Plesk "tout seul" vs virtualisation Proxmox

Hello,

En toute franchise, pour une solution mutualisée comme celle que tu fais, reste sur Plesk et prévoit plutôt un bon backup. Pour une dizaine de sites, faire un environnement virtualisé, je ne suis pas certain de la pertinence. Moi je ne le ferai pas, un gros Plesk pour faire du mutualisé, comme tu as, serait bien assez ; et Plesk n'est pas une petite solution.

Maintenant, le virtualisé (enfin, chez proxmox, on fait surtout du container ; le virtualisé c'est vraiment si on a pas le choix ..), ça a en effet plusieurs avantages :

* Plusieurs environnements isolés et indépendants : si t'en casses un le reste de ta prod reste up
* Chaque élément est isolé : un container pour les mails, un container pour le web, un container pour les backups, etc.
* C'est + facile et pas mal rapide de backup un container, de le restorer ensuite et même de migrer : c'est comme si on prenait ton disque dur windows (ou mac) de ta machine et qu'on le mettait sur une nouvelle machine tout simplement (et bien sûr, que ça marche)

Mais voila, Proxmox c'est plutôt simple à utiliser quand on a passé la question du réseau ... Moi aussi je me fais souvent avoir sur mes déploiements neufs de Proxmox surtout que je nat pas mal mes IPs à l'aide d'iptables, à l'ancienne.

Alors question sécurité, finalement, pour ton usage dans lequel tu sembles tout seul à avoir autorité sur l'ensemble, je crois que ce n'est pas vraiment intéressant. Encore que Plesk est peut-être capable de gérer du container désormais ? Chez OVH nous avons une solution en test pour ce genre d'usage, du Plesk qui déploie des VPS, c'est pas mal comme idée à mon sens.

Le vrai risque selon moi est de ne pas mettre à jour ses systèmes (Plesk + Linux), d'avoir des mots de passes trop simples, de laisser des accès annonymes/publics, d'avoir un serveur de mail en relay ouvert, de laisser des communications en clair, de ne pas avoir de redondance/failover/slave, de ne pas avoir de sauvegarde, et d'autres mauvaises pratiques de ce type.

Je rejoins ce que dit Meddy.

Déjà il faut voir combien tu factures cet hébergement à tes clients.
Un hébergement à base de machine virtuelle est plus cher. Car il faut plus de ressources (x fois les process mails / web / mysql), il faut plus de temps de gestion (x système différents).
Donc si pour toi l'hébergement est uniquement un coût et que tu ne peux pas refacturer ça convenablement je conseillerai de rester sur une solution simple.

Après l'autre question es tu le seul à accéder au serveur ? Les clients ont ils des accès ssh / sftp pour leur permettre de poser des fichiers sur le serveur ?
Si tu es seul, et que tu maintiens bien tes sites (mises à jour, ...) le risque est limité...

Après la virtualisation apporte son lot d'avantages.
- Le client peut avoir facilement accès en ssh et ayant une grande liberté de configuration de son environnement.
- Le client est bien isolé et ne devrait pas poser de problèmes aux autres.
- Il est plus facile d'allouer un montant précis de ressources à chaque client. Histoire de ne pas avoir un client qui consomme 80% des ressources à lui tout seul.


Pour faire simple. Si tu ne peux pas refacturer le coût de l'hébergement et que tu es le seul à intervenir sur l'hébergement reste sur ta solution actuelle.
Si les clients ont des besoins particuliers en configuration, que certains consomment beaucoup et d'autres moins, que tu peux refacturer le coût de ta solution au client final et que tu n'es pas le seul à accéder au serveur. Dans ce cas la virtualisation peux se justifier.

Bonsoir à vous,
J'avoue que j'attendais un peu qu'on aille dans mon sens car je n'avais pas plus envie que ça de changer encore une fois. Bien que j'attendais avant de faire la migration de tous mes sites qui sont sur des mutualisés vers mon nouveau serveur.

Pour répondre à vos questions :

• Là j'ai environ 30 sites, mes clients n'ont qu'un accès à WordPress et je définis leurs mots de passe pour qu'ils soient secure, ils n'ont pas besoin d'accès ssh ou ftp

• J'ai désactivé l'accès ssh en root et j'ai des mots de passe de 25 caractères, les mdp des accès ftp sont quasi aussi longs / Je mets bien à jour quand il y a des updates / ...

• Au niveau financier, j'ai largement de quoi payer mon HOST-32L avec ssd pour rentrer dans mes frais et me faire un petit bonus. Ce qui est toujours bien mais c'est surtout le côté pratique d'avoir tout réuni qui me plait. Et je viens de voir que Proxmox est un service payant, donc en plus du serveur et de Plex...

