Liste service/update Yunohost pour Whitelist sortant

Julien-765458 · December 18, 2020, 8:54am

Bonjour la communauté

Description du problème

Je cherche à connaitre la liste (si possible exhausive) des sites web auxquels Yunohost se connecte lorsqu’il exécute des services ou met à jour des logiciels. Je n’ai pas trouvé d’information à ce sujet de façon à alimenter une alias sur mon firewall (pfsense) (je suis en whitelist sortant sur mes serveurs)

Détail : Je parle du système de base (sans aucune application) / Derrière version / Sur Deb 10

Merci par avance,

Julien

Julien-765458 · December 18, 2020, 1:51pm

Merci d’avoir déplacé ma demande dans la bonne section (j’avais un doute sur la pertinence de la section “support”)

ljf · December 18, 2020, 1:59pm

Pas facile comme question. On a à ma connaissance aucune doc sur le sujet.

Heureusement que tu dis sans aucune apps, parce que sinon ça fait beaucoup beaucoup de nom de domaine!

NB: c’est pas figé, donc en fonction des mises à jour, ta pratique de whitelisting peut être dangereuse; peut être qu’un jour on ajoute une dépendance en plus dont on a besoin… Peut être même pour des raisons de sécu. Il se pourrait très bien que ça désactive des fonctionnalités, que tu tombes dans des edges case complètement non prévus…

Ci-dessous ce qui me vient en tête (à compléter):

Les domaines ajoutés dans le YunoHost

Ça dépend de chaque installation

Déterminer l’ip publique de la machine

Résolution DNS

github.com

YunoHost/yunohost/blob/dev/data/templates/dnsmasq/plain/resolv.dnsmasq.conf

# This file will be used to generate /etc/resolv.dnsmasq.conf
# To avoid that every instance rely on the first server as primary
# server, this list is *shuffled* during every regen-conf of dnsmasq
# In the possibility where the first nameserver is down, dnsmasq
# will automatically switch to the next as primary server.

# List taken from
# http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver

# (FR) FDN
nameserver 80.67.169.12
nameserver 2001:910:800::12
nameserver 80.67.169.40
nameserver 2001:910:800::40
# (FR) LDN
nameserver 80.67.188.188
nameserver 2001:913::8
# (FR) ARN
nameserver 89.234.141.66
nameserver 2a00:5881:8100:1000::3

This file has been truncated. show original

Mise à jour des paquets debian

deb.debian.org (ou le repo debian /armbian utilisé ça dépend de l’installation)
forge.yunohost.org

Nom de domaines dynamique ou fournit par le projet YunoHost

Obtention de certificat let’s encrypt

Impossible de connaître les IP des serveurs externes qui font le test ACME

Serveurs de temps (NTP)

???

Lutte antispam

reverse DNS des emails entrant et requête DNS DKIM/SPF/DMARC …

Envoi de mail

???
Requetes DNS vers les domaines à qui on envoie

XMPP

??? Contacter les autrres serveurs XMPP

Diagnostique du serveur

diagnosis.yunohost.org (diagnostique distant ouverture de sports, reverse proxy…)
yunohost.org (check du port 25)
https://github.com/YunoHost/yunohost/blob/dev/data/other/dnsbl_list.yml (détection du blacklistage)
Les domaines utilisés par whois (pour la détection d’expiration des noms de domaines)
publicsuffix.org (pour la détection de l’expiration aussi)
github.com meltdown check (https://github.com/platomav/MCExtractor/raw/master/MCE.db

Téléchargement du catalogue d’apps

app.yunohost.org (téléchargement de la liste des apps)

Partage des logs

paste.yunohost.org (pour la fonctionnalité de partage de log)

Helpers pour l’installations d’apps

Autres dépendances nécessitant de faire des accès réseaux ?

+ pour chaque app ses propres dépendances

ljf · December 18, 2020, 2:04pm

Et à mon sens, tu devrais plutôt scruter toutes les demandes faites par le serveur puis au bout d’un temps éventuellement whitelister.

Julien-765458 · December 18, 2020, 2:38pm

Merci de ta réponse. Je vais compléter avec un examen des flux comme tu me le sugères. Ce qui est bloqué est logué pour analyse.

system · January 2, 2021, 2:38pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.