Puis-je "cacher" Yunohost pour limiter les risques d'attaque de masse de YH?

Bonjour,

Si l’ensemble des services que j’utilise dans YH ne sont pas accessibles au public, est-ce possible de “cacher” yunohost, pour limiter les conséquences d’une attaque de masse sur les serveurs YH, par exemple en créant une simple page HTML sur le nom de domaine principal ? (solution sans doute très naïve, vous me direz).

Merci pour votre aide,
C21

Bonjour,

Créer une page html sur le domaine par défaut cachera sans doute YH aux utilisateurs qui visitent vos pages, mais la principale menace provient probablement de robots qui scannent des adresses ip à la recherche d’instances. Des outils comme Shodan.io le permettent.

Par exemple si vous prenez l’adresse ip de votre domaine à laquelle vous ajoutez /yunohost, vous tomberez sur la page d’administration de votre instance.

Malheureusement si une faille critique est mise en évidence dans yunohost il n’y a pas beaucoup de moyens de se protéger. La meilleur protection est de garder le système à jour et vous pouvez suivre les quelques recommandations présentées ici : Sécurité | Yunohost Documentation

Si vous utilisez yunohost pour un usage privé, vous pouvez également penser à bloquer les adresses ip de certains pays, ou mieux, autoriser seulement les adresses ip provenant de votre pays de résidence. non testé : bloquer-pays-regles-iptables-xt_geoip.
Voir aussi : tuto-bloquer-les-requetes-selon-le-pays

1 Like

Une autre option est de désactiver l’interface d’administration, de telle manière que même si une faille y était découverte (ou le mot de passe administrateur), un robot malveillant ne puisse y entrer.
Mais cela veut dire que toute l’administration devra se faire en ligne de commande.

1 Like

Merci beaucoup @nounix et @Lapineige !!

@Lapineige, ta solution (désactiver l’accès à l’interface d’administration) protège-t-il (en tout ou en partie) d’une attaque de masse facilitée par les outils de scans de ports tels que @nounix en parle ?

Pas vraiment.
Là c’est pour une attaque ciblant Yunohost, et une faille dans son interface d’administration. La présence d’une instance Yunohost est effectivement facile à deviner en tester l’adresse ip et le lien vers la page d’administration. La solution que j’ai proposé permet d’éviter qu’une faille du côté de cette interface soit exploitée, en désactivant l’interface (pour être précis : l’API qui lui permet de fonctionner).
Vaguement “cacher” cette interface est probablement possible en changer l’adresse web à laquelle elle est disponible (au lieu de /yunohost/admin, ça serait autre chose). J’imagine que ça se modifie dans la configuration d’Nginx. Mais l’intérêt est limité. Ça n’écartera que les bots les plus “bêtes”, probablement pas ceux qui viseraient spécifiquement Yunohost.

Les attaques par scan des ports (voir s’ils ne sont pas sécurisés/pour bruteforcer le mot de passe) c’est plus généraliste. Là la contre-mesure est de limiter le nombre de ports ouverts au strict minimum, éventuellement de modifier les plus critiques (ex: passer le port ssh de 22 à un autre port) pour limiter les attaques des bots les plus bêtes (ce qui fait quand même la masse des attaques par forcebrute), et de configurer fail2ban pour surveiller ces ports (c’est déjà le cas dans Yunohost, et pour pas mal d’applications, mais on peut mettre des règles plus restrictives). Et évidemment utiliser un mot de passe fort (et différent entre utilisateur, mot de passe d’administration, login ssh ← là le mieux c’est la clé ssh et pas d’authentification par mot de passe, et pas directement en root).
Et éventuellement de bloquer les ip de certains pays comme le suggère @nounix. Mais pareil, ça supprime juste les bots les plus bêtes (en simple VPN permet de contourner ce blocage).

PS: comme toujours, limiter la visibilité c’est bien, mais uniquement en plus d’une bonne sécurisation préalable. Ça réduit le nombre d’attaques “bourrines” (qui ne testeront que les ports standards par exemple), en gros la charge du serveur quoi, sans réellement apporter de sécurité supplémentaire.

1 Like

ok, super, je suis plutôt dans le bon, à partir de ce que tu amènes !
Est-on tenu au courant par email (via le mail root ou system@nom.de.domaine) si problème de sécurité ? (ou un autre canal?) Les mises à jour critiques sont elles-automatiques ?

edit: Merci d’avoir pris le temps de détaillier tout ça !

Non par contre tu peux activer le suivi de la catégorie Security sur ce forum: Security - YunoHost Forum

Les mises à jour de sécurité liée à YunoHost ne sont pas automatique, mais tu peux installer l’app unattended_upgrade pour obtenir les maj de sécu debian.

2 Likes

ok, merci !

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.