Mise en place d'un serveur web à domicile [TOPIC] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-04-2003 à 14:26:12
Ce topic n'a pas déchainné les foules, dommage...
Je suis de mon coté en train de réaliser ce projet. J'ai récuppéré un PIII500 (une tour DELL optiplex très silencieuse) et j'ai commencé par installé dessus une Gentoo (1.4rc2) puis configuré ssh et samba pour me faciliter les accés depuis l'extérieur et mes autres PC... Reste le plus gros du travail à faire maitenant, mais avec toutes les docs à lire à chaque étape, ça n'avance pas vite !
Belle idée quand même ce topic...
Marsh Posté le 08-04-2003 à 08:53:06
C'est triste un topic vide
Merci quand même à toi Senado de ta contribution. Si jamais tu avais un peu de temps pour rapporter ici l'évolution de ton travail, ce serait très sympa. Merci encore à toi.
PS : Jamais essayé la Gentoo. T'en es content ?
A+,
JM
Marsh Posté le 08-04-2003 à 09:38:38
Salut
Il y a une doc en images ici pour Apache, MySQL et PHP : http://trylinuxsd.com/nuke/
C'est oriente Mandrake, mais ca peut s'appliquer a n'importe quelle distro.
Marsh Posté le 08-04-2003 à 09:42:20
la partie chiante c de palier au manque d'une ip fixe ....
apres le reste .... c cool et fun !!
Marsh Posté le 08-04-2003 à 09:50:09
chez moi j'ai une machine P120, j'y ai installer Apache/php/MySQL sur une Debian Woody (2.2.20).
Il tourne parfaitement, et pour l'instant, c'est mon desktop qui se charge de faire la passerelle entre le lan et l'internet.
J'attend de me trouver une autre petite machine pour prendre la place de routeur/firewall.
Pour les sauvegardes, le serveur P120 est equiper de 2 lecteurs de bandes de 4Go par k7 (y faut que j'en achete).
Sinon mes previsaions pour dans quelques mois avec l'achat d'un nouveau desktop, ca va etre d'utiliser celui-ci pour m'initier au cluster, et a la securité des reseaux (ids, anti-virus, proxy-cache, etc...
en gros, je me fait un p'tit labo d'apprentissage a la maison
...ah mais je vous raconte ma vie la
Donc mon serveur web se trouve derriere une passerelle, tout simplement, et je n'ai pas encore u a me poser la question pour l'@IP dynamique puisqu'il ne tourne pas encore en permanence
Marsh Posté le 08-04-2003 à 09:58:45
lithium a écrit : chez moi j'ai une machine P120, j'y ai installer Apache/php/MySQL sur une Debian Woody (2.2.20). |
si tu veux monter u labo digne de ce nom , qd tu auras ta gateway firewall/routeur, je te conseille chaudement de lui mettre 3 cartes reseaux (accés web compris) pour gerer une dMZ (c comme ca qu'on bosse en entreprise , sur les grds comptes on tourne meme avec une 4ème zone : la DCZ Decontamination zone ...)
Marsh Posté le 08-04-2003 à 10:01:34
Ben oui, mais ce n'est pas avec mes 2 malheurese machine que je pourrais faire ca
Puis la j'attend mon nouveau desktop, comme ca sur mon actuel s'il le faut, je peut y faire tourner 2 voir 3 machines virtuels
Marsh Posté le 08-04-2003 à 10:03:37
jamiroq a écrit : |
oue mais avoir une vieille machine pour faire passerelle/firewall/apache ok, mais plusieurs pour faire une dmz ca devient cho
Marsh Posté le 08-04-2003 à 10:07:03
lithium a écrit : Ben oui, mais ce n'est pas avec mes 2 malheurese machine que je pourrais faire ca |
ben perso c pas l'artillerie lourde chez moi :
-firewall/routeur ss mdk9.0 (3cartes reso) : p166 + 128 Mo + 9go
-1 piii 800 + 200 Mo serveur dns ,ldap,oracle9i,dhcp, fichier, dat 8go en DMZ
-1 xp2000+ mon pc de guerre
Marsh Posté le 08-04-2003 à 10:09:36
tomate77 a écrit : |
une seul suffit pour etre mise en dmz !!!!
et ca permet de proteger a mort son vrai Lan!!!
moi perso mon p to p tourne en dmz , comme ca pas de zouille sur mon lan et en plus il tourne ds le garage 24/24 7/7 ...
Marsh Posté le 08-04-2003 à 10:11:23
jamiroq a écrit : |
heu une dmz sur la meme machine ke le firewall c est limite inutile
Marsh Posté le 08-04-2003 à 10:18:44
Le principe du design des reseaux, c'est de faire ce qu'ont peut avec ce qu'on a !
