Pour ma part je suis assez d'accord avec Florian sur les aberrations que
l'on voit avec un chroot mal fait.
Je me contente d'un kernel récent avec patch grsec, séparation entre le
web Nginx et PHP (communication par socket dédiés par sites),
MySecureShell pour l'accès sftp/scp, combiné à lshell po
Le 2013-01-12 16:16, Emmanuel Thierry a écrit :
Le 12 janv. 2013 à 02:48, Jean Weisbuch a écrit
:
Le 11/01/2013 10:52, JC PAROLA a écrit :
Je pense que ce point soulever par Emmanuel Thierry est beaucoup
plus
utilisé que ce que l'on pense. On m'a souvent demandé d'intervenir
sur
des serveu
Le 12 janv. 2013 à 02:48, Jean Weisbuch a écrit :
> Le 11/01/2013 10:52, JC PAROLA a écrit :
>> Je pense que ce point soulever par Emmanuel Thierry est beaucoup plus
>> utilisé que ce que l'on pense. On m'a souvent demandé d'intervenir sur
>> des serveurs mutualisés d'autres hébergeurs qui n'ont
Le 12 janv. 2013 à 12:22, JC PAROLA a écrit :
> Je me posait la question de savoir si des systèmes MAC (Mandatory
> Access Control) comme SELinux/AppArmor ou les MAC de FreeBSD n'était
> pas prévu pour ça.
>
> Avec un Framework MAC on traiterait du coup le pb du ssh user mais
> aussi d'autres poi
Le Sat, 12 Jan 2013 02:48:27 +0100,
Jean Weisbuch a écrit :
> mais évidemment si vous voulez garder une seule
> IP publique frontale vous devrez avoir un proxy frontal et du nat
> pour les accès SSH (chaque conteneur ayant son propre SSHD, si
> possible lancé sur demande car seule une petite par
