2 instances + chroot pour apache2

mess-mate wrote:

Bonjour,

voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin,
etc.. ainsi qu'un site web
Tout cela n'est pas très secure, non ?

Je voudrais donc isoler le site en laissant le reste en place.

ça veut dire quoi isoler?

- tu peux juste déplacer les répertoires, genre
http://www.example.com/tarapopo/phpmyadmin etc. mais si un attaquant
devine le tarapopo, ... (c'est mieux que rien quand-même vu qu'il y a
plein de scripts qui cherchent les chemins connus). de la même façon, tu
peux changer le port, mais encore une fois, c'est juste du cache cache,
et non une vraie protection.

- tu peux forcer ssl plus une authentification http (en plus du
login:pass des services eux-mêmes).

- si l'accès doit venir de certaines IPs seulement, tu peux utiliser les
controles d'accès d'apache.

il faut regarder les docs d'Apache pour mettre ça en place. en gros:

Quelqu'un pourrait me mettre sur la voie ?

Merci d'avance.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

Bonjour,

voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin,
etc.. ainsi qu'un site web
Tout cela n'est pas très secure, non ?

Ah? Pourquoi dis-tu ça? Je ne vois pas trop en quoi c'est pas
sécurisé...

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

François TOURDE wrote:

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

Bonjour,

voilà, j'ai ma /var/www remplis avec par.ex phpmyadmin, postfixadmin,
etc.. ainsi qu'un site web
Tout cela n'est pas très secure, non ?

Ah? Pourquoi dis-tu ça? Je ne vois pas trop en quoi c'est pas
sécurisé...

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

C'est que je vois pas trop la différence et quoi faire exactement entre
lancer 2 instances et chrooter.



--
mess-mate
------------
Peanut Blossoms 4 cups sugar 16 tbsp. milk 4 cups brown sugar 4 tsp.
vanilla 4 cups shortening 14 cups flour 8 eggs 4 tsp. soda 4 cups peanut
butter 4 tsp. salt Shape dough into balls. Roll in sugar and bake on
ungreased cookie sheet at 375 F. for 10-12 minutes. Immediately top each
cookie with a Hershey's kiss or star pressing down firmly to crack
cookie. Makes a heck of a lot.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 13972ième jour après Epoch,
mess-mate@orange.fr écrivait:

François TOURDE wrote:

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

[...]

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

C'est que je vois pas trop la différence et quoi faire exactement en tre
lancer 2 instances et chrooter.

Ah ben c'est pas dur: Ça n'a rien à voir :)

Le principe du chroot, c'est de lancer un processus dans une "prison"
qui recopie tout ou partie de l'env. de production, de façon à ce
qu'une faille dans le processus ne permette pas de manipuler l'env. de
prod.

Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
versions différentes, par exemple, ou deux versions reposant sur des
env. différents.

Le souci que tu peux avoir, c'est que apache va par défaut écoute r sur
le port 80, et ça, sur une machine, ça ne peut être fait qu' une seule
fois :)

Si tu veux chrooter + lancer 2 instances de apache sur le même port,
alors il te faut 3 instances de apache.

- La première qui va écouter sur le port 80, et servir de proxy a ux
deux autres (selon le nom de domaine par exemple). Cette version
peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c' est
pas forcément nécessaire. C'est juste mieux.

- Les deux autres, sur un port quelconque (connu de la première
instance), différent de 80, et qui pourront être chrootées pour être
isolées du système, et aussi l'une de l'autre.

Voilà, en espérant avoir été assez clair, et pas avoir dit trop de
conneries.

François TOURDE wrote:

Le 13972ième jour après Epoch,
mess-mate@orange.fr écrivait:

François TOURDE wrote:

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

[...]

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

C'est que je vois pas trop la différence et quoi faire exactement entre
lancer 2 instances et chrooter.

Ah ben c'est pas dur: Ça n'a rien à voir :)

Le principe du chroot, c'est de lancer un processus dans une "prison"
qui recopie tout ou partie de l'env. de production, de façon à ce
qu'une faille dans le processus ne permette pas de manipuler l'env. de
prod.

Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
versions différentes, par exemple, ou deux versions reposant sur des
env. différents.

Le souci que tu peux avoir, c'est que apache va par défaut écouter sur
le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule
fois :)

Si tu veux chrooter + lancer 2 instances de apache sur le même port,
alors il te faut 3 instances de apache.

- La première qui va écouter sur le port 80, et servir de proxy aux
deux autres (selon le nom de domaine par exemple). Cette version
peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est
pas forcément nécessaire. C'est juste mieux.

- Les deux autres, sur un port quelconque (connu de la première
instance), différent de 80, et qui pourront être chrootées pour être
isolées du système, et aussi l'une de l'autre.

Voilà, en espérant avoir été assez clair, et pas avoir dit trop de
conneries.

Merci, c'est moi qui n'a pas été assez clair.

Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
pour l'extérieur poert 80.

C'est là où ça coince; je voudrais donc isoler ce site web tout
simplement sinon tout est visible :(

cordialement



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

mess-mate a écrit :

Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
pour l'extérieur poert 80.

C'est là où ça coince; je voudrais donc isoler ce site web tout
simplement sinon tout est visible :(

Et faire un virtualhost qui renvoie par défaut uniquement vers ton site
web, ce n'est pas suffisant ? Après, ajouter un virtualhost que tu ne
peux atteindre que du réseau interne (à l'aide du nom de ta machine) qui
arrive dans /var/www/ te permettra de conserver les mêmes fonctionnalités.

Amicalement

David


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFH98MT18/WetbTC/oRAjQ3AJ9GHDAqI/tuH7rhPny9xyVGYB89lwCbB3h7
PCY9uRZfh7KMg8Fcw6QpSvk =RcRD
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

mess-mate wrote:

François TOURDE wrote:

Le 13972ième jour après Epoch,
mess-mate@orange.fr écrivait:

François TOURDE wrote:

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

[...]

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

C'est que je vois pas trop la différence et quoi faire exactement entre
lancer 2 instances et chrooter.

Ah ben c'est pas dur: Ça n'a rien à voir :)

Le principe du chroot, c'est de lancer un processus dans une "prison"
qui recopie tout ou partie de l'env. de production, de façon à ce
qu'une faille dans le processus ne permette pas de manipuler l'env. de
prod.

Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
versions différentes, par exemple, ou deux versions reposant sur des
env. différents.

Le souci que tu peux avoir, c'est que apache va par défaut écouter sur
le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule
fois :)

Si tu veux chrooter + lancer 2 instances de apache sur le même port,
alors il te faut 3 instances de apache.

- La première qui va écouter sur le port 80, et servir de proxy aux
deux autres (selon le nom de domaine par exemple). Cette version
peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est
pas forcément nécessaire. C'est juste mieux.

- Les deux autres, sur un port quelconque (connu de la première
instance), différent de 80, et qui pourront être chrootées pour être
isolées du système, et aussi l'une de l'autre.

Voilà, en espérant avoir été assez clair, et pas avoir dit trop de
conneries.

Merci, c'est moi qui n'a pas été assez clair.

Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
pour l'extérieur poert 80.

C'est là où ça coince; je voudrais donc isoler ce site web tout
simplement sinon tout est visible :(

<Directory /var/www/interne>
Options Indexes FollowSymLinks

AllowOverride None
Order deny,allow
# authoriser un subnet
Allow from 192.168.1
# authoriser une machine
Allow from 192.0.2.34
# pour les autres, que nenni
Deny from all
</Directory>

et tu mets tous les trucs internes sous /var/www/interne/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

David Prévot wrote:

mess-mate a écrit :

> Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
> pour l'extérieur poert 80.

> C'est là où ça coince; je voudrais donc isoler ce site web tout
> simplement sinon tout est visible :(

Et faire un virtualhost qui renvoie par défaut uniquement vers ton site
web, ce n'est pas suffisant ? Après, ajouter un virtualhost que tu ne
peux atteindre que du réseau interne (à l'aide du nom de ta machine) qui
arrive dans /var/www/ te permettra de conserver les mêmes fonctionnalités.

Amicalement

David

Si je comprends bien; faire un virtualhost pour le site web accessible
du net et 1 virtualhost pour chaque machine interne ?

Tu as des liens qui en parlent ou vers un tuto ?

Je suis neu-neu dans ce genre de choses.

amicalment


--
mess-mate
------------
World War Three can be averted by adherence to a strictly enforced dress
code!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

mouss wrote:

mess-mate wrote:

François TOURDE wrote:

Le 13972ième jour après Epoch,
mess-mate@orange.fr écrivait:

François TOURDE wrote:

Le 13971ième jour après Epoch,
mess-mate@orange.fr écrivait:

[...]

