Besoin conseils pour Debian en production

Pardon,
j’ai pas fait gaffe. J’ai posté dans la mauvaise section
Désolé

A supprimer svp les admin. Merci et encore désolé (

Salut,

J’envisage de passer un serveur de ma boite sous Debian (et dire adieu à cette mocheté de XP Pro qui fait office de serveur )
Je pense faire la bascule d’ici 15 jours.

Pour info, nous sommes moins de 10 personnes dans la boite.
Nos besoins sont :

• serveur de fichiers (avec pas mal de grosses données car on utilise des images satellites)
• serveur FTP
• gestion de configuration (SVN + apache + accessible de l’extérieur en HTTPS)
• gestion de bugs (FlySpray + apache + accessible de l’extérieur en HTTPS)
• gestion de clientèle (Sugar CRM + apache + accessible en intranet en HTTP)
• nos postes clients sont des postes Windows

Pouvez-vous me donner vos conseils pour la mise en place de cette machine ?
Quelle arborescence pour mon système de fichiers ? (ou mettre mes données FTP, mon serveur APACHE) ?

Quelles stratégies de sécurité ?
Quels droits et pour qui sur telle ou telle partie de l’arborescence ?
IPTABLE est-il suffisant pour la sécu reseau ? Faut-il songer à autre chose en terme de sécu réseau ?

Quelles stratégies en terme de mises à jour ?
Un script pour mettre à jour tout ce qui touche à la sécurité et des mises à jour manuelles pour les autres package ?

Quelle stratégie de sauvegarde ?
Quel soft ? Quelle techno ( sur bande, sur NAS, sur DD internes) ?

Pour le partage de fichier, SAMBA ou NFS ?
(je dirai SAMBA mais j’ai aussi cette contrainte des gros fichiers et je sais pas si ca influe sur le choix de la solution)

Et j’ai trouvé ce bouquin http://www.ouaza.com/wp/2009/03/02/debian-lenny-le-cahier-de-l-admin/: j’ai bien envie de le commander pour m’aider dans l’administration et la configuration au poil ? Qq’un connait ?

Je suis vraiment excité pour la mise en place de cette solution dans le cadre de mon taf’ mais faut pas que je fasse n’importe quoi non plus.
C’est pour ca que je vous remercie de tous les conseils que vous pourrez me donner.

A+

Alors déjà faut poster dans la bonne section

Sinon un petit truc : je diviserai en deux :
Un serveur dans le LAN pour les trucs internes et un serveur dans la DMZ pour ce qui doit être accessible depuis l’extérieur.

Autre petit conseil: si tu as des fichiers vraiment trés gros (> 5 Go piéce), consacre leur une partition formatée en JFS ou XFS (voir les benchmark sur les types de partitions en fonction de la taille de tes fichiers)

Et surtout pas de précipitations! Réfléchi bien à ta solution avant de te lancer!
Tout les softs utilisés sont compatibles linux ?

Merci pour vos réponses.

Tu parles du serveur Apache ? En mettre un pour le LAN et un pour l’extérieur ?

Cool, merci bcp je connaissais pas ca, je vais regarder.

[quote]
Et surtout pas de précipitations! Réfléchi bien à ta solution avant de te lancer![/quote]
C’est pour ca que je demande vos conseils avisés et promis je prendrai mon temps.

Pour ce qui est de SVN, FlySpray et SugarCRM, c’est sous Apache donc pas de soucis.

Pour moi tout ce qui doit être accessible depuis l’extérieur de la boîte doit être dans un réseau à part avec des règles de sécurité à part et les machines présentent dans ce réseau ne doivent pas pouvoir remonter au réseau interne.

Sur une DMZ on peut imaginer des serveurs web, ftp … (en aucun cas un port doit être translaté vers une machine du LAN à mon sens)

Oui et non.
Si les utilisateurs se connectent au réseau via un VPN, il n’y a pas vraiment d’accés extérieur au serveur.
On peut appliquer une politique de sécurité unique “utilisateurs internes” au servaur.
Pour les utilisateurs externes, il y a une politique de sécurité différente pour l’accés au réseau.
Mais dans ce cas les utilisateurs externes ont accés à tout le réseau.
Comment est ce que c’est configuré aujourdhui ?

[quote]Pour moi tout ce qui doit être accessible depuis l’extérieur de la boîte doit être dans un réseau à part avec des règles de sécurité à part et les machines présentent dans ce réseau ne doivent pas pouvoir remonter au réseau interne.
Sur une DMZ on peut imaginer des serveurs web, ftp … (en aucun cas un port doit être translaté vers une machine du LAN à mon sens)
[/quote]
Malheureusement, je dispose d’une seule machine. Donc, adieu l’idée de d’une machine branchée sur le LAN et une machine sur l’extérieur.
Pour ce qui est de la machine, je vais surement disposer de 4 disques.
Je pense faire un pour l’OS, un pour les données (et les grosses données), un pour apache, un pour la sauvegarde).

[quote=“piratebab”]
Oui et non.
Si les utilisateurs se connectent au réseau via un VPN, il n’y a pas vraiment d’accés extérieur au serveur.
On peut appliquer une politique de sécurité unique “utilisateurs internes” au servaur.
Pour les utilisateurs externes, il y a une politique de sécurité différente pour l’accés au réseau.
Mais dans ce cas les utilisateurs externes ont accés à tout le réseau.
Comment est ce que c’est configuré aujourdhui ?[/quote]
Pour l’instant:

• toutes les données (doc, binaires, imagerie…) sont sur un répertoire Windows partagé et accessible en local.
• SVN, FlySPray et SugarCRM sont accessibles depuis l’extérieur en HTTPS avec certificat.

