Conseils archi type serveur Linux

Résolu/Fermé
azigui91 Messages postés 6 Date d'inscription vendredi 10 décembre 2010 Statut Membre Dernière intervention 17 décembre 2010 - 10 déc. 2010 à 15:11
 azigui - 28 déc. 2010 à 09:45
Bonjour à tous,

Tout d'abord ravi de vous rejoindre sur ce forum. L'objet de mon message est d'avoir vos conseils et suggestions.
En effet je suis en charge d'analyser et de proposer des architectures types pour des serveurs LINUX (Redhat) implantés dans plusieurs sites de ma société.

La plupart de ces serveurs sont des web hosting avec Apache, MySQL. Les services démarrés sont httpd, mysqld, ssh, sendmail, nfsd, smbd et bien d'autres qui n'ont pas forcément d'utilité.

La plupart de ses serveurs ont été installés de façon différente car jamais la même personne. Je vais donc devenir le référent unique et proposer un type d'architecture selon les serveurs. En effet le type différera si c'est un simple serveur web ou si c'est un serveur proposant un outil web spécifique.

D'après vous où puis-je me documenter (sites, livres, forums...) ?
De quelle manière puis-je commencer mes analyses ?
Quelles types de questions dois-je me poser ?
Comment dois-je prendre en compte l'aspect sécurité ?

Je dois avoir d'autres questions mais je ne les ai plus en têtes (ah Vieillesse quand tu nous tiens ;-) Je reviendrai donc vers vous.

Merci pour votre aide.

Cordialement,

Azigui

10 réponses

mamiemando Messages postés 31753 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2022 7 480
10 déc. 2010 à 19:10
D'après vous où puis-je me documenter (sites, livres, forums...) ?

Pour chaque serveur tu peux consulter un site de documentation par exemple doc.fedora-fr.org qui est proche de Redhat (car basée dessus).

Exemple avec apache :
https://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

En complètement tu peux t'appuyer sur doc.ubuntu-fr.org, très complet, mais qui s'adresse plutôt aux gens qui utilisent une distribution basée sur debian. Ainsi certaines commandes et certains fichiers de configuration peuvent différer. Mais ça peut apporter un complètement d'information à ce que tu as déjà glané sur doc.fedora-fr.org.

En terme de forum tu as l'embarras du choix : CCM, https://forums.fedora-fr.org/ ...

De quelle manière puis-je commencer mes analyses ?

La vraie question c'est quels services doivent être disponible sur telle ou telle machine. Par exemple, si ta machine ne fait pas serveur de fichier, nfsd n'a pas lieu d'être installé etc...

Tu peux voir le rôle des différents serveurs qu'on trouve classiquement sous linux ici :
http://doc.ubuntu-fr.org/serveur

De manière il faut des règles (pare-feu, droits sur les fichiers mis à disposition etc...) aussi restrictives que possible pour minimiser les risques d'attaques.

Quelles types de questions dois-je me poser ?

Toute les questions qu'on peut se poser en administration et en architecture système réseau. Quelles applications est-ce que je souhaite utiliser, est-ce le choix technique et économique le plus pertinent, est-ce que je ne m'enferme pas dans une technologie, comment l'administrer au mieux, comment définir des règles assurant la fiabilité (backup, pare-feu ...) et la robustesse maximum tout en offrant de bonnes performances etc...

Comment dois-je prendre en compte l'aspect sécurité ?

Il faut te documenter sur toutes les problématiques liées aux droits. Typiquement on ne change JAMAIS les droits associés aux fichiers assurant le fonctionnement du système. Et on met des droits aussi restrictifs que possible sur les fichiers de données que l'on met à disposition.

Il faut utiliser des mots de passes sûrs (pas basé sur le login, un mot du dictionnaire etc... et utilisant des minuscules, des majuscules et des chiffres).

Il ne faut installer que les serveurs réseaux nécessaires. Inutile de mettre un serveur mysql par exemple sur une machine qui ne fait pas serveur de base. Plus il y a des serveurs déployés, plus il y a le risque que tu déployes quelque chose qui peut être piraté.

Il faut activer aussi peu de comptes que possible (par exemple laisser un accès ssh qu'aux personnes qui en ont réellement besoin).

Il faut définir des règles de pare-feu (iptables, ufw...) aussi strictes que possible (par exemple quelle plage d'IP peut accéder à tel serveur).

Attention aussi aux problématiques de cloisonnement (que se passe-til si cette partition est saturée ou corrompue...) ?