Ok donc pour résumer, si j'ai bien compris, je peux garder ma solution actuelle du moment que tout est bien configuré et sécurisé ? Après, j'ai bien compris les avantages de la virtualisation mais d'après ce que vous dites, je comprends que ce n'est pas trop nécessaire dans mon cas... Surtout que j'ai les choses bien en main comme c'est maintenant !

Meddy, je prends bien note de ton dernier paragraphe, je pense que c'est le principal ;-)

Encore un grand merci à vous,
Laurent

Edit: Et quand on dit "casser", qu'est ce qui pourrait arriver de mal ? On m'a dit un plugin WordPress qui déconne par exemple... Mais je n'utilise que les plus utilisés voire payants, j'imagine que ça va ?

Edit2: le plus gros site à 4k visites par mois donc pas vraiment de ressources à allouer en particulier

Et je viens de voir que Proxmox est un service payant

Proxmox est gratuit. Ce qui est payant c'est le support. Par contre ton licencing Plesk pour chaque container ça ne je ne sais pas ...

De ce que tu nous décris, Plesk est la bonne solution pour toi, de mon point de vue.

Les risques du mutualisé (sans ips dédié -IP FailOver- à chaque site) en parti :

* Faille d'un plugin qui permet de faire du mass mailing et donc de blacklister tes mails
* Faille quelquonque qui permet d'envoyer des commandes à ton serveur (peu évitable même avec une IP dédiée, mais au moins avec un backup tu peux remettre le service en ligne et fixer avant de réouvrir)
* Faille d'un plugin qui envoie du DDoS à un autre site et qui dont peut faire mettre hors ligne ton service (et donc l'IP, quelques fois ils bloquent aussi les IPFO d'ailleurs)

Bref ton point critique est WordPress, fait attention aux plugins que tu utilises (et payé != qualité ... C'est une fausse croyance), repense toujours ta façon de coder pour suivre les best practices, etc. De toute t'as l'air pas mal discipliné et conscient des risques, je suis bien certain que tu fais déjà ça :).

Ok pour Proxmox, j'avais juste checké vite fait leur site...

Donc c'est parfait, je reste avec ce que j'ai, j'avoue que ça m'arrange !

Bien compris pour WordPress. Déjà le compte admin est automatiquement modifié quand on l'installe via Plesk, remplacé par une suite aléatoire de lettre minuscules et majuscules... Pour les clients, ce sont généralement des prénoms francophones mais comme expliqué, c'est moi qui choisi leurs mots de passe.
Et pour les plugins, je suis avec du WPML, Revolution Slider, WooCommerce... Bref, toujours en version officielle et rien d'underground...

Le principal était de connaitre la viabilité de ma solution actuelle, et vos avis m'ont convaincu que je vais rester comme ça.

Encore un grand merci, je savais qu'en venant ici, j'allais avoir des bons conseils ;-)

ps. Pour terminer, je peux encore te poser quelques questions niveau configuration/sécurité ?

Bon, je suppose que ça dérangera pas, histoire de gagner du temps, je me lance :p

Même si expliqué plus haut, voici tout ce que j'ai fait :

**SSH**
• Compte root désactivé, utilisation d'un compte user, passwords différents et de 25 caractères
• Changement du port 22, il est au dessus de 20000, j'avais cru lire qu'il fallait rester en dessous de 1024, c'est ok comme ça ?

**FTP**
• Il n'y a que moi qui y ait accès, longs passwords, différents par comptes client
• Je n'ai jamais testé, est-ce que le FTPS serait mieux ?

**Sites, pour chaque domaine**
• HTTP/2 activé
• Certificat SSL de Let's Encrypt (redirection 301 activée)
• IP différente par site avec reverse vers mail.site.tld
• DNS secondaire vers sdns2.ovh.net
• DKIM activé

**OVH**
• Firewall activé sur l'ip principale du serveur (je vois pas trop la différence avec le firewall de Plesk)

**Plesk**
• Très long password pour compte admin
• Relay options > Authorization is required > SMTP
• Enable SMTP service on port 587 on all IP addresses > check
• Plesk Premium Antivirus > activé
• SpamAssassin > activé

**Via Plesk**
• Fail2ban activé sur tous les jails possibles (je ne vois plus que des attaques sur "plesk-postfix")
• Firewall activé (pas certain de la configuration par défaut...)
• Security Advisor / Watchdog / WordPress Toolkit activés

Bon, voilà tout, dans les détails :-) Je pense que c'est déjà pas mal mais j'aimerais bien un avis extérieur... Grand merci d'avance pour la réponse !

