Plesk ou open source compatible ?

Bonjour,

Je suis novice et rien que la sécurisation de l’accès au serveur m’est difficile.
Pour simplifier la mise en oeuvre de mon forum je pense utilise plesk ou un outil open source du même genre. Le tout sur une serveur petit serveur ovh kimsufi.

Coté opensource
Est-ce préférable de rester sur débian et d’installer un manager supplémentaire.
Ou mieux vaut-il partir directement sur centos ou ubuntu qui me semble-t-il ont une interface graphique.

Plesk je l’utilise actuellement. Mais à 10%, j’ai ajouter mes bdd, crée mes compte mail, je m’en sert pour me connecter à phpmyadmin (alors que je pourrait m’y connecter sans passer par plesk). Je n’ai aucun compte revendeur ou admin à gérer, il n’y aura que moi et moi seul comme admin du serveur. Je gère parfois le disque pour les chmod. J’ai fais installé watchdog. Je vais avoir besoin d’utiliser un backup données et un backup bdd fiable (la c’est délicat).

La qualité de plesk est-elle vraiment sans comparaison ?
Je le verrais bien moi même certes, quand j’installerai centos et ubuntu histoire de tester. Mais je dois finir mon tuto et je reste impatient de connaître la réponse. Donc je vous la pose.

Bonne journée

As-tu vraiment besoin d’avoir un serveur dédié ou virtuel si la configuration n’est pas ton truc ?

http://www.ovh.com/fr/hebergement_mutualise/ te permet d’avoir un nom de domaine + un hébergement + des installations automatisés de CMS (Wordpress, Joomla, etc) pour moins de 30€ / an.

Par pitié pas Plesk c’est une usines à gaz régulièrement trouée ( dernier correctif appliqué à mon travail pour les versions de 9.5 à 10.4 il y a peu )

Regarde du côté de Ispconfig et de DTC plutôt

Ok, merci, je vais dire ispconfig car DTC me fais penser a autre chose.
Je suppose 100% compatible debian 6.0

A quelle moment je doit l’installer ?
Là j’en suis à tenter (presque finit) de sécurisé ma connexion au server avec pass et clé.
Ensuite ce sera au tour du firewall, fail2abn et portsentry. A moins que je puisse le faire ou ispconfig.

Bonne journée

[quote=“westernz”]Ok, merci, je vais dire ispconfig car DTC me fais penser a autre chose.
Je suppose 100% compatible debian 6.0

A quelle moment je doit l’installer ?
Là j’en suis à tenter (presque finit) de sécurisé ma connexion au server avec pass et clé.
Ensuite ce sera au tour du firewall, fail2abn et portsentry. A moins que je puisse le faire ou ispconfig.

Bonne journée[/quote]

Comme toute interface web après l’installation du serveur web et donc à fortiori bien après la consolidation de la sécurité de ta machine.

Portsentry n’est pas une urgence à mon avis.

Donc, en prenant en compte portsentry

• Sécurité de connexion
• Iptables
• Fail2ban
• Portsentry (optionnel)
• Ispconfig

A moins que j’oublie un truc avant ispconfig.

Bonne journée

Salut,
J’utilise isp3config sur deux machines: un dédié chez OVH et un serveur au boulot.
Pas de soucis, c’est plutôt léger et bien foutu.
Les sites sont bien gérés, possibilité très simplement d’ajouter des utilisateurs ftp, ssh, webdav (tout est bien compartimenté).

L’intégration sur Debian est parfaite.

Ce sera mon choix.
Ca me simplifiera la suite des taches à accomplir.

Toutefois je reste bloqué sur ma clé en ce moment.
Je n’y arrive pas. que ce soit sous putty ou cygwin.
Je persévère, frais, ce matin (13h20 oui, le matin)

Merci

Salut,

Faille de sécurité Plesk (<10.4)

[quote=“Germain”]Bonjour,

Une importante vulnérabilité a été découverte dans Plesk, permettant d’obtenir l’accès complet au panel.
Les versions depuis 7.6.1 jusqu’à 10.3.1 sont vulnérables. Les versions 10.4 ne sont pas concernées.

Pour savoir si votre serveur est vulnérable, veuillez consulter l’article suivant : http://kb.parallels.com/fr/113424
Pour appliquer les micro-updates Plesk, veuillez suivre l’article suivant : http://kb.parallels.com/fr/9294
Pour en savoir plus : http://kb.parallels.com/fr/113321

IMPORTANT

Il est fortement recommandé de changer tous les mots de passe des utilisateurs Plesk ainsi que du compte Admin : http://kb.parallels.com/fr/113391

Vérifiez et nettoyez votre serveur au cas où il aurait été corrompu :

[ol]
[li]Supprimer les backdoors:
Supprimez tous les fichiers dans le dossier /tmp de votre serveur. Vous devriez y trouver des fichiers nommés ‘ua’ ou ‘id’ par exemple.

[/li]
[li]Localiser les scripts perl et cgi
Tapez la commande suivante: ls -al /var/www/vhosts//cgi-bin/.pl /var/www/vhosts//cgi-bin/.cgi . Vous verrez dans chaque dossier cgi-bin des fichier .pl ou .cgi avec des noms différents.
Exemples: preaxiad.pl, dialuric.pl, fructuous.pl . Supprimez tous ces scripts si ils ne sont pas les votres.

[/li]
[li]Sécuriser votre site:
A priori des injections ont eu lieu sur les CMS wordpress, drupal et/ou joomla. Assurez-vous que votre site utilise bien la dernière version de ces CMS.
Désactivez via le panel plesk dans la partie hébergement l’option CGI-BIN pour les sites qui n’utilisent pas cette option.
Changez également le mot de pass ftp / sql de vos sites.

[/li]
[li]Localiser l’IP source:
Vous pouvez faire un grep du nom du script.pl dans les access_log de votre site afin de trouver l’IP qui a effectué l’injection.

Par exemple: zgrep ‘preaxiad’ /var/www/vhosts/VOTREDOMAINEICI/statistics /logs/access_log*
devrait vous retourner une ligne du genre:
12.34.56.78 - - [01/Mar/2012:02:37:55 +0100] “GET /cgi-bin/preaxiad.pl HTTP/1.1” 200 181 “” “Opera/7.21 (Windows NT 5.2; U)”
Servez-vous de l’IP au début de cette ligne pour voir si d’autres sites sont affectés.
Exemple: zgrep ‘ip.en.question.ici’ /var/www/vhosts//statistics/logs/access_log
Cela vous retournera alors la liste des logs pour les sites où le script as été appelé.[/li][/ol]

OBTENIR DE L’AIDE

Nos équipes peuvent prendre en charge la vérification / mise à jour de votre serveur. Pour cela vous pouvez ouvrir un ticket incident.

L’intervention sera facturée 80 Euro HT et inclut :

• la suppression des scripts / backdoors
• vérification présence de la faille
• le microupdate et update de votre plesk

Germain[/quote]
Source.

Au vu de ce qui a été énoncé, tant de version trouées…
Je vais éviter plesk désormais.
Une j’aurai pu admettre, deux j’aurai mouché, mais là… à mes yeux, C’est une preuve d’incompétence.
Quoi de plus important que la sécurité sur un serveur ?

Merci pour cette info si précise.
Bonne journée

Salut,
Il y a des failles partout… Ce qui est important:

Travailler avec des logiciels maintenus;
Installer systématiquement les mise à jour (Toujours tester sur un autre système avant de lancer sur la machine en production).

J’ai fait une MAJ hier de isp3config à cause d’une faille sur Webdav.

Tu veux dire quoi par :

nb : je crois qu’il y a un gros souci de cookie sur ce forum, impossible de conserver un log automatique, je perd tout mon texte si jamais je fais “précédent” ce qui arrive souvent quand ma molette gouge toute seule et que j’appuis sur shift.

Bonne journée

Salut,

[quote=“westernz”]Tu veux dire quoi par :

Avoir sous la main une machine (si possible avec une configuration similaire à celle de ton serveur) pour tester les upgrades, mises à jour, configurations, etc.
Ça évite de planter “bêtement” un serveur en prod et d’avoir les clients sur le dos…

Edit: Une simple machine virtuelle ça fait l’affaire…

Oui, effectivement cela peut être utile.
Les mise à jour, il y en a tout les combien de temps environ ?

Il faut le faire pour n’importe quel mise à jour ?
y compris les
apt-get update
apt-get upgrade

?

Bonne journée

[quote=“westernz”]Oui, effectivement cela peut être utile.
Les mise à jour, il y en a tout les combien de temps environ ?

Il faut le faire pour n’importe quel mise à jour ?
y compris les
apt-get update
apt-get upgrade

?

Bonne journée[/quote]

Je suppose que le serveur est en stable, des mises à jours il n’y en a presque plus (des mises à jour de sécurité surtout), de ce côté là tu ne risque pas grand chose.
Isp3Config à des mises à jours de temps en temps, tous les 2/3 mois. Il s’agit aussi en, général de MAJ de sécurité, rien de méchant.
Mais ça ne coûte pas grand chose de faire ça sur une machine qui ne craint rien; Et ça permet par la même occasion de se faire la main!

Edit: pas les apt-get update quand même…

ok c’est noté.

Juste pour être précis
Une machine miroir (en quelque sorte) ?
Histoire de lui faire subir les mêmes évolutions que mon serveur. Au pire je peux le faire.

Cela évitera aussi de tout réinstallé à chaque fois pour faire cette vérification. Non ?

Mérci pour tous ces conseils.
Bonne journée

Exactement,
Une machine que tu peux torturer pour faire des essais…

L’idéal c’est une VM (machine virtuelle). Tu la réplique à volonté, c’est très pratique!

ok, je verrai cela une fois le serveur actif.
J’ai noté ca dans mon tuto local.

Merci beaucoup

Oui je reconstruit le tuto son mon site de travail.
C’est nettement plus propre
Je modifierai celui ici des cette partie terminée.