Re: 2 instances + chroot pour apache2
mouss wrote: mess-mate wrote: François TOURDE wrote: Le 13972ième jour après Epoch, [EMAIL PROTECTED] écrivait: François TOURDE wrote: Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: [...] Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2 C'est que je vois pas trop la différence et quoi faire exactement entre lancer 2 instances et chrooter. Ah ben c'est pas dur: Ça n'a rien à voir :) Le principe du chroot, c'est de lancer un processus dans une prison qui recopie tout ou partie de l'env. de production, de façon à ce qu'une faille dans le processus ne permette pas de manipuler l'env. de prod. Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux versions différentes, par exemple, ou deux versions reposant sur des env. différents. Le souci que tu peux avoir, c'est que apache va par défaut écouter sur le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule fois :) Si tu veux chrooter + lancer 2 instances de apache sur le même port, alors il te faut 3 instances de apache. - La première qui va écouter sur le port 80, et servir de proxy aux deux autres (selon le nom de domaine par exemple). Cette version peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est pas forcément nécessaire. C'est juste mieux. - Les deux autres, sur un port quelconque (connu de la première instance), différent de 80, et qui pourront être chrootées pour être isolées du système, et aussi l'une de l'autre. Voilà, en espérant avoir été assez clair, et pas avoir dit trop de conneries. Merci, c'est moi qui n'a pas été assez clair. Dans mon /var/www il y a tout ce que j'utilise en interne + le site web pour l'extérieur poert 80. C'est là où ça coince; je voudrais donc isoler ce site web tout simplement sinon tout est visible :( Directory /var/www/interne Options Indexes FollowSymLinks AllowOverride None Order deny,allow # authoriser un subnet Allow from 192.168.1 # authoriser une machine Allow from 192.0.2.34 # pour les autres, que nenni Deny from all /Directory et tu mets tous les trucs internes sous /var/www/interne/ Merci, mais le problème c'est que quand tu tape l'ip externe tu te retrouve dans le /var/www ! Et c'est ça le problème. -- mess-mate Price Wang's programmer was coding software. His fingers danced upon the keyboard. The program compiled without an error message, and the program ran like a gentle wind. Excellent! the Price exclaimed, Your technique is faultless! Technique? said the programmer, turning from his terminal, What I follow is the Tao -- beyond all technique. When I first began to program I would see before me the whole program in one mass. After three years I no longer saw this mass. Instead, I used subroutines. But now I see nothing. My whole being exists in a formless void. My senses are idle. My spirit, free to work without a plan, follows its own instinct. In short, my program writes itself. True, sometimes there are difficult problems. I see them coming, I slow down, I watch silently. Then I change a single line of code and the difficulties vanish like puffs of idle smoke. I then compile the program. I sit still and let the joy of the work fill my being. I close my eyes for a moment and then log off. Price Wang said, Would that all of my programmers were as wise! -- Geoffrey James, The Tao of Programming -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 mess-mate a écrit : [...] Merci, mais le problème c'est que quand tu tape l'ip externe tu te retrouve dans le /var/www ! Et c'est ça le problème. Tu peux créer un virualhost par défaut qui renvoie vers le site que tu veux accessible de l'extérieur (j'ai l'impression qu'apache prête une importance au nom du fichier pour « ordonner » les priorités, c'est pourquoi je te propose de l'appeler « 00 »), puis gérer ensuite tes accès internes. Tu peux probablement aussi modifier le virtualhost qui te renvoie par défaut sur /var/www/, c'est à dire probablement /etc/apache2/sites-enabled/default si je ne m'abuse (et ce sont des liens, cf. man a2ensite). - ---%-- cat /etc/apache2/sites-enabled/00 NameVirtualHost * VirtualHost * DocumentRoot /var/www/lerepertoiredetonsite /VirtualHost - ---%-- Amicalement David -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFH+TGu18/WetbTC/oRAtSEAKCci6b1fbxQecyMs+ySSa3wvqQxIQCfVFvB mQrNcegZu9MdFdhlb+67jDo= =UfHp -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
