Kwiknclean a écrit 413 commentaires

Je vois le seul intérêt et donc que je n'ai pas à ouvrir les ports … je suis donc complètement ouvert sur le net … pas vraiment d'intérêt donc.

Et on attend toujours les portabilités sous Linux …

Tu sais une ARCH-Linux pour la prod, tu joues quand même un peu avec le feu ;)

Sauvegarder c'est juste la base lorsque tu t'auto-héberges, le reste effectivement tu peux t'en passer, à commencer par du RAID qui à mon sens ne sert pas à grand chose si tu as une bonne politique de sauvegarde/restauration justement.

Et sauvegarder des VM/Jails entiéres et pas du tar de /var/www … pour ne pas avoir à se refaire à chaque fois la conf, nginx, php …

A noter que sous FreeBSD ça prend approximativement 15 minutes pour restaurer une machine from scratch depuis les sauvegardes des jails ;)

Surtout les pétoches d'avoir un service en carafe pendant plusieurs jours lorsque je ne peux intervenir (déplacement, absence) et du coups de louper des mails. En ce moment je dégooglise quand même à mort et j'utilise Openmailbox qui me semble être une initiative de messagerie plutôt intéressante, pour info ils sont en pleine période de funding vos aides sont les bienvenues pour maintenir le service gratuit.

Pour la sécurité, c'est surtout le DoS, les trop nombreuses failles, SSL, PHP … qui sont découvertes chaque mois et là je ne parle que de la partie http.

Réfléchir à un découpage cohérent de tes VM/Jails/Conteneur, ça prend du temps, mettre en place une sécurité efficace au niveau firewalling également, tester/recette un plan de PRA efficace aussi, reconfigurer Nginx à la mano après un plantage et restaurer depuis des Tar n'est clairement pas une options.

Une ligne ADSL "classique" est tout à fait exploitable pour héberger du web, à la condition qu'il y ait très peu d'images, ou que ces dernières soient vraiment light.

On pourrait très bien faire le secondaire d'un dns pour quelqu'un ?
Proposer du storage pour stocker ces sauvegardes chez un tiers de confiance.
Je ne vois que très rarement des personnes qui appliquent des procédures pro pour faire leur auto hebergement ou alors il n'en parle pas.

Effectivement j'avais émis l'idée de proposer quelques Gigas de stockage pour du backup sur ma ligne, en contre-partie également d'un peu de stockage distant, à la charge de chacun de mettre en place une QoS et des données chiffrées.

Pour le DNS bonne idée en effet >> problème je suis en IP dynamique :)

En tant que camarade auto-hébergé également, les deux facteurs qui sont à mon sens limitant sont : la bande passante et le côté paranoïaque qui vient s'installer avec le temps, sécurité, sécurité, backup !

Je suis toujours en train de boutiquer sur une VM de recette des techno diverses de virtualisations, pour empiler les services en cloisonnant, avec limitation de RAM et CPU bien entendu ma machine de prod n'étant pas bien puissante, bien séparer Owncloud (ce dernier ayant besoin d'un accès à un sas de data) du reste du site de prod, je tourne sous BSD + Jails mais j'hésite à migrer vers OpenVZ …

En revanche je n'ai toujours pas passé le cap de l’hébergement de ma messagerie perso, trop les pétoches.

Autre problème : c'est vraiment, vraiment chronophage.

Pour les débutants qui souhaiteraient s'initier à l'ensemble il y a le très prometteur projet Yunohost qui permet d'avoir tout les services clés en main.

OpenBSD n'est pas vraiment un OS à usage hosting HTTP mais se veut plutôt orientée : "sécurité", Firewalling, Gateway, Routage …

Pour une liste des paquets bien à jour avec MariaBD5.5 par exemple, va faire un tours du côté de FreeBSD.

… retour à l'ancienne méthode, qui ne me plait guère mais bon.
J'ai tout simplement blacklisté la moitié de l'Asie directement en entrée sur mon firewall.

Bizarrement c'est beaucoup moins verbose pour le coup :-)

Dites les gars, ça a l'air marrant votre engin :

• Une page de bug-report avec plus d'entrées qu'un forum Usenet.

• Une nouvelle version tous les mois.

Tant de changement en si peu de temps, d'ordinaire ce n'est pas l'usage dans le monde de la "Prod".

(sauf les irréductibles de *BSD, bien sûr)

Ho oui, "moinssé" moi :-)

Ce n'était pas du tout volontaire du tout pourtant …

La liste d'IP n'est pas monstrueuse en fait ; une petite centaine, en forte croissance tous les mois toutefois.

En revanche le fichier lui fait un peu plus mal 1Go / jour en forte croissance, traitée tous les jours heureusement, c'est la log Nagios, la regex elle est triviale, l'Ip est toujours sur la deuxième ou troisième colonne, en fait un split suffit.

Question subsidiaire :
Dans mon exemple je boucle en premier sur les lignes de mon fichier.

Y aurait une différence notable si je commençais par boucler plutôt sur ma liste d'IP, ou ça n'a aucune incidence ?

Rien à voir mais : très sympa ta carte DDOS dans ta signature, on a cherché cet après midi avec un collègue à quoi pouvait correspondre géographiquement l'île qui semble bien active au Sud du pacifique face à l'Argentine …

Notre dernière hypothèse à la louche s'est arrêtée sur l'île de Bouvet … un caillou gelé de 40Km sans habitants … la NSA a mis un data-center dessus ou quoi ?

… déchainerait autant les passions.

Du calme les mecs ne vous emballez pas ;)
Et merci pour TOUTES vos propositions et manières de faire.

Pour situer un peu mieux le contexte, en fait il s'agit d'aller "filtrer" la log quotidienne Nagios qui pèse environ 1 Go ! en éliminant les lignes qui contiennent une liste d'IP donnée (une petite centaine je dirais), pour régénérer le fichier de log dépourvus des notifications de ces IP "parasites" avant traitement par un logiciel maison.

Enfin d'une manière général j'ai souvent ce type de "filtrage" à réaliser sur des log bien verboses, vsftp, squid, nagios ..

Donc oui les ensembles o(Ip * Nb Lignes) sont du genre très très gourmands …

On fait du Python et du Perl dans la boite au choix (ils sont sympas ils nous laisse décider selon les périmètres).

Python j'trouve ça sympa mais ce manque de parenthèses et d'accolades ça me trouble, puis je fais très peu de POO.

Malgré tout Perl j'en démords pas même après toutes ces années, ces $, $_
je les adore.

D'ailleurs pourquoi on a plus de niouzes sur les nouvelles versions du langage sur linuxfr ?

Ca m'ennuie un peu d'utiliser un paquet CPAN quand même je voudrais proposer mon script à d'autre, mais ça m'a l'air rudement efficace.

Y a moyen d'ailleurs de "packager" des modules pour augmenter la portabilité ?

Tu veux parler de la notation polonaise inversée ?

Bonjour,

Je profite de cette louable initiative, pour interroger la communauté.

Je me souviens (fin j'suis pas si vieux quand même …), dans mes premiers cours d'algos/infos le langage d'étude était Pascal, qui semblait de l'avis de tous un bon langage d'étude et d'initiation avant d'enquiller vers le C.

Qu'en est-il aujourd'hui ? J'ai l'impression qu'il est un peu tombé en désuétude ? D'une manière générale on apprend sur "quoi" de nos jours, à niveau plus ou moins BAC ?

… Java ?

J'suis clean :)

Hormis la signature du certificat un peu faiblarde (bha oui c'est ça l'offre gratos StartSSL ..) mais bon je ne fais pas d'échanges monétisés non plus.

Protocols
- TLS 1.2 Yes
- TLS 1.1 Yes
- TLS 1.0 Yes
- SSL 3 No
- SSL 2 No

Très pratique comme site d'ailleurs.

Je ne comprends pas j'ai effectué les modifications dans Nginx.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

root@www-prod:/usr/local/etc/nginx/conf.d # service nginx restart
Performing sanity check on nginx configuration:
nginx: [warn] invalid value "TLSv1.3" in /usr/local/etc/nginx/conf.d/ssl:4
nginx: configuration file /usr/local/etc/nginx/nginx.conf test failed

Dans le cas ou l'on met TLSv1.3 effectivement il rale au check.

En testant après modification avec le script fournit par Red Hat …

Depuis l'extérieur :

~$ ./test-poodle.sh www.pentakonix.fr 443
VULNERABLE! SSLv3 detected.

Hein ?!

Et bien les temps changent sûrement :

L'offre "free" ne fournit qu'un certificats de classe 1 et ne permet que de "sécuriser" qu'un seul domaine.

Pour du "sous-domaine" c'est uniquement à partir de "StartSSL™ Verified" (classe 2/3) à 59.90 Dollars "seulement" ( à peine 3 fois plus qu'un nom de domaine …).

Et StartSSL est probablement l'un des moins cher du marché.

D'ailleurs je possède l'offre startSSL sur mon espace perso.

https://www.pentakonix.fr/ ne pose pas de soucis mais https://jrnl.pentakonix.fr/ va faire râler Firefox sur la certification de la connexion.
Pourtant je pense avoir correctement configuré ssl avec nginx ..

Je reviens donc à ma question initiale : à quand CA-CERT ?!

Je viens de finir un peu de tuner ma conf packet filter pour mes jails et clairement pour le coup j'ai l'impression que
c'est la c'est bien Iptable qui a quelques années de retards.

Plus j'utilise FreeBSD plus j'apprécie, c'est clair, cohérent, carré, méthodique, un véritable outil de production.

(En usage serveur j'entends, j'suis pas assez maso/barbu pour l'utiliser en desktop non plus hein).

Je ne comprends pas trop pourquoi je me suis fais "moinsser" c'était une vrai question, absolument pas un trolle …

Non ça n'a rien de gratos les "sous domaines" c'est tout de suite payant (je m'exprime sans doute mal en parlant de "sous domaine").

Exemple qu'une autorité certifie les clés du domaine pour linuxfr.org ça se trouve gratuitement certes mais forum.linuxfr.org ou wiki.linuxfr.org non là il faut mettre la main au porte-feuille partout et c'est loin d'être donné, même chez startcom.org par exemple.

Et je ne comprends pas les critères, pour mois l'audit je rigole quand je vois la liste des "autorités" présente …

Si tu pouvais me contredire clairement ça m'arrangerait beaucoup, j'ai cherché partout pour mon "site", impossible de jouer avec les vhost sans "casser" la certification.

Mais bien sur,

Packet filter inside a jail? (or filtering before NAT)

Admire toute la puissance des "macros" Packet Filter telles que "!<>", qui permettent de se passer de surcouches comme fail2ban ou encore Ipset ;)

Avec chargement de tout un range d'IP par fichier et crois moi le fichier est chargé … j'ai collé la moitié de l'Asie, directement dans une table de firewalling .. oui c'est mal machin tout ça … je sais.

Me rester encore à trouver le moyen de bencher mais manifestement selon encore d'autre barbus du forum, ça doit à peine bouger d'un Iota sur les perfs réseaux.

En l'état je triche encore j'utilise sshguard donc bon … un "équivalent" à fail2ban en un peu mieux quand même (sinon c'est pas drôle) puisqu'il ne lit pas les logs mais directement bosse au niveau protocole, cela dit c'est 10 fois moins lourd à configurer et j'ai vu de ci de là des macros pour s'en passer en une ligne … comme des trucs de ce genre :

pass inet proto tcp from any to any port ssh \
flags S/SA keep state \
(max-src-conn 5, max-src-conn-rate 5/30, \
overload flush global)

(D'ailleurs ça fonctionne sur tout les protocoles … pas besoin d'être expert pour comprendre ce que ça fait non ?)
Sous Iptables ça donne quoi déjà ?

A noter d'ailleurs que FreeBSD ne bénéficie pas de la toute dernière version de PF comme sa cousine OpenBSD donc pas encore de macro avancées comme egrep par exemple, ça semble prévu pour la 11.0.

Ca trolle pas mal joue les hautains sur LinuxFR lorsqu'on aborde les BSD mais clairement depuis que j'ai migré je me régale, surtout en firewaling / sécurité.

10 ans de retards qu'ils disent …
J'suis prés de repasser sous Debian pour mon serveur en tout cas.

C'est bien joli tout ça … mais concernant la prise en charge native de ca-cert comme Autorité de certificat ça donne quoi sous cette nouvelle version ?

Sinon quelqu'un pourrait m'expliquer la raison du pourquoi ce n'est toujours pas natif ?
Ca serait vraiment un grand pas en avant, c'est pas donné une certification sur un domaine et des sous-domaine …