Un autre panel opensource pour gérer un hébergement web
Open-source web server control panel
Fast, reliable, open-source. The control panel you’ve always wanted is just a command away.
Une alternative opensource à cPannel
Un pannel opensource à utiliser chez soi
Dans mon article Le drame CentOS 8 je disais qu'il était urgent d'attendre que la situation se clarifie et qu'il ne fallait plus installer de CentOS 8. Aujourd'hui, la situation me paraît suffisamment claire : payez vos licences Red Hat ou partez chez Debian.
Il est illusoire de penser qu'il suffit de passer sous Alma ou Rocky pour résoudre le problème car l'avenir de ces distributions communautaires parait aujourd'hui incertain, d'autant que nous ne sommes pas à l'abri d'une nouvelle surprise de la part de Red Hat.
Nous allons voir comment installer un serveur de mail SMTP postfix avec toutes les couches de sécurité, c'est-à-dire :
Le but étant de pouvoir envoyer des mails qui n'arrivent pas dans les spams.
Un éditeur de partition (disque) gratuit avec capacité de clonage (pour migration d'OS)
Si vous utilisez un serveur mutualisé, ou même votre propre serveur dédié, attention. Sur un mutualisé, vous êtes nombreux à envoyer des mails, avec la même IP. Sans même le savoir, vous pouvez partir avec de mauvais points dès votre premier envoi. Sur un dédié personnel, vous prenez le risque de faire mal voir votre IP, même pour l’hébergement, et donc potentiellement pour votre nom de domaine et son positionnement dans la recherche Google.
La solution :
Utiliser une adresse IP totalement dédiée à votre newsletter.
Un site qui permet d'obtenir une explication de ce que va faire une commande shell linux
shellcheck est un outil d'analyse qui va afficher des warnings et des suggestions concernant du code qui pourrait être amélioré dans vos scripts BASH.
Par prudence, toujours copier/coller dans un éditeur de texte une commande shell trouvée sur Internet.
Un Wiki communautaire pour de la documentation pour sysadmin
L'idée, c'est de partir sur un système simple et stable (Debian donc), pour y installer les briques d'un serveur web performant et sécurisé (HTTP2, TLS 1.2 et 1.3 avec les best practices).
Et, vu qu'un serveur web ne sert à rien sans application, on va mettre un WordPress (qui reste utilisé par plus d'un tiers du web, donc on va mettre un truc qui intéressera le plus grand monde pour l'exemple).
Un outil fremium pour gérer les retours DMARC et assuré la qualité de délivrabilité des emails d'un domaine
Une lib PHP pour communiquer avec le firewall CrowdSec afin de savoir si l'IP du visiteur est bannie. Si oui, permet de décider d'afficher un capcaptcha…
Mieux que Gzip : Brotli pour gagner du temps et de la bande passante.
Un outil pour vérifier les failles connues d'une installation Debian et pour mettre à jour ce qui peut l'être.
TL;DR : Le serveur Apache est dorénavant livré en version 2.4 dans les distributions modernes comme Debian 10. Tout apache récent devrait se passer de directives de type allow from [...] ou deny from [...] car elles ont été supplantées depuis longtemps par des directives de type Require allow from [...] ou Require deny from [...]. Je conseille de désactiver le module apache mod_access_compat et de vous débarrasser de sa syntaxe dépréciée au profit de mod_authz_host.
Crowdsec est un logiciel open source encore en beta qui analyse les logs de votre serveur à la recherche de schémas de menace (patterns) baptisés « scénarios ». Une fois qu’un comportement malveillant a été détecté, Crowdsec bloque alors l’IP du vilain et l’empêche d’accéder à votre système.
Ça fonctionne un peu comme un fail2ban pour ceux qui connaissent, à la différence prêt qu’il y a une couche communautaire dans l’application. C’est-à-dire que l’information qui est extraite des attaques (IP source, date, heure, type de comportement malveillant) est ensuite envoyée à un serveur appartenant à Crowdsec pour être mutualisée pour l’ensemble de tous les utilisateurs.
Aujourd’hui nous sommes beaucoup à rencontrer des tentatives d’intrusion sur nos SI, et ça peu importe le cœur de métier. Les intérêts peuvent être nombreux pour les attaquants, par exemple le vol de données, récupérer de la puissance de calcul, etc.
