Ubuntu-fr

compte supprimé

Installation d'un serveur Home

Bonjour à  tous,

Je viens vers vous pour me conseiller un peu, je prépare l’installation d’un serveur dédié à  la maison pour plusieurs besoins et également pour approcher Linux d’un peu plus prêt.

Je demarre une formation d’administrateur réseau Linux et Windows (Le TSSI pour ceux qui connaissent) dans quelques mois et je vais être en mouvement entre deux villes. J'ai donc besoin d'accéder aux machines de mon reseau, à  mon petit serveur lamp et j'espere en profiter pour auto-héberger tous les services dont j'ai besoin dans les meilleurs condition possible.

Mes connaissances sont encore très généraliste et y’a encore du travail, plusieurs sujets que je ne maitrise pas ou peu, d’o๠les petites questions qui suivront. J’ai pas mal d’envie et de besoins pour cette machine et je vais vous exposez un peu tous ça.

Voila avant tous un petit schéma de l’installation actuel:

Besoin serveur (Non materiel):

-> Apprentissage approfondit réseaux/serveurs/systèmes Gnu/Linux.

-> OS Gnu/Linux Ubuntu server version 7-10

-> Serveur administrable à  distance.
(Je prevois ici d’installer un serveur SSH et un Webmin que je risque de modifié légèrement pour un peu de monitoring des postes locaux)

-> Serveur de nom de domaine (domaine.net).
(Bind9, le domaine est acheté chez ovh.)

-> Solution LAMP hébergeant.
      - PhpMyAdmin,
      - Mon blog (+forum?),
      - Espace de développement web perso,
      - Webmail
      - Etc ....

-> Sécurisé Wifi en identifiant les différentes stations autorisées.
(Sécurisé le wifi en identifiant les machines autorisé à  ce connecter, crypté les données qui transite avec un tunnel SSH. Après lecture, apparement un serveur openvpn devrait être idéal. Actuellement, les équipements qui sont chez moi (Wep & wpa & wp2) utilisent certain des sécurités faillible ce qui m'oblige à  faire la concession d'une protection qui n'en est pas vraiment une pour connecter toutes les machines. Mes petits audit m'ont montrer qu'il était facile de s'y introduire. Je cherche à  sécuriser l'ensemble)

-> Serveur de backup pour 2 stations windows

-> Serveur Mail (Postfix)

-> Serveur VPN
(D’une pierre deux coups, le même serveur openvpn que pour le wifi. Je dois connecter le portable que je trimballe avec moi d'une ville à  l'autres sur mon réseau locale, branché en Ethernet à  l’école et en Wifi à  l’appart.)

-> Serveur FTP
(Installation d'un serveur FTP, je cherche à  linké plusieurs repertoire qui sont sur plusieurs machines sur le serveur. Avez vous des solutions ??)

Besoin client (Non materiel):
-> Prise de contrà´le distante du (Portable Windows 02) sur (PC Windows 01) (choix d'un vnc/equivalent multiplateforme open-source)
-> Open-vpn (Portable Windows 02)

Voila pour les grandes lignes, maintenant et d’après vous,
Est-il judicieux d’installer tous ces serveurs sur une seule machine ?
Est-il préférable de laisser la Freebox en routeur NAT et en serveur DHCP ? Je pose cette question car je pensais également peut être mettre un deuxième petite machine recyclé en liaison direct sur la Freebox et lui laisser les services type iptable/DHCP/ voir vpn ?
Je cherche surtout vos critiques et idées n’étant pas habituées à  mettre en place quelques choses de sérieux.
Merci à  vous pour m’avoir lu et peut être répondu
PS : Je me ferais un plaisir de peaufiner le Wiki pour les quelques éléments que je n’ai pas trouvé

Dernière modification par Vincentp (Le 12/11/2007, à 19:22)

termi

Re : Installation d'un serveur Home

je peut pas taider mais je vais suivre ce topic de pres tres interessant

uzak

Re : Installation d'un serveur Home

Grande entreprise à  laquelle tu t'attaques.

Je vais essayer de t'aiguiller un peu :

-> Serveur administrable à  distance.
-> Prise de contrà´le distante (PC Windows 01) (choix d'un vnc multiplateforme open-source)

SSH me parait une bonne solution. Par contre VNC est vraiment lent, jette un oeil sur Xming et Putty pour des solutions Windows (putty est un client ssh et Xming un serveur X sur Win)

-> Serveur de nom de domaine (domaine.net).
Là  tu confond dhcp et dns. Le dhcp sert juste à  donner des adresses ip à  tes machines. Tu peux donner des adresses fixes à  tes machines fixes et laisser le dhcp pour les portables. (la freebox permet ausi de lier des adresses IP aux adresses MAC de tes portables)
Le serveur dns sert à  relier des noms aux adresses fixes -> BIND

-> Solution LAMP hébergeant.
Cela se fait assez vite et bien.

-> Sécurisé Wifi en identifiant les différentes stations autorisées.
Là  pareil, petite confusion.
Le wifi et le vpn sont deux éléments totalement séparés.
Les données qui transitent par wifi devraient déjà  être chiffrées par WAP.
Si tu as besoin d'une identification machine pour le wifi, la freebox ne le permet pas. (Je connais pas trop ce coin, regarde peut-être radius)
Le vpn est une encapsulation IP. Il te permettra, une fois à  l'extérieur, de connecter ta machine au réseau local, et d'avoir une adresse locale (192.168.0.xxx)

-> Serveur FTP
essaye vsftpd.
Tu voudras surement lui adjoindre un serveur de fichiers, genre tu montes tes dossiers partagés sur ton serveur (via SAMBA) et tu accèdes à  tout via un ftp sur le serveur.
Là  attention au chiffrement. FTP ne se met pas automatiquement sur SSL.
Tu as Winscp pour faire de la copie de fichier via SSH (et scp sur nux)

-> Serveur ftp à  linké vers le serveur
Pourquoi un serveur sur le poste client ?

-> Open-vpn (Portable Windows)
Windows a un client VPN inclus.

Voilà  un début qui t'aideras j'espère. Pour le backup, le mail et la config d'un serveur VPN, j'en ai aucune idée

Bon courage

le Zouave

Re : Installation d'un serveur Home

très intèressant !
je vais suivre de près c'est exactement ce qu'il me faut à  peu prés !!!
acceder a ma machine/réseau à  la maison d'o๠que je soit quel confort ...
open_vpn et ssh pour acceder aux ressources à  la maison ...
là  je fais des essais en local de ssh c'est impressionnant (et vu mes compétences  je crois que je suis loin d'avoir tout vu ....) du style lancer un logieciel sur mon fixe et le voir sur l'ecran du laptop grace au X-forwarding (je voudrais néanmoins arriver à  me passer du terminal).
histoire d'en mettre plein la vue aux gens !!!
à  plus !

le Zouav3

---

MachineFixe: P4 2.93Ghz ; 1Go DDR2 ; ATI radeon X300 128Mo ; 200Go Maxtor Sata ; Sound Blaster Live ; Clavier qui Craque ...
MachineUltraportable: Acer Aspire One 962 grammes!
Follow me ...

compte supprimé

Re : Installation d'un serveur Home

Merci pour vos contributions,
@Uzak, j’ai éditer un peu mon post car y’avais quelques ligne mal formulé, misent au mauvais endroit donc pas facile pour la compréhension générale
Concernant la prise de contrôle distante, il me semble que ta solution Xming est très bien ! Je vais faire quelques tests ce soir pour m’en faire une idée.

Domaine & DHCP, j’ai remis les choses à leurs place, ma phrase n’était en effet pas très clair^^

WIFI & VPN,
D’un, il me faut accéder à l’ensemble du réseau home alors que je suis connecter à internet d’une autre ville. Le VPN me semble tous approprié.
De deux, le simple chiffrage WEP/WPA ne me convient pas pour des raisons de sécurité évidente. Le souci ici c’est que tous mes périphériques n’utilisent pas WPA2, je dois donc me rabattre sur du wpa pour que tous le monde soit content. La il est apparemment possible de sécuriser son réseau wifi avec une solution VPN, c’est ce que je cherche à faire….j’avoue que je manque un peu de renseignement pour mettre ca en place.

Serveur FTP, j’ai éditer le post pour être plus clair, grosso modo, j’aimerais retrouver l’intégralité des contenus des mes stations Windows, Xbox avec un simple connexion ftp sur le serveur. Enfin bon, ca reste a voir aussi niveau solution tous ca . J’aimerais également qu’un amis puisse venir ce connecter sur certaine ressources mais elle ne sont pas centralisé sur la mm machine, y’en a un peu sur la xbox, sur mon pc etc … (Pourquoi des serveurs sur des stations clients ? et bien, pour l’instant le serveur n’est pas en marche, j’ai donc un ftp sur ma machine en attendant )

Pour la connexion vpn sous Windows, je vais également la tester ce soir

Merci Uzak

Beamo

Re : Installation d'un serveur Home

Bonjour,

Juste une petite précision car je ne suis pas sur que cela soit claire à  100%

Le VPN est un Virtual Private Network et sert a créer un tunnel sécurisé entre l'endroit ou tu es (exterieur) et ton réseau interne. C'est completement indépendant du wifi et ne sert qu'a traverser internet (cela ne sert à  rien sur un LAN).

Pour faire un seul serveur FTP accédant a différentes machines, je ne vois que des partages SAMBA que tu montes sur ton serveur Linux puis tu donnes accès à  ton serveur Linux.

Beamo

alexmic

Re : Installation d'un serveur Home

Et pourquoi pas un ensemble de NFS + ssh

Tu fais du samba/nfs en interne : i.e. : tu montes sur le serveur home tous les répertoires des clients internes auxquel tu veux accéder, ensuite tu les partages avec l'exterieur via NFS / ou encore plus sûr tu n'y accèdes que via ssh.

Tu mets un ssh sur le serveur home

Pour le FTP Tu te connectes en sftp (ssh via ftp) filezilla le permet, comme ça tu résoud 1) ton pb de sécurité et 2, c'est plus simple.

Pour accéder aux autres machines (pour entretien), je privilégie la cascade. Tu mets des SSH sur chacun des postes mais qui n'acceptent que des connexions depuis le réseau interne. Pour y accéder tu ssh le server et ensuite (depuis le serveur) tu ssh les postes.

Lamp n'a pas d'intérêt si tu ne mets pas de site web sur serveur home (ce qui n'est pas clair) et pose des problèmes de sécurisation.

Pour moi, tout ce que tu veux faire est possible avec ssh seul (facilement configurable) (+ samba pour le poste XP).

Si néanmoins tu veux un serveur FTP (pour d'autres personnes que toi) je conseille vsftpd (comme dit plus haut) qui est l'accronyme pour Very Secure File Transfer Protocol Daemon... Qui est aussi Very Simple à aconfigurer!

Voilà pour mon avis

Cascade + simplicité

Dernière modification par alexmic (Le 13/11/2007, à 12:24)

---

OMG Lawl pwnd rofl... Plaît-il?

philippe_g

Re : Installation d'un serveur Home

Bonjour,

J'ai moi-même une installation de ce genre, mais pas de WiFi

Au vu de ton schéma, il te faut avoir un PareFeu (FireWall) sur chaque poste de ton réseau, ca peut poser des problèmes de maintenance/sécurité (en outre, j'ai une confiance très limité envers les parefeu windows... mais ca n'engage que moi...).

J'ai opté pour une configuration ou le serveur est juste derrière ma FreeBox (2 cartes réseau), il fait office de Routeur/PareFeu dans la foulée:

<--->Internet<-->FreeBox<--->[PC FireWall/Serveur]<--->[Switch]---[Reste de mon réseau...]

