Auteur Sujet: Base: Installation et sécurisation d'un serveur Ubuntu  (Lu 9673 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #24 le: 11 novembre 2021 à 21:06:10 »
Deux à trois minutes d'indisponibilité en pleine nuit ce n'est pas problématique.

Si tu fais bien les scripts, tout est opérationnel au redémarrage, même pour un serveur complexe.

testing5555

  • Abonné Bbox fibre
  • *
  • Messages: 604
  • Lyon 3 (69)
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #25 le: 12 novembre 2021 à 08:35:17 »
C'est ce que j'allais dire, si ton serveur de prod ne relance pas tout seul les applis après redémarrage c'est que tu n'as pas fait ton boulot comme il faut.
Et laisser un serveur que tu vends à tes clients sans mise à jour pendant 6 mois c'est pas top niveau cyber-sécu donc c'est que tu ne fais pas bien ton boulot non plus.
Même en usage perso sur mes SBC je m'assure que les applis sensées tourner 24:7 sont bien relancées après un reboot (et ce n'est pas un gros travail car souvent tu trouves ce qu'il faut pour faire tourner les applis en tant que services)

Après pour la mise à jour en mode auto eu milieu de la nuit en prod faut être un peu joueur car tu as toujours un risque que ça coince et que tout ne redémarre pas (j'ai déjà eu le cas où un mysql n'arrivait pas à se mettre à jour et donc ne démarrait plus). Si tu fais la MAJ à la main tu détectes bien plus vite un éventuel problème (mais tu crées une indispo pendant les heures de bureau ce qui peut être gênant)

Pour livepatch en mode gratuit oui c'est clairement un deal où tu as la fonction gratuitement pour qu'en échange ils puissent tester les patchs sur un grand nombre de machines avant de les envoyer sur les machines de ceux qui payent afin de pouvoir détecter un éventuel problème sur une conf spécifique qui serait passé inaperçu lors de leurs tests. Sur une install standard je pense que le risque reste assez limité.

Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 386
  • Marseille
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #26 le: 12 novembre 2021 à 08:56:43 »
le vrai soucis n'est pas que quelque se passe mal au redemarrage des services (meme si oui evidement c'est aussi un enjeu : t'as pas envie de recevoir un appel a 8h du mat "heu.... je comprend pas y a plus rien qui marche là !!" juste pour une connerie de redemarrage auto), le reel soucis c'est que le serveur n'est plus disponible et que c'est du business qui tourne dessus.
Tout n'est pas clusteurisé dans du k8s. La plupart des clients ont des plateformes basiques (nginx,apache,mysql,postgre,elasticsearch,redis, etc..) et dont les services ne sont pas interruptibles de maniere transparente et du coup pas possible de redemarrer un mysql quand ca me fait plaisir (ou pire, quand le serveur en a envie...).
Et encore pire, j'ai certains services qui sont lancés par le client lui meme (des conneries en nodejs). Enfin on va dire que ca ca compte pas.

Par contre serveur perso : ouais je suis d'accord.

PS :
D'ailleurs tiens, j'ai un windows 11 qui s'est permis de rebooter cette nuit : j'ai regardé l'ampleur des degats et je suis assez surpris. On dirait que ca y est ils sont enfin capables de restaurer les bloc-notes ouverts ? Ca s'ameliore pas mal donc ! Bon il resterai quand meme : les phpstorm, les vm virtualbox, notepad++, les explorateurs de fichier, les mobaxterm (et ne pas juste la fenetre vide hein : bien reouvrir mes onglets ssh).... et tout ca a remettre chacun dans le bon bureau.



Free_me

  • Abonné Free fibre
  • *
  • Messages: 3 386
  • Marseille
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #27 le: 12 novembre 2021 à 09:06:13 »
C'est ce que j'allais dire, si ton serveur de prod ne relance pas tout seul les applis après redémarrage c'est que tu n'as pas fait ton boulot comme il faut.
Et laisser un serveur que tu vends à tes clients sans mise à jour pendant 6 mois c'est pas top niveau cyber-sécu donc c'est que tu ne fais pas bien ton boulot non plus.

ah mais on en fait. Sauf que c'est programmé, selon les serveurs soit entre midi et 14h, soit plutot à 23h. Et c'est selon la cadence du client, donc en moyenne tous les 2 mois quoi.

Après pour la mise à jour en mode auto eu milieu de la nuit en prod faut être un peu joueur car tu as toujours un risque que ça coince et que tout ne redémarre pas (j'ai déjà eu le cas où un mysql n'arrivait pas à se mettre à jour et donc ne démarrait plus). Si tu fais la MAJ à la main tu détectes bien plus vite un éventuel problème (mais tu crées une indispo pendant les heures de bureau ce qui peut être gênant)

j'ai deja eu le cas. Et pas envie de revivre ca.
Et en gros ca m'arrive quasi une fois par an que le reboot du soir 22h, ben tu galeres 1h car un service veut plus redemarrer pour une raison X ou Y.
Dernier en date : maxscale qui passe de v2.5 à v6 a cause de 2 variables plus reconnues... => imagine tu fais ca la nuit en auto, peinard pendant que tu dors.... franchement pour certains client ce serait la catastrophe.


vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #28 le: 13 décembre 2021 à 20:41:05 »
Il y a des mises à jour de sécurité, principalement celles qui concernent le noyau qui demandent soit de redémarrer soit de patcher à la volée, le service livepatch dont on parle.

Quand tu te logue en SSH sur un serveur qui a besoin d'être redémarré, il afficher *** System restart required ***

Bien sur c'est facultatif, mais avoir un serveur (car là on parle plus de serveur) pas à jour, cela entraîne un risque.

Si vous souhaitez savoir quel outil nécessite un redémarrage quand *** System restart required *** s'affihche quand vous vous sconnectez en SSH sur le serveur, il faut installer un petit outil : checkrestart

sudo apt install debian-goodies

Pour voir les service a redémarrer, il suffit de faire :

sudo checkrestart

Exemple :


Fric-Box

  • Abonné Free fibre
  • *
  • Messages: 181
  • RIP Hérault (34)
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #29 le: 17 mars 2022 à 07:42:21 »
Merci pour ce guide très précieux pour un débutant comme moi, ça permet de piocher plein de bonnes idées et de tester !

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'un serveur Ubuntu
« Réponse #30 le: 08 mai 2023 à 17:28:10 »
Mise à jour en rajoutant une section sur la mise à l'heure : timedatectl : Faire en sorte que le serveur reste à l'heure.

Je suis en effet tombé sur un serveur qui avait plusieurs minutes de décalage avec la véritable heure.

Cela semble actif par défaut, mais certains hébergeurs qui préinstallent Ubuntu server semblent le désactiver sans proposer de solution alternative.