Page 14 sur 16

Re: Keros : Mon projet, mon matos & des infos

Publié : 17 oct. 2023, 20:02
par Keros
5000e message :)

Re: Keros : Mon projet, mon matos & des infos

Publié : 18 oct. 2023, 07:46
par Doudy
👍

Re: Keros : Mon projet, mon matos & des infos

Publié : 11 nov. 2023, 21:32
par Keros
Les SMS c'est bien pour contrôler quelques petites choses à distance, mais avoir accès à l'interface de DomoticZ, c'est quand même mieux.

De quoi je dispose :
  • Un téléphone Linux avec un navigateur
  • Un budget de quelques euros par mois si besoin

Quelles solutions avais-je ?
  • Utiliser une application
Mon téléphone n'est pas compatible avec les Playstore, AppStore > pas possible
  • Ouvrir des ports et passer par ma box
Pas assez sécurisant pour moi > pas possible
  • Utiliser un VPN
Je n'arrive pas à les installer sur mon téléphone et il faudrait ouvrir des ports sur ma box > pas possible
  • Utiliser un Zero Trust Network Access type Tailscale ou Twingate
Mon téléphone n'est pas compatible avec leurs applications > pas possible
Sinon, cela aurait contourné le besoin d'ouvrir des ports dans ma box.
  • Passer par un VPS
J'avais gardé ce tutoriel en favoris depuis longtemps, car c'est pour moi la solution la plus sécurisée. Elle nécessite l'utilisation d'un VPS (un serveur virtuel chez un hébergeur) dont le prix et de quelques euros par mois. Ayant eu besoin d'un VPS pour faire d'autres choses, je l'utilise également pour DomoticZ.
Et comme je dispose d'une commande de DomoticZ à distance avec RaspiSMS, je peux activer le tunnel SSH seulement quand j'en ai l'utilité. Le reste du temps, c'est LAN only :mrgreen:

Re: Keros : Mon projet, mon matos & des infos

Publié : 06 janv. 2024, 19:19
par DiliaK
Hello,
Je sais bien que chacun fait comme il veut mais je ne vois pas quel risque il y a à ouvrir quelques ports sur la box et les diriger ou on en a besoin (rasp domoticz, par exemple).
Après, c'est intéressant si on a FREE, le seul qui permet d'avoir une IP fixe et d'avoir les ports full stack.

Il existe des petits scripts qui permettent de connaitre son IP dynamique à son changement et de travailler avec.
Du reste, une IP fixe, c'est intéressant surtout si on a un nom de domaine mais même, il vaut mieux car avec une IP dynamique, quand on change, on ne sait pas ce que faisait le précédent possesseur de cette IP et, oui, ça peut être emmerdant.

Il suffit d'utiliser un serveur fail2ban, par exemple et derrière un serveur web et ports 80, 443 d'ouverts (voire que le 443 et bosser uniquement en https), port 22 pour le ssh (là on peut ruser en ouvrant un port non standard et ruser dans la config).

Avec les bons protocoles hyper sécurisés, il n'y a pas de risque.

Pour info, j'ai une palanquée de ports ouverts en direction de plusieurs machines (serveurs web, jeux, nas et j'en passe) et je n'ai jamais eu aucun souci. En général, ceux qui en ont c'est de leur faute en laissant des trucs pas à jour ou en cliquant ou il ne faut pas.

Les vps, oui, j'ai utilisé également mais l'inconvénient c'est qu'on attrape de la latence. Dans certains cas, cela ne gène pas mais il faut le savoir. J'en ai eu besoin pour fixer une adresse IP pour mes serveurs derrière une box 4G couplée à un routeur linksys qui faisait le pont avec le serveur VPS. Je n'avais pas encore internet dans la maison et ça m'a bien dépanné pendant quelques mois avant d'avoir la fibre.

Je ne cherche pas à te convaincre mais juste balancer des idées en vrac. Ca peut servir.

A+

Re: Keros : Mon projet, mon matos & des infos

Publié : 06 janv. 2024, 20:16
par Neutrino
Je me permets de répondre, on verra si Keros et sa grosse pelle laissera le débat ou pas :mrgreen:
Après, c'est intéressant si on a FREE, le seul qui permet d'avoir une IP fixe et d'avoir les ports full stack.
Je suis chez Bouygues depuis 9 mois et je n'ai jamais changé d'IP.
Et le problème de Full Stack semble justement être cantonné à Free
Il existe des petits scripts qui permettent de connaitre son IP dynamique à son changement et de travailler avec.
Du reste, une IP fixe, c'est intéressant surtout si on a un nom de domaine mais même, il vaut mieux car avec une IP dynamique, quand on change, on ne sait pas ce que faisait le précédent possesseur de cette IP et, oui, ça peut être emmerdant.
N'importe quelle box sait mettre à jour un DynDNS. Je connais mon IP, mais je préfère passer par mon nom de domaine.
Les opérateurs fixent de plus en plus les IP avec le déploiement de la fibre.
Il est vrai que Free a toujours proposé ça de manière officielle.
Il suffit d'utiliser un serveur fail2ban, par exemple et derrière un serveur web et ports 80, 443 d'ouverts (voire que le 443 et bosser uniquement en https), port 22 pour le ssh (là on peut ruser en ouvrant un port non standard et ruser dans la config).
Je passe aussi par une redirection de l'HTTPS vers un port exotique, j'ai quand même des visites...
Avec les bons protocoles hyper sécurisés, il n'y a pas de risque.
Le serveur web de Domoticz n'est pas connu pour être le plus sécurisé.
Et fail2ban se base sur les logs de domoticz qui sont, crois moi, très facile à saturer.
Pour info, j'ai une palanquée de ports ouverts en direction de plusieurs machines (serveurs web, jeux, nas et j'en passe) et je n'ai jamais eu aucun souci. En général, ceux qui en ont c'est de leur faute en laissant des trucs pas à jour ou en cliquant ou il ne faut pas.
Et en baisant sans capote parfois, on chope rien.
Tu as de la chance, mais ton expérience personnelle n'est pas une représentation de la réalité globale.
Plus tu héberges de serveurs, plus tu t'exposes à des injections possibles.
Le risque 0 n'existe pas.
Et d'ailleurs, voir domoticz toujours être sur une version ancienne de openSSL, ça me sidère...

Re: Keros : Mon projet, mon matos & des infos

Publié : 06 janv. 2024, 21:19
par DiliaK
Globalement d'accord, oui. Pour moi, fail2ban rejecte énormémént d'accès ssh. J'ai configuré pour ban l'ip pendant un temps donné au bout de 5 tentatives infructueuses.
Jamais eu de soucis côté http(s) pour ma part. Je crois bien, aussi, que les FAI protègent des DoS mais je n'en suis pas sûr.

Pour les IP fixes/dynamiques des FAI, ça se discute et effectivement, c'est un peu la jungle à ce niveau. Et oui, pour dyndns ou autre, ça peut se gérer dans la box. Chez FREE, il y a Dyndns, NoIP et OVH.

Pour les ports ouverts, c'est aussi un sujet de discussions à part entière. D'ailleurs pour mon serveur de jeux, j'ai un abonnement chez iblocklist. Je ban autant de pays que possible ; surtout ceux possiblement caffis de hackers (russie, par exemple). Après, je table sur le fait que ces gens peu recommandables s'attaquent pas à des quidams comme nous mais oui, sait-on jamais ?

Je ne m'étale pas plus ; surtout si la pelleteuse KEROS passera. ;)

Re: Keros : Mon projet, mon matos & des infos

Publié : 06 janv. 2024, 21:24
par Keros
@Neutrino, je n'ai jamais mis de discussions bienveillantes à la trappe ;)

@DiliaK, je ne suis pas chez Free et j'ai une IP fixe "full stack".
Je plussoie les réponses de Neutrino.

Je suis super frileux sur la sécurité informatique : je suis tombé dans un forum dédié à la sécurité informatique quand j'étais petit :lol: Je mets certainement la ceinture et les bretelles, mais désolé, je suis comme ça.
Maintenant, c'est un partage de ce que j'ai fait, en aucun cas une incitation à faire pareil. Si cela est compris comme ça, je m'en excuse (il faut me dire les passages et j'essaierai d'atténuer mes propos).

Évidemment que si j'avais plus de services à ouvrir, je lâcherai du lest. Là, c'est uniquement pour DomoticZ et, pour vous mettre dans la confidence, je ne m'en suis jamais encore servi en dehors de mes tests au moment où j'ai rédigé mon post :lol:

Edit après lecture de la réponse de DiliaK

Qu'est-ce que vous avez aujourd'hui avec ma pelle :mrgreen:

Allez, au pire, j'aurai déplacé ce tas de messages dans un nouveau sujet :D
D'un autre côté, cette discussion y serrait un peu plus en évidence ...

Keros : Mon projet, mon matos & des infos

Publié : 07 janv. 2024, 00:45
par pierrotori
j’ai ouvert le port 443 depuis 10 mois avec fail2ban , je peux dire que c’est efficace car j’ai fait des tests sans fail2 ban et les personnes essaient 10 fois. alors qu’avec fail2ban au bout de 2 fois en 1 min c’est finit.
l’accès en https est tres pratique et l’activation d’un vpn permet de faire des actions d’administration
cette architecture est vraiment tres efficace et sécuritaire
je suis chez sosh avec un domaine noip et des ip variable et aucun problème pour se connecter

Re: Keros : Mon projet, mon matos & des infos

Publié : 07 janv. 2024, 10:54
par DiliaK
Fail2ban est très efficace. Couplé avec rkhunter et c'est la classe de luxe :D

NB : Je n'avais pas vu "la grosse pelle". Je suis plié de rire !

Re: Keros : Mon projet, mon matos & des infos

Publié : 16 août 2024, 22:52
par Keros
6000e message :)