Reprise du message précédent :
J'ai une IP Failover sur mon KS aussi ... c'est un contrat qui date de l'époque où c'était encore une gamme chez OVH ...
 
Bon, j'ai fait des tests supplémentaires avec un autre outil suggéré par le support (stress), le serveur a reboot en 20 minutes ... avec des cores autour de 88°C après 15 minutes de test ...
 
Il m'ont dit que tout avait déjà été changé ... je leur ai demandé si c'était neuf (lol) et bien testé ...  et j'ai signalé que vu le tarif que je paye (et qui n'a jamais changé bien sur), leur vieux matos pourri (et son éventuel remplaçant) était largement rentabilisé, ils peuvent me mettre quelque chose de plus moderne à la place ...  
 
Oui je sais, Noël est passé ...

Tkt, ils vont te mettre un serveur "neuf" avec un port éthernet 100Mbps !!!!!!!!

Tu peux pas leur demander de ton mettre un autre serveur qui fonctionne ? Ça n’irait pas plus vite ?

Je connaissais pas one Provider.
C'est pas cher niveau prix des serveurs effectivement.
Par contre c'est 1gb non garantie.  
Faut voir ce que ça donne avec du monde vu que c'est partagé visiblement...
 
Sur le so you start d'ailleurs, j'ai toujours 250 en up, et en down ça monte à 500, ça ne semble pas bridé  bizarrement.

C'est online.net derrière.

Sous la coupe d'Illiad...

Et je dois donc en déduire quoi sur oneprovider ?

 
oué mais y'a du 1Gbps pas cher unmetered
je tape le 30To/mois facile, sans throttle
 

 
que c'est aussi fiable qu'online.net, et que s'il y a une panne tu dépend entièrement du provider derrière (par ex pour les serveurs en Allemagne, c'est du hetzner)

J'ai pas testé le débit max, mais j'avais balancé 1 To en scp sur mon One Provider hollandais depuis un autre serveur à 50 Mo/s stable (dunno lequel bottleneckait) et il sature ma connexion 300 Mbps en download.
 
Par contre je viens de dl un truc sur le Nextcloud de mon One Pro fronssé, ça dl qu'à 10 Mo/s
 
Mais c'est toujours égal au max que propose Kim

Selon la config, le bottleneck peut provenir du CPU.

Mes Atom ont du mal à balancer la sauce sur du HTTPS, alors que mon x3450 poutre comme il faut, du bon Gbps sous wireguard

 
up

tu peux en effet faire du port knocking, avec une auth par clef c'est deja pas mal secure
deja que juste changer le port permet d'eviter 99,9% des tentatives de connexion
 
personnellement, je ne laisse que 1194/udp ouvert et le classique 80/443 de mon reverse proxy, pour manager mes machines je me connecte en vpn wireguard, et la c'est open bar.
 
 

Là ce n'est pas le cas :

Serveur fronssé : i3 530
Serveur hollondé : Atom C2350 (un truc du genre)

Faudrait que je retest à différents horaires en utilisant le CLI pour speedtest.net => https://github.com/sivel/speedtest-cli

Edith : Je suis en authent' par clef sur un port custom, par contre pas de port knocking.
Y a un moyen simple de dissimuler les ports ouverts (au moins le ssh) pour contrer nmap ?

C'est pas assez secure à ton goût l'auth par clefs?

Merci
 
Edit: Suppression du doublon

Ils ont de nouveau tout changé (alim, CM, CPU et RAM) ... les cores du CPU sont chauds en charge, mais au moins ça a plus l'air de planter ... on va voir combien de temps il tient ...
 
C'est un i7 950 avec 2 barrettes de 8 Go (dual chanel donc) alors qu'avant ces aventures j'avais un i7 920 avec 3 barrettes de 4 Go (tri chanl du coup) ... pourtant les docs de la CM indiquent pas plus de 4 Go la barrette dans la liste des ce qu'on peut utiliser ...
 
Question subsidiaire : il faut faire quoi pour qu'un serveur supporte IPv6 ? Je m'en suis jamais occupé, mais pourquoi pas ...

La dernière fois que t'as fait , ça s'est pas bien passé.
 
