OVH Community, votre nouvel espace communautaire.

Sécuriser un VPS 2015 sous Debian Jessie utilisé pour de l hébergent web


libris86
21/07/2015, 15h50
Citation Envoyé par engineer
Bonsoir,

j'utilise un service web ServerPilot, un service qui te permet d'installer sur un serveur équipé d'un ubuntu 14 (vierge) tout dont tu auras besoin pour hébérger ton site web (php 5.4, 5.5 et 5.6) avec nginx comme reverse proxy donc plus performant, il gère la sécurité de ton serveur en configurant ip table par exemple et il met à jour ton système automatiquement, à priori c'est efficace je l'utilise depuis qlq semaines déjà.
il ya cloudways aussi qui fait ma meme chose.

si quelqu'un a déjà testé ce genre de service ce serai génial de partager son expérience
Apres une Release 3 sur mes VPS 2014, mon choix s'est porté sur du pur et dur : Debian 8. Nginx ne peut me convenir malgré ses perfs car j'ai trop de dependance liée a ce bon vieux Apache. Pour la sécu, je suis en train de mettre au point cela a grand coup de tuto sur ce serveur de test VPS 2015.
Merci pour ton retour,
cordialement.

janus57
21/07/2015, 15h46
Citation Envoyé par engineer
merci Janus pour ton retour,
je suis sur le point de basculer vers un serveur vps cloud 2015,
mon site est hebergé sur un vps chez Vultr, je me demande si je vais faire le bon choix une fois pour toute !
Bonjour,

Le bon choix vis-à-vis du prestataire (OVH vs vultur) ou alors vis-à-vis de l'offre du dit prestataire ?

Si c'est vis-à-vis de l'offre, normalement les nouveaux VPS (que ce soit SSD ou Cloud) sont bien meilleurs que les anciens et surtout avec un "gros" bonus pour les Cloud car leur perfs risque d'être bien meilleurs et même leur disponibilité (là par contre pure théorie).

Et pour de la production il faut éviter les VPS SSD (aucune SLA, donc on sais jamais).

Cordialement, janus57

libris86
21/07/2015, 15h45
Bonjour,
C'est un bon choix si tu n'a pas besoin de Release 3 sur ce VPS cloud 2015 et si tu n'a pas besoin (pour le moment) d'adresses IP supplémentaires (indispos dans le manager).
J'en ai pris un en test un mois (pour comparer les perfs avec mes autres VPS 2014)
Cordialement.

engineer
21/07/2015, 15h24
merci Janus pour ton retour,
je suis sur le point de basculer vers un serveur vps cloud 2015,
mon site est hebergé sur un vps chez Vultr, je me demande si je vais faire le bon choix une fois pour toute !

janus57
21/07/2015, 00h35
Bonjour,

les mises a jour sécurité sont automatiques on a pas a se prendre la tete..
mauvaise idée, le jour ou une MAJ automatique cassera votre VPS on verra (déjà vu sur ce forum).

J'utilise ce panel gratuitement, on peut payer 10€ par mois pour qlq options en plus mais c est pas necessaire si on a qlq sites,
L'avantage est que ce panel tres light est installé sur leur plateforme comme le manager d ovh par exemple, du coup il consome pas les ressources du serveur comme les autres panels les plus connus.
du coup de mon point de vue y a une connexion pratiquement permanente entre votre VPS et ce service, ce qui a mes yeux représente un gros risque.

Je me suis trop pris la tete a trouver un hebergement mutu performant et je n'ai pas trouvé une vraie paas, je me suis orienté vers le vps infogere et j'ai trouvé que c'est cher.

Si je trouve un connaisseur joomla qui peut faire l'infogerance avec un cout abordable je serais partant, d'ici la je reste sur ce genre de panel automatique.

Ps. Je nai pas de comission ou quoi que ce soit
oui une infogérance total c'est cher, mais là dans mon exemple c'était une infogérance en "OneShoot", qui si elle est bien rélaisé puis que le client respecte bien les consignes de sécurité et se préoccupe un minimum de son VPS et de ces sites c'est tout aussi tranquille qu'avec un pael automatique qui envois vos infos là ou vous ne savez pas.

