[SÉCURITÉ] Accès externe à un serveur YunoHost : est-ce suffisant ?

[Thomas69]

Bonjour à tous,


Je me pose des questions sur la sécurité de mon serveur YunoHost accessible depuis l’extérieur, et j’aimerais avoir vos avis.
J'héberge Jellyfin, Nextcloud et Calibre-web


Voici ma configuration actuelle :

• Le serveur YunoHost est installé dans un sous-réseau DMZ.
• Les règles de pare-feu n’autorisent que le trafic HTTPS (port 443) et DNS.
• Le nom de domaine est géré via Cloudflare, avec proxy activé.
• L’interface d’administration de YunoHost a été désactivée sur le réseau WAN.
• L’accès nécessite un identifiant et un mot de passe, bien entendu.
• Seul le port 443 est ouvert sur ma box.

Malgré toutes ces précautions, j’avoue que je reste un peu parano sur le sujet, et je me demande si j’ai oublié quelque chose d’important pour sécuriser l’accès distant à mon serveur.


Des conseils ou retours d’expérience ?


Merci d’avance !

 

[EVO]

Le serveur YunoHost est installé dans un sous-réseau DMZ.

Seul le port 443 est ouvert sur ma box.

Par défaut, le DMZ c'est l'ouverture de l'ensemble des ports vers un hote.

C'est quoi le routeur, tu es sur que seulement ton port 443 est ouvert dans cette configuration ?

 

[Thomas69]

Alors, j'ai du me tromper ce n'est pas une DMZ mais plutôt un sous réseau (VLAN) géré par OPNSense donc sur le pare feu j'ai ouvert le 443 et 53 le reste est bloqués
Mon routeur c'est SFR je n'ai ouvert que le port 443 donc il faudrait quand même que je fasse un scanne des ports ouvert okazou

 

[EVO]

Cela me semble deja bien, et supérieur a ce que beaucoup ont ici. Apres si tu veuyt aller plus loin, il faut regarder des solutions comme Crowdsec par exemple.

 

[Thomas69]

Mon prof de Cyber m'as parlé d'un IDS/IPS pour plus de sécu
mais au niveau de yunohost dès que tu tape mon domaine tu tombes sur la fenêtre d'authentification donc bien que les mots de passe sont très forts, j'aime pas trop l'idée de directement arriver sur la page d'authentification.
J'ai essayé depuis Nginx Proxy manager de mettre une access list mais le problème c'est qu'il affiche une page de connexion proxy tout les secondes ce qui est assez gênant
Et d'ailleurs pour nextcloud c'est assez sécurisé pour mettre des documents privée ?

 

[EVO]

Mon prof de Cyber m'as parlé d'un IDS/IPS pour plus de sécu

Regarde Crowdsec par exemple

Et d'ailleurs pour nextcloud c'est assez sécurisé pour mettre des documents privée ?

Oui, bien sur mot de passe fort + 2FA/TOTP

Apres perso, je suis d'avis que les interface d'adminsitration, ne sont pas faite pour etre exposé. L'acces par VPN est préférable

Tu peux aussi regarder au niveau du géopblocking si ton parfeu / proxy le permet.

Par exemple, dans mon cas, j'ai un VPN pour les acces administration/SSH, mon site est accessible sans limitation géographique, mon jellyfin uniquement aux ip FR, et mon nextcloud uniquement FR/BE/LU/CH.

 

[Thomas69]

Regarde Crowdsec par exemple

Ok je vais regarder ça cette aprem

Tu peux aussi regarder au niveau du géopblocking si ton parfeu / proxy le permet.

Ouais j'ai mis un régle dans le WAF de cloudflare pour bloquer tout les pays

Oui, bien sur mot de passe fort + 2FA/TOTP

Ok je vais mettre ça en place rapidement

Par exemple, dans mon cas, j'ai un VPN pour les acces administration/SSH, mon site est accessible sans limitation géographique, mon jellyfin uniquement aux ip FR, et mon nextcloud uniquement FR/BE/LU/CH.

J'ai bloqué l'interface d'administration de yunohost mais par exemple l'administration de Nextcloud se fait avec le compte admin de yunohost (LDAP) il y a un moyen de restreindre l'administration qu'en local ?

Merci

 

[EVO]

il y a un moyen de restreindre l'administration qu'en local ?

Je ne crois pas. Apres dans le reverse c'est surement possible ( car l'administration utilise /admin ) mais ce genre de solution ne ma plait pas spécialement.

Quand je dit pas d'interface d'administration exposée je parle principalement des trucs comme l'interface du serveur, ou portainer par exemple.
Cela englobe aussi tout les services que j'estime ne pas avoir besoin d'exposer comme Sonarr, et aurtes arr, les interfaces de rutorrent, duplicati, filebrowser, ...

 

[Thomas69]

Quand je dit pas d'interface d'administration exposée je parle principalement des trucs comme l'interface du serveur, ou portainer par exemple.
Cela englobe aussi tout les services que j'estime ne pas avoir besoin d'exposer comme Sonarr, et aurtes arr, les interfaces de rutorrent, duplicati, filebrowser, ...

Ah oui bien sur

par contre je ne comprend pas pourquoi ?

ce genre de solution ne ma plait pas spécialement.

Car j'ai mon interface d'administration yunohost qui est bloqué via NPM

 

[EVO]

Si tu bloque une partie de nextcloud avec le reverse, c'est un coup a avoir des soucis de fonctionnement. Nextcloud n'est a ma connaissance pas prévu pour ce genre de limitation, je t'avoue que j'aurai un peu peur d'avoir des effets de bords.

Cependant, si tu test, un retour est le bienvenu

 

[Thomas69]

Si tu bloque une partie de nextcloud avec le reverse, c'est un coup a avoir des soucis de fonctionnement.

D'accord je comprend mieux, en effet j'ai pas testé avec nextcloud mais je le fait avec l'interface admin de yunohost et ça marche bien pour le moment

D'ailleurs c'est normal que mon nextcloud semble restreindre le téléversement à 5mb/s
Comment tu fait pour téléverse de gros fichier ? J'ai entendu dire que c'est car je téléverse depuis internet et qu'il faudrait plutôt le faire en local, qu'en penses-tu ?

 

[EVO]

D'ailleurs c'est normal que mon nextcloud semble restreindre le téléversement à 5mb/s

Aucune idée, j'ai jamais trop fait gaffe aux performances.

J'avais modifié pas mal de paramètres pour pouvoir uploader des gros fichiers, que ce soit dans la config nextcloud mais aussi sur le reverse

Voir : https://www.forum-nas.fr/threads/mé...linterface-web-sur-nextcloud-en-docker.16747/
Mais aussi https://www.forum-nas.fr/threads/nextcloud-upload-téléversement-de-gros-fichiers.21991/

 

[Thomas69]

Ok je vais voir ça
En tout cas merci pour les réponses et à bientôt