Sauvegarde et sécurité

Bonjour,

je possède un NAS depuis de nombreuses années est j’ai toujours était frileux à l’idée de le rendre accessible depuis le net. J’utilise des services comme firefox, bitwarden, tutanota, nextcloud… et j’ai une seedbox qui traine dans un coin que j’utilise rarement. J’ai décidé d’essayer Yunohost et l’auto hébergement a la place de ma seedbox.

Merci merci et merci vraiment l’installation c’est génial tu copie tu colle clique clique bouton hop terminé. Bravo en plus c’est français !

J’ai sauvegardé mon installation via l’interface admin et créé mon petit script de backup.

Ma première question est la suivante :
Quelle commande est exécuté lors du clique sur le bouton “nouvelle sauvegarde” ?
J’aimerais utiliser cron est automatiser ma sauvegarde sur un serveur ftp.

Quelle solution utiliser pour le chiffrement des sauvegardes avant l’envoi sur le serveur ftp ?

Le serveur est dans un datacenter est-il possible de chiffrer le disque dur, partition ou home ?

Je me suis amusé à taper yunohost sur shodan. Je vois 2500 machines qui sont équipé de yunohost comment supprimer le 37.1X7.X.1X0/ yunohost /admin qui est dans l’url ?

La sauvegarde et la sécurité sont deux choses essentiels qui m’empèche pour l’instant de sauter complètement le pas.

Merci de votre aide :slight_smile:

Bonjour, et bienvenue dans l’aventure !

Il y a une page de documentation sur les sauvegardes qui, je crois, couvre tes questions.

Quant au chiffrage, ce fil te renvoie à quelques pistes (en somme, YunoHost ne le gère pas mais s’en conviendrait bien en théorie).

Quant à la sécurité par obfuscation, je ne sais pas. Je crains que tout soit hardcodé. Mais peut-être qu’une règle Nginx bloquant tout accès hors de ton réseau local pourrait marcher ?

Bonjour,
Tu peux bloquer l’accès à la webadmin depuis l’extérieur en ajoutant dans la section location ces 2 lignes aux fichiers /etc/nginx/conf.d/yunohost_admin.conf.inc et /etc/nginx/conf.d/yunohost_api.conf.inc:

allow 192.168.0.0/24;
deny all;

N’oublie pas d’adapter l’adresse à ton réseau local.

Pour la sauvegarde, Borg permet des sauvegardes chiffrées incrémentales. J’utilise 2 scripts et une tâche cron pour effectuer celles-ci mais il existe maintenant une application Borg dans Yunohost, je suppose qu’elle remplit le même rôle.

La bienvenue @RE4VEN :slight_smile:

En plus de bloquer l’accès à l’administration web depuis Nginx, tu peux aussi configurer Fail2ban pour être très strict sur les tentatives de connexion extérieures, notamment en SSH. Par exemple en bloquant l’IP 15min dès 3 mots de passes erronés. Ou mieux, utiliser une clé pour se connecter, pas le mot de passe (la documentation en parle).
(désolé je peux pas décrire ça pas à pas)

il existe maintenant une application Borg dans Yunohost, je suppose qu’elle remplit le même rôle.

Ici : https://github.com/YunoHost-Apps/borg_ynh
(y’a aussi une version serveur pour recevoir les fichiers)

Pour info, pour faire des sauvegardes automatiquement: https://github.com/YunoHost-Apps/archivist_ynh
Le ftp est supporté je crois.

Merci pour vos réponses je vais supprimer le panel admin et le rendre disponible uniquement en local (option non compatible avec un vps ? ), je ne suis pas encore sûr entre le vps ou le raspberry, je suis en pleine phase d’expérimentation avec le raspberry pi 2 qui gère mon imprimante 3d car j’ai un raspberry pi 4 mais il n’est pas encore compatible. Quand debian 10 va être dispo je pourrais installer yunohost dessus et avoir un pi 2 de secours au cas ou (redondance :slight_smile:).
Le problème c’est que je suis chez Orange et j’ai eu beau configurer le pare-feu et suivre le tuto pour passer par les serveurs orange mais impossible envoyer un email (et qu’Orange puisse lire mes mail je ne suis pas fan non plus). Je vais tester l’option du VPN entre le raspberry et mon vps. J’ai vu qu’openvpn est compatible mais pas wireguard. J’utilise actuelement wireguard mais il n’est pas disponible sur yunohost. Est ce recommandé d’installer une appli qui n’est pas compatible avec yunohost ?

Hello,

Pour la sauvegarde j’avais proposé un script cron de sauvegarde qui tourne quotidiennement chez moi et marche bien.

Pour l’interface d’admin, je fais tout en SSH, que je trouve plus rapide. J’ai désactivé l’API.