Foire aux questions

Retour au sommaire

Sécurité
Scripts CGI
Scripts PHP
MySQL
Scripts PHP prêts à l'emploi
Emails
Autres fonctionnalités
Votre répertoire
Performances de votre site web
Fonctionnement du serveur
Logiciels Internet

Paramètres de configuration

  • Sécurité (retour)

    Suite à de nombreux piratages de sites web par simple accès FTP avec le mot de passe du client, nous vous rappelons quelques règles de sécurité impératives :

  • toute machine utilisée pour administrer votre site web doit être à 100% sécurisée, quel que soit le protocole utilisé. SI VOTRE MACHINE N'EST PAS SURE, VOTRE SITE WEB N'EST PAS EN SECURITE, quelle que soit la sécurité du serveur sur lequel il est installé. Les pirates s'attaquent toujours au maillon faible.
  • toute connexion non cryptée utilisée par une machine même sûre mais sur un réseau non sûr (wifi, réseau dont vous ne connaissez pas l'administrateur) est DANGEREUSE. Vos mots de passe et vos données sont interceptables.
  • toute utilisation du protocole FTP est DANGEREUSE. Nous vous déconseillons formellement son utilisation, utilisez SCP à la place.
  • ne MEMORISEZ JAMAIS vos mots de passe dans vos applications. Tout mot de passe mémorisé est à la merci de tous les virus ou vers qui passeront sur votre machine. Sauf dans le cas où l'application vous demande un "master password" pour sécuriser l'accès à ces mots de passe (c'est par exemple le cas de Firefox). Toutefois, même dans ce cas, un keylogger pourra toujours récupérer ce mot de passe, et donc tous les autres ensuite.
  • même non mémorisé et même en utilisant un protocole crypté, vos mots de passe sont INTERCEPTABLES si un keylogger a infecté votre machine.
  • antivirus non mis à jour quotidiennement est INEFFICACE.
  • Mettre à jour vos sites depuis un ordinateur sous Linux ou MacOS est beaucoup plus sûr, mais cela ne doit pas remplacer un comportement prudent de votre part !
  • surveillez systématiquement les mises à jour des applications que vous installez sur votre site web, et mettez les systématiquement à jour au cas où un faille de sécurité est révélée. Il suffit d'UNE SEULE APPLICATION VULNERABLE, même d'une application très accessoire, pour que VOTRE SITE COMPLET SOIT VULNERABLE.

  • Scripts CGI (retour)

  • Ou puis-je placer mes scripts CGI ?
    Dans le répertoire cgi-bin impérativement. Vous ne pouvez pas exécuter de scripts .cgi ailleurs dans l'arborescence de votre site.
  • Quelles permissions dois-je accorder à mes scripts CGI ?
    750 : notre serveur Web fonctionne en mode SuExec, ce qui signifie que les CGI fonctionnent sous votre utilisateur, ils n'ont donc pas besoin d'être lisibles et exécutables par tous. Pour plus de sécurité, le serveur refuse même d'exécuter les CGI dans ce cas, le mode 755 ne peut donc pas fonctionner.
    De même, tous les sous-répertoires de votre répertoire cgi-bin devront impérativement être créés en mode 751.
  • Un fichier créé par un de mes CGI n'est pas lisible par tous
    Par défaut les fichiers sont créés en mode 600 (ils pourraient contenir un numéro de carte bancaire !). Si vous souhaitez un mode moins restrictif, faites le manuellement dans votre script (par ex. en Perl : chmod "644,$nom_du_fichier;")
  • Quels sont les chemins des différents programmes ?
    Perl est ici : /usr/bin/perl
    Sendmail est ici : /usr/sbin/sendmail
    Vous pouvez toujours taper "which nom_de_la_commande" en telnet ou ssh pour trouver le chemin de la commande que vous cherchez.
  • Je ne recois pas les réponses ou les messages d'erreur de mes mail automatiques
    Rajoutez la ligne suivante dans l'entête de votre mail
    "Return-path: votre.email@domaine.com";
  • L'envoi de mail depuis le serveur de fonctionne pas
    Il faut obligatoirement préciser le "From: " du message pour que le serveur accepte de l'envoyer.
  • L'envoi de mail depuis le serveur est très lent
    L'envoi de mails depuis le serveur est limité en fonction de l'heure :
    - 60 par minute et par script de 10 heures à minuit
    - 150 par minute et par script de 0 heure à 3 heures et de 7 heures à 10 heures
    - non limité de 3 heures à 7 heures.
    Vous avez donc tout intérêt à envoyer vos listes de diffusion de 3 heures à 7 heures du matin si celles-ci sont importantes (plusieurs milliers de mails).
  • Je veux envoyer un formulaire par email, mais je ne sais pas comment faire
    Vous pouvez installer notre script Sendform dont voici le mode d'emploi.

