Aller au contenu principal

Changelog des stacks Kokiris

MIS est l'acronyme de Managed Infrastructure Services, c'est un service directement hérité d'OVH Cloud. Il s'agissait de leur offre de service « managé » disponible sur tous les serveurs dédiés, les clouds publics et privés.

Nous sommes arrivés à la sixième génération de ce service historique !

Principales nouveautés de la stack Kokiris MISV6 (Debian 13)

Disponible depuis novembre 2025

La stack Kokiris MISV6, basée sur Debian 13, intègre toutes les améliorations des versions précédentes, ainsi que les nouveautés suivantes :

Sécurité des applications clients

  • possibilité d'isoler les sites web en les associant à des comptes dédiés, via le script minimultimis ;
  • plus de sécurité à la main du client avec l'ajout de commandes pour bannir ou ignorer des IP avec fail2ban depuis le compte admin. Documentation ;
  • renforcement des scripts utilisateur pour limiter les risques d'exploitation de failles.

Certificats SSL Let's Encrypt

Le script /usr/local/bin/haple.sh permet désormais de générer des certificats basés sur la méthode du challenge DNS avec les registrars OVH, Ionos, Cloudflare et Gandi Documentation.

Durcissement du système

  • alignement sur les recommandations de l'ANSSI avec le renforcement de la configuration des services et du système avec les outils Lynis, Openscap et ssh-audit ;
  • attaque et exploitation des services web rendu plus difficile grâce au « hardening » systemd des services php et apache.

PHP

Plus de sécurité et de performance avec l'arrivée de PHP 8.5.

Haproxy et performance

  • arrivée de HTTP/3 sur les serveurs mono ;
  • passage sur haproxy performance avec la pile SSL la plus performante du moment (AWS-LC) ;
  • capacité de Géoprotection : en plus de pouvoir activer du « rate-limiting » par IP et URL, nous sommes capables de réaliser des blocages en fonction de la localisation de la source, pour, par exemple bloquer toutes les requêtes web venant de Chine.

Mysql/Mariadb

Ajout de Percona MySQL en plus d'Oracle MySQL Community.

Et toujours plus de commandes privilégiées pour l'utilisateur client admin !

Liste non exhaustive :

/usr/sbin/apache2ctl -t, /usr/local/bin/create_mysql_ftp_vhost.sh
/etc/init.d/apache2 ^(start|stop|graceful-stop|restart|reload|force-reload)$
/sbin/service ^apache2 (start|stop|graceful-stop|restart|reload|force-reload)$
/usr/local/bin/createVhostApache.sh
/usr/bin/fail2ban-client status
/usr/bin/fail2ban-client ^status [a-z0-9_\-]*\$
/usr/bin/fail2ban-client ^set [a-z0-9_\-]* (banip|unbanip|addignoreip|delignoreip) [0-9]*.[0-9]*.[0-9]*.[0-9]*\$
/usr/local/bin/haple.sh *
/usr/sbin/service ^php(5.6|7.0|7.1|7.2|7.3|7.4|8.0|8.1|8.2|8.3|8.4)-fpm (restart|reload)\$
/usr/bin/update-alternatives --config php
/usr/local/bin/createPureftpUser.sh, /usr/local/bin/deletePureftpUser.sh, /usr/bin/pure-pw list, /usr/local/bin/nipureftp.sh *
/usr/local/bin/synchroGS *
/usr/local/bin/minimultimis * # En cours de déploiement

Stack Kokiris MISV5 (Debian 12)

Changements PHP

Versions PHP disponibles

  • Ajout des versions 8.0, 8.1, 8.2, 8.3 et 8.4.
  • Versions activées sur les serveurs :
    • 5.6, 7.0, 7.1, 7.2, 7.3, 7.4, 8.0, 8.1, 8.2, 8.3, 8.4

Sécurité PHP

  • Renforcement de la sécurité des processus FPM via Systemd.

PHP et multi-serveur

  • Réplication automatique de l’arborescence /etc/php entre les serveurs installés après la semaine 12 de 2025, pour éviter les écarts de configuration.

Changements Web

  • Ajout d’un reverse proxy local (haproxy) pour :
    • Terminaison SSL
    • Support HTTP/2
    • Protection HTTP avancée
    • Routage évolué
  • Réplication automatique de l’arborescence /etc/haproxy entre les serveurs installés après la semaine 12 de 2025.

Commandes privilégiées pour l'utilisateur adminX

/usr/sbin/apache2ctl -t, /usr/local/bin/create_mysql_ftp_vhost.sh
/etc/init.d/apache2 start, /etc/init.d/apache2 stop, /etc/init.d/apache2 graceful-stop, /etc/init.d/apache2 restart, /etc/init.d/apache2 reload, /etc/init.d/apache2 force-reload
/sbin/service apache2 start, /sbin/service apache2 stop, /sbin/service apache2 graceful-stop, /sbin/service apache2 restart, /sbin/service apache2 reload, /sbin/service apache2 force-reload
/usr/bin/certbot *
/usr/local/bin/createVhostApache.sh
/usr/local/bin/haple.sh *
/usr/sbin/service memcached *
/usr/sbin/service php(5.6|7.0|7.1|7.2|7.3|7.4|8.0|8.1|8.2|8.3|8.4)-fpm restart
/usr/bin/update-alternatives --config php
/usr/sbin/service varnish *, /usr/sbin/service varnishncsa *, /usr/bin/varnishadm, /usr/sbin/varnishd, /usr/bin/varnishhist, /usr/bin/varnishlog, /usr/bin/varnishncsa, /usr/bin/varnishreplay, /usr/bin/varnishsizes, /usr/bin/varnishstat, /usr/bin/varnishtest, /usr/bin/varnishtop
/usr/local/bin/synchroGS *

Certificats SSL Let's Encrypt

Changement MySQL

  • Remplacement du système de VIP par un load-balancer local basé sur haproxy.
  • Les applications doivent désormais utiliser l'adresse 127.0.0.1 pour les chaînes de connexion.

Durcissement du système

  • Renforcement des configurations avec Lynis, Openscap et ssh-audit.

Sauvegarde

  • Passage à un système de backup hors-site, distribué et chiffré.

Métrologie

  • Tableau de bord Grafana pour le suivi des métriques de performance.

Matrice des versions par service

ServiceMIS V2MIS V3MIS V4MIS V5MIS V6
LinuxDebian 9Debian 10Debian 11Debian 12Debian 13
BackupLegacyLegacyLegacyKCBKCB
csync22.0.82.0.222.0.252.0.422.0.42
Plesk1818181818
phpMyAdmin4.6.6Sources récentesSources récentes5.2.15.2.2
Apache2.4.25, 2.4.432.4.38, 2.4.432.4.522.4.572.4.65
Pure-FTPd1.0.431.0.471.0.491.0.501.0.50
MySQL5.75.7, 8.08.0.288.0.418.4
MariaDB10.1, 10.2, 10.310.310.310.1111.4, 11.8, 12.0
PHP5.6 à 8.05.6 à 8.05.6 à 8.25.6 à 8.45.6 à 8.4
Python2.7, 3.52.7, 3.7?3.113.11
PostgreSQL9.6, 1212?1517
Elasticsearch77?8.138.16, 9
Kibana-7.87.88.138.13, 9
Memcached1.4.331.5.6?1.6.181.6.38
MongoDB-4.4.0, 4.4.1???
Redis3.2.65.5.05.6.06.08.0
HAProxy2.12.12.12.93.0.11
Varnish56.1.16.5.17.1.17.7.0
Composerlatestlatest?latestlatest
Node.js8 à 14 (14 par défaut)8 à 14 (14 par défaut)?18 / 2020