Enfin il faut mettre à jour régulièrement ça machine pour bénéficier des derniers correctifs de trous de sécurités. Et ne jamais déployer un paquet qui provient d'un site qui n'est pas "sûr" (en général on n'installe des paquets provenant uniquement des miroirs de sa distribution).

Tout ceci n'est qu'un aspect et j'ai pu oublier des trucs, je t'invite à fouiller un peu sur le Net.

Bonne chance
0
Bonjour,

Je te remercie beaucoup pour toutes tes infos.
Voilà de bonnes bases pour commencer.

A très bientôt

Cordialement,

Azigui
0
mamiemando Messages postés 31753 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2022 7 480
13 déc. 2010 à 18:08
De rien et bonne continuation !
0
azigui91 Messages postés 6 Date d'inscription vendredi 10 décembre 2010 Statut Membre Dernière intervention 17 décembre 2010
15 déc. 2010 à 17:46
J'aurai une question.
Lors de l'installation de la redhat, est-il préconisé d'installer tous les paquetages proposés par la distrib ?

Merci

Cordialement.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mamiemando Messages postés 31753 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2022 7 480
15 déc. 2010 à 18:09
A priori juste ce dont tu as besoin. Selon le théorème du qui peut le plus peu le moins, ça marchera. Autre approche (celle que j'utilise), j'installe le minimum et en fonction de mes besoins, j'installe mes paquets au fil de l'eau.
0
azigui91 Messages postés 6 Date d'inscription vendredi 10 décembre 2010 Statut Membre Dernière intervention 17 décembre 2010
16 déc. 2010 à 09:30
Bonjour,

Merci pour tes infos. Dans ma boite, la politique c'est de tout installer afin d'éviter des surprises, puis en fonction des besoins laisser uniquement les services nécessaires démarrés. D'après toi est-ce une bonne approche ?

Autre question, puisque je dois présenter une doc sur l'uniformisation des serveurs web, comment je devrais présenter les différentes parties. Ce que je parle en 1er.

Encore merci pour tes infos.

Cordialement.
0
mamiemando Messages postés 31753 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2022 7 480
16 déc. 2010 à 20:16
Merci pour tes infos. Dans ma boite, la politique c'est de tout installer afin d'éviter des surprises, puis en fonction des besoins laisser uniquement les services nécessaires démarrés. D'après toi est-ce une bonne approche ?

Non. Mais tu fais comme tu veux. Quelques inconvénient à ton approche :
- mise à jour plus lourdes (temps de téléchargement et de configuration)
- migration plus complexes (plus de logiciels à migrer)
- failles éventuelles si certains de ces serveurs sont mal administrés
- ce n'est pas pénalisant d'installer un logiciel a posteriori.

Il n'y a donc aucun intérêt à tout installer, que des inconvénients !

Autre question, puisque je dois présenter une doc sur l'uniformisation des serveurs web, comment je devrais présenter les différentes parties. Ce que je parle en 1er.

Je ne sais pas de quoi tu parles. Tu parles des différents de types de serveur (iis, apache, tomcat... ?).

Moi je te conseille de toujours partir sur des technos libres quand tu as le choix. Ça coûte moins cher, tu peux facilement changer ton fusil d'épaule pour une autre alternative libre etc...

Bonne chance
0
azigui91 Messages postés 6 Date d'inscription vendredi 10 décembre 2010 Statut Membre Dernière intervention 17 décembre 2010
17 déc. 2010 à 16:28
Bonjour,

Mes serveurs sont uniquement sous LINUX. Certains proposant les mêmes outils web mais sont placés sur différents sites. Ce sont ces derniers que je dois homogénéiser, d'où ma question sur comment je dois présenter ma doc.
J'avais pensé :
Partie 1 : Pré-requis
Partie 2 : Installation
Partie 3 : Configuration des services (Apache, SMB, MySQL,...)
Partie 4 : Mise en place des sites et des bases
Partie 5 : Configuration sécurité (Pare-feu, SSH,...)

Qu'en penses-tu ?

Merci de ton aide

Cordialement.
0
mamiemando Messages postés 31753 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2022 7 480
17 déc. 2010 à 21:45
Ça a l'air bien :)
0
Bonjour,

J'avance bien sur ma doc.
J'aurai 2 questions :
Y-a-t-il un intérêt à recompiler Apache sur un autre volume ? Si oui pourquoi ?
Quel est l'intérêt d'utiliser les fichiers vhosts ?

Merci d'avance

Cordialement.
0