Tout d'abord, rappelons ce qu'est et ce que fait hostathome : c'est un script facilitant la mise en place d'un serveur auto-hébergé. Il se veut simple d'utilisation, tout en laissant un maximum de choix à l'utilisateur. Si ça vous intéresse, il en a déjà été question sur linuxfr.
Le journal d'aujourd'hui présente rapidement où en est le projet, qui a connu plusieurs changements grâce aux interventions de différents contributeurs.
Travail sur la sécurité
- Fail2ban est renforcé et protège maintenant nginx
- Portsentry est lui aussi testé
- rkhunter est entré dans la danse
- ufw est installé pour faciliter la mise en place du parefeu.
Hébergement du code
Le code est maintenant disponible sur github.
Fonction pour débutants
Le script permet par défaut d'installer les services sur différents sous-domaines (ie. blog.domaine.com - rss.domaine.com…). C'est pas pratique pour les débutants qui doivent en plus configurer des CNAME à tout va. C'est pourquoi il y a maintenant une fonction dans hostathome qui permet d'installer plusieurs services web dans un seul domaine, rangés par dossiers. Bien entendu, ssl est activé.
Bien sûr, les services comme xmpp, mail ou ssh ne sont pour autant pas activés par défaut pour plus de sécurité. Seuls sont installés les services web suivants :
- Dropcenter : Pour mettre des fichiers en ligne (pseudo-cloud)
- Kriss : Un lecteur de flux rss
- Shaarli : Pour partager vos liens/prendre des notes
- Blogotext : un blog + un set de themes
- Zerobin : Pour coller du texte/discuter de façon privée
- Dokuwiki : un wiki
Au final, une page d'accueil est prévue pour accéder à ces services, reprenant un peu la méthode de YUNoHost :
Infos en vrac
La liste des services que l'on peut installer a augmenté, et ce n'est pas fini. Il manque juste le temps, le besoin et les idées pour en rajouter.
L'installation de blogotext vient maintenant avec une série de thèmes.
Selon les services installés, les ports nécessaires du parefeu sont ouverts.
À l'avenir
- Il faudra penser à adapter le script pour jessie. Cela requiert de légères modifications pour dovecot et postfix.
- J'aimerai mettre en place un système pour internationaliser le script : c'est un boulot énorme
- L'utilisation de paquets debian (que le script crée) rendrait les installations plus propres
Les contributions sont donc les bienvenues.
# erreur
Posté par erdnaxeli (site web personnel) . Évalué à 7.
Je pense que c'est plutôt « tout en laissant un maximum de choix » (sinon c'est un peu bizarre de mettre ça en avant).
Il existe deux catégories de gens : ceux qui divisent les gens en deux catégories et les autres.
[^] # Re: erreur
Posté par Thuban (site web personnel) . Évalué à 2.
Tu as tout à fait raison, mea culpa.
[^] # Re: erreur
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Corrigé, merci.
# Sécurité
Posté par Raoul Volfoni (site web personnel) . Évalué à 4. Dernière modification le 05 mars 2015 à 10:47.
Je verrais bien un Knockd installé puisque tu as déjà le pare-feu.
Et pour en rajouter une couche, une solution OTP/OPIE serait plus que bénéfique à cette suite d'outils puisqu'il s'agit d'accéder à son serveur depuis n'importe où.
mes 2 cts.
[^] # Re: Sécurité
Posté par Thuban (site web personnel) . Évalué à 1.
knockd est en effet intéressant. Reste à voir comment le mettre en place, surtout pour les débutants.
Tu peux détailler ton idée OTP/OTPIE?
[^] # Re: Sécurité
Posté par Raoul Volfoni (site web personnel) . Évalué à 3.
Avoir des mots de passe jetable pour établir les connections depuis des réseaux peu sûrs. En pratique je l'utilise en complément de Knockd lorsque j'ai besoin d'accéder à mes serveurs depuis un réseau potentiellement dangereux. Dans un 1er temps j'ouvre le port TCP avec la bonne séquence et dans un 2ème je m'authentifie avec un mot de passe jetable généré avec une appli OPIE sur mon smartphone. Ensuite je referme le port et comme ça je suis tranquille. ;)
[^] # Re: Sécurité
Posté par Thuban (site web personnel) . Évalué à 1.
C'est excellent ça!
Tu as de la doc sous le coude?
[^] # Re: Sécurité
Posté par Raoul Volfoni (site web personnel) . Évalué à 2.
Pas vraiment mais il existe des tonnes de tutos ici et là. Il faut savoir que le client de knockd est tout pourri et qu'il vaut mieux utiliser un autre outil comme hping pour envoyer les bonnes séquences. D'autre part on peut potentiellement exécuter n'importe quelle action à partir d'une séquence: reboot, ouverture-fermeture d'un port, flush IPtables (parfois utile ;-) etc.
Il y a même des alternatives à knock où après réception des séquences le serveur envoie un SMS avec un code: c'est l'authentification forte…
Concernant OPIE il faut penser à installer les plugins pour PAM.
Tiens, qq liens vite-fait à l'arrache:
Port-Knocking
Implement Port-Knocking Security with knockd
Have fun !
# Ajout du webmail
Posté par Thuban (site web personnel) . Évalué à 1.
Une nouvelle fonction a été ajoutée. Elle fait la même chose que la première, mais installe en plus un serveur mail et un webmail.
# A propos du logo
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 2.
J'aime ton logo : c'est bien le symbole du docteur Manhattan dans une alvéole de nid d'abeille ?
[^] # Re: A propos du logo
Posté par Thuban (site web personnel) . Évalué à 1.
J'ai juste essayé d'associer deux concepts de physique et chimie :
Le symbole du docteur manhattan : c'est en fait l'atome d'hydrogène selon le modèle de Rutherford
Le symbole d'alvéole : c'est plutôt l'écriture chimique du benzene.
Mais à chacun son interprétation, j'aime bien aussi la tienne :)
[^] # Re: A propos du logo
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 2.
Je la connaissais avec cobalt et sodium.
# - dropcenter + owncloud
Posté par Thuban (site web personnel) . Évalué à 1.
Sur les conseils d'Idleman, l'auteur de dropcenter, ce service a été remplacé par owncloud.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.