Blog hébergé par Yves et Iris :-)

Aller au contenu | Aller au menu | Aller à la recherche

jeudi 20 avril 2017

Git is available again

When I setup gitolite on my server for Git access through SSH, of course I did test that cloning worked from outside my network. That was for my Paperweb project.

Later I configured port-knocking on the server to get rid of bot-based authentication attempts that were polluting my log files. Unfortunately, at this time, the “outside” server on which I have an account was down, so I could not leave my network to check that all was fine; from the inside of the network, all worked like a charm, though!

Same situation when someone asked me for the Paperweb code by e-mail because they could not get it the normal Git way. I had no idea that port-knocking was the problem: from my side of the firewall, all worked correctly…

Lire la suite...

mercredi 8 juin 2016

Light-weight port-knocking to protect SSH

A bit more than a year ago, I hardened my SSH server, which resulted in the near-disappearance of automated SSH login attempts. Alas, the script-kiddie tools have finally caught up with the current state of cryptography; or at least with the level of cryptography that I dare require, and still maintain compatibility with most devices that I use.

Fail2ban, although dormant all this time, still ran like the ever-vigilant Argos, and resumed its usual work as the attacks came back. But I do not like relying solely on fail2ban. So I decided to add port-knocking as a protection.

Lire la suite...

lundi 30 mai 2016

A new self-hosted home server

My ageing eSATA SheevaPlug is running a lot of tasks:

  • web, e-mail, and xmpp server;
  • database server;
  • NFS and DLNA (media) server;
  • sync server for contacts, calendars, files, and Firefox profiles (old protocol);
  • and various means of connecting remotely.

It is now running Debian Jessie, after having run Lenny, and then Wheezy, which shows just how long it’s been running, considering the long lifetime of a major Debian version :-D

With only a half-GB of RAM, it’s come to the point where swap is being used on a regular basis, although not too much so far. As for the processing power, everything works, albeit slowly; reasonably so… so far. And more importantly, anything more is impossible (eg. nice ownCloud modules, or a sound server…).

The time has come to plan a replacement, which is the subject of this post.

Lire la suite...

dimanche 7 juin 2015

Both virtual and real users in the same domain with Exim and Courier

My personal server only served a few real users to this day, which means that each of us had an account on the server, that owned files and could run commands, schedule tasks, and so on.

I just extended my hosting perimeter, but I only allow email usage for my new guests so far. With this in mind, I did not want to create new Linux accounts, which would have needlessly weakened my server by exposing it to attacks towards these new accounts. Thus I created my first virtual users, for electronic mail.

I found several configuration examples on the Internet, but those mostly addressed situations where all users were virtual, often in several domains, or where a given domain was targeted at real users while others domains were targeted at virtual users. My wish was rather to allow new, virtual, users into my existing domains, the users of which were so far of the real kind only. Still, by taking from all those readings, it was not that hard to get there.

Cet article existe aussi en français.

Lire la suite...

samedi 6 juin 2015

Utilisateurs virtuels et réels dans le même domaine avec Exim et Courier

Mon serveur familial ne servait jusqu’à présent que des utilisateurs réels, c’est à dire que chacun y avait un compte, propriétaire de fichiers et autorisé à exécuter des commandes, planifier des tâches, etc.

Je viens d’étendre le cercle des utilisateurs sur mon serveur, pour la messagerie uniquement pour l’instant. Dans ce contexte, je ne voulais pas créer des comptes Linux, ce qui aurait augmenté la surface d’attaque du serveur sans nécessité. J’ai donc introduit des utilisateurs virtuels pour la messagerie.

Les exemples que j’ai trouvés sur Internet visaient principalement à gérer de multiples domaines virtuels, avec exclusivement des utilisateurs virtuels, ou bien à gérer un domaine avec des utilisateurs réels et des domaines avec des utilisateurs virtuels. Mon souhait était plutôt d’ajouter des utilisateurs virtuels aux domaines que je gère déjà et qui contennaient déjà des utilisateurs réels. En m’inspirant de ce que j’ai lu, ça n’a pas été très compliqué.

This article has been translated to English.

Lire la suite...

mardi 13 janvier 2015

Hardened SSH server

I strongly suggest that you heed the advice from stribika’s page on securing the Secure Shell (SSH), the aim of which is to make your SSH server safe from the NSA; or so they say…

Cet article est aussi disponible en français.

Lire la suite...

lundi 12 janvier 2015

Un serveur SSH endurci

Je vous conseille vivement de suivre les recommandations de la page de stribika sur le « Secure Secure Shell », ou « Secure SSH », qui visent à rendre le serveur SSH suffisamment sécurisé pour résister à la NSA, disent-ils…

This article has been translated to English.

Lire la suite...

lundi 13 octobre 2014

Petit serveur web vite fait avec bash

Vous est-il déjà arrivé de vouloir partager quelques fichiers avec quelqu’un ou avec un autre appareil (un smartphone par exemple…) et d’être ennuyé parce que les solutions simples (clé USB, partage réseau…) ne sont à ce moment-là pas disponibles ? N’aurait-il pas été bienvenu d’avoir accès à un serveur web instantané permettant de partager le répertoire courant ?

Si ces fichiers sont sur une machine de type Unix ou Linux, disposant d’un shell bash et de la commande socat, alors un simple script de quelques lignes peut faire l’affaire !

This article has been translated to English.

Lire la suite...