Salut à tous !

Pour commencer, désolé si je poste au mauvais endroit ! J'avoue que je ne savais pas trop où m'adresser.

J'ai récemment installé un serveur Apache2 sur une Debian, et acheté un nom de domaine. Le DNS d'OVH renvoie bien mon nom sur mon adresse publique.

Quand j'accède à mon site en local, il s'affiche parfaitement, et la musique est jouée comme prévu.

En revanche, quand j'y accède via mon nom de domaine, les images et sons ne se chargent jamais ! L'arborescence du site ressemble à ça :

# pwd
# /var/www/html/

# -rwx------ 1 www-data www-data 2819 (...) index.html
# drwx------ 2 www-data www-data 4096 (...) ressources
# -rwx------ 1 www-data www-data 10701(...) style.css

# pwd
# /var/www/html/ressources

# -rwx------ 1 www-data www-data (...) truc.png
# -rwx------ 1 www-data www-data (...) machin.jpg
# -rwx------ 1 www-data www-data (...) bidule.mp3

J'ai bien 1 process Apache par root et 2 par www-data. www-data a tous les droits et est proprio de tout (même le dossier parent "html").

Quelqu'un aurait une idée de ce que j'ai mal configuré ? Le mod mime est actif et les extensions .png .jpg et .mp3 sont bien déclarées. Faut-il que j'autorise certaines extensions dans apache.conf même ?

J'ai fait quelques recherches, toutes infructueuses. Je m'en remets à vous !

Merci d'avance !

-
Edité par apple.juice 22 septembre 2016 à 21:20:06

Bonjour,

Est-ce qu'on peut voir au moins le début jusqu'au </head> de ton fichier-source HTML s'il te plaît ?

Bonjour,

Un tail -f sur les logs apache a l'appel de la page peut pas mal aider aussi

Salut à vous !

Voici mes logs en fonction de mes actions.

• Le restart du service Apache2.

Ceci est /var/log/apache2/error.log . C'est le log des erreurs, mais le redémarrage se passe en fait comme prévu.

NOTE : pour les 2 prochaines actions, rien n'est jamais écrit dans ce error.log. Les 2 prochains screens sont issus de /var/log/apache2/access.log

• Accès au site via IP locale

Tout se charge comme prévu, instantanément.

• Accès au site via nom de domaine. nb : les censures rouges sont juste mon IP publique.

Je ne sais pas si ça vient de ma connexion (Or*nge me la met profond au passage, je paye pour 100Mb/s montant, je plafonne à 11Mb/s depuis un mois...), mais sur ce screen, les ressources ont l'air de ne jamais être envoyées. En fait, j'ai pris ce screen après 2min d'attente, et les ressources sont bien envoyées 3min plus tard, mais rien ne s'affiche sur le client. Les logs sont similaires aux logs en accès local, seule l'IP change (privée -> publique). Par contre, il les envoie en boucle (il les envoie à l'infini mais le client ne les reçoit jamais, on le voit juste "mouliner"). Rien n'apparait dans /var/log/apache2/error.log.

• Mon fichier html est le plus simple du monde. Voici son en-tête :

<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8" />
		<link rel="stylesheet" href="style.css" />
		<title>NdFeB Apache2 testing</title>

	</head>

Dois-je linker toute mes ressources ? Puis-je linker le dossier complet en une seule commande ? Je vais tester ça, je n'y avais même pas pensé vu que ça marchait en local... Je repasse pour les nouvelles !

EDIT : j'ai vidé le cache  du navigateur. Le plus léger des png a commencé à s'afficher (quelques pixels), puis a disparu. Le fichier a bien l'air accessible, mais il refuse de se charger.

Si j'accède directement à mon dossier de ressources (domaine.fr/ressources), je vois le contenu du dossier, mais aucun lien (vers images/musiques) ne fonctionne. Ca charge à l'infini. Ca m'étonnerait que ce soit ma connexion quand même... (10Mb/s montant, soit 1.25Mo/s ça devrait charger une image de 21Ko en un clin d'oeil, même en faisant le détour par les DNS d'OVH...).

J'espère que ça vient du fichier html... (je ne connais pas vraiment HTML, j'ai pris un nom de domaine pour autre chose, et j'aimerai apprendre à gérer un service Apache).

