Comment "isoler" un site web

Bonjour !

J'ai en stock plusieurs sites web que je ne maintiens plus mais que j'aimerais pouvoir mettre en ligne. Pour protéger mon serveur d'éventuelles attaques, je souhaitais savoir si vous connaissiez un outil ou une méthode pour isoler chacun de ces sites du reste du serveur. Chacun aurait sa propre BDD qui pourrait être polluée sans risque, et si un site est hacké seul le site en lui-même pourrait être mis HS mais pas le reste du serveur.

J'imagine que la solution serait de passer par des machines virtuelles, mais je voulais une confirmation ou peut-être que vous connaissez quelque chose de plus adapté (docker ?) ?

Merci

règle d'or:

un site = un utilisateur sql avec uniquement les droits INSERT/SELECT/UPDATE sur la bdd du site un site = un directory, utilisateur www-data:www-data, pas d'accès root toujours interdire de lister les dossiers

Tu peux bien sûr passer par des machines virtuelles ou des distributions chrootées mais ça peut vite devenir lourd si ton serveur n'a pas beaucoup de ressources.

Salut !

Je ne suis pas expert, mais je crois qu'effectivement docker est une solution plausible.

La virtualisation (Xen) serait une autre bonne solution, probablement plus sûre en matière de sécurité que docker.

A+

Les LXC permettent de faire ce genre de choses, normallement. Niveau sécurité, c'est intéressant parce que tu peux gérer les droits de chaque conteneur. Ça ne protège pas de tout, notamment si vulnérabilité noyau (mais en même temps, t'es mal dans tous les cas avec ça), et ça demande un peu d'expérience pour régler correctement, cela dit.

PS : les gens commence de plus en plus à douter de l'utilité de Xen, du point de vue de la sécurité.

PS : les gens commence de plus en plus à douter de l'utilité de Xen, du point de vue de la sécurité. [Référence souhaitée]

J'avoue ne pas avoir de références sous la main. D'auilleurs, le « les gens » était un peu présomptueux, il s'agit surtout de retours de collègues (mais ils semblaient dire que c'était un sentiment assez général).

Le nombre de CVE en rapport avec Xen reste assez important en tout cas (http://xenbits.xen.org/xsa/)¹.

Merci pour toutes vos réponses

artragis : oui, c'est bien évidemment la solution que j'utilise de base, mais il reste facile de compromettre l'ensemble des sites web si un site est hacké.

Je ne connaissais pas LXC, on dirait un genre de Docker. Il y a vraiment un avantage à utiliser LXC plutôt que Docker ? Car je pense que j'aurai moins de mal à me former à Docker qu'à LXC.

EDIT2 : Docker semble être structuré de la même manière que LXC niveau sécurité https://docs.docker.com/articles/security/

EDIT : niveau performances, je suis sur du i3 (utilisé déjà à 20% en moyenne) / 3Go de RAM restant sur 8.

Bonjour,

Tu as les environnements FreeBSD avec leurs "jails" qui sont bien pour ce genre de cas.

Mais faut vouloir/pouvoir/savoir le faire.

Cordialement