[RESOLU] Chroot serveur web debian 11

avct · 16-02-2022 08:43:58

Bonjour,

j'envisage d'utiliser cette méthode pour isoler les différents sites que j'héberge sur mon serveur.
Mon serveur n'est pas très puissant 8Go Ram, 250Go SSD

Première question y a il des alternatives intéressantes ?
Cela peut-il poser des problèmes si une restauration est nécessaire ? idem pour une migration

Je cherche des exemples de configuration, des tutos pour faire des essais :
https://connect.ed-diamond.com/Linux-Pr … nts-chroot (me semble intéressant)
https://fr-wiki.ikoula.com/fr/Chrooter_ … urs_Debian (me semble succinct)

J'ai installé un serveur avec debian 11, apache2.4, mysql 8, php7

cette méthode permettrait elle d'avoir des environnements avec des versions différentes de php ?

merci,

Dernière modification par avct (29-03-2022 17:37:17)

avct · 16-02-2022 09:51:51

précédemment j'utilisais la virtualisation avec vmware et tous ces inconvénients pour mon projets qui reste à petite échelle.
J'aimerais essayer cette solution

vv222 · 16-02-2022 11:41:47

avct a écrit :

cette méthode permettrait elle d'avoir des environnements avec des versions différentes de php ?

Pas besoin de chroot ni d’une quelconque forme d’isolation pour ça, Debian permet déjà d’utiliser différentes versions de PHP en parallèle.

avct · 16-02-2022 12:14:59

Pas besoin de chroot ni d’une quelconque forme d’isolation pour ça, Debian permet déjà d’utiliser différentes versions de PHP en parallèle.

merci

j'ai donc fait un premier essai en me basant en m'inspirant des deux : )
lorsque je me connecte j'ai le message suivant :

bin/sh: No such file or directory

Connection to 62.212.69.55 closed.

merci

Dernière modification par avct (16-02-2022 18:25:22)

avct · 16-02-2022 12:41:04

je vois dans /etc/passwd

NOM_UTILISATEUR:x:1001:1001::/home/NOM_UTILISATEUR:x:/bin/sh

est ce à cet endroit que je dois changer le dossier de base ?
merci

Dernière modification par avct (16-02-2022 12:42:03)

cyrille · 16-02-2022 18:53:21

Bonjour
https://debian-facile.org/atelier:chant … ons-de-php

Si en autohébegement il y a le projet yunohost
( https://yunohost.org/#/ et pour un exemple d'install https://cbiot.fr/dokuwiki/homeserver:olinolinux )

++
C

cyrille · 16-02-2022 18:54:22

PS : éviter de toucher à /etc/passwd sans savoir ce que l'on modifie, sinon le système ne va pas aimer

avct · 16-02-2022 19:42:48

cyrille a écrit :

Bonjour
https://debian-facile.org/atelier:chant … ons-de-php

Si en autohébegement il y a le projet yunohost
( https://yunohost.org/#/ et pour un exemple d'install https://cbiot.fr/dokuwiki/homeserver:olinolinux )

++
C

bonsoir et merci,

j'ai du mal formuler ma demande.
je cherche en premier lieu à utiliser la méthode chroot pour isoler chacun de mes sites sur mon serveur.
J'ai eu une attaque sur l'un d'entre eux et tous les autres ont été impacté.
je cherche une solution pour isolé et sécurisé chacun d'eux.

vv222 · 17-02-2022 12:07:38

avct a écrit :

je cherche en premier lieu à utiliser la méthode chroot pour isoler chacun de mes sites sur mon serveur.
J'ai eu une attaque sur l'un d'entre eux et tous les autres ont été impacté.
je cherche une solution pour isolé et sécurisé chacun d'eux.

Dans ce genre de cas, le chroot ça peut déjà être plus que nécessaire. Avoir chaque site Web qui tourne via un utilisateur dédié (un utilisateur système par site) peut diminuer très fortement les risques d’effets de bord en cas de faille sur un des sites Web. C’est une piste à creuser si tu ne le faisais pas jusqu’ici, et qui demandera bien moins de boulot que des formes d’isolation plus fortes.

Si jamais tu préfères continuer sur la piste du chroot, je te conseille de jeter un œil du côté de systemd-nspawn. C’est ce que j’utilise ici pour gérer la poignée de chroots que je fais tourner sur mon serveur (dans mon cas ce n’est pas pour des questions de sécurité). Si tu n’utlises pas systemd sur ton serveur, l’outil que j’utilisais précédemment pour ça est schroot.

avct · 17-02-2022 16:27:35

Dans ce genre de cas, le chroot ça peut déjà être plus que nécessaire. Avoir chaque site Web qui tourne via un utilisateur dédié (un utilisateur système par site) peut diminuer très fortement les risques d’effets de bord en cas de faille sur un des sites Web. C’est une piste à creuser si tu ne le faisais pas jusqu’ici, et qui demandera bien moins de boulot que des formes d’isolation plus fortes.

merci pour ce message.

En fait je me familiarise doucement avec ce peut être chroot. J'ai vu que cela pouvait faire référence à une partition sur laquelle une version minimal de debian serait installée.
Pour ma part j'ai juste créer un group auquel sont rattaché les utilisateurs. Dans la configuration du

/etc/ssh/sshd_config

je match le group avec l'option

Match group group_name

          ChrootDirectory /home/%u

          X11Forwarding no

          AllowTcpForwarding no

Dans le dossier de l'utilisateur, j'ajoute une mini arborescence avec quelques applications et leurs dépendances.
le dossier pèse environ 6Mo

est-ce à ce genre de configuration que tu penses ?

ça me semble fonctionner correctement jusqu'à maintenant

Debian-facile

#1 16-02-2022 08:43:58

[RESOLU] Chroot serveur web debian 11

#2 16-02-2022 09:51:51

Re : [RESOLU] Chroot serveur web debian 11

#3 16-02-2022 11:41:47

Re : [RESOLU] Chroot serveur web debian 11

#4 16-02-2022 12:14:59

Re : [RESOLU] Chroot serveur web debian 11

#5 16-02-2022 12:41:04

Re : [RESOLU] Chroot serveur web debian 11

#6 16-02-2022 18:53:21

Re : [RESOLU] Chroot serveur web debian 11

#7 16-02-2022 18:54:22

Re : [RESOLU] Chroot serveur web debian 11

#8 16-02-2022 19:42:48

Re : [RESOLU] Chroot serveur web debian 11

#9 17-02-2022 12:07:38

Re : [RESOLU] Chroot serveur web debian 11

#10 17-02-2022 16:27:35

Re : [RESOLU] Chroot serveur web debian 11

Pied de page des forums