SFTP – FTP bye bye

Remplacer le FTP par le SFTP c’est bien mais il ne faut pas abaisser la sécurité pour autant. Et par défaut l’utilisateur à accès à toute la machine via SFTP, il faudra donc le chrooter.

Je vais donc vous expliquer pas à pas comment sécuriser une installation sftp.

Commencer par refuser la possibilité de login à tt les utilisateurs que vous utiliserez comme sftp en faisant soit chsh user et en mettant /bin/false ou en mettant dans /etc/default/useradd les valeurs suivantes:

SHELL=/bin/false
SKEL=/etc/skelempty

Il vous faudra créer le dossier /etc/skelempty qui ne contient rien (ceci afin d’éviter l’ajout automatique de fichier qu’un utilisateur uniquement sftp n’aura cure).

Read More…

Posted in Hosting at April 2nd, 2014. 1 Comment.

CACert

C’est avec fierté que je peux vous annoncer que ce blog ainsi que celui de doudoune ou encore le tld helpcomputer.org sont maintenant disponibles sous certificat SSL CACert.

Comme CACert est une autorité de certification qui ne se trouve pas encore dans tous les navigateurs, vous devrez l’installer vous même si vous ne l’avez déjà fait.

Vous devez tout d’abord vous rendre sur la page des root certificates de CACert.

Ensuite si vous êtes sous windows et que vous utilisez Internet Explorer, Chrome ou Safari vous devez télécharger et installer le “Windows Installer package” (n’oubliez pas de redémarrer votre browser après).

Pour Firefox, c’est un peu différent, il vous suffit de cliquer sur “Certificat racine (format PEM)|Root certificate (PEM format)” et de cocher “Confirmer cette AC pour identifier des sites Web” (expliqué en images sur parinux).

CACert

Une fois tout cela fait il suffit d’ajouter un gentil petit “s” à la fin de http dans votre barre d’adresse ;-).

Ou …. de cliquer sur les liens ci dessous : ce blog ainsi que celui de doudoune ou encore le tld helpcomputer.org sont

 

Posted in Hosting at April 26th, 2013. No Comments.

Admin web interface cachée

Avoir une interface web pour contrôler/gérer série de paramètres c’est bien. En l’occurrence moi j’ai du monitoring grâce à munin, un contrôle sur mpd grâce à relax, nzbget(web), transmission ou encore mon serveur git(web), mais voilà qui dit administration dit protection, ça me semble une évidence. Oui, bien sur vous avez le login/mdp habituel, mais quoi de mieux que d’avoir une administration qui N’EXISTE PAS aux yeux des pirates?! Et donc si elle n’existe pas, pas évident de hacker une interface qui n’existe pas.

Read More…

Posted in Hosting at February 5th, 2012. No Comments.

Apache – Nginx > Authentification

Quand vous devez passer de Apache à NGinx vous savez déjà surement que vous allez devoir réécrire vos .htaccess dans le fichier de config du domaine lui même. Et donc les mot de passe aussi. Maix pour cela il faudrait savoir quels sont et où sont les fichiers de mots de passes utilisés.

Pour cela rien de plus simple: les instructions concernant les directives d’auth peuvent se trouver dans 2 endroits :

  • /etc/apache2/
  • votre /var/www à vous

On va devoir fouiller ces deux endroits, et pour le premier.

Read More…

Posted in Hosting at January 27th, 2012. No Comments.

Trouver une fuite réseau sur un serveur

Il y a quelques jours est venu un twitto @woueb demandant : comment faire pour voir l’origine d’une grosse fuite réseau ?
Ayant même pas regardé qu’il y avait un GIGANTESQUE menu Statistics je l’ai mis à l’amande et me suis donné du boulot :-P

Faut d’abord commencer par logguer tout ce qui passe sur la machine pour pouvoir traiter les données après. Commande on ne peut plus simple :

Tcpdump

screen tcpdump -w tcp.dmp

Read More…

Posted in Hosting at January 27th, 2012. No Comments.

Awstats – passer de Apache à Nginx

Si vous pensez à faire le changement le jour où vous passez d’un serveur à l’autre c’est très simple.
Il vous suffira d’éditer le fichier /etc/awstats/awstats-nom-de-domaine.conf et d’éditer la ligne

LogFile=””

Et d’y mettre le path du nouveau fichier de log.

Je parlerai dans un autre poste de la partie affichage grâce à nginx, ici on parse déjà les bons fichiers de log, c’est déjà pas mal.

Heu, et si j’avais oublié?

Read More…

Posted in Hosting at January 14th, 2012. No Comments.

Nginx – catch all

Tout d’abord c’est quoi un catchall ? C’est une route par défaut. Si par exemple la personne qui a tapé votre adresse mail a fait une erreur comme lngap à la place de lgnap je ne vais pas recevoir votre mail. Mais si l’adminsys a bien fait ça il devrait avoir défini une adresse mail catchall qui récupère tout ce qui n’a pas de destinataire existant et/ou adéquat.

Et bien pour les serveurs web c’est la même chose. Si vous ne spécifiez pas un host traité par le serveur dans l’url (par exemple une IP directe ou un nom de domaine pas prévu pour être utilisé sur le serveur web) on ne sait pas trop où il vous emmène. Voilà l’intérêt de ce serveur/domaine ci, le savoir et contrôler ce sur quoi ils peuvent tomber.
Read More…

Posted in Hosting at January 12th, 2012. No Comments.