Bonjour,
Dans le cadre de déployer plusieurs sites WordPress indépendant serveur Apache + MySql, je pense à Docker.
Est ce possible, qu'elle infrastructure faut il ? des retours d’expériences REX ?
Par avance, merci
Knut
salut le linux magazine du mois de mars 2016 montre un exemple de docker+nginx+php-fpm
2016-03-15 23:02 GMT+01:00 Sappas sappas@free.fr:
Bonjour,
Dans le cadre de déployer plusieurs sites WordPress indépendant serveur Apache + MySql, je pense à Docker.
Est ce possible, qu'elle infrastructure faut il ? des retours d’expériences REX ?
Par avance, merci
Knut _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Bonjour Knut, Tu pourras rencontrer des specialistes de Docker le 22 mars a Sophia:http://www.telecom-valley.fr/workshop-docker-birthday-celebration-3/
Laurent
From: Sappas sappas@free.fr To: Liste principale de Linux Azur linux06@lists.linux-azur.org Sent: Tuesday, March 15, 2016 11:02 PM Subject: [HELP] Recherche utilisateur de Docker
Bonjour,
Dans le cadre de déployer plusieurs sites WordPress indépendant serveur Apache + MySql, je pense à Docker.
Est ce possible, qu'elle infrastructure faut il ? des retours d’expériences REX ?
Par avance, merci
Knut _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Bonjour Laurent,
Comme la conduite me pèse, si j'ai le courage de conduire, j'irais... j'ai vu qu'il fallait s’inscrire jusqu'à le veille. Ils en parlent dans le dernier numéro de l'Informaticien que je vais lire, je vais attendre de voir ce que nous concoctent les petits comploteurs Vincent et Philippe avec leur VM, le but était d'avoir 1 blog par Ral sur le modèle de celui de Vincent qui est trés bien pour Bar sur Loup, pour Callian dans un premier temps et peut être St Raphaël, peut être Antibes ! Car c'est bien beau de créer un blog encore faut'il l'animer, si parmi la liste06, des personnes veulent être contributeur ou rédacteur, ils sont les bienvenus. Une autre piste, Benoît m'a déconseillé Docker, et m'a parlé d'un WordPress multisite ... Pour moi le CMS, c'était l'inconnu y a 1 mois et demi, le dernier site que je me suis fait, c'était en html statique avec Netscape.... C'est dire ! Mon cœur de métier, c'était consultant applicatif SAP R/3 Finance, même si j'ai fait les 3 métiers, développeur et architecte admin sys
Donc l'urgence même si on a le temps, puisque tu as clôturé 2015, c'est la migration de Dolibarr, et sortir un report en forme de bilan/résultat dans Dolibarr pour 2016. Tu avais raison pour la partie double, elle n'est pas complète, mais j'ai une idée je vais ruser en attendant la réécriture de Dolibarr!
Merci de l'information
Knut
Le 16/03/2016 10:22, Laurent Charpentier a écrit :
Bonjour Knut,
Tu pourras rencontrer des specialistes de Docker le 22 mars a Sophia: http://www.telecom-valley.fr/workshop-docker-birthday-celebration-3/
Laurent
*From:* Sappas sappas@free.fr *To:* Liste principale de Linux Azur linux06@lists.linux-azur.org *Sent:* Tuesday, March 15, 2016 11:02 PM *Subject:* [HELP] Recherche utilisateur de Docker
Bonjour,
Dans le cadre de déployer plusieurs sites WordPress indépendant serveur Apache + MySql, je pense à Docker.
Est ce possible, qu'elle infrastructure faut il ? des retours d’expériences REX ?
Par avance, merci
Knut _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org mailto:Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 17/03/2016 07:23, Sappas a écrit :
Une autre piste, Benoît m'a déconseillé Docker, et m'a parlé d'un WordPress multisite ... Pour moi le CMS, c'était l'inconnu y a 1 mois et demi, le dernier site que je me suis fait, c'était en html statique avec Netscape.... C'est dire !
