Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Gestion globale : sécurité, backup, etc

Titi04

Bonjour,

Avec une asso on dispose d'un serveur sous ubuntu 18.04 sur lequel il y a plusieurs choses :

- 1 instance nextcloud,
- 1 site wordpress,
- 1 site fait maison (ultra léger)

Ce serveur à pour vocation à accueillir plus de sites distincts et une plus grande utilisation de Nextcloud. Avant que tout ceci se développe, je souhaite faire en sorte d'avoir le serveur le mieux configuré possible. J'ai donc plusieurs point à aborder.

1- La sécurité :
C'est une installation web classique avec apache et phpmyadmin. Les connexions au serveur se font en ssh et fail2ban est installé. J'ai modifié les paramètres de ce dernier pour avoir ceci :

bantime  = 24h
findtime  = 60m
maxretry = 3

Niveau fonctionnement, l'accès via bash n'est possible que pour le root. Chaque site, correspond à un utilisateur sur le serveur configuré comme indiqué ici : https://forum.ubuntu-fr.org/viewtopic.php?id=2047402

Pour se connecter à la base de données des identifiants distinct sont créés et configurés de cette manière :

GRANT USAGE ON *.* TO 'XXXXX'@'localhost' IDENTIFIED BY PASSWORD 'XXXXXXX'
GRANT SELECT, INSERT, UPDATE, DELETE ON `XXXXXXX`.* TO 'XXXXXX'@'localhost'

Niveau sécurité j'aimerai savoir si vous avez des recommandations, des conseils particuliers, des choses à me faire checker pour voir si tout est en ordre. Pour info le serveur tourne depuis juin de l'année dernière et la commande

fail2ban-client status sshd

Me retourne ceci :

Status for the jail: sshd
|- Filter
|  |- Currently failed: 6
|  |- Total failed:     9297
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 53
   |- Total banned:     837

2- Les sauvegardes :

Si nous accueillons plusieurs sites qui ne sont pas les notres et que des utilisateurs externes utilisent notre cloud nous nous devons encore plus de faire des sauvegardes régulières. Nous n'avons qu'un serveur ce qui n'est pas l'idéal mais c'est c'est notre contrainte. A partir de cela j'aimerai connaître vos recommandations sur la mise en place d'un système de backup sachant que notre disque est occupé à environ 120/130Go et qu'il a une capacité totale de 2To.

3- Nextcloud :

Sur notre instance Nextcloud nous avons installé collabora qui manque de fluidité. Connaissez-vous les ressources nécessaires à son bon fonctionnement ? Cela dépend bien entendu du nombre d'utilisation mais c'est pour savoir ce qu'il faudrait car notre serveur n'est pas très puissant. Nous l'avons pris avant tout pour sa capacité de stockage. Ces caractéristiques sont les suivantes :

Intel  Atom N2800 	2c/4t 	1,86GHz 	4Go DDR3 1066 MHz

Je vous remercie par avance pour toutes vos réponses :-)

bruno

Bonjour,

Je ne considère pas fail2ban comme un outil de sécurité à proprement parler. Cela permet juste de ne pas encombrer les logs avec les attaques par force brute et de limiter le nombre de connexion inutiles.
Pour la sécurité il faut en premier lieu se concentrer sur la sécurité des services actifs.

Pour les sauvegardes il faut au moins une copie quotidienne des données sur une autre machine. Idéalement une seconde copie dans un autre lieu.

Le processeur est trop léger pour faire tourner Collabora de manière fluide.

Titi04

Salut merci pour ce premier retour.

Concernant les connexions ssh est-ce que tu penses que c'est nécessaire de changer le port par défaut ? Est-ce que tu pourrais détailler les vigilances à avoir sur les serveurs ? Il y a de la doc ubuntu en français à ce sujet ?

Pour les sauvegardes, à défaut d'avoir la possibilité d'en faire un autre serveur est-ce qu'on ne pourrait pas partitionner notre disque ? Ca serait mieux que rien non ?

A propos de collabora, c'est ce que je pensais. Est-ce que tu connais la conf minimale requise ? Je ne l'ai pas trouvé.

bruno

Pour le SSH, changer le port par défaut peut être contre productif. Je l'ai déjà expliqué mais je ne retrouve plus le fil. Il suffit de n'autoriser les connexions shell que par clé et avoir des mots de passe solides pour les utilisateurs SFTP.

