Webinaires (29 oct et 5 nov 2015) - choisir et installer un serveur Linux sécurisé

Posté par (page perso) . Édité par Benoît Sibaud, Nÿco, ZeroHeure, palm123 et Yvan Munoz. Modéré par Yvan Munoz.
10
28
oct.
2015
Éducation
  • Vous ne savez pas comment bien gérer vos serveurs GNU/Linux ?
  • Vous craignez de faire des erreurs et cela vous bloque pour vous lancer dans l'administration système avec GNU/Linux ?
  • Vous avez des difficultés à faire le tri dans les tutoriels trouvés sur Internet ?
  • Vous avez essayé d'installer un serveur mais vous avez abandonné avant la fin ?
  • Vous souhaitez augmenter vos compétences (objectifs de carrière…) ?

5 étapes clés pour choisir et installer un serveur Linux sécurisé

Cette formation en ligne, libre et gratuite (licence cc by-sa), est découpée en 3 séries de mini-séminaires (webinaires). C'est une occasion d'apprendre où commencer pour gérer un serveur Linux sur Internet.

Bonjour, je m'appelle Christophe Guilloux et je suis expert en administration système en Logiciel Libre. J'ai commencé mon apprentissage en arrivant à l'université en 1995, d'abord avec des solutions propriétaires mais je n'y comprenais rien.

Puis j'ai décidé de passer à Linux avec l'aide d'amis pour m'aider à apprendre. C'est ainsi que j'ai acquis de l'expertise au fil du temps. Dans le même temps, je suis devenu modérateur de LinuxFR.org en 2002 (bien que je ne modère plus énormément), cela fait donc un moment que je suis ici, ce qui m'aide dans ma veille technologique (et politique). J'ai également travaillé un peu plus de 10 à Inria (Centre de Recherche en Informatique). Aujourd'hui, je gère un service particulier pour un client du sud de la France et je prépare des formations en lignes.

J'ai décidé de partager librement avec vous et en direct les premières étapes importantes à dérouler pour préparer un serveur Linux hébergé en centre de données :

Partie 1 (22 octobre 2015) :

  • L'enregistrement est accessible jusqu'au 3 novembre 2015 : regarder le replay
  • Comment choisir le bon serveur ? (définir ses objectifs, critères importants à regarder,…)
  • Que faire juste après la réception de ses codes d'accès ? (changer le mot de passe root, mettre sa clé SSH,…)

Partie 2 (29 octobre 2015) à 21h00 (16h Québec) :

  • L'enregistrement est accessible jusqu'au 4 novembre 2015 : regarder le replay
  • Sécurisation externe
  • Configuration du socle principal

Partie 3 (5 novembre 2015) à 21h00 (15h Québec, décalage horaire) :

  • L'enregistrement est automatique, sinon, si vous lisez après le 29 octobre 2015 : Je m'enregistre rapidement
  • Sécurisation interne

En vous inscrivant à suivre cette formation libre (licence cc by-sa) et gratuite, votre courriel sera collecté mais ne sera jamais vendu à un tiers (déclaration CNIL n°1829527). Vous pouvez vous désinscrire de la liste et rester inscrit au webinaire mais vous ne recevrez pas le guide PDF résumé après le 10 novembre 2015.

Cette formation s'adresse à des débutants en administration Linux.

(Pour suivre les webinaires de cette année, le plugin flash est nécessaire)

Bon courage et à bientôt !

  • # Webinaire

    Posté par (page perso) . Évalué à 7.

    J'ai rarement vu un mot aussi laid que ce « webinaire », suis-je le seul affecté par cette répulsion lexicale ?

    À part ça et pour ne pas commencer et finir sur cette remarque négative et vaguement hors sujet, c'est cool, bonne idée que ces séminaires en ligne !

    • [^] # Re: Webinaire

      Posté par (page perso) . Évalué à 8.

      J'ai rarement vu un mot aussi laid que ce « webinaire », suis-je le seul affecté par cette répulsion lexicale ?

