Besoin d'infos pour installation de plusieurs Yunohost (ou pas?)

Mon futur serveur YunoHost

Matériel: Mini-Pc
Version de YunoHost: La dernière existante
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifications particulières sur votre instance ? : non

Bonjour,

je suis un utilisateur satisfait de Yunohost depuis 1 an demi maintenant sur RPI3 B+. Aussi j’ai prévu d’investir dans un mini-pc avec 8 Go de ram pour passer sur du matériel un peu plus performant et à l’occasion de cette future installation, j’ai besoin de vos conseils pour faire au mieux celle-ci en fonction de mes souhaits.

1-Je souhaite passer sur proxmox afin d’installer au moins un second serveur yunohost qui me servirait de test et me permettra éventuellement d’apporter ma modeste contribution pour les “testing”. Pour que ça fonctionne, j’ai vu qu’il me faudrait un serveur Nginx frontal qui serve de reverse-proxy afin de rediriger les requêtes vers le bon serveur.
Puis-je utiliser un serveur Yunohost avec l’application Redirect pour servir de reverse-proxy vers les 2 autres serveurs YNH? Si non, est-ce que Debian+Nginx est ce qu’il me faut? Et dans ce cas, qui doit gérer les certificats Let’s encrypt, le reverse-proxy ou bien je peux laisser Yunohost le gérer? Ici on perd l’aspect automatique de Yunohost et j’ai bien peur de ne pas arriver à faire les choses correctement en terme de sécurité. Y-a-t-il des recommandations particulières à respecter pour ce type de configuration?

2-Ma boîte mail Yunohost est devenue ma boîte principale et je n’utilise quasiment plus qu’elle, mon ancienne adresse mail me servant uniquement à rediriger vers yunohost au cas où j’ai oublié de changer mon adresse auprès d’un site/service/contact. Du coup la sécurité de ce service est critique, est-ce que installer un conteneur LXC yunohost juste pour le mail en fermant tout les autres services sur cette machine apporterait une sécurité supplémentaire ou est-ce inutile et dois-je continuer comme je fais actuellement avec un seul serveur YNH qui héberge tous mes services.

3-Qu’elle quantité de Ram par machine me conseillez-vous? Tout particulièrement combien prévoir pour Nextcloud sachant qu’à terme il devrait y avoir 5 à 10 utilisateurs (actuellement 4).

4-J’ai lu que pfsense ou ipfire permettrait de renforcer la sécurité, qu’en pensez-vous? Ou est-ce inutile, le pare-feu de yunohost étant suffisant?

1 Like

Bonsoir,

Je ne peux pas répondre à toutes tes questions, mais ayant migré ce weekend mon infra sur Proxmox, voici quelques pistes :

  1. Je n’utilise qu’une seule VM Yunohost, mais entre les sauvegardes et les snapshots, en terme de risques, on limite bien les dégâts :wink: (j’imagine que si ton serveur est suffisamment puissant, pas de souci pour faire tourner une VM de test).
  2. Franchement, je suis pas fan des containers en terme de sécurité… donc à voir si quelqu’un de plus compétent que moi peut te répondre !
  3. Pour Proxmox, la quantité de RAM va dépendre de 2 facteurs essentiels :
  • d’une part si tu utilises ZFS (perso, j’ai monté 3x2To HDD SAS en Raidz1) qui est gros consommateur de Ram (Proxmox + Yunohost bouffe 6 à 7Go de RAM sur mon serveur !)
  • d’autre part le nombre de VMs à installer !
  1. Perso à ce niveau, je ne rigole pas car j’ai eu une mésaventure il y a qq année (le point faible de nos Yunohost ce sont surtout les apps !) : bref, j’utilise un serveur physique différent pour mon bastion IPfire (avec par défaut un Suricata en mode IPS, un blocage geoip (seuls les pays nécessaires sont autorisés) et un Squid). Franchement, ça fait le job mais attention, pour le moment, IPfire ne gère pas l’ipv6 :wink:

Bonus : j’aime bien utiliser Lynis sur mes serveurs Debian (comme Yunohost) pour regarder un peu son retour d’info (histoire de ne pas passer à travers quelque chose).
Et voici comment j’ai fait pour migrer : Retour d'expérience : migration de mon infra sur Proxmox (VM)

Voilà, j’espère avoir pu t’aider un peu :wink:

1 Like

Oui, merci! Ça me donne déjà de bonnes pistes pour me lancer et me faire une idée de ce que ce serveur pourra (et ne pourra pas) accueillir vu la puissance et la ram de celui-ci. Je me suis intéressé à proxmox pour pouvoir installer plusieurs machines. Je pensais mettre les services sensibles dans une VM séparée (mail, nextcloud) car comme tu le dis, ce sont les apps le point faible de Yunohost.

Je suis allé voir ce qu’était Suricata, Squid et Lynis, effectivement tu ne rigoles pas avec la sécurité, tu as sorti l’artillerie lourde :wink: Mon raspberry serait suffisant pour accueillir ipfire? Ce que je crains, c’est qu’à trop vouloir bien faire je fragilise au final la sécurité ne maîtrisant pas ces outils.

Que reproches-tu exactement aux containers? Au départ je partais plus sur des VM KVM mais j’ai lu que LXC était plus performant et était moins gourmand, voici pourquoi je m’y suis intéressé.

Oui, IPfire fonctionne bien sur les RaspberryPi (sauf pour la version 4) -> mais attention, la grosse limitation sera le débit !
En effet, pour déployer un IPfire via Raspberry, tu vas devoir utiliser le port Ethernet de ce dernier et un port USB sur lequel il te faudra brancher un adaptateur Eth/USB. Or techniquement le RPi n’est pas pensé pour cet usage et les débits seront donc faibles… sauf si tu utilises un RapsberryPi 3+, celui-ci pouvant suffir si pas de trop gros besoins.

-> https://www.jeffgeerling.com/blog/2018/raspberry-pi-3-b-review-and-performance-comparison

Concrètement, utiliser un Pfsense, Opnsense ou IPfire devant ton Yunohost va vraiment améliorer le niveau de sécurité en bloquant la plupart des scans, les attaques les plus classiques… etc bref, en formant un premier filtre (mais oui, en effet, vigilance ! Car à vouloir trop bien faire, on ouvre parfois des portes involontairement… même si là, on pose plutôt un mur :wink: ).

Pour les VM vs Containers, c’est un gros débat et je n’ai pas de réponse tranchée à ce sujet, juste le retour de lectures diverses. Ce que je peux dire (si un expert passe par là, son avis est le bienvenu !), c’est que par défaut, les CT partageant le matériel, en cas de compromission, il y a un risque que celle-ci s’étande plus facilement à l’ensemble de la machine. Mais comme toujours, à mon avis, celui qui maîtrise les CT plutôt que les VMs prendra moins de risques à configurer les 1er ! Bref, tout est sans doute question de compétences :sunglasses:

1 Like

Je n’avais pas pensé au débit du RPI, du coup ça serait dommage de retenir cette solution alors même que j’envisage de changer pour gagner en performance.
je crois que je vais déjà tester les outils en VM pour voir, et si ça me convient, je vais plutôt installer ipfire directement dans une VM de proxmox.
Dans le doute, je vais sans doute opter pour des VM plutôt que des CT, vu ce que le RPI consomme actuellement, ça devrait passer.
Une dernière chose, est-ce bien Ipfire+Squid qui fait office de reverse-proxy? Ou ai-je mal compris l’usage de Squid?
Pour l’ipv6, c’est également le cas pour la version 0.9.6 de F2B présente sur Yunohost, aussi je l’ai désactivé pour l’instant en attendant une montée de version vers la 0.11 (avec l’arrivée de Buster?).
Merci encore pour toutes tes réponses qui me seront certainement très utiles le moment venu. :slightly_smiling_face:

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.