Discussion :

[Neckara]

Bonjour,

J'ai actuellement :

• un ordinateur fixe (500Go + 2x2To) qui fait office de serveur ;
• 3 noms de domaines (A, B, C) et 3 sous-domaines (d.C e.C f.C).
  B étant une url raccourcit pour A.
• une seule IP fixe.

J'ai aussi 4 utilisations de ce serveur :

• une personnelle (sauvegardes de fichiers, site perso, etc.) dans le domaine C ;
• une pour un projet perso (site du projet, etc.) (domaine A);
• et les autres pour des membres de ma famille (domaine C).

Par contre, je ne sais pas comment organiser le tout en interne.
J'aurais bien aimé mettre des LXC pour bien séparer chaque utilisateurs et chaque services, mais cela me semble être une mauvaise solution :

• au niveau des performances, c'est très dommage d'avoir 4 lighttpd, qui tournent en même temps ;
• comme je n'ai qu'une adresse IP et que je préfère éviter d'associer à chaque utilisateurs des ports différents, cela va être pratiquement impossible de rediriger les paquets vers le bon container.

Après, j'aimerais fournir au minimum les services suivants :

• SFTP ;
• IRC (domaine A);
• Hébergement Web (A, d.C, e.C, f.C) ;
• Git (domaine d.C) avec éventuellement d'autres utilisateurs ;
• SSH
• Mails (réception & envoie)

Le mimimum serait donc de chrooter les utilisateurs via .sshrc et chrooter les processus lighttpd, SFTP et git (?) :

• /chroot/lighttpd ;
• /chroot/SFTP ;
• /chroot/git ;
• /chroot/users/nom_user ;

Donc il me faudra utiliser la commande mount pour que certains dossiers soient partagés entre /chroot/lighttpd et /chroot/users/nom_user.
A partir de là, le chroot, je peux les faire via des LXCs sans problèmes (?).

Par contre, si /chroot/lighttpd (de même pour SFTP ou git) a par exemple une faille, alors tous les sites (ou dossiers utilisateurs ou dépôts git) seront exposés.

Quel serait votre avis sur le sujet ?
Quels conseils pourriez-vous me donner ?

[Christophe]

Pour moi, si c'est des machines sur le Web, pour des raisons de sécurité, je ferais plutôt de la virtualisation (exemple xen) que de l'isolation (openvz lxc); Le problème étant que tu n'as qu'une ip.

Tu pourrais faire un httpd portail qui rediriges vers par exemple :

www.site1.fr vers ipwan:8080
www.site2.fr vers ipwan:3128
et du NAT avec
ipwan:8080 vers iplan1:80
ipwan:3128 vers iplan2:80

iplan1 et iplan2 étant tes VMs (virtualisation ou isolation)

Avec la virtualisation, en cas de faille, tu as moins de risque qu'avec l'isolation qui est sur le même filesystem.

[Neckara]

Merci pour ta réponse,

Tu pourrais faire un httpd portail qui rediriges vers par exemple :

www.site1.fr vers ipwan:8080
www.site2.fr vers ipwan:3128
et du NAT avec
ipwan:8080 vers iplan1:80
ipwan:3128 vers iplan2:80

iplan1 et iplan2 étant tes VMs (virtualisation ou isolation)

En effet, je n'y avait pas pensé.
En revanche, je doute que cela soit aussi applicable pour le ssh par exemple .

Pour moi, si c'est des machines sur le Web, pour des raisons de sécurité, je ferais plutôt de la virtualisation (exemple xen) que de l'isolation (openvz lxc); Le problème étant que tu n'as qu'une ip.

Avec la virtualisation, en cas de faille, tu as moins de risque qu'avec l'isolation qui est sur le même filesystem.

Le problème, c'est que mon serveur n'est pas une bête de course non plus, faire plusieurs VM et multiplier les processus risque d'être assez gourmand en ressources non?
Pour indications voici le serveur que je possède : http://www.ldlc.com/fiche/PB00099290.html

De plus, je peux vouloir y installer d'autres serveurs (ex. mumble, ...), donc je ne sais pas si lancer des VMs seraient un peu trop lourd ?

[Christophe]

Ah oui, laisses tomber avec un celeron ...
Le cloisonnement ralentit aussi un peu. Je pense que la machine est inadaptée, après selon le volume de traffic ...

[Neckara]

Ah oui, laisses tomber avec un celeron ...
Le cloisonnement ralentit aussi un peu. Je pense que la machine est inadaptée, après selon le volume de traffic ...

Après, le but c'était d'avoir un petit serveur sans me ruiner .
Après, il me semble que le cloisonnement via LXC est relativement négligeable non?

Après, je ne pense pas qu'il y aura beaucoup de trafic.
Si jamais il y en avait, je pense déporter certains services sur un serveur dédié OVH (pour entre haute avec une "haute disponibilité" et éviter d'avoir les sites indisponibles par jours d'orages ).

Au pire dans 1 ans, je pourrais peut-être tenter de changer le CPU ou de rajouter de la RAM, mais ce n'est pas une priorité et j'ai d'autres choses à acheter avant .
Puis bon, plutôt attendre de voir si cela aura du succès ou non avant de continuer les dépenses.

[Christophe]

A la rigueur, gères les mails chez ovh, ce sera un gros prob en moins.

J'ai fait qq essais avec openvz, j'ai constaté qq latences, mais je n'ai pas assez poussé pour pouvoir juger réellement, quand à lxc, j'ai pas testé.