      Ça correspond à l'anglais “webinar” évidemment, mais je trouve la version anglaise tout aussi hideuse…

      • [^] # Re: Webinaire

        Posté par (page perso) . Évalué à 3.

        Je suis d'accord, d'autant plus que la racine du mot séminaire n'est pas respectée.

        • [^] # Re: Webinaire

          Posté par . Évalué à 3.

          Oui, d'ailleurs je ne vois pas trop l'intérêt de ne pas tout simplement dire… séminaire ^ !

    • [^] # Re: Webinaire

      Posté par (page perso) . Évalué à 3.

      Je changerai le mot quand cette page aura disparu de Wikipédia :-) Webinaire

      Christophe - https://guides-serveur.ovh

      • [^] # Tu fais la pub pour OVH ?

        Posté par (page perso) . Évalué à 8.

        Pour plus de clarté et de transparence, tu aurais pû préciser que tu faisais la promotion des services d'hébergement d'OVH. Je n'ai rien contre cette boite mais si je veux héberger mon serveur chez Gandi, une comparaison des services de ces deux sociétés m'aurait interessé.

  • # Intéressant

    Posté par (page perso) . Évalué à 0.

    Ce webinaire m'intéresse, pour le moment je loue un serveur dédié chez MCH

    Alea Jact est

  • # Quelques petites choses dérangeantes.

    Posté par . Évalué à 5.

    J'ai regardé (en zappant les trucs du début, c'est vraiment long et pas super intéressant) la première vidéo et, même s'il y a des bons conseils (mais on ne retient que les trucs qui choquent), il y a des choses assez étonnantes.

    _Il y a une longue diatribe sur deux ou 3 hébergeurs (j'ai pas tout regardé hein, c’était trop long) mais RIEN sur la configuration des partitions, qui est modifiable avec kimsufi (alors, peut être pas les VPS, je sais pas), et il est important de régler les partitions en fonction du besoin (si c'est juste un site web, on va privilégier la taille de /var au détriment de /home.)
    La gestion du SWAP, en fonction des besoins la encore, aurait pu être appréciable. (TIPS: nan, c'est PLUS 2x la ram)

    _Le choix du mot de passe root, c'est… OUCH quoi. "par défaut, pwgen génère un mot de passe trop complique donc on va simplifier". Sérieusement? Alors ok, le mot de passe va être désactivé dans la config de sshd mais le mot de passe n'est pas utilisé QUE par sshd (genre su… ring a bell?).
    Apres, le choix de la clé ssh AVEC mot de passe, c'est très bien mais il faut bien rappeler qu'il faut SURTOUT pas perdre la clé ssh coté client sinon c'est moche. Sauvegarde sauvegarde sauvegarde.

    Je suis curieux de voir la suite (mais ça part assez mal avec le teasing sur l'initiation au firewall dans la video 2 - ça a très peu d’intérêt de mettre un firewall sur un serveur web mais bon, je reste curieux ET dubitatif) donc on verra ce soir ou demain (demain je pense, parce qu'en direct, je vais pioncer très vite… J'ai jamais animé un webinar mais j'ai animé des sessions de formation un peu plus dynamiques que ça…)

    • [^] # Re: Quelques petites choses dérangeantes.

      Posté par (page perso) . Évalué à 2.

      J'ai ajouté deux pages la-dessus, j'en parle toute à l'heure.

      Christophe - https://guides-serveur.ovh

    • [^] # Re: Quelques petites choses dérangeantes.

      Posté par . Évalué à -9.

      "par défaut, pwgen génère un mot de passe trop complique donc on va simplifier". Sérieusement?

      oui serieusement

      https://www.xkcd.com/936/

    • [^] # Re: Quelques petites choses dérangeantes.

      Posté par . Évalué à 2.

      Ce n'est pas la première fois que je lis ça : en quoi ce n'est pas utile de mettre un firewall sur un serveur web ? J'ai toujours pensé que c'était important de mettre en place iptables.

