Aide conseils serveur perso RasPi - Hébergement - Réseaux grand public / SoHo
MarshPosté le 10-04-2014 à 02:58:43
Bonsoir, je souhaiterai me faire un serveur perso à l'aide d'un Raspberry Pi basé sous Debian. Tout ce qui est installation et paramétrage de la framboise je saurai me débrouiller. Je précise que je suis chez Free (box v5), en IP fixe, dégroupage total (pas forcément utile).
Cependant, je suis pas très doué en réseau ni en sécurité donc j'aimerai avoir des conseils. Ce que je souhaite faire c'est avoir ma Freebox connectée directement à mon RasPi que je vais dans un premier temps configurer histoire de le sécuriser (sécurisation SSH avec double-clés, une pincée de fail2ban, du rkhunter, port forwarding du port 22, enlever la possibilité de se loguer en root, peut-être du sshguard et autres joyeusetés que j'estime avoir bien assimilé/pratiqué) afin de le relier à un petit disque dur qui me servira de "serveur". Je précise qu'à l'autre bout du tunnel, la partie admin se fera sur un PC A en réseau local. Je précise qu'avec le RasPi je souhaite faire une seed box, un serveur pour héberger un TeamSpeak-like, un client mail, un serveur Git, un serveur pour héberger un nom de domaine sur lequel je metterai des sites persos sans grosse affluence codés à la main et qu'il aura aussi un rôle essentiel de NAS (et plus si affinités...).
C'est ici que je suis perdu. Je souhaiterai en effet sécuriser le tout et en même temps me permettre de: - accéder à mon NAS (connecté au RasPi donc) via mon Android préféré avec du SFTP pour récupérer quelques docs quand je serai au boulot (ça je sais faire: je passe par une redirection sur mon IP privée avec mon routeur) ✔ - y accéder via un terminal en SSH et pouvoir y faire du XForwarding pour mater mon bureau à distance si j'ai un soucis (je pense savoir faire) ✔ - permettre à ma chérie d'accéder à mon NAS à distance via du SSHFS monté dans son explorateur de fichiers ✔ - héberger des sites dans un environnement LAMP via un nom de domaine que je réserverai sur Gandi (pas grave si les débits ne seront pas extrêmes etc...c'est surtout l'aspect configuration faite maison ainsi que la confidentialité anti-Murica qui m'intéresse beaucoup ). ✔ - y accéder via un WebDAV en passant par Owncloud, je pense pouvoir le faire facilement même si Heartbleed me rassure pas trop sur une techno que je ne connais déjà pas trop: le SSL, est-ce que le HTTPS sera aussi secure que le procole SSH ? ✘ - pouvoir créer un partage samba (facile à installer ça) pour que le NAS soit partagé, mon PC A (sous Fedora+Arch) y accède en lecture/écriture et les PC B et C (sous Windows Seven) puissent y accéder seulement en lecture et que personne d'autre hormis ceux sur mon réseau et local n'y aient accès. Ça se fait comment ça? Seulement avec une gestion des groupes et avec les droits du genre 750 ou bien il faut configurer autre chose pour pallier à une attaque sur mon serveur ? ✘
Voilà, du coup, pour faire tout ça j'ai besoin de quel type d'architecture réseau ? Parceque je souhaite que mon réseau local puisse avoir accès au NAS, je veux y accéder à distance (quitte à faire, via le même nom de domaine que les sites, genre nas.site.fr ou bien site.fr/nas à l'aide de virtualhosts c'est bien ça?), je ne veux pas que mon serveur soit facilement forçable (je vais bien faire gaffe à passer du temps sur iptables et à laisser passer uniquement les IP listées dans un fichier de cofig'), et dans le cas où il est compromis, je ne voudrai pas que l'on puisse accéder à mes données en réseau local (au moins, limiter un peu la casse). À défaut d'être sûr que mon serveur soit inviolable (je comptais à la base y mettre des backups complets+incrémentiels/du code perso pour la fac/d'autres trucs confidentiels), pourrai-je accéder à mon réseau local à partir de lui une fois le tout mis en place ? 1) Un ami m'a conseillé de mettre le NAS en DMZ pour séparer le NAS du réseau local (à ce niveau là, je pourrai plus accéder à mon réseau local je crois) mais une DMZ c'est rarement la bonne idée à ce que j'ai compris. 2) Moi j'avais pensé à juste mettre mon NAS+3 PC derrière un simple pare-feu (car j'ai cru lire qu'en soit, mon serveur ne sera pas + ni - sécurisé que mon PC si je fais bien gaffe aux logins et tous les autres aspects cités plus haut). 3) Faudrait-il que je fasse quelque chose du genre [internet -> freebox -> firewall -> NAS -> firewall -> réseau local] ? Ça fait pas un peu usine à Gaz? 4) Autre?
Bien sûr, dans l'idéal je souhaiterai faire un réseau complet sécurisé tout en pouvant faire tout ce que je prévois de faire avec mon serveur sans avoir besoin d'acheter un autre RasPi. Voilà, je souhaiterai savoir quel façon de sécuriser mon réseau sera la meilleure pour vous.
Marsh Posté le 10-04-2014 à 02:58:43
Bonsoir,
je souhaiterai me faire un serveur perso à l'aide d'un Raspberry Pi basé sous Debian.
Tout ce qui est installation et paramétrage de la framboise je saurai me débrouiller.
Je précise que je suis chez Free (box v5), en IP fixe, dégroupage total (pas forcément utile).
Cependant, je suis pas très doué en réseau ni en sécurité donc j'aimerai avoir des conseils.
Ce que je souhaite faire c'est avoir ma Freebox connectée directement à mon RasPi que je vais dans un premier temps configurer histoire de le sécuriser (sécurisation SSH avec double-clés, une pincée de fail2ban, du rkhunter, port forwarding du port 22, enlever la possibilité de se loguer en root, peut-être du sshguard et autres joyeusetés que j'estime avoir bien assimilé/pratiqué) afin de le relier à un petit disque dur qui me servira de "serveur". Je précise qu'à l'autre bout du tunnel, la partie admin se fera sur un PC A en réseau local.
Je précise qu'avec le RasPi je souhaite faire une seed box, un serveur pour héberger un TeamSpeak-like, un client mail, un serveur Git, un serveur pour héberger un nom de domaine sur lequel je metterai des sites persos sans grosse affluence codés à la main et qu'il aura aussi un rôle essentiel de NAS (et plus si affinités...).
C'est ici que je suis perdu. Je souhaiterai en effet sécuriser le tout et en même temps me permettre de:
- accéder à mon NAS (connecté au RasPi donc) via mon Android préféré avec du SFTP pour récupérer quelques docs quand je serai au boulot (ça je sais faire: je passe par une redirection sur mon IP privée avec mon routeur) ✔
- y accéder via un terminal en SSH et pouvoir y faire du XForwarding pour mater mon bureau à distance si j'ai un soucis (je pense savoir faire) ✔
- permettre à ma chérie d'accéder à mon NAS à distance via du SSHFS monté dans son explorateur de fichiers ✔
- héberger des sites dans un environnement LAMP via un nom de domaine que je réserverai sur Gandi (pas grave si les débits ne seront pas extrêmes etc...c'est surtout l'aspect configuration faite maison ainsi que la confidentialité anti-Murica qui m'intéresse beaucoup ). ✔
- y accéder via un WebDAV en passant par Owncloud, je pense pouvoir le faire facilement même si Heartbleed me rassure pas trop sur une techno que je ne connais déjà pas trop: le SSL, est-ce que le HTTPS sera aussi secure que le procole SSH ? ✘
- pouvoir créer un partage samba (facile à installer ça) pour que le NAS soit partagé, mon PC A (sous Fedora+Arch) y accède en lecture/écriture et les PC B et C (sous Windows Seven) puissent y accéder seulement en lecture et que personne d'autre hormis ceux sur mon réseau et local n'y aient accès. Ça se fait comment ça? Seulement avec une gestion des groupes et avec les droits du genre 750 ou bien il faut configurer autre chose pour pallier à une attaque sur mon serveur ? ✘
Voilà, du coup, pour faire tout ça j'ai besoin de quel type d'architecture réseau ?
Parceque je souhaite que mon réseau local puisse avoir accès au NAS, je veux y accéder à distance (quitte à faire, via le même nom de domaine que les sites, genre nas.site.fr ou bien site.fr/nas à l'aide de virtualhosts c'est bien ça?), je ne veux pas que mon serveur soit facilement forçable (je vais bien faire gaffe à passer du temps sur iptables et à laisser passer uniquement les IP listées dans un fichier de cofig'), et dans le cas où il est compromis, je ne voudrai pas que l'on puisse accéder à mes données en réseau local (au moins, limiter un peu la casse). À défaut d'être sûr que mon serveur soit inviolable (je comptais à la base y mettre des backups complets+incrémentiels/du code perso pour la fac/d'autres trucs confidentiels), pourrai-je accéder à mon réseau local à partir de lui une fois le tout mis en place ?
1) Un ami m'a conseillé de mettre le NAS en DMZ pour séparer le NAS du réseau local (à ce niveau là, je pourrai plus accéder à mon réseau local je crois) mais une DMZ c'est rarement la bonne idée à ce que j'ai compris.
2) Moi j'avais pensé à juste mettre mon NAS+3 PC derrière un simple pare-feu (car j'ai cru lire qu'en soit, mon serveur ne sera pas + ni - sécurisé que mon PC si je fais bien gaffe aux logins et tous les autres aspects cités plus haut).
3) Faudrait-il que je fasse quelque chose du genre [internet -> freebox -> firewall -> NAS -> firewall -> réseau local] ? Ça fait pas un peu usine à Gaz?
4) Autre?
Bien sûr, dans l'idéal je souhaiterai faire un réseau complet sécurisé tout en pouvant faire tout ce que je prévois de faire avec mon serveur sans avoir besoin d'acheter un autre RasPi.
Voilà, je souhaiterai savoir quel façon de sécuriser mon réseau sera la meilleure pour vous.