Journal Accès SSH sur compte mutualisé

Posté par (page perso) .
Tags : aucun
5
15
mai
2010
Cher journal,

Je prends la plume afin de décrire mon amertume et peut être obtenir des réactions sur un mésaventure qui vient de m'arriver avec mon hébergement mutualisé chez MavenHosting.

L'année dernière, ayant de plus en plus besoin d'un serveur à la bande passante plus large que mon serveur perso sur ligne ADSL 3MB (petite ville), je décide de me lancer et d'accepter de payer pour héberger quelques applications web et des données personnelles sur un serveur mutualisé. Après quelques recherches, et sachant que je voulais y mettre le moins cher possible, je trouve une offre basique à 5€/mois pour 75Go d'espace, accès SSH, DNS inclus, PHP5 (pour mes applis), et, chose importante, dont le serveur est situé en France. Je dis banco, et je pars pour un contrat de 12 mois à 60€.

Tout allait plutôt bien jusqu'à la semaine dernière : voulant mettre à jour quelques fichiers, je tente de me connecter en SFTP. Connexion refusée.
J'essaye alors un simple shell SSH. Connexion refusée aussi (normal).
Bon, ce n'est pas la première fois que j'ai des soucis de connexion, un mail au support et ça sera réglé en 5 minutes.

En réponse de mon mail expliquant mes problèmes de connexion, l' "Administrateur" du service support (selon sa signature), me demande mon adresse IP afin de "débloquer" (sic) le SSH.

Je saute sur ma chaise en lisant la réponse. Keuwaa ? Ils ont besoin de MON adresse IP pour autoriser la connexion SSH ? Mais depuis quand ? Je renvoie mon interrogation avec un brin d'énervement.

Réponse : "simple question de sécurité, [...] afin mieux vous servir" (sic).

Quoi quoi quoi ??

Après plusieurs mails informant le service de support de mon insatisfaction, impossible de déroger à cette règle absurde. N'ayant pas du tout envie de donner mon adresse IP personnelle (qui, de toute façon, est dynamique) et réalisant que cela signifiait aussi de devoir donner toutes les adresses que je suis potentiellement susceptible d'utiliser pour accéder à mon compte en SSH/SFTP (là ça se complique), j'ai décidé d'abandonner. L'accès FTP reste disponible depuis n'importe quelle adresse, mais pas l'accès crypté.

Je pense que je viens de comprendre pourquoi les prix sont si peu chers. La prochaine fois, j'essayerai un hébergeur un peu plus honnête qui ne change pas les termes du contrat en prétextant des raisons sécuritaires absurdes. Mais pour le moment, il me reste 6 mois de contrat non remboursable pendant lesquels je peux faire une croix sur l'utilisation de mon compte (au moins partiellement).

Autant le dire, je suis un peu dégoûté.
  • # Une solution de contournement via un VPN

    Posté par . Évalué à 5.

    Si les connexions sortantes ne sont pas filtrées, on pourrait admettre que tu puisses installer sur ton serveur un client VPN (au hasard : OpenVPN) qui se débrouillera pour toujours retrouver ton PC personnel, sur ce même VPN.

    Plus précisément :
    - Installe un OpenVPN et configure-le en tant que serveur sur ton PC perso. Assure-toi que l'adresse IP (variable) de ce dernier est résolvable l'aide d'un DNS (merci DynDNS).
    - Sur le serveur objet du litige, installe OpenVPN et configure-le en tant que client du VPN. Une fois la connexion établie, si l'IP du PC perso, serveur sur le VPN, change, le temps que l'enregistrement DNS soit corrigé et hop : le lien remonte.

    Tant qu'il n'y a qu'un serveur et qu'un client, la configuration d'OpenVPN est ultra simple.
    http://openvpn.net/index.php/open-source/documentation/misce(...)

    Si, en revanche, on admet que tu souhaites "attraper" ton serveur via un autre poste d'administration, la configuration d'OpenVPN sera un poil plus longue (des paires de clés à générer) car, dans ce cas, il y aura sur le VPN un serveur (ton PC) et non plus un mais deux clients, le premier étant le fameux serveur et le second ton PC d'administration "secondaire".

    Mes 0,02€. Il y a peut-être plus simple mais cette solution basée sur OpenVPN (et je parle d'expérience) marche très bien.
    • [^] # Re: Une solution de contournement via un VPN

      Posté par . Évalué à 3.

      Ouais mais bon, ce serait ridicule d'en arriver là !

      Utopiquement, le mieux serait de faire annuler le contrat parce que les conditions d'utilisation ont changées !
      • [^] # Re: Une solution de contournement via un VPN

        Posté par (page perso) . Évalué à 1.

        > Ouais mais bon, ce serait ridicule d'en arriver là !

        Oui et c'est bien ce que je reproche à l'hébergeur. je me doute bien que des solutions seraient envisageable pour contourner de près ou de loin cette restriction, mais je pars du principe que ça ne remplacera jamais ce pourquoi j'avais souscrit initialement, à savoir un accès SSH/SFTP sans restrictions.

        > Utopiquement, le mieux serait de faire annuler le contrat parce que les conditions d'utilisation ont changées !

        Les conditions d'utilisations ne portent malheureusement aucune mention précise à ce niveau. Il est seulement fait référence au SSH comme d'un service inclus dans l'offre d'éhbergement, sans plus de détails.
        Par contre, il est clairement marqué qu'aucun remboursement n'aura lieu passé le délai de 7 jours. Comme cela fait plus de 6 mois... je pense que ce n'est pas applicable.
        • [^] # Re: Une solution de contournement via un VPN

          Posté par (page perso) . Évalué à 10.

          Bonjour,

          C'est simple, c'est comme avec Orange et son interprétation de la définition d'internet.

          SSH fait partie du service pour lequel tu payes.
          Il n'est pas précisé dans le contrat que tu dois leur fournir une adresse IP pour te connecter par ssh, de plus, ça fonctionnait très bien avant.

          Une connexion SSH sans autre précision s'entend depuis n'importe quelle adresse IP, d'internet quoi.

          Bref, avec tout ça, tu leur demande s'ils sont près à défendre leur arguments devant un juge, et à l'amiable tu leur proposes de :
          - soit te permettre de te connecter par SSH normalement, c'est à dire quelle que soit ton IP,
          - soit de résilier le contrat à leur tort exclusif pour modification unilatérale des conditions d'utilisation du service, donc avec remboursement au prorata temporis.

          En cas de refus, tu pourras demander au juge (quand tu feras ta première demande) les remboursements des frais pour ta défense et y inclure les frais de migrations des données.

          C'est des pros, ils vont arranger le problème convenablement.
          Tu peux aussi t'approcher d'un conseiller juridique, moins cher qu'un avocat, les sommes étant petites. Bref, ce genre de litige, ça se règle avec le juge de proximité le cas échéant (s'ils refusent de négocier).

          A bientôt
          Grégoire
        • [^] # Re: Une solution de contournement via un VPN

          Posté par . Évalué à 2.

          Les conditions d'utilisations ne portent malheureusement aucune mention précise à ce niveau. Il est seulement fait référence au SSH comme d'un service inclus dans l'offre d'hébergement, sans plus de détails.

          Dans ce cas le dossier qui t'es alloué doit être accessible en SSH sans restriction, c.-à-d. depuis n'importe quelle machine reliée à l'Internet.

          Il y a un hébergeur français qui pour le même tarif propose un service équivalent en mutualisé dans son offre "pro" avec un vrai accès SSH/SFTP.
          • [^] # Re: Une solution de contournement via un VPN

            Posté par (page perso) . Évalué à 1.

