benevoles:technique:config_bas_niveau_serveurs
Configuration "bas niveau" de nos serveurs
- « Restore on AC Power Loss » est configuré sur « Power On ». Nous avons les BMC pour intervenir à distance en cas de problème causé par un arrêt électrique brutal, inutile de nous déplacer jusqu'au datacenter. Cela nous permet également d'utiliser nos PDU pour rebooter électriquement nos machines à distance.
- AES-NI est désactivé : encore trop récent pour que des études sérieuses et indépendantes démontrent une absence de risques/backdoor, selon nous.
- Nos BMC sont accessibles uniquement via leur interface web.
- Moins de bruteforce (essai systématique et automatique de toutes les combinaisons utilisateur + mot de passe possibles) que sur SSH (accès console, que du texte pour donner des instructions) ;
- Les interfaces web sont celles qui offrent le plus de fonctionnalités.
- L'interface web n'est pas désactivable sur le HP donc le seul moyen de réduire la surface d'attaque (les portes d'entrée par lesquelles une attaque peut arriver), c'est d'interdire les autres méthodes d'accès.
- Nous n'utilisons pas la fonctionnalité TRIM de nos SSD. Elle est disponible en utilisation RAID 0/1/10/5 logiciel depuis Linux 3.7 mais c'est encore trop récent pour que nous ayons confiance. Mi-2015, des problèmes de corruption de données sont justement apparus avec certains modèles de SSD + RAID logiciel + TRIM + ext4… dont notre modèle de SSD (Samsung SSD 850 PRO 512GB). Voir https://shaarli.guiguishow.info/?6qiK1g
benevoles/technique/config_bas_niveau_serveurs.txt · Dernière modification : 2021/10/11 14:17 de ljf