Le Serveur (sous Debian Etch, mais Ubuntu 7.10 peut surement faire l'affaire) fait tourner les applications standards:

- serveur DHCP (pour mon réseau local, la carte réseau reliée à  la FreeBox utilise le dhcp de celle-ci)
- serveur DNS (j'héberge mes domaines chez moi, achetés chez GANDI, merci l'IP fixe de Free)
- serveur FTP (proftpd)
- serveur de fichier locaux (samba)
- serveur SSH (pour mes accès distants, je n'utilise pas de VPN)
- serveur APACHE/PHP/MYSQL, pour mes sites web
- serveur SMTP/MAIL (sendmail, je l'utilise depuis tellement longtemps que j'y suis habitué )
  couplé avec SPAMASSASSIN/CLAMAV pour le nettoyage des pourriels
- un serveur TeamSpeak, pour les jeux on-line avec les amis
- un IDS (système de détection d'intrusions), composé de SNORT et PRELUDE
- un système de monitoring/surveillance composé de MUNIN et de PRELUDE (la partie consultation de prélude-ids)

Le tout fonctionne parfaitement, la plupart des applications se configure assez facilement, si on sait un peu comment tout cela tourne

Si tu veut des exemples de fichiers de configuration pour chaque application, je pourrait éventuellement les coller ici en fonction de tes besoins.

camillej2706

Re : Installation d'un serveur Home

Est-il judicieux d’installer tous ces serveurs sur une seule machine ?
Est-il préférable de laisser la Freebox en routeur NAT et en serveur DHCP ? Je pose cette question car je pensais également peut être mettre un deuxième petite machine recyclé en liaison direct sur la Freebox et lui laisser les services type iptable/DHCP/ voir vpn ?

Bonjour,

J'ai le même type de config.
Pour ma part, je me sert de la freebox pour faire NAT, DHCP et Wifi. Pourquoi ? pcq toutes ces fonctionnalités sont suffisament bien gérées par la freebox pour ma part.
Mais j'ai fait une DMZ (soit une redirection de toutes les nouvelles communications entrantes) vers mon serveur (réglage de la freebox). Ceci me permet de rendre mon serveur (et les services associés !!!) visible depuis l'extérieur.
L'intérêt de la DMZ, c'est que vu d'internet (et surtout des gens malveillants), on voit uniquement mon serveur.
Sur le serveur, il est facile de gérer les aspects sécurités (iptables, fail2ban, portsentry, ... ) et aussi tous les services (openssh, dovecot, postfix, vsftp, apache2, ...) en même temps.

Sur le serveur, il est facile d'adapter le niveau de sécurité suivant la provenance de la connection ( par exemple samba est autorisé dans le réseau local, par contre interdite depuis internet)

Si besoin, une fois connecté au serveur, tu peux te connecter aux autres ordinateurs de ton réseau local (ssh ou autre).

Voilà mon point de vue ...

Bon courage

Didier Misson

Re : Installation d'un serveur Home

WIFI & VPN,
D’un, il me faut accéder à  l’ensemble du réseau home alors que je suis connecter à  internet d’une autre ville. Le VPN me semble tous approprié.
De deux, le simple chiffrage WEP/WPA ne me convient pas pour des raisons de sécurité évidente. Le souci ici c’est que tous mes périphériques n’utilisent pas WPA2, je dois donc me rabattre sur du wpa pour que tous le monde soit content. La il est apparemment possible de sécuriser son réseau wifi avec une solution VPN, c’est ce que je cherche à  faire….j’avoue que je manque un peu de renseignement pour mettre ca en place.

Bonjour,

Oui, le WEP 128, on peut le cracker en quelques minutes si on a l'habitude et les outils...
(faudrait que j'essaye ça sur mon propre WiFi juste pour le fun... et pour comprendre...)

Mais à  ma connaissance, le WPA est fiable. Il n'est pas cracké.
Même si le WPA2 est mieux (je suppose), tu peux sans risque utiliser le WPA.

(ps : chez moi, les enfants ont des Nintendo DS... et c'est petites bêtes ne font que du WEP ... )

Je ne m'y connais pas trop en VPN, mais je dois creuser ce sujet car il est intéressant, et utile !

Je suis en train de lire tous les messages échangés.
Sûr que tu as du boulot !

Mon conseil c'est "une chose à  la fois" ... sinon tu ne vas pas t'en sortir.
Fais une chose, que tu comprends bien, et quand tout est ok tu passes à  la suivante.

Bonne recherche et bon travail

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

Didier Misson

Re : Installation d'un serveur Home

Est-il judicieux d’installer tous ces serveurs sur une seule machine ?
Est-il préférable de laisser la Freebox en routeur NAT et en serveur DHCP ? Je pose cette question car je pensais également peut être mettre un deuxième petite machine recyclé en liaison direct sur la Freebox et lui laisser les services type iptable/DHCP/ voir vpn ?

Bonjour,

Oui, j'ai à la maison un modem ADSL Fritz Fon Box Wlan (peu connu en France puisque chez vous tous les fournisseurs ADSL ont leur box... ce n'est pas souvent le cas en Belgique)
Et ce modem/routeur fait office de DHCP serveur sur mon Lan, mais aussi de forward pour mon serveur. Il fait du NAT évidemment, c'est l'IP du modem (côté ADSL) qui est visible sur Internet.

Oui, tu peux mettre un 2ème PC si tu veux, si tu l'as, si tu as la place, etc etc
C'est possible, mais pas toujours obligatoire.
On n'est pas des pros, càd qu'en général le serveur que l'on installe à la maison n'aura pas une charge  immense, pas des milliers de visiteurs par jour.
Donc, on peut sans problème se contenter de tout mettre sur un seul serveur. Aussi, c'est moins cher et ça consomme moins

Par contre, le VPN, je n'ai pas beaucoup d'expérience... mais il n'est pas toujours évident de réussir à faire passer un VPN IPsec à travers un routeur qui fait du NAT.
Le NAT, l'IPSec n'aime pas trop...
Il y a moyen, mais c'est déjà préférable d'avoir les même équipements / softs des 2 côtés car la façon de passer le NATing n'est pas tout à fait standardisée.

