Le 06/09/2017 à 10:35, Marc Chantreux a écrit :
> On Wed, Sep 06, 2017 at 10:19:28AM +0200, Wallace wrote:
>> Je vois bien ce mécanisme mais il ne permet pas de chroot en ssh ou
>> alors c'est pas clair dans la documentation.
> OK du coup je comprend mieux l'idée de François:
>
> docker utilise les containers pour embarquer toutes la distribution dans
> le package d'une application. tu peux monter des volumes (ceux que tu
> voudrais partager) dans ton docker. l'idée donc s'est que quand tu te
> connecte en ssh, ca te force a te connecter a un container qui contient
> un systeme complet et les repertoires que tu voulais rendre visible).
>
> mais du coup t'as pas les paramètrages de la machine sur laquelle tu te
> connectais et le container est complet (autre ip et tout ...)
>
> bref ... est une idée mais perso j'aurais plutot tendance a regarder du
> coté de debootstrap.
>
> https://wiki.debian.org/Debootstrap
Je vois mieux l'idée mais clairement elle n'est pas viable niveau sécurité.

L'os minimal qu'il soit docker ou debootstrap n'est pas maintenu
quotidiennement = failles systèmes qui s'accumule, l'os n'est pas
iso27001, pci-dss, hds compliant de base et le faire en une image ou une
suite d'action après debootstrap alourdirait considérablement la tâche
et le poids quand il s'agit de faire que de simples comptes sftp / ssh
sur un seul os.

Si je pousse le concept bien plus loin que mon besoin, quid des
ressources nécessaires pour avoir 2000, 5000, 10000 comptes sftp/ssh?

Sur un seul serveur avec 4Go de ram et 2 cpu ça devrait tenir facilement
plusieurs milliers de comptes, Docker va consommer disons 256/512Mo x le
nombre de compte et Debootstrap comme Docker lorsqu'il faut passer une
mise à jour quotidienne sur l'OS ça fait plusieurs milliers d'images à
mettre à jour / redémarrer ou plusieurs milliers de debootstrap à lancer.
Si le principe est intéressant, l'usage l'est clairement beaucoup moins.


Attachment: signature.asc
Description: OpenPGP digital signature

Répondre à