Bonsoir @tous,
J’ai effectué un test sur mon domaine avec l’observatoire de Mozilla, j’ai obtenu un B+
Après une modification ma note est maintenant A+ sur Scan Summary
A+ sur ssllabs.com
A sur ImmuniWeb
A+ sur tls.imirhil.fr
A+ sur securityheaders.com
Attention toutefois augmenter la sécu implique que potentiellement certains dispositifs anciens mais pas tellement qui ne peuvent pas être mis à jour ne pourront plus voir votre site. Donc en renforçant la sécurité vous pouvez accidentellement renforcer aussi l’obsolescence programmée de certains équipements…
+1
Perso j’ai fais l’inverse concernant ssl et dovecot afin qu’un appareil sous android 4.1 puisse se connecter au serveur et relever ses courriels en ajoutant le fichier /etc/dovecot/yunohost.d/post-ext.d/10-ssl.conf avec le contenu suivant:
L’utilisateur a besoin de relever ses mails, et ce en local. Peut-être fais-je erreur par méconnaissance mais je ne pense pas que le risque soit démesuré et ça évite le changement du smartphone. Malheureusement on ne peux pas avoir les 2, la sécurité et la lutte contre l’obsolescence
Je suis curieux : est ce qu’il y a déjà eu un retour d’expérience à propos d’un serveur yunohost à jour qui se serait fait tamponné / piraté / rabsomwarisé ?
Pas simple de répondre puisque bien souvent, une compromission reste silencieuse Il serait donc bien prétentieux d’assurer qu’il n’y aurait pas eu d’intrusion ou autre joyeuseté. Même s’il y a peu de retour.
De mémoire, il y a déjà eu des applications telles des Wordpress qui ont eu quelques soucis.
Pour ma part, j’avais eu une intrusion sur une appli (BridgeRSS pour ne pas la citer) il y a 3 ou 4 ans. Rien de bien méchant, mais dans le doute, j’avais refait une installation propre et fait le choix radical de ne plus installer l’application en question.
Bref, je suis également intéressé si quelqu’un a rencontré des soucis plus graves
Bonjour @tous,
En effet on ne peut pas être à 100% sure d’être protégé, mais nous avons des outils comme
rkhunter
chkrootkit
fail2ban
portsentry
pflogsumm
pour nous aider et installer juste le nécessaire aux niveaux applications
Franchement c’est vraiment difficile, c’est d’ailleurs le point qui m’embête un peu avec Yunohost.
Un simple shodan https://www.shodan.io/search?query=yunohost te file toutes les IP des yunohosts. Suffit qu’une faille 0 days soit exploitée et que l’attaquant sache qu’elle est exploitable dans une install yunohost (assez facile à savoir avec un code ouvert) et il a tout sur un plateau.
Et toi t’est obligé d’attendre que la faille soit patchée par yunohost, puis ensuite de l’appliquer en urgence chez toi… ça laisse du temps à l’attaquant!
J’avais vu une solution pour ne plus être listé par shodan, mais c’était un poil trop technique pour moi (et je n’ai que peu de temps à y consacrer). Bon après vu le nombre d’installation yunohost dans le monde, on a de la marge avant d’être la cible n°1 de méchants pirates!
Ça n’a rien de spécifique à Yunohost : tu peux très probablement faire le même genre de scan Shodan pour nginx, apache, Wordpress, SSH, Debian, PHP, que-sais-je, n’importe quelle techno un minimum répandue où il suffit d’une requête pour l’identifier … Oui, le jour où il y a un zeroday catastrophique sur l’une de ces technos, c’est la merde.
(Notons également que “être ou ne pas être listé sur Shodan” n’est en aucun cas un gage de sécurité. Shodan est là pour montrer à quel point c’est possible et facile de scanner à minima tout le range IPv4 (et pour IPv6 c’est plus compliqué, mais il existe probablement des astuces). Un vrai attaquant voulant mener une vraie attaque générale fera sans doute son propre scanner pour identifier les machines qu’il peut attaquer.)
Par contre, ne pas être visible aisément par ce type d’outils (des “shodan”, il y en a plein, parfois même encore plus intrusifs), associé aux “bonnes pratiques” (mises à jour du système et des applis rigoureuses, réduction de la surface d’attaque, mots de passe solides, accès ssh via clé… bref, les fondamentaux) associé, secondairement, aux solutions proposées limitent sérieusement l’exploitation de ce type de failles de manière automatisées.
Mais rien n’arrêtera un attaquant motivé, disposant de temps et de moyen, à mon avis.
Oui oui, on est bien d’accord! J’aurais plutôt du parler de “facilité d’identification d’une instance yunohost” plutôt que de shodan en général.
tu peux très probablement faire le même genre de scan Shodan pour nginx, apache, Wordpress, SSH, Debian, PHP, que-sais-je,
C’est vrai, une recherche wordpress sur shodan renvoie aussi un paquet de résultats! Mais justement, il me semblait que l’adage “vivons heureux vivons cachés” s’appliquait plutôt bien à la sécurité informatique.
Oui à mon niveau je ne peux pas grand chose contre un attaquant très motivé, mais si je peux ne pas apparaître dans une liste accessible au 1er script kiddie venu je veux bien aussi
Mais je suis prêt à avouer que c’est peut être juste une sécurité psychologique et que ça ne change rien au final!
C’est d’ailleurs pourquoi j’utilise yunohost: je serai bien incapable de monter un serveur maison de A à Z correctement sécurisé (ou alors il me faudrait des semaines le temps de me documenter à fond), donc je laisse la team yunohost faire les choses propres et bien, le reste d’administration à ma charge me suffisant déjà amplement pour apprendre et comprendre un paquet de choses…
Tu fais bien de le souligner : la dissimulation ne remplace pas une couche de sécu, mais sert essentiellement à diminuer le bruit de fond (l’exemple le plus connu étant sans doute de changer son port SSH).
Pour en revenir au premier poste j’ai du B+ sur mes deux Yuno.
Je vais m’intéresser aux liens donnés dans le topic pour voir ce que je peux renforcer sans casser mes services.
J’avais trouvé ça il y a quelques semaines qui me semblait intéressant dans le cadre d’un auto-hébergement “local”:
En effet, il me semble peu probable qu’un serveur hébergé à la maison pour quelques services perso ait vocation a être joignable de partout dans le monde, ou alors par exception quand on part en vacances…
Il me semble en effet avoir vu passer un post sur un blocage geoip également via nginx de mémoire.
Mais je confirme (pour le faire via un bastion dédié), que le blocage geoip appliqué de manière très restrictive fonctionne très bien pour réduire les bots à la recherche de failles non patchées.
Mais comme le souligne @Aleks , un attaquant motivé trouvera un moyen. Reste à évaluer si vous êtes une cible potentiellement ciblée ou pas. Et là, chacun devra se faire une autoévaluation des risques en fonction de ses fonctions pros, persos, …etc
Sincèrement, je trouve (ce n’est “que” mon avis, hein) le niveau de sécurité proposé par défaut par Yunohost très satisfaisant pour un particulier lambda. Et il est possible de l’améliorer sensiblement via quelques modifications simple.
Remarque perso à haute voix : il me semble en effet qu’on a parfois un peu trop tendance, lorsqu’on débute, à mise sur des “outils de sécurité” plutôt que sur les bonnes pratiques. Autrement dit, aucun logiciel installé en sus ne remplacera les bonnes pratiques déjà citées dans ce post par plusieurs d’entre nous. Ajouter des mesures et outils visent à mon avis à élargir le niveau de protection vis à vis d’autres attaquant. Le reste dépendra de notre paranoïa