Serveur brs0.internetway.net

Configuration et architecture

Paramètres de la machine virtuelle

Hardware
CPU	4*2GHz
RAM	8Gb
Swap	8Gb
Disque	/boot : 512MB / : 37GB /brs : 153Gb
Réseau
Bande-passante	2Mb/s (10Mb/s)
Adresse IP	178.16.164.213
Nom d'hôte	brs0.internetway.net
Virtualisation
Virutualisation	KVM
Haute-disponibilité	DRBD

Sécurité

Coffre-for de mots de passe

Les mots de passe sont fournis via un coffre-fort. Ce coffre-fort se présente sous la forme d'un fichier .kdb, ouvrable avec l'application suivante :

Keepass

Seul le mot de passe de ce coffre-fort est remis en mains propres.

Règles de firewall

Le comportement par défaut du firewall est de bloquer les flux. Les flux autorisés sont conformes aux règles suivantes :

# Generated by iptables-save v1.4.14 on Thu May 22 15:52:16 2014
*filter
:INPUT DROP [174732:12468627]
:FORWARD DROP [0:0]
:OUTPUT DROP [38353:2280743]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 81.255.160.36/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 90.83.38.130/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 87.254.230.225/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 92.151.190.241/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 92.151.255.182/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT
# Completed on Thu May 22 15:52:16 2014

Backup

Le backup se fait au moyen de snapshots LVM.

Applications

SSH

L'accès SSH root se fait sur le port 22, via une authentification par mot de passe.

SFTP

SFTP permet de transférer des fichiers à travers le protocole SSH.

Sous Windows, l'application WinSCP supporte ce protocole.

L'authentification se fait par certificat. Pour cela, il faut :

Générer un couple clé privée/clé publique (via ssh-keygen sous Linux ou PuTTYgen sous Windows). Il est fortement recommandé de protéger la clé privée par une passphrase.
Installer la clé publique sur le servuer (dans /brs/brs-paris.com/.ssh/authorized_keys)
Ajouter la clé privée à Pageant (sous Windows)

La connexion se fait ensuite via WinSCP.

FTP

Un accès FTP a été créé (utilisateur brs). Cependant, les flux sur le port 21 sont actuellement bloqués. Les autorisations se feront à la demande, adresse IP par adresse IP.

Serveur Web Apache2

Les modules Apache suivants sont actifs :

alias
auth_basic
authn_file
authz_default
authz_groupfile
authz_host
authz_user
autoindex
cgi
deflate
dir
env
mime
negotiation
php5
reqtimeout
setenvif
status

Les extensions PHP suivantes sont installées :

php5-curl
php5-gd
php5-imagick
php5-pgsql
php5-xsl

D'autres modules, extensions et/ou versions de PHP pourront être installées sur simple demande.

Serveur Postgresql 9.1

Un serveur PostgreSQL a été installé dans la version 9.1.

Les modules suivants ont également été installés :

contrib (fonction de cryptage notamment)
language plperl
language pltcl

A ce jour, aucune base n'a été créée.

Statisitiques Web

L'accès aux statistiques se fait via l'adresse suivante : http://stats.internetway.net/

Piwik est un outil open source qui permet de récupérer les statistiques de visites via l'ajout de quelques lignes de code en fin de chaque page du site. Contrairement aux outils comme Google Analitycs, les données restent privées.

Il existe également des applications mobiles permettant de consulter ces données.

Pour l'utiliser, il suffit d'insérer le code suivant juste avant la balise </body> :

<!-- Piwik -->
<script type="text/javascript">
  var _paq = _paq || [];
  _paq.push(["trackPageView"]);
  _paq.push(["enableLinkTracking"]);

  (function() {
    var u=(("https:" == document.location.protocol) ? "https" : "http") + "://stats.internetway.net/";
    _paq.push(["setTrackerUrl", u+"piwik.php"]);
    _paq.push(["setSiteId", "2"]);
    var d=document, g=d.createElement("script"), s=d.getElementsByTagName("script")[0]; g.type="text/javascript";
    g.defer=true; g.async=true; g.src=u+"piwik.js"; s.parentNode.insertBefore(g,s);
  })();
</script>
<!-- End Piwik Code -->

Supervision

L'accès à l'interface de supervision se fait via l'adresse suivante : http://simonitor.irincom.com/

L'interface permet de :

Monitorer l'état des éléments hardware (CPU, RAM, SWAP, disques)
Monitorer les services
Superviser l'utilisation de la bande passante (graphes et vue adresse IP par adresse IP et port par port)