Sécuriser déployement

Posté par sam le Lundi, 20 Novembre, 2006 - 5:07pm.

Déploiement

Bonjour,

Je prépare actuellement une doc sur un déploiement de Rails avec Apache2.2 et Mongrel, et j'ai un soucis au niveau de la sécurité.

Je souhaite séparer les rôles avec d'un côté l'administration pure (mise en place de l'accueil pour une appli, config Apache, ...), de l'autre le développeur qui peut déployer l'appli et la corriger.

Le problème est le fichier mongrel_cluster.yml qui doit être placé dans le répertoire config de l'appli, et auquel le développeur a accès. Le développeur qui ne DOIT PAS pouvoir y changer quoi que ce soit. Je pense plus à la boulette lors d'une mise à jour qui écraserait le fichier qu'un acte malveillant (il y aurait un bon moyen de devenir root...). Un chmod + chown n'est pas suffisant dans mon contexte.

J'ai bien essayé de déplacer le fichier dans /etc/mongrel_cluster au lieu de faire un lien, mais mongrel râle.

Si quelqu'un sait s'il est possible de désolidariser l'appli Rails du fichier de démarrage de Mongrel, c'est à dire de le placer ailleurs que dans le répertoire config de l'appli, ça m'aiderait pas mal.

Merci d'avance.
Sam.

[ Vous devez vous connecter ou vous enregistrer pour écrire des commentaires | sujet précédent | sujet suivant | envoyer par email ]

Sujet:	Refaire un script de démarrage
Auteur:	sam
Date:	Mar, 21/11/2006 - 09:59

Et bien je n'ai pas trouvé la réponse "simple" à ma question. La solution résidé dans l'écriture d'un script de démarrage personnalisé car cela n'a pas été prévu dans Mongrel Cluster :

- Créer les scripts de paramètre avec mongrel_rails cluster::configure et l'option --config pour spécifier que le fichiers de paramètres va dans /etc/mongrel_cluster (par exemple...).

- Créer un script par appli dans /etc/init.d (ou un plus global qui scanne le répertoire des configs) qui appel mongrel_rails cluster::xxxxx avec l'option --config

Sans être des plus simples, ça n'a rien de bien méchant, et avec ça plus de fichier de démarrage dans l'arborescence de l'appli.

[ Vous devez vous connecter ou vous enregistrer pour écrire des commentaires | envoyer par email ]

Sujet:	Script : c'est fait
Auteur:	sam
Date:	Mer, 22/11/2006 - 21:09

Je me réponds encore à moi-même. Je dois être un grand malade :p

J'ai pris un peu de temps pour approfondir mon sujet et créer un script. Au passage il y a à mon humble avis un os avec les fichiers pid créés par mongrel, car ils peuvent être modifiés par l'utilisateur exécutant l'application et amener un processus quelconque à être arrêté plus tard. Je suis un peu parano, mais j'avais bien écrit que j'étais un grand malade ;)

J'ai un script ici (qui remplace mongrel_cluster dans le /etc/init.d) : http://blog-perso.onzeweb.info/wp-content/uploads/2006/11/mongrel_all_clusterrb.html

J'en dis plus dans ce post sur la manière de s'en servir (rien de transcendant) : http://blog-perso.onzeweb.info/2006/11/22/mongrel-pb-droits-fichiers/

Si quelqu'un a une remarque à faire elle sera la bienvenue.

[ Vous devez vous connecter ou vous enregistrer pour écrire des commentaires | envoyer par email ]