« Serveur ddi » : différence entre les versions

De Wiki Arthion
(Ajout rubrique architecture)
Aucun résumé des modifications
 
(5 versions intermédiaires par le même utilisateur non affichées)
Ligne 10 : Ligne 10 :
http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization
http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization
http://www.fridu.org/download/video/flv/intro-openvz-fr.html
http://www.fridu.org/download/video/flv/intro-openvz-fr.html
http://geekfault.org/2010/03/09/openvz-virtualisation-legere-performante-et-amusante/
http://wiki.openvz.org/Setting_up_an_iptables_firewall


Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie)
Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie)
http://www.kwett.fr/blog/debian_sur_kimsufi
http://www.kwett.fr/blog/debian_sur_kimsufi
http://wiki.csnu.org/index.php?title=Proxmox_et_OpenVZ
http://forum.ovh.com/showthread.php?t=67777
http://guides.ovh.com/Proxmox
http://pve.proxmox.com/wiki/Get_Virtual_Appliances
http://doc.protecmail.com/index.php/OpenVZ_Proxmox_sur_serveur_d%C3%A9di%C3%A9_OVH_en_RAID_Soft
http://gardouilleland.free.fr/wordpress/?p=160
http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html
http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
http://www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html


SolusOs (? mais potentiellement utile pour troubleshoot)
SolusOs (? mais potentiellement utile pour troubleshoot)
Ligne 21 : Ligne 36 :
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html


http://discussion.accuwebhosting.com/linux-server/1148-how-secure-optimize-your-dedicated-server.html
http://forum.ovh.com/showthread.php?t=54570
http://www.teteve.fr/wiki/index.php/Installation_Proxmox_OVH
http://www.milksbrainsystems.com/index.php?post/2011/07/24/FTP-passif-avec-le-Fridu-Firewall-et-OpenVZ2
http://blog.jazzychad.net/2012/03/12/create-your-own-posterous.html


A travailler :  
A travailler :  
Ligne 32 : Ligne 52 :
http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/
http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/


Ajouter une couche de sécurité à SSH
http://guides.webbynode.com/articles/security/ubuntu-google-authenticator.html
Astuces pour que le mdp sudo soit différent du mdp principal
https://news.ycombinator.com/item?id=2236081
Autres conseils ssh
https://news.ycombinator.com/item?id=3819382
</poem>
</poem>
     vi /etc/ssh/sshd_config
     vi /etc/ssh/sshd_config
Ligne 43 : Ligne 69 :




===OpenVZ : Os bas niveau===
===OpenVZ : Os bas niveau - Hyperviseur===
Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci<br/>
Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci<br/>


Ligne 59 : Ligne 85 :
25565 minecraft -> Vmapp<br/>
25565 minecraft -> Vmapp<br/>
(liste ouverte aux ajouts)<br/>
(liste ouverte aux ajouts)<br/>
'''Applis'''<br/>
Round<br/>
sshd<br/>
firewall (iptable)<br/>
fail2ban (configuré pour ssh)<br/>
rkhunter<br/>


===VMBen===
===VMBen===

Version actuelle datée du 7 mai 2012 à 18:06

Virtual Box
http://www.corbeau-web.eu/index.php?post/2011/03/30/Installer-VirtualBox-sur-une-Kimsufi-OVH

OpenVZ
http://fr.wikipedia.org/wiki/OpenVZ
http://wiki.openvz.org/Main_Page
http://wiki.openvz.org/Backup_of_a_running_container_with_vzdump

http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization
http://www.fridu.org/download/video/flv/intro-openvz-fr.html

http://geekfault.org/2010/03/09/openvz-virtualisation-legere-performante-et-amusante/
http://wiki.openvz.org/Setting_up_an_iptables_firewall

Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie)
http://www.kwett.fr/blog/debian_sur_kimsufi

http://wiki.csnu.org/index.php?title=Proxmox_et_OpenVZ
http://forum.ovh.com/showthread.php?t=67777
http://guides.ovh.com/Proxmox
http://pve.proxmox.com/wiki/Get_Virtual_Appliances


http://doc.protecmail.com/index.php/OpenVZ_Proxmox_sur_serveur_d%C3%A9di%C3%A9_OVH_en_RAID_Soft
http://gardouilleland.free.fr/wordpress/?p=160
http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html
http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
http://www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html

SolusOs (? mais potentiellement utile pour troubleshoot)
http://forum.soluslabs.com/showthread.php/280-Installing-SolusVM-on-an-OVH-Kimsufi-server


Seedbox (ouh pas bien)
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html

http://discussion.accuwebhosting.com/linux-server/1148-how-secure-optimize-your-dedicated-server.html
http://forum.ovh.com/showthread.php?t=54570
http://www.teteve.fr/wiki/index.php/Installation_Proxmox_OVH
http://www.milksbrainsystems.com/index.php?post/2011/07/24/FTP-passif-avec-le-Fridu-Firewall-et-OpenVZ2
http://blog.jazzychad.net/2012/03/12/create-your-own-posterous.html

A travailler :
Répartition des ports/ip

Recommendations sécurité :
Tous ports bloqué sauf ceux utilisés
SSH uniquement par authentification par clé sécurisée
Fichier de conf : chmodded to 604
http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/

Ajouter une couche de sécurité à SSH
http://guides.webbynode.com/articles/security/ubuntu-google-authenticator.html
Astuces pour que le mdp sudo soit différent du mdp principal
https://news.ycombinator.com/item?id=2236081
Autres conseils ssh
https://news.ycombinator.com/item?id=3819382 

   vi /etc/ssh/sshd_config
   PubkeyAuthentication yes
   PasswordAuthentication no
   PermitRootLogin no


Architecture

OpenVZ : Os bas niveau - Hyperviseur

Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci

Points d'entrée directs :
TCP 80 et 443 : Reverse DNS (Round) vers les VM de chacun
10000 ssh uniquement avec auth par clé. Permet de se passer de VPN en faisant une redirection de port via SSH pour se connecter sur l'interface d'admin d'OpenVZ, qui n'acceptera de connections uniquement depuis localhost.

Redirections de port vers les VM (numéros a définir)
10001 ssh -> VMApp
10002 ssh -> VMBen
10003 ssh -> VMCyr
10004 ssh -> VMMat
9999 ircs -> VMapp
51000 mumble -> Vmapp
25565 minecraft -> Vmapp
(liste ouverte aux ajouts)

Applis
Round
sshd
firewall (iptable)
fail2ban (configuré pour ssh)
rkhunter

VMBen

Niveau de sécurité : Normal
Points d'entrée directs :
TCP 80 et 443 : Nginx
10002 ssh uniquement avec auth par clé.

Applis :
rvm -> ruby 1.9.2 + rails + passenger + jekyll
git

VMMat

Niveau de sécurité : Normal

VMCyr

Niveau de sécurité : Normal

VMApp

Niveau de sécurité : Critique
Heberge : irc, services irc, mumble, minecraft
Commentaire : Faut-il une Vm par appli pour les cloisonner ?

Avantages et inconvénients de l'archi proposée

Sandbox ouverte et libre d'accès pour chacun

pour l'administration des VM, nécéssite d'ouvrir en premier lieu un connexion ssh, puis se connecter sur l'interface via navigateur

Récupérée de « https://wiki.arthion.fr/index.php?title=Serveur_d�di�&oldid=717 »