Après ouais c'est peut être simple et je suis peut être un peu trop parano, mais ce genre de service jamais je les utiliserais, même si le site dit avoir "une sécurité béton", car plus d'uns l'ont dit et plus d'uns sont tombés ou se sont fait avoir en disant "je suis sécurisé pas de problème installez moi je vais protéger votre serveur" alors que d'autre solutions OpenSource avec une communauté vous aurais pris quoi 20 minutes de plus à tout casser

Voilà mon point de vue et de manière générale je suis anti panel payant ou ce genre de service ""cloud"" ou autre conneries, ce genre de chose n'existait pas y a quelques années et c'est pas pour autant que les panels tel que Virtualmin/ISPConfig ont été rayés de la carte (OVH utilise webmin avec son propre module depuis sa R1 si je dit pas de conneries).

Cordialement, janus57

engineer
21/07/2015, 00h07
Merci pour ton retour Janus,
Rien ne peux remplacer un infogerant,

J'utilise ce panel gratuitement, on peut payer 10€ par mois pour qlq options en plus mais c est pas necessaire si on a qlq sites,
L'avantage est que ce panel tres light est installé sur leur plateforme comme le manager d ovh par exemple, du coup il consome pas les ressources du serveur comme les autres panels les plus connus. Pour resumee c'est totalement gratuit, pour les sites php y a ce qu'il faut (php-fpm et nginx et mysql), on a acces au root biensur, avec bcp de tutoriels sur leur site on peut installer toutes les extenzions necesseaires, les mises a jour sécurité sont automatiques on a pas a se prendre la tete..

Je me suis trop pris la tete a trouver un hebergement mutu performant et je n'ai pas trouvé une vraie paas, je me suis orienté vers le vps infogere et j'ai trouvé que c'est cher.

Si je trouve un connaisseur joomla qui peut faire l'infogerance avec un cout abordable je serais partant, d'ici la je reste sur ce genre de panel automatique.

Ps. Je nai pas de comission ou quoi que ce soit

janus57
20/07/2015, 22h32
Citation Envoyé par engineer
Bonsoir,

j'utilise un service web ServerPilot, un service qui te permet d'installer sur un serveur équipé d'un ubuntu 14 (vierge) tout dont tu auras besoin pour hébérger ton site web (php 5.4, 5.5 et 5.6) avec nginx comme reverse proxy donc plus performant, il gère la sécurité de ton serveur en configurant ip table par exemple et il met à jour ton système automatiquement, à priori c'est efficace je l'utilise depuis qlq semaines déjà.
il ya cloudways aussi qui fait ma meme chose.

si quelqu'un a déjà testé ce genre de service ce serai génial de partager son expérience
Bonjour,

autant installer un panel, faire les MAJs soit même (et s'inscrire aux listes de sécurités de son OS + Panel), au besoin basculer sur Nginx si on sens que apache est trop "lent" (bien que un apache bien config le visiteur n'y vois rien du temps en différence).

Et voilà 0€ et tout aussi sécure et surtout réglable à son cas précis plutôt qu'aux cas généraux ou optimisé pour un certains CMS (wordpress ici).

D'ailleurs les "services" que vous cités sont ni plus ni moins que des panels payant au même titre que cPanel/Plesk qui sont parmi les plus reconnu (je pense), et proposé par OVH au passage.

Et un petit "conseils" si déjà vous êtes prêt à payer quelques €, autant payer un infogérant et lui dire vos besoins, non seulement il risque de vous conseiller le meilleur panels pour votre utilisation, mais en plus il vous installera le serveur et le sécurisera et en prime risque de faire une petite doc si vous avez fait le bon contrat avec lui, bien sûr ce sera une "grosse" somme en 1seul coup, mais l'installation de base sera "clean", optimisé pour votre besoin et sera tout aussi rentable que de payer 120€ de panels "sécurisé" par an.

Cordialement, janus57

engineer
20/07/2015, 21h37
Bonsoir,

j'utilise un service web ServerPilot, un service qui te permet d'installer sur un serveur équipé d'un ubuntu 14 (vierge) tout dont tu auras besoin pour hébérger ton site web (php 5.4, 5.5 et 5.6) avec nginx comme reverse proxy donc plus performant, il gère la sécurité de ton serveur en configurant ip table par exemple et il met à jour ton système automatiquement, à priori c'est efficace je l'utilise depuis qlq semaines déjà.
il ya cloudways aussi qui fait ma meme chose.

si quelqu'un a déjà testé ce genre de service ce serai génial de partager son expérience

janus57
20/07/2015, 18h45
Bonjour,

Oui j ai besoin que des messages soient postés évidement par le serveur et par mes formulaires php. Dois-je stopper ou dés installer le serveur de mail avant d installer exim4 ?
aucune idée, je sais pas comment le couple webmin/ispconfig réagit si on enlève un package.

De bons liens et tutos pour fail2ban ?
google fail2ban debian/ubuntu ou même la doc interne de fail2ban (aka man fail2ban).

Sur mes VPS 2014 je suis souvent contraint d arrêter ssh quand je ne l utilise pas, car marre d avoir des tentatives sur le port 22.
perso fail2ban fait le ménage et je m'en balance des tentative et je change pas le port SSH non plus car cela engendre d'autre risques de sécurité.

Cordialement, janus57

libris86
20/07/2015, 17h32
Citation Envoyé par janus57
Bonjour,

passer bind9 en cache local (ne pas l'enlever il est utile), fail2ban et du coup si vous gérer pas les mails vous pouvez couper le serveur mail et juste mettre un serveur léger/relay tel que exim4 (il faut quand même un serveur mail pour les sortir du serveur).

Après il faut bien surveiller les MAJ de l'OS, des panels et surtout surveiller les sites car très souvent les points de hack sont les sites (via une faille php/apache voir MySQL si il écoute à extérieur).

Après on peu pousser un peu plus mais déjà avec ça c'est tranquille.

Cordialement, janus57
Ok pour bind 9 en cache local j ai trouvé de la doc la dessus
Oui j ai besoin que des messages soient postés évidement par le serveur et par mes formulaires php. Dois-je stopper ou dés installer le serveur de mail avant d installer exim4 ?
De bons liens et tutos pour fail2ban ?
Sur mes VPS 2014 je suis souvent contraint d arrêter ssh quand je ne l utilise pas, car marre d avoir des tentatives sur le port 22. Et je supose que si je le changeai de port le ssh, les scans de ports finirait par le trouver..... A moins que un soft ou une conf puisse bloquer le scan de port par un bannissement ? Merci Janus. A vous lire.....

janus57
20/07/2015, 17h15
Bonjour,

passer bind9 en cache local (ne pas l'enlever il est utile), fail2ban et du coup si vous gérer pas les mails vous pouvez couper le serveur mail et juste mettre un serveur léger/relay tel que exim4 (il faut quand même un serveur mail pour les sortir du serveur).

Après il faut bien surveiller les MAJ de l'OS, des panels et surtout surveiller les sites car très souvent les points de hack sont les sites (via une faille php/apache voir MySQL si il écoute à extérieur).

Après on peu pousser un peu plus mais déjà avec ça c'est tranquille.

Cordialement, janus57

libris86
20/07/2015, 16h52
Bonjour,
Tout est dans le sujet, je recherche des liens sur de bons tutos pour sécuriser et gérer au mieux une Debian 8 installée sur un VPS 2015.
Ispconfig 3 installé et Webmin
VPS dédié a 2 sites marchands sous prestashop et 2 sites web type catalogue de présentation
Apache php5.6 et mysql utilisés

Bind ne sera pas utilisé (je laisse cela a ovh en pointant sur une ip du VPS)
Pour le mail (idem je laisse cela aux bons soins de ovh...)

Tutos fr ou us, peu importe.... Web, blog... Ici ou en mp... A votre bon cœur....
Merci. A vous lire..