logo owncloud

Owncloud sécurité de son installation serveur

Il est important de sécuriser son serveur Owncloud et ne pas se cantonner à une authentification simple. Pensez à utiliser HTTPS c’est bien, mais obliger les gens à utiliser HTTPS c’est mieux 🙂

Penser à sécuriser la partie système de son application est également important. Voici quelques points qui me semblent intéressants.

Redirection HTTPS pour Owncloud

La première chose à faire est de sécuriser l’échange des données entre le serveur et le client, ce qui se fait par HTTPS bien évidemment. Mais il faut penser à rediriger les infidèles qui utiliseraient HTTP vers la page en HTTPS. Un moyen simple de le faire est d’éditer le fichier /etc/apache2/site-available/default et d’y mettre ceci :

Préférez également l’utilisation d’un certificat SSL validé par une autorité de certification valide. Par exemple startSSL, qui a été expliqué dans un article précédent.

Sécuriser les droits d’accès

Vous devez changer les droits d’accès unix à vos fichiers Owncloud afin de limiter l’impacte d’un potentiel hack de votre applicatif. Pour cela, voici un script passe partout glané sur le web (je n’ai plus la source). Veillez à utiliser le bon « path » et le bon utilisation Apache. Pour Debian, Ubuntu, etc ce sera « www-data ». Pour CentOS et ses dérivés, ce sera « httpd » :

Vous aurez peut-être un warning sur des fichiers inexistants selon votre système, lisez le pour voir si tous le reste est bon.

Configurer le vhost HTTPS Owncloud

Il faut activer certaines restrictions pour la durée de vie du certificat :

  • Activer le mode headers : a2enmod headers
  • Ajouter une configuration dans le vhost 443 : Header always add Strict-Transport-Security « max-age=15768000 » (dans cet exemple 6 mois)<VirtualHost *:443>
    ServerName cloud.owncloud.com
    Header always add Strict-Transport-Security « max-age=15768000 »
    </VirtualHost>

Source

 

Le reste viendra par la suite…

Si vous avez des indications utiles n’hésitez pas!

logo wuala

wuala – fin de l’aventure

Wuala ferme ses portes….

Il vous faut donc rapatrier toutes vos données avant la date butoir….

17 août 2015 Fin des renouvellements ou de commande de stockage
30 septembre 2015 Le service Wuala sera converti en lecture seule
15 novembre 2015 Le service Wuala sera résilié et toutes les données conservées dans le cloud Wuala seront supprimées
logo apache

Apache en mode reverse proxy

Un reverse proxy vous servirait à quoi ? A proposer une « interface » au monde extérieur avec vos différentes applications web par exemple. Ce qui se trouve derrière le reverse proxy Apache n’a pas d’importance… Que se soit un autre serveur Apache, un serveur Tomcat, un IIS ou bien une application web fonctionnant sur un numéro de port différent du 80.

Il permet également de sécuriser les systèmes qui sont placés derrière ce proxy. En étant en frontal sur le web et en présentant son « interface ». Le proxy apparait comme un Apache aux yeux des bots de scan. On peut même laisser sa signature exprès pour que les bots n’aillent pas plus loin. Il sera identifié comme serveur Apache par un scan externe.

mtalk.google.com flood Squid logs

Attention aux nouvelles applications Google Chrome pour vos proxy Squid. En effet vous risquez l’avoir des millions de lignes dans vos logs Squid… Cela risque de saturer votre partition de logs en très peu de temps…

Et comment Squid réagit quand il n’y a plus de place sur sa partition de logs ? Il ne traite plus des nouvelles connexions… Et donc plus de surf….

console linux

Sauvegarder ses mails gmail ou IMAP en local

Étant donné qu’une erreur du côté Google ou tout autre service de mails est possible, il est préférable de sauvegarder ses mails en local, on ne sais jamais….

Je voulais sauvegarder mes mails avec un seul fichier par mail. Donc sauvegarder le fichier de Thunderberd n’était pas envisageable, et il me faillait quelque chose d’automatique. Je me suis donc servi de mon Banana pi sous Debian Wheezy. Le système le plus simple étant d’utiliser le logiciel Getmail4.

icon nut ups

NUT – parler à son UPS – notifications mails et arrêt propre du système

Afin d’éviter de corrompre son système de fichiers et éviter des pannes hardware en cas de coupure de courant, l’UPS est essentiel. Même pour un petit serveur ou un PC. Il y en a déjà à partir de 80/90€. Dans mon cas, j’ai un EATON protection station 650. Voici comment configurer NUT pour un UPS USB sous Debian Wheezy.

logo wuala

Wuala – Stocker vos données dans le cloud en toute sécurité

Mise à jour du 31 octobre 2014 : Wuala a décidé d’arrêter les offres gratuites, j’y explique les détails.

Mise à jour du 18 aout 2015 : Wuala fin de l’aventure, le service ferme ses portes.

Si vous cherchez une alternative intéressante à Dropbox pour vos données dans le cloud depuis que vous savez que vos données sont scrutées par le gouvernement américain, alors cela va vous intéresser.

Wuala permet de stocker dans le cloud vos données en étant le seul possesseur réel du mot de passe de chiffrement. Mais il faut aussi savoir que la société n’est pas aux USA. Elle n’est donc pas sous la coupelle de la NSA…