Bonjour,
Je suis donc en train de faire le tour de mon nouveau VPS afin de le sécuriser, je reprends donc un à un les points soulevés par CSF et il m'en reste deux dont un sur lequel je m'interroge, à savoir le "Check for dhclient".
Manifestement le VPS a une configuration par défaut en dhcp et CSF recommande donc de le passer en statique.
Il y-a-t-il une raison technique lié au réseau OVH qui nécessiterait que je sois tenu de laisser mon VPS en dhcp ou je peux le mettre en statique sans crainte ?
Et dans le cas où comme je le pense je peux donc le passer en statique, la procédure ne me demande bien que de modifier /etc/sysconfig/network-scripts/ifcfg-eth0 ?
Juste basculer BOOTPROTO="dhcp" vers BOOTPROTO="static"
puis ajouter les lignes (pour l'heure absentes) :
IPADDR="IPduVPS"
NETMASK="255.255.255.0" (j'ai un doute sur le netmask, je me demande si ce n'est pas NETMASK="255.255.255.255", voire autre chose)
Voiloù, merci de votre aide, et joyeuses fêtes. 
Les VPS OVH utilise le DHCP car OpenStack gèrent entièrement la partie réseau/routage et associe les IPs aux VPS.
Donc passer en statique n'est normalement pas nécessaire puisque c'est la platforme de virtualisation qui gère l'adressage des machines et l'IP est allouée jusqu'à résiliation du service.
Sachant qu'OpenStack se base sur un réseau d'adressage interne, je ne recommande pas d'essayer une configuration manuelle, qui sera écrasée par cloudinit au démarrage du VPS.
Tu es sûr de çà, parce que quand je regarde leur doc sur l'ip fail over, ils permettent bien de coller du statique, du coup, j'aurais pensé qu'on pouvait mettre une ip statique aussi histoire d'éteindre le dhclient, considéré par csf comme un risque (inutile).
La doc en question :
https://www.ovh.com/fr/g1885.rendre_la_configuration_ip_fail_over_persistante
La documentation est pour un IP-Failover, ça ne concerne pas l'ip associé au VPS par défaut via OpenStack. L'IP failover peut être déplacée sur un autre serveur, celle associée par défaut est perdu si la machine est supprimée.
Après CSF considère ça comme un risque, mais ça reste un firewall, il se base sur le fait que normalement, les VPS sont en static, mais ça c'était avec l'air du Cloud
Ok, à priori tu serais d'avis que je laisse passer cette histoire de dhclient open donc ?
C'est vrai que çà ne semble pas être un risque majeur non plus, mais bon, comme j'avais éliminé le reste des problèmes identifiés (à l'exception de la swap, dont il voit l'absence également comme un problème, même si ce n'est pas vraiment mon cas), j'aurais préféré éteindre le service pour avoir la sensation d'avoir fait le tour, peut-être plus que pour la sécurité elle-même…
Enfin bon, çà me semble tout de même clean, même malgré ce "défaut" de client dhcp.
C'est vrai que çà ne semble pas être un risque majeur non plus, mais bon, comme j'avais éliminé le reste des problèmes identifiés (à l'exception de la swap, dont il voit l'absence également comme un problème, même si ce n'est pas vraiment mon cas), j'aurais préféré éteindre le service pour avoir la sensation d'avoir fait le tour, peut-être plus que pour la sécurité elle-même...
Oui, CSF voit ça comme un problème puisqu'il ne sait pas la raison pour laquelle le dhcp est utilisé.
Pour le swap, tu peux l'ajouter en modifiant le fichier : /etc/default/grub
et en remplaçant :
GRUB_CMDLINE_LINUX=""
par
GRUB_CMDLINE_LINUX="cgroup_enable=memory swapaccount=1"
Suivi d'un reboot
Merci, je vais noter la modif à faire au cas où.
Après, je dois avouer que je ne suis pas convaincu de l'utilité de la swap sur un vps cloud qui dispose de 12Go de ram pour tout dire.