Discussion :

[flyingman]

Bonjour à tous.

Voilà mon problème:

Je désires mettre en place des serveurs (4 en réalité) qui soient stables et, surtout, qui ne devront jamais êtres réinstallés (upgrade d'OS par exemple) une fois en place (sauf panne matérielle bien sûre! ça, je ne pourrais rien y faire ).

Pourquoi? Parce-que je "travaille" pour une association (je finit mon contract dans 1 an) et qu'elle n'aura pas les moyens de faire appel à des professionnels de l'informatique et encore moins de payer un administrateur système linux pour s'occuper de ces petits soucies de mise à jour/upgrade etc etc !

Donc voilà, j'entends parler de linux avec LTS (ubuntu server) de linux version stable (debian stable) et de linux pris en charge jusqu'en 2020 (CentOS 6.3). J'entends, aussi, parler de rolling/standart distributions.

J'aimerais avoir vos avis sur la stratégie (choix de la disto/type de distributions) à appliquer dans mon cas.

Ah oui, j'oubliais la configuration des serveurs:

-Serveur de fichier (samba).
-DNS local (bind9).
-Serveur LAMP.
-Serveur Mail (postfix et dovecot)


D'avance, merci.

[frp31]

y'a aucune raison de mettre à jour un système qui fonctionne
il faut juste faire une procédure à fournir à l'association qui permet une installation automatique à l'identique de ce qui existe (par exemple avec un ks (kickstart))
ou encore de faire une image disque avec la procédure pour booter sur CD pour la redescendre en cas d'incident.

dans les deux cas aucune modification n'existera après une réinstallation.

[flyingman]

Bonsoir François.

y'a aucune raison de mettre à jour un système qui fonctionne

Maintenant que tu le dis...cela parait d'une logique implacable!

Donc pour résumer, j'installe une distribution et tout mes logiciels et si ça ne plante pas, je laisse comme ça et ça pourrait durer des décenies

Pas d'upgrade OK, mais pour les mise à jour de sécurité/bug?

Cela pourrait-il me rendre le système instable?(le mieux étant l'ennemie du bien )


Cordialelment.

[mathv]

tu devrais, je pense, aussi prendre en compte un backup de données (incrémental sur un 5e serveur par exemple)

Préparer un tuto général pour ton association, des scripts à lancer en fonction ce de qu'ils pourraient rencontrer par la suite (plus de connexion avec un serveur par exemple ou saturation/ralentissement du mail à cause d'un mailbombing ou trop de mail deferred,...)

Un sacré boulot en tout cas =)

[flyingman]

Bonjour à tous.

tu devrais, je pense, aussi prendre en compte un backup de données (incrémental sur un 5e serveur par exemple)

En fait j'ai 2 serveurs et 2 machines de backup.

serveur2 se synchronise avec serveur1 (avec rsync).
serveur1 fait une sauvegarde incrémentielle sur backup1.
Et pour finir, backup2 se synchronise avec backup1(avec rsync).

Je suis un débutant en administration système, mais si avec ça ils perdent leur données ...

Préparer un tuto général pour ton association, des scripts à lancer en fonction ce de qu'ils pourraient rencontrer par la suite (plus de connexion avec un serveur par exemple ou saturation/ralentissement du mail à cause d'un mailbombing ou trop de mail deferred,...)

Un sacré boulot en tout cas =)

J'y compte bien! et comme tu dis y'a du boulot!

Cordialement.

[flyingman]

Sinon, pour en revenir à mon serveur MEGA stable, J'avais pensé prendre une distribution qui serait en fin de vie (du genre ancienne stable chez debian) qui serait donc patchée au maximum, et là, après avoir vérifier que tout (bind, apache, etc) fonctionnait correctement, la "freezée".--> plus de MAJ et surtout pas de upgrade.

Qu'en pensez vous?

Est-ce une bonne stratégie?

Cordialement.

