Ubuntu-fr

Titi04

Gestion globale : sécurité, backup, etc

Bonjour,

Avec une asso on dispose d'un serveur sous ubuntu 18.04 sur lequel il y a plusieurs choses :

- 1 instance nextcloud,
- 1 site wordpress,
- 1 site fait maison (ultra léger)

Ce serveur à pour vocation à accueillir plus de sites distincts et une plus grande utilisation de Nextcloud. Avant que tout ceci se développe, je souhaite faire en sorte d'avoir le serveur le mieux configuré possible. J'ai donc plusieurs point à aborder.

1- La sécurité :
C'est une installation web classique avec apache et phpmyadmin. Les connexions au serveur se font en ssh et fail2ban est installé. J'ai modifié les paramètres de ce dernier pour avoir ceci :

bantime  = 24h
findtime  = 60m
maxretry = 3

Niveau fonctionnement, l'accès via bash n'est possible que pour le root. Chaque site, correspond à un utilisateur sur le serveur configuré comme indiqué ici : https://forum.ubuntu-fr.org/viewtopic.php?id=2047402

Pour se connecter à la base de données des identifiants distinct sont créés et configurés de cette manière :

GRANT USAGE ON *.* TO 'XXXXX'@'localhost' IDENTIFIED BY PASSWORD 'XXXXXXX'
GRANT SELECT, INSERT, UPDATE, DELETE ON `XXXXXXX`.* TO 'XXXXXX'@'localhost'  

Niveau sécurité j'aimerai savoir si vous avez des recommandations, des conseils particuliers, des choses à me faire checker pour voir si tout est en ordre. Pour info le serveur tourne depuis juin de l'année dernière et la commande

fail2ban-client status sshd

Me retourne ceci :

Status for the jail: sshd
|- Filter
|  |- Currently failed: 6
|  |- Total failed:     9297
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 53
   |- Total banned:     837

2- Les sauvegardes :

Si nous accueillons plusieurs sites qui ne sont pas les notres et que des utilisateurs externes utilisent notre cloud nous nous devons encore plus de faire des sauvegardes régulières. Nous n'avons qu'un serveur ce qui n'est pas l'idéal mais c'est c'est notre contrainte. A partir de cela j'aimerai connaître vos recommandations sur la mise en place d'un système de backup sachant que notre disque est occupé à environ 120/130Go et qu'il a une capacité totale de 2To.

3- Nextcloud :

Sur notre instance Nextcloud nous avons installé collabora qui manque de fluidité. Connaissez-vous les ressources nécessaires à son bon fonctionnement ? Cela dépend bien entendu du nombre d'utilisation mais c'est pour savoir ce qu'il faudrait car notre serveur n'est pas très puissant. Nous l'avons pris avant tout pour sa capacité de stockage. Ces caractéristiques sont les suivantes :

Intel  Atom N2800 	2c/4t 	1,86GHz 	4Go DDR3 1066 MHz

Je vous remercie par avance pour toutes vos réponses :-)

Dernière modification par Titi04 (Le 27/01/2020, à 18:36)

bruno

Re : Gestion globale : sécurité, backup, etc

Bonjour,

Je ne considère pas fail2ban comme un outil de sécurité à proprement parler. Cela permet juste de ne pas encombrer les logs avec les attaques par force brute et de limiter le nombre de connexion inutiles.
Pour la sécurité il faut en premier lieu se concentrer sur la sécurité des services actifs.

Pour les sauvegardes il faut au moins une copie quotidienne des données sur une autre machine. Idéalement une seconde copie dans un autre lieu.

Le processeur est trop léger pour faire tourner Collabora de manière fluide.

Titi04

Re : Gestion globale : sécurité, backup, etc

Salut merci pour ce premier retour.

Concernant les connexions ssh est-ce que tu penses que c'est nécessaire de changer le port par défaut ? Est-ce que tu pourrais détailler les vigilances à avoir sur les serveurs ? Il y a de la doc ubuntu en français à ce sujet ?

Pour les sauvegardes, à défaut d'avoir la possibilité d'en faire un autre serveur est-ce qu'on ne pourrait pas partitionner notre disque ? Ca serait mieux que rien non ?

A propos de collabora, c'est ce que je pensais. Est-ce que tu connais la conf minimale requise ? Je ne l'ai pas trouvé.

bruno

Re : Gestion globale : sécurité, backup, etc

Pour le SSH, changer le port par défaut peut être contre productif. Je l'ai déjà expliqué mais je ne retrouve plus le fil. Il suffit de n'autoriser les connexions shell que par clé et avoir des mots de passe solides pour les utilisateurs SFTP.

Pour les autres services, c'est au cas par cas et suivant les usages. De manière générale :
- il faut apporte le plus grand soin à la configuration
- avoir les droits d'accès strictement suffisants sur les fichiers et dossiers
- séparer les privilèges : avoir des utilisateurs différents pour chaque site web hébergé, par exemple
- utiliser des protocoles sécurisés pour tout avec TLS : HTTPS, SFTP, SMTPS, IMAPS, POP3S, etc.
- ne pas laisser tourner des services inutiles et n'installer que le strict nécessaire
- ne pas utiliser d'applications en dehors des dépôts officiels dans la mesure du possible : failles de sécurité et complication des mises à jour
- se concentrer sur la sécurité du maillon le plus faible dans une pile logicielle : par exemple ton Wordpress dans la pile LAMP
- faire les mises à jour de sécurité dès qu'elles sont publiées
- utiliser des outils de surveillance (monitoring)
etc.
etc.
La sécurité c'est un travail de tous les instants et cela ne s'improvise pas à coup de « tutoriels ». Il faut lire les docs officielles, les sites spécialisés, faire de la veille technologique, …

Une sauvegarde sur le même disque ce n'est pas une sauvegarde, c'est juste une copie inutile. Si ton disque lâche, tu perds tout.

Pour Collabora, il n'y a pas de configuration minimale à ma connaissance. Je pense que cla peut tourner sur un RaspberryPi, mais ce ne sera pas fluide. Pour plus de fluidité il faut un processeur plus performant (AMD Opteron ou plus). Après tout dépend du nombre d'utilisateur de la charge et de l'optimisation du serveur.

xubu1957

Re : Gestion globale : sécurité, backup, etc

Bonjour,

@bruno

Pour le SSH, changer le port par défaut peut être contre productif. Je l'ai déjà expliqué mais je ne retrouve plus le fil

Ce message ? > changer port 22 ssh

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

bruno

Re : Gestion globale : sécurité, backup, etc

Un grand merci à xubu1957 archéologue en chef du forum

xubu1957

Re : Gestion globale : sécurité, backup, etc

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Titi04

Re : Gestion globale : sécurité, backup, etc

Merci pour toutes ces infos.

• Pour les droits je pense que c'est bon

• Utilisateurs différents c'est bo

• SFTP et HTTPS aussi

• Pour les services là ... je sais pas trop. Je mets un retour de commande plus bas

• Tout vient des dépôts officiels sauf pour Nextcloud et Collabora

• Wordpress ce n'est pas moi qui le gère mais il doit être tenu à jour

• Les mises à jour sont faites régulièrement

• Monitoring : c'est à faire

Concernant la sauvegarde sur le même on est bien d'accord que si le DD pète qu'on perd tout mais là ce n'est pas l'hébergeur qui doit restaurer ? Nous n'avons pas de second serveur pour faire des sauvegardes.

C'est bien noté pour le processeur et pour les arguments concernant le port ssh.

Je reviens aux services. Voici ceux que j'ai sur le serveur :

~# service --status-all
 [ + ]  apache2
 [ + ]  apache-htcacheclean
 [ - ]  apparmor
 [ + ]  bind9
 [ - ]  cgroupfs-mount
 [ - ]  console-setup.sh
 [ + ]  cron
 [ + ]  dbus
 [ + ]  docker
 [ + ]  fail2ban
 [ + ]  grub-common
 [ + ]  hddtemp
 [ - ]  hwclock.sh
 [ - ]  ipmievd
 [ + ]  irqbalance
 [ - ]  keyboard-setup.dpkg-bak
 [ - ]  keyboard-setup.sh
 [ - ]  kmod
 [ - ]  lvm2
 [ + ]  lvm2-lvmetad
 [ + ]  lvm2-lvmpolld
 [ - ]  mdadm
 [ - ]  mdadm-waitidle
 [ + ]  mysql
 [ + ]  networking
 [ + ]  postfix
 [ + ]  procps
 [ - ]  rsync
 [ + ]  rsyslog
 [ + ]  saslauthd
 [ - ]  screen-cleanup
 [ + ]  smartmontools
 [ + ]  ssh
 [ + ]  ubuntu-fan
 [ + ]  udev

Vous voyez quelques choses qui ne devrait pas y être ?

Dernière modification par Titi04 (Le 24/01/2020, à 22:09)

bruno

Re : Gestion globale : sécurité, backup, etc

C'est ton serveur, c'est toi qui sait ce qui est utile ou pas

Tu n'as peut-être pas de second serveur pour les sauvegardes mais tu un une connexion à l'Internet. Tu peux donc faire une sauvegarde chez toi et dans l'idéal une autre chez une tierce personne.

Titi04

Re : Gestion globale : sécurité, backup, etc

J'ai réordonné un peu le serveur car nous utilisions des méthodes différentes pour gérer nos sites et les sites des autres. Ainsi on pourra faire les sauvegardes des données de manières plus simple que si tout est éparpillé. Dans la foulé je me suis dis autant ajouter à ce regroupement les bases de données.

Cependant je n'y arrive pas, au départ je pensais qu'en déplaçant le dossier /var/lib/mysql et en mettant un lien symbolique que cela fonctionnerait mais ce n'était pas le cas. J'ai essayé différentes choses qui font que le redémarrage de mysql ne passait pas. En cherchant un peu je suis tombé sur plusieurs choses proches de la seconde partie de ce qui est indiqué ici : https://doc.ubuntu-fr.org/utilisateurs/ … ql_astuces

Mais cette page et les résultats de mes recherches n'étaient pas trop récent. Qu'est-ce qu'il faudrait faire différemment que ce qui est indiqué dans la seconde partie du tuto dont j'ai donné le lien ?

EDIT :

Avec les logs c'est peut-être mieux :-)

2020-01-25 16:18:27 139710468783232 [Note] InnoDB: Restoring possible half-written data pages from the doublewrite buffer...
2020-01-25 16:18:27 139710468783232 [Note] InnoDB: 128 rollback segment(s) are active.
2020-01-25 16:18:27 139710468783232 [Note] InnoDB: Waiting for purge to start
2020-01-25 16:18:27 139710468783232 [Note] InnoDB:  Percona XtraDB (http://www.percona.com) 5.6.45-86.1 started; log sequence number 9822697732
2020-01-25 16:18:27 139709795792640 [Note] InnoDB: Dumping buffer pool(s) not yet started
2020-01-25 16:18:27 139710468783232 [Note] Plugin 'FEEDBACK' is disabled.
2020-01-25 16:18:27 139710468783232 [Note] Recovering after a crash using tc.log
2020-01-25 16:18:27 139710468783232 [Note] Starting crash recovery...
2020-01-25 16:18:27 139710468783232 [Note] Crash recovery finished.
2020-01-25 16:18:27 139710468783232 [Note] Server socket created on IP: '127.0.0.1'.
2020-01-25 16:18:27 139710468783232 [ERROR] mysqld: Table './mysql/user' is marked as crashed and should be repaired
2020-01-25 16:18:27 139710468783232 [Warning] Checking table:   './mysql/user'
2020-01-25 16:18:27 139710468783232 [ERROR] mysql.user: 1 client is using or hasn't closed the table properly
2020-01-25 16:18:27 139710468783232 [ERROR] mysqld: Table './mysql/db' is marked as crashed and should be repaired
2020-01-25 16:18:27 139710468783232 [Warning] Checking table:   './mysql/db'
2020-01-25 16:18:27 139710468783232 [ERROR] mysql.db: 1 client is using or hasn't closed the table properly
2020-01-25 16:18:27 139710468783232 [Note] /usr/sbin/mysqld: ready for connections.

Dernière modification par Titi04 (Le 25/01/2020, à 17:33)

bruno

Re : Gestion globale : sécurité, backup, etc

Je ne vois pas l’intérêt de déplacer le dossier de stockage de MySQL. C'est une opération très délicate et cela peut compliquer la maintenance du système : ajustement du profil apparmor, des fichiers de configuration et éventuels scripts de maintenance ou de sauvegarde.

J'espère que tu as fait une sauvegarde de toutes tes bases de données avant…

Avec ce type d'erreur :

2020-01-25 16:18:27 139710468783232 [ERROR] mysql.user: 1 client is using or hasn't closed the table properly

qui signifie que la table en question est corrompue tu sera peut-être obligé de repartir à zéro et de restaurer tes bases à partir des sauvegardes. Sionon tu peux essayer la procédure de la doc MySQL : https://dev.mysql.com/doc/refman/5.7/en … overy.html. Cette procédure consiste à démarrer le serveur MySQL avec l'option innodb_force_recovery = 1, faire une copie (dump) de chaque table signalée comme corrompue, redémarrer en mode normal et restaurer les tables avec les copies précedemment obtenues.

Titi04

Re : Gestion globale : sécurité, backup, etc

Merci pour ton retour. Concernant l'erreur, je pense qu'elle était due à ma tentative de déplacement (j'avais bien copié les dossiers avant). Je viens de faire de redémarrer le service pour avoir des logs frais et je n'ai pas de trace de cette erreur. Je vais donc voir pour faire une copie régulière des bases de données dans le /home pour qu'elles soient sauvegardée en même temps de que le reste.

Sinon j'ai lancé une première sauvegarde du serveur sur mon PC - à défaut de mieux - avec grsync. Il me restera à voir pour la planifier régulièrement.

bruno

Re : Gestion globale : sécurité, backup, etc

Je vais donc voir pour faire une copie régulière des bases de données dans le /home pour qu'elles soient sauvegardée en même temps de que le reste..

Attention une copie de /var/lib/mysql n'est pas une sauvegarde des bases de données. Les sauvegardes se font en faisant un « dump » au format SQL de chaque base. Cela se fait avec mysqldump ou des scripts permettant d'automatiser les sauvegardes comme automysqlbackup.

Titi04

Re : Gestion globale : sécurité, backup, etc

Pour automysqlbackup c'est fait. J'ai également créé des utilisateurs pour les sauvegardes. Je les ai mis dans le groupe www-data.

Titi04

Re : Gestion globale : sécurité, backup, etc

Le serveur commnce à servir et c'est là que l'on voit les subtilités. J'ai installé un site wordpres pour bien fonctionner les fichiers doivent être à l'utilisateur www:data . Le problème est que via un accès sftp avec les droits qui ont été défini (cf premier message) on ne peut pas supprimer des fichiers par exemple. En effet via le ftp mes utilisateurs sont user:groupe_restreint

Par défaut wordpress met les droits en 644. Je me suis dis que je pouvais passer en 664 et ajouter au groupe www-data mes utilisateurs sauf que cela ne semble pas fonctionner.

J'ai ajouté mon utilisateur au groupe de cette manière :

usermod user -a -G www-data

Le fichier de test est :

-rw-rw-r-- 1 www-data www-data 420 janv. 27 16:25 index2.php

En cas d'upload via ftp les fichiers appartiennent à user:groupe_restreint.  Quelle est donc la démarche pour que wordpress puisse fonctionner correctement tout en ayant un accès ftp permettant les modifications ? J'avoue que là je me fais des noeuds au cerveau.

Titi04

Re : Gestion globale : sécurité, backup, etc

J'ajoute une question sur les crons. Dans crontab j'ai :

23 03   * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Cela signifie qu'il s'exécute à 3h23 tous les jours.

Dans le dossier correspondant j'ai :

cron.daily# ls
apache2  apt-compat  automysqlbackup  bsdmainutils  dpkg  logrotate  man-db  mdadm  passwd  update-notifier-common

Au vu de ceci je peux mettre l'heure que je souhaite nous sommes bien d'accord ? J'aimerai changer l'heure pour que le cron de la sauvegarde de la DB passe un peu avant que je lance la sauvegarde du serveur le soir.

Titi04

Re : Gestion globale : sécurité, backup, etc

Cette histoire que wordpress compare pour les mises à jour qui exécute et qui est propriétaire des fichiers m'embête vraiment car je n'arrive pas à m'en dépatouiller.

Si je mets les dossiers et fichiers à user:groupe_restreint wordpress demande l'accès ftp en cas de mise à jour ce qui n'est vraiment pas pratique.  J'ai fait plusieurs tests tous infructueux

J'ai également une nouvelle question concernant nextcloud. J'ai fait la mise à jour vers la version 18. Il indique qu'il est possible d'avoir un outil d'édition en ligne via une installation bien plus simple qu'auparavant (sans utilisation de docker) avec onlyoffice. Via l'interface de nextcloud j'ai donc téléchargé onlyoffice. Lorsque je souhaite valider les paramètres du serveur j'obtiens cette erreur :

Erreur durant la tentative de connexion (Bad healthcheck status)

En cherchant un peu j'ai cru comprendre que cela peut être résolu en ajoutant dans le fichier config.php de nextcloud :

array('verify_peer_off' => true)

C'est ce que j'ai fait cependant le problème persiste. Savez-vous ce qu'il faudrait que je fasse pour que cela soit fonctionnel ?

Dernière modification par Titi04 (Le 31/01/2020, à 11:00)

Dafyd

Re : Gestion globale : sécurité, backup, etc

Bonjour, pour la sécurisation ceci est un bon point de départ :

https://www.ssi.gouv.fr/guide/recommand … -gnulinux/

Titi04

Re : Gestion globale : sécurité, backup, etc

Piouf 64 pages je vais lire ça en 5 minutes xD

Concernant les droits je regarde ce qui est indiqué ici : https://doc.ubuntu-fr.org/apache2#permissions dans ce que je veux faire si je résume :

- utilisateur dans groupe restreint pour chrooter
- utilisateur dans groupe www-data pour pour l'exécution du site

Sans travailler plus que ça les droits et en restant en 755 wordpress n'aime pas trop ça pour les mises à jour car l'utilisateur qui exécute n'est pas www-data. Comment faire donc pour allier bonne pratique et bon fonctionnement ?

Pour les transferts ftp afin qu'ils se fassent en étant user:www-data il faudrait que le groupe primaire de mon utilisateur soit www-data hors cela n'est pas compatible avec la connexion ftp. Dans ce cas est-ce que ça serait une bonne pratique de n'avoir qu'un seul groupe et donc dans la configuration ssh d'utiliser www-data et non plus groupe_restreint ?

Dernière modification par Titi04 (Le 31/01/2020, à 08:35)

bruno

Re : Gestion globale : sécurité, backup, etc

Une question un fil de de discussion STP.

Je donne quand même une ou deux indications :
Dans la cas d'un hébergement multisite, avec probablement plusieurs utilisateurs, le mieux est d'utiliser PHP-FPM avec des pools et un utilisateur différent pour chaque site. C'est une configuration un peu plus complexe qu'avec le module PHP d'Apache mais c'est plus sécurisé et plus performant.
Si tu n'en pas la possibilité il faut que les utilisateurs SFTP aient pour groupe principal www-data avec un mask en 002. Ainsi les fichiers crées auront comme droits d'accès (x pour les dossiers):
toto www-data rw(x)rw(x)--- ou www-data www-data rw(x)rw(x)---
et seront donc accessibles en écriture à www-data. Ce n'est pas la configuration la plus sécurisée mais c'est suffisant si les utilisateurs sont bien confinés dans leur dossier et les applis web sécurisées (faille d'upload, injection de code, etc.)

