Bonjour tous,
Voilà une petite mésaventure qui m'est arrivée la semaine dernière: j'ai lancé depuis mon VPS des scans Nessus sur des machines auxquelles j'ai tous les accès qu'il faut, afin de savoir si elles étaient vulnérables, et surtout à quoi.
Après quelques minutes, j'ai reçu un mail automatisé d'OVH indiquant l'activation d'un protocole "Anti-hack" concernant mon serveur. Le scan que j'ai lancé a été repéré et mon VPS a été considéré par OVH comme compromis: rebooté en mode rescue, le disque en lecture seule, afin que je puisse récupérer le contenu et le réinstaller. Après quelques mails - et pas loin d'une semaine de downtime - j'ai obtenu du support qu'ils remette mon VPS en production tel quel.
Irrité, j'ai ensuite contacté l'assistance technique qui m'a dit qu'il était précisé dans les contrats que les scans et attaques étaient interdits. J'ai cherché dans les documents légaux, sans succès. Je suis d'autant plus surpris que par le passé, j'ai souvent utilisé mon VPS de cette façon, sans que ça pose le moindre problème. Ayant tous les accès et droits nécessaires pour faire ces audits, je suis bien agacé, d'autant plus que c'est principalement pour ça que j'ai pris un VPS.
Ça vous dit quelque chose, cette restriction ? Et vous, vous faites comment pour faire vos scans ?
Aurel, agacé
# Nagios non plus
Posté par Hobgoblins Master (Mastodon) . Évalué à 10.
J’ai eu la même mésaventure il y a quelques années avec un Kimsufi parce que mon Nagios testait que le ssh d’une cinquantaine de mes serveurs répondait bien. OVH a répondu que leur système de détection était automatisé, qu’il ne feraient aucune exception même si on apportait la preuve que les machines testées étaient à nous (et chez eux en plus, sur le même compte…). Du coup, on a du déménager le serveur de supervision…
[^] # Re: Nagios non plus
Posté par aurel (site web personnel, Mastodon) . Évalué à 2.
Merci pour le témoignage, même si savoir que je ne suis pas le seul à être enquiquiné ne me console pas vraiment. Chez qui est-ce que vous avez déménagé, si ce n'est pas indiscret?
[^] # Re: Nagios non plus
Posté par pasBill pasGates . Évalué à 0.
Il est peut-etre possible que tu puisses faire ton scan, apres les avoir prevenu. Tu devrais contacter leur departement securite et voir avec eux.
[^] # Re: Nagios non plus
Posté par Zenitram (site web personnel) . Évalué à 9. Dernière modification le 30 janvier 2014 à 20:09.
Je cite :
OVH, c'est du low cost, et en low cost ben c'est tout dans un moule ou tu cherches ailleurs (et perso, ça ne me choque pas plus que ça et si tu veux jouer avec des tests d'attaque je pense que leur prendre une baie virtuelle ou physique devrait faire l'affaire afin de séparer leur réseau public et ton réseau privé), surtout que le low cost attire les admins du dimanche et qu'il faut donc éviter que son réseau se fasse pourrir sa réputation envers l'extérieur.
[^] # Re: Nagios non plus
Posté par MTux . Évalué à 6.
Bah en même temps quand tu gère des dizaines de millier de serveurs, tu ne t'amuse pas à créer des exceptions, sinon tu t'y perd… il faut que le parc soit homogène.
[^] # Re: Nagios non plus
Posté par pasBill pasGates . Évalué à 4.
C'est pas un probleme forcement, Amazon et Azure le permettent sur demande.
[^] # Re: Nagios non plus
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 31 janvier 2014 à 09:35.
Oui, bon, après, on ne peut pas vraiment dire que Amazon et Azure sont low cost (en plus d'avoir un réseau vraiment pas top au moins pour Amazon, au point où j'ai des clients qui préfèrent faire USA Ouest -> OVH en France chez moi --> USA sud plutôt que de passer par leur VM Amazon, quand ils sont pressés pour faire des gros transferts, en plus c'est moins cher avec moi, tout comme je récupère des fichiers à 0.3 Mo/s chez Amazon et 3 Mo/s chez OVH Canada cherchez l'erreur)…
[^] # Re: Nagios non plus
Posté par Kioob (site web personnel) . Évalué à 3.
Typiquement sur la gamme «Infrastructure» d'OVH tu as ton propre VLAN (privé et/ou public), sur lequel ces robots n'interviennent pas.
Selon les besoins, ça peut vite être intéressant de franchir le pas.
alf.life
[^] # Re: Nagios non plus
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
Cela revient à combien un VLAN privé avec 2 frontaux relié à 2 backends privé par exemple ? J'ai l'impression que les prix commencent bas (à 50€/mois tu un I5/32Go/SSD), mais que cela monte vite : proxy web à plus de 100€, plusieurs carte réseau, etc… Il faut compter ~1k€/mois?
"La première sécurité est la liberté"
[^] # Re: Nagios non plus
Posté par Kioob (site web personnel) . Évalué à 2.
Depuis leur dernière mise à jour, le VLAN est essentiellement inclus dans le tarif des serveurs de la gamme «Infrastructure». Tu es donc limité à cette gamme, mais le seul autre coût est le VLAN à 30€ par mois.
Et avec leur «Vrack 1.5», le VLAN est maintenant sur une deuxième carte réseau.
Donc si les «EG-32 Infrastructure» te suffisent, c'est donc 30 + 4 * 82 = 358 € HT.
alf.life
# paragraphe 7.4 du contrat des VPS
Posté par aurel (site web personnel, Mastodon) . Évalué à 7.
Visiblement c'est le paragraphe 7.4 du contrat des VPS qui interdit les intrusions et tentatives d'intrusions, qui sont de toute façon illégale, et ce à travers leurs technique… qui sont aussi celles utilisées pour faire des audits même si ces derniers sont légaux. La barbe.
# Le vrai problème...
Posté par Sylvain Berfini (site web personnel) . Évalué à 3.
Le vrai problème est que si tu ne peux pas faire ton audit de sécurité, tu ne dois (devrait) pas utiliser leurs serveurs pour héberger des services "critiques".
Du coup, ne risquent-ils pas de perdre une (grande ?) partie de leur clientèle si les gens ne peuvent avoir confiance dans la sécurité de leur serveur (faute de pouvoir la tester) ?
# La sécurité de ta terre brulée !
Posté par Zylabon . Évalué à 3.
« Chérie, j'ai entendu du bruit en bas, où sont les allumettes ? »
Please do not feed the trolls
# bon, une chose de faite
Posté par hervé Couvelard . Évalué à 2.
Moi qui avait posé la question pour un hébergeur, je viens de rayer ovh :
un de moins sur la liste.
[^] # Re: bon, une chose de faite
Posté par icyfemur . Évalué à 7.
T'as regardé DigitalOcean [1] ? Les tarifs sont très abordables, et les perfs sont excellentes. J'ai rarement eu un VPS aussi rapide, et j'en ai testé pas mal (Amazon EC2, Gandi, …)
[1] https://www.digitalocean.com/?refcode=da1492cb5285 (lien de parrainage… tant qu'a faire ;-)
[^] # Re: bon, une chose de faite
Posté par Reihar . Évalué à 2.
Je t'ai pertinenté pour avoir l'honnêteté de reconnaitre que tu donnes un lien de parrainage. C'est bien rare.
[^] # Re: bon, une chose de faite
Posté par mackwic . Évalué à 2.
Sur linuxfr aussi ? Il me semblait que la pub intéressée était suffisamment rare et pertinente…
[^] # Re: bon, une chose de faite
Posté par Kerro . Évalué à 10.
C'est vrai qu'un prestataire qui fait attention à ce qui se passe sur son réseau, c'est forcément un connard et/ou un mauvais.
La quantité de serveurs qui se font hacker est importante. Les faux positifs ça arrive. Ça doit être un pouillème des cas. Chez OVH ils stoppent la machine sans se poser de question (rappel, c'est du bas prix. Sur les machines à 200 € par mois c'est autre chose). Tu as une meilleure solution ?
[^] # Re: bon, une chose de faite
Posté par hervé Couvelard . Évalué à -3.
euh….
je suis pas une bête de sys admin, mais un mail à l'admin du serveur avant toute chose me semble un poil la moindre des choses.
Parce que tu vois, la politique que tu as vis à vis de ton client est la même à 30 euros et à 200 euros par mois. Ce qui change c'est la machine, le service, le support. A 30 euros si ton serveur lague un peu, tu fermes ta gueule, à 200 euros tu râles.
Si ils te coupent la machine sans se poser de question lors d'un truc qu'ils ne comprennent pas à 30 euros, tu peux être certains qu'ils le feront de la même manière à 200 ou 500 (même si pas forcément pour les même raisons).
Parce que mettre en place une procédure intelligente et automatisée est peut être un peu plus complexe que tirer une prise, mais
1 - c'est ton métier
2 - c'est le respect de ton client
3 - C'est une seule fois pour toutes tes machines pendants des années.
Je peux accepter que parfois ca marche mal (parce que personne n'est parfait, parce que rien n'est certain à 100%…) je peux accepter que des réponses n'arrivent pas immédiatement (car il y a plein de monde), mais en aucune manière et à aucun tarif je ne peux accepter les manières petit juge de province, je coupe sans me poser de question.
Alors effectivement c'est la seule solution si tu héberges des gens qui n'en ont rien à foutre, et se servent de ton réseau pour foutre la merde. Maintenant si c'est cette politique que tu mènes, il ne restera que les gens qui n'en ont rien à foutre. les autres partant ailleurs. C'est un choix marketing.
Mais ils sont maîtres chez eux, juste que, pour moi, ce n'est pas du low cost. Le low cost c'est 35 vserver sur une machine qui peut normalement en contenir 25-30, du low cost c'est 40 machine sur une baie dont la bande passante est confortable pour 30, du low cost c'est un proc ou un temps proc inférieur à ce que l'on pourrait attendre.
Le fournisseur qui coupe ton serveur paff comme cela sans se/te poser de question, ce n'est pas du low cost, c'est bien autre chose.
[^] # Re: bon, une chose de faite
Posté par NeoX . Évalué à 8.
Moi, perso ca ne me choque pas.
un email ne garantie pas que la machine arrete de faire des "conneries" si tu as été piraté.
ni que tu vas pouvoir te connecter et reagir dans la demi-heure.
donc ils isolent la machine, et t'envoie un email.
[^] # Re: bon, une chose de faite
Posté par hervé Couvelard . Évalué à -1.
enfin chacun ses goûts.
moi non plus ca ne me choque pas, mais pas pour mes prestataires, je le ferais pas à mes clients, je ne veux pas qu'on me le fasse, c'est tout.
maintenant c'est peut être une super idée.. sauf que… ca semble une super idée pour du low cost tandis que pour un serveur plus cher cela ne serait plus une super idée…
Ca me laisse dubitatif.
[^] # Re: bon, une chose de faite
Posté par NeoX . Évalué à 8.
si tu es sur de pouvoir etre plus reactif que la VAC pour te connecter à ta machine pour l'isoler et la traiter, alors oui, c'est embetant.
Perso si un serveur est compromis, je n'ai pas une equipe qui attend les alertes 24/24 pour reagir dans les 5 minutes à un envoi massif de spams, ou à une tentaive de DDOS
donc meme à 200euros par serveur, le reflexe d'isoler le serveur du reseau de production me semble une bonne idée pour :
[^] # Re: bon, une chose de faite
Posté par Moonz . Évalué à 6.
Même en non low cost, je préfère 1h de downtime que de passer une semaine à me faire retirer de toutes les blacklist du monde.
# anti Spam
Posté par palm123 (site web personnel) . Évalué à 3.
Je ne sais pas si ça a un rapport, mais sur son compte twitter, oles (le fondateur) parle avec fierté de leur antispam qui se met en route super vite.
ウィズコロナ
[^] # Re: anti Spam
Posté par Nicephor . Évalué à 2.
Nope, je pense que l'antispam n'a rien à voir, c'est plus VAC qui est en cause :
https://twitter.com/olesovhcom/status/428625535132917760
[^] # Re: anti Spam
Posté par kna . Évalué à 4.
et qui cause aussi des soucis à des utilisations légitimes mais en dehors des clous : http://blog.protecmail.com/incident-du-30-decembre-2013-480
[^] # Re: anti Spam
Posté par Julien L. . Évalué à 1.
Et qui arrive tellement tard que la plupart de leur plages d'IP sont blacklistées par défaut.
[^] # Re: anti Spam
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 2.
Quand on voit le nombre de pseudo-listes spammantes qui arrivent encore à sortir de chez eux !
# Bienvenu dans l'univers du low cost
Posté par Mr Kapouik (site web personnel) . Évalué à 10.
En gros OVH on y va parce que c'est pas cher. Maintenant qu'est ce qui fait que c'est pas cher ?
Aucune possibilité de customisation et des règles uniforme. En gros ça permet d'avoir moins de personne pour gérer l'ensemble car si chacun a sa petite règle à soit c'est vite très compliqué à gérer.
En gros si tu veux un hébergeur souple, il faudra payer plus cher.
[^] # Re: Bienvenu dans l'univers du low cost
Posté par hervé Couvelard . Évalué à -5.
euh….
Le passage en mode rescue automatiquement, c'est pas une "customisation" c'est même pas du low cost, c'est du low hosting
[^] # Re: Bienvenu dans l'univers du low cost
Posté par Zenitram (site web personnel) . Évalué à 10.
C'est un peu n'importe quoi comme mot juste parce qu'on n'aime pas leur gestion des attaques.
Non, ce n'est pas due low hosting, c'est de la gestion d'attaque. Que tu aimes ou pas, ça reste du hosting. Si tu n'aimes pas, pas de soucis tu vas voir ailleurs. Perso je comprend vu le nombre d'admin pas doué qu'il y a, ça sécurise le serveur en attendant que tu rentres chez toi, dans le cas où tu te fais pourrir l'accès.
