Salut  
 
J'ai actuellement un petit réseau composé de 3 serveurs Linux et des postes de travail sous winXP. Il y a un samba de configuré sur un des serveurs.
Tout est ok.
J'ai également un serveur dédié chez OVH avec une debian dessus (sur lequel il y a un serveur de mail, un FTP, un serveur Web).
 
L'idée que j'ai, c'est de mettre un VPN entre le réseau local et le serveur OVH et de mettre un samba sur le serveur OVH pour avoir accès depuis les postes windows.
 
D'après vous est-ce que c'est réalisable sans problème ? et surtout est-ce que c'est une bonne idée de faire ça (niveau sécurité surtout) ?

c'est réalisable sans problème.
c'est une idée moyenne vu le fait que le samba sera un 'peu' distant...
Autant qu'il soit a mon avis local.

quel est l'interet d'avoir samba sur un serveur distant?
 
Si tu veux faire de la sauvegarde en ligne par exemple, il existe des protocoles plus adaptés. Le plus basique etant un scp dans la crontab, voir un rsync/scp, ou bien des trucs un peu plus tordus comme codafs ou meme webdav...
 
A part ça je vois pas

 
je pensais plutot pour travailler directement sur les fichiers des sites web qui sont présents, sans a chaque fois passer par le ftp

si c'est juste pour ça, monter un samba et un vpn, c'est une veritable usine à gaz. Un poste client sous MacOS ou sous linux peut utiliser son VFS pour acceder à un repertoire FTP monté comme un disque dur. Sous windows, c'est un peu plus lent et moins stable, mais tu peux definir un partage ftp comme un favoris reseau et y acceder à peu près comme un montage smb.
 
Enfin, si c'est la securité du ftp qui te pose un probleme, tu peux te tourner vers sftp par exemple. Mais là tu oublies la transparence sous windows, tu ne pourras le faire que via le VFS de gnome ou de Mac OS X à ma connaissance.

Je suis du meme avis  

Sinon, on peut utiliser WebDav, qui marche pas mal sous Linux et Windows, et qui est simple à mettre en place.

mais samba est très simple a mettre en place, c'est surtout pour ça que je pensais à lui.
 
je me posais la question surtout au niveau de la sécurité

Ben samba à distance, c'est pas génial (perf + sécu) ...

Mais pourquoi vouloir bosser directement sur le serveur ? Pour tester tes modifs tu es obligé à chaque fois d'uploader tes fichiers sur le ftp ? La meilleure solution constite à monter rapidement un serveur web en local sur ton poste de travail et y faire des copies de tes sites web pour bosser dessus ; tu peux ainsi visualiser rapidement le résultat des modifs effectuées et une fois que c'est bon tu balance une bonne fois pour toute le tout sur le serveur.
 

Plus tu installes de services inutiles, plus tu augmentes les risques de compromission..; sur un serveur il est chaudement recommandé de ne mettre que le strict minimum (par ex: pour un serveur web il est conseillé de s'en tenir à apache -chrooté de préférence- avec généralement mysql et php).

 
dans beaucoup de cas, oui, je peux travailler en local et uploader une fois que les fichiers sont ok mais dans certains cas je ne peux pas car en local je suis sous windows et le serveur est en linux donc les chemin vers les fichiers ne sont pas les memes (exemple sur un site je veux afficher tous les fichiers de tel répertoire, ke chemin ne sera pas de la meme forme).
je me doute que c'est pas forcément une bonne idée mais ça me paraissait tellement pratique de voir le serveur distant comme un serveur du réseau que je me posais la question

si ton code est propre il doit pouvoir gerer indifferament n'importe quelle plateforme d'execution, donc ça ne devrait pas poser de probleme

je plussoie, il faut tu dois concevoir des sites "portatif"

de même
 
HTML, PHP, feuilles de style CSS, java/javascript, etc.
 
Développer avec des méthodes et outils intéropérables (et libres tant qu'à faire) est la meilleure solution pour respecter les standards/normes qui assurent une compatibilité inter plate-formes (encore qu'avec IE, même en les respectants on a parfois de sacré surprises, mais IE c'est du n'imp' de toute façon).

je parlais surtout des différences quand on travaille avec des accès aux fichiers comme par exemple :
 
ctoto/ sur windows et /home/toto/ sur linux
 
si je travaille en local sous windows, comment simuler en local le dossier /home/toto/ sans avoir a rechanger tous les liens chaque fois que j'upload sur le ftp ?

pour un site web, tu fais des liens relatifs (voire tu installes de quoi développer et tester sur ta machien sous win)

  absolument.
tu dois réfléchir comme chacun de tes sites est une racine (on se fiche du préfixe de répertoire)
/index.htm ==> /img/tesimages.jpg
               ==> /rubrique1/rubrique1.htm
 
evite les frames aussi  

Tout ca ca veut dire que ton site sera accessible en permanence via smb et que la sécurité du serveur sera au niveau de la securité des postes sur le réseau smb (qui auront leur propre accès internet).
 
