Reprise du message précédent :

Bof si tu bloques tous les ports sauf ceux utiles au net et au service que tu veux donner, et que tu ne commandes ton serveur en graphique que via freenx ou du vnc encapsulé dans du ssh ce n'est pas plus risqué que sans.
 
(je ne penses pas qu'un serveur X rajoute des failles à distances dans le serveur SSH, ni dans le serveur apache ou mysql.

Le concept de la faille c'est ça hein: même en cryptant et en fermant les ports, y'a toujours un cas de figure ultra tordu auquel on n'a pas pensé et qui va permettre de niquer la machine.

Ce que je veux dire, c'est que ce n'est pas un serveur X/VNC qui tourne non joignable directement avec toujours les mêmes applications qui tournent qui peuvent changer quoi que ce soit.
LA faille si elle y est elle est en frontale au niveau du serveur, et pas sur ton serveur X ou VNC qui de l'extérieur ne sont pas atteignable. Et donc la faille si elle existe c'est uniquement sur les services que tu fournis en frontal. (ports ouverts ou failles du pare-feux en gros)
 
Le seul cas ou ça pourrait porter préjudice c'est si il y avait une faille appache/mysql/ssh (pare-feu aussi) qui ne serait exploitable que si un serveur X ou vnc tourne derrière. (et là vu le rapport entre les deux je doute que ça soit le cas).

bof, un script php pourri qui va dl un ptit script/executable sur le net et qui se sert d'une faille dans X/VNC/whatever pour passer root ou faire un remote c'est possible et déjà vu

Heu? Je ne suis pas bien sûr qu'on soit sur la même longueur d'onde.
Peux tu développer ton exemple?

Si sur son serveur, il a un apache et php qui tourne ouvert sur le net.
 
Il héberge un script php pourri qui permettrai à un attaquant soit d'exécuter directement des commandes soit de télécharger un script à lui ou un exécutable.
 
Si ce qu'il exécute tire partie d'une faille dans X/VNC ou tout autre programme (plus il a de programme installé, plus il y a de possibles failles), alors il peut gagner accès à la machine avec ou sans droit root

Oui mais la base de la faille c'est bien pas directement VNC ou autre mais bien le script PHP tout pourri qui permet d'uploader dessus et de faire tout le reste.
Ton script tout pourri pourrait très bien permettre d'installer un trojan etc et sans autre logiciel permettre l'accès à la machine.  
Ce n'est pas vraiment ce que j'appelle une faille en plus dans la mesure ou la source n'est pas directement le logiciel installé.

C'est un tout, c'est la défense en profondeur.
 
Tu prends cette faille : http://lists.freedesktop.org/archi [...] 00578.html
 
Un attaquant l'exploitant va passer root en l'utilisant alors que sans X bah non.

Oui je suis d'accord, c'est ce que je disais dans les cas rares de failles imbriquées.  
M'enfin quand même on en revient au même:
 

Il faut être connecté, donc il faut avoir un user valide etc.
 
Ok on doit bien trouver quelques ultras rares exceptions, mais si en amont tu ne peux rien faire, la suite ne découle pas. Mais bon je reste quand même d'accord avec toi sur le principe, après à voir si niveau faille y en a tant que ça, ça doit êtrep roche du negligeable, il y aura bien plus de faille d'apache d'exploité que de faille imbriquées.

C'est proche du négligeable jusqua ce que les flics débarquent à la maison parceque depuis 1 mois par une faille ultra rare un mec à pompé la base de donnée de ton entreprise sur le serveur et y stock du pr0n-warez-nazi

Perso je pense pas que se soient de rares exceptions au contraire et c'est typiquement ces services qui tournent en root qui sont visés (et le noyau).

Non mais le truc, c'est qu'il faut profiter d'une faille d'un des services en frontal pour atteindre une faille d'un des autres services derrière qui tourne en root. C'est pour ça que je ne pense pas que ça soit courant. Surtout en mettant à jour ce qui est en frontal justement.

Je sais j'ai bien compris depuis le début ce que tu racontes mais imho c'est plus que courant ces pratiques et se limiter à dire "c'est pas ouvert sur le net" n'est en aucun cas une excuse valable pour dire que c'est safe.
 
Suffit d'une mise à jour qui écrase le fichier de config et qui du coup le service va se mettre à écouter sur le net et ça en remet une couche et ça je sais aussi que ça arrive.
 
Bref la règle : n'installe que ce dont tu as besoin est une vrai règle et savoir évaluer les risques, l'étendue de ce qu'on installe est primordiale

Est-il possible de créer un user qui puisse se connecter en SSH sur ubuntu mais qui ne puisse accéder qu'à son répertoire home ?
Si oui comment..........?  
 
Edit : trouvé => http://www.prometee-creation.com/t [...] -jail.html

Ils sont relous avec leur 60€ de frais d'install quand même là

Y'en a pas sur Kimsufi

* : les frais de mise en service sont offerts pour un paiement annuel. Sinon : 49.99€ HT (59.79€ TTC).

Voilà, donc balancer 100€ le premier mois ça fait super mal au cul quand même. Et c'est la même chose pour un RPS
Donc pas de kimsufi !

Bah loué un serveur pour 1 mois aussi... Personnnellement je paye à l'année donc aucun problème.
 
C'est pour ça qu'ils mettent ces frais.

Ouais sauf quand t'es étudiant dur d'avoir les moyens de lâcher les 400€ d'un coup

Bah oui mais ça c'est pas leur problème. C'est à toi de te débrouiller à le prendre après l'anniv tout ça.
 
Parce que quand tu prends que pour un mois, tu peux très bien le largué au bout d'un mois. Donc paye tes frais côtés OVH pour "juste un mois".

Je paye au mois, chaque fois je repaye et ça fait longtemps que je fais ça
 
XaT

Ouep mais au moment ou tu payes au mois personne ne peut savoir (surtout au tout début) que tu vas repayer le mois suivant et que donc tu vas prolonger.

Ca c'était avant
 

Non mais je comprend bien leur problématique, je veux par leur jeter des pierres. N'empêche que c'est relou

C'est relou car c'est de la régression sur leurs offres !  
 
XaT

Zon qu'a proposer du prélevement auto aussi
 
XaT

 
Y a le prélèvement auto. Faut fouiller dans le manager.

Dite moi, je me suis engagé pour 1 an, si je résille je perds mon argent ou il me rembourse la durée non utilisée?

Non
Ce serait trop beau ça... il te reste combien de temps ?

9 mois environs xD

Le revendre "d'occase" peut être ? -20% ça doit partir

XaT

Une chose est sûre leurs serveurs sont stables.

top - 12:15:21 up 448 days
 
par contre pas trop à l'heure

 
bon, ça fait pas plus longtemps que je l'ai

 
Faut dire qu'avec un load pareil y'a pas beaucoup de chances de tomber sur un os hein.
 
 

Bon ben ayé uptime remis à 0 et mise à jour à lenny + kernel 2.6.32 (merci à mon collègue pour la maj )

Bah c'est un dual core qui marche a fond que par moment

Un petit message car je voudrais savoir si quelqu'un se séparerais des ancienne version de kimsufi
 
J'en avais un avant et les nouveaux sont trop gros pour moi et trop chère donc si vous conaissez quelqu'un qui veut se séparé d'une ancienne version.
 
Faite le moi savoir merci