| View previous topic :: View next topic |
| Author |
Message |
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
 Posted: Thu Jan 05, 2006 1:36 pm Post subject: [conseil] partitionnement/serveur/sécurité |
 |
|
Bonjour, bonne année, et une petite pensée pour les étudiants dans mon genre qui passent cette semaine leurs partiels semestriels 
J'ai besoin d'un petit peu d'aide au sujet d'un partitionnement.
IL s'agit d'un disque dur de 120 Go je voudrait y mettre un petit serveur web (Apache) sur une partition dédiée (enfin je suppose) mais il servira aussi comme pc de tout les jours aussi bien loisirs que travail.
Pour corser le tout je vais essayé d'utilisé LVM car ça a l'air marrant et pas inutile; pour sombrer un peu plus dans la folie, le système de fichier sera reiser4 partout si c'est possible.
ma question donc: que conseillez-vous comme partitions: / /boot /swap /home et puis quoi d'autre?????
merci bcp
Last edited by Pixys on Thu Jan 05, 2006 8:37 pm; edited 1 time in total |
|
| Back to top |
|
 |
Anthyme
Guru
Joined: 25 Jun 2004
Posts: 498
|
| Posted: Thu Jan 05, 2006 1:38 pm Post subject: |
|
|
regarde juste en dessous y a un topic qui repond a la majorité de ce que tu demande  |
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 7:17 pm Post subject: |
|
|
| ok j'ai vu mais ça ne répond pas à ma question sur le serveur web....... |
|
| Back to top |
|
|
Anthyme
Guru
Joined: 25 Jun 2004
Posts: 498
|
| Posted: Thu Jan 05, 2006 7:19 pm Post subject: |
|
|
| bas de toute façon un site web ca fait rarement des 100ene de mega ... donc le /usr/www c deja parfait ^^ |
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Jan 05, 2006 7:19 pm Post subject: |
|
|
Euh, y a pas de question pour le serveur web.
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 8:14 pm Post subject: |
|
|
| Ahahahahaha désolé je suis 1 peu fatigué (partiels) donc la question concernant le serveur c'est: "un serveur ça n'a besoin que d'une seule partition"? et puis tant que j'y suis, dans un soucis de sécurité maximale je suppose que je dois avoir /var /user sur des partitions séparées....... |
|
| Back to top |
|
|
guilc
Bodhisattva
Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France
|
| Posted: Thu Jan 05, 2006 8:21 pm Post subject: |
|
|
| Pixys wrote: | | Ahahahahaha désolé je suis 1 peu fatigué (partiels) donc la question concernant le serveur c'est: "un serveur ça n'a besoin que d'une seule partition"? et puis tant que j'y suis, dans un soucis de sécurité maximale je suppose que je dois avoir /var /user sur des partitions séparées....... |
Pour la sécurité, je mettrai /var et /tmp a part. la chute du systeme sera moins lourde en cas de flood de logs ou d'un programme drouillé qui remplit /tmp ou /var/tmp... Enfin bon, ça empechera pas quelques plantages exotiques dans ce cas, mais ça laisse une plus grande chance d'arriver avant que le systeme soit completement freezé
_________________
Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 8:37 pm Post subject: |
|
|
Ok c'est noté.
j'ai (re)lu le guide de sécurité Gentoo et j'ai vu qu'il y avait un noyau pondu par la NSA vous croyez qu'il est plein de mouchards et autre bestioles pas catholiques? Quelqu'un l'a-t-il déjà testé? |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Jan 05, 2006 8:45 pm Post subject: |
|
|
Le noyau sorti par la NSA, il s'appelle SELinux (Security Enhanced Linux). Il n'est pas sorti de maniere officielle, mais j'ai reussi a faire une installation avec, c'est jouable, faut juste s'amuser a suivre les HOWTO et pas oublier d'installer les 'policies'. Si tu veux t'amuser avec, vas-y
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Jan 05, 2006 8:45 pm Post subject: |
|
|
boozo, on peut faire les deux en meme temps il me semble.
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Jan 05, 2006 9:04 pm Post subject: |
|
|
Eh, le monsieur il veut savoir si c'est possible, nous on lui dit que c'est possible.
Apres s'il veut savoir si c'est amusant de s'en servir, on lui repondra
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 9:05 pm Post subject: |
|
|
 C'est amusant de s'en servirrrr?????????
Ben de toutes les façon je suis plutot pour tester tout plein de chose et au point ou j'en suis.....ça m'étonnerai pas qu'un jour mon pauvre p4 finisse en grille-pain.
