Le calvaire du reboot des serveurs web. Certains administrateurs système peu aguerris ont une solution bien à eux pour l’éviter : oublier. Et pourtant, le risque est réel. Voici quelques astuces pour faciliter cette opération de maintenance, aussi récurrente que nécessaire.
En tant que PME, vous avez probablement à jongler avec un serveur web : celui de votre entreprise. S’il s’agit d’un hébergement mutualisé, tout va bien. Mais s’il s’agit d’un serveur dédié, les choses se compliquent, car il faut en gérer les composants logiciels. Se pose alors la question : faut-il le redémarrer, et si oui quand ?
Sous Linux, élément de base de toute pile LAMP qui se respecte, il faudra idéalement prévoir une mise à jour chaque semaine, du fait de la publication régulière de correctifs de sécurité. Avec à la clé des périodes d’indisponibilité liées aux phases de reboot. Plus ou moins longues, selon les problèmes éventuellement rencontrés lors du redémarrage du serveur.
Soyez malin…
Mais tout ceci n’est pas forcément une fatalité. Primo, toutes les mises à jour ne nécessitent pas le redémarrage de la machine. En dehors du noyau Linux, des librairies de base et du service SSH, la plupart des applications et services pourront être relancés manuellement, sans reboot et sans risque. Étudiez donc avec soin ce qui a été installé lors de la mise à jour pour déterminer si un redémarrage est requis ou non.
Faites également le tri dans vos applicatifs. Avez-vous vraiment besoin de services comme des serveurs SMTP ou FTP ? Et pour aller encore plus loin, avez-vous vraiment besoin de la totalité de la pile LAMP ? Nombre de serveurs web sont installés par défaut avec des langages de programmation (PHP, Perl, etc.) et des outils de gestion de bases de données (MariaDB, PostgreSQL, etc.), alors même que ces derniers ne sont pas utilisés. Ils sont pourtant sujets à failles et feront donc l’objet de correctifs de sécurité. Des soucis pour rien : désinstallez ce qui n’est pas utilisé.
En poussant le concept à l’extrême, et en mettant en œuvre avec astuce les possibilités offertes par le HTML5, il est quasiment possible aujourd’hui de créer un serveur web statique de qualité avec uniquement Apache. Une mise à jour par mois suffira alors largement pour garder votre machine à l’abri des menaces, sa surface d’attaque étant devenue très faible.
Soyez encore plus malin…
Dans la plupart des cas, vous allez toutefois devoir conjuguer avec différentes applicatifs et frameworks web. Pourquoi ne pas opter pour la virtualisation ? Vous pourrez alors décolérer le ‘serveur physique’ de la fonction ‘serveur web’. Minimaliste, l’OS primaire ne comprendra plus comme mises à jour que des composants de base comme Linux, SSH et divers outils, dont ceux relatifs à la virtualisation.
L’ensemble de la fonction ‘serveur web’ sera pour sa part rassemblé au sein d’une machine virtuelle (VM) séparée. Un snapshot de cette VM avant mise à jour, et il sera possible de revenir en arrière en cas de souci. Mieux, en travaillant sur une copie locale de cette VM, il sera envisageable d’opérer des changements sur une station de travail de test, avant de mettre le résultat en production par simple transfert de la nouvelle VM sur votre serveur.
David Feugey, ex-rédacteur en chef de Silicon.fr
