Reprise du message précédent :

J'ai connu ça en entreprise, le post-it avec tous les accès écrit dessus, à la vue de tous

Je pense qu'on peut compter les entreprises dans lesquelles ça n'arrive pas sur les doigts d'une main, la palme à tupperware chez qui un pote à travailler, tous les serveurs avait le même mot de passe et un post-it dans la salle serveur bien en évidence

Est-ce que vous auriez un petit proxy http/https qui tourne Linux ?  
 
J'aimerais essayer de router mon traffic web à travers un de mes VPS. J'ai l'impression que mon FAI doit avoir certains liens vraiment pourris. J'ai envoyé les requêtes manuellement depuis mon VPS et les réponses arrivent bien plus rapidement.

En léger j'utilisais tinyproxy il y'a quelques temps
 
XaT

PFsens+squid ca ferai pas la blague ?  
 
niveau hard ca tourne sur a peu près n'importe quoi c'est fiable, plutot facile a regler

Il a sous-entendu léger
 
XaT

J'ai testé tinyproxy avec une image docker. Lancé et fonctionnel en quelques secondes Merci

pfsens+squid fonctionnerait très certainement mais beaucoup trop complet pour mon besoin.

Reste plus qu'à tester pour voir si c'est vraiment plus rapide.

Puis squid rien que la config faut une semaine devant soit quasiment pour arriver à quelque chose

https://twitter.com/acontios_net/st [...] 3031611392

Tiens j'ai du le croiser à Paris lui
 
XaT

J'veux pas dire de connerie, mais me semble que tu peux demander à Apache de se comporter en proxy web. Si t'a déjà des sites sur ton VPS ça peux te simplifier la vie

Autant utiliser nginx
 
XaT

Un peu HS mais pas trouvé le topic adéquat : j'ai un compte fonera et j'aimerais mettre en place un routeur qui se  connecte à un réseau fonera et qui fait le pont avec un autre WiFi perso afin de  redistribuer la connexion sur plusieurs clients. Le réseau fonera a un portail captif. Est-ce qu'il y a moyen d'automatiser le login avec un routeur qui tourne sous Linux ?

Faudrait pouvoir parser la page du captive portal automatiquement, page de login qui va varier suivant tous les réseaux invités que tu vas visiter, c'est chaud.

https://danrl.com/blog/2016/travel-wifi/
Ici un gars qui veut faire un peu comme toi, il se sert d'un smartphone pour se logger sur le captive portal, puis derrière il partage la connexion en usb tethering vers un routeur wifi perso, qui monte un tunnel VPN wireguard jusque chez lui.

Il peut se faire attaquer le smartphone, mais tous les devices derrière son routeur wifi passent dans le tunnel wireguard donc de ce côté c'est safe.

Pour automatiser le login sur le captive portal, il me semble que fon a une application Connection Manager qui permet de connecter automatiquement ton tel.

Salut,
 
Petite question, j'ai un serveur web (apache2) chez moi et comme vous vous en doutez, je passe mes journées à me faire scanner aléatoirement.
 
Existe-t-il un moyen pour blacklister une IP dès qu'elle se mange 5 erreurs 404 à la suite ?
 
J'ai souvent ce genre de comportement dans mes logs,
 

 
Merci

Fail2ban sais faire ça. Peut être pas par défaut par contre.

 
Oki, je vais creuser de ce coté

Mod security d'Apache sinon.

bonjour tout le monde,
 
j'essai de mettre en route un reverse proxy avec nginx pour accéder à un nas depuis l'exterieur
 
dans mon cas de figure je n'ai pas d'ip fixe, et possède un nom de domaine chez ovh en domaine.com
j'ai défini un dynhost en mon.domaine.com
ensuite créé un sous domaine de type serveur.domaine.com qui pointe vers mon.domaine.com
côté site, le routeur renvoi bien le 80 et 443 vers le serveur nginx sur ces mêmes ports
 
pour avoir fait le boulot, de façon très guidé, sur un nas syno à l'aide du reverse proxy du nas et du "module" letsencrypt intégré également, cela fonctionne en https, j'ai bien accès et le certificat est ok
 
mais avec nginx + letsencrypt je n'arrive pas à accéder au serveur en https,  
 
si je crée un certificat autosigné avec openssl, j'accède bien au serveur, mais j'ai le droit au message d'erreur sur le côté non secure du site
 
j'ai suivi ce tuto  
https://jesuisadmin.fr/configurer-n [...] t-proxmox/
et un message d'erreur apparait après avoir lancé la demande de certificat

 
en cherchant sur cette erreur avec mon ami google, il me dit que le pb pourrait venir de l'ipv6 du domaine, sauf que je ne vois pas comment ça pourrait être ça puisque la meme expérience avec le meme domaine, mais avec du matos syno n'a pas posé de pb
après avoir cherché une soluce pendant plusieurs heures sur le net, je tourne un peu en rond donc me voici
 
si vous avez une idée, je suis preneur
 
merci

En gros faut que ton nginx soit en mesure de comprendre la requete particulière de lets encrypt. Je pourrais te poster un exemple demain

Donc, si je comprend bien ton problème, l'enregistrement sur letsencrypt fonctionne bien sur ton nas, avec un module spécifique pour LE, par contre dès que tu passes sur ton nginx, l'enregistrement sur LE ne fonctionne plus avec le message d'erreur ci-dessus, c'est bien ça?

En gros, quand LE va valider l'enregistrement, il va s'assurer que la demande provient bien du serveur qui héberge le(s) domaine(s) demandé(s). Pour ça, la méthode par défaut c'est de faire une requête sur un fichier http://serveur.domaine.com/.well-k [...] /xxxxxxxxx (xxxxxxxxx est un nom aléatoire généré pour chaque demande)

Le client se charge de créer ce fichier, et le serveur va y accéder. Et c'est là que ton problème se pose (je pense). Nginx et ton client LE ne sont pas configurés pour faire fonctionner tout ça.

Il y a d'autres méthodes de validation (dns, etc..), et certainement des méthodes automatisées pour gérer ton problème, je vais juste te donner ma solution pour une configuration manuelle.

De mon côté, dans mon dossier de conf nginx, j'ai un fichier letsencrypt.conf :

Le dossier root doit être accessible en écriture à nginx, et il suffit maintenant d'inclure letsencrypt.conf dans chaque vhost utilisant le certificat.
Dans le dossier .letsencrypt, j'ai créé l'arborescence suivante :

/home/fabien/data/www/.letsencrypt/.well-known/acme-challenge

Et dans le dossier acme-challenge, j'ai créé un fichier test.txt pour pouvoir m'assurer que nginx est correctement configuré.

Maintenant dans ton navigateur, tu dois pouvoir afficher le contenu du fichier test.txt en utilisant l'url : http://serveur.domaine.com/.well-k [...] e/test.txt

Si tout fonctionne, il ne reste plus qu'à passer les bons paramètres au client LE (je ne mets pas tous les arguments, mais je pense ceux qui sont nécessaires à cette méthode de validation):

Maintenant certbot sait où il doit créer ses fichiers pour la validation, et le serveur devrait pouvoir y accéder par l’intermédiaire de nginx au moment de la requête

 
Fail2ban aussi chez moi, ça tourne bien. C'est peut-être un peu overkill si c'est juste pour protéger Apache, mais je ne sais pas si/comment on peut faire ça avec mod_security.
 
Attention quand même : si tu ban juste sur la base d'un 404, tu auras énormément de faux positifs : beaucoup de 404 sont normaux et ne doivent pas être considérés comme des attaques : favicons, robots.txt, ...

 
Merci
D'un coté, tu as sans doute raison, les scanners j'avoue que je m'en moque un peu, vu que bon, dans le cas que je présente, a part tomber sur du 404, ils ne vont pas vraiment plus loin

merci x1fr pour ton retour
 

c'est tout à fait ça
 
je vais lire attentivement ton post au calme ce soir

Milles merci x1fr !!!
 
je n'ai repris exactement ta synthaxe, mais LE plus important c'est que tu m'a complètement éclairé sur mon problème.
en effet je n'avais pas "d'écho" à ma demande de certificat
 
après quelques corrections et ajustements ça semble fonctionner désormais
 
encore merci !
 

Impec

allé un petit switch pour aller avec vos servers
je vends un switch gigabit 16ports manageable
https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

 
 
(pour suivre sur conseil)

Là tout de suite si vous aviez à déployer votre infra web perso, vous prendrez quel genre d'archi ?

edit : en se basant sur un hyperviseur ofc et une seule ipv4 publique

XaT

Docker

Je sors d'une infra quasi full docker avec images personnalisées hebergées sur un repo privé.

Avec gitlab qui heberge le code source et s'occupe de la gestion du cycle de vie des containers / update.

Après 1 an je migre la totalité des services d'infra (dns, reverse proxy, serveurs webs, bdd...) dans des containers lxc. Pour tout ce qui est gestion de services avec rétention de données, c'est un grand bonheur. Superbes perfs, sauvegarde et restauration en 1 clic, maintenance minime.
Docker n'est pas fait pour gerer les services critiques imo.

Les conteneurs / vm sont administrées par ansible.
Je garde docker pour les webapps non critiques mais je passe sur du 100% images publiques pour plus me faire chier à corriger les bugs suite aux maj des distro/services (c'est la communauté qui le fait a ma place )

Gitlab héberge toujours le code source et push les builds/déploiements de services sur lxc (best produit open source ever).

Landscape gere les majs des vm/containers.

Je vire nginx au profit de caddy. Un serveur http minimaliste qui fait des merveilles (il update son webroot tout seul après commit sur un repo surveillé par exemple).

Mon but c'est d'avoir une infra avec ~30 services à jour niveau produits et sécurité et d'avoir le minimum de maintenance à faire (merci /r/devops)

Edit, precision pour la partie web avec une ipv4.
1 reverse proxy couplé a certbot pour gestion des certificats (on aura bientot les wildcard, ca sort dans qqs semaines) qui redirige vers les serveurs webs http de chaque service.

Les services sont accessibles via https://service.nomdomaine

A l'origine je crois que docker était basé sur lxc (et que ce n'est plus le cas maintenant)

 
Un raspberry pi

Des fichiers statiques dans un bucket S3, servis par Cloud front. Et lamba pour les trucs où t'a un peu d'intelligence.
Et tu redonde par la même chose chez Azure via un round robin DNS ou un truc du genre

Pourquoi ? J'ai le plugin sous openmediavault mais je n'ai pas encore d'expérience sur ce logiciel et je dois installer owncloud...

J'ai oublié de préciser : php7/mariadb à avoir quelque part

XaT

Moi je m'en sers pour tout. Sur mon serveur il n'y a presque rien (openssh, git, logrotate, fail2ban et je crois que c'est tout). Tout le reste (nginx, samba, etc...) tourne sur docker.

 
Et docker il tourne sur ?

Oui bien sûr, j'ai oublié le plus important