J'ai rapidement parcouru le lien du SeLinux mais j'ai pas trop compris si il s'agissait d'un noyau en tant que tel ou d'une série de patchs. |
|
| Back to top |
|
|
guilc
Bodhisattva
Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France
|
| Posted: Thu Jan 05, 2006 9:13 pm Post subject: |
|
|
| boozo wrote: | @ Trevoke: sûr ! mais bon... avec les politiques à gérer et tout le toutim c'est pas le top sur une machine desktop qui fait également serveur à l'occasion... encore une fois ce n'était qu'un avis
en plus j'ai souvenir de certaines compil qui ne passaient pas avec ce genre de noyaux... je crois que guilc ou El_Goretto qui tourne avec un profile hardened seront plus à même de s'étendre sur le sujet |
Ouah ! quelle mémoire
Oui, je tourne en hardened sur ma gateway. J'utilise GRsec, pas SELinux. Pourquoi, parceque grsec est complet, pas besoin de se compliquer la vie
Vue rapide de ce que comprends grsec :
- PaX (aussi utilisé dans SELinux). Pax travaille autour de la mémoire : pages non exécutables, randomisation des plages d'adressage, etc... C'est cette partie principalement qui pose parfois des problèmes avec certains programmes (exemple, w3m, chargement de dynamique de certaine libs d'xorg par exemple) Enfin, ça marche plutot bien est est l'un des éléments essentiels du hardening a mon avis
- RBAC : ça, c'est la version grsec des acl que l'on trouve de manière analogue dans RSBAC (projet allemand). Permet de restreindre les ressources atteignables par les programmes : interdiction d'ouvrir une socket, d'acceder a certains fichiers, etc... Très performant, mais over-chiant a mettre en place; un mange temps incroyable
- Hardening du kernel : patchs divers au niveau de la pile IP, protection en écriture de /dev/kmem pour bloquer l'injection de code dans le kernel, restrictions dans /proc, etc... www.grsecurity.net pour tous les détails. Petite précision : un kernel grsec cohérent voit le support des modules DESACTIVE (tout en dur, et bien décocher le support des modules). A prendre en considération donc : driver nvidia/ati proprio inutilisable par exemple. De toute façon, a mon sens, une machine grsec comme desktop, c'est une abhération, trop compliqué a gérer, et pose trop de problèmes avec certains programmes graphiques (de mémoire, xorg, mozilla[-firefox|-thunderbird], openoffice...). A réserver sur un serveur, un routeur, une machine plus exposée qu'un desktop.
Au fait, tiens, pourquoi j'ai pondu tout ça moi, je m'emporte, c'était pas completement dans le sujet Bon, c'est écrit, je poste quand meme 
_________________
Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 9:16 pm Post subject: |
|
|
Si si merci ça m'interesse je peux meme changer le titre de mon thread....
donc tu déconseilles en utilisation desktop? pour les problèmes avec ATI c'est pas grave, j'ai toujours des problème avec ATI donc je serai pas dépaysé.....
Last edited by Pixys on Thu Jan 05, 2006 9:25 pm; edited 1 time in total |
|
| Back to top |
|
|
guilc
Bodhisattva
Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France
|
| Posted: Thu Jan 05, 2006 9:23 pm Post subject: |
|
|
| Pixys wrote: | Si si merci ça m'interesse je peux meme changer le titre de mon thread....
donc tu déconseilles en utilisation desktop? pour les problème avec ATI c'est pas grave, j'ai toujours des problème avec ATI donc je serai pas dépaysé..... |
Franchement, pour un desktop, oui, je le déconseille ca génère trop de merdes. Perso, je ne le garde que pour des serveurs headless, avec uniquement des serveur dessus, aucune appli inutile (comme n'importe quel vrai serveur quoi )...
Enfin, tu peux toujours tenter l'aventure si t'es un brin maso sur les bords 
_________________
Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 9:36 pm Post subject: |
|
|
| Quote: | | mais à lire ta signature je sais déjà ton choix |
lol! ouai mais j'aime bien les "choses exotiques" je vais réfléchir: mon serveur ne sera peut etre pas online quand moi je serai sur mon ordi: genre serveur online la nuit (ou à des heures déterminé > quand je suis à la fac par ex) et sinon utilisation desktop. Dans ce cas je peux mettre 2 noyaux l'un pour le seveur et l'autre pour "moi" |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 9:52 pm Post subject: |
|
|
Oki pour le how-to quand sa tourne, mais surtout surtout après les partiels  |
|
| Back to top |
|
|
guilc
Bodhisattva
Joined: 15 Nov 2003
Posts: 3326
Location: Paris - France
|
| Posted: Thu Jan 05, 2006 10:23 pm Post subject: |
|
|
| Pixys wrote: | | Dans ce cas je peux mettre 2 noyaux l'un pour le seveur et l'autre pour "moi" |
Ca, c'est pas du tout cohérent si je peux me permettre
En théorie, c'est tout a fait faisable : tu auras juste tes binaires compilés avec un gcc pie/ssp si tu sette un profil hardened (c'est pas obligé d'ailleurs, grsec tourne aussi sans ça, y a qu'a voir comment on fait sur une debian hardened : on ne recompile pas tout pour autant avec un gcc patché... Mais il est vrai que les binaires compilés avec un gcc pie/ssp est un plus qui complete les effets de PaX)
Mais si tu regardes bien, ça veut dire que ton systeme hardened pourra etre corrompu lorsque tu tournes sur le noyau non grsec qui est plus facilement attaquable... donc autant tout le temps tourner sur le noyau normal
Après, faut voir ce que tu recherches : avoir une box bien sécurisée, ou juste découvrir les mécanismes du hardening et grsec ?
Ma remarque ne s'applique qu'au premier cas
_________________
Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
Pixys
l33t
Joined: 23 May 2005
Posts: 669
|
| Posted: Thu Jan 05, 2006 10:39 pm Post subject: |
|
|
| Ouai ou peut etre que 2 disques durs ferait l'affaire mais j'avais pas pensé à ce que disais guilc...... |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
|
| Back to top |
|
|
|
French