      • [^] # Re: Quelques petites choses dérangeantes.

        Posté par . Évalué à 3.

        À quoi sert le firewall ?

        • autoriser les ports utilisés ==> le bind dans le code des serveurs fait ça.
        • interdire l’accès à des ports non utilisés => si personne n’a fait de bind, le noyau rejettera les paquets.
        • interdire les paquets sortant => sur un serveur, tu n’es pas sensé avoir un utilisateur actif.
        • pister les tentatives de connexion => utile.
        • mettre une seconde couche de sécurité si un des démons serveur est mal configuré. => utile.

        Pour moi, les deux sont défendables, personnellement, je suis nul avec iptable et prendre des recettes toutes faites que je ne comprends pas ne me permet pas d’être sûr, donc d’être en confiance. Donc je préfère avoir un nombre de service limité, (smtp, imap, http et ssh) vérifiable par un scan de port que je maîtrise.

        • [^] # Re: Quelques petites choses dérangeantes.

          Posté par . Évalué à 0.

          Merci pour ces infos.
          Donc dans mon cas de petit serveurs perso derrière mon routeur, je n'ai pas vraiment besoin d'iptable.

          Ca me rassure quelque peu.

  • # Le durcissement d'os

    Posté par (page perso) . Évalué à 2.

    est-il prévu au programme ?

    Système - Réseau - Sécurité Open Source

    • [^] # Re: Le durcissement d'os

      Posté par (page perso) . Évalué à 1.

      Ce programme ne vise pas les experts et est découpé en 3 bouts pour une très bonne raison. J'apprends d'une part à enseigner Et en même temps à utiliser des déclencheurs émotionnels (partie marketing mais de façon transparente, surtout dans la dernière partie du webinaire n°3). Je connais la théorie de pleins de choses en marketing mais je ne vais pas appliquer tout cette fois-ci car ça me fait beaucoup d'un coup. Au bout de 20 webinaires, ça devrait être mieux :-)

      La prochaine version de la session se fera en Avril/Mai et je pense supprimer la partie "choix d'un serveur" et la convertir en vidéos autonomes sur ma chaîne youtube que je vais démarrer.

      Christophe - https://guides-serveur.ovh

  • # Manque de pragmatisme...

    Posté par (page perso) . Évalué à 5.

    Je suis arrivé sur ce webinar par hasard…

    Tous le début est mortellement inutile (le CV de l'intervenant et ses anecdotes personnelles) et peu structuré… au final, j'ai l'impression d'avoir perdu mon temps et j'ai abandonné au bout de 30 minutes de blabla…

    Le format Webinar est fait pour présenter un point technique de manière pragmatique et efficace, pas pour occuper l'écran à ne rien dire !…

    Déçu, déçu et déçu…

    • [^] # Re: Manque de pragmatisme...

      Posté par . Évalué à 1. Dernière modification le 02/11/15 à 18:41.

      J'apprends d'une part à enseigner Et en même temps à utiliser des déclencheurs émotionnels (partie marketing)

      lol. perte de temps effectivement.

  • # Vision globale sur les deux video.

    Posté par . Évalué à 3.

    Alors, donc, petit retour sur la vidéo 2 et, du coup, l'ensemble des vidéos.

    Je vais diviser en deux parties, pas exhaustives parce que ça sera déjà très tl;dr, le fond et la forme.
    Je précise aussi que j'ai rien contre toi, et c'est même au contraire parce que je pense que ca peut te servir que je prends le temps de faire ce texte. C'est vraiment une discussion entre professionnels, même si je vais être critique sur plusieurs parties.

