Bonjour je voudrais quelque conseils pour moi proteger mon reverse proxy NPM mon herbergeur est cloudfare j'ai vu plusieur solution ( l'access de celui peut etre dispo en tapant l'ip de mon serveur + port 81 ) donc pas securisée merci de vos futur orientation car je suis paumé....

-mettre en place Authelia
https://www.authelia.com/integration/proxies/nginx-proxy-manager/

-

personne peu me guider ?

Salut

2/3 conseils/questions avant que tu te lances dans une usine à gaz pour rien :

  • Quel est ton objectif ? un reverse proxy seul ça ne sert à rien !
  • Cloudflare c'est dégueu niveau éthique et centralise le web, si tu débutes (je suppose), à moins d'héberger des services à risques, type serveur de jeu ou pire un nœud Tor (ce qui est très très très très fortement déconseillé pour un débutant), tu n'en as pas besoin.
  • Authelia pourquoi pas, ça fait une sécurité en plus oui, mais commence simple, la NSA ne va pas direct essayer de te pirater si tu mets en ligne un blog vide ^^ Commence par un bon mot de passe https://m.xkcd.com/936/
  • Open-appsec idem que Cloudflare, tu as bien le temps d'en arriver la, commence basique

alors j'ai un reverse proxy pour mes conteneur docker

mon objectif est que j'ai plusieur conteneur donc voici la liste

seedbox docker mondedie
wireguard + adwireguard
portainer
pyload
et npm bien sur

donc ca fait 6 container en sous domaine

Hello 🙂
Wireguard + AdWireguard c'est la même chose non ?
Du coup en bricolant un tout petit peu, l'admin NPM uniquement dans le tunnel wireguard, pareil pour portainer et la webui de le seed. Mais bon ça veut dire IP:port peut être arrivé à récupérer le dns de docker pour taper nom du container:port.
Ou alors fixer l'ip de chaque container dans docker pour pas qu'elle change à chaque reboot/update et faire un petit dns interne sur lequel s'appuie adwireguard.
Pour pyload je sais pas à quoi il sert, mais donc du coup NPM devient inutile dans ce cas de figure je pense. Tu exposes seulement un port exotique UDP pour ton tunnel wireguard afin d'accéder aux webui en interne.

    ben en faite j'ai suivi tes tutos MattProd donc les containers sont sur le network npm et jexpose que les port utile 81 pour npm me gene un peu car il est connu j'aimerai donc un systeme sois de logs ou quelque chose qui va proteger l'access a la plateforme NPM qui va ban au bout de trois tentatives infructueuse de login

    donc sois un fail2ban dedie a lui
    un crowdsec mai je dois changer l'image NPM actuel qui est l'officiel
    je sais pas si vous avez d'autre plateforme pour securisée le bouzin
    donc je suis paumé..

    pyload sert a telecharger des liens rapidgator , Keep2s , etc..

      Diesel alors pour le port 81 effectivement j'ai peut être pas écrit "la suite" en gros une fois que j'ai fais mon proxy pour acceder à NPM via un npm.ndd.tld je stoppe le container, je le supprime et je relance la même commande mais en supprimant la partie "-p 81:81" et tu peux ajouter une partie htaccess + limitation ip pour l'origine. 😉
      J'ai testé crowdsec et y'a souvent des effets de bords pas marrant... plutôt misé sur un bon mot de passe bien long + htaccess avant 😉
      Enfin après comme à dit Julien y'a pas longtemps on est pas des "grands" donc on est pas cibler par la NSA 🤣 alors password fort ca fait déjà un bon barrage.
      Tu peux aussi ajouter une couche avec fail2ban.

        ok MattProd je savez pas pour l'astuce du 81 merci je vai me debrouiller avec tes conseils merci beaucoup .


        après tu peux lui rajouter une couche de accesslist avec juste une restriction par ip de provenance. Mais un bon mot de passe de 128caractères est un bon début xD

          MattProd

          je lui est mis un acl avec un CIDR de /32 🙂
          et le reste en deny
          et je suis passez en challenge ssl cloudfare comme ca tranquillou

          • zer a répondu à ça.

            Salut,

            Je rejoins les avis de @julienth37 et @MattProd, avant de pondre une usine à gaz, commences par les bases:

            • Authent via clé ssh.
            • Mots de passe robustes + 2FA partout ou tu ne peux pas mettre de clé ssh.
            • fail2ban
            • Serveur maintenu à jour
            • Interfaces d'admin via vpn
            • Fermes tout les ports sauf le strict nécessaire (22, 443) (Tu peux toujours déplacer le ssh sur un autre port, mais c'est franchement inutile... les bot scannent tous les ports et le trouveront. Sauf s'il est caché derrière un port-knocking par exemple, mais à part faire mumuse et risquer de se couper l'accès, je ne conseille pas).
            • Vires Cloudflare... pour toutes les raisons données plus haut. A ton niveau, les seuls qui pourraient te chercher des noises, ce sont les institutions étatiques. Et crois moi, il suffit d'une ordonnance judiciaire pour que Cloudflare leur donne toutes les infos qu'ils voudront !

            Déjà, avec tout ça, il faudra un bon hacker bien motivé (= qui te cible personnellement) pour mettre ton serveur en péril.

            • Modifié

            Diesel Je déconseilles aussi les restrictions par IP... Et encore plus sur un .32.
            2 exemples concrets devraient te faire réfléchir:

            • Ton IP change.
            • Tu n'es pas chez toi et sans possibilité de te connecter chez toi, mais a un besoin urgent de te connecter (service tombé pendant un déplacement à l'étranger par exemple...)

            J'ai vécu ces 2 cas. Dans le second cas: tu as "juste" ton mal à prendre en patience. Dans le premier... J'espère que tu aura une solution de secours !

            Franchement, tu as un WireGuard... Alors limite simplement les IHM d'admin via le VPN. C'est très suffisant !

            En fait, en cyber-sécurité, la première chose qu'on fait, c'est ce qu'on appelle une analyse de risques. C'est tout un process normé (EBIOS principalement si ça t'intéresse: Google 😉 ) qui sert à définir les risques auxquels on s'expose. Et, en fonction des résultats de cette analyse, on met en place les contre-mesure et le niveau de durcissement nécessaire... Mais pas plus car le premier ennemis de la sécurité, c'est le trop de sécurité.

            Et vu ton serveur, le type de messaces auxquelles tu t'exposes sont limitées... Et principalement, ce sont les bots qui scannent le net en permanence.

            Avec les recommandations qu'on t'a donné, tu va déjà laaaaaaaaaargement au delà de ce que ce type de bots sont capables de faire.

            23 jours plus tard

            Salut à tous,

            Longtemps que je ne suis pas passé par ici, mais dès que je reviens je suis attiré par un paquet de sujet.

            Pour ma part, (je ne suis pas admin) j'ai été sur NPM, puis NPM le présidente (avec Crowdsec que je trouve super), j'ai changé pour Swag et authelia (ce dernier et clairement une usine à gaz) et je suis passé récemment sur Zoraxy.

            Je vous conseille de jeter un coup d'œil à ce dernier.

            Il est accessible via une interface propre, il permet de blocage GeoIP, intègre un UptimeKuma, la possibilité d'ajouter un site statique et plein d'autres choses.

            Pour ceux sur NPM, je le trouve bien supérieur en fonctionnalité et en sécurité, à voir dans le temps (comme dit je ne suis pas un expert)

            https://zoraxy.arozos.com/

            Répondre…