Pour la petite histoire, OVH m'a mis mon adresse mail en mode rescue aussi, et ben… j'ai apprécié. Car comme un con j'avais mis un pass faible et me l'était fait piraté, et le fait que mon adresse mail soit bloqué m'a permis de tout récupérer sans me faire blaklister de partout. J'ai corrigé le pass, contacté OVH comme dans la procédure donnée et il ont repassé en mode "normal". Toi tu dirais que c'set du low hosting, moi je dis qu'ils ont bien fait.
[^] # Re: Bienvenu dans l'univers du low cost
Posté par Mr Kapouik (site web personnel) . Évalué à 1.
C'est bien pour ça que je parle de low cost et non de low hosting. D'ailleurs je ne me permettrai pas de critiquer leurs installations qui sont plutôt très correct mais effectivement pour faire du low cost avec une qualité convenable il faut vendre beaucoup en réduisant les coups au maximum.
D'où forcement un manque de possibilité de customisation ce qui ne les empêches pas de faire leur travail derrière.
Pour faire un parallèle on peut appliquer ça à l'aviation : un avion air france et un avion easyjet sont exactement les même avec le même entretient. C'est le service autour et certaines astuce qui font que les prix sont différents même si les deux nous transporte d'un point A à un point B.
[^] # Re: Bienvenu dans l'univers du low cost
Posté par palm123 (site web personnel) . Évalué à 9.
:-)
ウィズコロナ
# Bon, mais alors....
Posté par aurel (site web personnel, Mastodon) . Évalué à 3.
… quel hébergeur choisir ?
[^] # Re: Bon, mais alors....
Posté par MTux . Évalué à 2.
Pour de l'hébergement web/mail j'ai entendu pas mal de bien de o2switch.
Je déconseille OVH, sans vouloir faire de la mauvaise pub c'est clairement de l'industriel/lowcost.
J'ai essayé online.net (location d'un dell r210), j'ai été assez satisfait (acces idrac, bons tarifs, commandes rapides, et quand tu resilie on t'appelle pour te demander pourquoi et te proposer de rester).
[^] # Re: Bon, mais alors....
Posté par Laurent Cligny (site web personnel) . Évalué à 2.
Jamais été déçu chez online.net
[^] # Re: Bon, mais alors....
Posté par Reihar . Évalué à 1.
J'ai eu une mauvaise expérience avec le support. Pas ouvert le weekend. Question techniques : réponses laconiques et imprécises.
[^] # Re: Bon, mais alors....
Posté par Zenitram (site web personnel) . Évalué à 3.
Tant qu'aucun utilisateur de ton serveur est en dehors de France… Ca limite la population ciblée, mais si c'est la tienne alors oui ça va.
[^] # Re: Bon, mais alors....
Posté par GG (site web personnel) . Évalué à 2.
Je suis en Chine en ce moment, et tout passe par mon serveur chez Online.
Les sites que j'ai sur mon serveur chez Online sont bien visibles depuis la Chine.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Bon, mais alors....
Posté par Zenitram (site web personnel) . Évalué à 4.
Je n'ai jamais dit qu'ils étaient invisible. Ils sont visibles, pas de soucis la dessus.
Tu as sans doute pris l'habitude d'avoir des débits moyens (pour être gentil)…
[^] # Re: Bon, mais alors....
Posté par dave_null (site web personnel) . Évalué à 2.
Oui c'est le gros problème de online.net. J'avais un serveur avec 1000mbits/s de bande passante (non garantie évidemment) et pour transférer des fichiers entre online.net et du renater aucun problème. Mais dès que ça part à l'étranger ça devient très mauvais.
Aujourd'hui j'ai un serveur à 100mbits/s chez OVH et en usage VPN, la connexion est bien plus performante.
# Audit chez Amazon
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
Dans le cadre d'un projet étudiant, on avait monté un audit sur une application web posée sur une machine virtuelle chez amazon. La grande différence, c'est que ceux-ci ont un formulaire (je n'arrive pas à retrouver le lien) pour déclarer l'audit, les dates, les personnes / ip qui feront ce travail, etc.
Certes ce n'est pas vraiment le même contexte (scan automatisé régulier VS audit ponctuel et humain) mais il n'existe pas un équivalent chez OVH ?
# Linode
Posté par UnixJunkie . Évalué à 7.
Un feedback supplémentaire: nous avons plusieurs machines chez linode pour le projet nmap, dont scanme.nmap.org (qui se fait beaucoup scanner) et des machines de recherche qui scannent beaucoup. Ça ne pose pas de problème à l'hébergeur et le service est bon.
[^] # Re: Linode
Posté par Nicolas Boulay (site web personnel) . Évalué à 1.
un serveur web dans une VM linode, cela peut servir quel genre de débit ? Et une base de donnée, combien d'IO elle peut faire ? (cela change tout si le disque est local, un SSD, ou un serveur de fichier)
"La première sécurité est la liberté"
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.