Bonjour,

J'ai le même type de config.
Pour ma part, je me sert de la freebox pour faire NAT, DHCP et Wifi. Pourquoi ? pcq toutes ces fonctionnalités sont suffisament bien gérées par la freebox pour ma part.
Mais j'ai fait une DMZ (soit une redirection de toutes les nouvelles communications entrantes) vers mon serveur (réglage de la freebox). Ceci me permet de rendre mon serveur (et les services associés !!!) visible depuis l'extérieur.
L'intérêt de la DMZ, c'est que vu d'internet (et surtout des gens malveillants), on voit uniquement mon serveur.

oui...
ça effectivement, ton serveur est vu depuis Internet !

mais si je ne me trompe pas, la façon dont la plupart des modems ADSL/routeur (comme la Freebox probablement) fonctionnent quand tu fais une "dmz", c'est juste forwarder tout ce qui rentre vers l' adresse IP de CE serveur en "dmz" ...
Donc il est totalement exposé : tous les ports sont ouverts sur l'extérieur.

Pour ma part, je préfère mettre des règles de forward explicites vers mon serveur.
En particulier :
- http 80
- https 443
- ssh 22

Et déjà, les éventuelles attaques sur les AUTRES ports n'arrivent même pas sur le serveur ! Elles sont bloquées au niveau du modem ADSL (Freebox)

Sur le serveur, il est facile de gérer les aspects sécurités (iptables, fail2ban, portsentry, ... )

je n'ai pas encore joué avec iptables. Pour le moment j'ai fait confiance à mon modem/routeur qui ne laisse entrer que ce que j'ai explicitement ouvert.

Fail2ban, oui !
Je ne l'ai pas encore essayé, mais c'est une des choses que je VEUX tester et installer également !

Tu peux aussi ajouté un petit chkrootkit ?
http://didier.misson.net/didier/index.php?2007/11/12/157-securisation-d-un-serveur-chkrootkit

et un petit Rootkit Hunter ?
http://didier.misson.net/didier/index.php?2007/11/13/158-securisation-d-un-serveur-linux-detection-des-rootkit-avec-rootkit-hunter

ps : je n'ai pas entièrement fini ces billets... Je suis encore en cours de test... et de découverte !

et aussi tous les services (openssh, dovecot, postfix, vsftp, apache2, ...) en même temps.

Très bon choix...
OpenSSH surement
Dovecot : OUI ! Je l'utilse et réellement il fonctionne sans aucun problème.
http://didier.misson.net/didier/index.php?2006/11/25/30-exim4-imap-avec-dovecot

Par contre, j'ai préféré Exim4 :
http://didier.misson.net/didier/index.php?2006/11/18/24-exim-4-sur-un-serveur-debian-config-et-essais

ça ne veut pas dire que Postfix soit un mauvais choix...
Si tu en connais déjà un, prend celui là.

FTP : là... non...
En local oui, mais en accès Internet, sauf si tu veux faire un serveur FTP publique, moi je ne mettrais pas de serveur FTP.
Tu auras déjà un serveur SSH, et tu peux sans problème faire du transfert de fichiers via le SSH.
En Linux, on fait ça très facilement depuis Gnome (et surement KDE aussi).
En ligne de commande, scp fonctionne bien (et pscp avec PuTTY depuis une machine Windows)...

Alors, évite le FTP qui va faire circuler tous tes mots de passe en clair sur le Net !

Sur le serveur, il est facile d'adapter le niveau de sécurité suivant la provenance de la connection ( par exemple samba est autorisé dans le réseau local, par contre interdite depuis internet)

Si besoin, une fois connecté au serveur, tu peux te connecter aux autres ordinateurs de ton réseau local (ssh ou autre).

oui, si tu as besoin d'accéder en console à plusieurs machines, pas la peine de toutes les ouvrir sur le Net.
Tu ouvres le port 22 (ou un autre numéro...) vers une seule de tes machines, et tu accèdes aux autres via la 1ère.

Samba (et autres services) : oui, parfois tu peux (ou devrais) restreindre l'accès, par range IP, ou seulement ton réseau local...
bonne idée

Voilà mon point de vue ...

Bon courage

Prend le temps de lire les forums, chercher et lire les docs, les howto...

Bonne continuation

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

Didier Misson

Re : Installation d'un serveur Home

Et pourquoi pas un ensemble de NFS + ssh

Tu fais du samba/nfs en interne : i.e. : tu montes sur le serveur home tous les répertoires des clients internes auxquel tu veux accéder, ensuite tu les partages avec l'exterieur via NFS / ou encore plus sûr tu n'y accèdes que via ssh.

Tu mets un ssh sur le serveur home

Pour le FTP Tu te connectes en sftp (ssh via ftp) filezilla le permet, comme ça tu résoud 1) ton pb de sécurité et 2, c'est plus simple.

Pour accéder aux autres machines (pour entretien), je privilégie la cascade. Tu mets des SSH sur chacun des postes mais qui n'acceptent que des connexions depuis le réseau interne. Pour y accéder tu ssh le server et ensuite (depuis le serveur) tu ssh les postes.

Lamp n'a pas d'intérêt si tu ne mets pas de site web sur serveur home (ce qui n'est pas clair) et pose des problèmes de sécurisation.

Pour moi, tout ce que tu veux faire est possible avec ssh seul (facilement configurable) (+ samba pour le poste XP).

Si néanmoins tu veux un serveur FTP (pour d'autres personnes que toi) je conseille vsftpd (comme dit plus haut) qui est l'accronyme pour Very Secure File Transfer Protocol Daemon... Qui est aussi Very Simple à aconfigurer!

Voilà pour mon avis

Cascade + simplicité

Entièrement d'accord avec toi.

Le MAXIMUM en SSH
et Filezilla fonctionne très bien, y compris vers un serveur SSH sans avoir besoin de FTP ou SFTP...

Sinon, si vraiment besoin d'un FTP, je pense aussi que vsftpd est un des meilleurs.

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

camillej2706

Re : Installation d'un serveur Home

Juste une précision ....

Je suis d'accord que le FTP n'est pas un protocole sécurisé. MAIS ....
1- Il permet d'accéder facilement et en mode graphique à  des données (Firefox, Filezilla)
2- Il est plus connu que le ssh
3- Les utilisateurs FTP n'ont pas de shell sur le serveur (si le ftp est correctement configuré)
4- Les utilisateurs FTP sont enfermés dans leur répertoire.

Attention au ssh:
1- Les utilisateurs SSH doivent posséder un shell sur le serveur !
2- Les utilisateurs peuvent se ballader dans toute l'arborescence du serveur ( sauf si chroot activé ) !

