Discussion :

[guigui69]

Bonjour à tous,


Au sein de mon entreprise nous disposons actuellement d'un serveur web nous servant pour 3-4 applications web que j'ai développé. (gestion prix de revient, logiciel réclamation, rupture, ged).

nous voudrions rajouter un extranet pour une société à nous.

Je voudrait savoir si il y est risqué de mettre sur le même serveur la partie intranet et la partie extranet?

Et comment bien le configurer?



Notre environnement actuel:

- Serveur sous Debian lenny (apache2, mysql,php, ftp)
- On accède au site intranet en tapant (http://intranet)
- J'ai configurer notre DNS local avec l'alias intranet vers IP du serveur web.

Dans le cas de l'ajout de l'extranet, nous allons faire l'acquisition d'un serveur.

Comment configurer le serveur pour mettre en place la partie intranet et extranet.

Dit moi si la démarche suivante est la bonne:


1- Mise en place de deux répertoire distinct.

Avec ca est-il préférable que je créer deux utilisateurs linux (ex:intranet et extranet), puis que je face pointer apache sur chaque compte utilisateur.

Ou bien je reste par defaut avec /www d'apache et je sépare en deux parties.



2- Mise en place d'un accès mysql pour chaque partie.

Je met en place sur mysql un compte extranet et intranet et il n'auront accès qu'a leur partie respective.

3- Configuration du ftp pour chaque site.

4- Configure les virtuel host

C'est dans le fichier virtuel host que je configure sur quel site l'utilisateur doit arriver en fonction de l'adresse web taper dans le navigateur.
(http://julien-pauli.developpez.com/t...apache/vhosts/)
Est-ce je compris?

5- Configuration du dns extérieur:


l'adresse extérieur serait la suivant:
http://extranet.masociete.com

Je devrait donc indiquer la société qui gere notre nom de domaine notre adresse IP fixe et router les ports du routeur vers le serveur web interne.

Ma démarche vous parait-elle correcte?

Guigui69

[_Mac_]

Comprends pas tout : vous allez utiliser 2 machines mais tout faire tourner sur le même Apache, donc la même machine. Quel est l'intérêt de cette seconde machine ?

Par principe, je n'aime pas l'idée de faire tourner un intranet (par définition accessible depuis le réseau local seulement) et un extranet (par définition accessible depuis Internet) sur la même machine tout simplement par ce que la machine est accessible depuis le net et peut potentiellement exposer ainsi des données critiques. Si on est obligé de faire ça, il faut blinder au maximum la sécurité sur le serveur. A minima avec un serveur intermédiaire en DMZ pour ne pas que le serveur qui contient les données (extranet ou intranet) soit accessible en direct depuis le net. Il faut donc au moins 2 pare-feux :

Internet ==> Pare-feu ==> intermédiaire en DMZ ==> Pare-feu ==> serveur final

De par cette structure, le serveur final étant en zone privée, il peut ensuite être accessible en direct depuis l'intranet (même si idéalement il faut également une DMZ en interne pour renforcer au maximum la sécurité). Ne pas avoir cette architecture c'est prendre des risques, même si on se dit que l'accès Internet c'est que pour de l'extranet connu que d'une population restreinte : c'est se cacher derrière son petit doigt que de croire que le fait qu'un site ne soit pas connu va de facto limiter les tentatives de piratages.

[guigui69]

Pardon je me suis peut etre mal exprimée.

Actuellement nous avons un intranet sur un PC-serveur (debian).

Dans mon entreprise nous allons avoir besoin d'un extranet, pour cela nous allons acquérir un serveur.

Et je voulait savoir, si d'un point de vue sécurité nous pouvions mettre intranet et extranet sur le même serveur en mettant en place des vhost( il y aurait plus qu'un seul serveur).


