Serveur

wilson - Modifié le 14 sept. 2022 à 23:26
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 - 23 sept. 2022 à 01:33

Bonjour à tous. Je fais un appel à la communauté pour m'orienté. J'ai besoin de personnes ayant des connaisances avancés en informatique, j'ai une machine physique ( unité centrale ) que j'ai envie de transformé en serveur. 

Le but et d'avoir un serveur de stockage ou je peux déposer et prendre tout type de fichier depuis n'importe quelle endroit dans le monde, de manière sécurisé et ultra fluide par ce que si c'est pour upload 5go en 24h ça ne sert à rien :

A ma dispsition: 

-Plusieurs unité centrale(si je peux en faire tournée que une ça m'arangerais)

-1 Nom de domaine 

-Une fibre orange 1go/s ( serveur brancher à la box en direct ) 

A voir pour la question de la redirection du nom de domaine car je ne peux pas le pointer directemnt sur le port 443 de ma box puis sur le seveur, ça fonctionne mais ça poses des problemes de sécurités et autres...

Pourquoi pas un nextcloud pour en faire profiter à mon entourage, j'attends vos idées avec impatience.

Merci de m'aider 

13 réponses

avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
15 sept. 2022 à 00:18

Bonjour,

Plusieurs unité centrale(si je peux en faire tournée que une ça m'arangerais)

Une seule machine sera suffisante pour une usage restreint. Mieux vaut privilégier une machine performante que plusieurs antiquités, en sachant qu'un ordinateur peut consommer plus de 40 W au repos. Il existe aussi des ordinateurs fixes mais avec des CPU de laptop (comme les Intel NUC), pour consommer encore moins.

A voir pour la question de la redirection du nom de domaine car je ne peux pas le pointer directemnt sur le port 443 de ma box puis sur le seveur, ça fonctionne mais ça poses des problemes de sécurités et autres...

Un nom de domaine ne pointe pas vers un port mais vers une adresse IP. Si le port écouté par le serveur HTTP/HTTPS n'est pas standards (80/443), il devra alors être précisé dans l'URL sous la forme https://example.com:8443 par exemple.

Les ports ne jouent aucun rôle de sécurité, que ça soit 442, 443 ou 444 c'est la même chose au niveau TCP/UDP, c'est juste un nombre. Quel que soit le port choisi, celui-ci devra être ouvert au niveau du pare-feu et éventuellement redirigé en IPv4 derrière un NAT.

Le seul "problème" qu'on peut rencontrer avec le port 443, c'est qu'il soit déjà utilisé par la box.

Pourquoi pas un nextcloud pour en faire profiter à mon entourage, j'attends vos idées avec impatience.

C'est certainement la solution la plus pratique pour l'utilisateur final, surtout avec les applications mobiles et les multiples fonctionnalités en plus du stockage de fichiers : agenda, contacts, notes, ... Personnellement, je le déploie avec Podman, derrière un proxy inversé (Traefik).

Alternativement, je trouve qu'une installation minimale d'un Linux peut faire le boulot, le serveur SSH intégré à la majorité des distributions permet l'accès SFTP de façon sûre. Les solutions NAS (TrueNAS, OpenMediaVault, ...) peuvent être inutilement lourdes.

Si tu gères du stockage que ce soit pour toi-même ou d'autres personnes, assures-toi d'avoir une bonne stratégie de sauvegarde. Si tu as deux disques durs, il est préférable d'utiliser le second comme destination de sauvegarde et non pas dans un RAID. Un peu de lecture : https://www.raidisnotabackup.com/

0

Bonjour avion-f16, 

Je me suis mal exprimé pour la rediraction mais tout se que tu as dis je le savais, rappel toi sur un autre topic " probleme de debit nas" , une personne a soulver un probleme concernant la redirection rappel-toi "probleme soulever par burpala" sur le topic " https://forums.commentcamarche.net/forum/affich-37629739-probleme-de-debit-nas?utm_campaign=Mail+de+Service_&utm_medium=email&seen=2&utm_source=MagNews#p37637376".

Concernant la strategie de sauvegarde ne t'inquiétes pas pour ça je ferais le nécessaire. 

Dans un premier temps je vais réinstaller TrueNas et réinstaller nextcloud et voir si j'ai pas de problème de débit etc 

Sinon j'essayerais avec podman et proxy inversé. Ton podman tourne sur quel os ? docker?

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
15 sept. 2022 à 22:55

Bonjour,

Je n'ai pas fait le lien avec l'autre discussion. Cette nouvelle discussion ne comportait pas vraiment de question précise, je ne sais pas trop ce que tu attends comme réponse ?

Podman est une alternative à Docker. Ni Docker ni Podman ne sont des OS.