Pour diffuser simplement des fichiers (non confidentiels) entre amis ... le FTP s'est pratique ... mais il faut être conscient qu'il n'est pas sécurisé.

compte supprimé

Re : Installation d'un serveur Home

Salut à  tous,

J’ai lu toute vos réponses avec beaucoup d’attention et merci encore de vos aides.
Alors une chose déjà , comment ça le FTP ce n’est pas sécurisé !!!! Je vous invite à  vous rendre sur ce lien:P
http://fr.wikipedia.org/wiki/FTPS

QUOTE: Didier Misson
Mais à  ma connaissance, le WPA est fiable. Il n'est pas cracké.
Même si le WPA2 est mieux (je suppose), tu peux sans risque utiliser le WPA

Il me semble que le wpa est une version allégé de wpa2 sortie dans l’urgence pour pallié au problème de sécurité du wep qui lui est tous sauf fiable. Pour casser une clé wpa, il doit falloir quelques choses comme 20000 jours de calcul avec une bécane de course. Via brute force également…mettre un bon passphrase et hop.

Grosso modo, avec vos réponses et les renseignements que j’ai bouquiné un peu partout, ça devrait donner ça :

- OS Ubuntu server 7.10, choix purement communautaire (Je salut au passage la communauté et la félicite pour les réponses précises dans ce forum, le wiki et la tourné de blog qui traite de l’actu générale)
- Serveur DHCP, la Freebox le fait si bien.
- Serveur DNS, Bind9
- Serveur mail, Postfix (TLS, SASL, clamav,spamassassin,amavis) (Super doc dans le linux+ N°34)
- Serveur SSH et Webmin que j’adore (je lui ferais un Template si je peu un de ces quatre xD)
- Serveur VPN, Openvpn (Super doc dans le LinuxMag N°95^^)
- Solution LAMP
     o    Phpmyadmin
     o    Roundcube (Webmail)
     o    SNORT et PRELUDE en test (Conseillé par philippe_g)

Voila pour les grande lignes.
Maintenant, nous m’avez exposé trois méthodes d’entrée

philippe_g -> Freebox direct sur serveur
camillej2706 -> Routeur nat et dhcp freebox avec DMZ
Didier Misson -> routeur nat et DHCP sont gérer par son modem

Je vais essayer dans un premier temps la méthode de Didier, c’est celle que j’avais en tête des le début, ouvrir les ports spécifique a chaque serveur et hop. D’un autre coté je testerais également celle de philippe_g et camillej2706  avec Iptable pour comparer

Pour la prise en main à  distance depuis mon portable, je pense garder la solution de uzak, a savoir Xming et Putty.(Xming sur ! Putty je sais pas, j’ai l’instinct de migration qui s’enclenche, je vais peut être passer le portable sous linux ^^)

Les personnes qui recherche de l’aide pour des projets dans le même style, n’hésiter pas a poser vos question pendant qu’on y est ^^

Et comme le dit Didier, les choses une par une !!!

EDIT :
J’ai laissé de coté le problème serveur de backup et ftp qui n’était pas le plus important. Je vais déjà  mettre en place tous le reste. Du coup, je ne prend pas de becane recylé, je vais me faire quelque chose à  base de Pc Shuttle avec des pièces performante et bon marché. (Je garde tous de même l'autre defois que je mette un iptable en place ^^)

Dernière modification par Vincentp (Le 14/11/2007, à 20:58)

007m

Re : Installation d'un serveur Home

Slt,
Quand ton serveur sera fini si il est possible que tu alimente le wiki ce serait sympa

Merci

Didier Misson

Re : Installation d'un serveur Home

Salut à  tous,

J’ai lu toute vos réponses avec beaucoup d’attention et merci encore de vos aides.
Alors une chose déjà , comment ça le FTP ce n’est pas sécurisé !!!! Je vous invite à  vous rendre sur ce lien:P
http://fr.wikipedia.org/wiki/FTPS

oui, exact...
Je n'ai pas encore utilisé, car tous les serveurs avec les quels je devais faire du transfert de fichiers avaient un SSH serveur, et que j'étais pratiquement le seul à  devoir y accéder.

Comme qqun le disait, effectivement en SSH, faut (je pense) un userid système,
et surtout il n'est pas évident de bloquer l'accès dans un dossier précis (le /home/toto par ex)
...

Mais à  ma connaissance, le WPA est fiable. Il n'est pas cracké.
Même si le WPA2 est mieux (je suppose), tu peux sans risque utiliser le WPA
Il me semble que le wpa est une version allégé de wpa2 sortie dans l’urgence pour pallié au problème de sécurité du wep qui lui est tous sauf fiable. Pour casser une clé wpa, il doit falloir quelques choses comme 20000 jours de calcul avec une bécane de course. Via brute force également…mettre un bon passphrase et hop.

ok, tu as raison.
Reste que... malheureusement seuls les matos récents supportent le WPA2.
Mais clair que si on a tout compatible en WPA2, c'est le protocole à  choisir.

Grosso modo, avec vos réponses et les renseignements que j’ai bouquiné un peu partout, ça devrait donner ça :

- OS Ubuntu server 7.10, choix purement communautaire (Je salut au passage la communauté et la félicite pour les réponses précises dans ce forum, le wiki et la tourné de blog qui traite de l’actu générale)

J'avais, et j'ai d'ailleurs tj un serveur en Debian.
Dans un sens Debian est plus sécurisé.
En Ubuntu server, il semble que les dépots Multiverse, etc... ne soient pas garantis au niveau mises à  jours de sécurité !
Les mises à  jour de sécurité sont garantie seulement sur les dépots principaux (main) je crois.

Malgré tout je suis passé en Ubuntu serveur, car Debian, franchement ça bouge bcp trop peu souvent... Faut 18 à  24 mois entre les versions... trop long...
Ubuntu est plus dynamique, et de toute façon je ne vais pas trop installer de softs exotiques (multiverse) sur mon serveur.

- Serveur DHCP, la Freebox le fait si bien.
- Serveur DNS, Bind9
- Serveur mail, Postfix (TLS, SASL, clamav,spamassassin,amavis) (Super doc dans le linux+ N°34)
- Serveur SSH et Webmin que j’adore (je lui ferais un Template si je peu un de ces quatre xD)
- Serveur VPN, Openvpn (Super doc dans le LinuxMag N°95^^)
- Solution LAMP
     o    Phpmyadmin
     o    Roundcube (Webmail)
     o    SNORT et PRELUDE en test (Conseillé par philippe_g)

Voila pour les grande lignes.
Maintenant, nous m’avez exposé trois méthodes d’entrée

philippe_g -> Freebox direct sur serveur
camillej2706 -> Routeur nat et dhcp freebox avec DMZ
Didier Misson -> routeur nat et DHCP sont gérer par son modem

Je vais essayer dans un premier temps la méthode de Didier, c’est celle que j’avais en tête des le début, ouvrir les ports spécifique a chaque serveur et hop. D’un autre coté je testerais également celle de philippe_g et camillej2706  avec Iptable pour comparer

Pour la prise en main à  distance depuis mon portable, je pense garder la solution de uzak, a savoir Xming et Putty.(Xming sur ! Putty je sais pas, j’ai l’instinct de migration qui s’enclenche, je vais peut être passer le portable sous linux ^^)

mais ça marche très bien un portable en Ubuntu ;-)
même si parfois faut ramer un peu pour le chipset WiFi ou graphique...

Sinon, un tunnel depuis un laptop Windows en passant par PuTTY en SSH... c'est possible aussi.

Les personnes qui recherche de l’aide pour des projets dans le même style, n’hésiter pas a poser vos question pendant qu’on y est ^^

Et comme le dit Didier, les choses une par une !!!

EDIT :
J’ai laissé de coté le problème serveur de backup et ftp qui n’était pas le plus important. Je vais déjà  mettre en place tous le reste. Du coup, je ne prend pas de becane recylé, je vais me faire quelque chose à  base de Pc Shuttle avec des pièces performante et bon marché. (Je garde tous de même l'autre defois que je mette un iptable en place ^^)

J'avais à  l'époque fait mon serveur sur base d'une carte mère VIA avec un cpu VIA Samuel 3, à  800 MHz (partie mathématique à  400 Mhz)
Ce n'est clairement pas le top en vitesse quand on fait un "apt-get install" ...
mais ça tient la route pour un blog en DotClear + Samba + SSH ... etc etc...

Pour moi, les principaux avantages étaient :
- prix d'achat réduit (dans les 110 € carte mère avec CPU et fan)
- faible consommation électrique (ça tourne 24h/24 et 365j/an)

Actuellement, c'est dépassé, mais il existe des cartes basées sur des cpu AMD low consommation, je pense dans les 1400 à  1800 MHz.

Par contre, j'ai évité les mini cartes, genre PC embarqué.
c'est joli, petit, smart... mais... faut un petit boà®tier, et finalement ça revient plus cher que du matos standard.

A réfléchir aussi ce que tu veux faire...
- soit un cpu bas de gamme, bien assez puissant
- soit un truc + puissant, genre AMD X2 64 bits (pas besoin d'un hyper puissant) si tu veux essayer la virtualisation pour isoler tes serveurs.

ça, si tu veux apprendre... car ce n'est pas vraiment nécessaire pour nous particulier ;-)
mais dans le cadre de tes études ? ... est-ce utile de maitriser ça ?

Bonne soirée

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

camillej2706

Re : Installation d'un serveur Home

Bonjour,

Pour ce qui concerne le FTPS, le protocole est en effect sécurisé mais ....
Dans le protocole en mode passif ... la connexion est initialisé sur le port 21 mais le transfert des fichiers se fait sur un autre port (qui est décidé au moment de l'initialisation de la connection) et comme le protocole est crypté alors le routeur ne peut pas faire le suivi des ports et le NAT.
En résumé, la connection est initialisé sur le port 21 et le transfert de fichier a lieu sur le port 1245 alors le routeur est perdu.
Seul qqs routeurs supportent le FTPS ... et on ai jamais sur que le voisin supporte le FTPS ....
Alors du coup j'ai essayé mais j'ai pas réussi à mettre en marche le FTPS ...
Je crois que c'est possible mais moyennant bidouille (pas sur mon serveur !!).

Sinon tu évoques le nom de Bind ... certe il est très connu mais il existe aussi DNSmasq qui lui est moins connu.
L'avantage de DNSmasq, c'est sa simplicité en DHCP et aussi DNS. Très facile à configurer, et très léger.
Je le trouve très adapté aux petits réseaux qui ne possèdent pas des centaines d'hotes.

Dernière chose pour le DNS. Comme la freebox fait DHCP, elle distribue ton adresse IP et aussi les DNS free.
Le DNS dans un réseau local te permet juste de pouvoir facilement identifier tes machines dans ton réseau local.
Si tu ne configure pas de DNS en local:
1- Si ton serveur s'appelle toto.org, de l'extérieur de ton réseau tout est OK. Les DNS extérieurs te renvoient l'addresse IP de ta freebox vu de l'extérieur.
2- Depuis ton réseau local, si tu interroges toto.org, alors les DNS de Free te renvoient ton IP extérieur ... et la ca marche pas.
3- Avec un DNS local, quand tu appelles toto.org alors ton DNS local te renvoie 192.168.0.1 (par exemple) et là ca marche.
Il faut alors que toutes tes machines locales (mis à part ton serveur) interroge le DNS local. Si le DNS local ne peut pas répondre à la requête alors il la relaye au DNS Free.

Conclusion, le DNS n'est pas obligatoire et si tu en installes un, veilles bien à ce qu'il ne soit pas visible de l'extérieur (port 53).

Pour la gestion des mails, Postfix te permet de gérer des boites mails (envoie et réception) et mail te permet de lire les mails (comme thunderbird) qui sont sur ton serveur (sauf erreur)
Tu peux aussi être interréssé pas Dovecot (ou autre) qui est un serveur IMAP  (et POP). Cela te permet de lire tes mails via Thunderbird en interrogeant ton serveur IMAP. En mettant Thunderbird sur un clé USB, tu peux alors consulter tes mails partout avec la convialité (meilleure que sur un webmail).
Et y'a aussi fetchmail + procmail qui te permettent de rapatrier les mails de toutes tes boites (Free, yahoo, google, ...) sur ton serveur. Et comme ca d'un coup, tu peux consulter tout tes mails (en IMAP !!!).
L'IMAP, c'est le top !!!