Sans vouloir être parano ca semble quand même pas top niveau sécu mais bon c'est vrai que le ftp est pas genial non plus.
Maintenant tout dépend du site et puis si ça t'amuse de mettre en place un VPN why not

pour les liens relatifs, je vois pas comment faire car par exemple j'ai un site ici /var/www/site1
dans lequel il y tous els fichiers images, html, php etc ...
 
et je dois accéder à des fichiers qui sont totalement ailleurs : /home/toto
 
donc avec les chemin relatifs, je ne peux aller que dans tous les sous répertoire de /var/www/site1/...
 
 
sinon pour le vpn c'est pas trop le soucis car il y en a déjà un en place (un routeur qui fait passerelle)

 
1/ les liens relatifs permettent de remonter l'arborescence : ../../../home/toto
 
2/ c'est un énorme trou de sécurité de pouvoir remonter l'arborescence comme ça dans un site web

 
C'est typiquement le cas ou ce n'est pas perçu comme une faile mais comme une fonctionnalité.
 
Petite astuce : pour pouvoir acceder a un fichiers hors du site sans compromettre tout le serveur avec la possibilité de remonter toute l'arboressence, tu peux faire un mount -o bind des repertoires dont tu as besoin, si et seulement si tu ne peux vraiment pas mettre les fichiers dnas l'arborescence du site en lui meme.

 
ok, merci de l'info  

tu ne dois pas scinder les fichiers de ton site partout dans ton disque dur  
qu'est ce que c'est que ce boulot?  

par convention :
/home/$site1/www ==> repertoire des site internets
/home/$site2/www
/home/$site3/www
ensuite tu configures bien ton apache (virtualhosts) pour que chaque site ./www devienne une /
et ne pas faire des acces à travers toute l'arborescence de ton disque;
sinon c'est la faille de sécurité assuré.
 
/var/spool/mail ==> repertoire des boites aux lettres des $users(n+1)
 
/var/lib/mysql ==> répertoire des bases de données
 
rq : il serait etonnant que le code HTML d'un de tes site accede physiquement
au contenu de la boite au lettre de tes users.
 
la règle absolue est de cloisonné tes services (apache, sendmail, mysql) sinon ça devient
n'importe quoi ==> pas logique.
 
et bien sur tu aboutis à ton pb exposé en début de post.
 
utilise ftp qui n'est pas l'arme absolue bien sur, mais qui n'as pas de connexion utilisateur
ouverte en permanence (comparé à samba ou nfs).
ftp ==> login/passwd
au pire si tu veux pas que des p'tis malins fasse des tests de casse FTP,
change le de canal ou ports autre que 21.
 
bref, réfléchi

 
Justement, concernant les boites aux lettres, j'ai un site qui doit permettre de créer et supprimer des comptes donc accès physique.
Comment faire dans ce cas là pour que tout le monde ne puisse pas utiliser les commandes rm, mkdir etc ... ?

les comptes users ne doivent pas se gérer à travers un site web public.  
tu es un vrai "danger public" (en sécu) ou alors je ne cerne pas tes besoins.  

 
mes besoins => gérer des comptes email sur un serveur dédié
j'aimerais faire une interface web pour gérer ces comptes pour que les autres utilisateurs puissent créer des boites aux lettres dans les domaines qui leur appartiennent.
 
je suis ouvert de toute proposition

pourquoi tu n'utilises pas l'interface livrée par OVH pour gérer ça?
 
je ne vois absolument pas l'incidence avec tes sites web et tes pb d'accés physique
à partir de tes sites web.
 
chacun de tes sites web doit être "cloisonner" (1 virtualhost par nom de domaine) dans une arborescence propre
(de préférence dans /home/$user).
il ne faut pas répartir un peu partout tes fichiers de 1 site dans l'arborescence totale de ton disque sinon
c'est le foin ==> mega trou de secu
 
ex. :
si ta page index.htm est dans le répertoire /home/toto et que cette page apelle une image nommée image1.jpg,
cette derniere ne doit pas se situer physiquement quelquepart dans /var ;
physiquement elle devrais se situer dans /home/toto/img (par exemple)
ton code html de index.htm doit ressembler à  ça :
 
<img src=img/image1.jpg>
et non pas
<img src=../../var/image1.jpg>

 
je vais détailler ma configuration car je ne suis pas que ça soit clair ce que j'ai dis avant :
 
J'ai un serveur dédié sur lequel est installé : un serveur web, un serveur d'emails, un serveur FTP.
Il y a donc plusieurs utilisateurs qui ont chacun un espace mémoire (avec des virtualhosts) associé a un ou plusieurs noms de domaine.
Chaque espace mémoire est accessible par un compte FTP propre a chacun.
Chaque utilisateur peut avoir des boites aux lettres associées a ses noms de domaine.
Je voudrais donc faire une interface web gloabale où chaque utilisateur se log avec son identifiant et peut créer ou supprimer ses propres boites aux lettres.
La seule chose qu'il me manquerait donc serait la possibilité de créer et supprimer les dossiers emails uniquement depuis cette interface web globale.
 
Pour sécriser, je pensais mettre les boites aux lettres de chacun dans son propre espace mémoire pour ne jamais avoir a remonter l'arborescence. Mais le problème c'est que les boites seraient visibles depuis l'accès FTP.
 
Quelle est la meilleure solution a ton avis pour garder la meilleure sécurité possible ?
 
 
 

commence par créer un sous répertoire "www" dans chacun de tes répertoire $user
/home/site1/www ==> la dedans tu mets tous les fichiers du site1 et tu calque ton virtualhost dessus
afin que pour www.site1.com cela devienne /
 
 
pour chaque $user ftp tu diriges le répertoire par default = /home/site1/www pour qu'a la connexion
ftp, il tombe directement à la racine du site1 (dans /home/site1/www). dans ce cas, l'user qui s'occupe
de site1 ne voit pas et ne peut pas remonter dans /home/site1.
dans /home/site1 tu peux y mettre les mails et tout ce que tu veux "cacher".
 
pour l'interface/site qui accède aux config d'e-mails tu créés un sous domaine, par exemple mail.site1.com
dont le virtualhost se dirige sur /home/site1 que l'on peut acceder avec un .htaccess .htpasswd
 
voila

je suis ok, mais là où ça se complique c'est qu'il faudrait que depuis l'interface web, on puisse créer un répertoire /home/site1/mail/toto en lui mettant les droits pour postfix.
car pour les emails, les repertoires doivent appartenir a postfix. c'est surtout ça qui me pose problème.
 
je me pose aussi une autre question niveau secu dans ce que tu a marqué :
si par exemple j'ai un repertoire /home/site1/www qui appartient à www-data
et un répertoire /home/site2/www qui appartient donc également aussi à www-data
 
qu'est-ce qui empeche l'utilisateur ayant accès à /home/site2/www d'y mettre un script qui par exemple créé un repertoire dans /home/site1/www ?
car même s'il ne peut pas remonter l'arborescence via le FTP, il peut quand meme écrire un script PHP du genre
<? exec("mkdir /home/site1/www/pasbien/" ); ?>
non ?

tes répertoires :
/home/site1/www appartient à l'utilisateur site1 créer préalablement avec la commande #adduser site1
/home/site2/www appartient à l'utilisateur site2 créer préalablement avec la commande #adduser site2
 
je vois pas que viens faire ici www-data??  

non, c'est anti-secu à la base de faire ça déjà ==> le pb vient de ta façon de faire
ne créer pas un utilisateur unique pour plusieurs sites à gérer    

car il ne s'agit pas d'utilisateurs existant sur le systeme.
ce sont des utilisateurs virtuels qui ont tous le meme uid, celui de www-data

 
oki pour ça alors.
 
mais me reste le pb des boites aux lettres
il faut apparement que les répertoires, les contenant, appartiennent à postfix pour qu'il puisse écrire dedans.

il te faut donc les créer un par un  

je ne connais pas postfix (que de nom),
mais seul l'administrateur root doit pouvoir changer des droits.
 
si l'un de tes clients veux une nouvelle adresse mail...
il doit contacter l'administrateur (==>toi?) : normalement, c'est à ça que servent ces gens.
tu peux bien donner un délai de 24 à 48h pour la création/destuction d'un alias d'e-mail??

ça m'aurait bien arranger d'automatiser la création de boites email.
surtout que tout le reste de l'interface fonctionne très bien, alors j'aimerais bien faire marcher cette fonctionnalité

et pourquoi pas plutôt une interface web :
http://high5.net/postfixadmin/

tu peux toujours developper un script de root attaché à une tâche périodique.
genre le client inscrit sa demande dans une base de données mysql et à heure/date fixe (genre 0h00)
le script lit la bdd et créé automatiquement ce qu'il faut et redemarre postfix afin
que les changements soient pris en compte.
 
il ne faut pas laisser à une interface php "publique" le faire, sinon ==> n'importe quel
spammeur pourrais créer des boites aux lettre à ton ainsu...