Sécurité serveur web ip

[juliendu92]

Bonjour,
je vais acheter un rasberry Pi pour controler mon imprimante 3d ( j'utiliserais octoprint pour les connaisseur), en gros le rasberry fais tourner un serveur local, juste sur ma wifi et sur le serveur il y a une interface qui permet de lancer des impressions a distance, de mettre en pause l'impression, ect.

je voudrais faire de se serveur local un serveur web. J'ai trouve plusieurs tuto pour ca mais je m'inquiete pour la securite. Quelqu'un qui trouve l'addresse du site peu facilement faire prendre feu mon imprimante. Je voudrais donc mettre en place un systeme de securite contre les hackeurs.

Je pensais a n'autoriser l'acces au serveur juste a l'addresse ip de mon telephone et de mon ordinateur a la maison. Mais : - est ce assez puissant pour bloquer les hackeurs?
- Est ce que par exemple si je vais chez un pote et que je connecte mon tel à son wifi, est ce que je dois enregistrer l'IP de mon tel ou celle de la wifi ?

cordialement
julien

[domi]

Bonjour,

Pour ce qui est de ta machine de maison, aucun soucis, tu es dans la boucle local, donc en IP privé.
Pour les accès depuis internet (ou ton téléphone lorsque tu es en 3 ou 4G), c'est une adresse IP public.
Dans un premier temps, tu dois rediriger via ton routeur l'accès internet vers ton IP privé du Raspberry.

Voila pour ce qui est du routage. Pour la sécurité, étant un serveur Web, si tu veux sécuriser, tu dois avoir recours à une authentification.
Tu peux n'autoriser que certaine adresse IP, mais dans le cas ou tu vas chez un pote et que tu te connectes à son Wifi, c'est sont adresse IP qui sera vu, si elle n'est pas renseignée, la connexion sera refusée.

[destroyedlolo]

De mon coté :

• je suis chez Free et ma boite libre est configurée en mode routeur et seul le port 80 est ouvert
• coté web, j'utilise l'authentification Apache
• je n'utilise que des framework PHP maison et tous les champs de tous les formulaires sont protégés contre les injections de codes

J'ai eu qq tentatives d'intrusions mais aucune n'a abouti ... ça ne veut pas dire que mon système est sécure, ça veut juste dire que les les hackers potentiels préfèrent s'attaquer à des systèmes dont les fails sont connues (phpbb par exemple), ou des passoires plus répendues (m$) qu'à mon BananaPI sous Gentoo : question gain de temps !

Maintenant, concernant tes inquiétudes :

• Heu, c'est quand même moyen moins si ton imprimante 3D peut potentiellement prendre feu non ?
• si t'as vraiment la trouille, j'utiliserai un système de sandbox : une Framboise en frontale avec un système de validation des raquettes qui envoie des ordres simples et connues (catalogue de services) a une seconde framboise, et seul ce flux est ouvert entre les 2

[juliendu92]

Alors tout d'abord merci pour vous réponses. Donc je dois retraindre l'accès aux autres IP. Et je vais mettre un mot de passe en plus avec apache.


En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ? Juste foutre la m**** ?
Ça pourrais mètre le feu si il commence à toucher aux boutons.

[philippe_PMA]

Comment va tu restreindre l'IP entrante ?
Si c'est avec iptables, tu peux restreindre l'adresse IP, mais aussi l'adresse MAC (-m mac --mac-source adresse_MAC_source -s adresse_IP_source).

Tu peux aussi installer fail2ban qui bannira temporairement tout ce qui échoue à se connecter plus de n fois, selon la configuration que tu mettras en place, ce qui découragera pas mal de script kiddies.

Si possible éviter l'accès par les ports standards (22 pour ssh, 80 pour http, 443 pour https, etc).
Si c'est un accès Web, obliger à passer en https.
Apache et mot de passe c'est bien mais si c'est pas en https ça sera en clair ...

Y a déjà de quoi t'amuser là

[philippe_PMA]

...
En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ? Juste foutre la m**** ?
Ça pourrais mètre le feu si il commence à toucher aux boutons.

Par exemple :
- Passerelle de rebon.
- Passerelle de spam.

[destroyedlolo]

En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ?

Ben, les raisons principales :

• s'en servir de passerelle de SPAM : mise en place d'un mailler en tache de fond pour envoyé du spam sans se faire bannir en utilisant des adresses déjà connues
• s'en servir de passerelle pour la diffusion de virus
• Serveur de Deny of Service : une myriade de machines attaque un serveur pour qu'ils ne puissent plus répondre
• Ferme de backlinks
• lieu d'échange discrets pour des trucs qui puent (pédo, drogue, ...)
• pour le fun (ben ouai, c'est important)
• ...

[Korhm]

Bonsoir,

Pour ma part j'ai installé un serveur VPN qui me donne un IP dans le même range que mon LAN, et je limite certaines partie de mon serveur web aux IP de mon LAN.
Ça me semble assez sécurisé, et ça évite de mettre en place une authentification web qui serait demandée même en local.

[ComteZera]

Bonsoir,

Pour ma part, je suis sur le port 80.
J'ai protégé mes formulaires contre l'injection de code et les pages qui enverrons des ordres au Raspberry Pi via une base de donnée seront protéger par des fichier .htaccess est-ce suffisant ?

Merci

[juliendu92]

Ok merci énormément pour votre aide, je vais trouver des tutos par ci par la sur internet pour tout mettre en oeuvre.
Je reviens vers vous si j'ai d'autre problèmes.