serveur web light et sécurisé

[piratebab]

Je cherche un serveur light, sécurisé, qui fasse proxy (pour utilisation avec httptunnel).
J'ai identifié Hiawatha, mais il n'est pas dans les dépots debian.
Une autre idée de serveur répondant à ces critères ?

[dezix]

Bonjour Pirate,

par "HTTPproxy" fais-tu référence à Proxy Inverse ?


Je découvre ce logiciel dont la présentation est pour le moins alléchante.

Hiawatha présente de nombreuses fonctions axées sur la sécurité que peu de ses concurrents mettent en œuvre ;

ainsi Hiawatha embarque des protections contre :

• les injections SQL,
• les failles cross-site scripting (XSS) et cross-site request forgery (CSRF),
• les attaques par déni de service (DoS),
• les liens externes vers des images,
• ainsi qu'une interdiction paramétrable contre d'éventuels programmeurs malintentionnés ;

enfin Hiawatha peut limiter l'exécution de script CGI pour en limiter l'emballement qui provoque généralement une perte de contrôle du serveur.

Je vais investiguer un peu pour mon usage.

Merci pour la piste,
dommage qu'il ne soit pas inclus aux dépôts
et qu'il n'est pas trouvé une forme de développement communautaire,
son développeur a annoncé qu'il cessait de travailler à son maintient
... on arrive un peu tard :((

Il est clair que si le gars est seul face aux attaques incessantes du web... ça doit éreinter !

[piratebab]

Je voulais parler de httptunnel ou proxytunnel.
J'ai fait un mix des 2 !

[dezix]

et ça httptunnel ne fait pas ton affaire ?

=> ça a l'air assez simple : httptunnel —Wiki ubuntu-fr

ou/et proxytunnel



Je suis très ignorant (voire proxyphobique), je comprends ton besoin de faire croire que tu passes des paquets HTTP alors qu'ils contiennent du SSH,
mais pas bien la connexion avec le besoin d'un serveur HTTP particulier si tu as par debian les outils pour "bidouiller" tes paquets ?

D'autres comprendront mieux ton besoins

[dezix]

Pirate,

j'ai eu la paraisse de le lire,
mais je crois avoir une solution => [Solved] ssh over https tunnel - Lighttpd - lighty labs

[édité]
Je l'ai lu apparemment ça doit le faire avec Lighttpd s'il te convient

le 1er postage indique DAG: Tunneling SSH over HTTP(S) pour Apache,
ça date peut-être de loin le footer indique Last modified on: Thu 19 March 2020

mais vu que le lien source date de > 3 ans ????

Ceci dit Apache avec le mini bien disposé est peut-être aussi léger et sûr ?

[piratebab]

Le problème d'apache, c'est qu'il est très répandu, et donc il suscite la recherche de vulnérabilité. Et comme il est très complet, statistiquement il y a plus de failles. Sans parler des erreurs de paramétrages. Quand il y a trop de paramètres, on a vite fait d'en oublier un de de gâcher toute la robustification faite par ailleurs. lighthttp est un bon candidat.

Je regarde pour containeuriser ce serveur http.
La mise en place du tunnel, c'est assez badique, ce n'est pas ça qui me pose probleme.

[dezix]

STP, peux-tu jeter un œil à :

Debian -- Détails du paquet ocsigenserver dans bullseye

Introduction


je ne parviens pas à me faire une idée précise de ce que propose ce serveur HTTP :((

[piratebab]

interessant en effet

[dezix]

Are you speaking OCamlish?.... I don't!

[piratebab]

j'ai commencé l'install de mon tunnel http.
Si j'utilise proxytunnel coté serveur, j'ai effectivement besoin d'un serveur web, et rien sur le client
Mais si j'utilise httptunnel , il est complétement autonome coté serveur, pas besoin d'un serveur web. En revanche, il faut aussi installer httptunnel sur le client. Dans mon cas, ce n'est pas un problème.

Il y a un tuto sur notre wiki, mais je ne le trouve pas très clair
https://wiki.debian-fr.xyz/Tunnel_http_%2B_ssh

[piratebab]

je n'arrive pas à faire fonctionner httptunel.
Pour rappel, il installe coté serveur un mini serveur web qui se contente de ressemblé le morceaux envoyés par le client htc et de les router vers un autre port local.
Coté client, je trace les paquets avec wireshark. Je vois bien des réponses avec l'adresse IP du serveur, sur le bon port.
Mais coté serveur, aucune trace. je ne vois pas de log pour ssh.
Je vois 2 possibilités:
- un serveur proxy se fait passer pour le serveur final, et usurpa son adresse. C'est possible ça ?
- failtoban me bloque la sortie du tunnel. Ou voir ce que bloque fail2ban ?

[piratebab]

J'ai écarté la piste fail2ban.
La commande
fail2ban-client status sshd
me dit que rien n'est banni. C'est d'ailleurs curieux vu le nombre de tentatives de connexions que je vois avec lastb. Ils ne doivent pas insister pour ne pas se faire bannir.
Reste la piste du proxy qui joue le role d'un MIM

[dezix]

Je viens de découvrir cet autre serveur :


Caddy (web server) - Wikipedia

Getting Started — Caddy Documentation


Je ne l'ai pas trouvé dans les dépôts Debian

Un exemple d'installation : Installation de Caddy avec systemd - UnGeek.Fr