§ Posté le 20/04/2013 à 15h 00m 05
Désolé pour ce retard encore plus important que prévu, mais voici enfin l'article concernant la conférence que j'ai donné le 4 avril dernier dans le cadre des jeudis du libre de l'ALDIL, ainsi que les liens vers l'enregistrement audio et le diaporama. Désolé également pour la qualité de l'enregistrement audio, pas toujours optimale.
J'en profite pour signaler que pierrecastor (qui, encore une fois, a vaillamment lutté pour rendre cet enregistrement écoutable) et moi-même suggérons à l'ALDIL d'investir dans du véritable matériel d'enregistrement, ce qui permettrait de mettre ça en ligne plus vite et avec une meilleure qualité.
Un message d'information pour notre public de Lyon et des alentours : comme nous l'avons signalé, la conférence d'il y a deux mois et celle-ci formaient les premières d'un cycle sur l'auto-hébergement qui se poursuivra l'année scolaire prochaine, dans le cadre des jeudis du libre, donc toutes les personnes intéressées par l'auto-hébergement sont invitées à suivre le planning. Je ne suis pas sûr d'animer d'autres conférences du cycle, mes compétences restant modestes, mais j'y serai présent au moins en tant que spectateur.
Notez, encore une fois, que les informations que je vous fournis ici sont destinées à vous présenter comment mettre en place un auto-hébergement personnel, avec des besoins de base. Je fais confiance à ceux qui ont des besoins plus avancés (plusieurs noms de domaines…) pour trouver d'autres informations ailleurs, Internet fourmille de documentations de toutes sortes ; mais si vous êtes un particulier avec des besoins de base, je dois pouvoir vous être utile.
Comme évoqué durant la conférence, YunoHost (lire « why you no host? », soit « Pourquoi n'hébergeriez-vous pas ?), un système basé sur Debian, est conçu pour rendre l'auto-hébergement plus simple ; n'hésitez donc pas à aller vous renseigner si vous êtes intéressés.
Au cours de la conférence a aussi été abordé le fait qu'une authentification SASL correctement mise en place ne protégeait pas de tout. D'abord, je rappelle qu'il faut veiller à ne pas laisser de porte d'entrée béante : n'ouvrez pas de comptes machines faciles à forcer (comme « guest/guest »). Ensuite, ne créez des comptes sur votre machine qu'à des personnes en qui vous avez confiance.
Cependant, au cas où, je relaie ici une information transmise par Nicolas, un des spectateurs de la conférence, que je remercie au passage :
J'avais soulevé un petit problème de sécurité si on a quelques
utilisateurs douteux du serveur de mails. La solution que j'avais trouvé
consiste à ajouter cette ligne dans le main.cf de postfix :
smtpd_sasl_authenticated_header = yes
Il me transmet également un lien vers un bon article sur la configuration du serveur mail, que je vous fournis donc également.
Un complément auquel je n'avais initialement pas pensé : en revenant de cette conférence, et d'une soirée passée avec les camarades d'Illyse qui m'y avaient accompagné, j'ai jeté machinalement un œil à mes logs, et j'ai eu la surprise d'y voir ce genre de lignes défiler :
Apr 5 00:14:25 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.
Apr 5 00:14:25 fadrienn postfix/smtpd[6636]: warning: adsl-99-97-230-58.dsl.lsan03.sbcglobal.net[99.97.230.58]: SASL LOGIN authentication failed: generic failure
Apr 5 00:14:27 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.
Apr 5 00:14:27 fadrienn postfix/smtpd[6636]: warning: adsl-99-97-230-58.dsl.lsan03.sbcglobal.net[99.97.230.58]: SASL LOGIN authentication failed: generic failure
Apr 5 00:14:29 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.Il s'agit en fait d'un spambot qui tentait de forcer l'accès à mon serveur en essayant les logins et mots de passe les plus courants (c'est ce qu'on appelle une attaque de type bruteforce). Bien sûr, il ne risquait plus d'entrer, puisque j'avais sécurisé ces accès ; néanmoins, ce n'était pas une raison pour laisser ce genre de choses se faire.
J'ai donc sauté sur l'occasion pour faire quelque chose que je devais faire depuis un moment : installer le logiciel fail2ban, et le configurer pour qu'il prenne en compte, en plus du SSh, le SASL.
Ce logiciel surveille les différentes portes d'entrée du système (sa configuration par défaut contient un grand nombre de portes d'entrée possible, il suffit d'activer celles qui nous concernent), repère les tentatives d'intrusion de ce type, et bloque temporairement l'adresse IP du fautif, l'empêchant de réessayer.
C'est un excellent outil de sécurisation, très simple à mettre en place, et qui empêchera un certain nombre d'intrusions potentielles ; je ne peux donc que vous conseiller de le mettre en place.
Il me semble que j'avais d'autres choses à dire à ce sujet, mais je ne les ai plus en tête dans l'immédiat, je compte donc sur vous pour demander, en commentaire, d'autres informations si besoin.
Modifié le 24/04/2013 à 15h 19m 31
Mise à jour :
Ah, ben, en voilà un : j'avais oublié, pendant la conférence, ce que signifiait ce « caractère d'extension des adresses locales », un « + » dans la configuration par défaut. Marie-Lou vient de nous le rappeler 