Benoit a raison, de nombreux /CMS/ sont multisites, du coup, pas besoin de réinventer la roue :-)
Salutations ensoleillées,
Le 17/03/2016 09:35, Véronique Fritière a écrit :
Le 17/03/2016 07:23, Sappas a écrit :
Une autre piste, Benoît m'a déconseillé Docker, et m'a parlé d'un WordPress multisite ... Pour moi le CMS, c'était l'inconnu y a 1 mois et demi, le dernier site que je me suis fait, c'était en html statique avec Netscape.... C'est dire !
Benoit a raison, de nombreux/CMS/ sont multisites, du coup, pas besoin de réinventer la roue
Bon bon bon, ok, je vais regarder comment qu'on fait pour rajouter plein de sites sur le WordPress de la RAL du BSL. Par contre, à mon sens, il faudrait *avant* : - revenir sur la version gérée par la distro de la VM (Debian), - sécuriser un poil l'ensemble, par exemple en modifiant l'arborescence classique (semble possible même au travers des mises à jour).
Philippe gratte également par là, il a déjà trouvé quelques bizarreries que j'avais - un peu - cachées (sous le tapis, hop!).
A+ Vincent.
Le 17/03/2016 09:41, Vincent a écrit :
Le 17/03/2016 09:35, Véronique Fritière a écrit :
Le 17/03/2016 07:23, Sappas a écrit :
../..
Benoit a raison, de nombreux/CMS/ sont multisites, du coup, pas besoin de réinventer la roue
Bon bon bon, ok, je vais regarder comment qu'on fait pour rajouter plein de sites sur le WordPress de la RAL du BSL.
Piste : URL:https://codex.wordpress.org/fr:Cr%C3%A9er_un_r%C3%A9seau
cela peut permettre aux débutants de travailler sur leur "site" sans casser le reste :-)
Salutations ensoleillées,
Le 17/03/2016 09:35, Véronique Fritière a écrit :
Le 17/03/2016 07:23, Sappas a écrit :
Une autre piste, Benoît m'a déconseillé Docker, et m'a parlé d'un WordPress multisite ... Pour moi le CMS, c'était l'inconnu y a 1 mois et demi, le dernier site que je me suis fait, c'était en html statique avec Netscape.... C'est dire !
Benoit a raison, de nombreux /CMS/ sont multisites, du coup, pas besoin de réinventer la roue :-)
Je viens de regarder, 2 lignes de code à rajouter dans WP, cela active multi domaine et multi sous domaine, parfait ! Faudra regarder si différence au niveau préfixe DB pour séparer au minimum
Salutations ensoleillées,
salut je vois qu'une archi va se mettre en place pour du site web. voici ce que je fais (en amateur dans l'asso que je gère) afin de mettre en place un serveur multi admins et multi utilisateurs. peu importe le cms utilisé, c'est juste de l'admin sys.
la premiere chose que je fais est de changer le port ssh et interdire l'acces par mot de passe (clef obligatoire). bien sur j'installe fail2ban tout en lui disant que le port ssh a changé. il est aussi possible de restreindre l'acces à la machine à tout ce qui est autre que ssh et http en utilisant iptables.
