Le Blog de Alban Montaigu
En effectuant un banal trace route vers ma dedibox, je me suis rendu compte que le réseau interne au datacenter de Online.net, filiale d’Illiad, la maison mère de Free est nommé « PoneyTelecom.eu » une blague d’Arnaud? Je ne sais pas!?
via PoneyTelecom, le nouveau délire de Online.net! |.
Mais LAUL ! je viens de m’en rendre compte tout à l’heure et je vois que je ne suis pas le seul xD Online.net bande de gros geeks 😀 Love !!
La documentation officielle online donne quelques informations sur l’installation d’une distribution proxmox.
Le plus important pour moi sur cette doc c’est la partie ip failover et mac virtuelle associée aux VM. J’ai cru voir d’ailleurs que si on ne faisait pas cette partie proprement on se faisait couper assez vite l’accès réseau vers sa dédibox… Pouah !
C’est en voulant appliquer un patch de sécurité sur un forum que je maintiens que je me suis rendu compte que nos chers amis online ont changé la stratégie de sécurité de leurs serveurs backup dedibox pour le ftp et sans prévenir. J’ai d’ailleurs trouvé un ptit topic sur le sujet ICI.
Désormais on ne peut plus faire du ftp qu’en mode passif… D’après ce que j’ai vu c’est plus sécurisé mais c’est surtout chiant à configurer (pour les amateurs disons) au niveau iptables. Il y a d’ailleurs plein de topics sur le net sur le sujet avec des amateurs qui galèrent et jamais de réponse super claire et évidente.
Il semble par exemple qu’utiliser certains modules comme nf_nat_ftp, nf_conntrack, nf_conntrack_ftp suffirait, mais hélas pas pour moi (du moins pas pour des connexions sortantes pour aller faire mes backups)… Ok je n’ai peut être pas tout capté mais bon..
Toujours est-il que cela donne dans un script iptables :
# FTP
modprobe nf_nat_ftp
modprobe nf_conntrack
modprobe nf_conntrack_ftp
Après on trouve des trucs moches comme ça (et la ça fonctionne pour moi) :
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Mais franchement, c’est juste super moche et bourrin car en gros il s’agit ici d’autoriser les connexions sortantes (et surtout les NEW !) sur une maxi plage de ports. Certes, le mode passif ftp peut tomber selon les config sur une vaste plage de ports mais quand même… Bon ok c’est du sortant donc moins grave que du entrant mais bon si vous vous faites infecter la machine c’est toujours mauvais.
Du coup, je me suis rabattu sur une config un peu moins bourrin (mais bourrin quand même) :
# Pour autoriser le mode passive on est bourrin en out new mais que sur le serv backup
iptables -t filter -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -d dedibackup-bzn.online.net -j ACCEPT
Au moins ici on limite sur un serveur destination (le serveur de backup en l’occurence). Evidemment, cela me convient dans mon usage mais sans doute pas pour tout le monde.
En tous cas, en matière de sécurité, il reste toujours le principe de base, fermer tout par défaut et ouvrir juste le stricte nécessaire. D’ailleurs, c’est l’occasion pour moi de rappeler l’intérêt de cet article.
Et avant d’oublier, si vous utilisez backup-manager pour vos sauvegardes, n’oubliez pas de le passer en mode ftp passif si c’est ce mode que vous utilisez :
# Do you want to use FTP passive mode?
# This is mandatory for NATed/firewalled environments
export BM_UPLOAD_FTP_PASSIVE="true"
Tout est dans le titre et dans un autre excellent arcticle de alsacreations
http://www.alsacreations.com/tuto/lire/618-Sauvegarde-backup-manager.html
C’est un outil que j’ai mis en oeuvre et qui marche très bien avec l’offre d’espace de sauvegarde de chez dedibox.
Ce fut une semaine mouvementée et qui a mal commencé hélas. Lundi matin, le serveur dédié ne répond plus 🙁 . Tentative de reboot via la console d’administration : échec. Je découvre alors une fonction sympa chez dédibox : lorsqu’un reboot échoue dans la console admin un ticket d’incident est automatiquement ouvert pour reboot électrique dans un délais de 2 à 4h. Pas trop mal.
J’attends alors naïvement mais le souci avec ce truc c’est que pas de nouvelles de l’intervention 🙁 Donc mardi fin de journée ouverture d’un nouveau ticket au support. Yaowww ! Heuresement que j’ai rien de vraiment critique (oupa). Ticket pris en compte le lendemain. Ha, on me change la box… Ok la nouvelle est surement bien mais vierge donc je dois me retaper toute la config…
Heureusement ! J’avais fait des backups !! J’ai donc pu garder les données applicatives malgré tout (la config du serveur elle, reste à refaire….) Bizarre cette histoire, une box qui crame toute seule… J’ai moyennement confiance maintenant du coup. Enfin, qui vivra verra. Du coup avec le peu de temps dont je dispose, ce n’est que ce week end que les services sont remontés a peu près complètement.
En tous cas ! Moralité faites des backup réguliers !