Je voudrais donc isoler le site en laissant le reste en place.

Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
précises dans le titre chacun des serveurs. Lourd mais efficace pour
isoler.

Pas d'autres pointeurs que google+chroot+apache2

C'est que je vois pas trop la différence et quoi faire exactement
entre
lancer 2 instances et chrooter.

Ah ben c'est pas dur: Ça n'a rien à voir :)

Le principe du chroot, c'est de lancer un processus dans une "prison"
qui recopie tout ou partie de l'env. de production, de façon à ce
qu'une faille dans le processus ne permette pas de manipuler l'env. de
prod.

Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
versions différentes, par exemple, ou deux versions reposant sur des
env. différents.

Le souci que tu peux avoir, c'est que apache va par défaut écouter sur
le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule
fois :)

Si tu veux chrooter + lancer 2 instances de apache sur le même port,
alors il te faut 3 instances de apache.

- La première qui va écouter sur le port 80, et servir de proxy aux
deux autres (selon le nom de domaine par exemple). Cette version
peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est
pas forcément nécessaire. C'est juste mieux.

- Les deux autres, sur un port quelconque (connu de la première
instance), différent de 80, et qui pourront être chrootées pour être
isolées du système, et aussi l'une de l'autre.

Voilà, en espérant avoir été assez clair, et pas avoir dit trop de
conneries.

Merci, c'est moi qui n'a pas été assez clair.

Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
pour l'extérieur poert 80.

C'est là où ça coince; je voudrais donc isoler ce site web tout
simplement sinon tout est visible :(

<Directory /var/www/interne>
Options Indexes FollowSymLinks

AllowOverride None
Order deny,allow
# authoriser un subnet
Allow from 192.168.1
# authoriser une machine
Allow from 192.0.2.34
# pour les autres, que nenni
Deny from all
</Directory>

et tu mets tous les trucs internes sous /var/www/interne/

Merci, mais le problème c'est que quand tu tape l'ip externe tu te
retrouve dans le /var/www !
Et c'est ça le problème.

--
mess-mate
------------
Price Wang's programmer was coding software. His fingers danced upon the
keyboard. The program compiled without an error message, and the program
ran like a gentle wind. Excellent!" the Price exclaimed, "Your technique
is faultless!" "Technique?" said the programmer, turning from his
terminal, "What I follow is the Tao -- beyond all technique. When I
first began to program I would see before me the whole program in one
mass. After three years I no longer saw this mass. Instead, I used
subroutines. But now I see nothing. My whole being exists in a formless
void. My senses are idle. My spirit, free to work without a plan,
follows its own instinct. In short, my program writes itself. True,
sometimes there are difficult problems. I see them coming, I slow down,
I watch silently. Then I change a single line of code and the
difficulties vanish like puffs of idle smoke. I then compile the
program. I sit still and let the joy of the work fill my being. I close
my eyes for a moment and then log off." Price Wang said, "Would that all
of my programmers were as wise!" -- Geoffrey James, "The Tao of
Programming"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

mess-mate a écrit :
[...]

Merci, mais le problème c'est que quand tu tape l'ip externe tu te
retrouve dans le /var/www !
Et c'est ça le problème.

Tu peux créer un virualhost par défaut qui renvoie vers le site que tu
veux accessible de l'extérieur (j'ai l'impression qu'apache prête une
importance au nom du fichier pour « ordonner » les priorités, c'est
pourquoi je te propose de l'appeler « 00 »), puis gérer ensuite tes
accès internes. Tu peux probablement aussi modifier le virtualhost qui
te renvoie par défaut sur /var/www/, c'est à dire probablement
/etc/apache2/sites-enabled/default si je ne m'abuse (et ce sont des
liens, cf. man a2ensite).

- ----------------------->%----------------------

cat /etc/apache2/sites-enabled/00
NameVirtualHost *
<VirtualHost *>
DocumentRoot /var/www/lerepertoiredetonsite
</VirtualHost>

- -----------------------%<----------------------

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFH+TGu18/WetbTC/oRAtSEAKCci6b1fbxQecyMs+ySSa3wvqQxIQCfVFvB
mQrNcegZu9MdFdhlb+67jDo =UfHp
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org