            Il y a un hébergeur français qui pour le même tarif propose un service équivalent en mutualisé dans son offre "pro"

            J'ai vu cela également. Le tarif n'est toutefois pas le même (à peine un peu plus cher) mais on peut espérer que l'offre soit plus sérieuse.
            Si c'est celui auquel je pense, alors MavenHosting utilise en fait déjà leurs serveurs (au moins pour les hébergements mutualisés comme le mien), d'après le DNS.
  • # Un script

    Posté par . Évalué à 10.

    Fait un script qui envoie un mail pour chaque ip possible en leur demandant de l'ajouter aux ip disponibles. Ils vont comprendre leur douleur, surtout s'il doivent le faire à la main.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Hmm

    Posté par (page perso) . Évalué à 5.

    Euh... en tout cas si tu changes d'hébergeur, je ne te conseille pas PlanetHoster même si ce n'est pas cher non plus.

    Euroxers< comprendra.
    • [^] # Re: Hmm

      Posté par . Évalué à 6.

      Introduction

      Effectivement, j'ai suivi les aventures de euroxers< chez PlanetHoster et franchement, j'ai eu des bons moments de rigolade, même si j'ai eu de la peine pour euroxers< (ça c'est pas vrai, mais ça me rend plus sympathique, ou du moins moins méchant). Et pas forcément parce que les bras cassés ne seraient que chez PlanetHoster ...

      Développement

      euroxers< avait été personnellement averti - au moins par moi - que prendre une hébergement à 2€ par mois et espérer qu'il tienne un hébergement Drupal déjà lourd avec en plus avec une tribune bien lourde qui déclenche au moins une requête HTTP qui enclenche au moins le framework Drupal et au moins deux requêtes MySQL toutes les 5 secondes, c'était prendre un risque et il fallait pas trop espérer que ça passe inaperçu très longtemps.

      Conclusion

      La qualité et la compétence ont un coût, un prix à payer : tout le monde sait pertinemment que c'est nécessaire, ne serait-ce que parce qu'on souhaite tous être reconnu à notre juste valeur, et que pour ça, l'équilibre nécessite qu"on reconnaisse la juste valeur des autres. Le problème survient quand tu veux (faire) payer un salaire de mineur chinois pour obtenir (ou fournir) les compétences d'un ingénieur occidental qualifié et expérimenté : il ne faut pas sortir de St Cirque pour sentir que ça ne va pas trop sentir la rose des champs ...

      Morale de l'histoire

      Proverbe chinois : quand du baies un b'ix de me'de, ne t'attends bas à ce qu'on te coule du b'onze ...

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Hmm

        Posté par (page perso) . Évalué à 1.

        Les chinois prononce "L" à la place de "R" :
        "quand du baies un blix de melde, ne t'attends bas à ce qu'on te coule du blonze"
  • # Rupture de contrat ?

    Posté par . Évalué à 3.

    Si les conditions d'utilisations ont changées, ils ont du te proposer un nouveau contrat, tu es libre d'accepter, ou d'en profiter pour résilier.

    En attendant, on a de la place chez toile-libre.org. Il n'y pas d'accès ssh à la plate-forme mutualisée mais on a des machines virtuelles ou tu peux avoir le root@ :)
    • [^] # Re: Rupture de contrat ?

      Posté par (page perso) . Évalué à 1.

      Techniquement il n'y a pas de changement dans le contrat parce que ce type de détails n'est pas marqué noir sur blanc dans les conditions d'utilisation.
      Mais c'est en effet ce que j'ai vérifié en premier.

      Merci pour la proposition sur toile-libre.org, j'y penserai pour mon prochain hébergement :)
      • [^] # Re: Rupture de contrat ?

        Posté par . Évalué à 4.

        Oui, mais d'un autre coté, tu peux considérer que c'est une rupture de service, vu que cela t'empeche de te connecter de partout etc.
  • # Il est où le problème ??

    Posté par (page perso) . Évalué à -9.

    De communiquer ton adresse IP à ton hébergeur ?? elle est où la "violation de vie privée" ??

    au contraire, c'est une sécurité supplémentaire pour ton compte de vérifier l'IP source.
    Toutes les solutions VPN / SSH un peu sérieuses connaissent l'origine des gens légitimes.


