Je vous ai parlé l’autre jour des containers LXC sous Proxmox. Il est très simple de lancer un container de base ou de chez TurnkeyLinux. Par contre Proxmox ne permet pas de créer un modèle de container, il va falloir un peu user de la ligne de commande, mais c’est assez simple. Dans cet exemple, je pars de l’image Centos 7 de base (vous devez au préalable l’avoir téléchargé) et j’en fais une image Apache/PHP que je pourrais utiliser de multiples fois. »
Cet article est en miroir par rapport à l’article sur Nginx : apprenons à avoir de bonnes notes avec Mozilla Observatory et SSLLabs. On va bien sûr partir du site SSL Configuration Generator, la référence. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. A partir de là, on va ajouter les headers pour faire plaisir à Mozilla et les exigences de sécurité TLS pour faire plaisir à SSLLabs. »
Comme promis, je vous détaille l’architecture que j’ai utilisé pour fournir des containers dans un contexte de TP PHP/MySQL pour des étudiants : Chaque groupe de travail/étudiant a son container LAMP. En frontend, un reverse proxy Nginx centralise les connexions HTTP(s). En backend, un serveur de base de données MariaDB offre une base par groupe/étudiant. Les Dockerfiles DB : Je lance juste un container MariaDB et je crée ensuite les BDD à la main via docker exec : »
Quand un serveur est en écoute sur un port, il donne certaines informations au client. Ces informations, l’utilisateur ne les voit pas mais le logiciel si. Ainsi, si vous visitez un site Web avec NetCat ou Telnet, vous en savez plus sur le serveur d’en face : nc monserveur 80 get / ... Server: nginx/1.6.2 (Ubuntu) ... nginx/1.6.2 (Ubuntu) ... A partir de là, un attaquant peut fouiller sur Internet pour voir les failles de sécurité connues de cette version de serveur. »
La fois dernière, on a vu l’optimisation des objets eux mêmes (minimisation et compression sans perte), cette fois on regarde ce qu’on peut faire faire à Apache. On crée un fichier .htaccess à la racine du site dans lequel on va mettre toutes ces directives Apache. Compression Deflate est un algorithme de compression utilisable par les serveurs Apache et par la grande majorité des navigateurs. Par contre cette compression n’est pas active par défaut. »
NetDB est un logiciel qui interroge les équipements réseau (switchs, routers, …) et récupère certaines informations, comme les tables ARP. Il permet de retrouver la trace d’une machine à partir de son adresse Mac, son IP, son nom et de vous dire notamment sur quel switch et sur quel port elle a été branchée. C’est écrit en Perl et ça se sert de Apache et MySQL. Si vous avez l’habitude de suivre mon blog, inutile de vous préciser que c’est un logiciel libre. »
J’ai enfin trouvé une interface Web pour l’affichage des logs. Echofish est un logiciel libre en PHP/MySQL qui fait très bien le boulot. Facile à installer configurer contrairement aux autres solutions que j’ai testé (loganalyzer, ELK qui est lourd et compliqué, …). Le principe : Les logs des serveurs à surveiller sont centralisés par RSyslog. Sur le serveur de logs, logrotate gère la rotation et l’archivage des logs. »
Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition. Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS. Pour cela, je vous livre différentes configuration et un script de test utilisant NMap. Apache SSLProtocol All -SSLv2 -SSLv3 Tomcat v7 Dans $TOMCAT_HOME/conf/server.xml »
Owncloud a été mis à jour. Pour les dernières mises à jour c’est ici pour le Dockerfile et ici pour l’image Docker. Je suis Owncloud depuis ses débuts. Mon calendrier, mes contacts et quelques fichiers sont dessus depuis un moment et j’en suis assez content. Ce n’est pas la solution parfaite et j’ai déjà regardé la concurrence (notamment Pydio) mais ça reste le gros projet libre du domaine. »
Je dois avouer que je ne suis pas fan de ce qu’on appelle couramment réseaux sociaux (ces plateformes d’espionnage centralisé). Je n’aime pas le principe de déclarer au monde entier que ce midi, qu’il y avait frites à la cantoche et que ça va bien, merci ! Je ne cours pas non plus après les dernières nouvelles qui ne sont déjà plus fraîches tellement elles ont été re-re-re-re-re-gazouillées. »