Sécurité : pour tous les utilisateurs de YunoHost, et tous ceux qui s'auto-héberge

La sécurité… c’est compliqué.

Ceux qui vous disent que c’est simple sont soit des menteurs soit des idiots.

Tous ceux qui s’auto-héberges, et en particulier les utilisateurs de yunohost doivent absolument voir cette conférence :

Je me rends compte que parmi les utilisateurs de Duniter il y en a certains qui utilisent Duniter via yunohost en exposant leur page d’authentification de manière publiquement référencée par un certificat, c’est une mauvaise pratique qui fragilise la sécurité de notre monnaie.

Le jour ou un exploit est découvert sur yunohost, il pourrait être possible pour un attaquant de prendre le contrôle d’une part significative des nœuds Duniter de membres forgerons.

Une bonne pratique simple pour mieux vous protéger et protéger notre monnaie :

Si vous n’en avez pas la nécessité, n’exposez pas la page d’authentification de votre yunohost sur internet. S’il vous est nécessaire de l’exposée, utilisez un sous domaine avec certificat auto-signé afin que l’url de votre page d’authentification ne soit pas référencée dans les registres des autorités de certification (les hackers ont l’habitude d’utiliser ces registres pour trouver des services à attaquer).

3 J'aimes

Le passage important est à 21:40 :

A l’époque de la conf, 1113 instances yunohost qui exposait publiquement leur interface d’administration. Aujourd’hui il y en a 3456 !

2 J'aimes

Ca m’a toujours dérangé cette configuration par défaut de yunohost, mais concrètement, comment on peut désactiver ce comportement ?

2 J'aimes

Effectivement je comprends bien que c’est un problème de sécurité important, mais comme le demande @Inso comment y remédier ? Sachant qu’en règle générale les gens qui comme moi passent par un système comme YunoHost c’est parce que ne nous sommes pas développeurs et que c’est donc plus simple et intuitif pour nous.

2 J'aimes

https://yunohost.org/#/security_fr

1 J'aime

Merci pour le lien…
Je pense qu’en faisant attention /!\ ce tuto est réalisable, mais à la fin, désactiver l’API de gestion de YunoHost par HTTP pour n’utiliser que les lignes de commandes ça revient un peu à ce que j’expliquait au-dessus.

La majorité des gens comme moi qui utilisons YunoHost c’est parce que ne nous sommes pas développeurs, codeurs… et donc pour nous simplifier la vie tout en ayant la possibilité de s’auto-héberger, et d’auto-héberger des Apps libres…

Attention de bien lire mes propos, je ne remets pas en cause les problèmes de sécurité liés car c’est très important, mais du coup, c’est difficile de demander à des non-codeurs de passer leur temps les mains dans le cambouis à recopier des lignes de codes sans savoir réellement ce que l’on fait.
On ne peut pas non plus demander à tous ces gens qui s’auto-hébergent de devenir des « apprentis codeurs » c’est pas forcément une de leurs priorités et ils n’ont peut-être aussi tout simplement pas envie d’apprendre ce genre de choses…

C’est un sujet délicat à appréhender finalement.
Difficile de dire aux gens d’essayer d’être autonomes mais que les solutions proposées nécessitent des compétences dans des domaines absolument pas maîtrisés.

Mon cas est différent parce que je suis plus " bidouilleur, testeur " donc je vais essayer les solutions proposées dans ce tuto, mais je ne pense pas que cela sera le cas de l’ensemble des gens qui utilisent YunoHost. :slight_smile:

1 J'aime

Et est-ce que les clés dérivées pourraient sécuriser le nœuds Duniter, et ce peut importe le serveur sur lequel il est installer ?

C’est exactement pour cela que j’ai toujours pensé que l’idée même de « rendre l’auto hébergement simple » est une très mauvaise idée, qui fragilise la sécurité de tous.

Comme dit en 1er post, « la sécurité… c’est compliqué ». Quelqu’un qui n’a pas envie d’apprendre les connaissances nécessaires pour sécuriser convenablement son serveur et d’y impliquer du temps ne devrait tout simplement pas s’auto-héberger.

C’est en substance tout le message derrière la conférence d’ @aeris.

Nul besoin d’être développeur, par contre il faut s’intéresser au métier d’adminsys, a la ligne de commande, au fonctionnement d’un serveur debian, etc.

Oui c’est chiant et compliqué de s’auto-héberger correctement, c’est vrai, ce serait mentir que de dire le contraire.

2 J'aimes