  • Scripts PHP (retour)
    • Quelle version de PHP est installé sur le serveur ?
      2 versions différentes sont installées :
      - PHP 4.4
      - PHP 5.0.5
      Ces 2 versions sont installées en FastCGI, ce qui permet de concilier des performances maximales avec un fonctionnement sous votre utilisateur (plus pratique en particulier pour les uploads de fichier).
    • Quelle version de PHP dois-je utiliser ?
      Par défaut, utilisez le PHP 4. N'utilisez le PHP 5 que si vous êtes sûr que les applications que vous avez installé sur votre compte sont compatibles PHP 5.
    • Quels sont les modules de PHP installés ?
      Vous pouvez consulter le PHPinfo de PHP5 et le PHPinfo de PHP4
    • Qu'est-ce-que register_globals ?
      register_globals était activé par défaut jusqu'à PHP 4.2.0, puis formellement déconseillé ensuite par l'équipe de PHP pour raison de sécurité. Par défaut nous l'activons tout de même car de nombreuses applications préexistantes ne tournent pas sans register_globals. Vous pouvez le désactiver par sécurité, mais vérifiez bien auparavant que vos applications installées ne nécessitent pas register_globals. Pour plus d'informations, voir la documentation officielle de PHP
    • Mes scripts PHP font une page blanche au lieu d'afficher des erreurs ?
      La plupart des hébergeurs activent par défaut l'affichage des erreurs PHP, mais c'est une importante faille de sécurité, car cela peut révéler de nombreuses informations sur le site. Nous avons donc choisi de le désactiver par défaut, comme le recommande l'équipe de développement de PHP. Vos erreurs PHP sont visible dans votre répertoire logs-encours. Vous pouvez tout de même activer cet affichage dans le navigateur (dans la partie "Activations" du tableau de bord), c'est très utile en phase de développement, mais il sera automatiquement désactivé passé une semaine.
    • Dois-je activer allow_url_fopen ?
      Ceci permet à toutes les fonctions de gestion de fichier de travailler avec des URL au lieu de fichiers locaux, et ce même pour les fonctions include et require ! Il y a donc des risques d'exécution de code distant malintentionné, ou de réception de données d'un format non attendu. C'est donc une faille potentielle importante pour la sécurité de votre site, mieux vaut la laisser désactivée, sauf si vous êtes sûr de ce que vous faites.
    • Dois-je désactiver les appels systèmes dans PHP ?
      Les appels systèmes permettent à PHP d'appeler un autre programme exécutable présent sur le serveur. Ce qui apporte de nombreuses fonctionnalités, mais aussi de nombreux problèmes de sécurité potentiels. Si vos scripts PHP ne contiennent aucun appel système par les fonctions listées ici, vous pouvez désactiver les appels systèmes, ce qui pourra éviter à votre site un grand nombre de vulnérabilités. Mais ne négligez pas pour autant la mise à jour de vos applications installées, en particulier à chaque mise à jour corrigeant des failles de sécurité. Dans tous les cas, si vous désactivez les appels systèmes, pensez à vérifier si toutes les fonctionnalités de votre site web fonctionnent toujours, en particulier les applications que vous n'avez pas écrites vous-même et qui contiennent peut-être des appels systèmes sans que vous le sachiez.
    • Dois-je désactiver la compression GZIP dans PHP ?
      Par défaut, vos pages PHP sont compressées par le protocole gzip, ce qui permet de gagner en moyenne 80% et donc de diviser le temps de téléchargement de vos pages par 5 (il s'agit uniquement du temps du téléchargement du code source, pas des images ou des autres fichiers déjà compressé).
      Cela peut poser problème lorsque PHP génère déjà du contenu compressé, par exemple des images ou des fichiers PDF, dans ce cas la double compression entraîne une pénalité importante au niveau des performances. Mieux vaut dans ce cas désactiver la compression, soit globalement, soit uniquement dans les scripts PHP concernés avec
      ini_set("zlib.output_compression", "off")
    • J'ai besoin de désactiver le safe_mode
      De nombreux logiciels prescrivent de désactiver le safe_mode, à vrai dire il s'agit des critères pour être SUR que le logiciel fonctionne. Dans l'immense majorité des cas, le logiciel peut fonctionner malgré le safe_mode, du moins si le PHP a été correctement configuré pour ça, ce qui est le cas chez nous, et si le logiciel ne s'arrête pas volontairement de lui-même parce qu'il constate que le safe_mode est activé, ce qui est malheureusement trop souvent le cas, alors même qu'il fonctionnerait correctement avec le safe_mode ! La seule solution dans ce cas est de désactiver dans le logiciel la partie de détection du safe_mode, ou de demander aux développeurs de le faire. Dans tous les cas, désactiver le safe_mode est tout simplement suicidaire, c'est la garantie de voir son site piraté dans l'année, c'est également une faute professionnelle pour un développeur de programmer en exigeant de désactiver le safe_mode !