 

Oula, je ne sais plus ce que j'ai fait à l'époque.

 
   ====>  

Soyez pas mauvaise langue, il a l'air de tenir la coup ce coup ci !

Les stagiaires pourront refaire une raclette sur ton serveur la semaine prochaine à mon avis, avec les restes des réveillons ...
 
 
 

 
Moins j'ai de tentatives d'intrusion mieux je me porte

Pour l'ipv6 chez kimsufi c'est de base. Tu as une ip attribuée en v4 et v6.

Même si le miens ne fonctionnait plus en V6 du jour au lendemain et le support n'a rien pu faire pour m'aider.

J'ai du modifier la conf moi même en faisant un script que je lance a chaque reboot après avoir potassé la doc.
(add addr, add route)

D'ailleurs en parlant de minimiser les attaques. En laissant accès le ssh uniquement depuis l'ipv6 (donc en fermant les ports avec iptables v4) on en supprime presque 100%.
Je dis presque car on sait jamais. Mais perso c'est 100%.
Même en laissant le port par défaut

Ah c'est pas bête comme idée.

Oui j'ai vu que j'ai une IPv6, mais je dois faire quoi pour quelle soit utilisé par les visiteurs ?

Mon premier mail de l'année, comme toujours, ma facture Kimsufi.
 
 
...

En vain vu qu’ils ont pas la clef nan?  

Il faut configurer ton entrée dns en mettant l'ipv6 dans le AAAA en plus de l'ipv4 que tu as déjà du mettre dans le A.

Et c'est tout. Si la connexion client a l'ipv6 activé cela passera par l'ipv6 car prioritaire sur le v4.

Pour vérifier si le v6 est activé depuis une connexion ça dépend des opérateurs.
Chez Bouygues c'est actif par défaut, même sur le mobile.
Chez sfr il faut configurer l'apn en v4/v6 et sur le fixe il faut l'activer dans la box.
Chez free sur le fixe c'est par défaut sur le fixe et sur le mobile c'est une option a activer dans l'espace client + conf de l'apn.

 
Ça ne fait pas quand même une ligne dans les logs ?
 
Et puis reste que je peux me faire dérober une machine avec sa clef ET que le larcineur veuille SSH mon serveur. Improbable mais possible    
 
Bref, j'aurais tendance à dire que tout ce qui permet d'augmenter la sécu et qui ne mange pas de pain est bon à prendre, mais je me plante peut-être, je reste un amateur  

Clé chiffrée par mot de passe

Même avec la clé, il lui manquera la passphrase.

 
Ah oui dit comme ça, ça l'air simple ... mais y'a pas tout ça à faire : https://docs.ovh.com/fr/dedicated/network-ipv6/ ?
 
Bon comme j'y comprends rien, ça va rester comme ça jusqu'à ce que je passe sur un nouveau serveur déjà configuré ...

Tu n'a pas besoin de faire ca si tu utilises une distrib ovh dans leur liste.

Pour tester tu peux faire un ping ou ping6 sur goolgle.fr. Si ça répond en v6 tu n'a rien besoin de faire.

Et le voleur aura le fichier de conf du port knocking. Donc la combinaison à faire

C'est une Ubuntu Server 10.04 qui a migré jusqu'en 18.04 ... et ça marche pas

Ha en effet, a l'époque ca devait pas être intégré et les upgrade ne l'ajoute pas.

En regardant la doc du lien que tu as donné, ca devrait marcher en tapant ces commandes :

Ou IPv6_GATEWAY est basé sur ton ip : xxxx.xxxx.xxxx.xxFF:FF:FF:FF:FF.

 
Moi j'veux juste planquer mes ports hein
 
(bon ok, c'est plus pour avoir la joie de le faire que pour son utilité, mais kommême )
 
J'ai déjà une passphrase sur mes clefs, lô

T’es good alors

Mon serveur ne répond plus à nouveau ... et j'ai pas reçu de mail du monitoring : http://travaux.ovh.net/?do=details&id=48375

Frèr toTOW, c'est clairement un signe de l'Univers pour te dire de te barrer chez un autre fournisseur

 
Fixed :

Ca doit être ça, la baie a pris feu !