Étiquette : serveur

Publié le

Online passe sans prévenir ses serveurs backup en FTP passif only (et aller on refait iptables !)

C’est en voulant appliquer un patch de sécurité sur un forum que je maintiens que je me suis rendu compte que nos chers amis online ont changé la stratégie de sécurité de leurs serveurs backup dedibox pour le ftp et sans prévenir. J’ai d’ailleurs trouvé un ptit topic sur le sujet ICI.
Désormais on ne peut plus faire du ftp qu’en mode passif… D’après ce que j’ai vu c’est plus sécurisé mais c’est surtout chiant à configurer (pour les amateurs disons) au niveau iptables. Il y a d’ailleurs plein de topics sur le net sur le sujet avec des amateurs qui galèrent et jamais de réponse super claire et évidente.
Il semble par exemple qu’utiliser certains modules comme nf_nat_ftp, nf_conntrack, nf_conntrack_ftp suffirait, mais hélas pas pour moi (du moins pas pour des connexions sortantes pour aller faire mes backups)… Ok je n’ai peut être pas tout capté mais bon..
Toujours est-il que cela donne dans un script iptables :

# FTP
modprobe nf_nat_ftp
modprobe nf_conntrack
modprobe nf_conntrack_ftp

 Après on trouve des trucs moches comme ça (et la ça fonctionne pour moi) :

iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Mais franchement, c’est juste super moche et bourrin car en gros il s’agit ici d’autoriser les connexions sortantes (et surtout les NEW !) sur une maxi plage de ports. Certes, le mode passif ftp peut tomber selon les config sur une vaste plage de ports mais quand même… Bon ok c’est du sortant donc moins grave que du entrant mais bon si vous vous faites infecter la machine c’est toujours mauvais.
Du coup, je me suis rabattu sur une config un peu moins bourrin (mais bourrin quand même) :

# Pour autoriser le mode passive on est bourrin en out new mais que sur le serv backup
iptables -t filter -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -d dedibackup-bzn.online.net -j ACCEPT

Au moins ici on limite sur un serveur destination (le serveur de backup en l’occurence). Evidemment, cela me convient dans mon usage mais sans doute pas pour tout le monde.
En tous cas, en matière de sécurité, il reste toujours le principe de base, fermer tout par défaut et ouvrir juste le stricte nécessaire. D’ailleurs, c’est l’occasion pour moi de rappeler l’intérêt de cet article.
Et avant d’oublier, si vous utilisez backup-manager pour vos sauvegardes, n’oubliez pas de le passer en mode ftp passif si c’est ce mode que vous utilisez :

# Do you want to use FTP passive mode?
# This is mandatory for NATed/firewalled environments
export BM_UPLOAD_FTP_PASSIVE="true"
Publié le

On ne plaisante pas avec la sécurité

Et voila déjà quelques années que mes petits dédiés tournent heureusement sans trop de soucis. Merci aux divers tutoriaux trouvés sur le net pour la configuration et un minimum de sécurisation.
Aujourd’hui un petit mot pour dire que malgré tout, il ne faut jamais négliger la sécurité, même si de prime abord on a fait notre maximum au départ. Et qui dit sécurité dit mise à jour régulière de l’ensemble des logiciels installés sur votre machine (encore une raison de plus pour n’y mettre que le stricte minimum d’ailleurs !).
Habituellement, au moins une fois par semaine, je mets à jour le système d’exploitation de la machine et tous les paquets qui y sont associés (raison de plus pour faire toutes ses installations via le gestionnaire de paquets quand c’est possible !). Mais évidemment il reste ce qu’il y a en dehors et par exemple les applications web. Pour cela j’essaye de regarder régulièrement et je passe à l’install dès que je peux car c’est tout de suite plus long…
Cette fois j’ai traîné a appliquer un patch de sécurité sur un forum que je gère et voilà que ce soir je me lance dans l’application du patch. J’ai alors vu un joli fichier inconnu dans mon install qui avait tout l’air d’un exploit… Heureusement, le site semble ne pas en avoir pâti. Moralité merci une install a peu près propre sécu et surtout mettons à jours nos applications le plus fréquemment possible !
Vraiment, il va falloir que je mette en place des contrôles supplémentaires comme tripwire ! Il faut aussi refaire un tour régulièrement des tuto de sécu et autre, on apprend tous les jours des astuces pour monter le niveau de sécurité.

Publié le

Mediawiki et réplication mysql : le mauvais ménage ?

Il y a des fois comme ça, ou on a des feeling qu’on ne sait pas expliquer au sujet d’un souci. Puis on test, sans trop savoir et la hop, ca fonctionne.
En l’occurence cette fois il s’agit de mediawiki. Un moteur wiki sympa que j’ai installé sur le serveur. Jusque la tout va bien. Sauf que, et bien l’accès à certaines pages du wiki était totalement anormalement lent… Mediawiki étant tout de même à l’origine fait pour wikipedia, site à forte audience, je me suis logiquement dit que cela venait de chez moi.
Malheureusement aucune explication ni trace d’erreur. Sauf que, mon serveur a une réplication Mysql sur un autre serveur. Bizarrement, j’avais l’impression que ma réplication se mettait régulièrement HS lorsque j’utilisais mediawiki, mais sans preuve (toujours aucune a l’heure actuelle).
Du coup, je me dis, aller, configure ton serveur pour empecher la BDD media wiki d’aller dans le log binaire et du coup d’aller dans la réplication.
Et la miracle ! Le wiki fonctionne correctement, sans attendre 3 plombes !!!
Bref un feeling qui a fonctionné. Sauf que, en l’état, je trouve que c’est moyennement satisfaisant puisque le wiki n’est pas répliqué. A la rigueur je pourrais forcer le wiki a fonctionner avec un moteur plus basique (myisam au lieu de innodb) histoire d’assurer une réplication meilleure ??
Bref pour le moment je laisse en l’état, le wiki est moins critique que le forum dans un premier temps mais bon, il va falloir améliorer cette situation… Sauf que si je laisse la config de base qui a priori ne passe pas sur la réplication et que j’ajoute une tonne de données, la migration sera plus « chiante » par la suite…

Publié le

Un client SSH en HTML5

Je viens de voir cet article chez korben…
Incroyable, quelqu’un a développé un client SSH en HTML5 et python. J’avoue je trouve cela à la fois extra et effrayant. J’hésite à tester. Quelque part, un peu l’impression d’installer une faille géante sur le serveur XD

Publié le

Note pour plus tard : la gestion des bookmarks sur mon serveur ?

Dans ma pulsion d’organisation, j’attaque rapidement la partie bookmarks ou plus communément marque ta page en français dans le texte. Cela fait parti des incontournables de l’organisation et du surf sur le web. Je me rends compte que le marque page c’est le premier outil que j’utilise pour identifier quelque chose à faire / voir / traiter plus tard ou maintenant, ou tout simplement ne pas oublier !
Bref, j’aimerais bien avoir ce genre d’outil sur mon serveur aussi, histoire de me privatiser la vie :). Même combat que les RSS agregator ou todolist en tout genre. Malheureusement je n’ai qu’une solution a installer sur le serveur :
http://sourceforge.net/projects/scuttle/
Cela semble le plus correct possible pour ce que j’ai trouvé. Mais bon j’ai aussi trouvé ce site :
http://www.diigo.com
Qui propose aussi un service du genre mais avec beaucoup plus de fonctions ! Du genre prendre des screen d’une page, y mettre des notes… J’avoue c’est très tentant, mais par contre, je vais m’éparpiller ! Imaginons, diigo pour les notes, netvibes pour les flux RSS etc etc.. Je sais pas 🙁
Ah tiens j’allais oublier, google a aussi un service de bookmark : google bookmarks, mais qui pour le coup est vraiment très limité je trouve.
Affaire à suivre !