  • MySQL (retour)
    • Je n'arrive pas à faire un dump / exporter ma base de données par PHPMyAdmin
      PHP n'est pas la solution idéale pour exporter une base de données. En effet, il y a un délai maximum d'exécution pour les scripts PHP, car s'il dure trop longtemps, c'est probablement qu'il a planté, par ailleurs il y a toutes les chances que le visiteur soit déjà parti voir ailleurs. Mieux vaut donc interrompre ce script pour protéger le serveur web d'une surcharge. Cela rend très difficile l'export d'une base de données via PHP, car les bases sont souvent très lourdes, et leur export peut dépasser le délai d'exécution maximum.
      Mieux vaut donc utiliser "mysqldump" en se connectant en SSH à votre serveur (ou à "ssh.lixium.fr" pour les comptes mutualisés). Ensuite il faut taper "mysqldump -u UTILISATEUR -p BASEDEDONNEES > fichier.sql" (en remplacant UTILISATEUR et BASEDEDONNEES par vos identifiants d'accès à MySQL). Cette commande vous demandera votre mot de passe MySQL, avant de faire l'export dans le fichier indiqué, sans limite de temps cette fois ci. Vous pourrez ensuite le télécharger par SCP ou FTP.
  • Scripts PHP prêts à l'emploi (retour)
    • SPIP
      SPIP est un excellent logiciel de gestion de contenu, offrant de très riches possibilités d'édition collaborative, de très bonnes performances, une personnalisation inégalable, le tout entièrement multilingue ! Nous vous encourageons à l'utiliser. Attention, PHP tournant en nobody par défaut sur nos services, il faut penser à faire les "chmod 777" comme indiqué dans la documentation de SPIP. En appliquant strictement la documentation, l'installation de SPIP ne pose aucun problème sur nos serveurs. Voir SPIP.net. Mais nous vous proposons aussi une installation automatisée, pour un SPIP 1.9.2b prêt à l'emploi !
    • 2BGal
      2BGal est un logiciel de gestion de galeries photos en PHP. (2BGal par ben3w.com). Nous vous proposons une installation automatisée, pour une galerie prête à l'emploi !
  • Emails (retour)
    • Comment vider rapidement ma boîte ?
      Sur le webmail, vous pouvez vous rendre dans Options, Courrier, "Options d'affichage pour les boîtes de courrier et les dossiers ", ensuite vous pouvez configurer 200 ou 500 messages par page.
      Faites ensuite une recherche basée sur la date, cochez la case juste en-dessous de "supprimer" en haut à gauche dans la liste de messages pour cocher tous les messages d'un coup, et faites "supprimer".
    • Quel réglage choisir pour l'antispam ?
      Le mode "normal" ne fait que marquer les spams, et n'en détruit aucun. Voici les conditions dans lesquelles vous pouvez choisir un autre mode :
      - le mode "très sévère", qui est très efficace, mais avec un risque de perte de mails légitimes (utile par exemple pour une adresse de contact externe qui serait de toute façon déjà submergée et pour laquelle vous n'arrivez déjà pas à répondre à tous les mails légitimes). A éviter si un mail perdu peut avoir des conséquences importantes.
      - le mode "sévère" : il détruit les spams quasi-certains, et marque les spams probables. Sauf si vous recevez des mails légitimes facile à confondre avec du spam, vous pouvez utiliser ce mode sans grands risques.

