OMEGA Serveur - Infrastructure & Audit Sécurité
🖥️ HARDWARE
Intel i3 @ 2300MHz
Intel GPU
6GB RAM
Optimisation hardware :
cpupower
thermald
zram
ram-cache (via bash)
💿 SOFTWARE
Omega-Linux (Arch based)
Lighttpd (Latest)
vsFTPd (Latest)
🔧 CONFIGURATION
| SSL/TLS : |
Openssl (HSTS via Tailscale) |
| Chiffrement : |
ECDHE + AES-GCM |
| Connexion VPN : |
Wireguard (via Tailscale) |
| Sécurité accès dossier : |
htpasswd (hors webroot) - Base64 chiffré HTTPS, HASH MD5 |
| Protection HTML : |
X-frame, X-content, X-XSS, Referrer-Policy, CSP activé |
| Security Script : |
PHP❌ SQL❌ CGI❌ PYTHON✅ (execution hors webroot, statique upload, deny url) |
| Disponibilité dossiers : |
Auto-mount (Samba + Bash) |
| Sauvegarde : |
RSYNC (Mirror) | UNISON (Maître-Esclave) | TIMESHIFT (Image systeme) |
| Security Accès & Charge : |
Rules (requests, connexions, fds, size) |
| Security Logs : |
Auto-activé (system, connexions, requests) |
| Security Network & Firewall : |
Nftables, Netfilter, Fail2ban, Opensnitch |
🌐 SERVICE EXTERNE
MagicDNS
VPN mesh : Tailscale
🔍 AUDIT SECURITE DU RESEAU & SERVEUR
Nuclei
ZAP Passive
Nmap
Nmap UDP
Sslyze
OpenVAS
📊 RAPPORT D'AUDIT
TCP Timestamps
● Low - CORRIGÉ
net.ipv4.tcp_timestamps=0 (Faux positif)
Directory Browsing
● Medium - ACCEPTÉ
Usage volontaire, mesures compensatoires
CSP Header (unsafe-inline)
● Medium - ACCEPTÉ
Nécessaire pour le fonctionnement, documenté
HSTS Header Not Set
● Low - ACCEPTÉ
TLS géré par Tailscale
📡 Contexte technique
• Le serveur Lighttpd écoute en HTTP sur le port 80 (localhost/uniquement réseau interne)
• La terminaison TLS est assurée par Tailscale, qui agit comme proxy inverse
• Tailscale intercepte la connexion du port 80
• Tailscale fournit automatiquement des certificats Let's Encrypt valides
• Les domaines exposés (ex: kraynux.snake-mackarel.ts.net) bénéficient du HTTPS complet
📝 Justification
HSTS est un en-tête de réponse HTTP qui doit être défini au niveau de la terminaison TLS.
Dans cette architecture, la terminaison TLS est gérée par Tailscale, pas par Lighttpd.
L'absence de HSTS dans la réponse de Lighttpd n'affecte pas la sécurité de la connexion
entre le client et le serveur, car celle-ci est déjà chiffrée par Tailscale.
🛡️ Mesures compensatoires
• Chiffrement TLS assuré par Tailscale avec certificats Let's Encrypt
• Isolation réseau via WireGuard (mesh VPN)
• Authentification des pairs Tailscale
🔥 Firewall & Protection
Nftables (Stateful)
Netfilter
Fail2ban (Active)
Opensnitch (GUI)
Rate-limiting actif
Blacklist dynamique
✅ DDoS protection : Connection tracking + limit rules
✅ Blacklist automatique via Fail2ban (SSH, HTTP, FTP)
✅ Connexions entrantes filtrées par port (allowlist Tailscale)