logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-02-2022 08:43:58

avct
Membre
Inscription : 03-01-2022

[RESOLU] Chroot serveur web debian 11

Bonjour,

j'envisage d'utiliser cette méthode pour isoler les différents sites que j'héberge sur mon serveur.
Mon serveur n'est pas très puissant 8Go Ram, 250Go SSD

Première question y a il des alternatives intéressantes ?
Cela peut-il poser des problèmes si une restauration est nécessaire ? idem pour une migration

Je cherche des exemples de configuration, des tutos pour faire des essais :
https://connect.ed-diamond.com/Linux-Pr … nts-chroot (me semble intéressant)
https://fr-wiki.ikoula.com/fr/Chrooter_ … urs_Debian (me semble succinct)

J'ai installé un serveur avec debian 11, apache2.4, mysql 8, php7

cette méthode permettrait elle d'avoir des environnements avec des versions différentes de php ?

merci,

Dernière modification par avct (29-03-2022 17:37:17)

Hors ligne

#2 16-02-2022 09:51:51

avct
Membre
Inscription : 03-01-2022

Re : [RESOLU] Chroot serveur web debian 11

précédemment j'utilisais la virtualisation avec vmware et tous ces inconvénients pour mon projets qui reste à petite échelle.
J'aimerais essayer cette solution

Hors ligne

#3 16-02-2022 11:41:47

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : [RESOLU] Chroot serveur web debian 11

avct a écrit :

cette méthode permettrait elle d'avoir des environnements avec des versions différentes de php ?



Pas besoin de chroot ni d’une quelconque forme d’isolation pour ça, Debian permet déjà d’utiliser différentes versions de PHP en parallèle.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#4 16-02-2022 12:14:59

avct
Membre
Inscription : 03-01-2022

Re : [RESOLU] Chroot serveur web debian 11

Pas besoin de chroot ni d’une quelconque forme d’isolation pour ça, Debian permet déjà d’utiliser différentes versions de PHP en parallèle.

merci


j'ai donc fait un premier essai en me basant en m'inspirant des deux  : )
lorsque je me connecte j'ai le message suivant :

bin/sh: No such file or directory
Connection to 62.212.69.55 closed.



merci

Dernière modification par avct (16-02-2022 18:25:22)

Hors ligne

#5 16-02-2022 12:41:04

avct
Membre
Inscription : 03-01-2022

Re : [RESOLU] Chroot serveur web debian 11

je vois dans /etc/passwd

NOM_UTILISATEUR:x:1001:1001::/home/NOM_UTILISATEUR:x:/bin/sh


est ce à cet endroit que je dois changer le dossier de base ?
merci

Dernière modification par avct (16-02-2022 12:42:03)

Hors ligne

#6 16-02-2022 18:53:21

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : [RESOLU] Chroot serveur web debian 11

Bonjour
https://debian-facile.org/atelier:chant … ons-de-php

Si en autohébegement il y a le projet yunohost
( https://yunohost.org/#/ et pour un exemple d'install https://cbiot.fr/dokuwiki/homeserver:olinolinux )

++
C

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#7 16-02-2022 18:54:22

cyrille
CA Debian-Facile
Lieu : Nowhere
Distrib. : SID + FreeBSD. Stable sur serveurs.
(G)UI : Xfce/Openbox
Inscription : 21-06-2020
Site Web

Re : [RESOLU] Chroot serveur web debian 11

PS : éviter de toucher à  /etc/passwd sans savoir ce que l'on modifie, sinon le système ne va pas aimer wink

"Ils ne me comprennent point, je ne suis pas la bouche qu’il faut à ces oreilles."

Association Debian-Facile | Les cahiers du débutant | ISO Debian-FacilePage perso. sur #df

Hors ligne

#8 16-02-2022 19:42:48

avct
Membre
Inscription : 03-01-2022

Re : [RESOLU] Chroot serveur web debian 11

cyrille a écrit :

Bonjour
https://debian-facile.org/atelier:chant … ons-de-php

Si en autohébegement il y a le projet yunohost
( https://yunohost.org/#/ et pour un exemple d'install https://cbiot.fr/dokuwiki/homeserver:olinolinux )

++
C



bonsoir et merci,

j'ai du mal formuler ma demande.
je cherche en premier lieu à utiliser la méthode chroot pour isoler chacun de mes sites sur mon serveur.
J'ai eu une attaque sur l'un d'entre eux et tous les autres ont été impacté.
je cherche une solution pour isolé et sécurisé chacun d'eux.

Hors ligne

#9 17-02-2022 12:07:38

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : [RESOLU] Chroot serveur web debian 11

avct a écrit :

je cherche en premier lieu à utiliser la méthode chroot pour isoler chacun de mes sites sur mon serveur.
J'ai eu une attaque sur l'un d'entre eux et tous les autres ont été impacté.
je cherche une solution pour isolé et sécurisé chacun d'eux.



Dans ce genre de cas, le chroot ça peut déjà être plus que nécessaire. Avoir chaque site Web qui tourne via un utilisateur dédié (un utilisateur système par site) peut diminuer très fortement les risques d’effets de bord en cas de faille sur un des sites Web. C’est une piste à creuser si tu ne le faisais pas jusqu’ici, et qui demandera bien moins de boulot que des formes d’isolation plus fortes.

Si jamais tu préfères continuer sur la piste du chroot, je te conseille de jeter un œil du côté de systemd-nspawn. C’est ce que j’utilise ici pour gérer la poignée de chroots que je fais tourner sur mon serveur (dans mon cas ce n’est pas pour des questions de sécurité). Si tu n’utlises pas systemd sur ton serveur, l’outil que j’utilisais précédemment pour ça est schroot.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#10 17-02-2022 16:27:35

avct
Membre
Inscription : 03-01-2022

Re : [RESOLU] Chroot serveur web debian 11

Dans ce genre de cas, le chroot ça peut déjà être plus que nécessaire. Avoir chaque site Web qui tourne via un utilisateur dédié (un utilisateur système par site) peut diminuer très fortement les risques d’effets de bord en cas de faille sur un des sites Web. C’est une piste à creuser si tu ne le faisais pas jusqu’ici, et qui demandera bien moins de boulot que des formes d’isolation plus fortes.



merci pour ce message.

En fait je me familiarise doucement avec ce peut être chroot. J'ai vu que cela pouvait faire référence à une partition sur laquelle une version minimal de debian serait installée.
Pour ma part j'ai juste créer un group auquel sont rattaché les utilisateurs. Dans la configuration du

/etc/ssh/sshd_config

je match le group avec l'option

Match group group_name
          ChrootDirectory /home/%u
          X11Forwarding no
          AllowTcpForwarding no


Dans le dossier de l'utilisateur, j'ajoute une mini arborescence avec quelques applications et leurs dépendances.
le dossier pèse environ 6Mo

est-ce à ce genre de configuration que tu penses ?

ça me semble fonctionner correctement jusqu'à maintenant

Hors ligne

Pied de page des forums