      Dans tous les cas, l'anti-spam ne peut être vraiment efficace que si vous prenez le maximum de précautions pour ne pas divulguer votre email :
      - pas de publication non cryptée de votre email sur votre site (cryptage)
      - pas d'utilisation de votre email sur les newsgroups ou le web (à moins d'y rajouter systèmatiquement un suffixe anti-spam comme "-pas-de-spam" ou "non-au-spam", qui pourra être manuellement retiré par vos correspondants, mais pas par les spammeurs qui collectent des milliers d'emails et ne peuvent les retoucher manuellement).
      - utilisez au maximum des "boites-poubelles" si vous devez impérativement donner un email valable sur un site web que vous ne connaissez pas

      Enfin, une messagerie avec anti-spam intégré comme Thunderbird sur votre machine locale sera un complément idéal à l'anti-spam du serveur. En suivant ces recommandations il est possible de descendre à un niveau de spam négligeable (moins d'un spam par jour).

    • A quoi sert le marquage des spams ?
      Nous marquons les spams pour que vous puissiez vous-même traiter vos spams si vous le souhaitez, par exemple en crééant des filtres sur votre messageries pour diriger les spams dans un dossier à part, que vous parcourez de temps en temps pour vérifier qu'un mail légitime n'y aurait pas été placé par une erreur de l'anti-spam. Vous pouvez filtrer les mails sur le sujet ("???SPAM???" indiquant un spam très probable et "!!!SPAM!!!" un spam quasi-certain).
    • Certains de mes interlocuteurs n'arrivent pas à m'envoyer des mails
      S'ils recoivent un message d'erreur "450 cannot find your reverse hostname", leur serveur mail est mal configuré. Conformément aux recommandations officielles de l'IETF (organisme mondial chargé de la normalisation d'internet) et aux recommmandations de l'AFA (Association des fournisseurs d'accès en france), il faut un reverse DNS valide sur les serveurs expédiant des mails :
      http://www.afa-france.com/t_spam_recommandations_acteurs.html (point 3)
      http://www.ietf.org/rfc/rfc1123.txt (point 5.2.5)

      Leurs mails doivent donc être refusés par de très nombreux prestataires (parmi lesquels Hotmail, Yahoo, AOL), il vaut mieux leur indiquer le problème, cela leur rendra service.

      - S'il s'agit d'un serveur mails d'entreprise : il leur suffit de contacter leur fournisseur d'accès qui pourra règler le problème instantanément : il faut leur dire que le reverse DNS de leur serveur mail est mauvais, car il n'est pas résolu, ou il est résolu en un autre adresse IP que leur serveur. En attendant qu'ils aient pu corriger la configuration de leur serveur, signalez-nous le problème, nous rajouterons leur serveur mail sur notre white-list afin que vous puissiez immédiatement recevoir leurs messages. L'idéal est de nous indiquer le nom ou l'adresse IP de leur serveur mail, sinon la date et l'heure ainsi que l'expéditeur du mail qui a été refusé par notre serveur.

      - S'il s'agit d'un particulier, le prestataire n'offre pas toujours la possibilité d'un reverse DNS, dans ce cas il faut indiquer à votre interlocuteur d'utiliser le serveur mail d'envoi de son prestataire, qui a forcément un reverse DNS. C'est précisément le but de ce filtrage, d'éviter les milliards de spams envoyées par les centaines de millions de machines de particulier infectées par des virus et utilisées par les spammeurs pour envoyer leurs spams. En les obligeant à passer par le serveur officiel de leur prestataire, cela permet de maitriser le spam, puisque leur fournisseur se rendra forcément compte de tout trafic anormal.

