Journal Host@home évolue

Posté par (page perso) . Licence CC by-sa
27
4
mar.
2015

Tout d'abord, rappelons ce qu'est et ce que fait hostathome : c'est un script facilitant la mise en place d'un serveur auto-hébergé. Il se veut simple d'utilisation, tout en laissant un maximum de choix à l'utilisateur. Si ça vous intéresse, il en a déjà été question sur linuxfr.

Le journal d'aujourd'hui présente rapidement où en est le projet, qui a connu plusieurs changements grâce aux interventions de différents contributeurs.

Travail sur la sécurité

  • Fail2ban est renforcé et protège maintenant nginx
  • Portsentry est lui aussi testé
  • rkhunter est entré dans la danse
  • ufw est installé pour faciliter la mise en place du parefeu.

Hébergement du code

Le code est maintenant disponible sur github.

Fonction pour débutants

Le script permet par défaut d'installer les services sur différents sous-domaines (ie. blog.domaine.com - rss.domaine.com…). C'est pas pratique pour les débutants qui doivent en plus configurer des CNAME à tout va. C'est pourquoi il y a maintenant une fonction dans hostathome qui permet d'installer plusieurs services web dans un seul domaine, rangés par dossiers. Bien entendu, ssl est activé.
Bien sûr, les services comme xmpp, mail ou ssh ne sont pour autant pas activés par défaut pour plus de sécurité. Seuls sont installés les services web suivants :

  • Dropcenter : Pour mettre des fichiers en ligne (pseudo-cloud)
  • Kriss : Un lecteur de flux rss
  • Shaarli : Pour partager vos liens/prendre des notes
  • Blogotext : un blog + un set de themes
  • Zerobin : Pour coller du texte/discuter de façon privée
  • Dokuwiki : un wiki

Au final, une page d'accueil est prévue pour accéder à ces services, reprenant un peu la méthode de YUNoHost :

Page accueil globale hostathome

Infos en vrac

La liste des services que l'on peut installer a augmenté, et ce n'est pas fini. Il manque juste le temps, le besoin et les idées pour en rajouter.

L'installation de blogotext vient maintenant avec une série de thèmes.

Selon les services installés, les ports nécessaires du parefeu sont ouverts.

À l'avenir

  • Il faudra penser à adapter le script pour jessie. Cela requiert de légères modifications pour dovecot et postfix.
  • J'aimerai mettre en place un système pour internationaliser le script : c'est un boulot énorme
  • L'utilisation de paquets debian (que le script crée) rendrait les installations plus propres

Les contributions sont donc les bienvenues.

  • # erreur

    Posté par (page perso) . Évalué à 7.

    Il se veut simple d'utilisation, sans pour autant laisser un maximum de choix à l'utilisateur.

    Je pense que c'est plutôt « tout en laissant un maximum de choix » (sinon c'est un peu bizarre de mettre ça en avant).

    Il existe deux catégories de gens : ceux qui divisent les gens en deux catégories et les autres.

  • # Sécurité

    Posté par (page perso) . Évalué à 4. Dernière modification le 05/03/15 à 10:47.

    Je verrais bien un Knockd installé puisque tu as déjà le pare-feu.
    Et pour en rajouter une couche, une solution OTP/OPIE serait plus que bénéfique à cette suite d'outils puisqu'il s'agit d'accéder à son serveur depuis n'importe où.

    mes 2 cts.

    • [^] # Re: Sécurité

      Posté par (page perso) . Évalué à 1.

      knockd est en effet intéressant. Reste à voir comment le mettre en place, surtout pour les débutants.

      Tu peux détailler ton idée OTP/OTPIE?

      • [^] # Re: Sécurité

        Posté par (page perso) . Évalué à 3.

        Tu peux détailler ton idée OTP/OTPIE?

        Avoir des mots de passe jetable pour établir les connections depuis des réseaux peu sûrs. En pratique je l'utilise en complément de Knockd lorsque j'ai besoin d'accéder à mes serveurs depuis un réseau potentiellement dangereux. Dans un 1er temps j'ouvre le port TCP avec la bonne séquence et dans un 2ème je m'authentifie avec un mot de passe jetable généré avec une appli OPIE sur mon smartphone. Ensuite je referme le port et comme ça je suis tranquille. ;)

        • [^] # Re: Sécurité

          Posté par (page perso) . Évalué à 1.

          C'est excellent ça!
          Tu as de la doc sous le coude?

          • [^] # Re: Sécurité

            Posté par (page perso) . Évalué à 2.

            Tu as de la doc sous le coude?

            Pas vraiment mais il existe des tonnes de tutos ici et là. Il faut savoir que le client de knockd est tout pourri et qu'il vaut mieux utiliser un autre outil comme hping pour envoyer les bonnes séquences. D'autre part on peut potentiellement exécuter n'importe quelle action à partir d'une séquence: reboot, ouverture-fermeture d'un port, flush IPtables (parfois utile ;-) etc.
            Il y a même des alternatives à knock où après réception des séquences le serveur envoie un SMS avec un code: c'est l'authentification forte…
            Concernant OPIE il faut penser à installer les plugins pour PAM.

            Tiens, qq liens vite-fait à l'arrache:
            Port-Knocking
            Implement Port-Knocking Security with knockd

            Have fun !

  • # Ajout du webmail

    Posté par (page perso) . Évalué à 1.

    Une nouvelle fonction a été ajoutée. Elle fait la même chose que la première, mais installe en plus un serveur mail et un webmail.

  • # A propos du logo

    Posté par . Évalué à 2.

    J'aime ton logo : c'est bien le symbole du docteur Manhattan dans une alvéole de nid d'abeille ?

    • [^] # Re: A propos du logo

      Posté par (page perso) . Évalué à 1.

      J'ai juste essayé d'associer deux concepts de physique et chimie :
      Le symbole du docteur manhattan : c'est en fait l'atome d'hydrogène selon le modèle de Rutherford
      Le symbole d'alvéole : c'est plutôt l'écriture chimique du benzene.
      Mais à chacun son interprétation, j'aime bien aussi la tienne :)

  • # - dropcenter + owncloud

    Posté par (page perso) . Évalué à 1.

    Sur les conseils d'Idleman, l'auteur de dropcenter, ce service a été remplacé par owncloud.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.