Pour les autres services, c'est au cas par cas et suivant les usages. De manière générale :
- il faut apporte le plus grand soin à la configuration
- avoir les droits d'accès strictement suffisants sur les fichiers et dossiers
- séparer les privilèges : avoir des utilisateurs différents pour chaque site web hébergé, par exemple
- utiliser des protocoles sécurisés pour tout avec TLS : HTTPS, SFTP, SMTPS, IMAPS, POP3S, etc.
- ne pas laisser tourner des services inutiles et n'installer que le strict nécessaire
- ne pas utiliser d'applications en dehors des dépôts officiels dans la mesure du possible : failles de sécurité et complication des mises à jour
- se concentrer sur la sécurité du maillon le plus faible dans une pile logicielle : par exemple ton Wordpress dans la pile LAMP
- faire les mises à jour de sécurité dès qu'elles sont publiées
- utiliser des outils de surveillance (monitoring)
etc.
etc.
La sécurité c'est un travail de tous les instants et cela ne s'improvise pas à coup de « tutoriels ». Il faut lire les docs officielles, les sites spécialisés, faire de la veille technologique, …

Une sauvegarde sur le même disque ce n'est pas une sauvegarde, c'est juste une copie inutile. Si ton disque lâche, tu perds tout.

Pour Collabora, il n'y a pas de configuration minimale à ma connaissance. Je pense que cla peut tourner sur un RaspberryPi, mais ce ne sera pas fluide. Pour plus de fluidité il faut un processeur plus performant (AMD Opteron ou plus). Après tout dépend du nombre d'utilisateur de la charge et de l'optimisation du serveur.

xubu1957

Bonjour,

@bruno

bruno a écritPour le SSH, changer le port par défaut peut être contre productif. Je l'ai déjà expliqué mais je ne retrouve plus le fil

Ce message ? > changer port 22 ssh

bruno

Un grand merci à xubu1957 archéologue en chef du forum 😉

xubu1957

🙂

Titi04

Merci pour toutes ces infos.

Pour les droits je pense que c'est bon
Utilisateurs différents c'est bo
SFTP et HTTPS aussi
Pour les services là ... je sais pas trop. Je mets un retour de commande plus bas
Tout vient des dépôts officiels sauf pour Nextcloud et Collabora
Wordpress ce n'est pas moi qui le gère mais il doit être tenu à jour
Les mises à jour sont faites régulièrement
Monitoring : c'est à faire

Concernant la sauvegarde sur le même on est bien d'accord que si le DD pète qu'on perd tout mais là ce n'est pas l'hébergeur qui doit restaurer ? Nous n'avons pas de second serveur pour faire des sauvegardes.

C'est bien noté pour le processeur et pour les arguments concernant le port ssh.

Je reviens aux services. Voici ceux que j'ai sur le serveur :

~# service --status-all
 [ + ]  apache2
 [ + ]  apache-htcacheclean
 [ - ]  apparmor
 [ + ]  bind9
 [ - ]  cgroupfs-mount
 [ - ]  console-setup.sh
 [ + ]  cron
 [ + ]  dbus
 [ + ]  docker
 [ + ]  fail2ban
 [ + ]  grub-common
 [ + ]  hddtemp
 [ - ]  hwclock.sh
 [ - ]  ipmievd
 [ + ]  irqbalance
 [ - ]  keyboard-setup.dpkg-bak
 [ - ]  keyboard-setup.sh
 [ - ]  kmod
 [ - ]  lvm2
 [ + ]  lvm2-lvmetad
 [ + ]  lvm2-lvmpolld
 [ - ]  mdadm
 [ - ]  mdadm-waitidle
 [ + ]  mysql
 [ + ]  networking
 [ + ]  postfix
 [ + ]  procps
 [ - ]  rsync
 [ + ]  rsyslog
 [ + ]  saslauthd
 [ - ]  screen-cleanup
 [ + ]  smartmontools
 [ + ]  ssh
 [ + ]  ubuntu-fan
 [ + ]  udev

Vous voyez quelques choses qui ne devrait pas y être ?

bruno

C'est ton serveur, c'est toi qui sait ce qui est utile ou pas 😉

Tu n'as peut-être pas de second serveur pour les sauvegardes mais tu un une connexion à l'Internet. Tu peux donc faire une sauvegarde chez toi et dans l'idéal une autre chez une tierce personne.

Titi04

J'ai réordonné un peu le serveur car nous utilisions des méthodes différentes pour gérer nos sites et les sites des autres. Ainsi on pourra faire les sauvegardes des données de manières plus simple que si tout est éparpillé. Dans la foulé je me suis dis autant ajouter à ce regroupement les bases de données.

Cependant je n'y arrive pas, au départ je pensais qu'en déplaçant le dossier /var/lib/mysql et en mettant un lien symbolique que cela fonctionnerait mais ce n'était pas le cas. J'ai essayé différentes choses qui font que le redémarrage de mysql ne passait pas. En cherchant un peu je suis tombé sur plusieurs choses proches de la seconde partie de ce qui est indiqué ici : https://doc.ubuntu-fr.org/utilisateurs/mcpeter/mysql_astuces

Mais cette page et les résultats de mes recherches n'étaient pas trop récent. Qu'est-ce qu'il faudrait faire différemment que ce qui est indiqué dans la seconde partie du tuto dont j'ai donné le lien ?

