Bienvenue sur mon Internet!

SysAdmin et NetAdmin sous GNU/Linux.
J'aime bidouiller, apprendre et partager mes connaissances.

Une évolution - Mon infrastructure

11 Aug 2016
#infrastructures

Dans le précédent article j’avais parlé de vous montrer mon infrastructure ainsi que les équipements que j’utilisais. Par contre suite à l’obtention de mon BTS, je suis parti sur Nancy pour suivre la licence pro ASRALL. J’ai donc dû faire des réajustements pour répondre à mes besoins actuels.

Du coup, je vous présente mon infrastructure en deux étapes. En cette fin d’année 2015 :

Photo de l'infrastructure en fin 2015

Il y a deux raisons pour laquelle je l’ai mis en place. La première est que je ressentais le besoin de continuer à « toucher » au réseau suite aux cours que j’avais suivi la veille au lycée. Cela m’a bien aidé lors de mon épreuve E4 du BTS SIO. La seconde concerne le site de ma mère ; anciennement hébergé chez FSH, j’ai voulu le prendre à ma charge et lui refaire son site au goût du jour. Il est disponible à cette adresse : la-pince-creative.fr

Mettre en place, déplacer, personnaliser mes machines était un plaisir. Au fil du temps, je suis arrivé à mettre en place ceci :

Schema réseau de mon infra au début

Vu que j’habite dans une maison sur 2 étages, j’ai opté pour une topologie en 3 réseaux logiques :

  • 192.168.0.0/24 pour la famille au 1er étage.
  • 192.168.1.0/24 pour la famille au 2ème étage avec filtrage des requêtes entrantes réalisé par l’IPFire.
  • 192.168.2.0/24 pour la DNZ où du NAT est appliqué pour rendre accessibles les sites web sur Internet.

Je ne détaillerai pas ici les règles de filtrages / NAT vu qu’elles n’existent plus mais si vous souhaitez essayer IPFire, je peux toujours vous conseiller de suivre ce mémento avec en prime la mise en place d’un client openVPN.

Pour que la connexion aux ressources soit plus simple (en réalité c’est pour éviter de rajouter du NAT), j’ai désactivé le wifi de la box et mis en place un point d’accès dans le LAN 192.168.1.0/24. De cette manière, les utilisateurs profitent d’une bonne puissance de signal et du filtrage appliqué par le routeur IPFire.

Concernant le matériel, je l’ai acquis en grande partie grâce à mon stage chez PC Futé.Il a fallu que je fasse du puzzle pour rassembler les bonnes pièces et je me retrouve ainsi avec :

Hostname Utilité Caractéristiques
IPFire Routeur OS : IPFire + 2 HDD en RAID1 (PATA) (+… je sais plus, une très vieille machine !)
Syno NAS OS : DSM 5.2 + 2 HDD en RAID 1 (usage perso) + 2 HDD en RAID 1 (usage multimédia en famille) + 512Go de RAM
Dell Site de la-pince-creative.fr OS : Debian 7 + 4 Cores, 2 Go de RAM et 500Go de HDD mais sans écran !
Srv Labo de tests (VMs) OS : Debian 7 : Proliant G2 contenant un Xeon, 4Go de RAM et 4 HDD approx. 250Go en RAID 5
Nginx Reverse Proxy OS : Raspbian + Raspberry Pi 1
Pi Site Perso OS : Raspbian + Raspberry Pi 2

Il y a juste les Rasp’ que j’avais déjà en ma possession.

Ainsi après les cours je pouvais m’entrainer librement. Puis d’un point de vu scolaire, je dois admettre que j’ai du mal à comprendre le fonctionnement de quelque chose si je ne passe pas par la phase concret du sujet. Le grand départ fût le 26 Juillet 2016

Le diplôme en poche, je file sur Nancy ! :D

Sauf qu’avant de partir je dois y apporter de nouvelles modifications au vu de mes nouveaux besoins. En plus, j’ai une deadline : le 26 Juillet. Heureusement que je suis une personne qui sait anticiper les choses et ce qui me donne un délai 2 mois pour réaliser cette mission.

Du coup, voici mes nouveaux besoins :

  • Simplifier l’infrastructure car ça sert à rien de mettre un reverse proxy pour si peu de visiteurs et rassembler les sites web sur une seule machine. vu les capacité du Raspberry Pi 2, il devrait convenir.
  • Mettre hors tension la machine Srv. Il y a peu j’ai fait l’acquisition d’un pc portable assez puissant pour faire tourner tout un parc informatique ! (Merci Start !).

