Ok, avec plaisir
Je vous propose de faire cela par étapes, en plusieurs postes, au gré de mon temps libre. N’hésitez pas si vous avez des questions. Le tout en essayant de contextualiser avec la mise en place de mon infra.
NB : juste une petite remarque préalable sur laquelle il est bon d’insister, les bonnes pratiques ont toujours été respectées (mdp complexes, installation du strict nécessaire,…).
Bref, commençons par le début : comme beaucoup, lorsque Yunohost a été rendu public, j’ai rapidement voulu tester et, se faisant, la facilité et la richesse des applications de l’époque incitaient à parfois mutualiser, sur un même serveur, différents services. Pour ma part, il s’agissait de Nextcloud, TTRSS, WebAPP, Jirafeau et XXXX.
[Je ne reviens pas sur cet article : Auto-hébergement, fausse bonne idée - aeris | April (mais il est bon d’y jeter un œil).]
J’avoue qu’à l’époque, je n’avais pas étudié de près le code des applications (ni même le process de publication de ces apps… ), mais j’aurais dû ! Le serveur n’était d’ailleurs à ce moment là que placé dans la “DMZ” de ma box… et donc directement exposé aux bots, … à tout vent…
Il n’aura suffit que de quelques semaines pour que mon joli serveur Yunohost ait des soucis. La cause ? L’application XXXX victime d’une intrusion / détournement pour diffusion d’images pornographiques…
→ Observations : à priori, seule l’application en question avait été touchée. Du moins en apparence au regard de mes analyses de l’époque.
→ Moralité :
- première réinstallation complète (dans un cas comme celui-ci, ça ne se discute pas),
- réduction au strict minimum des applications et surtout, je jette désormais un œil au git de l’appli à installer avant (nombre de développeurs/commits/…),
- je n’expose plus publiquement les ports SSH et l’interface admin de mon Yunohost, ce qui réduit la surface d’attaque de manière sensible. Au début, j’avais choisis de n’administrer mon serveur qu’en local, puis avec le temps, j’ai mis en place un serveur VPN pour y accéder.
Vous me direz sans doute que ce n’était rien de bien grave (et vous n’auriez pas tords !), mais c’est bien la preuve que l’auto-hébergement nécessite une vigilance de tous les instants et une administration rigoureuse.
@suivre
EDIT: message édité par ljf pour des raisons de sécurité