Comment "isoler" un site web

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour !

J'ai en stock plusieurs sites web que je ne maintiens plus mais que j'aimerais pouvoir mettre en ligne. Pour protéger mon serveur d'éventuelles attaques, je souhaitais savoir si vous connaissiez un outil ou une méthode pour isoler chacun de ces sites du reste du serveur. Chacun aurait sa propre BDD qui pourrait être polluée sans risque, et si un site est hacké seul le site en lui-même pourrait être mis HS mais pas le reste du serveur.

J'imagine que la solution serait de passer par des machines virtuelles, mais je voulais une confirmation ou peut-être que vous connaissez quelque chose de plus adapté (docker ?) ?

Merci :)

+0 -0
Staff

règle d'or:

un site = un utilisateur sql avec uniquement les droits INSERT/SELECT/UPDATE sur la bdd du site un site = un directory, utilisateur www-data:www-data, pas d'accès root toujours interdire de lister les dossiers

Tu peux bien sûr passer par des machines virtuelles ou des distributions chrootées mais ça peut vite devenir lourd si ton serveur n'a pas beaucoup de ressources.

+1 -0
Staff

Salut !

Je ne suis pas expert, mais je crois qu'effectivement docker est une solution plausible.

La virtualisation (Xen) serait une autre bonne solution, probablement plus sûre en matière de sécurité que docker.

A+

Je parle de JavaScript et d'autres trucs sur mon blog : https://draft.li/blog

+0 -0

Les LXC permettent de faire ce genre de choses, normallement. Niveau sécurité, c'est intéressant parce que tu peux gérer les droits de chaque conteneur. Ça ne protège pas de tout, notamment si vulnérabilité noyau (mais en même temps, t'es mal dans tous les cas avec ça), et ça demande un peu d'expérience pour régler correctement, cela dit.

PS : les gens commence de plus en plus à douter de l'utilité de Xen, du point de vue de la sécurité.

Édité par lethom

J'avoue ne pas avoir de références sous la main. D'auilleurs, le « les gens » était un peu présomptueux, il s'agit surtout de retours de collègues (mais ils semblaient dire que c'était un sentiment assez général).

Le nombre de CVE en rapport avec Xen reste assez important en tout cas (http://xenbits.xen.org/xsa/)1.


  1. On est d'accord qu'un projet sans CVE, ça n'existe pas. 

Auteur du sujet

Merci pour toutes vos réponses :)

artragis : oui, c'est bien évidemment la solution que j'utilise de base, mais il reste facile de compromettre l'ensemble des sites web si un site est hacké.

Je ne connaissais pas LXC, on dirait un genre de Docker. Il y a vraiment un avantage à utiliser LXC plutôt que Docker ? Car je pense que j'aurai moins de mal à me former à Docker qu'à LXC.

EDIT2 : Docker semble être structuré de la même manière que LXC niveau sécurité https://docs.docker.com/articles/security/

EDIT : niveau performances, je suis sur du i3 (utilisé déjà à 20% en moyenne) / 3Go de RAM restant sur 8.

Édité par quentinus95

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte