Dart Posté 29 Janvier 2007 Posté 29 Janvier 2007 Bonjour à tous , Un de mes clients souhaite à tout pris monter un serveur web dans ses murs (pour raisons politiques) , étant donné que je n'ai jamais fait ce genre de ptit exercice , j'aimerais bénéficier de certains conseils de Webmaster avertis. Je souhaiterais mettre en place une machine (probablement un pc standard en fait , le flux n'est pas assez important pour envisager l'achat d'une véritable machine serveur) sous Linux (probablement un Debian pour raison de sécurité ... a voir si quelqu'un à mieux à me conseiller) avec un netfilter. La machine devra disposer d'un seveur Apache (avec module PHP/Open SSL) et d'une base de données MySQL (que du standard en fait) Ma principale préoccupation vient du fait de la masse de travail sur la maintenance, je souhaiterais si possible automatiser un maximum de tache (mise à jour automatique du noyeau , du firewall , des différents serveurs , etc ). Est-ce possible ??? Cordialement
Bh@Mp0 Posté 29 Janvier 2007 Posté 29 Janvier 2007 C'est une mauvaise idée d'automatiser les mises à jour, car : * elles nécessitent en général/parfois une manipulation supplémentaire pour être intégrées * si ça foire, tout est planté Donc je te déconseille fortement de faire des mises à jour automatisées ...
Dart Posté 29 Janvier 2007 Auteur Posté 29 Janvier 2007 Salut et merci pour l'indication Dans ce cas quel est la fréquence moyenne des mises à jours sécurité ??? (pour un niveau de sécurité relativement élevé) Serait-ce une meilleur solution de passer sur du Windows Server 2003 pour automatiser ?? (en fait je crois que pour des problèmes de sécurité c'est pas trop ça , mais j'ai pas envie d'aller chez mon client toutes les semaines uniquement pour faire les mises à jours à la main).
xou Posté 29 Janvier 2007 Posté 29 Janvier 2007 C'est exactement la même chose: on ne peut pas demander à un ordinateur de faire le travail d'un administrateur réseau !! Sécuriser un réseau informatique nécessite de faire de la veille régulièrement afin de se tenir au courant des dernières failles découvertes, de les corriger s'il y a possibilité ou de colmater autrement et de vérifier que tout fonctionne comme avant. Pour sa ligne j'espère qu'il a un bon tuyau ton client (symétrique de préférence ou dimensionné selon ses besoins) car un serveur est (généralement) gourmand en bande passante, c'est un aspect auquel on ne pense pas toujours. Pour ce qui est de mettre un 2003 pour installer Apache... (no comment)
Dart Posté 29 Janvier 2007 Auteur Posté 29 Janvier 2007 Salut , merci pour l'info ... Pour 2003 j'aurais pu installer IIS (fufu, je sens que je vais me prendre des pierres ;-) ). Bon en fait , je comprends qu'il est impossible d'automatiser tout ça... Mais j'ai du mal à évaluer la masse de travail que demande ce genre de mise à jour à la main (nan paske si c'est pour engager un admin-réseaux qui finalement ne travaillera qu'1 heure par jour pour la veille sécurité , j'sais pas si c'est vraiment utile de l'engager à plein temps). Quelqu'un pourrait me dire combien de temps (par semaine/par mois etc...) ce genre de travaux représente en moyenne ??
destroyedlolo Posté 29 Janvier 2007 Posté 29 Janvier 2007 Deja, je ne partirai pas sur une windows car le taf necessaire pour avoir un minimum de securite est #%@^@%# Ensuite, si tu veux minimiser les risques, peux etre devrais-tu te tourner vers du *BSD, genre OpenBSD : c'est moins courant donc les failles sont moins connus et les mises a jours moins frequente (et encore, je connais des machines qui tournent depuis des annees avec des vieux NetBSD antédiluviens sans que ca ne pose le moindre probleme. Enfin, met un bon firewall devant le tout. Si tes scripts web ne sont pas des passoires, interdire les acces exterieurs TELNET, RLOGIN et FTP est generalement suffisant. Perso, mon serveur tourne sur un SUN sous NetBSD 3.0 ou 2.1 (2 machines en cluster), le tout derriere la FreeBox en mode routeur (donc pas de connection possible). Les seules mis a jour systeme que je fais, c'est lorsqu'il y a un bug de trouve. Sinon, ca ronrone tout seul. Lolo
xou Posté 29 Janvier 2007 Posté 29 Janvier 2007 Deja, je ne partirai pas sur une windows car le taf necessaire pour avoir un minimum de securite est #%@^@%# Explication très claire... Pour compléter ces quelques hiéroglyphes: 1. Sécuriser un serveur sous 2003 (oublier toutes les autres versions) demandera bien plus de temps que de sécuriser un serveur sous Linux ou BSD. 2. Installer Apache sur Windows n'est pas conseillé pour un serveur en production. 3. Installer php sur IIS n'est pas conseillé pour un serveur en production. Perso, mon serveur tourne sur un SUN sous NetBSD 3.0 ou 2.1 (2 machines en cluster), le tout derriere la FreeBox en mode routeur (donc pas de connection possible). Les seules mis a jour systeme que je fais, c'est lorsqu'il y a un bug de trouve. Sinon, ca ronrone tout seul. C'est pas très pro de conseiller cela sans en dire plus... il faut quand même savoir quel est le trafic actuel et/ou estimé par le client sous peine de mettre à plat tout le débit de l'entreprise !!
destroyedlolo Posté 29 Janvier 2007 Posté 29 Janvier 2007 Explication très claire... ... Ben sinon on m'aurait traite d'anti microsoftien primaire. Mais bon, hormis les 3 points que tu mentionnes plus haut, je peux aussi amener mon experience : j'ai du, dans le passe installer un serveur IIS/ASP sous du windows 2000. L'uptime du serveur etait DEPLORABLE : entre les reboots intempestifs, les patch campaign tous les mois, les crash inexpliques, ... bref, on etait tres tres loins des 95% demande par le client. Sans compter que la machine (qui etait loin d'avoir une puissance negligeable), n'arrivait pas soutenir la charge. Si on rajoute aussi l'administration (IIS) en click-o-drome ou il est difficile d'y retrouver ses billes lorsqu'on connait autre chose ... Ok, on est a XP maintenant, mais bon, j'ai suffisement galerer et mes serveurs ont maintenant des OS dans lequels je peux avoir confiance ... A nouveau, ce n'est que mon experience. J'ai bon la ? C'est pas très pro de conseiller cela sans en dire plus... il faut quand même savoir quel est le trafic actuel et/ou estimé par le client sous peine de mettre à plat tout le débit de l'entreprise !! Il est evident qu'on ne peut conseiller une utilisation PRO sur des vielles SUN de 10 ans d'age, meme en cluster. Il est aussi evident qu'on ne va pas utiliser NetBSD qui est un OS de bidouille ou faut mettre les mains dans le cambouis specialement pour qq'un qui dit qu'il ne veut pas s'embeter avec l'administration (OpenBSD est beaucoup plus package). Tout comme il est evident qu'on ne va pas utiliser un FreeBox comme point de presence pour une entreprise (ce qui est d'ailleurs interdit dans ces CGV). Alors qu'est-ce que j'ai voulu dire, ben pas plus que ca Enfin, met un bon firewall devant le tout. Si tes scripts web ne sont pas des passoires, interdire les acces exterieurs TELNET, RLOGIN et FTP est generalement suffisant.
xou Posté 30 Janvier 2007 Posté 30 Janvier 2007 Bonjour destroyedlolo, Ok, on est a XP maintenant, mais bon, j'ai suffisement galerer et mes serveurs ont maintenant des OS dans lequels je peux avoir confiance ... A nouveau, ce n'est que mon experience. J'ai bon la ? bah non même pas... côté serveur on est depuis belle lurette sur 2003 qui est la seule et unique distrib micro$oft assez fiable pour équiper un serveur. ça reste du clickodrome, mais au moins c'est fiable... mais pas pour apache, ni php. Enfin, met un bon firewall devant le tout. Si tes scripts web ne sont pas des passoires, interdire les acces exterieurs TELNET, RLOGIN et FTP est generalement suffisant. Euh... bah là non plus : c'est un poil plus compliqué de monter une DMZ dans un réseau d'entreprise. On ne parle pas de la sécurité d'une seule machine là !! _AT_Dart : si tu ne te sens pas capable de monter une DMZ tout en gardant la même politique de sécurité pour le reste du réseau n'hésite pas à sous-traiter.
destroyedlolo Posté 30 Janvier 2007 Posté 30 Janvier 2007 Bha, de toutes facons, je suis sur qu'on sera tous d'accord pour dire que s'heberger soit-meme lorsqu'on n'y connait rien en admin ou que l'on a pas envis d'y passer du temps, ca ne peut que ce finir tres mal
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant