Description
Le reverse proxy, ou l'arme fatale pour publier vos services sur internet en assurant une sécurisation de serveur, une gestion intégrée de la génération du certificat, une prise en compte de l'authentification, et la supervision du trafic ! Partie 3: Comment sécuriser SWAG en utilisant Authelia 📱 Suivez moi ! 💻 ►lhub.to/GuiPoM 📃 Sommaire 📃 Troisième vidéo sur la mise en place d'un reverse proxy: sécurisation avec Authelia de vos services qui contiennent des données personnelles et confidentielles Il existe sur ma chaîne une série de vidéos pour construire un serveur ou un NAS Exemples de sécurisation de reverse proxy: nom d'utilisateur, mot de passe, mot de passe à usage unique Consultez la documentation d'authelia: c'est elle qui fait foi, pas ma vidéo ! Entrainez vous sur une plateforme de test avant de publier les services sur internet. Configuration d'une stack docker-compose: on enrichit la stack créé à l'étape précédente Configuration de authelia via son fichier de configuration: serveur, stockage d'utilisateurs, complexité de mot de passe, réglages des seconds facteurs Configuration de authelia via son fichier de configuration: l'access control configuration Configuration de authelia via son fichier de configuration: cookie de session, protection contre attaques à force brute Configuration de authelia via son fichier de configuration: le stockage, ici via SQLLite3. Les alternatives possibles sont MariaDB ou PostgreSQL Configuration de authelia via son fichier de configuration: le SMTP pour la validation de compte, la récupération de mot de passe, la mise en place du one time password Redémarrage de authelia et on vérifie dans les logs que tout fonctionne correctement. Il est démarré, mais il n'est pas connecté au reverse proxy SWAG Configuration de swag pour prendre en compte Authelia: on sécurise Nextcloud On active la politique one_factor et on vérifie que Authelia demande une authentification Le fichier des utilisateurs, créé automatiquement pas authelia, contient un utilisateur authelia par défaut. Création d'un nouvel utilisateur avec calcul du mot de passe Sécurisation du proxy avec la politique two-factor. Il est possible ensuite d'utiliser 3 méthode: mot de passe unique limité dans le temps (totp), clé de sécurité (webauthn) ou notification push (duo api) Utilisation du mot de passe unique limité dans le temps (totp) Des détails supplémentaires sur la section access control. C'est la section critique pour sécuriser vos sous domaines ou chemins. Le cookie d'authentification d'Authelia persiste sur votre domaine et vous n'avez donc besoin de vous authentifier qu'une seule fois sur tous vos services Pour des services qui gèrent eux même leur sécurisation, il faudra la désactiver, en toute sécurité, sinon vous aurez nécessairement une double authentification. Ou alors vous n'utilisez pas Authelia pour ce service via son bypass. Les services qui reposent sur OpenID connect comme Nextcloud ou Portainer Voilà ce que je pouvais présenter concernant la sécurisation du reverse proxy SWAG avec Authelia. C'était facile, non ?