Un reverse proxy WAF sous FreeBSD avec Nginx Naxsi

D’abord, pour les lecteurs qui ont ouvert cet article sans conviction parce que FreeBSD, bon, c’est un OS pour les moustachus, je vais expliquer mon choix un peu plus bas.   Naxsi Avant tout quelques explications sur ce qu’est Naxsi : Naxsi est un WAF. Maintenant que c’est dit, quelques explications sur ce qu’est un WAF : Un WAF est un firewall pour applications Web, autrement dit une bébête qui vérifie les requêtes des clients Web avant de les transmettre aux serveurs Web. »

Rouler en classe A avec Nginx

La fondation Mozilla a beaucoup travaillé ces derniers temps sur l’amélioration de la sécurité du Web. Pour les sysadmins, le site SSL Configuration Generator est génial car il vous permet d’obtenir une configuration sécurisée de votre serveur Web. Il vous suffit de choisir votre serveur Web, la version que vous utilisez et la version d’openssl et le tour est joué. Sauf que ce n’est pas encore suffisant pour protéger les utilisateurs des principales failles Web comme XSS, par exemple. »

Une architecture Docker en production

Comme promis, je vous détaille l’architecture que j’ai utilisé pour fournir des containers dans un contexte de TP PHP/MySQL pour des étudiants :   Chaque groupe de travail/étudiant a son container LAMP. En frontend, un reverse proxy Nginx centralise les connexions HTTP(s). En backend, un serveur de base de données MariaDB offre une base par groupe/étudiant.     Les Dockerfiles DB : Je lance juste un container MariaDB et je crée ensuite les BDD à la main via docker exec : »

Comment faire taire Apache ou Nginx ?

Quand un serveur est en écoute sur un port, il donne certaines informations au client. Ces informations, l’utilisateur ne les voit pas mais le logiciel si. Ainsi, si vous visitez un site Web avec NetCat ou Telnet, vous en savez plus sur le serveur d’en face : nc monserveur 80 get / ... Server: nginx/1.6.2 (Ubuntu) ... nginx/1.6.2 (Ubuntu) ...   A partir de là, un attaquant peut fouiller sur Internet pour voir les failles de sécurité connues de cette version de serveur. »

Pour en finir avec Poodle

Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition. Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS. Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.   Apache SSLProtocol All -SSLv2 -SSLv3 Tomcat v7 Dans $TOMCAT_HOME/conf/server.xml »

Installer une plateforme LEMP sous Debian

Installer une plateforme LEMP sous Debian n’est pas si compliquée mais après avoir cherché quelque temps, je vous livre un tuto clé en main.   MariaDB ou MySQL :   MariaDB est le remplaçant de MySQL, plus libre, plus performant et 100% compatible. Installer MariaDB sous Linux, c’est très simple : il suffit d’ajouter le dépôt comme indiqué sur le site officiel. Pour s’y connecter, il faudra simplement faire comme si vous étiez sur MySQL : »

Tutoriel NGinx #1 : Site web sécurisé avec SSL

Tutoriel : Sécuriser Nginx avec SSL   I- Création d’un certificat auto-signé sous Debian : Commençons par installer OpenSSL : apt-get install openssl Ensuite, on va tout mettre dans un sous répertoire de NGinx nommé keys : mkdir /etc/nginx/keys cd /etc/nginx/keys Et puis on va générer une clé RSA de 1024 bits : openssl genrsa -out server.key 1024 A partir de cette clé, nous allons créer un certificat générique pour notre organisation : »

Série NGinx

J’entends beaucoup de bien de NGinx. Je vois son nombre de serveurs et sa notoriété monter progressivement. Je me lance donc dans une série d’articles sur NGinx en faisant le parallèle avec ceux que j’ai écris sur Apache.   A bientôt avec NGinx.   Sur le même sujet : Créer un modèle de container LXC/Proxmox Une architecture Docker en production Containers : Docker et la concurrence »

MariaDB, NGinx, le vieux LAMP rattrapé par les jeunes pousses ?

En matière de développement Web, la pile applicative LAMP est la solution la plus commune et la plus utilisée depuis longtemps. Aujourd’hui, d’autres logiciels sont disponibles et peuvent remettre en cause l’utilisation de cet ensemble de logiciels.   Linux : La seule lettre qu’on est sûrs de garder, c’est le L de Linux. A part Linux, pas beaucoup d’alternatives : Windows (Beurk), MacOS (Beuah), *BSD (ça d’accord pour les barbus). »

Le point sur les reverse proxies

Un reverse proxy ? Pour quoi faire ? Les serveurs Web (Apache, IIS, NGinx) ont été conçus à la base pour stocker des contenus statiques (Images, pages Html, css, Javascript, …). Aujourd’hui, tous les sites sont développés avec des langages dynamiques (Php, Asp, Java, Ruby, Perl, …) qui eux-même utilisent des accès en base de données (MySQL, Oracle, SQLServer, …). Les sites dynamiques demandent beaucoup plus de ressources aux serveurs. »