OVH Community, votre nouvel espace communautaire.

Mon projet : mutualisé ou dédié ?


aquadav
01/09/2006, 15h34
Merci pour le fichier IP/pays

Yggdrasil
31/08/2006, 14h34
Shadow aok écrivait :
Tu ne peux pas attacher de fichiers sur le forum mais tu peux utiliser demo (http://demo.ovh.com).
Merci dommage, c'est pourtant pratique les attachement, (demande moins de manipulations) .

Ceci dit, ayant des hébergements en pagaille un peu partout, je n'aurais pas besoin de "démo", mais c'est bon à savoir, cela peut-être utile à d'autres

Shadow aok
31/08/2006, 14h29
Tu ne peux pas attacher de fichiers sur le forum mais tu peux utiliser demo (http://demo.ovh.com).

Yggdrasil
31/08/2006, 14h25
Personne aurai une URL de site qui référence toutes les plages IP avec leur correspondances pays ? [/B]
Je pas trouvé comment mettre un attachement à un post ... j'ai donc mis le fichier ici (tout frais d'aujourd'hui) :

http://temp.buchon.be/ip2country.zip


Cordialement,
Yggdrasil

aquadav
31/08/2006, 10h25
Merci Shadow aok pour ton script j'allais justement le demander

Personne aurai une URL de site qui référence toutes les plages IP avec leur correspondances pays ?

Shadow aok
30/08/2006, 21h43
Et il marche très bien

Mais il en existe d'autres sous linux, le plus connu étant SNORT je pense.

Jonat
30/08/2006, 21h32
J'savais même pas que ça existait un IDS... je vais me renseigner un peu à ce sujet

Shadow aok
30/08/2006, 20h59
J'ai une ip dynamique et je me connecte uniquement en root.
C'est sûr que le mieux est de n'autoriser qu'un simple user et de faire un su - ensuite, mais vu mon mot de passe, le dico je suis tranquille et le brute force aussi (de toute façon avec portsentry l'attaque serait bloquée immédiatement).

fabrice11901
30/08/2006, 20h55
j'ai trouvé un tuto qui explique comment faire la ligne pour accepter ou refuser tel pors, mais ça dis pas comment faire pour le mettre dans iptable etc

Jonat
30/08/2006, 20h53
C'est clair

fabrice11901
30/08/2006, 20h50
Oui mais il faut quand même que la personne est ton mot de passe root...
après je comprend,âvoir une ipfixe est bien, comme ça on autorise que cette ip pour l'accès en ssh. Mais bon quand je vois que chez orange internet faut payer 19 euros par mois pour avoir une ip fixe... si free le fait grato je crois

Jonat
30/08/2006, 20h47
Oui mais on peut se connecter n'importe où vu que je n'ai pas d'IP fixe donc c'est beaucoup moins sûr niveau sécu. Je crains que quelqu'un arrive à se connecter en utilisant une "attaque" de type dictionnaire.

fabrice11901
30/08/2006, 20h45
ben si tu as putty, ben ta connexion ssh est en ssh !

Jonat
30/08/2006, 20h41
Je l'utilise déjà

Par contre, et là je sais que c'est mal, j'autorise le login root de temps en temps quand j'veux éditer des fichier à l'aide de WinSCP

fabrice11901
30/08/2006, 20h40
télécharge putty

Jonat
30/08/2006, 20h32
Merci beaucoup
Intéressant le truc pour bloquer l'asie

Les autres, n'hésitez pas à montrer le votre, qu'on combine tout ça

Question : je n'ai pas d'IP fixe chez moi, comment sécuriser au maximum la connexion SSH ?

Merci d'avance

Shadow aok
30/08/2006, 20h27
Ceci est prévu pour un serveur personnel, donc il vous faudra peut-être l'adapter : (et ça refuse les connections de l'asie dans son intégralité et de quelques autres plages d'où j'ai subit des attaques)

Code:
# block everything from these ip range
-A INPUT -p TCP -s 195.182.128.0/19 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 82.192.179.0/24 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 213.129.124.0/24 -d any/0 -m state --state NEW -j DROP

# Asia
-A INPUT -p TCP -s 58.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 60.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 121.0.0.0/8 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 122.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 124.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 126.0.0.0/8 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 202.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 210.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 218.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 220.0.0.0/7 -d any/0 -m state --state NEW -j DROP
-A INPUT -p TCP -s 222.0.0.0/8 -d any/0 -m state --state NEW -j DROP

# /block everything

# accept all from me
-A INPUT -s IP_FIXE -j ACCEPT

# accept ping
-A INPUT -p icmp -j ACCEPT

# accept all previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# ssh
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

# ftp / webserver related
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50000:50010 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

# reject everything else
-A INPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
50000:50010 est la plage ouverte pour les connections en passif sur proftpd (plage à spécifier dans la conf du serveur)

Jonat
30/08/2006, 18h21
Y'aurait pas un pro en dédié qui sait nous donner un script ? S'il vous plaît

Aidez à lutter contre le hack, contre le spam, etc

fabrice11901
30/08/2006, 16h48
faudrait...!

Jonat
30/08/2006, 16h45
Ce serait bien qu'un pro (ou qu'OVH) nous donne un bon script iptables qui sécurise bien (à personnaliser bien sûr)

fabrice11901
30/08/2006, 16h43
Comme je disais plus haut, j'ai des gens à qui leur site ont étaient piratés chez ovh, ça peut venir d'une faille d'un phpbb chez un autre site sur le même serveur mais si cela nous arrive c'est parce que quelque part y a un pb sur le serveur... y aun hébergeur (hoooossssttteeeuuurrr) qui c'est fais piraté un serveur y a quelques jours, et beaucoup de gens ont étaient emmerdés...
donc une connerie d'un client sur un serveur peut foutre le bordel à d'autre; voila pourquoi le dédié est mieu, après faut le configurer

Jonat
30/08/2006, 16h40
Reste à savoir comment est gérée la sécurité sur du mutualisé
Parce que je suis prêts à choisir la sécurité avant les perf'

fabrice11901
30/08/2006, 16h35
je confirme... debian c le meilleur lol

Jonat
30/08/2006, 16h30
Et puis Debian Sarge j'trouve que c'est le mieux pour un environnement de production

Jonat
30/08/2006, 16h27
Je préfère une Debian de base et installer ce dont j'ai besoin (ça évite que des logiciels qu'on utilise pas tournent... ce qui n'est pas top pour la sécu)

Pour SSH : changer le port, pas de login root.
Pour le reste, les bases de sécurité genre chrooter Apache pour qu'il soit "en prison"

Par contre iptables je maîtrise pas bien. Je sais tout bloquer et ouvrir ce dont j'ai besoin... mais pour interdire les paquets spoofés ou sans syn je ne maîtrise pas trop
Ce que je crains le plus c'est qu'un c** fasse "plier" mon serveur en floodant

Après, évidemment, faut faire attention aux trous des choses qu'on héberge (phpBB par exemple... attention aux exploits)

Pour les emails, je préfère utiliser OVH car je maîtrise mal Postfix. Je sais configurer Postfix pour un domaine avec authentif' SASL mais pour du multi domaines
Et puis le manager OVH c'est plus simple
Y'a beaucoup trop de serveurs dédiés qui deviennent des serveurs à spam en plus

fabrice11901
30/08/2006, 16h23
Oui mais à partir du moment ou tu sais installer pache, tu connais le ssh (comment on sy connecte) du moins je pense que c'est logique...

Tapion
30/08/2006, 16h17
Je précise juste, car ca arrive de voir des gens prenant un dédié et ne sachant même pas se connecté en ssh... donc sur une release ovh ca va mais hors release c'est pas pareil

fabrice11901
30/08/2006, 16h13
Oui le mieu est de faire avec iptable, mais pour trouver une bonne config sur le net c'est dur...
j'en suis moi là aussi, je cherche une config iptable parce qu'apache et toute l'histoire, n'importe qui peut l'installer...

Jonat
30/08/2006, 16h10
Ca ce n'est pas très compliqué

Le plus dur c'est de régler correctement les différents logiciels du serveur LAMP pour éviter les problèmes de sécurité

Tapion
30/08/2006, 16h07
J'ai oublié, si tu prend une distrib debian, elle est livrée nue il me semble, tu devras installer apache etc... si je me souviens bien

Tapion
30/08/2006, 16h06
En mutu tu peux te faire hacker seulement s'il y a des trous de sécu dans tes scripts, exemple: un forum phpbb pas à jour, là tu es sur d'être hacké, mais le plus souvent un gentil robot detecte les attaques et les stopent et t'envoi un mail pour te prevenir

Si ton site n'est pas trop urgent, tu peux toujours prendre un dédié pour 1 mois et voir ce que ca donne, si tu en es satisfait tu continues sur dédié sinon tu passes sur mutu.

Ou si tu as les moyens tu prend mutu et dédié en parallele et tu gardes le meilleur à la fin.

Jonat
30/08/2006, 15h59
Dans le cas d'un dédié, il me faudrait surtout de bonnes règles iptables

Après un apt-get update puis upgrade de temps en temps et c'est bon

fabrice11901
30/08/2006, 15h54
Bonjour
Pour du mutualisé, je sais que beaucoup de personne ce sont fais piraté leur sites sur du mutualisé (et pas qu'une !)
Je suis d'ailleur entrain de refaire ces sites mais plus chez ovh (c'est leur choix)
Moi je n'ai pas mon serveur dédié chez ovh, mais certains utilisateurs en sont très content. Je ne peux pas critiquer, pas testé, je donne juste les avis que j'ai entendu...
pour du striming, faut mieu en effet du dédié, mais là sécurité et comme tu dis importante. Mais tu peux peut-être prendre un admin serveur qui te ferai ça j'en connais...
n'hésite pas si ta d'autres questions
a+

Jonat
30/08/2006, 15h41
Bonjour

J'ai besoin d'héberger un site Internet en PHP qui utilise une base de données MySQL (site qui pèse environ 50 Mo et petite base de données)
Je recherche le meilleur rapport qualité/prix/sécurité.
Pour l'hébergement je pensais à un 90 PLAN (vu que j'ai besoin de nombreux comptes email)

J'ai aussi besoin de faire du stream. Je pensais à l'offre OVH relay 50 connexions simultannées. J'aurais aimé du 192 voir du 256 kbps mais malheureusement OVH propose seulement du 128 kbps max

Je connais les bases d'administration d'un serveur dédié mais je souhaite avoir un max de sécurité pour ce site. Le dédié c'est bien parce qu'on a le contrôle, mais il faut le gérer (ET SURTOUT LE GERER CORRECTEMENT, donc vu que je ne suis pas un pro en admin dédié...)

Mutualisé ou dédié ? Je prendrais bien du mutualisé mais j'ai peur du manque de nervosité et des ralentissments que peut engendrer le mutualisé.
Niveau sécurité, c'est bien le mutualisé ? Pas de danger ? Parce que sur du dédié j'ai peur qu'un petit c** fasse "plier" le serveur (synflood, etc)

Budget : le moins cher possible

Merci d'avance pour vos conseils