[Stopher]

Salut,

La débian "stable" est déjà bien éprouvée, utiliser une "oldstable" est, je pense, pousser le vice un peu loin. D'autant que celà va te priver de fonctionnalités intéressantes ou nécessaires pour une machine récente.

D'autres points sont à prendre en compte, par exemple, la version des outils que tu utilises, PHP/Python etc ...
qui selon tes/les devs, peuvent être bloquants si la version est trop ancienne.

Ou alors tu compiles toi même ces outils ( ce que perso je conseille en prod ).


Ensuite, il faut bien garder en tête qu'il peut suffire d'une panne de courant pour mettre par terre le bon fonctionnement de ton infra ou simplement un disque faiblard qui corrompt une base de données aux premiers signes de fatigue.

Mais ça peut effectivement aussi durer 10/20/50 ans sans problème et sans y toucher.

Il faut serrer les fesses.

Une image disque est un bon moyen de restaurer un système à un instant t.

Bon courage,

Ch.

[flyingman]

Bonjour à tous.

@ Stopher.

utiliser une "oldstable" est, je pense, pousser le vice un peu loin.

J'ai déjà commencé la migration sur 3 de mes 4 machines avec debian stable 6.0.6 (squeeze)!

Donc je coupe la poire en deux! a moitier stable et à moitier récente.

Cordialement.

[frp31]

Bonjour à tous.

@ Stopher.



J'ai déjà commencé la migration sur 3 de mes 4 machines avec debian stable 6.0.6 (squeeze)!

Donc je coupe la poire en deux! a moitier stable et à moitier récente.

Cordialement.

ça me paraît raisonnable

[flyingman]

ça me paraît raisonnable

Alors là! je part tranquille

Un grand merci à tous.

Cordialement

[Katyucha]

y'a aucune raison de mettre à jour un système qui fonctionne

Tu as raison ! Laissons les vieilles failles bien béantes !

Non un système doit être maintenu à jour ! Et les mises à jours de sécurité sont le minimum à appliquer !

[frp31]

Tu as raison ! Laissons les vieilles failles bien béantes !

Non un système doit être maintenu à jour ! Et les mises à jours de sécurité sont le minimum à appliquer !

ca ne s'applique qu'aux machines directement liés à internet

[ok.Idriss]

Bonsoir.

D'accord avec frp31 sans dire qu'il ne faille absolument jamais faire de maj : il faut faire une maj qu'en cas d’absolu nécessité et faire une étude avant.

Si la sécurité est un besoin de ton application, alors là ta maj de sécurité devient une nécessité. Exemple : t'héberge une application qui tourne sur MySQL, MySQL a découvert une grosse faille à l'authentification et livre un correctif, là il est nécéssaire d'installer un correctif si ta base gère différentes authentifications avec privilèges.

Si par contre ton truc c'est un serveur qui enregistre les logs dans une bdd en interne pour X raison, qui n'est dispo que sur le réseau local et que tout le monde sans exception à le droit de consulter ... à quoi sert ta maj à part risquer de planter une config qui marche ?

Donc +1 frp31 (bon mes exemples sont un peu tirés par les cheveux ).

Cordialement,
Idriss

[Katyucha]

ca ne s'applique qu'aux machines directement liés à internet

Oh que non.... Rien de pire que d'avoir le meilleur mur entre nous et internet . Se dire que tout va bien, de toute façon, on a de superbe pare-feu. Mais au final avoir du carton à l'intérieur...

Si par contre ton truc c'est un serveur qui enregistre les logs dans une bdd en interne pour X raison, qui n'est dispo que sur le réseau local et que tout le monde sans exception à le droit de consulter ... à quoi sert ta maj à part risquer de planter une config qui marche ?

Tout simplement parce que la plus grande menace n'est pas internet mais toutes les saloperies qu'on ramene de l'extérieur via des clefs usb, des dd externes et des ordis portables... J'ai vu le souci récemment avec un commercial qui revient plugger son portable et 400 virus sur son poste ... dont 2-3 vers sympathiques