Alionet - Communauté openSUSE francophone

openSUSE => Internet, réseaux et serveurs => Discussion initiée par: squid-f le 12 Novembre, 2019, 21:35:29

Titre: Projet Spamhaus
Publié par: squid-f le 12 Novembre, 2019, 21:35:29
Bonjour à toutes et à tous

Que pensez-vous du projet SPAMHAUS et de sa liste d'adresse IP réputées novices qu'il faudrait bloquer ?

Je pose la question car j'ai un serveur Nextcloud ouvert sur l'extérieur et je me demande si c'est une sécurité intéressante à installer (via iptable du firewall, si j'ai bien compris).

Lien (en anglais car la version française est vraiment très succincte) : Spamhaus_wikipedia (https://en.wikipedia.org/wiki/The_Spamhaus_Project)

Merci à vous!
Titre: Re : Projet Spamhaus
Publié par: sogal le 12 Novembre, 2019, 22:46:41
Salut,
J'ai aussi mon Nextcloud ouvert sur le vaste monde. Je n'ai jamais eu besoin de ça. Spamhaus est en revanche très utilisé dans les configurations Postfix pour bloquer les spammeurs, mais dans le cadre d'un Nextcloud, je n'en vois pas l'intérêt.
En revanche, mets un pare-feu (iptables direct ou firewalld), ferme tous les ports sauf les nécessaires (80, 443, 22 pour l'admin SSH et peut être d'autres dont tu as besoin) et mets un fail2ban avec les jails SSH et apache-dos activées.
Titre: Re : Projet Spamhaus
Publié par: squid-f le 12 Novembre, 2019, 23:15:28
Merci sogal!

J'ai effectivement FAIL2BAN d'installé et juste ouvert les ports dont tu parles (+NFS et Samba).
Mais, de l'extérieur, cela passe par mon router qui ne forward que les ports 80 et 443. Le serveur n'est accessible qu'en HTTPS mais j'ai laissé le port 80 car CERTBOT doit en avoir besoin pour renouveler le certificat LETSENCRYPT (correct ??).

Mes respects pour tout le support que tu apportes. ;)
Titre: Re : Projet Spamhaus
Publié par: sogal le 12 Novembre, 2019, 23:33:33
Citer
Le serveur n'est accessible qu'en HTTPS mais j'ai laissé le port 80 car CERTBOT doit en avoir besoin pour renouveler le certificat LETSENCRYPT (correct ??)

Correct oui, c'est une bonne pratique de laisser le port 80 ouvert pour cela et, dans la config du vhost (nginx je crois dans ton cas), faire un redirect vers la version HTTPS (443).
Lire: https://letsencrypt.org/fr/docs/allow-port-80/
Titre: Re : Projet Spamhaus
Publié par: squid-f le 12 Novembre, 2019, 23:58:07
Ok. Je suis à jour alors avec le redirect  ;)

Je n’installerai donc pas les filtres IP de spamhaus.

Bonne nuit maintenant et au plaisir.