Accés contrôlé à mon serveur web

Support Debian
#1

Bonjour à tous

J’ai une seule ip publique et pas mal de serveurs web derrière.

J’ai donc monté un reverse proxy apache 2.4 sous debian 8.2

Je dois rendre disponible un serveur web en HTTPS qui est déjà disponible mais uniquement en local, mais comme c’est un serveur GIT et qu’il contient tout le savoir faire de la boite, je veux le sécuriser un maximum.

Pour cela je voudrais que seules les IP publiques de certains clients puissent se connecter dessus (bien entendu ils me communiquent leur IP), et bien entendu il y a toujours fail2ban en place + la connexion au serveur git par login/mdp

Quelles solutions me recommandez vous de mettre en place pour cela, sachant que ce serveur GIT est sur une VM uniquement consacrée à ce service (donc ip locale dédiée), mais que je ne veux pas filtrer les autres services web qui sont sur d’autres VM et d’autres IP.

Merci pour vos conseils

#2

A mon avis, vous prenez le problème par le mauvais bout :slight_smile:
Ce n’est pas l’IP du client qu’il faut filtrer, c’est l’identité du client (au sens utilisateur git ) qu’il faut contrôler.

Mon conseil : vous installez gitolite pour faire la police sur les dépôts si précieux. Et vous demander à chacun de vos clients de vous fournir sa clé publique SSH (de type RSA par exemple) qui permettra de l’identifier.

L’URL d’un dépôt devient git@serveur.tld:repo pour tout le monde. Pour avoir la liste des dépôts accessibles on utilise

ssh git@serveur.tld info

Et donc, si vous n’avez pas une des bonnes clés, vous ne pouvez rien faire.

De plus, avec ssh-agent ou pageant sous W$ vous pouvez offrir un accès sécurisé sans même avoir à taper de mot de passe. (tout au plus une pass-phrase au chargement de la clé )
Dans ces conditions, votre client peut aussi synchroniser les dépôts même s’il n’a pas d’IP fixe.

Une URL git de type git@serveur:path_to/repo est en fait git+ssh et seul le port 22 est utilisé.
Sur la VM pour git, pas besoin de serveur apache, à moins que vous proposiez un service de type gitweb évidemment.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

#3

merci pour toute ces infos

et oui je propose un service gitweb