Re: 2 instances + chroot pour apache2
mouss wrote:
> mess-mate wrote:
>> François TOURDE wrote:
>>
>>
>>> Le 13972ième jour après Epoch,
>>> mess-mate@orange.fr écrivait:
>>>
>>>
>>>> François TOURDE wrote:
>>>>
>>>>
>>>>> Le 13971ième jour après Epoch,
>>>>> mess-mate@orange.fr écrivait:
>>>>>
>>> [...]
>>>
>>>>>> Je voudrais donc isoler le site en laissant le reste en place.
>>>>>>
>>>>> Qu'entends-tu par "isoler" ? Si tu passes par des vhosts, déjà ça
>>>>> isole bien, mais si tu veux faire mieux, tu peux chrooter comme tu le
>>>>> précises dans le titre chacun des serveurs. Lourd mais efficace pour
>>>>> isoler.
>>>>>
>>>>> Pas d'autres pointeurs que google+chroot+apache2
>>>>>
>>>>>
>>>> C'est que je vois pas trop la différence et quoi faire exactement
>>>> entre
>>>> lancer 2 instances et chrooter.
>>>>
>>> Ah ben c'est pas dur: Ça n'a rien à voir :)
>>>
>>> Le principe du chroot, c'est de lancer un processus dans une "prison"
>>> qui recopie tout ou partie de l'env. de production, de façon à ce
>>> qu'une faille dans le processus ne permette pas de manipuler l'env. de
>>> prod.
>>>
>>> Lancer 2 instances, (de apache dans ton cas), c'est... ben lancer deux
>>> versions différentes, par exemple, ou deux versions reposant sur des
>>> env. différents.
>>>
>>> Le souci que tu peux avoir, c'est que apache va par défaut écouter sur
>>> le port 80, et ça, sur une machine, ça ne peut être fait qu'une seule
>>> fois :)
>>>
>>> Si tu veux chrooter + lancer 2 instances de apache sur le même port,
>>> alors il te faut 3 instances de apache.
>>>
>>> - La première qui va écouter sur le port 80, et servir de proxy aux
>>> deux autres (selon le nom de domaine par exemple). Cette version
>>> peut être chrootée, si tu veux, mais vu ce qu'elle va faire, c'est
>>> pas forcément nécessaire. C'est juste mieux.
>>>
>>> - Les deux autres, sur un port quelconque (connu de la première
>>> instance), différent de 80, et qui pourront être chrootées pour être
>>> isolées du système, et aussi l'une de l'autre.
>>>
>>> Voilà, en espérant avoir été assez clair, et pas avoir dit trop de
>>> conneries.
>>>
>>>
>>>
>>
>> Merci, c'est moi qui n'a pas été assez clair.
>>
>> Dans mon /var/www il y a tout ce que j'utilise en interne + le site web
>> pour l'extérieur poert 80.
>>
>> C'est là où ça coince; je voudrais donc isoler ce site web tout
>> simplement sinon tout est visible :(
>>
>>
>
> <Directory /var/www/interne>
> Options Indexes FollowSymLinks
>
> AllowOverride None
> Order deny,allow
> # authoriser un subnet
> Allow from 192.168.1
> # authoriser une machine
> Allow from 192.0.2.34
> # pour les autres, que nenni
> Deny from all
> </Directory>
>
> et tu mets tous les trucs internes sous /var/www/interne/
>
>
Merci, mais le problème c'est que quand tu tape l'ip externe tu te
retrouve dans le /var/www !
Et c'est ça le problème.
--
mess-mate
------------
Price Wang's programmer was coding software. His fingers danced upon the
keyboard. The program compiled without an error message, and the program
ran like a gentle wind. Excellent!" the Price exclaimed, "Your technique
is faultless!" "Technique?" said the programmer, turning from his
terminal, "What I follow is the Tao -- beyond all technique. When I
first began to program I would see before me the whole program in one
mass. After three years I no longer saw this mass. Instead, I used
subroutines. But now I see nothing. My whole being exists in a formless
void. My senses are idle. My spirit, free to work without a plan,
follows its own instinct. In short, my program writes itself. True,
sometimes there are difficult problems. I see them coming, I slow down,
I watch silently. Then I change a single line of code and the
difficulties vanish like puffs of idle smoke. I then compile the
program. I sit still and let the joy of the work fill my being. I close
my eyes for a moment and then log off." Price Wang said, "Would that all
of my programmers were as wise!" -- Geoffrey James, "The Tao of
Programming"
Reply to: