Hebergement / sécurité : chez sois / chez un hebergeur ?

Hebergement / sécurité : chez sois / chez un hebergeur ? - Hébergement - Réseaux grand public / SoHo

Marsh Posté le 08-02-2011 à 19:54:34    

Bonjour,
 
Voilà je vais (sûrement) me lancer en tant qu'entrepreneur pour vendre des solutions logicielles.
Je vais avoir des serveur (non-web) qui vont tourner, et qu'il va déjà falloir que je sécurise.
Plus le développement de l'application.
 
Avec ça il va me falloir mon propre site web.
J'aurais vraiment aimé l'héberger sur un serveur dédié.
 
Mais quand je vois le de boulot pour sécuriser un serveur AMP (Apache / MySQL / PHP), je ne suis pas sûre de pouvoir faire le poids avec la tonne de boulot que j'aurai à côté... (je peux me former, mais je suis assez pressé)
 
Alors suis-je trop parano ? Est-ce que je me fais une montagne de ce qui n'a pas lieu d'être ?
Ou bien effectivement c'est un travail à temps plein, et il vaut mieux se faire heberger ?
Est-on vraiment mieux sécurisé chez un hébergeur ? (J'imagine qu'ils sont au courant de toutes les techniques à employer ...)
(Sans parler de la partie code du site...)
 
Ceux qui ont l'expérience merci de me donner un petit coup de main :)


---------------
http://www.flickr.com/photos/julcok/
Reply

Marsh Posté le 08-02-2011 à 19:54:34   

Reply

Marsh Posté le 08-02-2011 à 20:21:09    

Je pense que tu fais bien d'être prudent, si tu n'as pas le temps de t'y mettre sérieusement mieux vaut prendre un mutualisé avec un CRM ou autre truc préfabriqué, car une bonne partie - pour ne pas dire la majorité - des failles de sécurité des sites web se trouvent dans le code du site et non pas dans les réglages du serveur.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 08-02-2011 à 21:39:22    

Un serveur mal sécurisé, c'est la mort annoncée de ta boite.
Crois moi, soit tu fait appel à un pro, soit tu le devient toi même, mais ne fait pas ça comme on fait des pâtes...


---------------
Fort et motivé. Sauf parfois.
Reply

Marsh Posté le 08-02-2011 à 22:11:08    

Vous me confortez dans l'idée de prendre un hébergement tout prêt.
Si un jour j'ai du temps libre, je monterai un serveur comme il faut, mais pour l'instant je vais assurer la partie code, ça sera déjà bien ^^
 
merci :)


---------------
http://www.flickr.com/photos/julcok/
Reply

Marsh Posté le 09-03-2011 à 16:10:42    

Un serveur mutualisé ne veut pas dire que celui ci est sécurisé.  
Si ton code est en mode gruyère@failles de sécurité, script d'upload dans des dossiers exécutable, template joomla récupéré sur un site russe avec du porno au milieu & co ça servira à rien.  
 
Ca coute plus cher mais si tu as un projet sérieux avec des contraintes élevés en sécurité notamment vis à vis de ton logiciel, fais appel à des professionnels qui te feront une plateforme sécurisé au mieux de leur capacités (qui dépendra souvent du prix que tu mets).  
 
Ca te coutera peut être plus qu'un hébergement mutualisé à 100euros par an mais bon ça va être ton outil de travail principal.  
 
C'est comme si en tant qu'ouvrier tu hésitais entre acheter du facom et du playskool.  


---------------
-3dB
Reply

Marsh Posté le 10-03-2011 à 17:18:47    

Bah tu prend un mutualisé chez un grand groupe comme ovh, au moins tes sur qu'il y aura pas de trou beant comme ca peut etre le cas quand tu manage toi meme ton serveur (droits sur les compte user, repertoires, mise a jour, envrionnement de tests etc)

Reply

Marsh Posté le 10-03-2011 à 17:45:07    

Les "trous béants" que je constate le plus souvent c'est sur du mutualisé et cela n'a rien à voir avec ce genre de chose.  
 
90% des attaques c'est bruteforce ftp/ssh et failles php/asp connues. Sécuriser un serveur reste quand même plus simple que de vérifier des failles dans un code php.  
 
Sur un serveur tu peux restreindre les accès plus simplement.  
 
Genre "Je ferme tout sauf 80 et puis le port 21, 22, 25, 3306 y a que tel ip qui peut les utiliser"
 
 
 


---------------
-3dB
Reply

Marsh Posté le 10-03-2011 à 20:28:29    

mbl a écrit :

Les "trous béants" que je constate le plus souvent c'est sur du mutualisé et cela n'a rien à voir avec ce genre de chose.  
 
90% des attaques c'est bruteforce ftp/ssh et failles php/asp connues. Sécuriser un serveur reste quand même plus simple que de vérifier des failles dans un code php.  
 
Sur un serveur tu peux restreindre les accès plus simplement.  
 
Genre "Je ferme tout sauf 80 et puis le port 21, 22, 25, 3306 y a que tel ip qui peut les utiliser"
 


 
C'est pas faux, mais vu la chute des prix des dédiés et autres VPS, t'as bcp de gens qui se disent moi "je veux prendre un dédié qu'a moi tout seul,  je veux de la puissance, mon site va tourner plus vite", du coup t'as une nouvelle population d'apprentis admin qui ne connaisent pas grand chose et suivent des tutoriaux . A ton avis combien savent ce qu'ils installent vraiment ? Combien ont fait des netstat pour savoir quels services reseaux tournent ? Combien connaissent la gestion des droits sur UNIX ?  
Tu dois en avoir une palanqué de serveur avec des services reseaux tournant avec des mdp par default


Message édité par helloyes le 10-03-2011 à 20:31:30
Reply

Marsh Posté le 10-03-2011 à 23:10:38    

Yep :)  
Je te le confirme si tu veux même.  
 
Les attaques que je vois perso c'est que du basique. Des bots qui testent toutes les combinaisons basiques de mots de passe/login en ftp et en ssh.  
 
Des bots qui testent toutes les failles connues des cms les plus courants (joomla, wordpress & co), dossiers d'upload etc...  
 
Des attaques ciblées sur des serveurs anonymes (enfin de monsieur tout le monde on va dire) ça existe quasiment plus ou alors c'est dans le seul but de nuire directement au propriétaire.  
 
Genre par exemple la dernière tentative de hack réel que j'ai vu qui dépassait le brute force c'était une femme qui tentait de récupérer des infos sur son mari pour une procédure de divorce.  
 
Le reste du temps c'est plus pour :  
- récupérer des listes de mails
- envoyer du spam  
- faire des pages de phishing  
- hébergé des chevaux de troies
- servir de bot pour casser d'autres serveurs.  
 
Y en a même qui arrive à rester des années sur des serveurs sans que le proprio s'en aperçoive tellement ils sont discrets.  
 


---------------
-3dB
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed