Concevoir un serveur web mutualisé (sécurisé) - Logiciels - Linux et OS Alternatifs
Marsh Posté le 16-02-2012 à 13:03:29
Tu peux regarder vers OpenVZ par exemple
http://www.webhostingskills.com/ar [...] _to_part_1
d'autres infos
http://en.wikipedia.org/wiki/Opera [...] mentations
Marsh Posté le 17-02-2012 à 09:19:29
Merci pour ces liens
Cela dit, ça me semble plus pour faire des vps que du mutualisé non?
Ou alors avec plusieurs apache qui tournent?
Marsh Posté le 17-02-2012 à 12:34:38
Hmm, je dirais plutôt ISPConfig (officiel ici) ou un équivalent du même genre.
Si tu n'as pas peur des bugs, il y a notamment DTC, si tu as des sous, Plesk. Si tu veux de l'austère et simple, Virtualmin.
Tu pourras en trouver quelques un ici, mais ISPConfig reste le meilleur panel d'administration.
Marsh Posté le 17-02-2012 à 12:39:07
Oui en effet c'est plus adapté pour du mutualisé.
Plein de tutos avec ISPConfig sur howtoforge.com
Marsh Posté le 17-02-2012 à 14:52:05
Merci, mais je ne cherche pas un panel (je m'en sors très bien sans), mais plutôt la "bonne méthode" (ou les bons outils) pour gérer proprement un serveur web mutualisé.
Actuellement mon apache est chrooté ce qui protège un peu mon système, mais je voudrais renforcer le cloisonnement des sites entre eux.
La question c'est comment font les gens qui font du mutualisé à tout va (genre ovh, page perso free ou autre) pour éviter qu'un site mal fait en fasse tomber 15 autres?
Marsh Posté le 17-02-2012 à 16:33:57
Virtualisation avec kvm ou Xen.
Une Vm par site avec leur apache, mysql joomla, java-qui-pue, ce-que-tu-veux.
Ainsi si un site se fait hacker il n'impactera pas les autres. Idem si il plante.
Marsh Posté le 17-02-2012 à 16:54:06
J'y ai bien pensé, mais ça fait un peu overkill (et je vais pas avoir assez d'ip publiques pour tout le monde )
Le but, c'est de blinder autant que possible une plateforme mutualisée existante (le serveur en question est déjà une vm )
Marsh Posté le 17-02-2012 à 17:04:26
Sous linux tu as les Vservers pour faire de l'isolation.
Marsh Posté le 17-02-2012 à 17:54:28
Sinon tu proposes un environnement "fixe", avec une recréation de répertoire par script. Pas de java, pas de joomla version maison mais uniquement ta version à toi qui fonctionne, pas de CGI.
Et derrière pour toi, un panel.
Marsh Posté le 19-02-2012 à 09:31:44
drouide a écrit : J'y ai bien pensé, mais ça fait un peu overkill (et je vais pas avoir assez d'ip publiques pour tout le monde ) |
tu mets une VM avec nginx en tant que loadbalancer en frontal, en fonction du domaine demandé
Marsh Posté le 19-02-2012 à 10:35:09
ReplyMarsh Posté le 19-02-2012 à 13:39:21
gizmo15 a écrit : des jail mais c'est du solaris me semble |
Vserver sous linux
Marsh Posté le 19-02-2012 à 14:03:48
j'ai vu ta réponse merci... je donne juste un autre moyen
Marsh Posté le 19-02-2012 à 15:06:16
Il est sous linux donc lui proposer un truc sous BSD/Solaris... Surtout que les jails sont l'équivalent des Vservers. D'où mon
C'était pas agressif
Marsh Posté le 25-02-2012 à 11:01:48
grsec ou autre (selinux, appmarmor...)
Marsh Posté le 25-02-2012 à 15:04:45
mod-mpm-itk d'apache2 + un user/group par vhost
Pour la base MySQL, un user/pass par base bien sûr.
Ca devrait suffir à isoler en cas de pb.
Tu peux aussi placer des restrictions pour le php sur chaque vhost, pour qu'il ne puisse accéder qu'à certains répertoires, mais bon, si les droits unix sont corrects sur le FS pour chaque vhost (uid/gid du vhost, pas d'accès pour other), ça devrait être superflu.
Bien sûr si tu te prends un DoS sur un serveur, tous tomberont, mais même en ayant X vserver/vm ça risque d'être pareil donc bon
Marsh Posté le 26-02-2012 à 12:00:40
Sujet intéressant.
Mais à multiplier les instances d'apache / serveurs virtuels (selon la solution), on ne risque pas de limiter les ressources de la machine ?
Marsh Posté le 26-02-2012 à 18:43:14
Avec mpm-itk non
Sinon ça dépends de la conf de chaque instance d'apache, mais surtout du traffic et du type d'appli derrière. J'aurais tendance à penser que pour un serveur gérant des sites d'associations, la charge doit pas être énorme pour un serveur récent.
La solution d'une machine virtuelle par instance, par contre, oui clairement ça rajoute un max d'overhead.
Marsh Posté le 26-02-2012 à 19:24:08
Je suis allé sur le site de mpm-itk. Ça semble simple à mettre en place. Mais si apache plante, il plante pour tous. Non ?
Chaque solution semble avoir ses qualités et ses défauts.
Marsh Posté le 26-02-2012 à 19:44:39
Apache ne plante pas
Mais sinon oui, et si le noyau plante, tout part aussi, forcément
Marsh Posté le 27-02-2012 à 18:09:49
e_esprit a écrit : Apache ne plante pas |
Mais oui mais oui
Sinon il y a nginx sans mpm-itk... mais avec php-fpm (voir ici un script pour tout installer le nécessaire)
Marsh Posté le 16-02-2012 à 11:15:41
Bonjour,
Depuis quelques années, je gère le serveur web (auto-hébergé) d'une association.
C'est du lamp tout ce qu'il y a de plus classique (debian stable, toussa).
Depuis quelques mois, on héberge sur ce même serveur des sites de deux autres assos (vhost)
/mylife /contexte
Là, on a pour projet de mutualiser la plateforme pour une dizaine d'assos locales et je commence un peu à flipper car dans le tas, il y a des joomlas tout pourrÿtes-pas-à-jour qui se font déglinguer régulièrement et des trucs en java qui plantent trop souvent
Ma question, c'est comment faire pour sécuriser et fiabiliser le truc
A savoir :
- Que si un site est plein de failles, ça ne fragilise pas (trop) les autres
- Que si j'ai des vieux sites en java qui me font planter apache, comment faire pour ne pas impacter les autres?
Voilà, je manque totalement de recul sur ce sujet, mais je suppose que les hébergeurs grand public entre autres ont des moyens de fiabiliser leurs serveurs mutualisés.
Des idées sur la question, best-practices, liens, infos utiles, etc.