Autohébergement site Web - Antivirus nécessaire ?


#1

Bonjour,

Je souhaiterais réaliser un site internet qui tournerais sur ma raspberry pi.
Pour cela j’ai vu les tutoriels du site, mais dois-je trouver un antivirus pour me protéger puisque j’ouvre mes ports?
Si oui vous avez des suggestions? ^^

Merci d’avance.


#2

Hello,
Surtout pas d’anti-virus : ceci n’empêchera personne d’attaquer les ports ouverts et chargera la machine inutilement.
Sur ton serveur, ne seront ouverts que les ports ouverts par les logiciels installés.
Par exemple apache (serveur web, port 80 par défaut), et ssh (connexion depuis ton pc pour l’administration, port 22 par défaut).
Si tu n’installe aucun autre logiciel, aucun autre port ne sera ouvert, et donc pas d’attaques possibles.
Ceci étant, il est largement conseillé de changer le port 22 de ssh, pour éviter les tentatives de connexion qui ne manqueront pas si ta machine est publique. Conseillé aussi d’installer un accès par clés, en plus ou à la place de l’accès par mot de passe.
En résumé, pour les ports ouverts, les logiciels doivent être sécurisés de toutes façons, pour les ports non ouverts, et bien pas de problème puisque justement, ils ne sont pas ouverts.
Un firewall (iptables etc) est inutile également, pour les mêmes raisons.
Si tu as un doute, utilise la commande nmap pour savoir où en est ton serveur.
Par exemple :
sudo apt-get install nmap
sudo nmap -sS -sU “adresse ip du serveur”
Starting Nmap 6.47 ( http://nmap.org ) at 2019-05-07 12:15 CEST
Nmap scan report for raspberrypi.home (adresse ip du serveur)
Host is up (0.000056s latency).
Not shown: 1993 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https

Le résultat indique potentiellement un serveur ftp, ssh, web http, et web https.
Aucun risque donc si chacun des logiciels correspondants est bien sécurisé. ce qui est une autre histoire…


#3

Salut @Salty

Voilà ce que j’attendais que qq’un d’autre que moi te réponde (je ne voulais pas influencer).

En faisant une image “à la con”, si tu te vaccines contre l’hépatite B … ça n’empêchera pas un voleur de rentrer par la porte si tu n’es pas en fermeture 5 points (ou si elle est carrément ouverte).

On pourrait peut-être te conseiller YunoHost pour y installer WordPress avec certificat SSL via Let’s Encrypt et forcer les connexions en https.

Mes compétences sont limitées dans le domaine, mais en cas d’hébergement, ne doit-on pas passer le Rpi “site Web” en DMZ pour limiter les conséquences en cas d’attaque ?

++


#4

La bonne pratique veut que le serveur être DOIVE être dans un réseau séparé (zone démilitarisée), peu importe comment on l’appelle. Dans le cas d’une installation “à la maison”, il faut voir si la box permet la création de ce genre de choses.
Il vaut mieux une DMZ, pour des tas de raisons (problèmes avec les partages administratifs, problèmes avec les mises-à-jour qui ouvrent des services sans prévenir, etc).
Et c’est vrai aussi avec Linux.
Pour reprendre l’image de Nabla, on met le RPI chez le concierge, ET on se vaccine…
Je vais prendre un vrai exemple pour que ce soit bien clair.
J’installe mon serveur, je ferme tous les ports autres que ssh et http, je paramètre ma box pour autoriser l’accès externe. Mais comme je suis une tanche mal réveillée, j’oublie de changer le port ssh, et j’ai mis un mot de passe bidon, juste pour l’installation (crétin, ça). Dès que la machine est sur le web, c’est sûr, il y a des petits malins qui tentent des connexions root et qui finissent par tomber sur le bon mot de passe. Youpi, c’est la fête à l’octet, et voilà le serveur compromis, et, le plus grave, bien à l’aise pour tenter de prendre le contrôle de toutes les bécanes du réseau. Et voilà, il suffit qu’il y ait un partage mal sécurisé, et adieu veau vaches cochon…


#5

Merci pour les réponses

J’ai compris que l’antivirus était inutile !
Du coup je vais modifier le port ssh de la raspberry comme tu me l’as dit !
Et puis merci ! ^^