Forum Linux.général Auto-hébergement,

0
19
oct.
2017

Bonjour,

Je suis en train d'étudier la faisabilité de l'auto-hébergement pour notre association. Cela concernerait divers outils: site web Wordpress, Wiki, etherpad, partage de fichiers genre nextcloud, messagerie xmpp… Je laisse de coté la gestion des mails qui me semble encore trop complexe, et plus critique.
Niveau matériel, je pense utiliser un vieil ordinateur portable.

Je me pose des questions quant à la solution logicielle pour gérer notre serveur. Je saurais le faire avec une Debian, installer chaque service moi-même, mais la maintenance représente une certaine charge de travail. De plus cela serait trop complexe pour que les autres membres de l'association comprennent le fonctionnement.

J'ai un peu regardé ce qui existe, et Yunohost pourrait répondre à ce besoin. Je trouve très intéressant que ce soit basé sur une Debian classique, ce qui permet d'installer manuellement des services qui manqueraient. Pour une utilisation personnelle c'est sûrement très bien, mais l'idée serait de proposer à des membres, ou d'autres personnes, d'avoir leur service sur notre serveur. Par exemple, avoir plusieurs instances de Wordpress, pour héberger plusieurs sites gérés indépendamment. Dans ce cas, je me pose des question par rapport à la sécurité: les instances tourneraient alors sur le même serveur http, une instance compromise (un admin installe un plugin malveillant…) pourrait-t-elle compromettre les autres instances?

La question générale, c'est: quelles seraient les solutions permettant notre auto-hébergement, et l'allocation d'espaces à d'autres utilisateurs, qui seraient suffisamment sécurisés?

  • # Voir ici

    Posté par (page perso) . Évalué à 3 (+2/-0).

  • # Pour le mail

    Posté par . Évalué à 1 (+0/-0).

    Pour le mail si tu veux de l'hébergement libre à prix libre il y a justement le tout nouveau www.sud-ouest2.org qui passe en prod pour remplacer sud-ouest.org :-) (d'ici peu les deux ne feront plus qu'un le 2 étant la nouvelle infra de la plate-forme).

    • [^] # Re: Pour le mail

      Posté par . Évalué à 5 (+3/-0).

      ca commence mal
      faire un 2e domaine sud-ouest2.org
      alors que vous pouviez garder sud-ouest.org et faire
      new.sud-ouest.org et old.sud-ouest.org

  • # Yunohost devrait convenir

    Posté par (page perso) . Évalué à 1 (+0/-0).

    Yunohost pourrait en effet répondre à tes besoins. Av voir pour le multi-instance de Wordpress. Demande su rle forum.

    d'installer manuellement des services qui manqueraient.
    Yunohost est déjà très complet, faut voir ce qu'il te manquerait et si ça n'existe pas déjà en application packagée…

    Niveau matériel, je pense utiliser un vieil ordinateur portable.
    Sauvegarde, sauvegarde, sauvegarde. Et teste la restauration des sauvegardes sur une autre machine pour voir en combien de temps tu peux rétablir le service…

    Sinon, tu seras derrière quel type de connexion? Car plusieurs sites Internet et autres applications derrière de l'ADSL, ça risque d'être vite limité par la vitesse d'upload….

    Yunohost est bien pensé. La sécurité dépend de bien faire ses mises à jours de Debian, de Yunohost, des applications, de ne pas installer tout et n'importe quoi. Comme avec n'importe quel OS en fait. Yunohost a été pentesté (cf série de liens ici https://blog.genma.fr/?Pentest-d-une-instance-Yunohost) sans soucis majeur.

  • # LXC

    Posté par (page perso) . Évalué à 1 (+0/-0).

    Merci pour vos retours,

    La connexion sera de la «fibre», je n'ai pas encore testé le débit. Je vais installer pas mal de choses, mais le serveur ne devrait pas être trop sollicité avec le faible nombre de connexions auxquelles il devra répondre.
    J'ai vu entre-temps que Wordpress a une fonction «multisite», ça devrait faire l'affaire.

    Je ferai bien sûr des sauvegardes régulières, je pense même préparer un disque de secours tout prêt en cas de gros pépin. Je suis tombé sur un article parlant de LXC, est ce que cela vous parait adéquat de faire tourner Yunohost dans une machine virtuelle LXC?

  • # Cloudron

    Posté par (page perso) . Évalué à 2 (+1/-0).

    J'expérimente Cloudron actuellement.

    Il existe une installation de demo à partir du site officiel et la documentation est de qualité.

    Libéré l'année dernière, Cloudron est disponible sous GNU Affero General Public License v3.0 Les sources sont accessibles sur un git privé auto-hébergé.

    On y retrouve la possibilité de lancer des applications pré-installées et pré-configurées dans les containers Docker. Pour l'heure, une quarantaine d'applications sont packagées notamment Wordpress, Next/OwnCloud, Rocket.Chat, Wekan, Mattermost, SOGo, Gogs, GitLab, Etherpad, Kanboard, Ghost, etc. ; a priori les mises à jour sont proposées régulièrement.

    Cloudron arrive aussi avec une gestion commune des usagers et de groupe d'usagers via Ldap; des usagers non-inscrits sur le serveur peuvent néanmoins accéder à telle ou telle application en fonction de la façon dont elle a été packagée. Il propose aussi une gestion des domaines des applications et des mails avec antispam et config DNS, MX, SPF, DKIM, DMARC… Il gère automatiquement les certificats Let's Encrypt.

    Si l'on ne souhaite pas payer pour que les mises à jour de la plate-forme et des applications s'effectuent automatiquement, il est possible et finalement assez simple de la faire manuellement à l'aide de Cloudron CLI, un outil plutôt bien foutue.