    Je suis sûr que tu aurais écris un journal pour gueuler si tu t'étais fait trouer ton compte....
    • [^] # Re: Il est où le problème ??

      Posté par . Évalué à -2.

      Je ne voit pas pourquoi vous les moinssez comme ça, il a tout a fait raison.

      Autant d'un coté rendre cette mesure obligatoire est stupide notamment pour les gens qui ont des IP dynamique, mais aussi pour les gens qui voyages beaucoup.

      D'un autre coté on ne peut nier que limiter les connections qu'a certaines IP renforce la sécurité.
      Et communiquer son adresse IP a son hébergeur je vois pas non plus le problème, s'il est curieux il peut la connaître sans te la demander elle est partout dans ses logs de connections.

      Fin bref au lieu de pleurnicher ici tu devrait plutôt argumenter sur le problème des IP dynamiques, tu n'est très certainement pas le seul dans ce cas chez cet hébergeur.
      • [^] # Re: Il est où le problème ??

        Posté par . Évalué à 3.

        cet hébergeur est un charlot. là, c'est clair ?
        • [^] # Re: Il est où le problème ??

          Posté par (page perso) . Évalué à -6.

          ça c'est un argumentaire béton....

          pourquoi c'est un charlot ??

          pour 5€ / mois, il faudrait quoi en plus ?? une pipe et un mars ??
          • [^] # Re: Il est où le problème ??

            Posté par (page perso) . Évalué à 1.

            Et ça c'est de la politesse béton. Pour ce genre de réponse, les commentaires de Youtube et Dailymotion sont parfaits, tu devrais essayer.
          • [^] # Re: Il est où le problème ??

            Posté par . Évalué à 6.

            bon allez, imagine que pour chaque usage de FTP, il faille faire de même. et que tu doives faxer tes papiers d'identité plus une quittance de loyer ou une facture EDF aussi. à chaque fois. et que tu bosses tous les jours de deux lieux différents (chez toi/ton bureau, puis des fois chez le client à l'arrache...)

            c'est pas le prix du service proposé le problème, c'est que le service vendu n'est plus au rendez-vous.
      • [^] # Re: Il est où le problème ??

        Posté par (page perso) . Évalué à 5.

        > Autant d'un coté rendre cette mesure obligatoire est stupide notamment pour les gens qui ont des IP dynamique, mais aussi pour les gens qui voyages beaucoup.

        C'est bien l'objet de mon énervement : c'est une mesure obligatoire qui n'est pas désactivable par le panneau d'administration. De plus, elle a été mise en place sans aucun mail d'avertissement ou d'explication.

        > D'un autre coté on ne peut nier que limiter les connections qu'a certaines IP renforce la sécurité.

        Je ne le nie pas et je comprends tout à fait la nécessité de ce genre de sécurité pour certains utilisateurs. Mais pour moi cela n'est qu'une gêne.

        > Fin bref au lieu de pleurnicher ici tu devrait plutôt argumenter sur le problème des IP dynamiques, tu n'est très certainement pas le seul dans ce cas chez cet hébergeur.

        pleurnicher ?? D'où tu sors ça ? C'est un journal, j'écris mes réactions à ce que j'estime être un manque total de respect par un hébergeur envers un client. C'était également dans le but de savoir si des lecteurs avaient déjà fait l'expérience de ce genre de situation, et si oui, comment ils l'avaient résolu.
        Si cela trouble ton dimanche, passe ton chemin.
        • [^] # Re: Il est où le problème ??

          Posté par (page perso) . Évalué à 3.

          >> Je ne le nie pas et je comprends tout à fait la nécessité de ce genre de sécurité pour certains utilisateurs. Mais pour moi cela n'est qu'une gêne.

