Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:security:reaction [2024/08/13 22:06] – lonclegr
+++ fr:security:reaction [2024/08/17 22:01] (Version actuelle) – [Usage] lonclegr
@@ Ligne 11: / Ligne 11: @@
-{{ :en:security:architecture-one-server-access.png?direct&600 |Architecture avec un seul serveur}}
+{{ :fr:security:architecture-one-server-access-fr.png?direct&600 |Architecture avec un seul serveur}}
-So I configured [[en:security:iptables|iptables]] on my server the most restrictive way I know from network perspective: only the two public IPs of my two ḧomes can access to SSH service. And it works fine. But by design, there is an issue about this choice I made. Indeed, my ISPs ((Internet Service Provider)) provide me dynamic IPs. It may change without notice but for the last 3 years it did not.
+J'ai configuré [[fr:security:iptables|iptables]] sur mon serveur de la façon la plus restrictive que je connaisse d'un point de vue réseau: uniquement deux IP publiques ont accès en SSH au serveur. Cela fonctionne très bien. Mais avec ce design il y a un cas limite. En effet, mes FAI ((Fournisseurs d'Accès Internet)) me fournissent des IP dynamiques. Elles peuvent donc changer sans préavis même si cela n'est pas arrivé une seule fois en 3 ans (( ne jamais dire jamais )).
-I accepted the risk because of two facts:
+J'ai accepté ce risque en gardant en tête ces deux idées:
-  - Since IPs don't change very often and I have two different ISP, the probability that both of them change at the same time is very low. So if one IP changes and I lose access to my server I can go the second home and update the configuration accordingly.
+  - Comme mes IPs ne changent pas très souvent et que j'utilise deux FAI différents alors la probabilité que les deux changent en même temps est faible. Je me disais que si une IP changeait alors il me resterait la deuxième pour remettre à jour les restrictions d'accès.
-  - Worst case scenario, I can use the emergency console access from my server provider and update the configuration of [[en:security:iptables|iptables]].
+  - Dans le pire scénario où les deux IP changeraient en même temps, je pourrais toujours utiliser la console d'administration d'urgence de mon hébergeur pour accéder à une console root de mon serveur et changer les restrictions d'accès d'[[fr:security:iptables|iptables]].
+===== Les probabilités gagnent toujours =====
-===== Odds always win =====
+Un jour, l'un de mes FAI a coupé mon accès à internet pour plusieurs jours. Aucun problème, j'avais toujours accès à mon serveur avec le second FAI. Mais le matin suivant, mauvaise surprise: tous mes rapports automatiques de sauvegarde me sont apparus en erreur (( oui j'utilise mon serveur en tant que backup )). Mon deuxième FAI avait décidé dans la nuit de changer mon IP (( ils ont choisi de libérer un sous-réseau d'IPv4 trop cher pour un autre plus petit et moins cher )).
+Alors aux grands maux les grands remèdes, j'essaie d'utiliser la console d'urgence de mon hébergeur. Et là, triste de constater qu'il n'offrait plus ce service.
-One day, one of my ISP put down my internet access for a few days. They had to fix something to improve bandwidth. No problem, I still have access to my server using my second ISP. But the following morning, bad news: all my backup reports came back to me with errors ((yes I use this server for backup)). Long story short, my second ISP decided to change my IP during the night ((I challenged them to know what happened and they decided to switch the subnet I was part of to a smaller/cheaper one)).
-I decided that I was going to use my last option: emergency console access to my server from the provider. But bad surprise again, my provider did not provide such a service.
-As a result, I lost access to my server for days. In the meantime, I was looking for a more robust design. That's how [[https://en.wikipedia.org/wiki/Fail2ban|fail2ban]] came back to my mind and even better I remembered that one person from the [[https://www.chatons.org/en|CHATONS]] [[https://picasoft.net|Picasoft]] was working on the perfect tool for me: [[https://blog.ppom.me/en-reaction/|reaction]].
+Résultat des courses, j'ai perdu accès à mon serveur pendant plusieurs jours. J'ai donc "profité" de ce temps pour revoir mon design avec quelque chose de plus robuste. C'est ainsi que [[https://fr.wikipedia.org/wiki/Fail2ban|fail2ban]] m'est revenu en tête et encore mieux, je me suis souvenu qu'une personne membre du [[https://www.chatons.org/|CHATONS]] [[https://picasoft.net|Picasoft]] était en train de travailler sur l'outil parfait pour moi: [[https://blog.ppom.me/fr-reaction/|reaction]].
+===== Nouvelle architecture =====
-===== New architecture =====
+Dans cette nouvelle mouture, j'ai choisi d'introduire un [[https://fr.wikipedia.org/wiki/Bastion_(informatique)|serveur bastion]] dédié à SSH et qui serait protégé par [[https://blog.ppom.me/fr-reaction/|reaction]].
-In this new architecture, I introduced a new server "Bastion SSH Server" which has only SSH server and [[https://blog.ppom.me/en-reaction/|reaction]].
+{{ :fr:security:architecture-one-server-access-with-bastion-fr.png?direct&600 |Architecture avec un serveur bastion SSH}}
+===== Pourquoi pas Fail2ban ? =====
-{{ :en:security:architecture-one-server-access-with-bastion.png?direct&600 |Architecture with Bastion SSH server}}
+Et bien pour ma part, j'ai choisi d'utiliser [[https://blog.ppom.me/fr-reaction/|reaction]] plutôt que [[https://fr.wikipedia.org/wiki/Fail2ban|fail2ban]]  pour deux raisons principales:
-===== Why not Fail2ban ? =====
+  - Fail2ban est un vieux logiciel avec peu de nouvelles fonctionnalités.
+  - Reaction utilise des technologies récentes et est très efficace. Et cerise sur le gâteau, il a un but très important pour moi: fournir/s'appuyer sur une fédération d'IPs bannies.
-Well, for two main reasons I decided to use [[https://blog.ppom.me/en-reaction/|reaction]] instead of [[https://en.wikipedia.org/wiki/Fail2ban|fail2ban]]:
+Comme une bonne image vaut mille mots, je vous propose celle-ci réalisée par [[https://ptilouk.net/|Gee]].
-  - Fail2ban is an old software with few new features
-  - Reaction uses recent technologies and is very efficient. And cherry on the cake, it has an ultimate goal of federating black-listed-IPs.
+{{ :fr:security:bd-reaction-francais.png?direct&600 |Reaction le nouveau Fail2ban}}
-And since a good drawing is always better than long speech, let me share with you this one made by [[https://ptilouk.net/|Gee]].
-{{ :en:security:bd-reaction-english.png?direct&600 |Reaction the new Fail2ban}}
+===== Retour d'expérience =====
+J'utilise l'outil depuis quelques semaines et j'en suis très satisfait.
+Prenez quelques minutes pour le tester vous-même 8-).
+==== Utilisation ====
+Le service est actif depuis 2 semaines et 2 jours et l'utilisation mémoire est très basse.
-===== Feedback =====
-I am using this tool within this new architecture for weeks now and I am very satisfied.
-==== Usage ====
-The service is up for 2 weeks and 2 days and memory usage is very low.
 {{ :en:security:reaction-usage-for-2-weeks.png?direct&600 |Reaction systemctl status}}
@@ Ligne 56: / Ligne 53: @@
 ==== Ansible playbook ====
-Here is my playbook I use to setup it on my server. It is not perfect but if it can help you to test easily 8-)
+Voici mon playbook ansible pour configurer reaction sur mon serveur. Ce n'est pas parfait mais cela peut permettre de tester facilement.
 <code yaml>
@@ Ligne 119: / Ligne 117: @@
 </code>
-and the config file for SSH based on [[https://reaction.ppom.me/filters/ssh.html|official documentation]]
+et la configuration pour les banissements via logs SSH selon la [[https://reaction.ppom.me/filters/ssh.html|documentation officielle]]
 <code>
@@ Ligne 152: / Ligne 150: @@
 </code>
-and the service
+et le service
 <code>
@@ Ligne 164: / Ligne 162: @@
 </code>
-This code is based on the one you can find on the official blog of [[https://blog.ppom.me/en-reaction/|reaction]].
+Ce code se base sur ceux fournis par le blog officiel de [[https://blog.ppom.me/fr-reaction/|reaction]].
 ===== Conclusion =====
-This tool is a very good initiative that everybody should support! At least everybody that needs such tool should give a try. The creator is very talented and tries to push the tool into a direction that can make everything more safe.
+Cet outil est une très bonne initiative que tout le monde devrait suivre. Au moins prenez le temps de l'essayer. La personne derrière ce projet s'investit réellement dedans et il me fait plaisir de la soutenir dans ce bel objectif d'avoir un internet plus sûr.