Les données (doc, binaires, imagerie…) doivent donc être accessible en local (–> Samba, NFS ???).
Le serveur Web depuis l’extérieur et protégé. L’usage de certificats est-il suffisant? Vous me parlez de VPN, est-ce un passage obligé ?

Oui et non.
Si les utilisateurs se connectent au réseau via un VPN, il n’y a pas vraiment d’accés extérieur au serveur.
On peut appliquer une politique de sécurité unique “utilisateurs internes” au servaur.
Pour les utilisateurs externes, il y a une politique de sécurité différente pour l’accés au réseau.
Mais dans ce cas les utilisateurs externes ont accés à tout le réseau.
Comment est ce que c’est configuré aujourdhui ?[/quote]

Quand je parlais d’accès depuis l’extérieur de la boîte, c’était des accès public sans VPN.

[quote]
Les données (doc, binaires, imagerie…) doivent donc être accessible en local (–> Samba, NFS ???).
Le serveur Web depuis l’extérieur et protégé. L’usage de certificats est-il suffisant? Vous me parlez de VPN, est-ce un passage obligé ?[/quote]

Pour le partage de données tu peux utiliser SAMBA.

Pour le serveur web depuis l’extérieur, tout dépends qui doit se connecter dessus mais en général pas besoin de VPN. Le VPN sert a te connecter à un réseau, si c’est juste pour accéder à un serveur web, il vaut peut être mieux gérer la sécurité sur le serveur web.

[quote=“themorice”][quote]
Les données (doc, binaires, imagerie…) doivent donc être accessible en local (–> Samba, NFS ???).
Le serveur Web depuis l’extérieur et protégé. L’usage de certificats est-il suffisant? Vous me parlez de VPN, est-ce un passage obligé ?[/quote]

Pour le partage de données tu peux utiliser SAMBA.

Pour le serveur web depuis l’extérieur, tout dépends qui doit se connecter dessus mais en général pas besoin de VPN. Le VPN sert a te connecter à un réseau, si c’est juste pour accéder à un serveur web, il vaut peut être mieux gérer la sécurité sur le serveur web.[/quote]

ok.
C’est uniquement les gars de la boite (moi en autres ) qui nous connectons aux applis web.

Donc, ok pour samba et ok pour HTTPS (et la sécu sur Apache).

Pour l’arborescence et l’usage des disques (j’en ai 4 dont 1 pour la sauvegarde).
Je sais pas trop quoi mettre sur quel disque.

• toute l’arborescence “classique” (/, /etc, /etc/apache2, /usr, /var, …) sur hda.
• toutes les applis web dans /www sur un 2eme disque hdb
• toutes les données (doc, binaires, imagerie) sur hdc (surement en XFS ou JFS à cause de l’imagerie)
• la sauvegarde sur hdd.

Je suis pas du tout certain que ce soit une bonne proposition.
Vous voyez comment les choses vous ??? car là je suis vraiment emmxxx sur comment organiser mes disques …

je soumet une piste, Xen ou autre systeme de virtualisation.

Si tu le sens, tu peux te lancer sur du RAID avec LVM (excellent article dans un linux mag récent).
Sinon tutos dispo sur le web

Ah oué, pas bête… une machine virtuelle pour mettre tout ce qui est LAN, une machine virtuelle pour ce qui est exposé à l’extérieur, comme disait Themorice.
Mais j’ai peur que ca complique la stratégie de sauvegarde par contre

[quote=“piratebab”]Si tu le sens, tu peux te lancer sur du RAID avec LVM (excellent article dans un linux mag récent).
Sinon tutos dispo sur le web[/quote]
Au départ, je voyais pas trop l’intérêt de faire du RAID.Mais je le voyais seulement par rapport à la redondance (qui me semble inutile vu que je vais mettre une sauvegarde). Par contre, ça peut-être une excellente idée pour l’accès à mes données d’imagerie.

En tout cas, y a encore du boulot pour que tout soit clair.
Je suis pas sorti de l’auberge

Ah oué, pas bête… une machine virtuelle pour mettre tout ce qui est LAN, une machine virtuelle pour ce qui est exposé à l’extérieur, comme disait Themorice.
Mais j’ai peur que ca complique la stratégie de sauvegarde par contre
[/quote]

vu que c’est un fichier image y a pas plus facile a sauvegarder
le seul inconvénient c’est que sa mange un peux plus de ressource de la machine.

Salut et excusez du retard mais la gastro m’a cloué au lit qq jours

[quote]vu que c’est un fichier image y a pas plus facile a sauvegarder
le seul inconvénient c’est que sa mange un peux plus de ressource de la machine.[/quote]
Je suis pas trop d’accord avec toi sur ce point car les outils de sauvegarde sont capables de faire de l’incrémentiel pour ne sauvegarder que les données qui ont changé et ainsi pouvoir gérer un historique des changements jusqu’au niveau du fichier.

Donc, la sauvegarde d’image entière ne me convient pas trop. Par contre, j’avais pas tilté que, en fait, il suffit de mettre en place la stratégie de de sauvegarde sur l’OS virtualisé et alors je me retrouve dans un cas standard.

Merci les gars, je vais creuser l’idée de virtualiser (d’ailleurs dans qq temps, je dois reinstaller mon portable de boulot et je vais peut-être aussi virtualiser comme ca je pourrai avoir plusieurs 0S … avec 4Go de RAM je peux me le permettre ).
Mais j’avoue que ça me parait un peu chaud pour l’instant. Beaucoup de choses à apprendre d’un coup.

Je reviens vers vous dès que j’ai avancé (mais là le chef me mets sur un autre truc, j’vais pas pouvoir tester tout ca de suite )
A+