Concevoir un serveur web mutualisé (sécurisé)

Concevoir un serveur web mutualisé (sécurisé) - Logiciels - Linux et OS Alternatifs

Marsh Posté le 16-02-2012 à 11:15:41    

Bonjour,
 
Depuis quelques années, je gère le serveur web (auto-hébergé) d'une association.  
 
C'est du lamp tout ce qu'il y a de plus classique (debian stable, toussa).
 
Depuis quelques mois, on héberge sur ce même serveur des sites de deux autres assos (vhost)
/mylife /contexte
 
Là, on a pour projet de mutualiser la plateforme pour une dizaine d'assos locales et je commence un peu à flipper car dans le tas, il y a des joomlas tout pourrÿtes-pas-à-jour qui se font déglinguer régulièrement et des trucs en java qui plantent trop souvent   :cry:  
 
Ma question, c'est comment faire pour sécuriser et fiabiliser le truc  :??:  
 
A savoir :
 
- Que si un site est plein de failles, ça ne fragilise pas (trop) les autres
- Que si j'ai des vieux sites en java qui me font planter apache, comment faire pour ne pas impacter les autres?
 
Voilà, je manque totalement de recul sur ce sujet, mais je suppose que les hébergeurs grand public entre autres ont des moyens de fiabiliser leurs serveurs mutualisés.  
 
Des idées sur la question, best-practices, liens, infos utiles, etc.  :jap:  :hello:

Reply

Marsh Posté le 16-02-2012 à 11:15:41   

Reply

Marsh Posté le 16-02-2012 à 13:03:29    

Tu peux regarder vers OpenVZ par exemple
 
http://www.webhostingskills.com/ar [...] _to_part_1
 
d'autres infos
http://en.wikipedia.org/wiki/Opera [...] mentations


Message édité par agentsteel le 16-02-2012 à 13:19:27

---------------
http://agentoss.wordpress.com/
Reply

Marsh Posté le 17-02-2012 à 09:19:29    

Merci pour ces liens :jap:
 
Cela dit, ça me semble plus pour faire des vps que du mutualisé non?
 
Ou alors avec plusieurs apache qui tournent?

Reply

Marsh Posté le 17-02-2012 à 12:34:38    

Hmm, je dirais plutôt ISPConfig (officiel ici) ou un équivalent du même genre.
Si tu n'as pas peur des bugs, il y a notamment DTC, si tu as des sous, Plesk. Si tu veux de l'austère et simple, Virtualmin.
Tu pourras en trouver quelques un ici, mais ISPConfig reste le meilleur panel d'administration.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 17-02-2012 à 12:39:07    

Oui en effet c'est plus adapté pour du mutualisé.
 
Plein de tutos avec ISPConfig sur howtoforge.com


---------------
http://agentoss.wordpress.com/
Reply

Marsh Posté le 17-02-2012 à 14:52:05    

Merci, mais je ne cherche pas un panel (je m'en sors très bien sans), mais plutôt la "bonne méthode" (ou les bons outils) pour gérer proprement un serveur web mutualisé.

 

Actuellement mon apache est chrooté ce qui protège un peu mon système, mais je voudrais renforcer le cloisonnement des sites entre eux.

 

La question c'est comment font les gens qui font du mutualisé à tout va (genre ovh, page perso free ou autre) pour éviter qu'un site mal fait en fasse tomber 15 autres?


Message édité par drouide le 17-02-2012 à 14:52:38
Reply

Marsh Posté le 17-02-2012 à 16:33:57    

Virtualisation avec kvm ou Xen.
Une Vm par site avec leur apache, mysql joomla, java-qui-pue, ce-que-tu-veux.
Ainsi si un site se fait hacker il n'impactera pas les autres. Idem si il plante.


---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.
Reply

Marsh Posté le 17-02-2012 à 16:54:06    

J'y ai bien pensé, mais ça fait un peu overkill (et je vais pas avoir assez d'ip publiques pour tout le monde :o)
 
Le but, c'est de blinder autant que possible une plateforme mutualisée existante (le serveur en question est déjà une vm  :ange: )

Reply

Marsh Posté le 17-02-2012 à 17:04:26    

Sous linux tu as les Vservers pour faire de l'isolation.


