Je viens juste d'acheter le magazine MISC des mois Novembre-Décembre et dedans j'ai pu lire deux articles très intéressants sur jail et sur les "zones" Solaris... Donc encore une fois, c'est une présentation des techniques pour sécuriser les serveurs et d'une certaine façon virtualiser. Les systèmes Unix ont été conçu pour le réseau et une utilisation multi utilisateur, pour permettre une gestion sécurisée de ce dernier point, il y a en gros deux types d'utilisateurs: les utilisateurs normaux et le super utilisateur: root. Ce dernier a tous les pouvoirs dans son système Unix et peut donc tout y détruire. Devenir root sur sa machine (ou dans d'autres cas: sur une autre machine) c'est y devenir Dieu... Ce paradigme commence à atteindre ses limites car de plus en plus d'applications requièrent malheureusement des droits étendus pour pouvoir être utilisées, ce qui est une porte ouverte pour gagner des droits étendus sur la machine et devenir root. Ce paradigme commence seulement a être mis en place dans le monde Windows bien que présent déjà depuis de nombreuses années dans l'univers Unix/Linux. Ajourd'hui il semblerait que le nouveau paradigme soit de créer une machine virtuelle pour chaque utilisateur ou application, c'est-à-dire restreindre l'univers d'un utilisateur à un domaine bien défini, d'où le nom bien choisi de jail dans l'univers de BSD. Sun Solaris peut ainsi créer 8192 zones différentes, autant de domaines sécurisées ou l'utilisateur restera cloitré quelque soit ses actions. Bien sur d'autres solutions encore plus extrêmistes sont envisageables comme XEN dont j'ai déjà parlé auparavant. Ces solutions sont extrêmement intéressantes du point de vue des entreprises qui vont pouvoir consolider leurs datacenters, dont certaines machines ne sont utilisées qu'à quelques pourcents, vont pouvoir devenir des machines virtuelles. Là où auparavant elles avaient 5 machines pour 5 applications différentes, elles vont pouvoir en garder 1 pour 5 applications... Je vous laisse faire quelques calculs et méditer...
Tags:
Aucun commentaire:
Enregistrer un commentaire