A travers ta réponse, je vais mettre en place sur ce serveur uniquement la partie extranet rendant accessible uniquement le port80 depuis internet (utilisation: 10 personnes maximun et non simultanée).
Le schéma que tu as décrit est celui que je voudrait mettre en place, mais d'un point de vue coût c'est impossible pour mon entreprise.

[_Mac_]

Je suis d'accord que l'archi idéale a un coût. Je dis juste que cette configuration est idéale car il y a une séparation physique des sites, donc tu limites beaucoup les risques (mais tu ne les annules pas).

Mais clairement tu peux faire tourner les 2 sites sur la même machine et le même serveur Apache. Techniquement, les virtual hosts vont aider à la configuration et à la sécurité, mais il va surtout falloir faire attention à plusieurs choses :

• Autant que possible, activez des ports > 1024 dans Apache (et donc faire du port forwarding au niveau des routeurs) de manière à ce qu'Apache ne soit pas démarré avec l'utilisateur root. Comme ça, au niveau OS, c'est un utilisateur banalisé et dédié qui lance et exécute Apache.
• Dans vos VH, configurer des document root distincts pour chaque site (intranet et extranet) n'étant surtout pas de simples sous-répertoires du document root par défaut. L'idée est de définir dans chaque VH un DocumentRoot qui est configuré par un <Directory> :
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14
  15
  # VH extranet
  <VirtualHost ...>
      DocumentRoot /titi/toto
      <Directory /titi/toto>
          ...
      </Directory>
  </VirtualHost>
   
  # VH intranet
  <VirtualHost ...>
      DocumentRoot /tata/tutu
      <Directory /tata/tutu>
          ...
      </Directory>
  </VirtualHost>

  J'insiste : /titi/toto et /tata/tutu ne sont pas des sous-répertoires du document root par défaut. Pourquoi ? Parce qu'il y a toujours moyen d'accéder au document root par défaut d'Apache (par exemple en faisant simplement http://IP_su_serveur/ si vous configurez des VH nommés), et dans ce cas, l'intranet et l'extranet sont directement accessibles en tant que sous-répertoire de ce document root par défaut (http://IP_du_serveur/intranet/ par exemple).
• Si possible, ayez deux cartes réseau sur le serveur : une carte qui sert pour les accès depuis Internet, donc l'extranet, et une qui ne sert que pour les accès internes, donc l'intranet. Ensuite, vous faites du VH par IP (et pas nommé), comme ça on ne peut accéder à l'intranet que depuis le réseau interne et l'extranet depuis le réseau Internet.
• Bien sûr, faire attention au code de l'appli extranet pour faire en sorte au maximum qu'on ne puisse pas utiliser cette appli pour aller lire ou écrire des fichiers en dehors du document root attribué à cette appli. Mais c'est une recommandation de sécurité générale non liée à l'hébergement d'un intranet et d'un extranet sur le même serveur.
• Si possible, voyez s'il est possible d'utiliser un module du type suexec ou suphp (mais cela a des contraintes) pour renforcer ce dernier point : à chaque site (intranet et extranet) est associé un utilisateur qui est le seul propriétaire du document root de l'application et donc le seul à pouvoir exécuter et lire les fichiers de ce répertoire.

[guigui69]

Merci pour ton aide.

J'attend la machine (pas encore commandé).

je bosse sur mes pages intranet et j'aurai besoin d'un conseil.

Le site sera diviser en 2 partie: la partie admin et la partie client.

A travers ces 2 parties il y aura des document (word excel pdf) ajouter par les admin et utiliser par les clients.

Comment placer cette espace de fichier accessible au 2 parties?

Merci

guigui69

[_Mac_]

La plus simple, je pense, c'est de placer ces fichiers dans un répertoire en dehors du document root des deux sites (notons-le /toto) et de déclarer un alias sur ce répertoire dans les deux sites pour le rendre accessible :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Alias /mesdocs "/toto"

comme ça, dans le(s) site(s) où tu as mis l'alias, http://site.com/mesdocs renverra sur le répertoire où se trouvent les documents.