---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.
Reply

Marsh Posté le 17-02-2012 à 17:54:28    

Sinon tu proposes un environnement "fixe", avec une recréation de répertoire par script. Pas de java, pas de joomla version maison mais uniquement ta version à toi qui fonctionne, pas de CGI.
Et derrière pour toi, un panel.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 17-02-2012 à 17:54:28   

Reply

Marsh Posté le 19-02-2012 à 09:31:44    

drouide a écrit :

J'y ai bien pensé, mais ça fait un peu overkill (et je vais pas avoir assez d'ip publiques pour tout le monde :o)
 
Le but, c'est de blinder autant que possible une plateforme mutualisée existante (le serveur en question est déjà une vm  :ange: )


tu mets une VM avec nginx en tant que loadbalancer en frontal, en fonction du domaine demandé [:whatde]

Reply

Marsh Posté le 19-02-2012 à 10:35:09    

des jail mais c'est du solaris me semble

Reply

Marsh Posté le 19-02-2012 à 13:39:21    

gizmo15 a écrit :

des jail mais c'est du solaris me semble


Vserver sous linux :o


---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.
Reply

Marsh Posté le 19-02-2012 à 14:03:48    

j'ai vu ta réponse merci... je donne juste un autre moyen

Reply

Marsh Posté le 19-02-2012 à 15:06:16    

Il est sous linux donc lui proposer un truc sous BSD/Solaris... Surtout que les jails sont l'équivalent des Vservers. D'où mon :o
C'était pas agressif ;)


---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.
Reply

Marsh Posté le 20-02-2012 à 10:06:40    

merci, je regarde tout ça :jap:

Reply

Marsh Posté le 25-02-2012 à 11:01:48    

grsec ou autre (selinux, appmarmor...)


---------------
Blog photo/récits activités en montagne http://planetcaravan.net
Reply

Marsh Posté le 25-02-2012 à 15:04:45    

mod-mpm-itk d'apache2 + un user/group par vhost :jap:
Pour la base MySQL, un user/pass par base bien sûr.
 
Ca devrait suffir à isoler en cas de pb.
 
Tu peux aussi placer des restrictions pour le php sur chaque vhost, pour qu'il ne puisse accéder qu'à certains répertoires, mais bon, si les droits unix sont corrects sur le FS pour chaque vhost (uid/gid du vhost, pas d'accès pour other), ça devrait être superflu.
 
Bien sûr si tu te prends un DoS sur un serveur, tous tomberont, mais même en ayant X vserver/vm ça risque d'être pareil donc bon :o


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 26-02-2012 à 12:00:40    

Sujet intéressant.
 
Mais à multiplier les instances d'apache / serveurs virtuels (selon la solution), on ne risque pas de limiter les ressources de la machine ?

Reply

Marsh Posté le 26-02-2012 à 18:43:14    

Avec mpm-itk non [:cerveau dr]
 
Sinon ça dépends de la conf de chaque instance d'apache, mais surtout du traffic et du type d'appli derrière. J'aurais tendance à penser que pour un serveur gérant des sites d'associations, la charge doit pas être énorme pour un serveur récent.
 
La solution d'une machine virtuelle par instance, par contre, oui clairement ça rajoute un max d'overhead.


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 26-02-2012 à 19:24:08    

Je suis allé sur le site de mpm-itk. Ça semble simple à mettre en place. Mais si apache plante, il plante pour tous. Non ?
 
Chaque solution semble avoir ses qualités et ses défauts.

Reply

Marsh Posté le 26-02-2012 à 19:44:39    

Apache ne plante pas [:cloud_]  
 
Mais sinon oui, et si le noyau plante, tout part aussi, forcément :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 26-02-2012 à 19:48:17    

Forcément :D

Reply

Marsh Posté le 27-02-2012 à 18:09:49    

e_esprit a écrit :

Apache ne plante pas [:cloud_]


Mais oui mais oui [:mom boucher]  
 
Sinon il y a nginx sans mpm-itk... mais avec php-fpm :D (voir ici un script pour tout installer le nécessaire)


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed