Site web sur Raspberry Pi, Est-ce risqué pour le réseau du domicile ? |
Bienvenue invité ( Connexion | Inscription )
Site web sur Raspberry Pi, Est-ce risqué pour le réseau du domicile ? |
9 Oct 2019, 09:17
Message
#1
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Bonjour tout le monde !
Ayant abandonné mon hébergement complet chez OVH pour un simple NDD+mail (Infomaniak), je m'intéresse à une solution d'auto-hébergement avec un Raspberry Pi. L'idée est d'y héberger un simple « site-CV » (Wordpress), à moindre coût (et à moindre impact écologique (?)). Si j'ai bien compris, il faudrait mettre le Raspberry derrière la box et ouvrir un port pour pouvoir laisser les internautes y accéder depuis le web. Ma question est donc assez simple (la réponse peut-être moins) : y a-t-il un risque que l'on puisse accéder à mon réseau local (et donc, mon Mac), via le Raspberry (une éventuelle faille du serveur, de WP…), ou est-ce que c'est vraiment cloisonné ? |
|
|
9 Oct 2019, 09:34
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 182 Inscrit : 13 Dec 2007 Membre no 102 454 |
Pour faire court: Du moment que tu ouvre ton réseau la réponse est oui c'est risqué.
Ca veut dire que le firewall doit être blindé, le routage des ports aussi, que le pi soit en permanence à jour à 100% pour l'os et les applis, et pareil pour wordpress. Mais cela ne te garantira que contre les failles qui ont déja un correctif, et wordpress selon les extensions en place c'est très variable. -------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
9 Oct 2019, 09:41
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Merci pour ta réponse.
J'ai bien conscience que le risque zéro n'existe pas en sécurité. Une attaque sur mon site serait embêtante mais pas dramatique, mais je ne veux pas laisser la porte ouverte à une éventuelle intrusion dans mon Mac. Il n'y a donc pas de moyen de cloisonner les environnements, un peu à la manière des serveurs mutualisés qui empêchent les passerelles entre les différents sites qu'ils hébergent ? En schématisant : je laisse juste un couloir sans portes jusqu'au Raspberry, en lecture seule. |
|
|
9 Oct 2019, 10:25
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 182 Inscrit : 13 Dec 2007 Membre no 102 454 |
je ne suis pas un spécialiste, mais peut être en créant des vlan pour isoler les éléments public/perso
-------------------- MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram
iMac early 2009 24" + MBA 2021 13" M1 Iphone 8 + XS 64Go |
|
|
9 Oct 2019, 14:48
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 454 Inscrit : 28 Dec 2001 Lieu : ile de france Membre no 1 715 |
essaye a minima de séparer ton site web rasp et le reste du réseau.
raps est un peu permissif et propriétaire, ce qui n’empêche pas les petit malin de trouver des failles -------------------- macpro1,1 Dual core 2,66 GHz, 4 Go FB-dimm+ radeon HD 5770 + ST 500 Go + LCD Samsung 710T + Mac OS 10.6.8 + plantronics DSP 500 + Canon S50 + imprimante HP5520 + ipad mini ► NO WINDOWS BOOT... Only linux manjaro -------------------- |
|
|
9 Oct 2019, 15:13
Message
#6
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Selon vous il vaudrait donc mieux éviter d'utiliser un Raspberry Pi pour ce genre d'usage ?
|
|
|
9 Oct 2019, 16:04
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 454 Inscrit : 28 Dec 2001 Lieu : ile de france Membre no 1 715 |
tu tu as le moyen switch ou routeur pour séparer le traffic....
-------------------- macpro1,1 Dual core 2,66 GHz, 4 Go FB-dimm+ radeon HD 5770 + ST 500 Go + LCD Samsung 710T + Mac OS 10.6.8 + plantronics DSP 500 + Canon S50 + imprimante HP5520 + ipad mini ► NO WINDOWS BOOT... Only linux manjaro -------------------- |
|
|
9 Oct 2019, 18:59
Message
#8
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 531 Inscrit : 2 Feb 2011 Membre no 164 276 |
Ma question est donc assez simple (la réponse peut-être moins) : y a-t-il un risque que l'on puisse accéder à mon réseau local (et donc, mon Mac), via le Raspberry (une éventuelle faille du serveur, de WP…), ou est-ce que c'est vraiment cloisonné ? Une Box, par défaut, bloque toutes les connexions entrantes (enfin, sauf celles utilisées par l'opérateur pour la gestion de la Box)Dans une Box, pour autoriser l'accès à une machine de ton LAN (par exemple le Raspberry) à partir d'internet, il y a 2 possibilités: -Mettre l'adresse IP locale du Rasp en DMZ, mais là, aucune sécurité… -Renseigner la table NAT/PAT de la box en déclarant l'adresse IP locale du Rasp et les n° de ports applicatifs nécessaires. De cette façon, de l'extérieur, seul le Rasp sera accessible. Le seul truc qui pourrait être dangereux, c'est de mettre un numéro de port d'accès à distance. Dans ce cas, le Rasp serait alors une porte d'entrée pour tout ton réseau local. Il faudra aussi mettre une IP fixe sur le Rasp. Il se peut aussi que le port 80 soit utilisé par la Box. Si c'est le cas, il faudra utiliser un autre port. Le 8080 par exemple. Après, le VPN est aussi une bonne solution si tu peux imposer à toutes les personnes censées se connecter à ton site d'installer le VPN Client qui va bien... Mais il faudra aussi le configurer dans la Box Ce message a été modifié par Polo35230 - 9 Oct 2019, 19:22. |
|
|
10 Oct 2019, 14:57
Message
#9
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Merci pour ces éclaircissements.
