Journal Conférence en ligne - 5 étapes clés pour choisir et installer un serveur Linux sécurisé

Posté par (page perso) . Licence CC by-sa
12
22
sept.
2015

5 étapes clés pour choisir et installer un serveur Linux sécurisé

  • Vous ne savez pas comment bien gérer vos serveurs GNU/Linux ?
  • Vous craignez faire des erreurs et cela vous bloque pour vous lancer dans l'administration système avec GNU/Linux ?
  • Vous avez des difficultés à faire le tri dans les tutoriels trouvés sur Internet ?
  • Vous avez essayé d'installer un serveur mais vous avez abandonné avant la fin ?
  • Vous souhaitez augmenter vos compétences (objectifs de carrière,…) ?

Cette formation en ligne, découpée en 3 séries de mini-conférence, sera une occasion de savoir par où commencer pour gérer un serveur Linux sur Internet.

Je m'appelle Christophe Guilloux et je suis expert en administration système en Logiciel Libre. J'ai commencé mon apprentissage en arrivant à l'université en 1995, d'abord avec des solutions propriétaires mais je n'y comprenais rien.

Puis j'ai décidé de passer à Linux avec l'aide d'amis pour m'aider à apprendre. C'est ainsi que j'ai acquis de l'expertise au fil du temps. Dans le même temps, je suis devenu modérateur de LinuxFR.org en 2002 (bien que je ne modère plus énormément), cela fait donc un moment que je suis sur ce site, ce qui m'aide dans ma veille technologique (et politique). J'ai travaillé un peu plus de 10 à Inria (Centre de Recherche en Informatique). Puis maintenant je change de mode de vie avec la préparation de produits/services d'informations.

J'ai décidé de partager librement avec vous et en direct les premières étapes importantes à dérouler pour préparer un serveur Linux hébergé en centre de données :

  • Comment choisir le bon serveur ? (définir ses objectifs, critères importants à regarder,…)
  • Que faire juste après la réception de ses codes d'accès ? (changer le mot de passe root, mettre sa clé SSH,…)
  • Sécuriser le serveur :
    • sécurisation externe
    • sécurisation interne
  • Configuration du socle principal

Le contenu de la formation sera étalé sur les 3 mini-conférences.

La conférence n°1 aura lieu le 22 Octobre à 21h (Heure de Paris), 15h (Québec/Montréal)
La conférence n°2 aura lieu le 29 Octobre à 21h (Heure de Paris), 16h (Québec/Montréal)
La conférence n°3 aura lieu le 05 Novembre à 21h (Heure de Paris), 15h (Québec/Montréal)

Ces premières conférences ont pour objectif de m'aider à comprendre comment enseigner et découper la formation pour vous permettre de suivre de bout en bout. Cette formation s'adresse à des débutants ou intermédiaires en administration Linux.

En vous inscrivant, votre courriel sera collecté et ne sera jamais vendu à un tier (déclaration CNIL n°1829527).
Conditions générales de relation : je n'enseignerai jamais du contenu faisant la promotion de logiciel propriétaire. Il pourra m'arriver cependant de citer certains noms.

Je réserve gratuitement ma place ! (Le nombre de place est limité, n'attendez pas la veille pour vous inscrire).

Posez-moi toutes vos questions par courriel, en rapport avec le contenu de la conférence, après votre inscription à la conférence (vous verrez mon courriel, vous pourrez y répondre directement). Je répondrai aux questions au début ou en fin d'intervention à chacun des mini-conférences.

(Pour suivre la conférence, le plugin flash est malheureusement nécessaire)

Vous êtes libre d'enregistrer la conférence par vos propres moyens et de la diffuser sous licence libre CC by-sa.

A bientôt et bon courage !

  • # Modération

    Posté par . Évalué à 8.

    […] bien que je ne modère plus énormément […]

    En somme, tu modères modérément. C'est terrible de voir comme la familiarité avec les algorithmes récursifs finit par influer même sur le comportement.

    Euh… Je prends la porte.

  • # partager librement avec vous et en direct

    Posté par (page perso) . Évalué à 3. Dernière modification le 22/09/15 à 20:00.

    Je vois que tu as choisi la licence libre CC-by-sa pour la diffusion (la 4.0 comme sur LinuxFr.org j'imagine ?)
    Y-aura-t'il une transcription (écrite) des échanges ? (la licence libre permettra de le déléguer à chacun regardant la vidéo…).

    Pour l'audio, j'imagine que tu réutilises mumble et ton infra en place, accessible d'un simple ordiphone (ça fonctionnait bien, de mon expérience).

    je n'enseignerai jamais du contenu faisant la promotion de logiciel propriétaire. Il pourra m'arriver cependant de citer certains noms.
    […]
    Pour suivre la conférence, le plugin flash est malheureusement nécessaire

    arg :/ ça démarre mal /o\

    Même webex(c) tm passe à WebRTC : j'en comprends que cela permet des conf' call avec affichage de vidéo :

    • de webcam (cela ne te servira sans doute pas hormis pour le _o/ initial :D)
    • de partage d'écran ou de fenêtre, permettant d'afficher un terminal et la présentation à côté
    • de fonction muet sauf le présentateur, délégation du micro voire de l'écran
    • autres fonctions ?

    Bon, je parle de WebRTC, mais j'ai déjà participé à une conf' call vidéo via VLC (2 sites, effectivement), permettant au passage de conserver un enregistrement… (ça se prépare).

    • [^] # Re: partager librement avec vous et en direct

      Posté par (page perso) . Évalué à 5.

      Je m'appuie sur une solution "saas" qui elle-même s'appuie sur google hangout et youtube live, qui a deux énormes défauts :
      - il s'écoule 30 secondes entre moi et la réception du live. Il y a un salon/chat avec la vidéo, qui lui, est temps réel, mais pas la vidéo ce qui est problématique pour une petite interactivité.
      - la deuxième partie du problème est la résolution de capture de mon écran qui est visiblement limitée par google hangout alors que j'ai assez de bande de passante pour être un peu au dessus. Et la résolution de réception s'adapte semble-t-il à la taille de la fenêtre. Mon terminal de commande capturé par hangout demande une haute résolution pour être lisible : j'ai essayé plusieurs tailles/polices/couleurs, j'ai trouvé la moins pire. C'est légèrement flou mais lisible, à condition que les gens agrandissent leur fenêtre pour faire basculer la résolution au niveau au dessus.

      À ma connaissance, il n'y a pas pour l'instant de solutions s'appuyant sur du logiciel libre (pour le même prix) pour faire de la large diffusion (>50 personnes).

      La solution idéale utiliserait sans doute bigbluebuttton + un truc pour faire la diffusion à large échelle.
      Le plugin flash sert à lire le flux live provenant de youtube, ça ne marche pas en HTML5.

      La conférence n'est pas une conf call. Même dans la réalité, les questions/réponses sont regroupées sinon ça serait le bordel.

      La conférence va suivre une structure particulière, je sais que personne n'est habitué, ce ne sera pas comme dans une conférence style RMLL ou autres endroits. Je suis et j'apprends en même temps un protocole particulier.

      Christophe

      • [^] # Re: partager librement avec vous et en direct

        Posté par . Évalué à 3.

        meme bigbluebutton demande flash et java pour fonctionner :(

      • [^] # Re: partager librement avec vous et en direct

        Posté par . Évalué à 2. Dernière modification le 24/09/15 à 00:50.

        Pourquoi ne pas streamer sur une plateforme genre twitch/livecoding/youtube gaming avec https://obsproject.com/ ?

      • [^] # Re: partager librement avec vous et en direct

        Posté par (page perso) . Évalué à 2.

        À ma connaissance, il n'y a pas pour l'instant de solutions s'appuyant sur du logiciel libre (pour le même prix) pour faire de la large diffusion (>50 personnes).

        je n'ai toujours pas réussi à comprendre ce qui te fait dire cela :

        • j'ai fait du vlc streamé avec plutôt de l'ordre de 300 personnes en live, (sur le live de l'assemblée nationale, je n'ai jamais eu les nombres de connectés… ça marchottait du temps de hadopi)
        • du webex (sur WebRTC) avec 40 personnes…

        Dans les deux cas, on atteint des limites (1/4 h à le configurer au début, notamment) mais au final ça fonctionne tant que le réseau est là.

        Pourtant, le calcul est relativement simple selon la capacité de ton relais :

        • en audio, avec mumble entre 3 à 6 ko/s : de l'adsl avec débit montant à 512 kb/s suffit pour 10 connectés, voire 20
        • en vidéo, avec vlc entre 300 ko/s et 600 ko/s : un lien 10 Mbit/s est obligatoire, ça tombe bien, le mini est généralement à 100 Mbits/s, pas de souci à monter jusque 30 locuteurs (en réalité : il peut y avoir plusieurs personnes sur le même site).

        Aurais-tu des traces de tes essais via un munin ou autre outil de supervision, cela permettrait de voir la latence, le débit effectif, le nombre de connectés ? J'imagine que ta période d'essai permettra de voire cela aussi :-)

        • [^] # Re: partager librement avec vous et en direct

          Posté par (page perso) . Évalué à 1.

          Je vais annoncer un test technique pour le 15 octobre.

          Les webinaires commenceront à l'heure (+ entre 30 secondes et 1 minute), je ne pourrais pas attendre 15 minutes que les gens installent flash. Il y a un protocole d'attente au début de quelques minutes mais ça commencera rapidement au bout de 5 minutes maximum. La durée de chaque webinaire n'est pas connue étant donné que c'est la première fois que je fais ça mais a priori, je suis censé faire plus ou moins 1h de contenu (sans les questions/réponses) à chaque fois pour un temps total de 1h30/2h.

          Ce sera disponible en replay pendant quelques jours.

          Je referais cette présentation 3 fois par an environ avec à chaque fois des améliorations avec l'expérience (et ajustant le contenu à chaque fois en fonction des remarques) et en conservant une partie en "live". La session suivante se fera fin Mars/début Avril.

          Christophe

  • # Le choix d'un vidéoconférence

    Posté par (page perso) . Évalué à 2. Dernière modification le 23/09/15 à 19:41.

    Bonne initiative. Je m'inscrirais bien, mais je ne serais pas dispo sur les deux dernières…

    Je me demande ce qui a motivé ton choix de présenter ça sous forme de vidéoconférence ? Pour l'interactivité je suppose (d'où la limitation du nombre de place ?)… Ou autre chose ?

    Vu le sujet je me suis dit "hé, sous forme de MOOC ce serait cool". C'est un autre boulot de présentation, et si tu compte monétiser cette formation par la suite je ne sais pas trop comment ça peut marcher.

    Personnellement je suis plus attirée par le format "tout à l'écrit" (j'ai beaucoup de mal avec les vidéos), genre les cours dispos et forum à côté pour échanger sur les sujets de cours. Voir même les cours sur un wiki afin de les faire évoluer collaborativement au fil des échanges, si nécessaire. Et puis ça vaut toujours le coup de laisser les grammar nazis se faire plaisir sur l'orthographe ^ Ça reflète des goûts personnels, hein, ça veut pas dire que c'est le mieux.

    • [^] # Re: Le choix d'un vidéoconférence

      Posté par (page perso) . Évalué à 2.

      :-)

      Pour être transparent, les webconférences vont servir à préparer, à terme, la version sous forme écrite+vidéo. La version écrite sera terminée en Novembre avec les premiers volontaires et les vidéos seront remplacées par des webconférences privées (en attendant d'enregistrer des vidéos HD 1080p). Il y aura donc bien une autre version de la formation, en plus approfondie et sous forme d'enseignement "pur", associée avec un forum et un "truc" spécial en plus mais je réserve ça pour la dernier conférence à la fin.

      Ces webconférences en particulier ne sont pas des MOOC, c'est un format particulier dont une partie est l'enseignement.

      Si tu t'inscris, tu pourras revoir en replay les conférences jusqu'au 10 Novembre environ.

      Christophe

  • # sécurisé ?

    Posté par . Évalué à 9.

    Le titre dit:
    un serveur Linux sécurisé

    et les 5 étapes sont:

    • Comment choisir le bon serveur ? (définir ses objectifs, critères importants à regarder,…)
    • Que faire juste après la réception de ses codes d'accès ? (changer le mot de passe root, mettre sa clé SSH,…)
    • Sécuriser le serveur :
      • sécurisation externe
      • sécurisation interne
    • Configuration du socle principal
    • (pas de 5e étape?)

    je ne connais pas le contenu, mais le point le plus problématique consiste à conserver le serveur sécurisé.
    Le jour de l'install, on est jeune, on est fou, on est plein de bonnes volontés, et on configure aux petits oignons le serveur, on est heureux, il est beau, il est neuf, il est on-line.

    Généralement, 3 ans plus tard, on retrouve le même serveur, vaguement mis à jour, avec une configuration super laxiste car "tu comprends, le beau frère à Duduche ne pouvait pas y accéder avec son smartphone alors j'ai modifié un truc (alternative: le big boss voulait synchroniser son smartphone avec le serveur)", et surtout rempli de virus, bots, etc…

    • [^] # Re: sécurisé ?

      Posté par (page perso) . Évalué à 1.

      Mes sondages me disent que les gens veulent installer un serveur sécurisé. J'ai donc écrit le titre en fonction de ce qu'ils veulent savoir mais le contenu sera plutôt orienté progressivement sur ce qui doivent savoir (les bonnes pratiques et un aperçu des étapes d'installation).
      Je vais commencer tout juste à préparer le contenu des webinaires (j'ai déjà pré-préparé le contenu/structure). Y a plus ou moins 5 étapes, il fallait que je trouve un titre avec un chiffre assez rapidement pour faire les annonces. Je vais m'arrranger pour que ça fasse 5 à la fin :-)

      Christophe

  • # Conférence avec jitsi sans flash ?

    Posté par . Évalué à 1.

    Bonjour,

    ayant vu la petite note sur le flash, je me suis dis : dommage !
    Connais-tu http://meet.jit.si ? C'est du HTML/webrtc et normalement, niveau flux, ça devrait tenir vu que ça fait du webrtc en multi en passant par un videobridge, du coup, les flux ne sont pas répété sur ta propre connexion mais depuis le videobridge.

    Dedans, y'a plusieurs options qui devraient aider pour une visioconf.

    Qu'en penses-tu ? On pourrait même faire un test de charge avant la conf pour voir si ça le fait !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.