Conseils archi type serveur Linux

[Résolu/Fermé]
Signaler
Messages postés
6
Date d'inscription
vendredi 10 décembre 2010
Statut
Membre
Dernière intervention
17 décembre 2010
-
 azigui -
Bonjour à tous,

Tout d'abord ravi de vous rejoindre sur ce forum. L'objet de mon message est d'avoir vos conseils et suggestions.
En effet je suis en charge d'analyser et de proposer des architectures types pour des serveurs LINUX (Redhat) implantés dans plusieurs sites de ma société.

La plupart de ces serveurs sont des web hosting avec Apache, MySQL. Les services démarrés sont httpd, mysqld, ssh, sendmail, nfsd, smbd et bien d'autres qui n'ont pas forcément d'utilité.

La plupart de ses serveurs ont été installés de façon différente car jamais la même personne. Je vais donc devenir le référent unique et proposer un type d'architecture selon les serveurs. En effet le type différera si c'est un simple serveur web ou si c'est un serveur proposant un outil web spécifique.

D'après vous où puis-je me documenter (sites, livres, forums...) ?
De quelle manière puis-je commencer mes analyses ?
Quelles types de questions dois-je me poser ?
Comment dois-je prendre en compte l'aspect sécurité ?

Je dois avoir d'autres questions mais je ne les ai plus en têtes (ah Vieillesse quand tu nous tiens ;-) Je reviendrai donc vers vous.

Merci pour votre aide.

Cordialement,

Azigui

10 réponses

Messages postés
30212
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
22 octobre 2021
7 195
D'après vous où puis-je me documenter (sites, livres, forums...) ?

Pour chaque serveur tu peux consulter un site de documentation par exemple doc.fedora-fr.org qui est proche de Redhat (car basée dessus).

Exemple avec apache :
https://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

En complètement tu peux t'appuyer sur doc.ubuntu-fr.org, très complet, mais qui s'adresse plutôt aux gens qui utilisent une distribution basée sur debian. Ainsi certaines commandes et certains fichiers de configuration peuvent différer. Mais ça peut apporter un complètement d'information à ce que tu as déjà glané sur doc.fedora-fr.org.

En terme de forum tu as l'embarras du choix : CCM, https://forums.fedora-fr.org/ ...

De quelle manière puis-je commencer mes analyses ?

La vraie question c'est quels services doivent être disponible sur telle ou telle machine. Par exemple, si ta machine ne fait pas serveur de fichier, nfsd n'a pas lieu d'être installé etc...

Tu peux voir le rôle des différents serveurs qu'on trouve classiquement sous linux ici :
http://doc.ubuntu-fr.org/serveur

De manière il faut des règles (pare-feu, droits sur les fichiers mis à disposition etc...) aussi restrictives que possible pour minimiser les risques d'attaques.

Quelles types de questions dois-je me poser ?

Toute les questions qu'on peut se poser en administration et en architecture système réseau. Quelles applications est-ce que je souhaite utiliser, est-ce le choix technique et économique le plus pertinent, est-ce que je ne m'enferme pas dans une technologie, comment l'administrer au mieux, comment définir des règles assurant la fiabilité (backup, pare-feu ...) et la robustesse maximum tout en offrant de bonnes performances etc...

Comment dois-je prendre en compte l'aspect sécurité ?

Il faut te documenter sur toutes les problématiques liées aux droits. Typiquement on ne change JAMAIS les droits associés aux fichiers assurant le fonctionnement du système. Et on met des droits aussi restrictifs que possible sur les fichiers de données que l'on met à disposition.

Il faut utiliser des mots de passes sûrs (pas basé sur le login, un mot du dictionnaire etc... et utilisant des minuscules, des majuscules et des chiffres).

Il ne faut installer que les serveurs réseaux nécessaires. Inutile de mettre un serveur mysql par exemple sur une machine qui ne fait pas serveur de base. Plus il y a des serveurs déployés, plus il y a le risque que tu déployes quelque chose qui peut être piraté.

Il faut activer aussi peu de comptes que possible (par exemple laisser un accès ssh qu'aux personnes qui en ont réellement besoin).

Il faut définir des règles de pare-feu (iptables, ufw...) aussi strictes que possible (par exemple quelle plage d'IP peut accéder à tel serveur).

Attention aussi aux problématiques de cloisonnement (que se passe-til si cette partition est saturée ou corrompue...) ?

Enfin il faut mettre à jour régulièrement ça machine pour bénéficier des derniers correctifs de trous de sécurités. Et ne jamais déployer un paquet qui provient d'un site qui n'est pas "sûr" (en général on n'installe des paquets provenant uniquement des miroirs de sa distribution).

Tout ceci n'est qu'un aspect et j'ai pu oublier des trucs, je t'invite à fouiller un peu sur le Net.

Bonne chance
Bonjour,

Je te remercie beaucoup pour toutes tes infos.
Voilà de bonnes bases pour commencer.

A très bientôt

Cordialement,

Azigui
Messages postés
30212
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
22 octobre 2021
7 195
De rien et bonne continuation !
Messages postés
6
Date d'inscription
vendredi 10 décembre 2010
Statut
Membre
Dernière intervention
17 décembre 2010

J'aurai une question.
Lors de l'installation de la redhat, est-il préconisé d'installer tous les paquetages proposés par la distrib ?

Merci

Cordialement.
Messages postés
30212
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
22 octobre 2021
7 195
A priori juste ce dont tu as besoin. Selon le théorème du qui peut le plus peu le moins, ça marchera. Autre approche (celle que j'utilise), j'installe le minimum et en fonction de mes besoins, j'installe mes paquets au fil de l'eau.
Messages postés
6
Date d'inscription
vendredi 10 décembre 2010
Statut
Membre
Dernière intervention
17 décembre 2010

Bonjour,

Merci pour tes infos. Dans ma boite, la politique c'est de tout installer afin d'éviter des surprises, puis en fonction des besoins laisser uniquement les services nécessaires démarrés. D'après toi est-ce une bonne approche ?

Autre question, puisque je dois présenter une doc sur l'uniformisation des serveurs web, comment je devrais présenter les différentes parties. Ce que je parle en 1er.

Encore merci pour tes infos.

Cordialement.
Messages postés
30212
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
22 octobre 2021
7 195
Merci pour tes infos. Dans ma boite, la politique c'est de tout installer afin d'éviter des surprises, puis en fonction des besoins laisser uniquement les services nécessaires démarrés. D'après toi est-ce une bonne approche ?

Non. Mais tu fais comme tu veux. Quelques inconvénient à ton approche :
- mise à jour plus lourdes (temps de téléchargement et de configuration)
- migration plus complexes (plus de logiciels à migrer)
- failles éventuelles si certains de ces serveurs sont mal administrés
- ce n'est pas pénalisant d'installer un logiciel a posteriori.

Il n'y a donc aucun intérêt à tout installer, que des inconvénients !

Autre question, puisque je dois présenter une doc sur l'uniformisation des serveurs web, comment je devrais présenter les différentes parties. Ce que je parle en 1er.

Je ne sais pas de quoi tu parles. Tu parles des différents de types de serveur (iis, apache, tomcat... ?).

Moi je te conseille de toujours partir sur des technos libres quand tu as le choix. Ça coûte moins cher, tu peux facilement changer ton fusil d'épaule pour une autre alternative libre etc...

Bonne chance
Messages postés
6
Date d'inscription
vendredi 10 décembre 2010
Statut
Membre
Dernière intervention
17 décembre 2010

Bonjour,

Mes serveurs sont uniquement sous LINUX. Certains proposant les mêmes outils web mais sont placés sur différents sites. Ce sont ces derniers que je dois homogénéiser, d'où ma question sur comment je dois présenter ma doc.
J'avais pensé :
Partie 1 : Pré-requis
Partie 2 : Installation
Partie 3 : Configuration des services (Apache, SMB, MySQL,...)
Partie 4 : Mise en place des sites et des bases
Partie 5 : Configuration sécurité (Pare-feu, SSH,...)

Qu'en penses-tu ?

Merci de ton aide

Cordialement.
Messages postés
30212
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
22 octobre 2021
7 195
Ça a l'air bien :)
Bonjour,

J'avance bien sur ma doc.
J'aurai 2 questions :
Y-a-t-il un intérêt à recompiler Apache sur un autre volume ? Si oui pourquoi ?
Quel est l'intérêt d'utiliser les fichiers vhosts ?

Merci d'avance

Cordialement.