Chez o2switch, la sécurité de nos hébergés est une priorité. Nous mettons tout en oeuvre pour veiller à la confidentialité de vos données. Ainsi, nous communiquons clairement sur notre politique de sécurité.
Nos serveurs d'hébergement utilisent majoritairement des systèmes d'exploitable (OS) à durée de vie longue. C'est à dire, spécialement conçus pour un usage serveur, et une fiabilité d'usage.

C'est le cas, par exemple, de CentOS, RedHat Linux, de certains produits Oracle (…)
Nous définissons, sur l'Offre Unique, plusieurs catégories principales de mises à jours. Nous faisons tout pour proposer le maximum de services, sans perturber le fonctionnement quotidien de nos hébergés.

Kernel

Le Kernel est le noyau Linux.

Afin de mettre à jour ce dernier, nous faisons appel à Kpatch. Cette technique permet d'appliquer, à chaud, des mises à jour sur le Kernel en fonctionnement. C'est à dire, sans avoir le besoin de redémarrer le serveur. https://en.wikipedia.org/wiki/Kpatch
Ainsi, nous pouvons apporter une sécurité maximale, tout en conservant une disponibilité conséquente des serveurs.
Si vous vérifiez la version du Kernel depuis, par exemple, un accès SSH ou votre interface technique vous constaterez alors une version ancienne du Kernel. Ceci est parfaitement normal.

Les serveurs ne sont relancés à des fins de mises à jour Kernel que si :

  1. La mise à jour nécessite un redémarrage absolue du serveur. Auquel nous, nous faisons notre maximum pour, suivant le contexte, vous informer préalablement de l'opération. Une mise à jour Kernel avec redémarrage va, en moyenne, prendre de 5 à 10 minutes.
  2. Trop de mises à jour sont déjà appliquées par la méthode kpatch, risquant alors de compromettre, suivant les cas, la stabilité long terme du serveur.

On peut estimer le redémarrage nécessaire pour mise à jour Kernel à une fois par an. Sauf cas particulier.

cPanel

cPanel est l'interface de gestion technique proposée aux hébergés de l'Offre Unique o2switch. Ses versions sont définies en “branches”, chacune ayant des mises à jour régulières.
Vous pouvez consulter les versions cPanel et les divers correctifs ici : https://documentation.cpanel.net/display/CL/Change+Logs

Les branches apportent généralement des fonctions complémentaires, des mises à jour graphiques, et sont nécessaires à actualiser l'expérience de l'utilisateur vis à vis des tendances techniques actuelles.
Sur chaque branche, cPanel va régulièrement publier des mises à jour, qui sont soit des mises à jour sécuritaires ; soit des corrections de bugs ; soit des apports de fonctions mineures.


Voici notre comportement pour chaque version/mise à jour publiée par cPanel :

Tout d'abord, si cPanel propose une mise à jour de sécurité critique, elle sera automatiquement réalisée sans délai de prévenance, ni délai. Comme il est d'usage pour tout système à risque.
Durant la mise à jour, l'accès cPanel peut être perturbé pendant ~ 5 à 10 minutes, les services peuvent êtres très légèrement dégradés. L'interface de gestion technique sera alors non accessible pendant ce délai.
Nous devons, en hébergeur et dès notification d'une faille sécuritaire par l'équipe cPanel, réaliser les mises à jour nécessaires avant même publication du détail d'exploitation.

Toute mise à jour de sécurité susceptible de porter préjudice à l'intégrité des données, à l'hébergé, est jugée comme mise à jour de sécurité critique. Même si cPanel ne juge pas la mise à jour ainsi.
C'est notamment le cas si l'équipe o2switch a, à sa connaissance, des failles connues sur des dépendances de cPanel et non encore documentées.

En dehors des mises à jour critiques, nous définissons plusieurs catégories de mises à jour cPanel.

  • La mise à jour de sécurité d'usage.

Cette catégorie va contenir des dépendances de cPanel : logiciels tiers inclus (mailman; phpmyadmin; etc.), RPM (installables) distribués par cPanel, corrections sur certains scripts python/perl.
Ces mises à jour sont réalisées parfois avant publication d'une nouvelle version par cPanel. Nous mettons alors à jour les outils concernés de manière indépendante, ainsi que les différents éléments individuels de l'interface.

L'application de mises à jour ne nécessite donc pas obligatoirement une évolution globale de la version cPanel. Et évite ainsi une perturbation des services. Ainsi, vous pouvez constater, parfois, une version inférieure à celle - en cours - lorsque vous êtes identifié sur votre interface. C'est tout à fait normal.
Notre équipe technique a la charge de vérifier, proactivement, le bon fonctionnement et la bonne sécurité des serveurs. Nous mettons un point d'honneur à ne pas nous reposer, exclusivement, sur les versions et mises à jour officielles de cPanel. Comme il devrait être le cas pour tout prestataire.

Nous sommes cependant contraints de réaliser la levée de version officielle si, par exemple, les correctifs proposés par cPanel nécessitent des opérations globales ou qui toucheraient à un ensemble de fonctions de l'interface. Ou encore, si l'intervention “en bon technicien” n'est pas possible.
La levée de version est alors réalisée en période creuse.

Est définie comme période creuse, 20% du temps horaire où la charge en bande passante est la plus faible.
Ceci afin d'être en adéquation avec le nombre de visiteurs de nos hébergés.

