66 liens privés
Un autre panel opensource pour gérer un hébergement web
Open-source web server control panel
Fast, reliable, open-source. The control panel you’ve always wanted is just a command away.
Une alternative opensource à cPannel
Un pannel opensource à utiliser chez soi
Dans mon article Le drame CentOS 8 je disais qu'il était urgent d'attendre que la situation se clarifie et qu'il ne fallait plus installer de CentOS 8. Aujourd'hui, la situation me paraît suffisamment claire : payez vos licences Red Hat ou partez chez Debian.
Il est illusoire de penser qu'il suffit de passer sous Alma ou Rocky pour résoudre le problème car l'avenir de ces distributions communautaires parait aujourd'hui incertain, d'autant que nous ne sommes pas à l'abri d'une nouvelle surprise de la part de Red Hat.
Nous allons voir comment installer un serveur de mail SMTP postfix avec toutes les couches de sécurité, c'est-à-dire :
- Authentification SASL
- Chiffrement TLS
- DMARC, SPF & DKIM
Le but étant de pouvoir envoyer des mails qui n'arrivent pas dans les spams.
Un éditeur de partition (disque) gratuit avec capacité de clonage (pour migration d'OS)
Si vous utilisez un serveur mutualisé, ou même votre propre serveur dédié, attention. Sur un mutualisé, vous êtes nombreux à envoyer des mails, avec la même IP. Sans même le savoir, vous pouvez partir avec de mauvais points dès votre premier envoi. Sur un dédié personnel, vous prenez le risque de faire mal voir votre IP, même pour l’hébergement, et donc potentiellement pour votre nom de domaine et son positionnement dans la recherche Google.
La solution :
Utiliser une adresse IP totalement dédiée à votre newsletter.
Un site qui permet d'obtenir une explication de ce que va faire une commande shell linux
shellcheck est un outil d'analyse qui va afficher des warnings et des suggestions concernant du code qui pourrait être amélioré dans vos scripts BASH.
Par prudence, toujours copier/coller dans un éditeur de texte une commande shell trouvée sur Internet.
Un Wiki communautaire pour de la documentation pour sysadmin
L'idée, c'est de partir sur un système simple et stable (Debian donc), pour y installer les briques d'un serveur web performant et sécurisé (HTTP2, TLS 1.2 et 1.3 avec les best practices).
Et, vu qu'un serveur web ne sert à rien sans application, on va mettre un WordPress (qui reste utilisé par plus d'un tiers du web, donc on va mettre un truc qui intéressera le plus grand monde pour l'exemple).
Un outil fremium pour gérer les retours DMARC et assuré la qualité de délivrabilité des emails d'un domaine
Une lib PHP pour communiquer avec le firewall CrowdSec afin de savoir si l'IP du visiteur est bannie. Si oui, permet de décider d'afficher un capcaptcha…
Mieux que Gzip : Brotli pour gagner du temps et de la bande passante.
Un outil pour vérifier les failles connues d'une installation Debian et pour mettre à jour ce qui peut l'être.
TL;DR : Le serveur Apache est dorénavant livré en version 2.4 dans les distributions modernes comme Debian 10. Tout apache récent devrait se passer de directives de type allow from [...] ou deny from [...] car elles ont été supplantées depuis longtemps par des directives de type Require allow from [...] ou Require deny from [...]. Je conseille de désactiver le module apache mod_access_compat et de vous débarrasser de sa syntaxe dépréciée au profit de mod_authz_host.
Crowdsec est un logiciel open source encore en beta qui analyse les logs de votre serveur à la recherche de schémas de menace (patterns) baptisés « scénarios ». Une fois qu’un comportement malveillant a été détecté, Crowdsec bloque alors l’IP du vilain et l’empêche d’accéder à votre système.
Ça fonctionne un peu comme un fail2ban pour ceux qui connaissent, à la différence prêt qu’il y a une couche communautaire dans l’application. C’est-à-dire que l’information qui est extraite des attaques (IP source, date, heure, type de comportement malveillant) est ensuite envoyée à un serveur appartenant à Crowdsec pour être mutualisée pour l’ensemble de tous les utilisateurs.
Aujourd’hui nous sommes beaucoup à rencontrer des tentatives d’intrusion sur nos SI, et ça peu importe le cœur de métier. Les intérêts peuvent être nombreux pour les attaquants, par exemple le vol de données, récupérer de la puissance de calcul, etc.
Il est important d’avoir une procédure pour décrire comment détecter et vérifier si la machine est intègre, au moins au niveau du système et des actions des utilisateurs.
De mon côté, j’ai pu utiliser les commandes suivantes, la liste n’est pas exhaustive et les différentes commandes sont sûrement améliorables avec des paramètres d’ailleurs.