ensuite :
1/ j'installe sudo et ajoute les admins potentiels dans le groupe sudo 2/ je cree une clef ssh pour root 3/ je crée un dépot git privé sur framagit (ou autre) et y mets la clef publique de root 4/ dans /opt je cree un dossier qui contiendra tout ce qui sera sauvé sur ce dépot en partant du nom de la machine donc si la machine s'appelle toto, je cree /opt/toto 5/ tout fichier de conf que j'édite, je le copie d'abord en .bak par exemple, /etc/nginx/nginx.conf est copié en /etc/nginx/nginx.conf.bak 6/ tout fichier de conf que j'edite est déplacé dans /opt/toto en respectant l'arborescence de /etc par exemple /etc/nginx/nginx.conf est déplacé vers /opt/toto/etc/nginx/nginx.conf 7/ je crée un lien symbolique du fichier de /opt/toto vers l'emplacement definitif par exemple : "ln -s /opt/toto/etc/nginx/nginx.conf /etc/nginx/"
ce mecanisme permet de revisionner les fichiers de conf et si on veut savoir qui a modifié quoi, il est possible d'ajouter les clefs publiques de chaque personne faisant partie d'un groupe ayant les droits de modifier les fichiers dans /opt/toto rien n'empeche de revisionner directement /etc sans passer par un dossier intermédiaire mais avec ma technique, je vois de suite ce qui a seulement été modifié. si on ne veut pas passer par un hebergeur de dépot tiers, on peut tres bien utiliser un "git init --bare".
pour les sites web, je crée un dossier www dans la home de chaque utilisateur. j'utilise ensuite le chroot par sftp dans la config de ssh en verrouillant l'utilisateur dans son dossier www (il n'a pas le droit de se connecter en ssh mais peut seulement accéder à son www par sftp et ne voit rien d'autre) (on peut permettre à sftp d'utiliser les mots de passe tout en interdisant l'acces par mot de passe par ssh comme vu au debut).
ce dossier www a une hierarchie spécifique : /home/user/www/domaine.du.site.com ce qui permet d'heberger plusieurs sites avec des domaines différents sous le meme utilisateur. puis /home/monuser/www/domaine.du.site.com/etc qui contient les fichiers de config du site (vhost) et autre fichier de conf nécéssaire à ce site. /home/monuser/www/domaine.du.site.com/htdocs qui contient les fichiers publics du site /home/monuser/www/domaine.du.site.com/log qui contient les logs du site /home/monuser/www/domaine.du.site.com/backups qui contient les backups eventuels bien sur, dans le vhost on pointera vers le dossier htdocs en lui demandant de mettre les logs dans log.
seul ce dossier est accessible en modifications à l'utilisateur (etc et log appartiennent à root). on pourrait aussi d'ailleurs verouiller l'utilisateur dans le dossier htdocs mais je prefere monter plus haut comme ça il peut lire la config et les logs de tous ses sites. un lien symbolique est créé du fichier vhost vers le serveur web : "ln -s /home/monuser/www/domaine.du.site.com/etc/domaine.du.site.com /etc/nginx/sites-enabled/"
avec cette config, il faut que l'utilisateur www-data ait acces en ecriture à certains dossiers donc je fais un "chown monuser:www-data htdocs" puis un "chmod 2775 htdocs" avant d'y ajouter des fichiers. je me suis fait un script dans un coin qui change les droits sur les dossiers et fichiers de htdocs : https://wiki.ssm2017.com/chmod-www ce script passe tous les fichiers en 664 et dossiers en 2775 (il est bien sur possible de le lancer par cron et granulariser les droits selon les dossiers). le 2 devant le 775 permet de garder le meme groupe lors de la creation d'un dossier ou fichier enfant.
pour les backups, je crée un fichier /root/.my.cnf qui contient le login et pass du root mysql (bien sur, faire un "chmod 600" sur ce fichier. ensuite, je me suis fait un script de backup lancé par cron qui scanne les dossiers des users en cherchant les domaines en www et fait un targz du dossier htdocs puis un mysqldump de la base correspondante sachant que le nom de la base est le meme que le domaine en remplacant les points par des underscores. (domaine.du.site.com = domaine_du_site_com)
je crois n'avoir rien oublié... bon courage :)
2016-03-17 9:48 GMT+01:00 Sappas sappas@free.fr:
Le 17/03/2016 09:35, Véronique Fritière a écrit :
Le 17/03/2016 07:23, Sappas a écrit :
Une autre piste, Benoît m'a déconseillé Docker, et m'a parlé d'un WordPress multisite ... Pour moi le CMS, c'était l'inconnu y a 1 mois et demi, le dernier site que je me suis fait, c'était en html statique avec Netscape.... C'est dire !
