Nom de domaine

[zelandonii]

Bonjour mes amis,

J'ai souscrit il y a quelques temps un serveur chez Kimsufi  en suivant l'excellent tuto noté ci-dessus. Je me suis donc créé un nom de domaine chez Duckdns mais cette solution me déplaît car elle nécessite la passerelle Google. Grâce à Framasoft, j'ai trouvé un fournisseur libre et open-source, ma question est donc :

Afin de modifier le domaine relié à l'IP de mon serveur, dois-je d'abord supprimer l'ancien nom et modifier ensuite le fichier de configuration du serveur ou puis-je directement modifier ce fichier, ce qui écraserait l'ancien?

Je préfère vous demander car la manipulation est simple à faire mais dans le doute, je n'ai pas envie de couper l'accès au serveur.

Merci.

[zelandonii]

 Une idée ?

[Mreve]

(Je passe juste en coup de vent pour donner quelques conseils à notre ami @zelandonii )

Salut,

Bon je sais que tu as simplement suivi le tutoriel du Crabe mais... je t'avoue que sur ce coup là je ne suis pas d'accord avec ces choix et il manque une section (ou avertissement) consacré(e) à la sécurité. Il faut être extrêmement précautionneux lorsque que l'on gère un serveur accessible depuis internet.

Il y plusieurs façon d'accéder à un serveur auto-hébergé (au sens large, ici chez Kimsufi par exemple) le plus souvent c'est soit via VPN , SSH ou HTTP(S)+DNS

Le plus simple et plus sécurisé reste de tout bloquer et n'accepter qu'une connexion VPN (un seul port ouvert). Tu peux même rerouter le trafic SSH vers le VPN. Je conseille évidemment Wireguard. Il est maintenant officiellement considéré comme stable. La v1.0 est sortie et Wireguard a été intégré dans le noyau linux 5.6.

Avantages : faible surface d'attaque, meilleure sécurité qu'il soit, simple à configurer, pas besoin de nom de domaine

Inconvénients : client VPN nécessaire pour tous les utilisateurs

Quelques conseils généraux en vrac. La plupart ne sont pas utiles si seul l'accès VPN est autorisé :

• Change ton port SSH par défaut (22). Cela permet d'éviter pas mal d'attaques de bots.
• Installe et configure fail2ban pour te protéger des attaques par bruteforce
• Bloque bien tous les ports que ton serveur n'utilise pas
• GeoIP blocking (n'autorise que les IP française par exemple)
• Utilise un reverse proxy si tu comptes héberger plusieurs services différents

 

Le 20/05/2020 à 13:50, zelandonii a dit :

Je me suis donc créé un nom de domaine chez Duckdns mais cette solution me déplaît car elle nécessite la passerelle Google.

En fait je ne comprends pas pourquoi DuckDNS est utilisé. À la base c'est pour faire du dynamic DNS (utile quand tu n'as pas d'adresse IP fixe). L'utiliser simplement pour éviter d'avoir à acheter un nom de domaine est étrange. Il y a des services spécialisés pour ça (même si je trouve qu'il est préférable d'acheter son propre nom de domaine pour 12€/an).

Juste une précision, tu as simplement créé un sous domaine de DuckDNS.org : mondomaine.duckdns.org.

EDIT : Correction --> un sous domaine est un domaine

Et DuckDNS est hébergé chez Amazon.

(Ça reste quand même un service bien sympa. On peut remercier leurs créateurs de ce service gratuitement et l'avoir mis sous licence libre)
 

Le 20/05/2020 à 13:50, zelandonii a dit :

j'ai trouvé un fournisseur libre et open-source, ma question est donc :

Vers quoi t'es-tu tourné du coup ? Vers un chaton ?

Pour en venir à ta question 

Le 20/05/2020 à 13:50, zelandonii a dit :

Afin de modifier le domaine relié à l'IP de mon serveur, dois-je d'abord supprimer l'ancien nom et modifier ensuite le fichier de configuration du serveur ou puis-je directement modifier ce fichier, ce qui écraserait l'ancien?

Je ne comprends pas très bien. Je croyais que tu n'étais plus chez kimsufi.

De quel fichier de configuration parles-tu ? Attends... c'est toi qui gère les serveurs DNS ?

Au vu du vocabulaire que tu emploies je ne penses pas mais du coup je comprends encore moins de quel fichier tu parles. C'est du côté du serveur DNS que ça se passe.

Tu as déjà supprimé ton compte DuckDNS ?

 

(Bon moi qui voulais rédiger un truc court c'est raté ! )

A+

Modifié le 22 mai 2020 par Mreve
Un sous domaine est un domaine

[zelandonii]

Bonjour @Mreve,

Merci de ta réponse exhaustive. Alors je ne maitrise pas la première moitié de ton message concernant le reroutage, wireguard etc. Mais je prendrai le temps de d'apprendre.

Quand je parle de fournisseur je parle du nom de domaine, c'est celui-ci :

https://netlib.re/

Bon il y a des choses à paramétrer mais là-aussi je vais apprendre.

Le fichier de configuration, c'est celui que l'on rempli lors du tutoriel pour obtenir le certificat Let's encrypt entre autre.

Quel fournisseur de nom de domaine payant me conseillerais-tu dans ce cas-là ? Car ça ne me dérange pas de payer quand il s'agit de nos données.

Désolé, je pensais avoir été assez clair dans mon premier message.

Et merci de ton temps.

[zelandonii]

Bonjour @Mreve,

Ayant appris pas mal de choses depuis quelques semaines, je n'utilise pas netlib car c'est pour créer des sous-domaines. J'ai préféré en acheter un chez OVH (même si ce n'est pas un CHATON) pour moins de 3€ l'année.

J'ai supprimé mon compte DuckDns et comme déjà dit dans mon précédent message, je vais me pencher sur tous tes conseils et y aller pas à pas.

Modifié le 7 juin 2020 par zelandonii

[Mreve]

Salut @zelandonii,

J'ai encore un examen lundi. Je reviens vers toi juste après !

[zelandonii]

Bon courage pour ton examen !

[Mreve]

Le 07/06/2020 à 11:08, zelandonii a dit :

J'ai préféré en acheter un chez OVH (même si ce n'est pas un CHATON) pour moins de 3€ l'année.

Va falloir mettre les mains dans le cambouis alors !
 

Le 22/05/2020 à 05:54, zelandonii a dit :

Quand je parle de fournisseur je parle du nom de domaine, c'est celui-ci :

https://netlib.re/

Oh. Je ne connaissais pas. C'est un projet intéressant qui a l'air de mettre l'accent sur l'accessibilité. C'est pas plus mal pour les débutants. Je vois aussi que la zone DNS (ton nom de sous-domaine ici) peut être mis à jour dynamiquement si l'adresse IP de ton serveur change.

Normalement les VPS chez OVH ont un IPv4 (et IPv6) fixe donc ce n'a pas d'importance.

Le 22/05/2020 à 05:54, zelandonii a dit :

Quel fournisseur de nom de domaine payant me conseillerais-tu dans ce cas-là ? Car ça ne me dérange pas de payer quand il s'agit de nos données.

Je n'ai pas relevé dans ton précédent message mais il faudrait parler de bureau d'enregistrement (registrar) plutôt que de fournisseur de nom de domaine. Oui je chipote mais autant apprendre le bon vocabulaire.

Tu es obligé de passer par un registar pour acquérir un nom de domaine. Je ne vais pas rentrer dans les détails mais le FAI associatif Alsace Réseau Neutre derrière https://netlib.re/ n'est pas registrar. Il est passé par OVH pour enregistrer le domaine netlib.re.

Personnellement j'aurais tendance à utiliser Gandi ou OVH directement.
 

Le 22/05/2020 à 05:54, zelandonii a dit :

Le fichier de configuration, c'est celui que l'on rempli lors du tutoriel pour obtenir le certificat Let's encrypt entre autre.

Concernant le certificat Let's Encrypt tu peux utiliser le reverse-proxy (t'affole pas je vais expliquer ce que c'est ! ) Caddy pour automatiser son renouvellement.

J'imagine que tu sais déjà à quoi sert ce certificat (chiffrer ta connexion au serveur). Comme tout certificat il faut le renouveler. Ce n'est pas excessivement compliqué à automatiser (crontab + cerbot) mais ce n'est pas super beginner-friendly non plus.

C'est là qu'intervient Caddy. Tout comme Apache ou NGIX, Caddy est un serveur web. Sa particularité c'est qu'il est beaucoup plus simple à configurer et gère le renouvellement automatique des certificats TLS.

Pourquoi je parle de reverse proxy ? Et bien parce que parce que ça te permettrait d'utiliser Caddy pour gérer tes certificat et de centraliser tes différents services si tu comptes un jour auto-héberger d'autres choses. Le subreddit /r/selfhost est plein de bon conseils.

N'empêche que ça reste un tantinet compliqué quand on a pas les bases en administration système : https://caddyserver.com/docs/quick-starts/reverse-proxy

Après la question c'est.... est-ce que tu veux vraiment ouvrir ton serveur à tout l'internet ? Comme je te l'expliquait il sans doute préférable de passer par un VPN. N'autoriser qu'une connexion VPN au serveur (1 seul port ouvert) règle pas mal de soucis de sécurité. C'est d’ailleurs la solution la plus simple à mettre en place et la plus sécurisée.

Tu as 2 possibilités :

- Installer ton propre serveur VPN Wireguard sur ton VPS (ou même sur un raspberry pi si tu veux). Tu peux le faire à la main ou avec le script PIVPN (tuto fr)

- Passer par un prestataire externe qui propose du port forwarding (désolé j'ai la flemme de faire des recherches. Je sais juste que Mullvad le propose)

 

Je te laisse choisir

Modifié le 8 juin 2020 par Mreve

[zelandonii]

Bonsoir @Mreve,

Comment s'est passé ton examen ? Pas trop manqué de cours avec le confinement ?