Il est important d’avoir une procédure pour décrire comment détecter et vérifier si la machine est intègre, au moins au niveau du système et des actions des utilisateurs.
De mon côté, j’ai pu utiliser les commandes suivantes, la liste n’est pas exhaustive et les différentes commandes sont sûrement améliorables avec des paramètres d’ailleurs.
Un blog avec pleins d'infos techniques utiles
Méthode de mise à jour Debian.
Comment passer une base MySQL en utf8mb4 pour supporter toutes les Emojs.
Méthode avec ligne de commande.
Quand ce qui paraît une optimisation côté public se révèle problématique côté serveur…
Un outil de statistique web en temps réel.
2 clients alternatif à CertBot de LetsEncrypt. Intéressant !
Un script opensource pour informer vos clients de l'état de vos services web/internet. Bien présenté !
Comment configurer un serveur pour y mettre Prestashop en toute sécurité.
Une alternative à Epylog et Fail2ban
Origin Servers Should Include Vary: Accept-Encoding
Apache/.Htaccess
<IfModule mod_headers.c>
<FilesMatch ".(js|css|xml|gz|html)$">
Header append Vary: Accept-Encoding
</FilesMatch>
</IfModule>
Quand on se rend compte que ce qui compte pour les utilisateurs, c'est la prédictibilité/homogénéité du temps de réponse, et non que certaines réponses soient plus rapides que d'autres juste parce qu'elles seraient (par hasard) en cache.
==> Supprimer le cache des requêtes de MySQL !
Medicat, un nouveau DVD / Clé USB bootable qui va vous permettre de faire la chasse aux malware, réparer des disques durs, remettre debout des installations Windows foireuses, faire des images disque, des backups, de la récup de donnée, contrôler la mémoire, récupérer des mots de passe...etc.
Le tutoriel pour installer Mastodon sous Debian. Où l'on découvre qu'on ne peut pas faire de mise à jour à chaud…
Des alternatives à mod_rewritte très intéressantes pour gagner du temps et du CPU !
GraphicsMagick est un fork d'imagemagick, plus rapide, plus stable et qui consomme moins de mémoire.
Les webshells deviennent de plus en plus difficiles à détecter !
Une possibilité d'optimisation de MySQL via un frontal Spark sous apache...
À creuser.
Vous utilisez Google Apps. Voici un script qui vous permet de surveiller si votre site web est toujours en ligne avec envoie de mail/SMS en cas de problème et historique des incidents.
Comment lister la taille des sous dossiers en les classant par taille sous Linux : du --max-depth=1 /home/ | sort -n -r
Sous Debian, on positionnera notamment les valeurs de ulimit dans les fichiers /etc/default/<daemon>
Un utilitaire linux pour naviguer de manière plus intuitive dans les fichiers de log.
Tron est un script batch sorti des entrailles de Reddit qui automatise une bonne grosse session de désinfection et de nettoyage sur les Windows. Compatible avec les versions allant de XP à Windows 10, Tron enchaine plusieurs opérations.
Une vulnérabilité 0day affectant potentiellement 10 millions de serveurs Linux et 2/3 des dispositifs sous android
Un bootCD à garder sous le coude en cas de pépin. Une trousse à outils de secours complète !
Aujourd'hui, à l'occasion du Patch Tuesday, Microsoft publiera les derniers correctifs pour son navigateur Internet Explorer en versions 7, 8, 9 et 10. En effet, hormis de rares exceptions, ces versions sont désormais désuètes et depuis quelques mois, Microsoft encourage les utilisateurs à migrer vers Internet Explorer 11, la seule mouture désormais prise en charge.
Tout ce qu'il faut savoir pour régler la taille de l'upload max sous Apache + PHP
Maltrail est un système de détection de trafic malicieux qui utilise des listes noires publiques, des schémas connus ou remontés par les éditeurs d'antivirus qui permettent de traquer les noms de domaine, les URL ou les adresses IP utilisées pour balancer du malware ou mener des attaques.
Pour éviter de vous faire hacker, mettez à jour ! (serveur, CMS)
Un Ransomware crypte les fichiers sur des serveurs Linux. Mais un outil existe pour s'en sortir sans payer !
Si vous gérez un ou plusieurs sites WordPress (en multi-sites) et que vous cherchez à savoir qui fait quoi dessus, je vous invite à installer WP Security Audit Log.