Page suivante - Page précédente - Table des matières

6. Décider des services que vous hébergerez

La plupart des fournisseurs d'accès « full-service » proposent à leur clients un éventail de services relatifs au domaine. Ceci est largement dû à la difficulté d'héberger ces services avec certains autres systèmes d'exploitation, plus populaires, pour machines de bureau et serveurs. Ces services sont beaucoup plus faciles à mettre en oeuvre sous Linux et peuvent être hébergés sur des matériels peu onéreux. Vous devriez donc décider des services que vous voulez garder sous votre contrôle. Certains de ces services sont :

Pour chacun de ces services vous devez évaluer l'intérêt d'en garder le contrôle. Si votre FAI propose un ou plusieurs de ces services, vous pouvez généralement avoir l'assurance qu'il a du personnel expérimenté pour la gestion de ceux-ci ; aussi, vous aurez moins à apprendre et moins de soucis. Parallèlement à cela, vous perdez la maîtrise de ces services. La moindre modification impose que vous passiez par le FAI, chose qui peut ne pas être pratique ou demander des délais plus longs que vous ne le voudriez. Il y a aussi une question de sécurité, le FAI est une cible beaucoup plus tentante pour les agresseurs que votre propre site. Dans la mesure où les serveurs d'un FAI peuvent héberger la messagerie et/ou les sites web de douzaines de sociétés qui sont ses clients, un pirate qui endommage un de ces serveurs obtient une bien meilleure récompense à ces efforts que celui qui attaque votre serveur personnel où les seules données d'une entreprise sont stockées.

6.1 DNS primaire

Quand une personne, quelque part, dans le monde extérieur, demande à se connecter sur une machine du nouveau domaine example.com, les requêtes transitent par des serveurs divers sur internet ; et finalement l'adresse IP de la machine est renvoyée au logiciel de la personne qui demande la connexion. Le détail de cette séquence est au delà de l'objet de ce document. Sans entrer dans les détails, quand une demande est faite pour la machine fred.example.com, une base de données centralisée est questionnée pour déterminer quelle est l'adresse IP de la machine qui a l'autorité administrative sur la zone example.com. L'adresse IP obtenue est ensuite questionnée pour obtenir l'adresse IP de fred.example.com.

Il doit exister un DNS primaire et un DNS secondaire pour chaque nom de domaine. Les noms et adresses de ces deux serveurs sont enregistrés dans une base de données dont les entrées sont contrôlées par des autorités de nommage telles que « Network solutions » (à l'adresse http://www.networksolutions.com).

Si vous avez opté pour un DNS primaire hébergé par le FAI, ces deux machines seront probablement contrôlées par celui-ci. À chaque fois que vous voudrez ajouter à votre réseau une machine visible depuis l'extérieur, vous devrez contacter le FAI pour lui demander d'ajouter la nouvelle machine à sa base de données.

Si vous avez choisi de gérer le DNS primaire sur votre propre machine, vous devrez également utiliser une deuxième machine comme serveur secondaire. Techniquement, vous devriez la localiser sur une connexion internet redondante , mais l'hébergement du DNS secondaire sur l'une des machines du FAI est très répandu. Si vous voulez ajouter à votre réseau une machine visible depuis l'extérieur, vous devrez mettre à jour votre propre base de données et ensuite attendre que la modification se propage (chose qui, habituellement, prend un petit nombre d'heures). Ceci vous permet d'ajouter barney.example.com sans passer par votre FAI.

C'est une bonne idée de mettre en oeuvre le DNS secondaire sur un hôte distant du point vue géographique ; ainsi, une simple rupture de câble du coté de votre FAI ne met pas simultanément hors-ligne vos serveurs DNS primaire et secondaire. Le prestataire d'enregistrement de nom que vous avez utilsé pour enregistrer votre domaine peut fournir un service de DNS secondaire. Il existe également un service gratuit, Granite Canyon (à l'adresse http://www.granitecanyon.com), disponible pour qui le demande.

