par ·0 Commentaires

Petite découverte en surfant sur certains forum raspberry pi: DietPi.
C’est une distribution orientée serveur et optimisée pour Raspberry Pi et autres boards ARM embarquées.
Elle permet d’avoir quelques fonctionnalités et tweaks supplémentaires à Raspbian, le tout dans une optique de performance et d’efficacité maximale.

Une distribution pensée pour la performance

DietPi se distingue par son approche minimaliste et optimisée. Contrairement à Raspbian classique, cette distribution fait des choix radicaux pour tirer le meilleur parti du matériel embarqué.

Pas d’interface graphique pour augmenter les performances et libérer un maximum de ressources système.
Fichiers de logs écrits dans un ram disk pour éviter les écritures sur la carte micro SD et prolonger sa durée de vie.
Interface simplifiée pour l’installation des paquets les plus connus, avec un système de menu intuitif.

Un catalogue d’applications prêtes à l’emploi

L’un des grands atouts de DietPi réside dans son système d’installation simplifié. Plutôt que de passer des heures à configurer manuellement chaque service, la distribution propose un catalogue complet d’applications préconfigurées.

Voici d’ailleurs la liste des applications ou services proposés: https://dietpi.com/docs/software/

Que vous souhaitiez monter un serveur web, un NAS, un serveur média ou encore un système domotique, DietPi met à disposition les outils nécessaires avec une installation en quelques clics.

Optimisation pour le matériel embarqué

L’objectif est d’optimiser les ressources du système en sachant qu’il va tourner sur du matériel embarqué, généralement peu puissant.

Chaque composant de la distribution a été revu pour consommer moins de RAM, moins de CPU et générer moins d’écritures sur le stockage. Cette approche garantit non seulement de meilleures performances, mais aussi une meilleure longévité du matériel, particulièrement important pour les cartes SD qui supportent mal les écritures intensives.

Pour qui est fait DietPi ?

Bref, plein d’outils et de facilités pour les personnes qui ne sont pas « barbus » mais qui veulent cependant un système embarqué rapide et fiable (typiquement pour un serveur).

Si vous cherchez une distribution légère, performante et simple à configurer pour votre Raspberry Pi ou autre board ARM, DietPi mérite clairement le détour. C’est le compromis idéal entre puissance et accessibilité.

par ·0 Commentaires

Bon, on ne va pas plus présenter Tor…

Savez-vous qu’il est possible d’héberger des services uniquement accessibles depuis ce réseau ? Ces services cachés, appelés « Hidden Services » ou services onion, offrent une couche d’anonymat supplémentaire tant pour l’hébergeur que pour les visiteurs.

Configuration d’un Hidden Service

Oui, il faut configurer Tor avec les bons paramètres – voici un exemple pour un serveur web :

HiddenServiceDir /var/lib/tor/hidden_service/http
HiddenServicePort 80 127.0.0.1:80

Le paramètre HiddenServiceDir spécifie le répertoire où Tor stockera les clés et l’adresse .onion de votre service. Le paramètre HiddenServicePort définit le port externe (80 dans cet exemple) et redirige le trafic vers votre service local (ici 127.0.0.1:80).

Puis configurer notre service Apache ou Nginx pour qu’il écoute sur localhost, redémarrer le service Tor et hop, on a un site web uniquement accessible depuis le réseau Tor. L’adresse .onion générée se trouve dans le fichier hostname du répertoire défini par HiddenServiceDir.

Pas trop dur… On peut aussi faire de même pour d’autres services (IRC, XMPP, serveur de fichiers…). Il suffit d’adapter le port et l’adresse locale du service concerné.

Sécuriser son serveur

Et oui, grâce à Tor, il est possible de sécuriser son serveur. Je m’explique :

Imaginons que nous administrons à distance (via SSH) un serveur. D’ordinaire, on est obligé d’ouvrir le port 22 depuis tout Internet, ce qui expose notre serveur aux tentatives de connexion malveillantes, aux scans de ports et aux attaques automatisées. Ici, on va créer un service caché SSH, on pourra ainsi éviter les robots brute-force et autres scripts. Pour se connecter à notre serveur, il faudra être connecté au réseau Tor (il faut déjà le savoir), connaître l’adresse onion du serveur (vas-y pour le brute-force – une adresse en 56 caractères aléatoires pour les services v3) et bien entendu les autres mécanismes de sécurité liés au service SSH (PAM, clé RSA,…).

Configuration pour un Hidden Service SSH :

HiddenServiceDir /var/lib/tor/hidden_service/ssh
HiddenServicePort 22 127.0.0.1:22

Donc pas de DDNS ni de configuration firewall de dingue (juste le deny). Votre serveur devient pratiquement invisible depuis Internet classique, tout en restant accessible pour vous via Tor.

Pour vous connecter ensuite, il suffit d’utiliser SSH via Tor avec la commande suivante :

ssh -o ProxyCommand="nc -X 5 -x 127.0.0.1:9050 %h %p" user@votre-adresse.onion

Ou de configurer torify :

torify ssh user@votre-adresse.onion

Plus d’infos

Firewall

Il n’y a pas de configuration spéciale du firewall à faire. C’est le service Tor qui contacte (output) le réseau. On peut ainsi rejeter toutes les connexions inconnues entrantes (input).

Exemple de règles iptables minimalistes :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Voilà, vous disposez d’un serveur sécurisé dont l’adresse IP réelle reste cachée, protégé des scans et attaques automatisées. Les services ne sont accessibles que via le réseau Tor, offrant une couche de sécurité par l’obscurité (en complément des autres mesures, pas en remplacement).

Avantages des Hidden Services

Les avantages sont multiples : anonymat de l’hébergeur, protection contre les attaques DDoS ciblées sur l’IP, contournement de la censure, et simplicité de mise en place. Pas besoin d’adresse IP fixe, pas de nom de domaine à acheter, pas de certificat SSL à configurer (le chiffrement est assuré par Tor).

Évidemment, cette approche a aussi ses limites : dépendance au réseau Tor, latence plus élevée, et nécessité pour les utilisateurs d’utiliser le navigateur Tor ou de configurer leur client.

par ·0 Commentaires
Vous cherchez une solution de backup simple, efficace et fiable sous Linux ?

Rsync tout simplement.

Cet outil en ligne de commande est un incontournable pour qui veut mettre en place une stratégie de sauvegarde robuste sans s’encombrer de solutions complexes ou payantes.

Pourquoi choisir rsync ?

Rsync présente plusieurs avantages qui en font un choix de premier ordre pour vos backups :

  • Transfert optimisé : seules les différences entre les fichiers sont copiées
  • Préservation des permissions, dates et attributs des fichiers
  • Support de la compression à la volée
  • Possibilité de reprendre un transfert interrompu
  • Fonctionnement en local ou via SSH pour des sauvegardes distantes

Les différents types de backup possibles

On peut facilement mettre en place différents types de sauvegardes selon vos besoins :

Backup intégral

Copie complète de toutes les données à chaque exécution. Simple mais gourmand en espace disque.

Backup incrémental

Sauvegarde uniquement les fichiers modifiés depuis la dernière sauvegarde (quelle qu’elle soit). Économe en espace mais restauration plus complexe.

Backup différentiel

Sauvegarde les modifications depuis la dernière sauvegarde complète. Compromis intéressant entre espace et facilité de restauration.

Mise en pratique

Ça demande un peu de scripting (basique) au début, mais ça en vaut vraiment la peine.

Pour démarrer et voir des exemples concrets d’utilisation de rsync comme utilitaire de backup, je vous recommande cette excellente documentation : https://wiki.archlinux.org/index.php/rsync#As_a_backup_utility

Vous y trouverez des cas d’usage pratiques, des options utiles et des scripts prêts à l’emploi que vous pourrez adapter à vos besoins spécifiques.

Automatisation

Une fois votre script de backup créé, pensez à l’automatiser avec cron pour des sauvegardes régulières sans intervention manuelle. C’est la clé d’une stratégie de backup efficace.

Rsync reste une solution éprouvée, légère et infiniment configurable. Un vrai couteau suisse du backup sous Linux.