Benoit a raison, de nombreux /CMS/ sont multisites, du coup, pas besoin de réinventer la roue :-)
Je viens de regarder, 2 lignes de code à rajouter dans WP, cela active multi domaine et multi sous domaine, parfait ! Faudra regarder si différence au niveau préfixe DB pour séparer au minimum
Salutations ensoleillées,
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 17/03/2016 11:52, ssm2017 a écrit :
salut je vois qu'une archi va se mettre en place pour du site web. voici ce que je fais (en amateur dans l'asso que je gère) afin de mettre en place un serveur multi admins et multi utilisateurs. peu importe le cms utilisé, c'est juste de l'admin sys.
8 ----- COUIC ------ 8<
pour les sites web, je crée un dossier www dans la home de chaque utilisateur. j'utilise ensuite le chroot par sftp dans la config de ssh en verrouillant l'utilisateur dans son dossier www (il n'a pas le droit de se connecter en ssh mais peut seulement accéder à son www par sftp et ne voit rien d'autre) (on peut permettre à sftp d'utiliser les mots de passe tout en interdisant l'acces par mot de passe par ssh comme vu au debut).
8 ----- COUIC ------ 8<
Bonjour, et merci pour ce partage de connaissances!
Je vais potasser ça! Pas mal le principe d'un site par utilisateur, même si la solution à laquelle on pensait était de simplement utiliser les fonctionnalité du CMS, avec la gestion des différents sites par la console d'admin. Par contre, quel est l'intérêt d'utiliser des mots de passe en SFTP quand on est passé en SSH authentifié par clé?
Bonne journée, Vincent.
Pas mal le principe d'un site par utilisateur, même si la solution à laquelle on pensait était de simplement utiliser les fonctionnalité du CMS, avec la gestion des différents sites par la console d'admin.
le systeme dont je parle est de mettre plusieurs sites par utilisateur et (avec le systeme de dossier /opt/toto par git ) la gestion de la machine en multi admins avec revision sur les fichiers de config de la machine. bien sûr que pour les besoins demandés, un site wordpress en mode "network" ou bien un drupal en multisites est ce dont vous avez besoin, et l'un n'empeche pas l'autre (avoir un multisites wordpress ou drupal géré par un seul utilisateur machine et tous les blogs administrables seulement depuis le web). la machine peut être gérée par un admin sys et le site web et ses sous dossiers par un intégrateur cms qui a juste besoin de pouvoir uploader des plugins/modules ou themes.
Par contre, quel est l'intérêt d'utiliser des mots de passe en SFTP quand on est passé en SSH authentifié par clé?
je ne propose pas de le faire mais indique que c'est possible. si l'utilisateur sftp est capable de gérer des clefs ssh, il est recommandé de le faire mais certains utilisateurs (souvent ceux utilisant un systeme d'exploitation dont je tairai le nom) ont du mal avec ces mecanismes donc l'authentification par mot de passe simplifie les choses. bien sûr, le mot de passe est envoyé en clair sur le réseau mais ces acces sftp donnent seulement la possibilité de lire ou écrire dans un seul dossier sans pouvoir exécuter de commande ni permettre l'acces en ssh. ces utilisateurs sftp peuvent aussi utiliser une clef si possible. par contre, les utilisateurs ayant acces à ssh ont l'obligation d'utiliser une clef ne les empechant pas non plus d'avoir acces à la machine en sftp mais sans restriction ni enfermement dans un dossier.
Bonne journée,
de même
Vincent.
Seb :)
Le 18/03/2016 09:32, ssm2017 a écrit :
si l'utilisateur sftp est capable de gérer des clefs ssh, il est recommandé de le faire mais certains utilisateurs (souvent ceux utilisant un systeme d'exploitation dont je tairai le nom) ont du mal avec ces mecanismes donc l'authentification par mot de passe simplifie les choses.
