Forum Linux.général LXC et TOR sur ArchLinux

Posté par  . Licence CC By‑SA.
Étiquettes :
1
9
nov.
2017

Bonjour,

Je ne me suis jamais amusé à virtualiser… et j'ai quelques questions. Probablement un peu idiotes.
J'ai une bonne dizaine de RPI qui tournent comme "serveur" avec des services cachés TOR (ce sont juste des wikis pour de petites assos ou des personnes indépendantes qui sont dans des pays à liberté très restreinte) et autres bidules "cloud".

Or je viens de sortir du service une machine (elle a 4 ans et était un serveur debian-ltsp) :

  • Carte mère : Gigabyte 970A-UD3 (liens)
  • Processeur : AMD FX-8320 (8 coeurs, 16Mb de cache) (liens)
  • refroidissement : Coolermaster Seidon 120XL (silencieux)
  • mémoire : G.Skill DDR3 1866MHz 16GB
  • DD système : Samsung SSD 840 EVO Desktop
  • DD données : 4 X Western Digital RED 3000GB (en RAID 5)

Bon, c'est plus une bête de course, mais c'est encore pas trop mal.

Là je viens de faire une installation ou tout est chiffré par cryptsetup (la partition UEFI est sur une clé USB que je ne laisse pas avec le serveur).

Plutôt que de le laisser prendre la poussière dans mon bureau, je me suis dit que je pourrais le laisser tourner 24/7 pour héberger mon RetroShare et mes dossiers partagés maison (via ssh), et surtout éteindre toutes mes RPI.

J'aimerais quand même pouvoir cloisonner mes différentes utilisations dans des containers :

  • un pour RetroShare (noGui)
  • un pour un sshd pour le partage de fichier
  • trois pour des instances tor avec services cachés
  • un pour mon "cloud" perso

Dans mon idée, je verrais bien de séparer les containers hébergeant TOR de ceux hébergeant nginx + Ikiwiki + ssh + git. Un petit peut comme Qube ou Whonix.

                    Matériel
                       |
                 [RS]--|
                       |--[tor]--[nginx asso 1]
               [sshd]--|
                       |--[tor]--[nginx asso 2]
  [nginx cloud perso]--|
                       |--[tor]--[nginx asso 3]

            Où [*] = containers LXC

Dans l'idéal le tout sous ArchLinux (je ne pratique intensivement plus que celui-ci depuis 6 ans).
Je ne pense faire rien d'autre de cette machine. Pas d'Xorg.
Avant de me lancer dans des tests, j'aurais bien aimé vous demander si c'est quelque chose de possible avec LXC.

Mes services TOR ne sont pas très utilisés:

  1. ~120 utilisateurs = 25-60 connexions par jours
  2. ~50 utilisateurs = 10-50 connexions par jours
  3. 4 utilisateurs = 80-100 connexions par jours

Chaque service a sa propre adresse en onion et tout le monde se connecte avec des Tails (html, git->Keyringer, un peu de ssh).

Mon principal souci est que je veux êtres certains que les serveurs nginx cachés ne puissent accéder/être accédé au net si le service TOR ou le firewall plante. Pour l'instant, j'utilise pour chaque asso 2 RPI: un qui fait tourner TOR avec une interface rj45 sur USB et un deuxième qui fait tourner les services cachés.
J'aimerais quelques choses de léger à manipuler, je ne devrais pas toucher ces containers très souvent une fois en route.

Je vous souhaite à tous une bonne fin de semaine.

  • # mon setup à base de LXC (proxmox inside)

    Posté par  . Évalué à 3.

    une carte reseau sur internet (eth0 - vmbr0)
    une carte reseau non relié à un reseau mais active (eth1-vmbr1)

    une VM en firewall avec une carte bridgée sur chaque reseau
    - eth0 - WAN (bridgée sur vmbr0)
    - eth1 - LAN privé (bridgée sur vmbr1)

    toutes les autres VMs sur le reseau privé vmbr1

    si tu ne veux pas que chaque VM cause avec celle du voisin, tu peux faire des vlans sur vmbr0
    ainsi les VMs ne causeront qu'au firewall, puis vers internet.

    note que tu peux faire de fausses cartes reseaux (dummy) donc si ton serveur n'a qu'une seule carte reseau, c'est celle coté WAN (enfin sur le reseau de ta box), puis une dummy pour le reseau interne des VMs

    • [^] # Re: mon setup à base de LXC (proxmox inside)

      Posté par  . Évalué à 1.

      Merci!

      OK. Donc je retiens que c'est possible… Après, il va falloir que je pioche un peu pour tout comprendre.

      Proxmox, si j'ai bien compris, est beaucoup plus "lourd" et tourne sur Debian. Est-ce toujours envisageable avec juste LXC sur du ARCH?

      • [^] # Re: mon setup à base de LXC (proxmox inside)

        Posté par  . Évalué à 1.

        Proxmox c'est de la virtu KVM, LXC des containers légers (plus léger mais potentiellement moins sécurisé qu'une VM, ce qui à l'air d'être important ici)

        • [^] # Re: mon setup à base de LXC (proxmox inside)

          Posté par  . Évalué à 1.

          Oui, effectivement… Le côté sécu est, pour cette application, assez importante. C'est pour cela que j'avais préférer mettre en œuvre du "matériel".

          J'avais pensé à LXC car cela me semblait plus léger, moins usine à gaz, donc potentiellement plus sur… Bon, comme tu dis il semblerais que je me sois trompé…

          Par contre, il me semble que cela demande plus de "formation"… Je vais aussi regarder de ce côté.

          Merci pour tes réponses.

      • [^] # Re: mon setup à base de LXC (proxmox inside)

        Posté par  . Évalué à 2.

        proxmox t'offre une interface web pour gerer les VMs, configurer les backups, deleguer la gestion des VMs aux assos (pour avoir une console dessus, la redemarrer si besoin, restaurer le backup, etc

        l'iso installe une debian avec un partitionnement specifique et directement les depots/paquets qui vont bien
        dans le cas d'une installation custom comme dans ton cas (ssd + raid pour les données) il est recommandé d'utiliser debian car les paquets sont fournis,

        une debian netinstall ne sera pas beaucoup plus lourde qu'une archlinux.

  • # a priori pas de problème

    Posté par  . Évalué à 2.

    Meme principe qu'avec tes RPi : tu fais un LXC service caché qui n'a qu'une interface vers le LXC tor qui lui accède au net.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.