Indépendamment du fait que vous avez choisi ou non de constituer vous même l'autorité DNS principale pour votre domaine, voyez la section Mettre en place la résolution de noms pour une aide concernant la configuration. Vous aurez besoin d'un système de résolution de noms au sein de votre réseau privé, même si vous déléguez le DNS primaire à votre FAI.

6.2 Messagerie électronique

En général, quand vous vous abonnez chez votre FAI, celui-ci vous fournit un certain nombre d'adresses de messagerie. Vous pouvez choisir de n'utiliser que cette possibilité, auquel cas tous les messages entrants sont stockés sur le serveur du FAI et vos utilisateurs lisent leur courrier avec des clients POP3 qui se connectent sur le serveur du FAI. D'une autre manière, vous pouvez décider d'installer la messagerie sur vos propres machines. Une fois de plus, vous devez peser le pour et le contre de chacune des deux possibilités et choisir celle qui vous convient le mieux.

Ce dont il faut se rappeler si vous utilisez les services de l'ISP pour la messagerie :

  • Il sera plus facile d'accéder à la messagerie depuis votre domicile, ou depuis d'autres lieux quand vous êtes en déplacement professionnel, en fonction du type de sécurité que vous utilisez pour votre domaine.
  • Les messages sont stockés sur les serveurs de l'ISP, ce qui peut poser problème si des données confidentielles sont envoyées sans avoir été chiffrées.
  • Vous avez un nombre d'adresses limité, et vous pouvez être amené à payer un supplément si vous dépassez cette limite.
  • Pour créer de nouvelles adresses, vous devez passer par le FAI.

Ce dont il faut se rappeler si vous gérez vous-même la messagerie :

  • Les messages sont stockés sur vos serveurs, avec des enregistrements de sauvegarde chez l'ISP si votre serveur de messagerie tombe ou si le disque se sature.
  • Vous avez un nombre illimité de comptes de messagerie, que vous pouvez créer et supprimer vous-même.
  • Vous devez supporter les logiciels clients de messagerie utilisés sur votre réseau privé et, éventuellement, ceux utilisés par les personnes qui essayent de lire leur courrier depuis leur domicile.

Une approche possible est d'héberger la messagerie vous-même et, en supplément, d'utiliser quelques unes des adresses fournies par le FAI. Les personnes qui ont besoin d'une messagerie accessible depuis l'extérieur du réseau privé peuvent avoir des adresses dans votre domaine qui sont redirigées sur l'une des adresses fournies par l'ISP. Les autres peuvent avoir une messagerie locale sur le réseau privé. Ceci requiert un petit peu plus de coordination et de configuration, mais donne plus de flexibilité que chacune des autres approches.

Si vous choisissez d'héberger la messagerie pour votre domaine, reportez-vous à la section Mettre en place la messagerie électronique

Si vous décidez de ne pas héberger la messagerie pour votre domaine, reportez-vous à la section Configuration du DNS si vous n'hébergez pas le service de messagerie.

6.3 Hébergement du site web

Votre FAI peut vous allouer une certaine quantité d'espace sur ses serveurs web. Vous pouvez décider d'utiliser cette possibilité ou vous pouvez avoir un serveur web que vous mettez dans votre réseau externe, sur une des IPs externes.

Ce dont il faut se rappeler si vous choisissez d'utiliser l'hébergement web du FAI :

  • Vous avez une certaine quantité d'espace-disque allouée que vous ne pouvez pas dépasser. Ceci n'inclut pas seulement le contenu du site web mais aussi les données collectées auprès des visiteurs du site.
  • La bande passante entre votre serveur web et le monde extérieur sera certainement plus large que si vous hébergiez ce serveur sur votre propre matériel. Dans tous les cas, elle ne peut pas être plus lente.
  • Il peut s'avérer difficile d'installer des CGI personnalisées ou des progiciels commerciaux sur votre serveur web.
  • La bande passante entre votre réseau et votre serveur web sera certainement plus lente qu'elle ne le serait si vous hébergiez le service sur votre propre réseau.

Ce dont il faut se rappeler si choisissez d'héberger votre propre serveur web.

  • Vous avez plus de maîtrise sur le serveur. Vous pouvez façonner votre sécurité de manière plus adaptée à votre utilisation.
  • Les données potentiellement critiques, telles que des numéros de cartes de crédit ou des adresses mél, résident sur des machines que vous contrôlez.
  • Votre stratégie de sauvegarde est probablement moins complète que celle de votre FAI.

Notez que je ne dis rien à propos du fait que l'ISP a du matériel plus performant, des taux de transfert de données plus élevés, et ainsi de suite. Au fil du temps, ces choses deviennent importantes, et l'on parle de connexions réseaux à très hauts débits, et, très franchement, vous auriez dû déléguer ces décisions à un consultant spécialisé, pas regarder dans un HOWTO Linux.

Si vous choisissez d'héberger l'espace web de votre domaine sur vos propres serveurs, reportez-vous à d'autres documents tels que le WWW-HOWTO (à l'adresse ftp://metalab.unc.edu/pub/Linux/docs/HOWTO/WWW-HOWTO ou http://www.freenix.org/unix/linux/HOWTO/WWW-HOWTO.html en version française), pour la configuration. Pour des raisons de sécurité, je vous recommande chaudement de faire fonctionner ce service sur une autre machine que la passerelle de réseau privé.

6.4 Hébergement du site FTP

Fondamentalement, les mêmes raisonnements qui s'appliquent à l'hébergement WWW s'appliquent à l'hébergement FTP, à l'exception du fait que le ftp n'est pas concerné par les contenus dynamiques et que les scripts CGI n'y apparaissent pas. La plupart des exploits récents sur des serveurs ftpd ont été réalisés par des débordements de tampon consécutifs à la création de répertoires ayant des noms longs dans des répertoires de téléchargement modifiables par n'importe qui ; ainsi, si votre FAI autorise le téléchargement et se montre négligent dans la maintenance des mises à jour de sécurité sur le serveur FTP, vous feriez aussi bien d'héberger le service vous-même.

Dans le cas où vous choisissez d'héberger FTP pour votre domaine sur vos propres serveurs, assurez-vous d'avoir la dernière version du démon FTP, et consultez les instructions de configuration. Une fois de plus, je recommande fortement, pour des raisons de sécurité, que ce service fonctionne sur une autre machine que la passerelle de réseau privé.

Pour wu-ftpd, je recommande les options de configuration suivantes :

  • --disable-upload (à moins que n'ayez besoin du téléchargement anonyme)
  • --enable-anononly (incite vos utilisateurs locaux à utiliser scp pour le transfert de fichier entre les machines)
  • --enable-paranoid (désactive toute fonctionnalité de la version courante qui peut être sujette à caution)

6.5 Filtrage de paquets

Certains FAI mettent des filtres de paquets, pour protéger les utilisateurs du système les uns des autres ou vis à vis d'agresseurs externes. Les réseaux modem-câble et d'autres réseau à diffusion similaires posent problème quand, sans le faire exprès, des utilisateurs de Windows 95 ou 98 activent le partage de fichiers mettant ainsi le contenu entier de leurs disques durs à la vue de n'importe qui prend le soin d'explorer son « voisinnage réseau » à la recherche de serveurs actifs. Dans certains cas, la solution a été de dire aux utilisateurs de ne pas faire cela, mais certains fournisseurs d'accès ont mis en place un filtrage dans le matériel de connexion pour empêcher les gens d'exporter leurs données par inadvertance.

Le filtrage de paquet est vraiment une chose que vous devriez faire vous-même. Il s'intègre facilement dans le noyau fonctionnant sur votre passerelle de réseau privé et vous donne une meilleure idée de ce qui se passe autour de vous. En outre, il arrive souvent que l'on veuille, pendant l'installation, procéder à de menus ajustements sur le pare-feu pour l'optimiser, et c'est beaucoup plus facile à faire en temps réel plutôt que par l'intermédiaire d'un support technique.

Si vous choisissez de faire le filtrage de paquets pour votre domaine, reportez-vous à la section Mettre en place le filtrage de paquets.


Page suivante - Page précédente - Table des matières