Archives par mot-clé : Administration Systeme Réseau

Bunkerized Nginx – L’image Docker Nginx sécurisée

Bunkerized-nginx est un projet disponible sur Github qui est tout simplement une image Docker du serveur Nginx (j’ai justement fait une formation sur Nginx et compagnie pour ceux qui veulent) qui intègre de base toutes les customisations et fichiers de config nécessaires à la sécurisation de votre serveur web.

Le support HTTPS avec Let’s Encrypt est activé, tout ce qui concerne l’état de l’art en matière de sécurité web est également paramétré comme les entêtes HTTP de sécurité, le renforcement du php.ini, du paramétrage pour éviter que votre serveur ne donne trop d’infos.

Le ModSecurity WAF (firewall applicatif) est également présent et intègre l’ensemble des règles poussées par l’OWASP. Fail2ban est également de la partie pour bannir automatiquement les IPs qui feraient des choses pas très catholiques sur votre machine, sans oublier la possibilité d’avoir des challenges de sécurité tels que des captcha (ou recaptcha)…etc.

Cette image docker effectue également du DNSBL (DNS Black Listing) permettant de bloquer des IPs connues pour être nocives. Une limite est également intégrée pour prévenir les attaques par bruteforce, et pour tout ce qui est malware, ClamAV est aussi intégré dans cette image pour vous protéger.

Petit truc amusant, Bunkerized-nginx est capable de tromper certains scanners qui viendraient analyser votre système :

Le tout est totalement configurable à l’aide de variables d’environnement que vous n’avez qu’à modifier.

Si vous voulez lancer un serveur web (HTTP) avec Bunkerized Nginx, entrez la ligne de commande suivante :

docker run -p 80:80 -v /path/to/web/files:/www bunkerity/bunkerized-nginx

Si vous voulez du HTTPS (sécurisé), c’est pareil sauf qu’il faut spécifier l’emplacement où seront stockés les certificats ainsi que le nom de domaine lié à votre serveur :

docker run -p 80:80 -p 443:443 -v /path/to/web/files:/www -v /where/to/save/certificates:/etc/letsencrypt -e SERVER_NAME=www.yourdomain.com -e AUTO_LETS_ENCRYPT=yes -e REDIRECT_HTTP_TO_HTTPS=yes bunkerity/bunkerized-nginx

Et pour ceux qui veulent du PHP (php-fpm), vous devrez spécifier l’adresse d’un PHP-FPM distant qui interprétera les .php.

docker network create mynet
docker run --network mynet -p 80:80 -v /path/to/web/files:/www -e REMOTE_PHP=myphp -e REMOTE_PHP_PATH=/app bunkerity/bunkerized-nginx
docker run --network mynet --name=myphp -v /path/to/web/files:/app php:fpm

Si vous utilisez NGINX en reverse proxy, vous pouvez passer la véritable IP des clients avec le paramètre PROXY_REAL_IP.

docker run -p 80:80 -v /path/to/web/files:/www -e PROXY_REAL_IP=yes bunkerity/bunkerized-nginx

Enfin, pour activer le challenge antibot sous la forme d’un captcha par défaut, entrez la commande suivante. L’antibot peut également se matérialiser par la demande d’un cookie, ou par l’exécution d’un JavaScript de votre choix.

docker run -p 80:80 -v /path/to/web/files:/www -e USE_ANTIBOT=captcha bunkerity/bunkerized-nginx

Il y a encore beaucoup de choses à dire sur Bunkerized Nginx notamment au niveau du paramétrage, mais la doc que vous trouverez ici est vraiment claire et bien faite, donc vous n’aurez aucun souci à customiser cette image Docker renforcée de Nginx.

Photo par Louis Mornaud


A la recherche d’un job dans le numérique et envie de changer de région et de vie ?