          Si *tous* les utilisateurs de ta machine se mettent d'accord, vous pourrez (théoriquement) le faire sauter. Sinon, en laissant ton compte plus accessible, tu menaces la sécurité des autres utilisateurs du mutu…
      • [^] # Re: Il est où le problème ??

        Posté par (page perso) . Évalué à 6.

        Fin bref au lieu de pleurnicher ici tu devrais plutôt argumenter sur le problème des IP dynamiques, tu n'est très certainement pas le seul dans ce cas chez cet hébergeur.

        C'est vrai qu'avec une IP fixe, il a la même IP quand il se connecte de chez un ami, d'une chambre d'hôtel, de son boulot...

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Il est où le problème ??

          Posté par . Évalué à 1.

          C'est vrai qu'avec une IP fixe, il a la même IP quand il se connecte de chez un ami, d'une chambre d'hôtel, de son boulot...

          Ben oui: en passant par le serveur hébergé @home.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # Propose un espace IP

    Posté par (page perso) . Évalué à 10.

    tu indiques que tu utilises des ip entre 0.0.0.0 et 255.255.255.255, et c'est réglé.

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # Pourquoi ne pas utiliser des clés SSH ?

    Posté par (page perso) . Évalué à 5.

    Je ne connais pas ce hoster, mais ça me semble plus secure et flexible d'utiliser des clés SSH plutôt que filtrer par IP.

    Tu ne peux pas leur proposer cette alternative ?
  • # mes deux cents

    Posté par (page perso) . Évalué à 1.

    Vu le nombre de virus qui piquent les mots de passe ftp sous windows et qui sont très à la mode en ce moment. Comme j'imagine que ton mot de passe ftp est également ton mot de passe ssh, ton hosteur a simplement la trouille qu'un de ces vilain bot ne se dise qu'il peut
    mieux faire qu'insérer du javascript tout pourris dans les pages web des gogo.

    En ftp au pire tu nique les données du client. En ssh tu rootkite la machine. Il pourrait faire des clé ssh mais l'histoire ne dit pas comment c'est foutu derrière.

    Donc filtrer par adresse ip permet de faire face à l'urgence. Sans pour autant faire des changements structurels sur l'archi qui s'ils foirent peuvent faire déborder son support technique pendant les 12 prochaines années.

    Mon pauvre tu es sans doute victime d'un ver Windows, de la pingrerie d'un gérant et de l'inventivité de générations successives d'admins qui n'ont jamais vraiment saisi ce qu'avaient fait leurs prédécesseurs.

    sur ce
    ---------->
    • [^] # Re: mes deux cents

      Posté par (page perso) . Évalué à 5.

      Bonjour,

      Vu le nombre de virus qui piquent les mots de passe ftp sous windows

      C'est de la responsabilité de l'utilisateur... d'autant plus s'il bosse sous cette chose immonde.

      A bientôt
      Grégoire
  • # Cela viens peut-être d'un changement d'arhitecture

    Posté par (page perso) . Évalué à 1.

    On peut imaginer qu'ils utilisent une passerelle NAT dont les règles de forward vers les serveurs pour le ssh se font sur l'adresse IP source du client. Cela pourrait leur permettre de mutualiser plus de chose (e.g. appliance de chiffrement).
  • # Conditions générales de ventes

    Posté par . Évalué à 3.

    Et sinon les CGV elles disent quoi ?

    Parce que bon tu as tendance à oublier que vous êtes liés par un contrat et que ni toi ni cette société ne peuvent faire n'importe quoi. Je te recommande donc de regarder attentivement ces CGV et de rappeler éventuellement à ton fournisseur ses obligations.
    • [^] # Re: Conditions générales de ventes

      Posté par (page perso) . Évalué à 2.

      Les CGV ne précisent rien concernant SSH.
      Il est seulement fait mention du SSH dans la liste des services inclus dans l'offre, au même titre que le PHP5, les comptes e-mails illimités, Mysql 5, etc.


      MISE À JOUR : après (longue) négociation, je vais finalement clôturer mon compte et me faire rembourser la période restante.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.