Dernière modification par bruno (Le 31/01/2020, à 09:43)

Titi04

Re : Gestion globale : sécurité, backup, etc

J'aimais bien l'idée d'avoir un sujet global sur la gestion mais d'accord je vais découper en plusieurs sujets. On va dire que l'on continu sur celui-ce pour les droits. J'en ferai un autre concernant mon problème avec nextcloud.

J'ai commencé à regarder ce que ça dit du côté de php-fpm que je ne connais pas du tout. Si je comprends bien on donc indiquer qui exécute le site, ce qui pourrait donc résoudre le soucis que je rencontre avec wordpress. C'est du moins ce que je comprends via ce tuto : https://www.webmestre101.com/ubuntu-apache-php-fpm/
Au travers de ces lignes :

; Unix user/group of processes 
; Note: The user is mandatory. If the group is not set, the default user's group 
;       will be used. 
user = webmestre101 
group = webmestre101 

Là encore si j'ai bien compris ton explication sur les groupes et avec le mask c'est ce que j'essaie de faire sur un des sites ayant wordpress mais qui ne convient pas.

C'est un vrai casse-tête je trouve tout ça. Mais très intéressant j'ai déjà appris beaucoup de chose.

Titi04

Re : Gestion globale : sécurité, backup, etc

Salut, je viens de commencer à regarder un peu plus en détail comment mettre en place php-fpm. Je tombe sur des configurations différentes sans que je comprenne suffisamment pour savoir laquelle je dois privilégier.

Ce site donne par exemple cette configuration :

<IfModule proxy_fcgi_module> 
   # Enable http authorization headers 
   <IfModule setenvif_module> 
   SetEnvIfNoCase ^Authorization$ "(.+)" HTTP_AUTHORIZATION=$1 
   </IfModule> 
   <FilesMatch ".+\.ph(ar|p|tml)$"> 
       SetHandler "proxy:unix:/run/php/php7.2-fpm.sock|fcgi://localhost" 
   </FilesMatch> 
   <FilesMatch ".+\.phps$"> 
       # Deny access to raw php sources by default 
       # To re-enable it's recommended to enable access to the files 
       # only in specific virtual host or directory 
       Require all denied 
   </FilesMatch> 
   # Deny access to files without filename (e.g. '.php') 
   <FilesMatch "^\.ph(ar|p|ps|tml)$"> 
       Require all denied 
   </FilesMatch> 
</IfModule>

Tandis que celui-ci (donne celle-ci :

<FilesMatch ".php$"> 
         SetHandler "proxy:unix:/var/run/php/php7.4-fpm.sock|fcgi://localhost/"          
      </FilesMatch>

La version simple me donne : Internal Serveur Error tandis que la version plus complexe ne semble pas donner d'erreur mais le "serveur API" est toujours à "Apache 2.0 Handler"

Je fais le test sur un site dont le fichier de configuration de base est celui-ci :

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName XXX
        ServerAlias XXX
        DocumentRoot "/var/www/site/"
        <Directory "/var/www/site">
                Options +FollowSymLinks
                AllowOverride all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error.site.log
        CustomLog /var/log/apache2/access.site.log combined

Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/XXX/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/XXXprivkey.pem
</VirtualHost>
</IfModule>

Vous avez une idée de résolution ?

bruno

Re : Gestion globale : sécurité, backup, etc

Ouvre un fil spécifique STP.
Il faut que les utilisateurs du forum puisent trouver les solutions problème par problème. Si c'est noyé dans une discussion généraliste qui aborde 10 problèmes différents, la solution ne profitera à personne.