Bon courage pour la suite.

Didier Misson

Re : Installation d'un serveur Home

Bonjour,

Sinon tu évoques le nom de Bind ... certe il est très connu mais il existe aussi DNSmasq qui lui est moins connu.
L'avantage de DNSmasq, c'est sa simplicité en DHCP et aussi DNS. Très facile à  configurer, et très léger.

Je le trouve très adapté aux petits réseaux qui ne possèdent pas des centaines d'hotes.

Il y a également tinyDNS
http://www.tinydns.org/

Mais je n'en ai encore essayé aucun...

Dernière chose pour le DNS. Comme la freebox fait DHCP, elle distribue ton adresse IP et aussi les DNS free.

En général, les modem/routeurs font relais DNS.
Pendant le DHCP request, tes machines reçoivent l'adresse IP, masque réseau, gateway... et l'adresse du routeur lui-même comme adresse DNS (par exemple : DNS = 192.168.1.1)
Quand ton PC ou serveur fait une demande DNS, il l'envoie au modem/routeur (la Box) 192.168.1.1 qui transmet la demande à  un des DNS de ton fournisseur Internet.

Le DNS dans un réseau local te permet juste de pouvoir facilement identifier tes machines dans ton réseau local.
Si tu ne configure pas de DNS en local:
1- Si ton serveur s'appelle toto.org, de l'extérieur de ton réseau tout est OK. Les DNS extérieurs te renvoient l'addresse IP de ta freebox vu de l'extérieur.
2- Depuis ton réseau local, si tu interroges toto.org, alors les DNS de Free te renvoient ton IP extérieur ... et la ca marche pas.
3- Avec un DNS local, quand tu appelles toto.org alors ton DNS local te renvoie 192.168.0.1 (par exemple) et là  ca marche.
Il faut alors que toutes tes machines locales (mis à  part ton serveur) interroge le DNS local. Si le DNS local ne peut pas répondre à  la requête alors il la relaye au DNS Free.

Conclusion, le DNS n'est pas obligatoire et si tu en installes un, veilles bien à  ce qu'il ne soit pas visible de l'extérieur (port 53).

ah oui... d'o๠l'intéret de ne pas définir ton serveur en DMZ dans la Box ! Car sinon tous les ports sont ouverts... et donc le monde extérieur pourrait utiliser ton DNS serveur !

Effectivement, ce n'est pas obligatoire d'avoir un DNS sur ton lan privé.
Si tu n'as besoin que d'une ou deux adresses, tu peux les définir dans /etc/hosts... (y compris dans Windows, il y a un fichier équivalent)

Par ex :

http://didier.misson.net est connu sur Internet. C'est une IP dynamique, mais donc IP externe !

en local dans ma table hosts, j'ai mis "didier.misson.net  192.168.168.250"  (c'est l'IP de mon serveur sur mon Lan)

et pas besoin d'utiliser un DNS serveur...

Pour la gestion des mails, Postfix te permet de gérer des boites mails (envoie et réception) et mail te permet de lire les mails (comme thunderbird) qui sont sur ton serveur (sauf erreur)
Tu peux aussi être interréssé pas Dovecot (ou autre) qui est un serveur IMAP  (et POP). Cela te permet de lire tes mails via Thunderbird en interrogeant ton serveur IMAP. En mettant Thunderbird sur un clé USB, tu peux alors consulter tes mails partout avec la convialité (meilleure que sur un webmail).

Réellement, quand on a gouté à  IMAP... c'est drolement plus pratique que POP !
A la seconde o๠ton serveur de mails reçoit un mail, il EST DANS ta boite dans Thunderbird !
(pas besoin d'attendre 10 minutes, ou de cliquer sur "recevoir")

Je te conseille, si tu fais toi-même un serveur mails, d'utiliser les protocoles sécurisés.

Dovecot fait très bien le IMAPS, version cryptée d' IMAP  ;-)

Et y'a aussi fetchmail + procmail qui te permettent de rapatrier les mails de toutes tes boites (Free, yahoo, google, ...) sur ton serveur. Et comme ca d'un coup, tu peux consulter tout tes mails (en IMAP !!!).
L'IMAP, c'est le top !!!

Bon courage pour la suite.

EXACTEMENT !
IMAP est le TOP 

Bonne continuation

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

Beamo

Re : Installation d'un serveur Home

Bonjour,

Bonjour,

Sinon tu évoques le nom de Bind ... certe il est très connu mais il existe aussi DNSmasq qui lui est moins connu.
L'avantage de DNSmasq, c'est sa simplicité en DHCP et aussi DNS. Très facile à configurer, et très léger.

Je le trouve très adapté aux petits réseaux qui ne possèdent pas des centaines d'hotes.

Il y a également tinyDNS
http://www.tinydns.org/

Mais je n'en ai encore essayé aucun...

Moi j'ai déjà installé tiny dns et je te le conseil. Il est petit simple et efficace (surtout pour un réseau local).
http://cr.yp.to/djbdns.html
En utilisant : How to run an external forwarding cache

Beamo

camillej2706

Re : Installation d'un serveur Home

Pour mettre au clair l'aspect DMZ ou pas ...

Perso j'ai fais une DMZ pour me forcer à  configurer Iptable et les serveurs correctement. Mais je pense qu'il est mieux de forwarder uniquement les ports utiles sur freebox.
Mais cela ne dispense pas de configurer iptable et aussi les différents services.
Iptable permet de faire du suivi de connection et cela est très précieux pour la sécurité.

Sinon dans le cas de la freebox, elle distribue via le DHCP, directement les adresses DNS de Free et non pas une adresse du type 192.168.0.X .

Bon courage.

Dernière modification par camillej2706 (Le 16/11/2007, à 09:09)

termi

Re : Installation d'un serveur Home

:cool:Je viens d apprendre beaucoup en peut de temps sur ce topic tres interessant;)

Didier Misson

Re : Installation d'un serveur Home

:cool:Je viens d apprendre beaucoup en peut de temps sur ce topic tres interessant;)

Merci Termi,

ça fait plaisir de voir que ce qu'on raconte puisse servir à  d'autres

Bonne journée à  tous

---

--
Didier Misson
http://misson.tel -  http://drupal.tel -  http://drupalcamp.tel
http://culbutte.be (Linux Users Group) -  http://braindug.be (Drupal Users Group)

compte supprimé

Re : Installation d'un serveur Home

Hum, me revoila.
C’était trop beau sur papier pour être sans difficulté héhé. En règle générale, l’ensemble des serveurs sont plutà´t bien fournit coté documentation.
Mais Bind9, une véritable horreur ambulante pour ce dimanche, les documentations sont pour des cas divers et varié, toute différentes selon les distributions et utilisation. Au finale, complètement paumé dans la marche à  suivre tellement j’en ai lu depuis ce matin.
Alors si vous avez quelques exemples de configuration sous Debian ou Ubuntu avec la dernière version, je suis fortement preneur.

Concrètement,  Je suis caché derrière ma Freebox (routeur et dhcp).
J’ai ouvert  le port 53 UDP/TCP.
Mon domaine est toujours sous la gestion de OVH pour le moment, domaine.net
Le serveur à  l’adresse 192.168.0.2 et le nom lankaz
Il fait office de serveur web, dns,ftp, mail

Mais impossible de configurer bind , à  l’aide !!!

philippe_g

Re : Installation d'un serveur Home

Bonjour,

Voici un exemple de fichier de configuration de bind pour l'hébergement d'un domaine public (ton domaine acheté chez OVH par exemple):

Fichier /etc/bind/domaine.net

$TTL    86400
@               IN      SOA     lankaz.domaine.net.     root.lankaz.domaine.net. (
                        2006011002      ; serial
                        28800           ; refresh
                        14400           ; retry
                        3600000         ; expire
                        86400 )         ; default_ttl

@               IN      NS      ns.domaine.net.
; dns secondaire (exemple: gandi, mettre celui d'OVH dans ton cas)
                        NS      ns6.gandi.net.
; MX (Mail eXchanger, serveur(s) de mail du domaine)
                        MX      10      mail.domaine.net.

                        TXT     "Domaine de Vincent"


ns              IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "(NS) domaine.net"

lankaz          IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "(SRV) domaine.net"

www             IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "(WWW) domaine.net"

mail            IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "(MAIL) domaine.net"

ftp             IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "(FTP) domaine.net"

domaine.net.    IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "domaine.net"

*.domaine.net.  IN      A       <mettre ton IP publique>
                HINFO   Debian GNU/Linux
                TXT     "domaine.net"

; mx du serveur lankaz
lankaz.domaine.net.     IN      MX      1       mail.domaine.net.

; Fin du fichier

Remplace "domaine.net" par le nom de ton domaine.

Il faut bien sur mettre à  jour la conffig de bind, dans le fichier /etc/bind/named.conf:

zone "domaine.net"{
        type master;
        file "/etc/bind/domaine.net";
};

Avec ca, normalement, ton domaine est joignable de n'importe ou.

zylmak

Re : Installation d'un serveur Home

Bonjour je ne sais pas si ca pourais aider Vincentp pour son wifi mais voici ce que j'ai fait...

Si ma solution comporte des erreurs ou n'est pas sécuritaire, n'hésitez pas à  me le dire c'est un peu pour cela que je place ce message; afin de vérifier si j'utilise la bonne solution ou si j'ai des chose à  corriger...

j’ai une configuration similaire soit :
1 Laptop avec connexion WIFI roulant autant sous XP que sur Ubuntu Desktop 7.10
1 Pocket PC avec connexion WIFI roulant sous Windows CE
1 Pc Desktop avec connexion WIFI roulant sous XP
1 serveur avec connexion ETHERNET roulant sous Windows 2000
1 serveur avec connexion ETHERNET roulant sous Ubuntu Server 7.10
Et pour finir 1 xbox

La configuration internet est la suivante
J’ai un modem qui reçoit une adresse ip de mon FAI (donc changeante)
J’ai un routeur  WIFI/Ethernet qui distribue des adresses IP allant de 192.168.0.100 à  192.168.0.250

Seul les serveurs s possèdent une adresse fixe (donc non reçu du router)
Comme protection je dois utiliser WEP qui n’offre pas une grosse protection donc afin de palier à  ce problème j’ai  donc  installer un filtre au niveau du routeur afin que seul les adresses MAC inscrites puissent accéder aux réseau.

Ensuite j’ai ouvert les ports sur le routeur pour les diriger sur le bon serveur

Pour l’instant le serveur  Windows 2000 as un serveur FTP, VNC, Apache 2.0, Perl, MySQL, SSL, PHP et sert aussi comme serveur de disque NTFS.
La je viens d’installer le serveur Ubuntu et je dois le configurer afin qu’il remplace le serveur 2000 soit avoir une connexion TELNET sécurisé (ssh1 ou ssh2), un serveur FTP sécuritaire, Apache, PHP, perl, MySQL et Samba pour le partage de disque NTFS.

Comme ce sujet m'intéresse je profite de l'occasion afin de vous poser une question à  mon tour.

Je suis nouveau sous linux donc je ne suis pas sur de comment faire, pour l’instant j’ai réussi à  installer la version serveur 7.10 et à  configurer le serveur afin qu’il ait une adresse ip fixe.  Et cela fonctionne la j’en suis à  essayer d’installer quelque chose afin de pouvoir l’accéder à  distance (local pour l’instant) mais j’en perds mon latin, J’ai juste installé la base sans aucun autre logiciel puis j’ai installé manuellement  emacs w3m zsh vimhelp-fr  vim puis configurer vim.

Je suis donc en mode texte je ne sais même pas si c’est X ou non bref je n’est que vi pour éditer les fichiers.
Donc si quelqu’un connais des tutos comment installer telnet  pas à  pas ainsi que Bind9 se serait apprécié