Re: 2 instances + chroot pour apache2

Group: linux.debian.user.french
From: mouss
Date: Saturday, April 05, 2008 2:00 PM
Subject: Re: 2 instances + chroot pour apache2

message

mess-mate wrote:
> FranÃ§ois TOURDE wrote:
>
>
>> Le 13972iÃ¨me jour aprÃ¨s Epoch,
>> mess-mate@orange.fr Ã©crivait:
>>
>>
>>
>>> FranÃ§ois TOURDE wrote:
>>>
>>>
>>>
>>>> Le 13971iÃ¨me jour aprÃ¨s Epoch,
>>>> mess-mate@orange.fr Ã©crivait:
>>>>
>>>>
>> [...]
>>
>>
>>>>> Je voudrais donc isoler le site en laissant le reste en place.
>>>>>
>>>>>
>>>>>
>>>> Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, dÃ©jÃ Ã§a
>>>> isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
>>>> prÃ©cises dans le titre chacun des serveurs. Lourd mais efficace pour
>>>> isoler.
>>>>
>>>> Pas d'autres pointeurs que google+chroot+apache2
>>>>
>>>>
>>>>
>>> C'est que je vois pas trop la diffÃ©rence et quoi faire exactement entre
>>> lancer 2 instances et chrooter.
>>>
>>>
>> Ah ben c'est pas dur: Ã‡a n'a rien Ã voir :)
>>
>> Le principe du chroot, c'est de lancer un processus dans une "prison"
>> qui recopie tout ou partie de l'env. de production, de faÃ§on Ã ce
>> qu'une faille dans le processus ne permette pas de manipuler l'env. de
>> prod.
>>
>> Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
>> versions diffÃ©rentes, par exemple, ou deux versions reposant sur des
>> env. diffÃ©rents.
>>
>> Le souci que tu peux avoir, c'est que apache va par dÃ©faut Ã©couter sur
>> le port 80, et Ã§a, sur une machine, Ã§a ne peut Ãªtre fait qu'une seule
>> fois :)
>>
>> Si tu veux chrooter + lancer 2 instances de apache sur le mÃªme port,
>> alors il te faut 3 instances de apache.
>>
>> - La premiÃ¨re qui va Ã©couter sur le port 80, et servir de proxy aux
>> deux autres (selon le nom de domaine par exemple). Cette version
>> peut Ãªtre chrootÃ©e, si tu veux, mais vu ce qu'elle va faire, c'est
>> pas forcÃ©ment nÃ©cessaire. C'est juste mieux.
>>
>> - Les deux autres, sur un port quelconque (connu de la premiÃ¨re
>> instance), diffÃ©rent de 80, et qui pourront Ãªtre chrootÃ©es pour Ãªtre
>> isolÃ©es du systÃ¨me, et aussi l'une de l'autre.
>>
>> VoilÃ , en espÃ©rant avoir Ã©tÃ© assez clair, et pas avoir dit trop de
>> conneries.
>>
>>
>>
>>
>
> Merci, c'est moi qui n'a pas Ã©tÃ© assez clair.
>
> Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
> pour l'extÃ©rieur poert 80.
>
> C'est lÃ oÃ¹ Ã§a coince; je voudrais donc isoler ce site web tout
> simplement sinon tout est visible :(
>
>

Options Indexes FollowSymLinks

AllowOverride None
Order deny,allow
# authoriser un subnet
Allow from 192.168.1
# authoriser une machine
Allow from 192.0.2.34
# pour les autres, que nenni
Deny from all

et tu mets tous les trucs internes sous /var/www/interne/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org