François TOURDE wrote: Le 13972ième jour après Epoch, [EMAIL PROTECTED] écrivait: François TOURDE wrote: Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: [...] Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2 C'est que je vois pas trop la différence et quoi faire exactement entre lancer 2 instances et chrooter. Ah ben c'est pas dur: Ça n'a rien à voir :) Le principe du chroot, c'est de lancer un processus dans une prison qui recopie tout ou partie de l'env. de production, de façon à ce qu'une faille dans le processus ne permette pas de manipuler l'env. de prod. Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux versions différentes, par exemple, ou deux versions reposant sur des env. différents. Le souci que tu peux avoir, c'est que apache va par défaut écouter sur le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule fois :) Si tu veux chrooter + lancer 2 instances de apache sur le même port, alors il te faut 3 instances de apache. - La première qui va écouter sur le port 80, et servir de proxy aux deux autres (selon le nom de domaine par exemple). Cette version peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est pas forcément nécessaire. C'est juste mieux. - Les deux autres, sur un port quelconque (connu de la première instance), différent de 80, et qui pourront être chrootées pour être isolées du système, et aussi l'une de l'autre. Voilà, en espérant avoir été assez clair, et pas avoir dit trop de conneries. Merci, c'est moi qui n'a pas été assez clair. Dans mon /var/www il y a tout ce que j'utilise en interne + le site web pour l'extérieur poert 80. C'est là où ça coince; je voudrais donc isoler ce site web tout simplement sinon tout est visible :( cordialement -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 mess-mate a écrit : Dans mon /var/www il y a tout ce que j'utilise en interne + le site web pour l'extérieur poert 80. C'est là où ça coince; je voudrais donc isoler ce site web tout simplement sinon tout est visible :( Et faire un virtualhost qui renvoie par défaut uniquement vers ton site web, ce n'est pas suffisant ? Après, ajouter un virtualhost que tu ne peux atteindre que du réseau interne (à l'aide du nom de ta machine) qui arrive dans /var/www/ te permettra de conserver les mêmes fonctionnalités. Amicalement David -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFH98MT18/WetbTC/oRAjQ3AJ9GHDAqI/tuH7rhPny9xyVGYB89lwCbB3h7 PCY9uRZfh7KMg8Fcw6QpSvk= =RcRD -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
mess-mate wrote: François TOURDE wrote: Le 13972ième jour après Epoch, [EMAIL PROTECTED] écrivait: François TOURDE wrote: Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: [...] Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2 C'est que je vois pas trop la différence et quoi faire exactement entre lancer 2 instances et chrooter. Ah ben c'est pas dur: Ça n'a rien à voir :) Le principe du chroot, c'est de lancer un processus dans une prison qui recopie tout ou partie de l'env. de production, de façon à ce qu'une faille dans le processus ne permette pas de manipuler l'env. de prod. Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux versions différentes, par exemple, ou deux versions reposant sur des env. différents. Le souci que tu peux avoir, c'est que apache va par défaut écouter sur le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule fois :) Si tu veux chrooter + lancer 2 instances de apache sur le même port, alors il te faut 3 instances de apache. - La première qui va écouter sur le port 80, et servir de proxy aux deux autres (selon le nom de domaine par exemple). Cette version peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est pas forcément nécessaire. C'est juste mieux. - Les deux autres, sur un port quelconque (connu de la première instance), différent de 80, et qui pourront être chrootées pour être isolées du système, et aussi l'une de l'autre. Voilà, en espérant avoir été assez clair, et pas avoir dit trop de conneries. Merci, c'est moi qui n'a pas été assez clair. Dans mon /var/www il y a tout ce que j'utilise en interne + le site web pour l'extérieur poert 80. C'est là où ça coince; je voudrais donc isoler ce site web tout simplement sinon tout est visible :( Directory /var/www/interne Options Indexes FollowSymLinks AllowOverride None Order deny,allow # authoriser un subnet Allow from 192.168.1 # authoriser une machine Allow from 192.0.2.34 # pour les autres, que nenni Deny from all /Directory et tu mets tous les trucs internes sous /var/www/interne/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
David Prévot wrote: mess-mate a écrit : Dans mon /var/www il y a tout ce que j'utilise en interne + le site web pour l'extérieur poert 80. C'est là où ça coince; je voudrais donc isoler ce site web tout simplement sinon tout est visible :( Et faire un virtualhost qui renvoie par défaut uniquement vers ton site web, ce n'est pas suffisant ? Après, ajouter un virtualhost que tu ne peux atteindre que du réseau interne (à l'aide du nom de ta machine) qui arrive dans /var/www/ te permettra de conserver les mêmes fonctionnalités. Amicalement David Si je comprends bien; faire un virtualhost pour le site web accessible du net et 1 virtualhost pour chaque machine interne ? Tu as des liens qui en parlent ou vers un tuto ? Je suis neu-neu dans ce genre de choses. amicalment -- mess-mate World War Three can be averted by adherence to a strictly enforced dress code! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