EDIT2 : je peux voir les fichiers .txt en ligne et lancer le téléchargement de fichiers .zip. On dirait bien que c'est les extensions style multimédia qui posent un problème... Par contre, 20 secondes pour afficher un fichier texte de 13 octets avec 10Mb/s montant... Quelque chose m'échappe Si ça se trouve, mon problème est juste un timeout à cause d'une chargement trop long des fichiers multimédia (musique : 4.4Mo, png : 21Ko). Ça la foutrait mal quand même

Toutefois, quand j'essaye de charger le png via domaine.fr/ressources, le navigateur ne m'affiche pas un TimeOut mais Erreur : la connexion a été réinitialisée. Comprends pas

Merci encore pour le temps que vous m'accordez !

-
Edité par apple.juice 25 septembre 2016 à 5:06:53

Chez moi ça marche, le site se charge, on entend la musique et je peux télécharger les fichiers du dossier ressources.

EDIT : La bonne vieille astuce de changer le port par défaut du serveur ssh. Pas hyper efficace si tu veux mon avis.

EDIT2 : Debian 8 avec apache 2.4.10 et OpenSSH_6.7p1 Debian-5+deb8u3. Tes paquets sont à jour, c'est niquel.

EDIT3 : ouais, je me fais chier pour rien, la version d'apache était dans les logs...

EDIT4 : Pour parler un peu de ton problème quand même, ça vient peut-être plus ou moins directement d'orange (toi qui a déjà pas l'air de beaucoup les aimer...).

C'est même surprenant que tu arrives à atteindre ton site en utilisant l'IP publique, sur la plupart des livebox ça fonctionne pas.

Parce que ton site marche niquel en local, et depuis chez moi, donc je pense que ton serveur est bien configuré.

-
Edité par LoupSolitaire 25 septembre 2016 à 4:45:38

Heu. Salut LoupSolitaire. Changer le port par défaut du serveur SSH ? Comment as-tu trouvé ça ? Comment as-tu trouvé l'adresse du mon site ? C'est toi *.*.214.51 ??

EDIT : nvm c'est orange

En tout cas, merci pour le test. Mais j'aimerai avoir quelques explications stp. MP si tu veux.

-
Edité par apple.juice 25 septembre 2016 à 4:50:53

Un simple coup de nmap permet de voir 3 ports ouverts et indique les logiciels qui écoutent dessus : apache sur le port 80, celui dont tu te sers pour SSH, et un autre dont j'ai pas compris l'utilité.

nmap donne aussi les versions des logiciels qui écoutent (enfin, quand il peut), et essaye de deviner l'OS.

Je t'envoie ma commande et son résultat en MP

Oh je ne connaissais pas nmap. Mille excuses si je t'ai paru agressif, j'ai cru que tu t'étais invité chez moi  

En tout cas, merci bien pour ton aide ! J'ai plus qu'à monter un VPN/tunnel SSH chez papa/maman pour tester mon site en externe !

Une dernière petite question pour toi en attendant, LoupSolitaire. Peux-tu me dire combien de temps mon site met à charger stp ? (et quel est ton débit descendant + ping entre toi et moi) (image de fond + musique inclus, c'est les fichiers les plus lourds).

Je te remercie encore pour ton retour

EDIT : et oui, je n'aime pas orange. Je paye pour 100Mb/s montant, je m'en tape le dixième, évidemment le service technique "ne voit aucune erreur sur ligne", ils comprennent pas. Et bien sur, abonnement non pro, donc IP publique dynamique (IP statique = service payant, alors que chez free c'est statique d'origine), aucune garantie de la qualité du réseau, et bien sur aucune GTR. Dès qu'un autre FAI fournit la fibre chez moi, ils peuvent être sur que je les quitte ! Actuellement, je cherche un téléphone fixe pour pouvoir les harceler gratuitement plus souvent

-
Edité par apple.juice 25 septembre 2016 à 5:19:52

apple.juice a écrit:

Oh je ne connaissais pas nmap. Mille excuses si je t'ai paru agressif, j'ai cru que tu t'étais invité chez moi  

C'était volontaire de te faire flipper, je suis un peu con parfois.

apple.juice a écrit:

Une dernière petite question pour toi en attendant, LoupSolitaire. Peux-tu me dire combien de temps mon site met à charger stp ? (et quel est ton débit descendant + ping entre toi et moi) (image de fond + musique inclus, c'est les fichiers les plus lourds).

Je peux pas te ping, mais voilà la trace dans les outils développeur de chromium :

Ton wallpaper est horrible à charger quand on a 1.8Mbps en download 

apple.juice a écrit:

EDIT : et oui, je n'aime pas orange. Je paye pour 100Mb/s montant, je m'en tape le dixième, évidemment le service technique "ne voit aucune erreur sur ligne", ils comprennent pas. Et bien sur, abonnement non pro, donc IP publique dynamique (IP statique = service payant, alors que chez free c'est statique d'origine), aucune garantie de la qualité du réseau, et bien sur aucune GTR. Dès qu'un autre FAI fournit la fibre chez moi, ils peuvent être sur que je les quitte ! Actuellement, je cherche un téléphone fixe pour pouvoir les harceler gratuitement plus souvent

Pas de bol, j'ai jamais été embêté chez Orange, ils ont toujours été arrangeants. Pour le débit je suis en ADSL et ma ligne fait 6km, alors ils peuvent pas y faire grand chose (à part mettre un NRA plus proche).

Sinon je répond publiquement à ta question en MP pour sécuriser sa connexion SSH, ça peut servir à tout le monde :

Pour les robots bêtes ça marche bien de changer le port en effet, quand j'ai dit que c'était pas efficace, je pensais face à un humain. Surtout que là même sans nmap, tu as 3 ports d'ouverts, sur les 3 il y en a un qui me semble bizarre, et le port habituel de ssh est pas ouvert. La déduction est rapide !

Pour améliorer la sécurité tu peux désactiver l'accès au root par ssh si c'est pas déjà fait, et désactiver l'accès par mot de passe au profit du certificat (bon, c'est moins pratique par contre, si tu veux accéder à ton serveur depuis une machine qui n'est pas à toi, t'es obligé de copier ton certificat dessus, ce qui est peut-être pire niveau sécurité parce qu'après il faut pas oublier de le supprimer).

Pour désactiver l'accès root, le raisonnement derrière, c'est que pour s'identifier, il faut un couple login et mot de passe. Comme toutes les machines de la famille Linux, BSD, etc... utilisent toujours le même identifiant, l'attaquant n'a que le mot de passe à trouver. Si tu désactives l'accès root, l'attaquant doit deviner les deux : le login, et le mot de passe, ce qui rend son travail beaucoup plus compliqué.

Un lien intéressant : https://howto.biapy.com/fr/debian-gnu-linux/systeme/securite/securiser-lacces-ssh-sur-debian 

-
Edité par LoupSolitaire 25 septembre 2016 à 16:39:54

Salut ! Merci pour ton retour !

47s pour la musique, damn. J'espère que ma ligne va vite retrouver ses 100Mb/s montants (peu d'espoirs...). Tu peux pas me ping ? Je suis derrière un routeur, je dois sûrement configurer un forward... Complètement zappé !

EDIT3 : ah bin non c'est ICMP...

EDIT : ah, en fait c'est bridé par ta connexion. 1.8Mbps down, dur dur !

EDIT2: attends, kézako ? Tu mets 32s pour dl mon wallpaper de 5.8Mo, mais en 47s tu n'as DL que 993Ko de la musique ?? (qui fait 4.4Mo en tout) Je crois que quelques chose m'échappe avec ton appli

Pour mon serveur SSH, l'accès root est déjà désactivé, les mots de passe vides sont interdits (en cas d'erreur de ma part à la création d'un user, mais bon c'est scripté, normalement tout va bien), les utilisateurs autres que moi (et comptes systèmes) sont tous chrootés dans leur home et sont réduits aux commandes sftp (Subsystem sftp internal-sftp de OpenSSH, avec un Matched group dans lequel tous mes users sont placés par défaut). Mon mot de passe est assez béton, donc je n'ai pas vraiment envie de m'embêter avec un certificat.

Pour sécuriser un peu mieux, je pensais restreindre l'accès à ce compte en SSH à une seule adresse MAC, que je spoof quand je ne suis pas sur la bonne machine. Ça fera une sorte de 2ème mot de passe ! Et si ça n'existe pas nativement dans OpenSSH, ça se scripte

Merci beaucoup pour ton lien, complet et très intéressant (je ne connaissais pas le Port Knocking) ! Je vais faire tout ce que je peux pour dormir sur mes 2 oreilles

-
Edité par apple.juice 25 septembre 2016 à 18:13:09

apple.juice a écrit:

EDIT2: attends, kézako ? Tu mets 32s pour dl mon wallpaper de 5.8Mo, mais en 47s tu n'as DL que 993Ko de la musique ?? (qui fait 4.4Mo en tout) Je crois que quelques chose m'échappe avec ton appli

Je suppose que la musique est envoyée en streaming, les données sont envoyées au fur et à mesure de la lecture et pas à pleine vitesse.