Nous obtenons au final ceci :

Schema réseau de mon infra à la fin

Et ceci physiquement… :

Photo de l'infra à la fin

Un seul réseau logique avec la réactivation du wifi sur la Box…Un peu triste n’est-ce pas ?

J’en ai profité pour faire fonctionner mes sites avec Php7+Nginx (Si la compression Gzip n’est pas activée pour vous, faite le !). En cet Août 2016 et plus tard, il en résulte que j’ai plusieurs sites web qui tournent h24 (blog, wiki, site perso, site de ma mère, piwik, …) et le Rasp’ se porte bien.

La première chose que je ferai dans l’avenir c’est d’augmenter le niveau de sécurité car naturellement étant Sysadmin junior, il me reste encore des outils à découvrir et à mettre en place.

D’ailleurs, si vous avez des idées ou des remarques à me faire, n’hésitez pas à me le signaler.

On termine l’article par quelques photos :)

Photo d'un TP de cours sur le réseau Un petit aperçu d’un TP de cours sur le réseau.

Photo de l'infra pour l'épreuve du BTS Installation de mon infra terminé pour la dernière épreuve du BTS.

Pendant l’année scolaire du BTS, les modifications étaient régulières. Du coup j’ai dû faciliter l’accès aux machines. Sexy n’est-ce pas ? ironie

Nuit du hack 2 - 3 juillet 2016

05 Jul 2016
#sorties

Par moment je vais faire court car sinon j’en aurais pour l’éternité à détailler chaque morceaux de mes souvenirs.

Cette idée m’est venue en lisant un article sur le net. Il a été publié par une très jeune association appelée Hack In Provence et d’après la description, il est possible d’y monter depuis Marseille et d’autres raisons m’ont également convaincu de sauter le pas :

  • Le coût des trains
  • Partir en groupe
  • Rencontrer d’autres geeks

Pour garder l’effet de surprise, je n’ai pas voulu connaitre le contenu des conférences ni de prévoir un plan alternatif en cas de problème. J’ai voulu être dans la peau d’un touriste ! Vendredi soir je décide de dormir tôt !

À 21h30 je suis au lit car je sais que j’allait devoir me lever tôt le lendemain. Mais je n’arrive pas à dormir, je suis encore trop en forme et trop excité à l’idée d’y participer. Du coup, je cogite durant toute la nuit jusqu’à 00h30 où je commence juste à m’en dormir dans un sommeil léger. On suit le guide !

Justement, ayant un peu servi d’intermédiaire avec ce gros évènement, c’est grâce à Julien Valiente, un des co-fondateurs de l’association présenté précédemment, qui m’a permis de voyager avec d’autres personnes tout en respectant mon budget et dans la bonne humeur.

Du coup la journée, commence à 4h du matin pour prendre le train de 6h06 en direction de Marne-la -vallé et arriver à la keynote de 10h présenté par Louis POUZIN.

Aujourd’hui à la retraite, il a expliqué devant un public supérieur à 500 personnes, que l’actuel Internet est très mal utilisé. En effet, il a été détourné de sa fonction première qui été la libre communication entre utilisateurs à travers le monde et aujourd’hui son majeur point faible concerne la sécurité des données.

Il m’a touché sur le fait qu’en Espagne est née le premier Internet est non pas Arpanet comme je l’ai appris en cours. Lors de son discourt, je sentais qu’il voulait faire passer un message important : Il veut que l’on se protège d’Internet. Il a raison car nos données sont aujourd’hui 90% du temps utilisés à des fins commerciale. Je dois admettre que ça m’a choqué qu’un “père” de l’Internet le dise… Bref, protégez-vous ! Pas le temps, faut y aller !

Concernant les animations proposées en parallèles des conférences, elles étaient nombreuses : Workshop, Challenges, CTF, Crash party, Bug bountry, … Il y avait même sur place des écoles d’ingénieurs informatiques et des entreprises telles que Qwant, Sysdream, OVH, etc.

Après avoir écouté la keynote, on suit la conférence avec deux jeunes étudiants Thomas AUBIN et Paul HERNAULT sur la conservation de la vie privée avec windows 10. Ils ont prouvé qu’il n’existait pas de backdoor à propre parlé sur le système mais ils proposent une solution open source pour perturber les services Microsoft des informations envoyé à leurs serveurs en utilisant l’outil CortaSpoof.