      Une précision : ce filtrage est actif même pour les clients ayant désactivé l'anti-spam, car il n'est pas possible de l'activer par domaine seulement, or le désactiver pour tout le monde reviendrait à accepter globalement 70.000 spams par jour en plus (mesuré en mai 2007), ce qui n'est évidemment pas imaginable...

    • Qu'est-ce que le greylisting ?
      Le greylisting est une technique anti-spam consistant pour un serveur mail à refuser systèmatiquement tout email lors de sa première présentation, en demandant au serveur d'origine de le réexpédier après 5 minutes, second envoi qui sera accepté. Les spammeurs n'honorent pas cette demande de second envoi, car cela les obligerait à conserver une table de toutes les réexpéditions demandées par les serveurs destinataires, à retenter périodiquement chaque envoi, ce qui serait ingérable avec le volume d'adresses qu'ils gèrent. Par contre, tous les serveurs mails légitimes gèrent ce cas.
    • Autres fonctionnalités (retour)
      • Comment générer des documents PDF ?
        Nos serveurs disposent de la librairie PDFlib, dont voici la documentation
        Voici l'emplacement de notre fichier licences : /usr/local/lib/licensepdflib.txt (pour indiquer cette licence à vos scripts, voyez en page 9 de la documentation).
      • Les fichiers .htaccess ne fonctionnent pas.
        Ils sont désactivés par défaut, notre fonction Extranet étant beaucoup plus sécurisée. Si votre besoin dépasse la simple authentification, activez les, mais à vos risques et périls.
      • Les SSI ne fonctionnent pas.
        Ils sont désactivés par défaut, les SSI étant un héritage des premiers temps du Web, des scripts beaucoup plus efficaces et sûrs sont sortis depuis (en particulier PHP). Si vous en avez vraiment besoin, vous pouvez les activer.
      • FTP anonyme
        Grâce au serveur FTP anonyme, vos visiteurs pourront télécharger vos fichiers avec des performances maximales et en évitant de charger le serveur web. Nous vous demandons de placer tous vos gros fichiers à télécharger dans cette section (vidéos, sons, programmes, documents, archives...).
        L'adresse de votre FTP anonyme est de la forme "ftp://static.lixium.fr/VOTRELOGIN/static/...". Pour cela, il faut placer les fichiers dans votre répertoire "static". Les fichiers sont également accessibles par HTTP avec l'URL "http://static.VOTREDOMAINE.COM/..."
    • Votre répertoire (retour)
      • Où puis-je consulter mes logs d'accès ?
        Dans le répertoire logs de votre compte. Attention, les fichiers sont décalés et compressés toutes les nuits, et effacés au bout de 15 jours.
      • Quel est l'usage des différents sous-répertoires de mon compte ?
        www contient vos pages web
        www/cgi-bin contient vos scripts cgi
        www/protected est le répertoire protégé configurable par la section Extranet du tableau de bord
        datas contient vos données privées
        progs contient vos programmes privés
        logs contient vos logs d'accès archivés
        stats contient vos statistiques
        Les répertoires suivants ne sont pas sur la même machine et ne sont pas accessible depuis votre compte FTP, il faut vous connecter en SCP ou SFTP au serveur ssh.lixium.fr pour pouvoir y entrer:
        static est votre compte de téléchargement additionnel pour les gros fichiers (accessible par http://static.VOTREDOMAINE.COM/ ou par ftp://static.lixium.fr/VOTRELOGIN)
        storage est votre compte de stockage additionnel pour les gros fichiers (non accessible au public)
        logs-encours contient vos logs d'accès de la journée en cours
      • Je n'arrive pas à accéder au répertoire xxx (403 forbidden)
        C'est normal. Si vous mettez un fichier dedans, vous pourrez y accéder, mais par sécurité vous ne pouvez pas accéder au répertoire lui-même (pour voir la liste des fichiers qu'il contient). Par contre si vous y mettez un fichier index.html, c'est lui qui sera affiché lorsque vous appelez le répertoire seul.