EDIT :

Avec les logs c'est peut-être mieux :-)

2020-01-25 16:18:27 139710468783232 [Note] InnoDB: Restoring possible half-written data pages from the doublewrite buffer...
2020-01-25 16:18:27 139710468783232 [Note] InnoDB: 128 rollback segment(s) are active.
2020-01-25 16:18:27 139710468783232 [Note] InnoDB: Waiting for purge to start
2020-01-25 16:18:27 139710468783232 [Note] InnoDB:  Percona XtraDB (http://www.percona.com) 5.6.45-86.1 started; log sequence number 9822697732
2020-01-25 16:18:27 139709795792640 [Note] InnoDB: Dumping buffer pool(s) not yet started
2020-01-25 16:18:27 139710468783232 [Note] Plugin 'FEEDBACK' is disabled.
2020-01-25 16:18:27 139710468783232 [Note] Recovering after a crash using tc.log
2020-01-25 16:18:27 139710468783232 [Note] Starting crash recovery...
2020-01-25 16:18:27 139710468783232 [Note] Crash recovery finished.
2020-01-25 16:18:27 139710468783232 [Note] Server socket created on IP: '127.0.0.1'.
2020-01-25 16:18:27 139710468783232 [ERROR] mysqld: Table './mysql/user' is marked as crashed and should be repaired
2020-01-25 16:18:27 139710468783232 [Warning] Checking table:   './mysql/user'
2020-01-25 16:18:27 139710468783232 [ERROR] mysql.user: 1 client is using or hasn't closed the table properly
2020-01-25 16:18:27 139710468783232 [ERROR] mysqld: Table './mysql/db' is marked as crashed and should be repaired
2020-01-25 16:18:27 139710468783232 [Warning] Checking table:   './mysql/db'
2020-01-25 16:18:27 139710468783232 [ERROR] mysql.db: 1 client is using or hasn't closed the table properly
2020-01-25 16:18:27 139710468783232 [Note] /usr/sbin/mysqld: ready for connections.

bruno

Je ne vois pas l’intérêt de déplacer le dossier de stockage de MySQL. C'est une opération très délicate et cela peut compliquer la maintenance du système : ajustement du profil apparmor, des fichiers de configuration et éventuels scripts de maintenance ou de sauvegarde.

J'espère que tu as fait une sauvegarde de toutes tes bases de données avant…

Avec ce type d'erreur :

2020-01-25 16:18:27 139710468783232 [ERROR] mysql.user: 1 client is using or hasn't closed the table properly

qui signifie que la table en question est corrompue tu sera peut-être obligé de repartir à zéro et de restaurer tes bases à partir des sauvegardes. Sionon tu peux essayer la procédure de la doc MySQL : https://dev.mysql.com/doc/refman/5.7/en/forcing-innodb-recovery.html. Cette procédure consiste à démarrer le serveur MySQL avec l'option innodb_force_recovery = 1, faire une copie (dump) de chaque table signalée comme corrompue, redémarrer en mode normal et restaurer les tables avec les copies précedemment obtenues.

Titi04

Merci pour ton retour. Concernant l'erreur, je pense qu'elle était due à ma tentative de déplacement (j'avais bien copié les dossiers avant). Je viens de faire de redémarrer le service pour avoir des logs frais et je n'ai pas de trace de cette erreur. Je vais donc voir pour faire une copie régulière des bases de données dans le /home pour qu'elles soient sauvegardée en même temps de que le reste.

Sinon j'ai lancé une première sauvegarde du serveur sur mon PC - à défaut de mieux - avec grsync. Il me restera à voir pour la planifier régulièrement.

bruno

Titi04 a écritJe vais donc voir pour faire une copie régulière des bases de données dans le /home pour qu'elles soient sauvegardée en même temps de que le reste..

Attention une copie de /var/lib/mysql n'est pas une sauvegarde des bases de données. Les sauvegardes se font en faisant un « dump » au format SQL de chaque base. Cela se fait avec mysqldump ou des scripts permettant d'automatiser les sauvegardes comme automysqlbackup.

Titi04

Pour automysqlbackup c'est fait. J'ai également créé des utilisateurs pour les sauvegardes. Je les ai mis dans le groupe www-data.

Titi04

Le serveur commnce à servir et c'est là que l'on voit les subtilités. J'ai installé un site wordpres pour bien fonctionner les fichiers doivent être à l'utilisateur www:data . Le problème est que via un accès sftp avec les droits qui ont été défini (cf premier message) on ne peut pas supprimer des fichiers par exemple. En effet via le ftp mes utilisateurs sont user:groupe_restreint

Par défaut wordpress met les droits en 644. Je me suis dis que je pouvais passer en 664 et ajouter au groupe www-data mes utilisateurs sauf que cela ne semble pas fonctionner.

J'ai ajouté mon utilisateur au groupe de cette manière :

usermod user -a -G www-data

Le fichier de test est :

-rw-rw-r-- 1 www-data www-data 420 janv. 27 16:25 index2.php

En cas d'upload via ftp les fichiers appartiennent à user:groupe_restreint. Quelle est donc la démarche pour que wordpress puisse fonctionner correctement tout en ayant un accès ftp permettant les modifications ? J'avoue que là je me fais des noeuds au cerveau.

Titi04

J'ajoute une question sur les crons. Dans crontab j'ai :

23 03   * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Cela signifie qu'il s'exécute à 3h23 tous les jours.

Dans le dossier correspondant j'ai :

cron.daily# ls
apache2  apt-compat  automysqlbackup  bsdmainutils  dpkg  logrotate  man-db  mdadm  passwd  update-notifier-common

Au vu de ceci je peux mettre l'heure que je souhaite nous sommes bien d'accord ? J'aimerai changer l'heure pour que le cron de la sauvegarde de la DB passe un peu avant que je lance la sauvegarde du serveur le soir.

Titi04

Cette histoire que wordpress compare pour les mises à jour qui exécute et qui est propriétaire des fichiers m'embête vraiment car je n'arrive pas à m'en dépatouiller.

Si je mets les dossiers et fichiers à user:groupe_restreint wordpress demande l'accès ftp en cas de mise à jour ce qui n'est vraiment pas pratique. J'ai fait plusieurs tests tous infructueux :/

J'ai également une nouvelle question concernant nextcloud. J'ai fait la mise à jour vers la version 18. Il indique qu'il est possible d'avoir un outil d'édition en ligne via une installation bien plus simple qu'auparavant (sans utilisation de docker) avec onlyoffice. Via l'interface de nextcloud j'ai donc téléchargé onlyoffice. Lorsque je souhaite valider les paramètres du serveur j'obtiens cette erreur :

Erreur durant la tentative de connexion (Bad healthcheck status)

En cherchant un peu j'ai cru comprendre que cela peut être résolu en ajoutant dans le fichier config.php de nextcloud :

array('verify_peer_off' => true)

C'est ce que j'ai fait cependant le problème persiste. Savez-vous ce qu'il faudrait que je fasse pour que cela soit fonctionnel ?

Dafyd

Bonjour, pour la sécurisation ceci est un bon point de départ :

https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/

Titi04

Piouf 64 pages je vais lire ça en 5 minutes xD

Concernant les droits je regarde ce qui est indiqué ici : https://doc.ubuntu-fr.org/apache2#permissions dans ce que je veux faire si je résume :

- utilisateur dans groupe restreint pour chrooter
- utilisateur dans groupe www-data pour pour l'exécution du site

Sans travailler plus que ça les droits et en restant en 755 wordpress n'aime pas trop ça pour les mises à jour car l'utilisateur qui exécute n'est pas www-data. Comment faire donc pour allier bonne pratique et bon fonctionnement ?

Pour les transferts ftp afin qu'ils se fassent en étant user:www-data il faudrait que le groupe primaire de mon utilisateur soit www-data hors cela n'est pas compatible avec la connexion ftp. Dans ce cas est-ce que ça serait une bonne pratique de n'avoir qu'un seul groupe et donc dans la configuration ssh d'utiliser www-data et non plus groupe_restreint ?

bruno

Une question un fil de de discussion STP.

Je donne quand même une ou deux indications :
Dans la cas d'un hébergement multisite, avec probablement plusieurs utilisateurs, le mieux est d'utiliser PHP-FPM avec des pools et un utilisateur différent pour chaque site. C'est une configuration un peu plus complexe qu'avec le module PHP d'Apache mais c'est plus sécurisé et plus performant.
Si tu n'en pas la possibilité il faut que les utilisateurs SFTP aient pour groupe principal www-data avec un mask en 002. Ainsi les fichiers crées auront comme droits d'accès (x pour les dossiers):
toto www-data rw(x)rw(x)--- ou www-data www-data rw(x)rw(x)---
et seront donc accessibles en écriture à www-data. Ce n'est pas la configuration la plus sécurisée mais c'est suffisant si les utilisateurs sont bien confinés dans leur dossier et les applis web sécurisées (faille d'upload, injection de code, etc.)

Page suivante »