Sécurisation serveur WAPT (Debian/NGINX)

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
nicolas.pissard
Messages : 5
Inscription : 18 nov. 2022 - 13:53

18 nov. 2022 - 14:02

Bonjour,

Je souhaiterais protéger par mot de passe l'accès aux pages web du serveur WAPT.
J'ai réussi à mettre en place une protection htaccess (en générant un fichier .htaccess auparavant) en ajoutant dans le fichier de configuration de NGINX :

/etc/nginx/sites-enabled/wapt.conf

Code : Tout sélectionner

auth_basic                  "WAPT Restrict AREA";
auth_basic_user_file        /etc/apache2/.htpasswd;
Le problème c'est que depuis la console, je n'arrive pas à me connecter au serveur car je ne sais pas comment ajouter le user et le password dans l'URL.
Lorsque je les ajoutent, cela ne fonctionne pas..

Auriez-vous une solution pour sécuriser l'accès web avec un mot de passe et que cela accessible avec la console ?

Je vous remercie pour votre aide.

Cordialement
alain17
Messages : 24
Inscription : 17 juin 2022 - 07:32

25 nov. 2022 - 09:16

Bonjour,

Je comprend votre besoin de sécurisation, mais malheureusement je ne pense pas que ce soit faisable par ce moyen. Vous pouvez encore tenter d'entrer l'adresse suivante pour le serveur (source) dans votre console afin de vérifier si c'est valide, reconnu et fonctionnel:

Code : Tout sélectionner

<user>:<password>@<adresse_serveur>/wapt
Remplacez user, password et adresse_serveur par ce qui vous convient, puis mettez à jour les chemins d'accès HTTP ou HTTPS manuellement, selon votre configuration. Gardez néanmoins en tête que vous passez en clair un mot de passe sur votre réseau, ce qui n'est pas... plus sécurisé que de ne pas en mettre ;)

Je vous conseille plutôt de vous tourner vers une restriction d'adresse IP si vous voulez vraiment empêcher quelqu'un d'y accéder. Et si votre souci est d'empêcher des machines de se déclarer, vous devriez changer la méthode d'inscription pour utiliser Kerberos, par exemple.
nicolas.pissard
Messages : 5
Inscription : 18 nov. 2022 - 13:53

29 nov. 2022 - 16:41

Bonjour,
Merci pour votre réponse.

L'idée de ce serveur est qu'il soit un dépôt référence/privé pour nos autres serveurs Wapt dans nos différentes établissements.
Seul un poste aurait la console puisque l'on ne veut se servir que du dépôt.
Nous sommes donc obligés de le rendre accessible depuis l'IP publique et donc internet.
C'est pourquoi, une première sécurité serait un mot de passe.
La seconde, la restriction IP semble bonne mais je ne sais pas comment configuré NGINX dans ce sens, de plus nous utilisons un VPN et les adresses ne sont pas souvent identiques.

Je vais tenter votre solution pour l'adresse et je vous tiens informer.

Bonne journée
Cordialement
florentR2
Messages : 94
Inscription : 13 févr. 2020 - 17:23

29 nov. 2022 - 16:53

Chez nous on a filtré au niveau d'un reverse proxy le /login
Avatar de l’utilisateur
vcardon
Expert WAPT
Messages : 248
Inscription : 06 oct. 2017 - 22:55
Localisation : Nantes, FR

29 nov. 2022 - 19:19

L'authentification des machines par certificat client semble la méthode la plus adaptée.

Les machines qui n'ont pas un certificat client valide obtiennent un 403 quand elles tentent de contacter le serveur.
Vincent CARDON
Tranquil IT
nicolas.pissard
Messages : 5
Inscription : 18 nov. 2022 - 13:53

08 févr. 2023 - 13:18

Bonjour,

Toujours dans l'optique d'avoir un dépôt centralisé et sécurisé, est-il possible de simplement disposer au lieu d'une installation serveur wapt complète d'un simple serveur FTP avec accès en lecture par compte restreint ident/mdp pour les paquets ?
L'ajout d'un paquet sur ce serveur serait effectué avec un autre compte avec droits écriture.

Ensuite, sera-t-il possible de l'ajouter (avec URL contenant le cpt restreint ident/mdp) comme dépôt dans la console du wapt local ?

Enfin si tout cela est réalisable, comment alors faire pour lister les paquets pour que cela s'affiche dans la console du wapt local (scanpackages) ?

Je vous remercie pour toutes ces précisions

Cordialement
nicolas.pissard
Messages : 5
Inscription : 18 nov. 2022 - 13:53

09 mars 2023 - 14:11

Bonjour,

J'avance dans mon dépôt central privé sans installation wapt.

J'ai réussi à créer mon serveur sans installation de Wapt Server et avec Nginx sécurisé https et mot de passe (httpwd).

Par contre, je ne trouve pas les scripts pour créer un dépot : tis-waptrepo pour la version 1.8.

Pour avancer, j'ai importé sur mon serveur le dossier complet /opt/wapt d'un serveur fonctionnel.

J'ai créer un script bash qui reproduit ceci :

Code : Tout sélectionner

#!/bin/bash
chown -R wapt:www-data /var/www/wapt

PYTHONPATH=/opt/wapt PYTHONHOME=/opt/wapt python /opt/wapt/wapt-signpackages.py -s --message-digest=sha256,sha1 -c /tmp/cert.crt /var/www/wapt/*.wapt

PYTHONHOME=/opt/wapt PYTHONPATH=/opt/wapt /opt/wapt/bin/python /opt/wapt/wapt-scanpackages.py -r -f -ldebug /var/www/wapt

Tout fonctionne plutôt bien le debug n'affiche pas d'erreur, renommant le fichier wapt correctement avec le MD5, et générant le fichier Packages.
J'ai bien ma liste de paquets depuis la console d'un autre serveur.

Par contre lorsque je veux le téléchargé, j'ai systématiquement le message :

"Téléchargement annulé. Le fichier xxxxx... téléchargé est corrompu, la somme MD5 ne correspond pas."

Pourtant, lorsque l'on regarde le nom du fichier, le contenu de Packages, le MD5sum est bien la même...

Je ne comprends pas....

Pourriez-vous me dire ce que je dois faire ? Ou je peux trouver les scripts pour générer le Packages sans erreur MD5 ?

Je vous remercie.

Cordialement
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1368
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

10 mars 2023 - 11:27

Bonjour Nicolas,

merci d'éviter le nécroposting [1] (reprendre un vieux thread). Je met le topic en lock, vous pouvez ouvrir un nouveau topic avec votre question, et de préciser les version d'os, version wapt et édition utilisé.

Cordialement,

Denis

[1] https://www.urbandictionary.com/define. ... croposting
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Verrouillé