«  » : différence entre les versions

<poem> Virtual Box http://www.corbeau-web.eu/index.php?post/2011/03/30/Installer-VirtualBox-sur-une-Kimsufi-OVH

OpenVZ http://fr.wikipedia.org/wiki/OpenVZ http://wiki.openvz.org/Main_Page http://wiki.openvz.org/Backup_of_a_running_container_with_vzdump

http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization http://www.fridu.org/download/video/flv/intro-openvz-fr.html

http://geekfault.org/2010/03/09/openvz-virtualisation-legere-performante-et-amusante/ http://wiki.openvz.org/Setting_up_an_iptables_firewall

Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie) http://www.kwett.fr/blog/debian_sur_kimsufi

http://wiki.csnu.org/index.php?title=Proxmox_et_OpenVZ http://forum.ovh.com/showthread.php?t=67777 http://guides.ovh.com/Proxmox http://pve.proxmox.com/wiki/Get_Virtual_Appliances

http://doc.protecmail.com/index.php/OpenVZ_Proxmox_sur_serveur_d%C3%A9di%C3%A9_OVH_en_RAID_Soft http://gardouilleland.free.fr/wordpress/?p=160 http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html http://www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html

SolusOs (? mais potentiellement utile pour troubleshoot) http://forum.soluslabs.com/showthread.php/280-Installing-SolusVM-on-an-OVH-Kimsufi-server

Seedbox (ouh pas bien) http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html

http://discussion.accuwebhosting.com/linux-server/1148-how-secure-optimize-your-dedicated-server.html http://forum.ovh.com/showthread.php?t=54570 http://www.teteve.fr/wiki/index.php/Installation_Proxmox_OVH http://www.milksbrainsystems.com/index.php?post/2011/07/24/FTP-passif-avec-le-Fridu-Firewall-et-OpenVZ2 http://blog.jazzychad.net/2012/03/12/create-your-own-posterous.html

A travailler : Répartition des ports/ip

Recommendations sécurité : Tous ports bloqué sauf ceux utilisés SSH uniquement par authentification par clé sécurisée Fichier de conf : chmodded to 604 http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/

Ajouter une couche de sécurité à SSH http://guides.webbynode.com/articles/security/ubuntu-google-authenticator.html Astuces pour que le mdp sudo soit différent du mdp principal https://news.ycombinator.com/item?id=2236081 Autres conseils ssh https://news.ycombinator.com/item?id=3819382 </poem>

   vi /etc/ssh/sshd_config
   PubkeyAuthentication yes
   PasswordAuthentication no
   PermitRootLogin no

Architecture

OpenVZ : Os bas niveau - Hyperviseur

Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci

Points d'entrée directs :
TCP 80 et 443 : Reverse DNS (Round) vers les VM de chacun
10000 ssh uniquement avec auth par clé. Permet de se passer de VPN en faisant une redirection de port via SSH pour se connecter sur l'interface d'admin d'OpenVZ, qui n'acceptera de connections uniquement depuis localhost.

Redirections de port vers les VM (numéros a définir)
10001 ssh -> VMApp
10002 ssh -> VMBen
10003 ssh -> VMCyr
10004 ssh -> VMMat
9999 ircs -> VMapp
51000 mumble -> Vmapp
25565 minecraft -> Vmapp
(liste ouverte aux ajouts)

Applis
Round
sshd
firewall (iptable)
fail2ban (configuré pour ssh)
rkhunter

VMBen

Niveau de sécurité : Normal
Points d'entrée directs :
TCP 80 et 443 : Nginx
10002 ssh uniquement avec auth par clé.

Applis :
rvm -> ruby 1.9.2 + rails + passenger + jekyll
git

VMMat

Niveau de sécurité : Normal

VMCyr

Niveau de sécurité : Normal

VMApp

Niveau de sécurité : Critique
Heberge : irc, services irc, mumble, minecraft
Commentaire : Faut-il une Vm par appli pour les cloisonner ?

Avantages et inconvénients de l'archi proposée

<poem> Sandbox ouverte et libre d'accès pour chacun

pour l'administration des VM, nécéssite d'ouvrir en premier lieu un connexion ssh, puis se connecter sur l'interface via navigateur </poem>