur web par exemple.

La facture : 30€ /an pour moi mais mon bouzin n'est qu'un desktop,
Le bruit : c'est allumé 24/24, donc on évite la chambre
Les coupures d'électricité, sans onduleur, ça peut faire bobo même si je n'ai jamais eu de grave soucis.


Je paie 20€/mois alors si je peux eviter de les payer tout en gardant le contrôle sur mes données à la maison, ce serait une vraie révolution lol. Perso je n'ai pas de coupures aussi, mais lorsqu'on doit être dispo H24, vaut mieux avoir un onduleur, bien que la carte mère de mon serveur support le Wake On Lan, donc un petit coup de paquet magique depuis à mon smartphone le serveur se lancera tout seul :-). De plus la Freebox est compatible et peut laisser passer je l'ai déjo utilisé pour les sauvegardes de mon dédié ce dernier réveil le Pc du bureau pour effectuer des sauvegardes la nuit.

Concernant le port 25, free permet de l'utiliser et de le débloquer, mais reste la question de la disponibilité et surtout pour se faire accepter par les autres serveurs mail sans finir dans le dossier des "indésirables".

Sinon j'ai lu dans un mini "tuto" qu'il est possible d'utiliser le SMTP de son FAI + son propre SMTP, mais en paramétrant Postfix pour utiliser celui du FAI quand il s'agit de Yahoo, Hotmail, Gmail, etc... cela évite de finir dans le dossier "spam". Bref, je ne sais pas quoi faire pour les mails. Il y a tellement de choses à prendre en compte.


Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#7 29-07-2015 00:07:14

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

sogal a écrit :

MoxSite a écrit :

- le fait d'exposer son IP, représente des risques ?


Pas nécessairement, effectivement il faut bien configurer cela. Avec la freebox tu as la possibilité de mettre une IP en DMZ le cas échéant.

MoxSite a écrit :

Je compte utiliser le pare-feu de la box + iptables + fail2ban, et changer tous les ports par défaut, est-ce suffisant ?


Changer les ports ne te protégera que si tu te protèges des scans de ports (portsentry peut être utile). En cloisonnant bien tes serveurs et en créant plusieurs couches de sécurité ça devrait le faire.
Si tu n'as pas absolument besoin que tes services aient un accès permanent depuis l'intérieur tu peux te monter un serveur VPN aussi.

Pour le serveur de courriel, je ne saurais te dire, j'hésite encore, principalement du fait de la disponibilité : que se passe-t'il si le serveur tombe quand je ne suis pas là ? où vont les mails ? smile



Je ne connaissais pas portsentry, je vais bien me renseigner smile.

Dans mon cas le VPN me sera utile dans quel cas ? accéder à mon serveur depuis l’extérieur en chiffrant ma connexion ? J'aurai besoin d’accès en local pour le développement web, mais sur un conteneur LXC indépendant.

Le PC/Serveur hôte sera en réalité un simple pc mini itx basse conso à "tout faire", branché sur la la télé en HDMI (utilisé occasionnellement), il fera office de serveur Nas, Cloud, bureautique, etc.

Dernière modification par MoxSite (29-07-2015 00:15:08)


Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#8 29-07-2015 06:48:07

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

Je ne connaissais pas portsentry, je vais bien me renseigner



PortSentry has the ability to detect portscans(including stealth scans) on
the network interfaces of your machine. Upon alarm it can block the
attacker via hosts.deny, dropped route or firewall rule.


En gros il détecte qui chercher à scanner et peut bloquer l'indélicat de différentes façons. Effectivement bien lire la documentation pour éviter de se bloquer tout seul ! (ça m'est arrivé (+/- volontairement !) en le testant wink )

Pour le VPN, en effet, peut-être pas utile dans ton cas si toutes les ressources fournies sont destinées à être utilisées / accessibles depuis l'internet. Je l'utilise pour des ressources que je veux conserver en local uniquement (NFS, wiki, webgallery).


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#9 30-07-2015 23:39:17

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Bonsoir,

Je vais installer PortSentry et bien l'étudier :-).

Pour le VPN, tu l'utilises comment exactement ? Moi aussi j'ai certaines ressources destinées à une utilisation locale.

Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#10 31-07-2015 20:56:30

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Projet de serveur à la maison derrière la Freebox 6

MoxSite a écrit :

Pour le VPN, tu l'utilises comment exactement ?



J'ai créé une VM sur le serveur sur laquelle j'ai installé openVPN. Je redirige le port 1194 de la Freebox vers cette VM.
J'utilise des règles iptables pour assurer la translation d'IP vers le LAN et les options de configuration adaptées dans le configuration du VPN pour pousser au client les routes et le DNS interne.