Merci pour tes conseils très pointus, je me pencherai dessus à tête reposée.

Pour ce qui est du certificat, j'ai tenté d'automatiser le renouvellement via CERTBOT mais je me suis loupé ce qui a rendu le serveur inaccessible. @rodriguem7973 pourrait t'en parler car il a essayé de me dépanner mais rien a faire, obligé de tout réinstaller.

Par contre, je ne vois pas l'intérêt de l'ouvrir à tout l'Internet car je ne pense pas m'en servir pour autre chose que du stockage.

Pour ce qui est du VPN, j'ai survolé le tutoriel et il a l'air très vulgarisé, ce qui serait parfait.

Tu conseilles d'investir dans un raspberry PI ? Car ils vendent des kits prêt à l'emploi, plus qu'à installer.

[Mreve]

Il y a 2 heures, zelandonii a dit :

Comment s'est passé ton examen ? Pas trop manqué de cours avec le confinement ?

C'était plutôt tranquille honnêtement (oral de 10 min qui portait sur un DM donné 2 semaines avant)

Il y a 2 heures, zelandonii a dit :

Pour ce qui est du certificat, j'ai tenté d'automatiser le renouvellement via CERTBOT mais je me suis loupé ce qui a rendu le serveur inaccessible.

Ah c'est ballot ça !
 

Il y a 2 heures, zelandonii a dit :

Par contre, je ne vois pas l'intérêt de l'ouvrir à tout l'Internet car je ne pense pas m'en servir pour autre chose que du stockage.

Oui, c'est pour ça que tu veux utiliser un VPN.
 

Il y a 2 heures, zelandonii a dit :

Tu conseilles d'investir dans un raspberry PI ? Car ils vendent des kits prêt à l'emploi, plus qu'à installer.

C'est pas une obligation. Disons que ça peut être utile si tu veux faire de l'auto-hébergement à la maison : Bitwarden (gestionnaire de mot de passe), Bootstack (wiki) ou installer des trucs comme Pi-Hole (serveur DNS bloqueur de pub/tracker pour tous les appareils de ton réseau) ou encore Kodi (pour transformer ta TV en TV connecté du futur) ou un serveur Wireguard.

Bref. Il y a tellement de choses à auto-héberger : https://github.com/awesome-selfhosted/awesome-selfhosted

Si tu ne comptes pas t'engager dans ce genre de projets, tu n'en as pas vraiment besoin. Installe Wireguard sur ton VPS avec PiVPN et t'es bon !

Modifié le 8 juin 2020 par Mreve

[zelandonii]

OK merci pour tous ces précieux conseils. Je tiendrai ce thread à jour au fur et à mesure de mes mésaventures.

[zelandonii]

Bonjour @Mreve,

Alors, pour installer les paquets Wireguard j'ai trouvé qu'il fallait déjà avoir un fichier sources.list créé. Ce que j'ai fait, mais à priori il faut rajouter les sources "unstable". Cela ne risque t-il pas de causer un problème par rapport aux sources "stable" qui sont enregistrées?

Je préfère poser la question avant de risquer de planter le serveur.

[zelandonii]

Alors maintenant, en plus du fait que je ne parviens pas à installer Wireguard, je n'arrive plus à téléverser des fichiers sur Seafile, que ce soit via le navigateur ou l'application Android.

[zelandonii]

Bonsoir,

Ça y est j'ai réglé mon problème. Il suffisait d'aller sur l'interface graphique de Seafile et d'ouvrir l'onglet "Administrateur système", là les URL d'envoi et de téléchargement étaient celles de mon ancien nom de domaine, donc ça ne fonctionnait pas.

[Mreve]

Ohlala @zelandonii !

J'ai oublié de te répondre. C'est pas cool ça !

Concernant Wireguard, il te faudra en effet installer le paquet Wireguard car Debian 10 tourne encore avec le kernel 4.19 (wireguard a été intégré au noyau 5.6).

Le paquet n'est pas dans les dépôt stable mais comme il va être inclus dans Debian 11, tu peux le trouver dans le dépot backport :

Il a un priorité plus faible que le dépot stable ce qui veut dire que seul wireguard sera mis à jour depuis ce dépot (le reste suivra le dépot stable).
==> https://wiki.debian.org/AptConfiguration

$ echo "deb http://deb.debian.org/debian buster-backports main" | sudo tee /etc/apt/sources.list.d/buster-backports.list

Tu auras aussi besoin des headers du noyau pour Wireguard (si ce n'est pas déjà installé) :

sudo apt update
sudo apt -t buster-backports install wireguard wireguard-tools wireguard-dkms linux-headers-$(uname -r)

 

[zelandonii]

Bonjour @Mreve,

Il n'y a aucun problème, nous avons tous notre vie donc on répond quand on peut.

Je suis absent (en vacances) pour les deux prochaines semaines donc je testerai une fois rentré et te tiendrai informé.

Merci pour la réponse.