Cette 2e méthode est équivalente à celle proposée par maclinuxG4 non ? Si j'ai bien compris l'installation ressemblera à ça : Le-vilain-méchant-web-et-ses-attaques ↓ Freebox (sur IP fixe) ↓ Port ouvert (80 ou autre) ↓ Raspberry Pi (sur IP fixe) ⤓ Pas de passerelle vers mon réseau (idéalement) Le tout avec une bonne configuration sur la Freebox et le Raspberry qui bride tout. |
|
|
10 Oct 2019, 15:30
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 014 Inscrit : 13 Jul 2004 Lieu : 83 Membre no 20 969 |
Bonjour BigBen,
Je m'interroge, ne serait il pas possible et souhaitable de commencer par sécuriser l'accès à ce site CV pour commencer ? Par un mot de passe par exemple. Je m'explique, un site CV en principe c'est ciblé , çà ne s'adresse pas à tout le monde , mais à des employeurs ou à des clients ciblés. Non je me trompe ? Parce que si c'est ciblé en donnant le mot de passe pour l'accès au site CV juste aux personnes ou entreprises qui doivent y avoir accès sa limite déjà un peu les risques. Il y a des années que j'en ai pas fait de site web, mais de ce que je me souviens les moyens d'en sécurisé l'entrée sont nombreux. Ce message a été modifié par bob II - 10 Oct 2019, 15:34. -------------------- Macbook Air 13" M1 8 Go SSD 256 Go Mac os Sonoma 14.2.1 et Apple TV 4K tvOS 15.2 |
|
|
10 Oct 2019, 15:56
Message
#11
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
En effet, mais la sécurisation d'un site Wordpress je connais un peu, alors que la configuration des ports d'une box et d'un Raspberry Pi pas du tout.
|
|
|
10 Oct 2019, 16:06
Message
#12
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 531 Inscrit : 2 Feb 2011 Membre no 164 276 |
Merci pour ces éclaircissements. Si j'ai bien compris l'installation ressemblera à ça : Le-vilain-méchant-web-et-ses-attaques ↓ Freebox (sur IP fixe) ↓ Port ouvert (80 ou autre) ↓ Raspberry Pi (sur IP fixe) ⤓ Pas de passerelle vers mon réseau (idéalement) Le tout avec une bonne configuration sur la Freebox et le Raspberry qui bride tout. Oui, c'est ça. J'ai pas compris ce que tu voulais dire par "Pas de passerelle vers mon réseau (idéalement)" |
|
|
10 Oct 2019, 20:20
Message
#13
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Je voulais dire j'aimerais qu'il n'y ai aucun moyen pour qu'une personne mal intentionnée accède à mon Mac depuis l'extérieur en passant par le Raspberry ou le port ouvert de la box.
Ce message a été modifié par BigBen - 10 Oct 2019, 20:20. |
|
|
11 Oct 2019, 07:13
Message
#14
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 531 Inscrit : 2 Feb 2011 Membre no 164 276 |
Je voulais dire j'aimerais qu'il n'y ai aucun moyen pour qu'une personne mal intentionnée accède à mon Mac depuis l'extérieur en passant par le Raspberry ou le port ouvert de la box. Si dans la box les ports correspondants aux applis de prise de contrôle à distance duRasp (du genre VNC 5900), ou tout ce qui peut passer dans SSH (22) ne sont pas configurés, pas possible de passer du Rasp aux autres machines de ton LAN. Après, tu peux aussi configurer le firewall du Rasp. Ceinture et bretelles… |
|
|
11 Oct 2019, 19:54
Message
#15
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 314 Inscrit : 22 Dec 2003 Lieu : Lyon Membre no 12 717 |
Ah, génial ! En voilà une bonne nouvelle
Je n'ai plus qu'à potasser tout ça alors... Merci pour vos conseils ! |
|
|
Nous sommes le : 18th April 2024 - 05:49 |