    Sans aborder tous les points donc, je vais essayer de me focaliser sur les gros trucs ou les parties qui me paraissent importantes

    Alors, a un moment, tu te poses la question du "pourquoi les connaisseurs et/ou experts viendraient voir ta vidéo"? Alors, ca peut être pour se gausser des éventuels mauvais conseils mais je pense que, pour la plupart, c'est pour avoir une autre vision du sujet. Confronter ses connaissances et convictions dans de la vulgarisation, donc logiquement assez simple à comprendre.
    Un expert qui ne prend pas le temps de se maintenir au courant, c'est plus un expert, c'est un mauvais.

    Concernant la problématique du partitionnement, pour moi tu ne réponds pas aux débutants, ni même aux spécialistes. Tu expliques en substance que tu le faisais avant, que c’était chiant pour les VPS (et peut être les autres) et que maintenant, tu le fais plus, c'est plus simple.
    Il n'y a pas d'explication la dedans et un débutant prendra juste l'avis une personne (toi) qui a dit que. Faiblard non? C'est pas ça, l'enseignement (j'y reviendrait un peu après sur la forme).
    Voici comment moi, j'aurais fait:
    "Le partitionnement systématique des systèmes linux et unix est historique, lié au fait qu'a l'origine, l'outil de sauvegarde était dump, qui ne sauvegardait QUE des partitions (et pas un répertoire) et qu'il était nécessaire de faire un reboot du système pour sauvegarde sur bandes. Il existe encore la relique de ce système dans /etc/fstab puisqu'encore maintenant, la colonne est toujours présente."
    "Est ce que c'est obligatoire désormais? Pour la sauvegarde, non. Mais il y a au moins deux cas ou c'est utile:
    _Pour identifier rapidement un répertoire principal (donc /home, /var voir /tmp) qui serait gros consommateur de ressources, voir même utilisant l’intégralité du disque. En effet, avec "df -h", vous avez une vision rapide des partitions montées et cela permet de voir si un log dans /var/log prends toute la place. Pas primordial, mais pratique.
    _L'autre cas est en cas de sécurité avancé. En effet, il est possible de régler le montage des partition en "noexec", interdisant l’exécution d’exécutable sur la partition. Imaginez que vous avez mis en place /tmp en noexec et qu'un pirate ait exploité une faille PHP (genre) pour envoyer sur /tmp (toujours en accès 777) un fichier exécutable. Avec /tmp en noexec, l’exécution sera interdite. Toutefois, dans le cadre d'une initiation, nous n'irons pas jusque la".
    "L'autre point important est la nécessite du SWAP, qui permet de palier a un manque de mémoire. Il y a 20 ans, la taille mémoire était faible et il pouvait être intéressant d'avoir un peu de rab, très lent mais possiblement salvateur, pour les charges mémoires exceptionnelles. Il existait même une règle qui voulait que le SWAP doit faire 2xla taille de la ram."
    "Actuellement, et pour un serveur, une taille de swap de 512Mo ou 1Go est largement suffisante, car le swap doit être utilisé le moins possible (la différence de vitesse ram/hdd est beaucoup plus grande qu'il y a 20 ans), sinon vous avez merdé votre dimensionnement mémoire (plus que le dimensionnement swap)"
    "De plus, Linux intègre un système de kill automatique quand un logiciel réclame beaucoup de mémoire et que celle ci est pleine. Si vous mettez trop de swap, et qu'il y a un leak mémoire important, le système va continuer a allouer de la mémoire dans le swap, ralentissant voir rendant inutilisable le serveur. Avec un swap faible, l’élimination du leak sera plus rapide".
    "Pourquoi mettre du swap alors? Parce que linux optimise la mémoire et place en swap les deux ou trois processus qui ne font rien."

    Pour moi, ca correspond a ca, l'enseignement:
    _Tu dis pourquoi on faisait ça avant
    _Tu donnes des exemples ou c'est encore utile, avec un cas avancé pour les personnes voulant aller plus loin
    _Tu expliques le cas primordial (swap) en donnant des raisons a son utilisation.
    C'est donc des données techniques, avec des vrais arguments, qui sont fournis, mais la personne qui écoute aura les éléments pour faire SON choix.

