Discussion :

[Neckara]

Bonjour,

J'ai actuellement :

• un ordinateur fixe (500Go + 2x2To) qui fait office de serveur ;
• 3 noms de domaines (A, B, C) et 3 sous-domaines (d.C e.C f.C).
  B étant une url raccourcit pour A.
• une seule IP fixe.

J'ai aussi 4 utilisations de ce serveur :

• une personnelle (sauvegardes de fichiers, site perso, etc.) dans le domaine C ;
• une pour un projet perso (site du projet, etc.) (domaine A);
• et les autres pour des membres de ma famille (domaine C).

Par contre, je ne sais pas comment organiser le tout en interne.
J'aurais bien aimé mettre des LXC pour bien séparer chaque utilisateurs et chaque services, mais cela me semble être une mauvaise solution :

• au niveau des performances, c'est très dommage d'avoir 4 lighttpd, qui tournent en même temps ;
• comme je n'ai qu'une adresse IP et que je préfère éviter d'associer à chaque utilisateurs des ports différents, cela va être pratiquement impossible de rediriger les paquets vers le bon container.

Après, j'aimerais fournir au minimum les services suivants :

• SFTP ;
• IRC (domaine A);
• Hébergement Web (A, d.C, e.C, f.C) ;
• Git (domaine d.C) avec éventuellement d'autres utilisateurs ;
• SSH
• Mails (réception & envoie)

Le mimimum serait donc de chrooter les utilisateurs via .sshrc et chrooter les processus lighttpd, SFTP et git (?) :

• /chroot/lighttpd ;
• /chroot/SFTP ;
• /chroot/git ;
• /chroot/users/nom_user ;

Donc il me faudra utiliser la commande mount pour que certains dossiers soient partagés entre /chroot/lighttpd et /chroot/users/nom_user.
A partir de là, le chroot, je peux les faire via des LXCs sans problèmes (?).

Par contre, si /chroot/lighttpd (de même pour SFTP ou git) a par exemple une faille, alors tous les sites (ou dossiers utilisateurs ou dépôts git) seront exposés.

Quel serait votre avis sur le sujet ?
Quels conseils pourriez-vous me donner ?

[chrtophe]

Pour moi, si c'est des machines sur le Web, pour des raisons de sécurité, je ferais plutôt de la virtualisation (exemple xen) que de l'isolation (openvz lxc); Le problème étant que tu n'as qu'une ip.

Tu pourrais faire un httpd portail qui rediriges vers par exemple :

www.site1.fr vers ipwan:8080
www.site2.fr vers ipwan:3128
et du NAT avec
ipwan:8080 vers iplan1:80
ipwan:3128 vers iplan2:80

iplan1 et iplan2 étant tes VMs (virtualisation ou isolation)

Avec la virtualisation, en cas de faille, tu as moins de risque qu'avec l'isolation qui est sur le même filesystem.

[Neckara]

Merci pour ta réponse,

Tu pourrais faire un httpd portail qui rediriges vers par exemple :

www.site1.fr vers ipwan:8080
www.site2.fr vers ipwan:3128
et du NAT avec
ipwan:8080 vers iplan1:80
ipwan:3128 vers iplan2:80

iplan1 et iplan2 étant tes VMs (virtualisation ou isolation)

En effet, je n'y avait pas pensé.
En revanche, je doute que cela soit aussi applicable pour le ssh par exemple .

Pour moi, si c'est des machines sur le Web, pour des raisons de sécurité, je ferais plutôt de la virtualisation (exemple xen) que de l'isolation (openvz lxc); Le problème étant que tu n'as qu'une ip.

Avec la virtualisation, en cas de faille, tu as moins de risque qu'avec l'isolation qui est sur le même filesystem.

Le problème, c'est que mon serveur n'est pas une bête de course non plus, faire plusieurs VM et multiplier les processus risque d'être assez gourmand en ressources non?
Pour indications voici le serveur que je possède : http://www.ldlc.com/fiche/PB00099290.html

De plus, je peux vouloir y installer d'autres serveurs (ex. mumble, ...), donc je ne sais pas si lancer des VMs seraient un peu trop lourd ?

[chrtophe]

Ah oui, laisses tomber avec un celeron ...
Le cloisonnement ralentit aussi un peu. Je pense que la machine est inadaptée, après selon le volume de traffic ...

[Neckara]

Ah oui, laisses tomber avec un celeron ...
Le cloisonnement ralentit aussi un peu. Je pense que la machine est inadaptée, après selon le volume de traffic ...

Après, le but c'était d'avoir un petit serveur sans me ruiner .
Après, il me semble que le cloisonnement via LXC est relativement négligeable non?

Après, je ne pense pas qu'il y aura beaucoup de trafic.
Si jamais il y en avait, je pense déporter certains services sur un serveur dédié OVH (pour entre haute avec une "haute disponibilité" et éviter d'avoir les sites indisponibles par jours d'orages ).

Au pire dans 1 ans, je pourrais peut-être tenter de changer le CPU ou de rajouter de la RAM, mais ce n'est pas une priorité et j'ai d'autres choses à acheter avant .
Puis bon, plutôt attendre de voir si cela aura du succès ou non avant de continuer les dépenses.

[chrtophe]

A la rigueur, gères les mails chez ovh, ce sera un gros prob en moins.

J'ai fait qq essais avec openvz, j'ai constaté qq latences, mais je n'ai pas assez poussé pour pouvoir juger réellement, quand à lxc, j'ai pas testé.

[Neckara]

Il ne me semble pas que j'ai des boîtes mails juste en ayant un nom de domaine, sinon, il faudra attendre que le serveur ai un peu de succès pour prendre un hébergement chez ovh.

[chrtophe]

Effectivement, par contre tu peux faire de la redirection sur des boites existantes (ex:gmail)

[Neckara]

Il me semble bien que c'est possible.

Je procéderais peut-être de la sorte pour commencer.

[Neckara]

Je suis en train de configurer mon serveur dans une machine virtuelle.
J'essaye de créer un container pour tester mais cela prend un peu de temps...


J'essaye de regarder comment je peux, à la connexion ssh, rediriger mes utilisateurs vers leur LXC.
Je peux dans le /etc/ssh/sshrc mettre lxc-console -n $USER, mais non seulement l'utilisateur doit s'authentifier deux fois, mais en plus, s'il quitte le container, il sera sur sa session "normale".

Il est aussi possible de mettre la commande dans /etc/passwd, mais l'utilisateur devra toujours ressaisir ses identifiants et mots de passes
EDIT : je pense avec trouvé quelque chose pour une connexion automatique, bon c'est pas génial, mais dans un container, je ne pense pas que ce soit aussi problématique que cela (?).

Il me semble qu'on peut sortir via des processus root d'un container, mais qu'il est possible d'empêcher cela en fixant certains droits, faut que je regarde de plus près.

[Neckara]

Bon, lxc-console ne m'affiche rien, je ne sais pas pourquoi .
Il faut aussi que je trouve comment autoriser mes utilisateurs à lancer un lxc-console et comment rediriger mes utilisateurs vers le conteneur à la connexion .

[Neckara]

Au moins, j'arrive à me connecter en ssh sur les container lxc.

Je pense que je ne vais pas, par défaut, donner des accès ssh à mes utilisateurs, ainsi, je n'aurais pas non plus besoin de leur donner un container privé.
Après tout, un sftp devrait largement leur suffire.

Donc je pense partir vers une configuration avec un container par services :

• SFTP, le plus sensible à mon avis, s'il y a une faille on pourra accéder à tous les fichiers
  Mais je vais le restreindre à ma famille, si j'ai besoin d'un SFTP pour mon projet perso, je pense que je recréerais un autre container.
  Je ne sais pas si c'est inutile, mais cela me semble plus sûr de la sorte.
• IRC/Mumble, pas la peine de créer 2 containers distincts je pense ;
• Hébergement Web, avec des mount pour monter des fichiers user/www du SFTP, ceci ne devrais pas être trop "sensible" ;
• Git ;

Après, il va aussi falloir que je regarde comment faire des sauvegarde automatique du système .

[chrtophe]

Oui, un container par service me parait être ce qu'il faut faire.

Avec Openvz, les contenus des "serveurs" cloisonnés se trouvaient dans un sous-dossier au niveau du filesystem hôte. Et je me demande si il n'y avait pas une commande pour les sauvegardes à chaud. Pour lxc, c'est probablement la même chose.

Pour sauvegarder, si tu mets tout ton système dans un LVM, tu peux faire une sauvegarde à chaud via les clichés.

Chez OVH, pour les redirectons de mails, c'est sûr, je le fais régulièrement, tu ne n'auras pas de comptes pops avec l'offre de base, ni d'auto-répondeur. Tu auras peut-être besoin de monter un postfix si ton serveur a besoin d'envoyer des mails. Pareil, mets-le dans un conteneur tout seul.

[Neckara]

Je vois, il me faudra donc reformater mon système de fichier .

Par contre les adresses IP de mes containers ne sont pas toujours celles que j'ai indiqué dans le fichier de configuration du container, c'est assez dérangeant. Je ne comprend aussi toujours pas pourquoi le lxc-console n'affiche rien .

Là j'ai rapidement installer lighttpd et configuré ssh sur le port 21 (pour le sftp).
Faudra que je regarde comment empêcher le ssh mais autoriser le sftp