Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-02-2020 18:06:42

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Interdire l'accès en webdav mais seulement depuis Internet.

Bonsoir à tous smile

Serveur Oncloud, HTTPS, sous Jessie.

Je souhaite interdire l'accès en webdav à mon serveur. Mais seulement depuis Internet, bien sûr. Pas en local.
Alors ou je tripatouille l'hôte virtuel, ou je m'y prends avec iptables.

Je préfèrerais iptables, même si c'est peut-être plus simple de modifier l'hôte virtuel.
Mais je ne m'y entends pas trop sur iptables.
D'où mon sujet. Excellente occasion de le domestiquer.

Quelle sorte de règle appliquer ?
La documentation d'iptables est... assez monstrueuse wink

J'ai réalisé une image CloneZilla du disque système : je fais déjà ça avant les mises à jours, alors iptables... Hum !

A votre avis ?

Hors ligne

#2 01-03-2020 23:21:58

leonlemouton
Adhérent(e)
Distrib. : Buster
(G)UI : Mate ∨ LXQt
Inscription : 14-08-2012

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Salut,
C'est quoi le port utilisé par webdav ? 443 (https) ?
Peux tu le vérifier ?

grep webdav /etc/services


Bon courage !


Leonlemouton
°(")°

Hors ligne

#3 02-03-2020 10:42:36

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Bonjour smile

Oui : c'est bien le port 443.
Et la commande ne retourne... rien.
Contrairement à des tests, par exemple :


apache2ctl configtest
Syntax OK
 



Mais, j'ai fait un test sous Tor.
J'ai vérifié : depuis l'Allemagne, j'y accède via mon IP publique sad
C'est précisément ce que je veux bloquer hmm

Des pistes :
https://www.youtube.com/watch?v=MXJ9Lv9yKjo

https://www.youtube.com/watch?v=fEeRjLbRARE

Donc, modifier, entre autres, le apache2.conf. Les options </Directory>
Je vais creuser ça. https://debian-facile.org/img/smilies/x … chhead.gif
Evidemment, sauvegarde impérative des fichiers avant de les modifier. Et même CloneZilla, à y être.

Mauvaise idée !
Sauf erreur de ma part, ils désactive les webdav tout court. Y compris en local.

Dernière modification par Lupa (02-03-2020 13:50:20)

Hors ligne

#4 03-03-2020 10:40:50

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Peux-tu décrire ton installation plus en détail ?
Comment se fait l'accès au serveur depuis internet ? A travers une box ? En IPv6 ? En IPv4 ? Via une redirection de port (adresse publique -> privée) ?
Comment se fait l'accès au serveur depuis le réseau local ? Par la même interface réseau que depuis internet ?
Ce serveur héberge-t-il d'autres sites/services en HTTPS que WebDAV qui doivent rester accessibles depuis internet ?

Dernière modification par raleur (03-03-2020 10:42:44)


Il vaut mieux montrer que raconter.

Hors ligne

#5 03-03-2020 10:58:02

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Bonjour.
Accès actuel :
- client Owncloud, depuis le réseau local et l'extérieur
- accès webdav depuis le réseau local ET l'extérieur (ce que je veux bloquer)

- IPV4 : j'ai erradiqué l'IPV6. Il me faudra apprendre à la gérer aussi.

Freebox Revolution.
Ports 80 et 443 redirigés vers l'IP locale du serveur.
Le port 80 ne me sert pas, puisque je suis en HTTPS. Mais un hôte virtuel d'Apache, le modèle-type, utilise le port 80. Je n'ai donc pas osé la commande a2dissite.
Un seul serveur. En dur, pas virtualisé.

A cette question : "Comment se fait l'accès au serveur depuis le réseau local ? Par la même interface réseau que depuis internet ?"  :


2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:ac:6f:9d:c5:21 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.XX/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
 



Je n'ai pas configuré d'autre interface... C'est un tort ?
J'ai masqué l'IP locale, comme il m'a été demandé ailleurs.

Hors ligne

#6 03-03-2020 12:08:44

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Je suppose que tu veux garder l'accès à Owncloud depuis internet, donc supprimer la redirection du port 443 dans la box n'est pas une option. Même problématique avec iptables.