Les deux avantages de Podman sont :

  1. Pouvoir fonctionner dans les limites d'un utilisateur standard (rootless), sans daemon exécuté avec des privilèges élevés, ce qui est un gain en sécurité.
  2. Podman a un fonctionnement plus proche de Kubernetes par rapport à Docker, il y a notamment le concept de "pod". Podman peut lire ou générer des fichiers YAML pour Kubernetes.

Mais si tu te sens plus à l'aise avec Docker, tu peux aussi l'utiliser de façon équivalente.

J'utilise Podman sur les OS dérivés de Red Hat (Fedora et Rocky Linux).

0

Bonjour, 

Cette discution est en lien avec l'autre car une personne à soulver un problème de redirection. 

Mais oublions l'autre discusion ce qui m'importe c'est de trouver un moyen de créer un cloud en gros. 

Il faut que ça soit entièrement sécuriser, pas de possibilité de retrouver mon adresse ip etc... et il faut les performances optimales pour les transferts de données. 

J'ai donc tenter ma chance du coté de nextcloud, je l'ai donc installer ainsi que nextcloud et je suis entrain de faire des test de performances pour l'instant en local.

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
16 sept. 2022 à 15:03

Bonjour,

J'ai bien peur que tu mélanges beaucoup de choses encore...

Le "problème soulevé" n'a rien à voir avec une redirection, c'est le problème de "NAT hairpinning" :
https://fr.wikipedia.org/wiki/Hairpinning
https://en.wikipedia.org/wiki/Network_address_translation#NAT_loopback

Pour le résoudre, il faut faire en sorte que les machines dans ton LAN résolvent le nom example.com vers l'IP locale du serveur, et non pas l'IP du NAT. Cela peut nécessiter de déployer ton propre serveur DNS dans le LAN. Pour les machines en-dehors de ton LAN, example.com doit pointer vers l'IP du NAT (la box).

Il faut que ça soit entièrement sécuriser

Généralement, il suffit de tenir tous les logiciels serveurs à jour (OS, Nextcloud, logiciel HTTP, PHP, MySQL, ...), sécuriser l'accès avec HTTPS, choisir des mots de passe fiables (forts et uniques).

pas de possibilité de retrouver mon adresse ip

Il faut nécessairement une IP pour atteindre un serveur via Internet.
Ce que tu peux faire, c'est dissimuler ton IP derrière celle d'un autre service :

  1. Un NAT distant
  2. Un proxy TCP/UDP
  3. Un proxy HTTP(S)

Je recommande l'option 1 : elle permet d'assurer le flux continu des couches TCP et TLS entre le client et le serveur sans le casser au milieu. Le serveur peut également connaître l'IP du visiteur via le paquet IP.

L'option 2 permet aussi d'assurer le flux TLS continu, mais il y a deux flux TCP différents entre visiteur/proxy, et entre proxy/serveur. Tu n'as plus la possibilité de lire l'IP du visiteur sur les paquets IP entrants du serveur, c'est l'IP du proxy qui sera visible.

Je déconseille l'option 3 : cela nécessite de casser le flux TLS au niveau du proxy, et donc, de stocker la clé privée sur le proxy. À moins de faire du filtrage (WAF) ou du cache au niveau du proxy, ça n'a aucune utilité.

Si tu décides d'exposer ton service via CloudFlare afin de "masquer ton IP", sois bien conscient que CloudFlare est un proxy HTTP(S) et peut donc déchiffrer ton HTTPS. Je te conseille plutôt ngrok qui permet un "TLS passthrough".

et il faut les performances optimales pour les transferts de données

 Les bottlenecks peuvent provenir des performances des disques, du serveur (CPU, RAM, ...), du réseau local (peu probable), de ton lien vers Internet (si tu as la fibre 1 Gbps tu ne devrais avoir aucun soucis) et l'éventuel proxy.

0

Bonjour, 

donc si je comprend bien, faire pointer mon nom de domaine sur mon adresse ip publique, et rediriger mon serveur local sur les ports 443 et 80 n'est pas possible ? 

Donc en pratique je devrais dissimuler mon adresse ip avec l'une des 3 options que tu ma fournis et après comment doit-je faire pour "lier" nextcloud a mon nom de domaine si la redirection NAT de l'adresse ip local du serveur sur les ports 443 et 80 ainsi que le pointage du nom de domaine sur mon adresse ip publique n'est pas la bonne chose à faire ?

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
18 sept. 2022 à 01:16

Bonjour,

donc si je comprend bien, faire pointer mon nom de domaine sur mon adresse ip publique, et rediriger mon serveur local sur les ports 443 et 80 n'est pas possible ? 

Si, c'est possible. Mais « faire pointer mon nom de domaine sur mon adresse ip publique » est en contraction avec ce que tu as dit plus tôt : « pas de possibilité de retrouver mon adresse ip »

Donc en pratique je devrais dissimuler mon adresse ip avec l'une des 3 options que tu ma fournis

Ce n'est pas une obligation. Tu peux choisir de pointer ton domaine directement vers ton IP publique. Les trois solutions proposées servent si tu souhaites masquer ton adresse IP réelle.