Ce n'est peut-être pas la configuration la plus orthodoxe, idéalement j'aurai préféré avoir un vrai routeur derrière la Freebox et ce service VPN installé directement dessus plutôt dans une machine, même virtuelle, faisant partie du LAN, mais bon, j'ai pas les moyens smile


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#11 31-07-2015 21:19:24

Atys
Banni(e)
Distrib. : jessie + backports i386
Noyau : Linux 3.16.0-7-686-pae
(G)UI : Fluxbox - Xfce
Inscription : 28-02-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Salut,

Je ne connais pas grand chose sur l'auto-hébergement mais ça ne peu qu'être instructif !
PortSentry est bien je trouve, pour le hardware avec 8 Go ça va à mon avis.

La liberté d’expression est un droit fondamental ouvert à tous les citoyens dans le respect des lois.

Hors ligne

#12 11-08-2015 18:27:06

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

Bonsoir tout le monde,

Me revoilà après quelques temps :-). J'ai reçu et monté ma petite config depuis, franchement elle est top pour son prix : 319€, que du bonheur avec les conteneurs LXC big_smile.

J'ai appliqué une petite couche de sécurité pour ma Debian, notamment en installant PortSentry, fail2ban + iptables + le routeur de la Freebox, clé RSA, SSL, etc.. et des mots de passe de plus de 25 caractères lol big_smile, maintenant je peux continuer mon projet d'auto-hébergement. J'ai installé ownCloud avec MariaDB et Nginx, maintenant va ça se compliquer un peu pour le serveur mail à la maison smile.

J'ai testé PortSentry depuis mon serveur dédié, ça marche super bien, merci sogal smile.

Dernière modification par MoxSite (11-08-2015 18:28:16)


Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

#13 24-08-2015 00:50:07

mortalius
Membre
Distrib. : Debian GNU/Linux stretch/sid
Noyau : Linux 4.0.0-2-amd64
(G)UI : Xfce 4.12
Inscription : 27-02-2012

Re : Projet de serveur à la maison derrière la Freebox 6

Bonjour MoxSite,

Je vois que tu utilise un AMD 5350 sur une AM1B-ITX, probablement accompagné d'un petit ventilo CPU(celui d'origine). Que penses-tu du ventilo en lui même ? du bruit ?

Merci d'avance.

Hors ligne

#14 24-08-2015 01:35:52

MoxSite
Membre
Distrib. : Debian Buster (Testing+SID)
Noyau : Linux 4.18.0-1-amd64
(G)UI : Gnome 3.30
Inscription : 27-07-2015

Re : Projet de serveur à la maison derrière la Freebox 6

mortalius a écrit :

Bonjour MoxSite,

Je vois que tu utilise un AMD 5350 sur une AM1B-ITX, probablement accompagné d'un petit ventilo CPU(celui d'origine). Que penses-tu du ventilo en lui même ? du bruit ?

Merci d'avance.


Bonsoir,

Les fixations du ventilateur sont un peu galère, il faut y aller avec modération lors du montage pour ne pas endommager la carte mère.

Sinon avec la configuration par défaut du Bios de la AM1B-ITX, le ventilo tourne à 2900tpm, ça ne sert à rien, le CPU dépasse rarement les 37°c, du coup j'ai réduis sa vitesse dans le Bios, il tourne à 1900tpm maintenant, on peut décentre plus, car le CPU ne chauffe pas. Sinon niveau bruit c'est silencieux. J'ai aussi un ventilateur en façade de 12cm (vitesse réduite via Bios 1000tpm largement suffisant) qui tourne + celui de l'alim, on peut dormir dans la pièce sans problème ! J'ai le boité ITX à coté de la TV, il ne gène absolument pas au niveau bruit. J'ai aussi un ventilateur sur le côté dans le boité Cooler Master Elite 130, celui-là je l'ai carrément débranché, il ne sert vraiment à rien avec une telle config :-).

Dernière modification par MoxSite (24-08-2015 01:39:30)


Debian Stretch sur mes serveurs. Buster (Testing+SID) sur mon PC. Config mini ITX :
CM : ASRock Fatal1ty AB350 Gaming ITX/ac. Ram : Corsair 8GB DDR4. CPU : Ryzen 5 1600. CG : MSI GeForce GT 1030 2GH OC. 120GB SSD + 1TB pour la partition home.
Usage : programmation, bureautique, compatibilité,  photoshop (virtualisation).

Hors ligne

Pied de page des forums