Même sous Linux, certaines personnes préfèrent les interfaces graphiques et sont ravies de se connecter en SFTP sans passer par la ligne de commande.
Par exemple, Filezilla URL:https://filezilla-project.org/
Salutations ensoleillées,
Le 18/03/2016 09:47, Véronique Fritière a écrit :
Le 18/03/2016 09:32, ssm2017 a écrit :
si l'utilisateur sftp est capable de gérer des clefs ssh, il est recommandé de le faire mais certains utilisateurs (souvent ceux utilisant un systeme d'exploitation dont je tairai le nom) ont du mal avec ces mecanismes donc l'authentification par mot de passe simplifie les choses.
Même sous Linux, certaines personnes préfèrent les interfaces graphiques et sont ravies de se connecter en SFTP sans passer par la ligne de commande.
Par exemple, Filezilla URL:https://filezilla-project.org/
Pour ma part j'utilise gftp avec le protocole SSH2, en décochant l'option 'utiliser User/Pass' dans l'onglet SSH. Je me connecte donc, en graphique, en authentifié par clé.
Évidemment, je ne peux le faire que sur les machines possédant la clé SSH.
Même sous Linux, certaines personnes préfèrent les interfaces graphiques
et sont ravies de se connecter en SFTP sans passer par la ligne de commande.
Par exemple, Filezilla URL:https://filezilla-project.org/
le probleme dans ce cas n'est pas pas dans le client utiliser (gui ou cli) mais dans la gestion des clefs. sous windows, il faut utiliser puttygen qui genere une paire de clefs à sauver ensuite puis donner la publique à un admin (la clef sauvée dans un fichier texte et passée dans le bloc notes doit ensuite etre retouchee par l'admin en enlevant les retours à la ligne etc... avant de l'ajouter dans le "authorized_keys" ) puis donner la privée à filezilla... qui ne tolere les clefs qu'au format putty, donc la convertir... reponse récurente de l'utilisateur : "oulala, c'est compliqué ton truc...j'y arrive pas... on peut pas juste rentrer un mot de passe ? chez ovh j'ai juste le mot de passe à mettre et ça marche de suite..."
Pour ma part j'utilise gftp avec le protocole SSH2, en décochant l'option
'utiliser User/Pass' dans l'onglet SSH. Je me connecte donc, en graphique, en authentifié par clé.
Évidemment, je ne peux le faire que sur les machines possédant la clé SSH.
filezilla permet aussi d'utiliser une clef ssh sous linux par contre il faut aller dans les settings puis dans l'onglet connexion/sftp et ajouter une clef au format.... putty... mais heureusement il convertit tout seul la clef qu'on lui donne (ouf)
bien sûr, un utilisateur etant patient peut y arriver et pour les plus aguerris il est meme possible de leur donner un acces ssh (sans sudo) et pourquoi pas de lui poser un "drush" (pour drupal) ou meme un "composer" si il veut jouer avec laravel ou symfony et tout cela au niveau utilisateur (apres c'est une question de confiance).
la separation entre les utilisateurs sftp et ssh se fait par groupe (par exemple le groupe sftpusers). donc si on souhaite qu'un utilisateur ait acces à ssh il suffit de le virer (ou ne pas le mettre) du groupe sftpusers.
apres, si on souhaite que plusieurs utilisateurs machine aient un dossier htdocs en commun, il suffit alors de sortir le htdocs du home (le mettre par exemple dans /srv/www/monsite.com/htdocs, verrouiller le sftp dans ce dossier, puis creer un groupe d'admins web genre www-admins et mettre l'utilisateur www-data dans ce groupe ainsi que les utilisateurs concernés et donner ce groupe aux dossiers et fichiers de htdocs et enfants. je n'ai jamais testé ni utilisé cette solution.
Le 18/03/2016 09:47, Véronique Fritière a écrit :
Le 18/03/2016 09:32, ssm2017 a écrit :
si l'utilisateur sftp est capable de gérer des clefs ssh, il est recommandé de le faire mais certains utilisateurs (souvent ceux utilisant un systeme d'exploitation dont je tairai le nom) ont du mal avec ces mecanismes donc l'authentification par mot de passe simplifie les choses.
Même sous Linux, certaines personnes préfèrent les interfaces graphiques et sont ravies de se connecter en SFTP sans passer par la ligne de commande.
Par exemple, Filezilla URL:https://filezilla-project.org/
Salutations ensoleillées,
ou mieux si on a KDE. à partir du navigateur de fichier:
fish://nom_ou_ip_d-une_machine-aynant-un-sshd-actif
et on accède aux fichiers distants dans le naviggateur, on peut ensuite les bouger à la souris sans problème.
merci au "reuse" du C++.
JPB
Le 18/03/2016 12:24, jpb a écrit :
ou mieux si on a KDE. à partir du navigateur de fichier:
fish://nom_ou_ip_d-une_machine-aynant-un-sshd-actif
et on accède aux fichiers distants dans le naviggateur, on peut ensuite les bouger à la souris sans problème.
merci au "reuse" du C++.
JPB
Certes, ta commande fonctionne avec Konqueror... Sur la documentation de Ubuntu, il y a plusieurs possibilités pour se loguer avec *les* différents navigateurs de fichiers : URL:https://doc.ubuntu-fr.org/ssh#monter_un_repertoire_distant_navigation_via_sftp_secure_file_transfer_protocol
Par exemple, avec le navigateur par défaut de Xubuntu (Thunar), j'ai tapé l'adresse : ssh://nom_utilisateur@hostname:port
et il m'a ouvert une session en SFTP : sftp://nom_utilisateur@hostname:port
Cela fonctionne nickel!
Vincent.
2016-03-18 14:55 GMT+01:00 Vincent dubsv@free.fr:
Le 18/03/2016 12:24, jpb a écrit :
ou mieux si on a KDE. à partir du navigateur de fichier:
fish://nom_ou_ip_d-une_machine-aynant-un-sshd-actif
et on accède aux fichiers distants dans le naviggateur, on peut ensuite les bouger à la souris sans problème.
merci au "reuse" du C++.
JPB
Certes, ta commande fonctionne avec Konqueror... Sur la documentation de Ubuntu, il y a plusieurs possibilités pour se loguer avec *les* différents navigateurs de fichiers : <URL: https://doc.ubuntu-fr.org/ssh#monter_un_repertoire_distant_navigation_via_sf...
Par exemple, avec le navigateur par défaut de Xubuntu (Thunar), j'ai tapé l'adresse : ssh://nom_utilisateur@hostname:port
et il m'a ouvert une session en SFTP : sftp://nom_utilisateur@hostname :port
Cela fonctionne nickel!
si vous parlez de l'edition de fichiers distants par sftp attention à l'editeur choisi (gedit par exemple me remplace les liens symboliques par le fichier en dur....) en utilisant sftp dans thunar ou autre navigateur de fichiers, certaines editeurs ont parfois du mal (comme sublime text) alors, j'ai installé "fuse" puis "sshfs" qui me permet de monter simplement un dossier distant dans un dossier local donc apres les editeurs voient des fichiers locaux. exemple de commande pour monter : sshfs 192.168.1.2:. /mnt/mondossier
Super réponse, ta solution me plaît aussi pour un autre projet ! Même si un VM linux, inside Linux, marche très bien.
Je vais étudier cela et je reviens vers toi
Merci
Knut
Le 17/03/2016 11:52, ssm2017 a écrit :
salut je vois qu'une archi va se mettre en place pour du site web. voici ce que je fais (en amateur dans l'asso que je gère) afin de mettre en place un serveur multi _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org mailto:Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-
jpb -
Laurent Charpentier -
Sappas -
ssm2017 -
Vincent -
Véronique Fritière