Je pense qu'on n'a pas la même définition de "masquer l'adresse IP". Peut-être que tu veux seulement dire "utiliser un domaine" mais dans ce cas, la résolution DNS donnera l'IP. Toute communication via Internet requière des adresses IP, les noms de domaine ne permettent pas de s'en affranchir.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

bonjour,

non quand je parle de masquer mon adresse ip je ne parle pas de nom de domaine je parle vraiment de la dissimulé, faire en sorte que même si j'ai un nom de domaine l'adresse ip derrière le nom de domaine sois bien dissimuler. Je vais quand même héberger un cloud chez moi alors j'aimerais que ça sois bien sécuriser. 

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
20 sept. 2022 à 16:35

Bonjour,

Comme déjà dit, tu ne peux pas masquer l'adresse IP derrière un nom de domaine, c'est le fondement de toute connexion via Internet. La résolution DNS d'un nom donne une (ou plusieurs) adresse(s) IP. La seule chose que tu peux faire, c'est cacher l'IP réelle derrière une autre via un NAT/proxy. Ce NAT/proxy peut limiter la bande passante dirigée vers ton propre serveur si tu crains une attaque DOS/DDOS.

Les adresses IP ne jouent aucun rôle de sécurité ou de confidentialité, les protocoles IP n'ont pas été conçu pour jouer un rôle de sécurité, c'est juste un moyen technique de communiquer. Il n'y a rien à « sécuriser » au niveau des paquets IP. Qu'on atteigne ton serveur via l'IP réelle ou l'IP proxy/nat, ça ne change rien d'un point de vue sécurité.

0

Je comprend....dans ce cas j'ai effectuer des test de débit avec curl et j'ai l'impression que tout va bien avant de mettre en place l'https (nom de domaine etc...) il faut que je regle plein de petits problèmes un par un. Le premier et que je souhaiterais modifier la variable de téleversement de gros fichiers pour l'augmenter et ne pas avoir de limite la taille au niveau de l'upload. 

0
brupala Messages postés 104862 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 octobre 2022 13 648
20 sept. 2022 à 18:16

Salut,

je souhaiterais modifier la variable de téleversement de gros fichiers

Qu'est ce que c'est que tu appelles comme ça ?

Il est où ce taquet d'après toi ?

A part dans le système de fichiers ou la place sur le disque, je ne vois pas.

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
20 sept. 2022 à 18:30

Le passage vers le nom de domaine ne changera rien au débit.
Le passage au HTTPS peut légèrement influencer le débit mais de façon à peine notable, ça peut dépendre du CPU. Un CPU supportant AES-NI est recommandé (c'est le cas de tous les CPU modernes).

ne pas avoir de limite la taille au niveau de l'upload

La configuration se fait via le fichier /usr/local/etc/php-fpm.d/nextcloud.conf
Ce chemin est donné par rapport à la racine du jail, pas celui de TrueNAS.

C'est un fichier de config FPM, pour en savoir plus :
https://www.php.net/manual/en/install.fpm.configuration.php

Tu peux définir des paramètres PHP comme « upload_max_filesize » dans le fichier FPM avec php_admin_value ou php_value.

Voir aussi
https://www.php.net/manual/en/ini.core.php#ini.upload-max-filesize
https://www.php.net/manual/en/features.file-upload.common-pitfalls.php

1
brupala Messages postés 104862 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 octobre 2022 13 648 > avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022
20 sept. 2022 à 18:43

ah,

c'est nextcloud qui limite, même php, je ne vois pas bien en quoi ça le concerne, il compte les octets ?

il gère le flux http ?

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426 > brupala Messages postés 104862 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 octobre 2022
20 sept. 2022 à 19:05

PHP limite en effet la taille des données dans une requête de type POST, le paramètre PHP upload_max_filesize doit donc être modifié dans la limite du paramètre PHP post_max_size (et aussi memory_limits). Cela affecte les transferts via l'interface Web. Concernant la synchronisation depuis l'application cliente Nextcloud, les fichiers sont décomposés en "chunks". https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/big_file_upload_configuration.html

0
brupala Messages postés 104862 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 3 octobre 2022 13 648 > avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022
20 sept. 2022 à 20:15

Moi qui pensais naivement que php n'était qu'un langage pour écrire des pages web dynamiques, je tombe de haut, si il fait le boulot des couches basses :-)

1

C'est bien la variable upload_max_filesize que je recherhche mais je n'arrive pas à la trouver. 

j'ai fait un "vi /usr/local/etc/php-fpm.d/nextcloud.conf" mais elle n'est pas dedans.

0

apparament il faut modifier le fichier .user.ini ce que j'ai fait en mettant 1G pour voir si ça fonctionnait et spoiler alert ça ne fonctionne pas :

0

bonjour, personne n'a trouver de solution pour les variables upload max size et post max size ?

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
22 sept. 2022 à 16:13

Bonjour,

Dans le fichier /usr/local/etc/php-fpm.d/nextcloud.conf, c'est à toi d'ajouter le nécessaire.

Si tu préfères le .user.ini, tu ne respectes pas la syntaxe du fichier.

Lis attentivement les liens déjà donnés.

0

Bonsoir, effectivement j'ai rater toutes les informations éssentielles.

Je me posais plusieurs question:

-Comment faire pour que mon adresse ip publique reste statique car elle change tout le temps, que ça soit aprés un redémarage, mise à jour etc.... et si je dois re-parametrer la redirection de mon nom de domaine à chaque fois c'est pas ouf. 

-Ensuite comme tu le sais j'ai mon nextcloud qui tourne sur mon trunas et le https avec mon nom de domaine marche parfaitement (nextcloud port 80 et 44, et mon nom de domaine est rediriger sur mon adresse ip publique) Mais cela m'embete car je souhaite aussi gérer à distance mon truenas. donc comment puis-je faire pour que mon nextcloud sois operationnel en https avec mon nom de domaine et que je puisse gérer aussi en https (à distance) mon Truenas ?

- Pourrais tu me dire comment je peux faire une sauvegarde de ma config actuelle pour ne rien perdre (truenas & nextcloud ) 

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
23 sept. 2022 à 00:00

Bonjour,

Comment faire pour que mon adresse ip publique reste statique

Il faut voir cela avec ton FAI. Ça peut être gratuit, ou payant, ou réservé aux clients pro. Ou bien tu peux utiliser un serveur distant avec une IP fixe comme proxy TCP ou NAT distant (il y a des VPS à 5€/mois avec une IPv4 et souvent un block IPv6 en /64 voire /56).

comment puis-je faire pour que mon nextcloud sois operationnel en https avec mon nom de domaine et que je puisse gérer aussi en https (à distance) mon Truenas ?

Si les ports 80 et 443 du TrueNAS sont dirigés vers Nextcloud, alors tu accèdes au tableau de bord TrueNAS via un autre port ?
Il suffit alors de créer une 3e redirection de port pour celui qui correspond au tableau de bord TrueNAS.

Une autre solution, tu configures un proxy HTTPS (Nginx, Traefik, ...) sur les ports 80/443 et ce dernier s'occupera de servir le tableau de bord TrueNAS, ainsi que Nextcloud et toute autre app que tu pourrais déployer ultérieurement.

Pourrais tu me dire comment je peux faire une sauvegarde de ma config actuelle pour ne rien perdre (truenas & nextcloud ) 

TrueNAS propose un outil pour exporter la configuration des stockages/pools, utilisateurs, plugins, ...

Pour les données en elle-même, il faut prévoir une stratégie de sauvegarde, donc copier régulièrement les données vers un système indépendant. Si je ne l'ai pas déjà dit, le RAID n'est pas une solution de sauvegarde. https://www.raidisnotabackup.com/

Pour Nextcloud, le manuel explique également comment effectuer une sauvegarde des données et de la configuration : https://docs.nextcloud.com/server/latest/admin_manual/maintenance/backup.html
En résumé, il faut exporter la base de données au format SQL, et sauvegarder une partie des dossiers (ou tous les dossiers) qui composent Nextcloud.

0

nextcloud.conf : 

La syntaxe n'est toujours pas bonne ?

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
23 sept. 2022 à 00:23

Elle est toujours invalide, tu dois utiliser php_value ou php_admin_value dans le cas du fichier de configuration FPM. Tu as un exemple avec session.save_path

Le .user.ini quant à lu peut recevoir les paramètres PHP sans php_value ou php_admin_value, il utilise la même syntaxe du php.ini.

0

Peux tu m'éclerer sur la différence entre post_max_size et upload_max_size 

il me semble que upload max size est la limite de l'upload par fichier. 

et post max size est la limite global ? c'est a dire que l'utilisateur ne pourra pas upload plus de 10G par exemple ? 

un peux comme ce-ci : 

0

pareil ça ne fonctionne pas, syntaxe pas correct pareil je pense.

0
avion-f16 Messages postés 18925 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 1 octobre 2022 4 426
23 sept. 2022 à 01:33

As-tu redémarré le service FPM, ou plus simple, le jail en entier ? Une erreur sur la sortie ou dans les logs ?

Tu n'as pas modifié post_max_size ? Pourtant, les liens donnés indiquent que post_max_size doit être supérieur ou égal à upload_max_filesize, ce qui est logique car les données POST contiennent les fichiers (+ d'autres trucs).

0