Cordialement,
LLp

Bonjour,

Tu peux sans soucis placer ton port au dessus des 1024. Ce qu'il faut savoir c'est simplement que les port jusqu'à 1024 sont réservés à l'utilisateur root.

Au-delà, n'importe quel user peut ouvrir un port, c'est le fonctionnement normal de Linux.

Tu peux aussi créer des clés pour les connexions ? Cela reste plus safe techniquement qu'un couple de user/password.

Pour le FTP cela dépends de ton besoin, je dirais que si tu l'utilises pas de manière intensive, le FTPS devrait suffire. Je te conseille d'ailleurs de restreindre les connexions en filtrant par IP si tu n'as pas d'IP dynamiques...

Un bon script iptables fait le boulot après pour le reste :)

Tu as l'air d'avoir mis en place ce que j'appellerais "une base en sécurité". Après là où il faudra être très attentif c'est aussi sur le code de tes sites et les plugins Wordpress que t’utilise.

Chaque plugin activé sera une chance en plus de voir une faille arrivée, sans compter que les failles Wordpress c'est pas ce qui est le moins recherché.

Si tu veux faire des tests (je ne sais pas ce que cela donnerait sur un Plesk) je peux te conseiller aussi d'utiliser des outils comme Tripwire ou AIDE par exemple ;)

Cordialement, Alexandre R.

La paire de clef SSH, totalement +1 !

FTPS, toujours mieux de chiffrer tes connections ...

Pour le firewall Plesk + firewall IP OVH, t'es bien aussi d'avoir les deux. Si l'un fait défaut, l'autre sera là, tu risques moins de te retrouver à poil. Après, un firewall qui est en "autoriser tout" ne sert à rien, c'est comme ne pas en avoir. Il faut une politiques par défaut à tout bloquer, et ouvrir juste les ports dont tu as besoin.

Le DKIM c'est bien, le SPF c'est fait aussi ? Le "Junk Program" SNDS de Microsoft tu l'as fait ? Oh puis y a le nouveau truc là pour indiquer que t'utiliser un anti-spam je crois .. Comme je sous-traite mes boîtes de réception perso, j'ai pas eu à m'en servir + que ça.

C'est pas mal ce que tu as mis en place, et j'espère que ça va en inspirer d'autres :).

N'hésite pas à changer les users par défaut lorsque c'est possible.

Hello,

• Ok pour le port SSH, et je vais checker pour les clés de connexion
• J'ai activé "Allow only secure FTPS connections", c'était tout simple à faire dans Plesk. Par contre j'ai une ip dynamique donc plus embêtant pour limiter les connexions.
• Ok pour les firewalls mais effectivement, ne m'y connaissant pas trop, j'ai laissé la configuration de base qui semble tout accepter... Je vais demander à mon admin de regarder ça car je ne voudrais pas faire de bêtise.
• SPF c'est fait, mais pas le SDNS Microsoft, c'est bien noté. Et le "nouveau truc", ça ne me dit rien ;-)
• Au niveau des sites et de WordPress, je tâche de bien faire ça et comme dis plus haut, je n'utilise que les plugins les plus connus.
• Je vais regarder aussi pour Tripwire et AIDE, nickel.

@MeddyB Merci, j'ai essayé de faire tout ce que je pouvais en le comprenant. Sur mon SYS je n'avais absolument rien fait de tout ça mais maintenant que je vais avoir les sites de mes clients, j'ai le stress d'avoir des soucis. En tout cas je suis rassuré de savoir que je suis sur la bonne voie.

Grand merci à vous pour votre aide en tout cas !
LLp

Personne n'est parfait et une faille est toujours possible.
Ce qui est super important c'est d'avoir une bonne gestion des sauvegardes.

Une erreur, une faille qu'on a raté ça peux arriver, mais ce qui ne doit pas arriver c'est de perdre des données.

Bonjour @MrLLp ,
étant un habitué de Plesk et de Proxmox, je préfère largement la solution d'installer Plesk dans une VM gérée soit avec Proxmox, soit avec VMware ESXI.
Tout d'abord car un dédié avec 32GB de RAM pour Plesk c'est un peu large, j'en héberge autant sur un VPS avec 8GB de RAM avec Proxmox. Mais également car il est souvent préférable de multiplier le nombre d'instance Plesk plutôt que de tout stocker sur un seul serveur. Notamment pour MySQL ou d'autres services gérés par Plesk qui ont tendances à s'emballer lorsque le nombre de sites devient conséquent.

Enfin pour ce qui est configuration/sécurité, tout semble correct, mis à part l'utilisation de plusieurs IPs pour les mails avec reverse vers mail.site.tld.
Car ce n'est pas le record MX qui est important mais le hostname du serveur qui sera associé aux emails envoyés.

La configuration basique des DNS pour les mails étant :

. TXT v=spf1 +a +mx +a: -all
_dmarc.. TXT v=DMARC1; p=none

@Sich

Tu fais bien de mettre l'accent dessus. Pour ce que ça vaut, je fais des petites sauvegardes de WP quand je suis dessus. Et surtout, j'ai bien activé le Backup Manager de Plesk vers l'espace prévu chez OVH. Il fait un incrémental chaque nuit et un full chaque semaine.

Par contre, j'ai un message d'erreur :
`Warning: Some of the files in the FTP storage are not shown in the list because the names of those files do not conform to the naming convention of backup files. If you are sure that those files are valid backups, rename them to match the following pattern: "backup_.tar"`

C'est embêtant ? J'ai un peu cherché dans Plesk et sur Google mais je ne trouve pas comment modifier cela...

Edit: en fait, mes fichiers ont cette nomenclature là : backup_YYMMDDHHmm_YYMMDDHHmm.tar

Merci à toi,
MrLLp

@VirtuBox

Merci pour ton conseil mais je suis trop loin pour revenir en arrière, les autres avis m'avaient déjà convaincu. En espérant que ça ne me porte pas préjudice...

• Je sais que mon serveur est trop puissant mais je me suis dit autant voir large. Par contre quand tu dis beaucoup de sites, c'est combien ?

• Pour les ip, je voulais faire propre avec une par site. Et pour le reverse, on m'avait conseillé de faire ça, que c'était mieux pour le spam et tout ça. Mais c'est vrai que quand j'utilise 1tester.com,tester.com, son rapport me dit :

Votre adresse IP xxx.xxx.xxx.xxx est associée au nom de domaine mail.site.tld.
Néanmoins votre message semble être envoyé de nsxxxxxxx.ip-xxx-xx-xx.eu.

Donc je dois mettre nsxxxxxxx.ip-xxx-xx-xx.eu. comme reverse de tous mes domaines ?

• Comme champ SPF, j'ai : v=spf1 +a +mx -all
Il manque le "+a:", je pourrais checker sur Google mais tant que je suis là... ;-)

Merci à toi,
MrLLp

Désolé je ne pourrai pas t'aider pour les backups via plesk.... J'utilise Rsync exclusivement...

Concernant les reverses DNS et les mails il faut savoir que ton serveur mail va envoyer ses mails depuis "l'ip de base".
Il y'a une config à faire pour utiliser une IP spécifique pour un domaine spécifique. Mais n'utilisant pas ces fonctionnalités je ne pourrai pas t'en dire plus.

Edit: en fait, mes fichiers ont cette nomenclature là : backup_YYMMDDHHmm_YYMMDDHHmm.tar

Je ne connais pas Plesk, mais je pense que dans ta config de backup il devait demander le nom que tu veux, et tu as mis la date avec les variables proposées, un truc du genre, alors que par défaut il set déjà le nom souhaité. A voir, je ne fais que supposer.

+1 pour la config ip / domaine pour le serveur de mail, ça peut être le + efficace. Sinon en effet tu peux te baser sur ce que ça dit et donc voir à éditer la reverse (mais ça joue sur l'évaluation spam quand ton mail part d'un domaine mais que le serveur de mail se déclare sous un autre même si le reverse est OK ...). En passant tu as des outils comme mailgun qui sont pas cher (gratuit pour 10'000 mails / mois) et qui font super bien la job. Il existe aussi MXROUTE qui a des forfaits mails pas mal intéressant et un bon service client :). (J'utilise les 2, mon serveur mail maison -pour les machines virtuels qui s'en servent en relais en réseau interne exclusivement- et Google Apps)

• ça dépend surtout du traffic qu'ils reçoivent, mais par expérience je sais que mysql a tendance à se faire la malle lorsque la charge devient plus importante.

• Pour les ips et le serveur mail, le reverse n'a aucune importance sur les ips additionnelles puisque l'émetteur des emails reste ton serveur.
Il faut donc avoir un SPF incluant le hostname du serveur, et une reverse dns avec ce hostname sur l'IP du serveur : exemple de record : v=spf1 +a +mx +a:ton.serveur.hostname -all

En ajoutant les records DKIM et DMARC, il ne devrait pas y avoir le moindre problème de mails.

Enfin pour backup, c'est tout à fait normal d'avoir un message d'erreur, car Plesk ne peut pas lister comme il le souhaite le ftp OVH.