La j'ai mon poste desktop/routeur/firewall, et ma p'tite machine en DMZ si l'ont puis dire
Marsh Posté le 08-04-2003 à 10:19:57
lithium a écrit : Le principe du design des reseaux, c'est de faire ce qu'ont peut avec ce qu'on a ! |
nan mais ce ke je veux dire, c est ke le principe de la dmz, c est ke les machines se trouvant ds la DMZ, sont justement dans une zone autre ke le LAN
en gros, c est le principe d unicite en securite
Marsh Posté le 08-04-2003 à 10:20:55
j'utilise apache/mysql/php (installés à partir d'une distrib mandrake 9.0). Le pc est relié à un modem/routeur alcatel speedtouch home qui se charge des reconnections.
Pour le problème de l'ip dynamique, un nom de domaine inscrit chez dyndns.org (c'est gratuit) avec ddclient d'installé sur le pc qui détecte le changement d'ip et va faire la mise à jour du nom de domaine.
Je me suis aidé des sites suivants, très bien faits:
www.linux-sottises.net
www.forpages.com ( c'est plus un forum dédié au modem alcatel speedtouch mais ya pas mal d'autres infos à côté)
Marsh Posté le 08-04-2003 à 10:22:44
tomate77 a écrit : |
T'a le LAN "LAN et le LAN DMZ, ceci dit tu peut aussi tres bien faire une DMZ sur la meme interface que les postes, il suffit d'adapter le ruleset de la passerelle
Marsh Posté le 08-04-2003 à 10:23:46
lithium a écrit : |
oui mais ce ke tu considere comme DMZ est sur la meme machine ??
Marsh Posté le 08-04-2003 à 10:25:19
ReplyMarsh Posté le 08-04-2003 à 10:27:33
tomate77 a écrit : |
on ne s'est pas compris (je m'exprime mal en fait )
mon p166 est le fw et c lui qui a 3 cartes reseo et distribu a la dmz (ou se trouve le serveur web ftp etc .. piii 800) au lan et recois de l'ext (le web)
Marsh Posté le 08-04-2003 à 10:28:15
jamiroq a écrit : |
ok toi tu as une vraie DMZ donc
Marsh Posté le 08-04-2003 à 10:28:18
quoi donc ?
Chuis pas une multinational avec 5000 postes a maintenir et la budget qui va avec, desolé de te decevoir...
Marsh Posté le 08-04-2003 à 10:29:02
lithium a écrit : quoi donc ? |
c est ce ke je disais au depart : une vieille machine a trouver c est bon, mais plusieurs
Marsh Posté le 08-04-2003 à 10:29:23
ReplyMarsh Posté le 08-04-2003 à 10:30:42
tomate77 a écrit : |
yes mister. ;-) (c pas vraiment un luxe faut juste 3 cartes lan ... et une bonne dose de connaissance reseau pour gerer iptables en conséquences ... mais j'ai mes petits secret , c hyper robuste et ...c d'une souplesse a toute epreuve)
Marsh Posté le 08-04-2003 à 10:31:48
tomate77 a écrit : |
eu tu peux en avoir une fausse toi ?
Marsh Posté le 08-04-2003 à 10:33:29
jamiroq a écrit : |
bah vi tout sur la meme machine
mais je crois k on s embrouille
Marsh Posté le 08-04-2003 à 10:36:50
tomate77 a écrit : |
,
plus serieusement une dmz c pas un luxe , n'y cher , c juste un peu plus complexe a gerer ... mais comme vous savez tous qd ca tourne ss linux ca tourne advitam eternam !!!
Marsh Posté le 08-04-2003 à 10:39:17
jamiroq a écrit : |
bon, allez, vivent les DMZ
Marsh Posté le 08-04-2003 à 10:40:48
donc je reprend ce que j'ai dit... chez moi, j'ai 2 machines en etat de marche, mon desktop, et mon P120
Le desktop sert aussi de routeur/firewall, le P120 heberge les services web (http/php/mysql/ftp).
Et mon firewall est configurer pour envoyer toutes les tentatives de connection (authorisées), vers le P120, le reste est rejeter.
Donc les regles sont plus permissives pour le P120 que le desktop, c'est volontaire donc c'est une DMZ (DeMilitarized Zone, au cas ou... )
Et mes regles font en sortes que si des postes viennent a se connecter sur mon interface reseau, ils sont considierer comme client (pas de connection possible du net vers eux sauf contrindication de ma part).
Je commence a me pencher serieusement sur les reseaux, et les rengaines "toi t'a une vraie DMZ" ca me fait un peu penser aux cours de récré d'ecole maternelle.
Marsh Posté le 08-04-2003 à 10:42:45
lithium a écrit : donc je reprend ce que j'ai dit... chez moi, j'ai 2 machines en etat de marche, mon desktop, et mon P120 |
t es gentil, mais j avais pas compris ca comme ca alors
Marsh Posté le 08-04-2003 à 10:47:37
Bah c'est juste que tu semblais insister sur le fait d'avoir au moins 3 interfaces pour monter un reseau correct...
Ca c'est le cas quand tu dispose d'un routeur dedié, sinon a la guerre comme a la guerre
Marsh Posté le 08-04-2003 à 10:52:34
lithium a écrit : Bah c'est juste que tu semblais insister sur le fait d'avoir au moins 3 interfaces pour monter un reseau correct... |
je me reexplique : je pensais heu ... en fait ... des conneries
nan je pensais ke tu avais comme "DMZ" les services sur la passerelle
mais c po grave, tout est rentre ds l ordre
bon, bref, vive linux
Marsh Posté le 08-04-2003 à 11:02:24
lithium a écrit : Bah c'est juste que tu semblais insister sur le fait d'avoir au moins 3 interfaces pour monter un reseau correct... |
moi si j'avais ton matos ca serai :
P120 routeur /firewall + hebergement des services web ftp etc ...
et ton desktop qui lui est protegé par ce p120.
et je puis t'affirmer que tu n'as pas de dmz !!!!
pour avoir une dmz il faut une trois pattes mini (voir doc des firewall pro style wathcguard , checkpoint F1) :
-DMZ(sans commentaire, c une zone de transit)
-EXT(web ou wan)
-LAN(trusted)
- Decontamin Zone (on y place les reverse proxy, les filtrage de contenu, les firewall appli ...)
Marsh Posté le 08-04-2003 à 11:05:53
jamiroq a écrit : |
je ne dirai rien ...
Marsh Posté le 08-04-2003 à 11:07:52
Ouais, et mes serveurs, j'en fait quoi ..?
De plus le P120 n'a et ne peut pas etre equiper d'un controleur USB pour le modem.
La ou mon desktop est le moins exposer, c'est en tant que routeur.
Et la, tu me fait le descriptif d'un reseau plutot consequent pour au moins une cinquantaine de postes en entreprise.
Je ne suis pas une entreprise, tout ceci m'est inutile dans l'immediat, et si je doit donner cette forme a mon LAN, ce sera pour mes experimentations.
Je n'ai pas d'IDS non plus, ni de proxy ni antivirus, c'est con hein ?
Marsh Posté le 08-04-2003 à 11:10:07
hey ca vous dirai d arreter la gueguere DMZ / pas DMZ ???
en s en tape, et personne n ira nous hacker, meme sans DMZ ...
Marsh Posté le 08-04-2003 à 11:10:37
lithium a écrit : Ouais, et mes serveurs, j'en fait quoi ..? |
ah, modem usb ..pas bon ... je sors .. si tu veux je vends u ncarte bewan PCI st ....
Marsh Posté le 08-04-2003 à 11:11:32
tomate77 a écrit : hey ca vous dirai d arreter la gueguere DMA / pas DMZ ??? |
pas de pb , j'essaie juste de vous transmettre mon savoir ds ce domaine que je connais mainteant un peu mieux ... no fight no war.
Marsh Posté le 05-04-2003 à 14:31:06
Salut à tous.
L'idée de ce sujet est de collecter toutes les informations/ liens / expériences pour installer chez soi son propre hébergement. Le but n'étant pas de polémiquer systématiquement sur telle ou telle solution (debian plutot que RedHat, SCSI plutot qu'IDE, etc...), la discussion n'en est pas moins ouverte. Il s'agit, d'après vos explications, de présenter le plus complètement possible l'installation de A à Z d'un serveur, de l'OS, des procédures (paramétrages DNS, ...), des services annexes, des solutions de sauvegarde, de récupération de données, de sécurité, d'administration (à distance ou non), etc...
J'essaierais de mettre à jour mon post d'entête pour récapituler l'ensemble de vos propos & solutions. Peut être même à terme, rédiger un p'tit tutorial.
Essayez d'être le plus clair & le plus complet possible et de ne pas inonder la discussion de polémiques stériles (mais je vous fais confiance).
Merci à tous de vos contributions.
-------------
Petites précisions : L'idée principale n'étant pas de concevoir une solution d'hébergement pro mais plus sobrement de se familiariser à ces techniques et de voir concrètement comment cela fonctionne et suggérer des solutions d'administration/monitoring. Pour des raisons de simplicité afin de présenter des solutions pouvant être expérimentées par "chacun", merci de ne pas mentionner les solutions à base de Windows 2000 / IIS mais plutot basées sur les logiciels libres.
--------------
Message édité par juanetfanny le 05-04-2003 à 14:48:16