Apache2 + FireWall
Bonjour à toutes et à tous,
J'ai un serveur dédié hébergé chez OVH depuis quelques temps (la plus basse dans la catégorie: https://www.ovh.com/fr/serveurs_dedies/gamme-2013/ -> SP-64 2013) et j'aurais deux-trois questions quant à plusieurs événements qui m'ennuient pas mal.
Premièrement, j'aimerais savoir comment je pourrais changer le port d'apache (par défaut 80) par un port au choix, disons 7281 ? J'ai essayé de modifier les fichiers "default" et "port.conf" dans /etc/apache2 en remplaçant le port 80 par 7281 puis j'ai fais un restart d'apache. Ca fonctionne bien, si je mets MON_IP:7281 ou encore www.DOMMAINE.FR:7281. J'aimerais faire en sorte que il n'y ait plus ce "7281" à la fin, est-ce possible ? Dois-je utiliser les redirections DNS ? Si c'est le cas, comment, via une redirection SRV ? J'ai essayé avec ceci et ça ne fonctionne visiblement pas, une idée ? :
J'ai exactement le même problème avec mon serveur teamspeak, je modifie bien le port dans les fichiers de configurations, j'ai identiquement la même configuration au niveau de mes DNS mis à part qu'à la place de "www." c'est "ts.". C'est pourquoi je pense que ça doit venir de quelque chose touchant directement à ma machine...
Ensuite, avez-vous des configurations optimales à me proposer pour Apache2 ou MySQL afin de les configurer correctement (activer/désactiver certaines options) ? J'ai vu des centaines de messages sur cela, mais certains se contredise donc j'aimerais avoir l'avis des personnes présentes sur ce site également.
Enfin, j'aimerais avoir votre avis sur le par-feu: fail2ban ou si suivre le tutoriel sur ce site est plus correct http://www.creativeo.net/mise-en-place-dun-firewall-sous-debian/ ? (à moins que vous en avez d'autre ?).
Merci à tous, cordialement,
5 réponses
Salut,
Pour voir si tes services fonctionne bien sous le bon port tu peux utiliser la commande netstat.
netstat -anp | grep "apache"devrait te retourner quelque chose comme ça:
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 32010/apache2
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 32010/apache2Sinon, sans le grep, regarde la première partie (LISTEN).
Pour ce qui est de mettre un port différent du port 80 pour le web et qu'il n'apparaisse pas dans l'adresse, tu ne pourras pas.
La seul façon que je vois, c'est de quand même utiliser le port 80, mais si tu as derrières plusieurs site, faire des virtualhosts pour matcher chaque domaine, ou de faire des reverse proxy qui pointerai vers des ports différents que le 80 et aussi sur des machines différentes.
Le record DNS SRV, n'est malheureusement pas utilisé par les navigateurs web. Le plus utilisé que je connaisse, Jabber, SIP, Domain Controller et LDAP.
Pour l'amélioration des performances d'apache2 et Mysql, il y a pas mal d'article sur internet traitant de ce sujet.
(A moins que tu es vraiment beaucoup de visiteur, tu ne seras pas obliger d'y toucher maintenant...)
FYI: fail2ban n'est pas un firewall
En fait, le firewall derrière fail2ban et iptables est netfilter. Iptables est en réalité une interface pour écrire les règles pour netfilter. Et fail2ban, est lui fait pour automatiser l'écriture de règle iptables.
Je ne saurais te conseiller un tuto sur iptables en particulier, mais une fois que tu connais les règles de bases, c'est un outil puissant et facile à utiliser.
@+
Merci pour ces conseils et éclaircissement. Donc du coup, n'importe quel site n'ayant pas le protocole HTTPS est à un port 80 (ou 8080 ?) obligatoirement (s'il n'y a pas de "sous domaine" en virtualhost ?
SRV indisponible pour le web c'est vraiment très très dommage ça !
Du coup, si fail2ban permet seulement de bannir les adresses d'une machine via un iptables, comment pouvoir faire des firewall ? OVH suite à de nombreuses attaques de DdoS m'ont conseillé d'installer un firewall. Seul le client est responsable et peut empêcher les dommages suite aux DdoS sur la machine, le support d'OVH ne peut pas m'aider là-dessus...
Encore merci, cordialement,
Salut,
HTTPS -> 443
HTTP -> 80
même pour le 8080 il faut le rajouter dans ton url.
Pour mettre en place ton firewall, tu peux utiliser iptables et couplé avec fail2ban pour un ban automatique en cas d'attaque.