mon iptables
ou :
les joies de l'auto-hébergement
Orange ayant décidé de ne plus héberger les sites de ses clients à partir du 05 septembre 2023, il m'a rapidement fallu trouver une solution ; je décidai de me lancer dans l'aventure de l'auto-hébergement. Je louai une IP (publique) fixe auprès d'Orange (18 €/mois), un nom de domaine auprès d'OVH (9 €/an). Je recyclai un Mac-mini (intel) datant de 2006 gonflé à 2 go de RAM (!) sur lequel j'installai Slackware-15.0_32-bits sans environnement graphique (ni x ni xap), avec mise à jour du kernel et de tous les logiciels -dont Apache-, bien sûr.
Au début, faisant confiance au pare-feu de ma Livebox réglé sur "standard", aidé de GoAccess mais surtout de grep sed tail et Vi, j'examinais les logs (error_log et access_log), et bannissais les IP agressives en insérant un petit paragraphe dans /etc/httpd/httpd.conf :
<Directory "/srv/httpd/htdocs">
Options Indexes FollowSymLinks
AllowOverride None
<RequireAll>
Require all granted
Require not ip 105.106.107.108
Require not ip 201.202.203.204
etc
</RequireAll>
</Directory>
Cette manière de faire protégeait mon site, mais non mon serveur, puisque je retrouvais les IP malveillantes dans les logs. Je décidai alors de déclencher, en aval du pare-feu de ma Livebox, iptables, le pare-feu du noyau Linux de mon serveur, dont voici la blacklist que je mets à jour quotidiennement ; et je supprimai la blacklist d'Apache, qui consommait plus de RAM que celle d'iptables.
Au bout de quelques semaines, ma swap se remplissait, et mon petit serveur ralentissait. J'ai commencé par diminuer sa "swappiness" de 60 à 40, ce qui permit à ma swap de rester vide plus longtemps. Enfin, je décidai de démarrer zram en lui affectant 90% de mes 2 go de RAM, afin de loger tout mon site dans la "mémoire cache". Grâce à cette dernière solution, je n'ai plus besoin de redémarrer mon serveur, dont l'accès reste rapide.
En un an d'auto-hébergement de ce serveur, j'ai subi trois pannes de réseau filaire (ADSL), qui ont duré plusieurs semaines au total (les thuyas de mon voisin ; arrachement par un engin agricole ...) ; leur retentissement sur mon référencement fut dommageable. Les aléas matériels sont donc -d'après moi- le principal écueil de l'auto-hébergement ; choix que néanmoins je ne regrette pas, car il m'a beaucoup appris. Seul l'accès direct aux logs du serveur permet de comprendre et mesurer la véritable fréquentation d'un site, noyée dans un incroyable flot de vermine numérique.
Comme mon expérience reste modeste, je lirai avec intérêt les bons conseils :
mon Linux
accueil