Le 13972ième jour après Epoch, [EMAIL PROTECTED] écrivait: François TOURDE wrote: Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: [...] Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2 C'est que je vois pas trop la différence et quoi faire exactement entre lancer 2 instances et chrooter. Ah ben c'est pas dur: Ça n'a rien à voir :) Le principe du chroot, c'est de lancer un processus dans une prison qui recopie tout ou partie de l'env. de production, de façon à ce qu'une faille dans le processus ne permette pas de manipuler l'env. de prod. Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux versions différentes, par exemple, ou deux versions reposant sur des env. différents. Le souci que tu peux avoir, c'est que apache va par défaut écouter sur le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule fois :) Si tu veux chrooter + lancer 2 instances de apache sur le même port, alors il te faut 3 instances de apache. - La première qui va écouter sur le port 80, et servir de proxy aux deux autres (selon le nom de domaine par exemple). Cette version peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est pas forcément nécessaire. C'est juste mieux. - Les deux autres, sur un port quelconque (connu de la première instance), différent de 80, et qui pourront être chrootées pour être isolées du système, et aussi l'une de l'autre. Voilà, en espérant avoir été assez clair, et pas avoir dit trop de conneries.
Re: 2 instances + chroot pour apache2
François TOURDE wrote: Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: Bonjour, voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin, etc.. ainsi qu'un site web Tout cela n'est pas très secure, non ? Ah? Pourquoi dis-tu ça? Je ne vois pas trop en quoi c'est pas sécurisé... Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2 C'est que je vois pas trop la différence et quoi faire exactement entre lancer 2 instances et chrooter. -- mess-mate Peanut Blossoms 4 cups sugar 16 tbsp. milk 4 cups brown sugar 4 tsp. vanilla 4 cups shortening 14 cups flour 8 eggs 4 tsp. soda 4 cups peanut butter 4 tsp. salt Shape dough into balls. Roll in sugar and bake on ungreased cookie sheet at 375 F. for 10-12 minutes. Immediately top each cookie with a Hershey's kiss or star pressing down firmly to crack cookie. Makes a heck of a lot. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
2 instances + chroot pour apache2
Bonjour, voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin, etc.. ainsi qu'un site web Tout cela n'est pas très secure, non ? Je voudrais donc isoler le site en laissant le reste en place. Quelqu'un pourrait me mettre sur la voie ? Merci d'avance. -- mess-mate The only justification for our concepts and systems of concepts is that they serve to represent the complex of our experiences; beyond this they have no legitimacy. -- Albert Einstein -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
mess-mate wrote: Bonjour, voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin, etc.. ainsi qu'un site web Tout cela n'est pas très secure, non ? Je voudrais donc isoler le site en laissant le reste en place. ça veut dire quoi isoler? - tu peux juste déplacer les répertoires, genre http://www.example.com/tarapopo/phpmyadmin etc. mais si un attaquant devine le tarapopo, ... (c'est mieux que rien quand-même vu qu'il y a plein de scripts qui cherchent les chemins connus). de la même façon, tu peux changer le port, mais encore une fois, c'est juste du cache cache, et non une vraie protection. - tu peux forcer ssl plus une authentification http (en plus du login:pass des services eux-mêmes). - si l'accès doit venir de certaines IPs seulement, tu peux utiliser les controles d'accès d'apache. il faut regarder les docs d'Apache pour mettre ça en place. en gros: Quelqu'un pourrait me mettre sur la voie ? Merci d'avance. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 2 instances + chroot pour apache2
Le 13971ième jour après Epoch, [EMAIL PROTECTED] écrivait: Bonjour, voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin, etc.. ainsi qu'un site web Tout cela n'est pas très secure, non ? Ah? Pourquoi dis-tu ça? Je ne vois pas trop en quoi c'est pas sécurisé... Je voudrais donc isoler le site en laissant le reste en place. Qu'entends-tu par isoler ? Si tu passes par des vhosts, déjà ça isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le précises dans le titre chacun des serveurs. Lourd mais efficace pour isoler. Pas d'autres pointeurs que google+chroot+apache2