Ensuite vers 12h avec des collègues, nous avons pris places dans la zone appelée “wargame” où nous avons essayé de comprendre le fonctionnement du bug bountry. Le principe étant que des entreprises proposent légalement des tentatives de piratage sur leurs sites officiels avec une prime d’au minimum 50 € pour chaque bug trouvé. Largement de quoi rembourser sa place y compris les frais de transport. J’ai trouvé ça intéressant car nous avons pu analyser le code en groupe sans se sentir inculpé de quoi que ce soit. Si l’on souhaitait faire une pause dans nos recherches, il était tout à fait possible de retourner écouter les conférences ou de poser des questions aux écoles d’ingénieurs. En fait, c’est plutôt une excuse pour aller trouver des stickers manquant à ma collection. :)

La véritable nuit du hack avait commencé dès 21h : l’heure où l’esprit du hacking se réveille grâce au CTF (Capture The Flag).

Salle de wargame à la NDH 2K16

Cette salle pouvait accueillir facilement 500 personnes, elle était équipée d’un écran géant et d’une équipe de sécurité informatique pour faire respecter le règlement. L’activité rassemblait un ensemble de groupes composé de plusieurs personnes dans le but de trouver une chaine de caractères suite à la résolution de procédures logique. Pour ma part ? J’en ai résolu qu’un seul mais j’ai l’intention de corriger ce problème lors de prochains CTF !

Si vous souhaitez en savoir plus sur le fonctionnement du CTF et dans un cas concret, je vous invite à lire cet article.

Dans une autre salle, il y avait le CTF privé qui regroupait 10 équipes composées de 4 jeunes personnes éloigné physiquement entre-elles. Ici le but était de bloquer les services de ses adversaires. On pouvait voir sur un graphique actualisé en temps réel que moins les équipes envoyaient d’attaques plus elles perdaient et inversement. Que de bons souvenirs.

Au final vers 6h du matin, il restait encore beaucoup de monde et c’était l’heure des remises des prix. Voici le classement des 3 premiers du CTF public :

  1. H4ck3s pour 2000 points
  2. 0x90r00T pour 1850 points
  3. Hexpresso pour 16000 points

Pour le CTF privé :

  1. StratumAuthuur pour 6521 points
  2. KHACK40 pour 3714 points
  3. Tasteless pour -2318 points

Je vous laisse découvrir les autres équipes présente sur le podium en recherchant #ndh2k16 sur Twitter. ;)

C’est enfin vers 6h30 que tout le monde part avec de nombreux souvenir de cette nuit et peut être à l’année prochaine ?

@+ !

Qu’est-ce que l’auto-hébergement ?

18 Jun 2016
#infrastructures

Salut à tous !

En 2014, mon site perso était hébergé chez Franceserv avec un support au top du top. Disponible h24, 7J/7 et 365 jours par an ! On peut dire que la responsable est à l’aise dans le milieu de l’hébergement web. J’aurais pu y rester sans problème sauf que j’ai rencontré plusieurs problèmes.

D’une part, je souhaite devenir administrateur système spécialisé dans l’environnement GNU/Linux. Du coup, il me faut un espace dédié pour m’amuser à configurer manuellement apache, ssh, nginx, ou autre paquets. Hors ce que propose Franceserv, c’est du mutualisé et je n’ai pas la possibilité de bidouiller les configurations. Ce qui est normal après tout.

Le problème suivant concerne les sous-domaines. je voulais que mon site ait par exemple blog.x, dev.x, www.x, wiki.x, etc. Même en prenant un nom de domaine chez mon ancien prestataire qui me permettrait de les créer sans problème, je n’aurais quand même pas l’espace ni le nombre de bases de données à ma grande disposition. Puis le coût de l’hébergement risque de me coûter cher alors que j’ai pas prévus beaucoup de visiteurs.

Cela va bientôt faire un an que je mets en ligne mon propre site internet avec mon propre matériel. Je pense qu’avec le temps j’ai suffisamment de recul pour vous partager un peu de ce retour d’expérience. J’ai rédigé cet article sous forme de questions/réponses histoire de structurer mon contenu.

À noter que j’expose ici un cas particulier : le mien. Les coûts, le type de machines et les compétences techniques acquises dépendent de chacun. Commençons par une question toute bête.

C’est quoi l’auto-hébergement ?

La réponse est simple : c’est fournir et contrôler soit même ses services.

Au lieu qu’un site web soit hébergé chez ovh, 1&1 ou autre, il est hébergé chez soit dans un placard avec une connexion internet par exemple. A partir du moment qu’il n’est pas proche d’une source d’humidité, on peut mettre la machine n’importe où.

Quel est l’intérêt du coup ?

Il y en a plusieurs : la maitrise, l’indépendance, le savoir, se sentir responsable.

Mettre en ligne un site web c’est amusant et on apprend beaucoup. Sachant qu’il y a plusieurs moyens d’y parvenir, il existe de nombreux outils que l’on doit tester pour savoir lequel sera adapté à notre contexte. On ne va pas mettre en place un serveur fonctionnant sous Caddy alors que l’on ne sait pas comment fonctionne les VirtualHosts. D’ailleur, je recommande pour un novice de commencer avec Apache. Il est facile de le prendre en main et l’organisation des fichiers est semblable aux autres paquets que l’on peut retrouver sur Internet.

Pour ma part, j’ai commencé avec Apache sans sous-domaine. Donc grossièrement avec un simple “apt-get install apache2” et pouf ! le site est fonctionnel et je pouvais passer à la rédaction de mon site. Par la suite, j’ai mis en place des sous-domaines, mis en place un outil d’analyse (pour ceux qui sont concerné : merci de désactiver votre bloquer de pistage svp. C’est pour Piwik), un espace de développement et d’autres bricoles.

En outre, j’ai le droit de faire ce que je veux chez moi. :)

Est-ce que ça coût cher ?

Vu les technologies d’aujourd’hui : 50€ maximum.

À l’heure où j’écris ces lignes, j’utilise un simple Raspberry PI B version 1 qui est la taill d’une carte de crédit fonctionnant de la même manière qu’un ordinateur. Il faut aussi un câble RJ45 pour le raccorder à la box fournis par le FAI, un peu de jus’ (environ 15W) et ça fonctionne !

Du coup, est-ce que ça demande beaucoup de connaissances technique ?

Si vous n’aimez pas lire alors la réponse est : oui

Il faut avancer étapes par étapes et comprendre ce que l’on fait. Au début ça va être compliqué et le plus simple est de se tourner vers les tutoriels que l’on trouve un peu partout sur le Net. Puis avec l’expérience, lorsqu’il s’agira d’apporter quelque chose de spécifique, il faudra se tourner vers la documentation officielle du logiciel en question.

A titre d’exemple, il y a le HTTP2 qui commence à faire son apparition. Il faut donc chercher quel navigateur sera capable de le supporter et quel service pourra être mise en place pour répondre à ce besoin. Sur la toile on voit que Caddy en est capable et Nginx aussi. Vu que mon site fonctionne déjà avec cette dernière, j’ai juste besoin de changer quelques paramètres et c’est bon !

“Un bon petit conseil : soyez à l’affut des dernières nouvelles. Ceci vous permettra d’anticiper les faiblesses d’une techno”.

Pour terminer, comment ça se passe au niveau des données personnelles ?

Objectivement : une fois que l’on publie des données sur Internet, elles y restent pour toujours.

En partant de ce point de vue et sans être parano, ce n’est pas parce que votre site Internet est hébergé chez soi que son contenu reste chez soi. C’est totalement faux car il existe des bots (ce sont de petits programmes voir même des scripts) qui viennent lire tous type de contenu pour les proposer à un plus grand nombre d’internautes. C’est le principe du référencement “naturel”. Google Panda à justement ce rôle et permet par la suite de référencer automatiquement les nouveaux sites sur le moteur de Google.

Une dernière information qui est très importante : légalement les contenus que vous publiez sur Internet, ils sont à votre responsabilités ! Sauf si vous indiquez dans l’article que vous déclinez toutes responsabilités et que le contenu est à titre éducatif.

Bref, avant de s’y lancer, il faut penser à de nombreux paramètres en amont. Mais le gain d’expérience en vaut la peine.

Merci de m’avoir lu et n’hésitez pas à me solliciter si vous aussi vous aller ou que vous êtes dans l’auto-hébergement, je serais curieux de connaître votre infra’ !

Dalleurs, dans un prochain billet, je présenterais la mienne. :)