Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:security:reaction [2024/08/17 21:23] – lonclegr
+++ fr:security:reaction [2024/08/17 22:01] (Version actuelle) – [Usage] lonclegr
@@ Ligne 11: / Ligne 11: @@
-{{ :en:security:architecture-one-server-access.png?direct&600 |Architecture avec un seul serveur}}
+{{ :fr:security:architecture-one-server-access-fr.png?direct&600 |Architecture avec un seul serveur}}
 J'ai configuré [[fr:security:iptables|iptables]] sur mon serveur de la façon la plus restrictive que je connaisse d'un point de vue réseau: uniquement deux IP publiques ont accès en SSH au serveur. Cela fonctionne très bien. Mais avec ce design il y a un cas limite. En effet, mes FAI ((Fournisseurs d'Accès Internet)) me fournissent des IP dynamiques. Elles peuvent donc changer sans préavis même si cela n'est pas arrivé une seule fois en 3 ans (( ne jamais dire jamais )).
 J'ai accepté ce risque en gardant en tête ces deux idées:
-  - Comme mes IPs ne changent pas très souvent et que j'utilise deux FAI différents alors la probabilité que les deux changent en même temps est faible. Je me disais que si une IP changeait alors il me resterai la deuxième pour remettre à jour les restrictions d'accès.
+  - Comme mes IPs ne changent pas très souvent et que j'utilise deux FAI différents alors la probabilité que les deux changent en même temps est faible. Je me disais que si une IP changeait alors il me resterait la deuxième pour remettre à jour les restrictions d'accès.
   - Dans le pire scénario où les deux IP changeraient en même temps, je pourrais toujours utiliser la console d'administration d'urgence de mon hébergeur pour accéder à une console root de mon serveur et changer les restrictions d'accès d'[[fr:security:iptables|iptables]].
-===== Odds always win =====
+===== Les probabilités gagnent toujours =====
-One day, one of my ISP put down my internet access for a few days. They had to fix something to improve bandwidth. No problem, I still have access to my server using my second ISP. But the following morning, bad news: all my backup reports came back to me with errors ((yes I use this server for backup)). Long story short, my second ISP decided to change my IP during the night ((I challenged them to know what happened and they decided to switch the subnet I was part of to a smaller/cheaper one)).
+Un jour, l'un de mes FAI a coupé mon accès à internet pour plusieurs jours. Aucun problème, j'avais toujours accès à mon serveur avec le second FAI. Mais le matin suivant, mauvaise surprise: tous mes rapports automatiques de sauvegarde me sont apparus en erreur (( oui j'utilise mon serveur en tant que backup )). Mon deuxième FAI avait décidé dans la nuit de changer mon IP (( ils ont choisi de libérer un sous-réseau d'IPv4 trop cher pour un autre plus petit et moins cher )).
-I decided that I was going to use my last option: emergency console access to my server from the provider. But bad surprise again, my provider did not provide such a service.
+Alors aux grands maux les grands remèdes, j'essaie d'utiliser la console d'urgence de mon hébergeur. Et là, triste de constater qu'il n'offrait plus ce service.
-As a result, I lost access to my server for days. In the meantime, I was looking for a more robust design. That's how [[https://en.wikipedia.org/wiki/Fail2ban|fail2ban]] came back to my mind and even better I remembered that one person from the [[https://www.chatons.org/en|CHATONS]] [[https://picasoft.net|Picasoft]] was working on the perfect tool for me: [[https://blog.ppom.me/en-reaction/|reaction]].
-===== New architecture =====
+Résultat des courses, j'ai perdu accès à mon serveur pendant plusieurs jours. J'ai donc "profité" de ce temps pour revoir mon design avec quelque chose de plus robuste. C'est ainsi que [[https://fr.wikipedia.org/wiki/Fail2ban|fail2ban]] m'est revenu en tête et encore mieux, je me suis souvenu qu'une personne membre du [[https://www.chatons.org/|CHATONS]] [[https://picasoft.net|Picasoft]] était en train de travailler sur l'outil parfait pour moi: [[https://blog.ppom.me/fr-reaction/|reaction]].
+===== Nouvelle architecture =====
-In this new architecture, I introduced a new server "Bastion SSH Server" which has only SSH server and [[https://blog.ppom.me/en-reaction/|reaction]].
+Dans cette nouvelle mouture, j'ai choisi d'introduire un [[https://fr.wikipedia.org/wiki/Bastion_(informatique)|serveur bastion]] dédié à SSH et qui serait protégé par [[https://blog.ppom.me/fr-reaction/|reaction]].
-{{ :en:security:architecture-one-server-access-with-bastion.png?direct&600 |Architecture with Bastion SSH server}}
+{{ :fr:security:architecture-one-server-access-with-bastion-fr.png?direct&600 |Architecture avec un serveur bastion SSH}}
-===== Why not Fail2ban ? =====
+===== Pourquoi pas Fail2ban ? =====
-Well, for two main reasons I decided to use [[https://blog.ppom.me/en-reaction/|reaction]] instead of [[https://en.wikipedia.org/wiki/Fail2ban|fail2ban]]:
+Et bien pour ma part, j'ai choisi d'utiliser [[https://blog.ppom.me/fr-reaction/|reaction]] plutôt que [[https://fr.wikipedia.org/wiki/Fail2ban|fail2ban]]  pour deux raisons principales:
-  - Fail2ban is an old software with few new features
+  - Fail2ban est un vieux logiciel avec peu de nouvelles fonctionnalités.
-  - Reaction uses recent technologies and is very efficient. And cherry on the cake, it has an ultimate goal of federating black-listed-IPs.
+  - Reaction utilise des technologies récentes et est très efficace. Et cerise sur le gâteau, il a un but très important pour moi: fournir/s'appuyer sur une fédération d'IPs bannies.
+Comme une bonne image vaut mille mots, je vous propose celle-ci réalisée par [[https://ptilouk.net/|Gee]].
-And since a good drawing is always better than long speech, let me share with you this one made by [[https://ptilouk.net/|Gee]].
+{{ :fr:security:bd-reaction-francais.png?direct&600 |Reaction le nouveau Fail2ban}}
-{{ :en:security:bd-reaction-english.png?direct&600 |Reaction the new Fail2ban}}
+===== Retour d'expérience =====
+J'utilise l'outil depuis quelques semaines et j'en suis très satisfait.
+Prenez quelques minutes pour le tester vous-même 8-).
+==== Utilisation ====
-===== Feedback =====
+Le service est actif depuis 2 semaines et 2 jours et l'utilisation mémoire est très basse.
-I am using this tool within this new architecture for weeks now and I am very satisfied.
-==== Usage ====
-The service is up for 2 weeks and 2 days and memory usage is very low.
 {{ :en:security:reaction-usage-for-2-weeks.png?direct&600 |Reaction systemctl status}}
@@ Ligne 55: / Ligne 53: @@
 ==== Ansible playbook ====
-Here is my playbook I use to setup it on my server. It is not perfect but if it can help you to test easily 8-)
+Voici mon playbook ansible pour configurer reaction sur mon serveur. Ce n'est pas parfait mais cela peut permettre de tester facilement.
 <code yaml>
@@ Ligne 118: / Ligne 117: @@
 </code>
-and the config file for SSH based on [[https://reaction.ppom.me/filters/ssh.html|official documentation]]
+et la configuration pour les banissements via logs SSH selon la [[https://reaction.ppom.me/filters/ssh.html|documentation officielle]]
 <code>
@@ Ligne 151: / Ligne 150: @@
 </code>
-and the service
+et le service
 <code>
@@ Ligne 163: / Ligne 162: @@
 </code>
-This code is based on the one you can find on the official blog of [[https://blog.ppom.me/en-reaction/|reaction]].
+Ce code se base sur ceux fournis par le blog officiel de [[https://blog.ppom.me/fr-reaction/|reaction]].
 ===== Conclusion =====
-This tool is a very good initiative that everybody should support! At least everybody that needs such tool should give a try. The creator is very talented and tries to push the tool into a direction that can make everything more safe.
+Cet outil est une très bonne initiative que tout le monde devrait suivre. Au moins prenez le temps de l'essayer. La personne derrière ce projet s'investit réellement dedans et il me fait plaisir de la soutenir dans ce bel objectif d'avoir un internet plus sûr.