Forum Linux.debian/ubuntu Isoler différents services Web auto-hébergé

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
1
28
déc.
2022

Bonsoir à tous,

Je prévois de remettre nextcloud sur mon serveur.

Simplement pour la partie de partages de fichiers.

Le but de ce post est d'isoler nextcloud des autres instances web installés sur mon serveur.

J'énumère ce qui doit être réalisé :

-Créer un utilisateur nextcloud -> mais appartenant au groupe nginx pour les acces en php ?

-Installer les dépendances nécessaire à nextcloud

-Choisir le chemin approprié -> dans /etc par exemple ?

-Charger le contenu de nextcloud dans le dossier /etc/nextcloud

-Rendre accessible à l'instance nextcloud le dossier des données sur un autre disque dur -> accès data via le groupe du user nextcloud ?

Est-ce que je me trompe dans une des étapes ci-dessus ?

Je veux bien des exemples concrets si vous avez.

Merci beaucoup.

Bonne soirée et bonne fêtes de fin d'années

  • # Lanncer un container docker ?

    Posté par  . Évalué à 2. Dernière modification le 28 décembre 2022 à 21:48.

    Bon ok, je sors

    Mais si c'est juste pour la partie fichiers, tu dois pouvoir trouver des serveurs plus légers

  • # server blocks

    Posté par  . Évalué à 2.

    Ce n'est pas le but des server blocks de nginx ?

  • # c'est quoi isoler ?

    Posté par  . Évalué à 4.

    Le but de ce post est d'isoler nextcloud des autres instances web installés sur mon serveur.

    si c'est sur le meme serveur physique, et que tu veux juste eviter que les utilisateurs du site nextcloud ne se ballade ailleurs, alors ne reinvente pas la poudre, configure simplement comme il faut ton serveur web, avec le vhost et le documentroot qui va bien.

    ainsi les utilisateurs de ce vhost ne pourront pas aller ailleurs que dans le documentroot,
    ouvrir le code de nextcloud, qui lui ira chercher ses datas ailleurs

    si tu crains que les utilisateurs "locaux" du serveur (aka le serveur est aussi à usage domestique, avec un bureau, un explorateur de fichier) => regarde en effet les droits des dossiers/fichiers pour que seul le service web et root puisse y acceder, voire avec du "suexec" (option apache) faire tourner le service web sous un utilisateur dédié à cet instance.

    si la machine physique est assez puissante, tu peux isoler encore plus, avec de la virtualisation
    tu as alors un environnement complet OS, dependance, service web et nextcloud, autonome du reste de la machine, tu peux alors modifier cet environnement sans risquer de casser la machine principale

    • [^] # Re: c'est quoi isoler ?

      Posté par  . Évalué à 1. Dernière modification le 30 décembre 2022 à 11:27.

      Ok, du coup, que les fichiers de conf soient dans le /var et /etc, ca change rien du coup si le documentroot est bien specifié avec nginx !?

      La virtualisation, oui mais comment gérer les conteneurs et leur IP ?
      Je n'ai jamais fait.
      On m'avait parlé de systemd-spawn et conteneur avec IP.
      Les IP attribuées doivent etre dans le meme range que l'IP du serveur ou une IP local ?

      Le gestionnaire de conteneur encore à choisir. Pas docker en tout cas. C'est le bazars niveau firewall

      Le truc, c'est que j'ai aussi un firewall sur ce PC nftables.
      Il faudra que je gère aussi ca.

      Le PC n'a pas de bureau ni gestionnaire de fichiers

      • [^] # Re: c'est quoi isoler ?

        Posté par  . Évalué à 3.

        tu peux faire de la virtualisation avec des conteneurs genre LXC
        mettre au choix les machines dans le meme reseau que ton PC (wifi/lan)
        ou dans un reseau privé

        si dans un reseau privé, il te faudra alors utiliser ton PC comme une "passerelle" entre dedans et dehors, et donc jouer du parefeu, mettre un proxy peut etre aussi pour renvoyer le bon domaine vers la bonne VM/conteneur

        la routine de l'admin reseau en somme

  • # Commentaire supprimé

    Posté par  . Évalué à 4.

    Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.