Une options possible serait d'utiliser des ports ou des adresses différents pour les deux services. Cela implique qu'il faudra spécifier le port dans les URL du service qui n'utilisera pas le port standard 443, et celui-ci risque d'être inaccessible depuis les réseaux qui n'autorisent que les ports standard. Pas très pratique, j'en conviens.

Côté Apache, j'ignore s'il est possible de restreindre l'accès à un hôte virtuel en fonction de l'adresse source.

Il vaut mieux montrer que raconter.

Hors ligne

#7 03-03-2020 12:53:51

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Interdire l'accès en webdav mais seulement depuis Internet.

raleur a écrit :

Côté Apache, j'ignore s'il est possible de restreindre l'accès à un hôte virtuel en fonction de l'adresse source.

C'est possible, avec la directive Require


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

En ligne

#8 03-03-2020 14:18:00

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Une options possible serait d'utiliser des ports ou des adresses différents pour les deux services. Cela implique qu'il faudra spécifier le port dans les URL du service qui n'utilisera pas le port standard 443, et celui-ci risque d'être inaccessible depuis les réseaux qui n'autorisent que les ports standard. Pas très pratique, j'en conviens.



Et, en plus, le client Owncloud, risque de ne pas pouvoir se connecter depuis Internet. Là, pas d'URL. Une IP, voir un nom de domaine (ce qui n'est pas le cas actuellement).

Require : je vas potasser ça.

Je donne le retour.

Hors ligne

#9 03-03-2020 14:41:34

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Lupa a écrit :

le client Owncloud, risque de ne pas pouvoir se connecter depuis Internet. Là, pas d'URL


Si c'est du HTTP(S), il y a forcément des URL. Owncloud est servi par Apache ou bien c'est un service indépendent (je n'y connais rien en cloud), donc sur un port différent de 443 ?


Il vaut mieux montrer que raconter.

Hors ligne

#10 03-03-2020 15:47:15

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès en webdav mais seulement depuis Internet.

@raleur : URL, en webdav, oui. Bien sûr.
Mais le client Ownclouod (le logiciel, pas le Owncloud installé sous Debian), lui, n'utilise pas d'URL. A ma connaissance  en tout cas.
Une IP publique ou un nom de domaine.
Je n'ai jamais saisi une URL pour me connecter avec le client...
Et oui, c'est bien du HTTPS sur port 443.
Par contre, côté serveur, quand on le monte, arrivé au lancement du setup de OwnCloud, oui : on saisit le port d'Apache. Mais pas d'URL. Juste le port d'Apache et le psw de root (de Owncloud).

Voici un capture du setup de Owncloud serveur, quand on monte le serveur :
file.php?h=Rd914c7cbeae9d125a958ebeb335904bb

Il n'y a aucune URL à saisir.

Et, côté client
file.php?h=R9e84655fdf001573c4cbeb0ad0f79a8c

Ici, l'image est trompeuse, pour mon cas. Je ne saisi QUE l'IP publique, y compris dans le réseau local.

Je ne sais pas si je me suis bien fait comprendre hmm
En tout cas, je regarde de très près cette directive Require.

Dernière modification par Lupa (03-03-2020 17:16:00)

Hors ligne

#11 03-03-2020 19:07:13

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Interdire l'accès en webdav mais seulement depuis Internet.

Lupa a écrit :

Mais le client Ownclouod (le logiciel, pas le Owncloud installé sous Debian), lui, n'utilise pas d'URL. A ma connaissance  en tout cas.

En fait si, mais c'est caché dans le fonctionnement du client.je pense. Webdav c'est ça, une extension du protocole HTTP, il y a donc forcement des URL. Owncloud implémente un serveur Webdav, il va donc générer des URL. Le client connaît par avance comment son formé ces URL, et sait donc comment interagir avec le serveur.

Pour ma part, je doute que tu puisse séparer l'accès via l'interface web de l'accès via le client, il doit interroger les mêmes URL hmm


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

En ligne

Pied de page des forums