  • La mise à jour de sécurité mineure.

cPanel est une interface relativement riche, et propose des fonctions qui ne sont pas toujours visibles, utilisables par l'hébergé final. L'hébergé n'est alors pas impliqué dans les usages, et les fonctions qui font l'objet d'une mise à jour de sécurité ne peuvent pas, quelque soit la circonstance, êtres utilisées.
La mise à jour mineure concerne généralement des fonctions non proposées, désactivées.. et n'a aucun impact immédiat ou moyen terme.

La mise à jour mineure peut aussi concernée un faille exploitable exclusivement par l'hébergé lui-même, de son propre chef, sur son propre environnement cPanel, en dehors de tout site hébergé par lui ou un tiers.
Alors et effectivement, un hébergé ne va pas s'auto-compromettre !

La levée de version cPanel est alors réalisée périodiquement, et généralement tous les 1 à 2 mois.

  • La correction de bugs.

Si la correction de bugs va résoudre un problème bloquant l'usage de l'hébergé, la levée de version cPanel est réalisée. Si la correction de bugs résout un problème mineur, comme un affichage optionnel, la levée de version cPanel est périodique, généralement tous les 1 à 2 mois.



Remerciement Spécial : Quentin Clarenne. Merci d'avoir mis en évidence le fait que nos procédures n'étaient pas documentées pour un néophyte.

PHP

Il est important que chaque hébergé préserve une version à jour de son environnement PHP. PHP est divisé en branches : 5.4, 5.5, 5.6, 7, 7.1, 7.2 …
L'équipe en charge du maintient de PHP décide des levées de versions et de branches.

Il existe alors

  • Les branches actuelles, régulièrement mises à jour, avec corrections de bugs, et apport de fonctions nouvelles
  • Les branches en fin de vie mais toujours mises à jour régulièrement sur la partie sécuritaire.
  • Les branches obsolètes qui n'ont plus d'apport en nouvelles fonctions.

Vous trouverez le détail des branches PHP, de leur cycle de vie, sur http://php.net/supported-versions.php
PHP peut apporter des mises à jour de sécurité critiques même sur des branches obsolètes, mais ne peut ni garantir la durée, ni la persistance.

o2switch s'engage, pour chaque branche, à maintenir la dernière version à jour dans les meilleures conditions et délais.
L'hébergé final doit cependant être conscient que certaines branches de PHP ne sont plus maintenues et ne devraient pas êtres utilisées.

Nous avons conscience que certains changements de versions PHP peuvent porter à de lourdes conséquences sur le fonctionnement de vos scripts.
Nous savons qu'il n'est pas toujours possible d'évoluer de votre propre côté. Ainsi, vous pouvez gérer librement la branche de votre compte d'hébergement.
Nous détaillons alors la procédure ici : https://faq.o2switch.fr/hebergement-mutualise/tutoriels-cpanel/selecteur-version-php

Vous pouvez alors prendre la responsabilité, en toute connaissance de cause, d'utiliser une branche PHP obsolète.

Chaque hébergé fonctionne sur un environnement isolé et cloisonné. Il ne peut pas, par l'usage d'une branche PHP obsolète, porter préjudice à d'autres hébergés d'o2switch.
Cependant nous vous recommandons de prendre attache avec un développeur afin d'actualiser vos outils si cela s'avère souhaitable.

  • Politique de mise à jour de la branche native proposée.

Côté o2switch les serveurs - neufs - sont toujours mis en production avec une branche native à jour.
La branche PHP native doit cependant être évoluée au fil du temps. Afin d'être en concordance avec les besoins actuels de sécurité et d'usage.

L'hébergé final, s'il a le besoin d'une branche spécifique et fixe de PHP, doit sélectionner cette dernière puis le gestionnaire de versions proposé sur cPanel. La branche PHP sélectionnée peut être inférieure ou supérieure à la branche native.
Cf : https://faq.o2switch.fr/hebergement-mutualise/tutoriels-cpanel/selecteur-version-php

Toute mise à jour sur la branche native sera alors sans effet pour l'hébergé, qui ne sera par concerné par les opérations.

Sur les serveurs déjà en production, nous mettons périodiquement à jour la branche native de PHP.
La branche native appliquée correspond à celle disposant d'un maximum de scripts, CMS, compatibles.

  • Principe de mise à jour de branche.

Lors de chaque mise à jour de branche réalisée sur les serveurs, nous analysons les logs d'erreurs écrits générés par les sites de nos hébergés en version native.
Cette analyse est réalisée de manière automatisée, sans garantie, et destinée à éviter une indisponibilité d'un hébergé n'étant pas à jour dans ses propres scripts.

Dans la mesure du possible et sous réserves : - Si le log d'erreur du site indique des erreurs fatales qui bloquent l'hébergé : nous maintenons la branche native présente pour l'hébergé. - Si le log d'erreur du site indique des erreurs mineures : la branche native est évoluée.

Si la branche native est maintenue, l'hébergé est informé par courriel (adresse en fiche client)
Il devra alors analyser la situation, et nous demander une évolution future, si besoin. Il peut aussi utiliser le gestionnaire PHP présent sur cPanel.

Nous accordons toute autonomie à l'hébergé, responsable de son usage, de choisir la branche de ses souhaits.
Si l'hébergé ne sélectionne pas une branche spécifique depuis le sélecteur de versions PHP de cPanel, la branche native sera tout de même évoluée après un laps de temps.