« Serveur ddi » : différence entre les versions
Aucun résumé des modifications |
|||
| Ligne 21 : | Ligne 21 : | ||
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html | http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html | ||
http://discussion.accuwebhosting.com/linux-server/1148-how-secure-optimize-your-dedicated-server.html | |||
http://forum.ovh.com/showthread.php?t=54570 | |||
http://www.teteve.fr/wiki/index.php/Installation_Proxmox_OVH | |||
http://www.milksbrainsystems.com/index.php?post/2011/07/24/FTP-passif-avec-le-Fridu-Firewall-et-OpenVZ2 | |||
http://blog.jazzychad.net/2012/03/12/create-your-own-posterous.html | |||
A travailler : | A travailler : | ||
Version du 29 mars 2012 à 07:26
Virtual Box
http://www.corbeau-web.eu/index.php?post/2011/03/30/Installer-VirtualBox-sur-une-Kimsufi-OVH
OpenVZ
http://fr.wikipedia.org/wiki/OpenVZ
http://wiki.openvz.org/Main_Page
http://wiki.openvz.org/Backup_of_a_running_container_with_vzdump
http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization
http://www.fridu.org/download/video/flv/intro-openvz-fr.html
Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie)
http://www.kwett.fr/blog/debian_sur_kimsufi
SolusOs (? mais potentiellement utile pour troubleshoot)
http://forum.soluslabs.com/showthread.php/280-Installing-SolusVM-on-an-OVH-Kimsufi-server
Seedbox (ouh pas bien)
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html
http://discussion.accuwebhosting.com/linux-server/1148-how-secure-optimize-your-dedicated-server.html
http://forum.ovh.com/showthread.php?t=54570
http://www.teteve.fr/wiki/index.php/Installation_Proxmox_OVH
http://www.milksbrainsystems.com/index.php?post/2011/07/24/FTP-passif-avec-le-Fridu-Firewall-et-OpenVZ2
http://blog.jazzychad.net/2012/03/12/create-your-own-posterous.html
A travailler :
Répartition des ports/ip
Recommendations sécurité :
Tous ports bloqué sauf ceux utilisés
SSH uniquement par authentification par clé sécurisée
Fichier de conf : chmodded to 604
http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/
vi /etc/ssh/sshd_config PubkeyAuthentication yes PasswordAuthentication no PermitRootLogin no
Architecture
OpenVZ : Os bas niveau - Hyperviseur
Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci
Points d'entrée directs :
TCP 80 et 443 : Reverse DNS (Round) vers les VM de chacun
10000 ssh uniquement avec auth par clé. Permet de se passer de VPN en faisant une redirection de port via SSH pour se connecter sur l'interface d'admin d'OpenVZ, qui n'acceptera de connections uniquement depuis localhost.
Redirections de port vers les VM (numéros a définir)
10001 ssh -> VMApp
10002 ssh -> VMBen
10003 ssh -> VMCyr
10004 ssh -> VMMat
9999 ircs -> VMapp
51000 mumble -> Vmapp
25565 minecraft -> Vmapp
(liste ouverte aux ajouts)
Applis
Round
sshd
firewall (iptable)
fail2ban (configuré pour ssh)
rkhunter
VMBen
Niveau de sécurité : Normal
Points d'entrée directs :
TCP 80 et 443 : Nginx
10002 ssh uniquement avec auth par clé.
Applis :
rvm -> ruby 1.9.2 + rails + passenger + jekyll
git
VMMat
Niveau de sécurité : Normal
VMCyr
Niveau de sécurité : Normal
VMApp
Niveau de sécurité : Critique
Heberge : irc, services irc, mumble, minecraft
Commentaire : Faut-il une Vm par appli pour les cloisonner ?
Avantages et inconvénients de l'archi proposée
Sandbox ouverte et libre d'accès pour chacun
pour l'administration des VM, nécéssite d'ouvrir en premier lieu un connexion ssh, puis se connecter sur l'interface via navigateur
