[Résolu] Debian 8 - VirtualHost

Orsam999 · 03-04-2016 11:18:10

Bonjour à tous,

Après des mois d'hésitation (vu que j'avais enfin réussi à me dépêtrer de Debian 7

), je suis enfin passé à Debian 8, enfin, c'est encore en cours de configuration.

Comme je recommence depuis le début pour cette nouvelle machine, j'ai besoin de vos conseils, afin de remettre à plat toute ma précédente config, et je reviens donc aux fichiers VirtualHost.

Ma config est simple :

J'ai des sites publics dans /var/www et des sites privés dans /home/mes_sites_de_test

Pour les sites privés j'aimerais autoriser leurs accès uniquement à partir de certaines IP (locale et IP fixes) même chose pour phpmyadmin. Mais je ne sais pas ou mettre ça.

J'ai vu beaucoup de doc concernant les VirtualHost, mais je n'en trouve pas qui documente chaque options. Vous avez des adresses ?? En français si possible. Ceci me permettrais de bien comprendre ce que je mets dans mes fichiers VirtualHost, au lieu de copier bêtement des bouts de code sans connaitre leurs utilités.

Le problème se pose aussi pour tout ce qui concerne la sécurité (ssh par exemple) où on trouve des tonnes de configuration sans savoir exactement quoi faire et pourquoi.

Pour info, je n'ai fait que cette "configuration" sur le nouveau serveur https://phollow.fr/2010/02/renforcer-la … rveur-ssh/

Mais je suis un peu perdu dans tout ça..

Merci d'avance pour votre aide

Orsam

Dernière modification par Orsam999 (10-04-2016 06:44:38)

sk4rr · 07-04-2016 11:29:27

Bonjour,

Je vais répondre seulement à quelques points, désolé.

Limiter les accès à un site web dépends du moteur, apache2 ou nginx, et se place dans le vhost. Pour apache2 :

# Limiter l'accès

Order Deny,Allow

Deny from all

Allow from IP_AUTORISEE_1

Allow from IP_AUTORISEE_X

Pour nginx :

# Filtrage IP

allow           IP_AUTORISEE_1

allow           IP_AUTORISEE_X

deny            all;

Les lignes sont relativement simples à comprendre :

apache2 : définir dans quel ordre on agit, rejeter tout le monde, autoriser spécifiquement des IP
nginx : autoriser des IP, rejeter les autres

Pour phpmyadmin je te donne la modification uniquement sur apache2 :

nano /etc/apache2/conf.d/phpmyadmin.conf

Ajoute entre <Directory /usr/share/phpmyadmin> et </Directory> le code donné plus haut.

La sécurité de ssh est un point assez complexe...
Mon premier conseil, avoir un mot de passe root en béton (générer un mot de passe 64 caractères ou plus) :

apt install pwgen

pwgen -s -y -1 64 1

Ensuite, tu peux bannir automatiquement ceux qui font trop de tentatives échouées de connexion à ton serveur juste en installant fail2ban :

apt install fail2ban

Mes deux conseils sont une façon "low cost" de sécurisé un peu ton serveur. Le mieux, c'est tout de même d'utiliser l'authentification par clef et de désactiver totalement la connexion par mot de passe au niveau de ssh.

J'espère avoir été utile.

Dernière modification par sk4rr (07-04-2016 11:31:55)

Orsam999 · 07-04-2016 16:27:39

Bionjour sk4rr,

Et merci pour tes précieux conseils !

Pour Apache, c'est bon..

PhpMyAdmin, je n'ai pas encore installé sur mon nouveau serveur (sur mon serveur précédent, j'avais mis un .htaccess avec demande de code).

En ce qui concerne SSH, je suis le seul à m'y connecter.

Dans hosts.deny j'ai mis :

ALL:ALL

Et dans hosts.allow j'ai mis :

sshd:192.168.0.* # Pour le local

sshd:888.888.888.88 # Mon IP Fixe

sshd:888.888.888.88 # IP Fixe bureau

Donc je pense que pour la connexion SSH c'est bon...

Mais je ne sais pas si ajouter une couche avec fail2ban est utile après tout ça..

A ton avis ?

Merci encore.

Orsam

sk4rr · 08-04-2016 08:11:29

Orsam999 a écrit :

PhpMyAdmin, je n'ai pas encore installé sur mon nouveau serveur (sur mon serveur précédent, j'avais mis un .htaccess avec demande de code).

Ce n'est pas la méthode documentée, mais je suppose que ça fait la même chose

Orsam999 a écrit :

Mais je ne sais pas si ajouter une couche avec fail2ban est utile après tout ça..

Effectivement, j'utilise l'astuce des fichiers hosts.deny et hosts.allow, mais j'ai tout de même un fail2ban parce qu'il ne protège pas que SSH, mais tout un tas d'autres services ouverts sur l'extérieur (ex : apache2).

La sécurité, y en a jamais assez, perso je cumule :

fichiers hosts.deny et hosts.allow
fail2ban
clef pour me connecté en ssh (mot de passe désactivé)

Après, inutile d'être parano, fail2ban suffit normalement à faire renoncer puisqu'il va bannir au bout de x tentatives un hôte qui échoue à se connecté (bruteforce/dictionnaire trèèèèèès long) ; en gros, faut que le pirate sache que ce qu'il y a derrière ton serveur vaut la peine pour qu'il perde autant de temps dessus.

Orsam999 · 09-04-2016 05:24:33

Bonjour sk4rr,

en gros, faut que le pirate sache que ce qu'il y a derrière ton serveur vaut la peine pour qu'il perde autant de temps dessus

En faite, si un pirate arrive à entrer sur mon serveur, le pauvre risque de mourir d'ennui, il y a des tests, des tests, et des sauvegardes de tests..

Mais je pense que tu as raison pour Fail2ban... Je vais regarder ça, car pour l'instant je suis le seul à me connexion en ssh sur mon serveur, mais qui sait, les choses peuvent changer...

Merci encore pour tes conseils.

Orsam

Debian-facile

#1 03-04-2016 11:18:10

[Résolu] Debian 8 - VirtualHost

#2 07-04-2016 11:29:27

Re : [Résolu] Debian 8 - VirtualHost

#3 07-04-2016 16:27:39

Re : [Résolu] Debian 8 - VirtualHost

#4 08-04-2016 08:11:29

Re : [Résolu] Debian 8 - VirtualHost

#5 09-04-2016 05:24:33

Re : [Résolu] Debian 8 - VirtualHost

Pied de page des forums