Est-ce que je fais vraiment le boulot que j’aime ? Ma qualité de vie dans cette grosse ville bruyante, polluée, chère … est-elle vraiment la meilleure ? Est-ce que ce village de campagne est le lieu le plus propice pour préparer mes enfants au futur ? Nous sommes nombreux à nous être posé ce genre de questions à un moment ou un autre, moi le premier.

Et bien si vous êtes dans cette situation, que vous avez envie de changer d’air sans pour autant changer de travail, Laou vous accompagne dans toutes les étapes de ce nouveau voyage, pour que vous ayez l’esprit serein jusqu’au moment d’envoyer votre premier mail pro 😉

Découvrir leur service et lancez-vous


UltraScreen – Du partage d’écran sans effort

Si vous avez besoin de partager la vue de votre écran ou d’une fenêtre à quelqu’un d’autre pour lui expliquer comment faire une manip sans forcément installer l’artillerie lourde, j’ai ce qu’il vous faut.

Ultrascreen qui reprend un peu l’idée de Teamviewer, fonctionne sous Windows et Linux, permet simplement à l’aide d’un ID que vous donnez à votre correspondant de lui montrer une fenêtre spécifique de votre ordinateur ou l’ensemble de votre bureau. Rien de compliqué, rien d’étrange, rien à installer, il suffit de lancer le binaire et ça marche direct !

Cool.

Par contre, comme je vous le disais, pas de prise en main à distance, c’est vraiment pour de la démo. Et y’a pas d’audio non plus, donc prévoyez un canal de communication autre pour discuter.

Vous pouvez télécharger Ultrascreen.

Sinon, dans le même genre, il y a aussi AnyDesk.

Merci à Lorenper pour le partage.


Comment installer aaPanel, le clone gratuit de CPanel

Vous connaissez sans doute déjà CPanel, mais si, c’est l’outil qui une fois installé sur un serveur web, permet de gérer ce même serveur en mode clic clic. C’est l’outil préféré des débutants qui veulent gérer leur serveur dédié.

Bon, globalement, ce n’est pas le genre d’outil que je recommande, car ça rajoute encore un truc qui pourrait potentiellement comporter des failles de sécurité. Mais je dois dire que pour les noobs, c’est quand même bien pratique. Bref, CPanel est la référence dans le game mais il est payant, sous la forme d’un abonnement qui débute à 15$ par mois.

Heureusement, si vous êtes une pince croyez au logiciel libre, il y a aaPanel qui fait quasiment la même chose, à savoir le déploiement et la gestion de tout ce qui est serveur LAMP (Linux Apache MySQL PHP) / LNMP (Linux Nginx MariaDB PHP), la création via une interface web de sites web, de bases de données, d’accès FTP, d’instances Docker ou de projets Python.

Avec aaPanel, vous pourrez gérer vos crontab, monitorer votre serveur (charge CPU, RAM, Réseau…etc), gérer les ports et les accès au serveur, mais également installer tout un tas de modules pour profiter de Docker, Memcached, Redis, serveur de mail, MongoDB, un firewall applicatif (WAF)…etc.

Pour installer aaPanel sur votre serveur vous aurez besoin de 512 MB de RAM minimum, un peu plus de 100 MB d’espace disque et d’un Linux (CentOS / Fedora, Debian / Ubuntu) propre, c’est-à-dire sans install d’Apache ou de Nginx…etc. Vous pouvez vous faire un avis éclairé sur l’outil grâce à la démo de aaPanel.

Voici comment procéder pour déployer aaPanel sur le serveur.

Pour Centos, entrez la commande suivante :

yum install -y wget && wget -O install.sh http://www.aapanel.com/script/install_6.0_en.sh && bash install.sh

Pour Ubuntu :

wget -O install.sh http://www.aapanel.com/script/install-ubuntu_6.0_en.sh && sudo bash install.sh

Pour Debian :

wget -O install.sh http://www.aapanel.com/script/install-ubuntu_6.0_en.sh && bash install.sh

Suivez ensuite la procédure d’installation qui vous posera quelques questions sur l’emplacement de vos pages web, sur l’URL à utiliser, sur les accès (login / pass). C’est hyper rapide et très simple.

Ensuite, y’a plus qu’à ouvrir un navigateur et partir en exploration dans aaPanel pour configurer l’ensemble de votre serveur, aux petits oignons, muni tout simplement de votre souris. Clic Clic Clic, et vous voilà Administrateur Système comme les grands ;-))).

Maintenant, vous n’avez plus aucune excuse pour ne pas vous prendre un petit serveur web et avoir votre propre espace de liberté et d’expression sur la toile.

Amusez-vous bien !


A la recherche d’un job dans le numérique et envie de changer de région et de vie ?

Est-ce que je fais vraiment le boulot que j’aime ? Ma qualité de vie dans cette grosse ville bruyante, polluée, chère … est-elle vraiment la meilleure ? Est-ce que ce village de campagne est le lieu le plus propice pour préparer mes enfants au futur ? Nous sommes nombreux à nous être posé ce genre de questions à un moment ou un autre, moi le premier.

Et bien si vous êtes dans cette situation, que vous avez envie de changer d’air sans pour autant changer de travail, Laou vous accompagne dans toutes les étapes de ce nouveau voyage, pour que vous ayez l’esprit serein jusqu’au moment d’envoyer votre premier mail pro 😉

Découvrir leur service et lancez-vous


Comment réparer Windows Update quand ça ne fonctionne pas ?

Si vous êtes sous Windows 7, Vista, et 10 et que vous rencontrez des problèmes pour installer les mises à jour proposées par Microsoft via Windows Update, il est possible que cela soit provoqué par un mauvais setup de votre ordinateur, avec des bibliothèques systèmes mal associées.

Histoire de régler le problème, voici un utilitaire développé par Ramesh Kumar pour le compte de The Windows Club, qui réenregistre 114 fichiers de type DLL, OCX et AX nécessaires au bon fonctionnement de Windows

Cet utilitaire nommé Fix WU devra être lancé en Administrateur et nécessitera le framework .NET pour fonctionner. Une fois lancé, cliquez sur le bouton « Fix Windows Update » et laissez faire la magie jusqu’à ce que vous aperceviez la boite de dialogue disant « The process completed successfully ».

Ensuite, vous pouvez essayer à nouveau de lancer Windows Update et voir si ça fonctionne.

Bonne chance !

Cockpit – Un tableau de bord pour vos serveurs

Je n’avais jamais pris le temps de tester Cockpit, une interface web permettant de gérer vos serveurs GNU Linux à distance directement depuis votre navigateur mais aujourd’hui c’est chose faite.

Alors avant toute chose, je tiens à vous dire que je n’aime pas trop ces machins web qui donnent accès en direct à une machine. Cela peut être source de vulnérabilités et étendre la surface d’attaque. Bien sûr Cockpit existe depuis longtemps et est régulièrement testé mais bon, je reste méfiant.

M’enfin, ça tombe bien car je me suis monté un petit serveur que je formate régulièrement pour tester des trucs et des machins, donc même pas peur. Mais n’espérez pas me voir installer ça sur un serveur de production exposé sur le net. Par contre, sur une machine locale à la maison, ça peut être pratique.

Alors concrètement, que propose Cockpit ? Et bien cet outil va vous permettre de surveiller plusieurs serveurs en même temps, d’observer leurs consommation de CPU, mémoire, réseau et écriture disque, mais aussi de faire du diagnostic à partir des logs, de relancer le serveur à distance, d’avoir accès à un Shell, de faire les mises à jour, de gérer les CRON…etc.

Ça reste somme toute assez basique mais pour du monitoring simple de plusieurs machine, cela vous fera gagner du temps.

Pour installer Cockpit sous Ubuntu, il suffit d’entrer la commande suivante (la doc d’installation est ici) :

sudo apt install cockpit

Puis de vous rendre avec votre navigateur sur l’URL suivante :

https://IP_DU_SERVEUR:9090/system

A découvrir ici et le GitHub est là.