    Pour les mots de passe, c'est juste le concept, et notamment a des débutants: NE JAMAIS dire aux gens de mettre un mot de passe faible PARCE que tu as mis un firewall. C'est la même chose que les gens qui mettent un mot de passe de merde parce qu'ils ont changé le port ssh. Well done, dude.
    Donc oui, mot de passe fort, c'est chiant a mémoriser, donc OUI, un logiciel de coffre fort de mot de passe mais ne pas expliquer aux gens qu'il faut mettre un mot de passe de merde.
    Jamais.

    Donc oui le parefeu. C'est pas une assurance. C'est souvent une erreur. En tout cas dans un serveur web. Parce que dans 95% des cas, les gens croient qu'avec un firewall, ils seront protégé. Tu en parles aussi (que c'est pas magique) mais tu insistes pas assez sur le fait que le firewall, c'est comme les antibiotiques, c'est pas automatique.
    Dans le cas d'un tuto débutant, c'est beaucoup plus simple de parler de fail2ban plutôt que du firewall qui, encore une fois pour les débutants, donnera une fausse impression de sécurité (genre mettre des mot de passe moins fort wink wink)

    Mais bon, admettons, parefeu, Je voudrais revenir sur trois règles:
    _La règle sur 127/8 interdit en destination sauf sur la loopback. Il doit y avoir une raison, un cas pratique ou c'est utile mais j'arrive pas avoir lequel car c'est juste pas routable. Donc je veux bien un exemple de cas ou c'est utile, genre un trou de secu qui laisse passer du spoofing IP sur la loopback.
    _La règle type "backdoor" qui ouvre tout sur ton adresse perso, donc qui pose problème en cas de spoofing IP mais aussi de changement d'ip chez toi. Ou même plus simplement t'es pas chez toi, t'as un soucis sur le serveur et t'es… ben dans la merde.
    Alors, je crois que tu parlais a un moment d'un VPS que tu utilises pour te connecter sur tes serveurs, et c'est bien mais… comment tu le sécurises avec ce système la?

    Concernant le FTP, j'ai pas compris d'ou sortait 40110:40210 mais quand on recherche ce range sur le net, ouais ça revient tout le temps mais je sais pas trop pourquoi. C'est pas par défaut dans pureftp (puisqu'il y a systématiquement une commande pour le rajouter, peut être proftpd?), donc… pourquoi?
    Après, j'avoue, j’utilise plus ftp depuis belle lurette, sftp étant intégré a ssh.

    Bon, je passe sur le dpkg-reconfigure, utilisé pour tzdata mais pas pour les locales (WHY???) et surement d'autres trucs que j'ai oublié.

    Alors, concernant la forme, tu expliques que tu débutes et que tu essayes de mettre en place des techniques de marketing.
    Je suis une burne en marketing mais je pourrais quand même citer les inconnus:
    Il ne faut pas prendre les gens pour des cons mais il ne faut pas oublier qu'ils le sont.
    Alors ouais, en marketing ok, mais en enseignement, nan. Je pense pas qu'on puisse transposer le marketing dans l'enseignement parce que c'est justement tout l'inverse. Et dans beaucoup de cas, tu expliques que tu fais comme ça parce que voila, c'est comme ca <--marketing.
    Et quand on voit ton site web, ouais, c'est clairement du marketing (et tu mets pas vraiment en avant linux - je dis ca, je dis rien)

    Si tu veux progresser en enseignant/conférencier, je te donne trois noms (no particular order) que je respecte au plus haut point, car ils sont TRÈS fort dans leur domaine ET ils savent très bien enseigner:
    _Stephane Bortzmeyer
    _Jeremy Zimmerman
    _Benjamin Bayart

    Fouille (Fouillez les autres aussi hein) sur le net pour trouver leurs conférences, tu vas apprendre des trucs ET tu vas voir comment faire correctement une conférence. Je suis pas forcement toujours d'accord avec eux (quoi que) mais en tant que conférenciers, je connais pas mieux en français

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.