      • Comment utiliser des sous-domaines ?
        Chaque URL http://repertoire.VOTREDOMAINE.COM peut pointer vers /home/VOTRELOGIN/repertoire.
        Pour cela il vous faudra activer les sous-domaines. Si vous utilisez les DNS EuropeanServers, les sous-domaines fonctionneront le lendemain matin dès 7h, sinon il vous faudra également paramétrer vos DNS pour renvoyer vers l'adresse IP du serveur hébergeant votre site.
        Si vous activez la "redirection automatique des sous-domaines", http://*.domaine.com renverra automatiquement sur /home/domaine/www/*, sinon il faudra gérer manuellement ces redirections via un fichier .htaccess.
      • Je n'arrive pas à me connecter en FTP
        Vous êtes sans doute connectés par un réseau d'entreprise doté d'un firewall. Essayez d'activer le mode passif de votre logiciel FTP (passive mode ou firewall mode).
    • Performances de votre site web (retour)
      • Dois-je passer du temps à optiser mon site web et pourquoi ?
        N'est-ce pas à vous, mon hébergeur, de mettre en place des machines plus puissantes ? Nous utilisons déjà des machines puissantes et très largement sur-dimensionnées. Quelle que soit la puissance du serveur, un site web pourra toujours être lent. Attachez 3 semi-remorques à une voiture de sport, et ce n'est plus une voiture de sport !
        Vous devez vous intéresser à l'optimisation des performances de votre site web si vous trouvez que votre site est trop lent, si vos visiteurs trouvent que votre site est trop lent, si votre site est très fréquenté ou susceptible de devenir très fréquenté, ou s'il lance des scripts très lourds.
        Si c'est votre cas, consultez ce guide d'optimisation
    • Fonctionnement du serveur (retour)
      • Je ne reçois pas de mail relatifs au fonctionnement du serveur.
        Ces mails sont envoyés au contact technique renseigné dans la section "Contacts" de votre tableau de bord. Y êtes-vous inscrit ?
      • Quand procédez-vous aux opérations de maintenance ?
        En général samedi ou dimanche matin vers 7h. Vous serez averti au minimum 24h avant sauf urgence.
      • J'ai repéré une panne que vous n'avez pas signalé
        Les fournisseurs d'accès sont en général beaucoup moins fiables que les hébergeurs. Il est fort probable que l'impossibilité d'accès ne tenait qu'à votre fournisseur d'accès, même si vous pouviez accéder à d'autres sites. Pour en être sur, il faut tester avec 2 fournisseurs d'accès, ou vérifier sur nos statistiques de débit : si ceux si montrent une chute anormale du débit, il y a de fortes chances que le problème soit de notre côté. Dans ce cas, signalez-le, nous en informerons nos clients.
    • Logiciels Internet (retour)
      • Comment utiliser vos services mail, FTP, SSH ?
        Nous mettons à votre disposition des tutoriels graphiques sur les principaux logiciels du marché à cette adresse :
        http://support.lixium.fr
    • Paramètres (retour)
      • N'utilisez ces paramètres que si vous maitrisez complètement leur utilisation, nous ne pourrons pas être tenus responsables d'un mauvais paramétrage, dans le cas par exemple où ces paramètres ne s'appliquent pas à votre site (par exemple si vous gérez vous même votre domaine).
      • Serveurs DNS :
        ns1.lixium.net 79.98.96.14
        ns2.lixium.net 195.246.230.18
        ns3.lixium.net 87.106.253.51
      • Adresses IP à configurer si vous n'utilisez pas les DNS ci-dessus :
        www : 79.98.96.65 (serveur web principal)
        mail : 10 mail.lixium.fr , 20 mx2.lixium.fr
      • Adresse de sendmail : /usr/sbin/sendmail
      • Adresse de perl : /usr/bin/perl
      • Serveur SQL : mysql.lixium.fr
      • Serveur FTP : ftp.lixium.fr
      • Serveur SSH, SCP, SFTP : ssh.lixium.fr