« Serveur ddi » : différence entre les versions
Aucun résumé des modifications |
(Ajout rubrique architecture) |
||
| Ligne 37 : | Ligne 37 : | ||
PasswordAuthentication no | PasswordAuthentication no | ||
PermitRootLogin no | PermitRootLogin no | ||
== Architecture == | |||
===OpenVZ : Os bas niveau=== | |||
Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci<br/> | |||
'''Points d'entrée directs :'''<br/> | |||
TCP 80 et 443 : Reverse DNS (Round) vers les VM de chacun<br/> | |||
10000 ssh uniquement avec auth par clé. Permet de se passer de VPN en faisant une redirection de port via SSH pour se connecter sur l'interface d'admin d'OpenVZ, qui n'acceptera de connections uniquement depuis localhost. | |||
'''Redirections de port vers les VM (numéros a définir)'''<br/> | |||
10001 ssh -> VMApp<br/> | |||
10002 ssh -> VMBen<br/> | |||
10003 ssh -> VMCyr<br/> | |||
10004 ssh -> VMMat<br/> | |||
9999 ircs -> VMapp<br/> | |||
51000 mumble -> Vmapp<br/> | |||
25565 minecraft -> Vmapp<br/> | |||
(liste ouverte aux ajouts)<br/> | |||
===VMBen=== | |||
Niveau de sécurité : Normal<br/> | |||
'''Points d'entrée directs :'''<br/> | |||
TCP 80 et 443 : Nginx<br/> | |||
10002 ssh uniquement avec auth par clé.<br/> | |||
Applis : <br/> | |||
rvm -> ruby 1.9.2 + rails + passenger + jekyll<br/> | |||
git | |||
===VMMat=== | |||
Niveau de sécurité : Normal | |||
===VMCyr=== | |||
Niveau de sécurité : Normal | |||
===VMApp=== | |||
Niveau de sécurité : Critique<br/> | |||
Heberge : irc, services irc, mumble, minecraft<br/> | |||
Commentaire : Faut-il une Vm par appli pour les cloisonner ?<br/> | |||
=== Avantages et inconvénients de l'archi proposée=== | |||
<poem> | |||
Sandbox ouverte et libre d'accès pour chacun | |||
pour l'administration des VM, nécéssite d'ouvrir en premier lieu un connexion ssh, puis se connecter sur l'interface via navigateur | |||
</poem> | |||
Version du 26 mars 2012 à 10:48
Virtual Box
http://www.corbeau-web.eu/index.php?post/2011/03/30/Installer-VirtualBox-sur-une-Kimsufi-OVH
OpenVZ
http://fr.wikipedia.org/wiki/OpenVZ
http://wiki.openvz.org/Main_Page
http://wiki.openvz.org/Backup_of_a_running_container_with_vzdump
http://www.fridu.org/fulup-posts/40-hosting-a-sysadmin/52-openvz-virtualization
http://www.fridu.org/download/video/flv/intro-openvz-fr.html
Modifier le noyeau fourni par OVh pour accepter openvz (inutile désormais vu que la distrib est fournie)
http://www.kwett.fr/blog/debian_sur_kimsufi
SolusOs (? mais potentiellement utile pour troubleshoot)
http://forum.soluslabs.com/showthread.php/280-Installing-SolusVM-on-an-OVH-Kimsufi-server
Seedbox (ouh pas bien)
http://www.torrent-invites.com/seedbox-tutorials/157692-tutorial-kimsufi-2g-seedbox-vpn.html
A travailler :
Répartition des ports/ip
Recommendations sécurité :
Tous ports bloqué sauf ceux utilisés
SSH uniquement par authentification par clé sécurisée
Fichier de conf : chmodded to 604
http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
http://www.tutoriels-video.fr/securiser-son-serveur-dedie-avec-iptables-fail2ban-et-rkhunter/
vi /etc/ssh/sshd_config PubkeyAuthentication yes PasswordAuthentication no PermitRootLogin no
Architecture
OpenVZ : Os bas niveau
Niveau de sécurité : Critique, toutes les VM dépendent de celui-ci
Points d'entrée directs :
TCP 80 et 443 : Reverse DNS (Round) vers les VM de chacun
10000 ssh uniquement avec auth par clé. Permet de se passer de VPN en faisant une redirection de port via SSH pour se connecter sur l'interface d'admin d'OpenVZ, qui n'acceptera de connections uniquement depuis localhost.
Redirections de port vers les VM (numéros a définir)
10001 ssh -> VMApp
10002 ssh -> VMBen
10003 ssh -> VMCyr
10004 ssh -> VMMat
9999 ircs -> VMapp
51000 mumble -> Vmapp
25565 minecraft -> Vmapp
(liste ouverte aux ajouts)
VMBen
Niveau de sécurité : Normal
Points d'entrée directs :
TCP 80 et 443 : Nginx
10002 ssh uniquement avec auth par clé.
Applis :
rvm -> ruby 1.9.2 + rails + passenger + jekyll
git
VMMat
Niveau de sécurité : Normal
VMCyr
Niveau de sécurité : Normal
VMApp
Niveau de sécurité : Critique
Heberge : irc, services irc, mumble, minecraft
Commentaire : Faut-il une Vm par appli pour les cloisonner ?
Avantages et inconvénients de l'archi proposée
Sandbox ouverte et libre d'accès pour chacun
pour l'administration des VM, nécéssite d'ouvrir en premier lieu un connexion ssh, puis se connecter sur l'interface via navigateur