    Cloudron effectue une sauvegarde chiffrée régulière de l'ensemble des données de l'installation (système et app).

    Est-ce que d'autres personnes ont testé ?

    • [^] # Re: Cloudron

      Posté par . Évalué à 1 (+0/-0). Dernière modification le 23/10/17 à 22:23.

      Ça a l'air pas mal et fort inspiré de yunohost.
      Est-ce que son LDAP gère les groupes ? (quand j'ai testé yunohost, ce dernier ne les gérait pas et donc ce n'était pas terrible d'utiliser son LDAP avec des services sur d'autres serveurs (créer un utilisateur sur yunohost lui filait accès à tous les services sur les autres machines sans distinction, bref pas possible de donner accès a paul seulement au xmpp et pas au cloud par exemple))

      Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Cloudron

        Posté par (page perso) . Évalué à 1 (+0/-0).

        Oui, il y a une gestion des groupes. Cependant, chaque application est packagée à sa sauce.
        Il y a parfois une, deux ou trois possibilités : laisser la gestion des utilisateurs à l'application ; autoriser tous les utilisateurs de la plate-forme ; autoriser uniquement les utilisateurs d'un ou plusieurs groupes (à définir préalablement). D'autres comme Mattermost ou Ghost n'utilisent pas du tout de LDAP du Cloudron et utilisent leur propre système de gestion des usagers.

  • # Puissance

    Posté par . Évalué à 2 (+1/-0). Dernière modification le 23/10/17 à 22:18.

    Niveau matériel, je pense utiliser un vieil ordinateur portable.

    Si tu veux déployer plusieurs services devant être utilisé par plusieurs utilisateurs en même temps (surtout aux heures de pointe), suivant se que tu sous entend par "vieux pc portable", ça risque de lagger en fonction de l'utilisation ;)
    Au besoin il est "facile" de mettre en place plusieurs machines de récup derrière un nano ordinateur qui sert de répartiteur de charge (tuto)

    Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Puissance

      Posté par (page perso) . Évalué à 1 (+0/-0).

      De tête c'est un PC monocoeur 32bits 1.5Ghz, avec 1go de RAM. C'est pas une bête de course, mais il est encore utilisable avec une Debian XFCE (je referai une install sans X).
      Je ne m'en fais pas trop de la puissance pour l'instant, ce que je ferai tourner sera assez léger, et il n'y aura pas d'heure de pointe. Si deux utilisateurs se croisent, c'est un exploit :-)

      • [^] # Re: Puissance

        Posté par . Évalué à 1 (+0/-0). Dernière modification le 24/10/17 à 17:43.

        Pour Nextcloud tu n'auras pas assez de puissance (processeur).
        Dis toi que ta machine est moins puissante qu'un raspberry pi et nextcloud lag énormément sur ce dernier (je le trouve inutilisable avec autant de lag mais certains semblent s'y accomoder (y compris à long terme?)).

        J'ai testé nextcloud sur un odroid xu4 dédié (dont voici un screenshot de la commande top - source), une machine bien plus puissante que ce dont tu parles. J'ai dû la couper car les logiciels clients chopaient plein d'erreurs comme quoi le serveur est trop lent. (je peux encore ré-activer la machine pour pouvoir avoir les énoncés des erreurs si besoin ;) )

        Si deux utilisateurs se croisent, c'est un exploit :-)

        Attention :

        • les logiciels de synchro sur pc/mobile font des requêtes toutes les 5-10 minutes (à minima une requête par dossier synchronisé)

        • les montages webdav/davfs2, eux, engendrent beaucoup de requêtes

        • la WEBUI consomment beaucoup de ressources (surtout processeur, en ram ça passe)

        Attention à un truc aussi : tu va être tenté d'activer le chiffrement côté serveur (qui consomme aussi pas mal de ressources serveur). Sache que si tu perds ta base de données tu ne saura pas récupérer tes fichiers chiffrés. N'oublie donc pas de la backup (avec par exemple automysqlbackup qui est assez simple)

        Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

        • [^] # Re: Puissance

          Posté par (page perso) . Évalué à 1 (+0/-0).

          Oui pour nextcloud j'ai cru comprendre qu'il est un peu lourd. Est ce que tu aurais une alternative à me suggérer?
          J'ai vu que Seafile est pas mal non plus, mais je ne sais pas si il y a un réel gain au niveau performances.
          Sinon, pour notre utilisation, un partage ftps pourrait suffire.

          • [^] # Re: Puissance

            Posté par . Évalué à 1 (+0/-0). Dernière modification le 25/10/17 à 14:25.

            Je n'ai pas testé seafile.
            Si tu veux utiliser FTPS ou SFTP (ou encore SSHFS si tu veux faire du streaming) sans avoir envie de te suicider devant la complexité d'une sécurisation qui "parait" pourtant simple: jette un œil du côté de FreeNAS qui apporte une interface permettant de gérer des utilisateurs systèmes depuis une interface web.
            Par contre FreeNAS est basé sur FreeBSD qui est réputé un chouillat plus compliqué que Linux (exemple : si je me rappel bien faire des update de FreeNAS est plus compliqué car le système est en lecture seul)

            Nextcloud est hélas trop lourd mais c'est une solution de cloud complète capable même de faire le café. Son avantage sur les solutions FTP/SSH est de ne pas passer par des utilisateurs systèmes qui pourraient foutre le bordel quand ils seront compromis par un malware.

            Si vous codez un logiciel sans une interface chatoyante, alors vous faites de la merde. Donation bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.