Distribution spéciale cloud

pascal06 · Le 10/01/2025, à 15:05

Bonjour à toutes et tous,
je m'étais monté il y a quelques années un petit serveur maison sous Ubuntu server 18.04 avec deux disques monté en RAID 1.
Je l'utilise principalement pour Owncloud.
Bien que j'ai presque oublié ce serveur dans un placard et que je j'ai jamais eu aucun problèmes, dès qu'il y a une maintenance à faire (notamment mettre à jour Owncloud) c'est assez pénible... Même si je sais ce que je fais (je ne suis pas informaticien à la base mais ingé en électronique) je trouve que c'est assez ch**ant à maintenir tout ça cohérent.
Si je devais refaire ça aujourd'hui, je préférerais trouver une distri un peu plus spécialisée qui automatise pas mal les choses mais surtout un peu plus robuste peut être pour la sécurité.
Ca fait quelque temps que je lorgne une distri qui s'appelle UBos, mais je ne sais pas du tout ce que ça vaut.
La connaissez vous ?
Merci par avance pour vos avis.

pascal06 · Le 10/01/2025, à 15:52

Juste pour info, récemment j'ai trouvé des choses similaires:
https://umbrel.com/?country=FR
https://www.casaos.io/

krodelabestiole · Le 10/01/2025, à 17:23

tu peux jeter un œil à ce sujet : https://forum.ubuntu-fr.org/viewtopic.php?id=2082811

Dolly Praners · Le 10/01/2025, à 23:42

pascal06 a écrit :

Juste pour info, récemment j'ai trouvé des choses similaires:
https://umbrel.com/?country=FR
https://www.casaos.io/

J’utilise CasaOS, c’est super bien sincèrement.

kastopidiak · Le 11/01/2025, à 08:07

Bonjour,

Pour faciliter la maintenance et l'installation de services, je te conseille plutôt de regarder du côté de YunoHost.

krodelabestiole · Le 11/01/2025, à 08:14

pas sûr que ce soit plus "facile" que casaOS mais c'est historiquement le plus utilisé, donc celui sur lequel on devrait trouver le plus d'info, surtout en français, et probablement encore la plus grosse communauté.

kastopidiak · Le 11/01/2025, à 09:15

Je n'ai pas testé casaOS mais outre les avantages que tu pointes YunoHost me semble beaucoup plus « propre » et plus sécurisé au niveau configuration. Et je suis loin d'être sûr que se soit plus facile à utiliser quand je vois ce point de la FAQ :

We recommend that all applications are stable versions, so there is no automatic update function at present. However, you can enable auto update through third-party docker applications, such as watchtower.

EDIT : en fait après un rapide coup d'œil, ce truc chinois ne m'inspire pas du tout confiance. Pas de documentation, juste une commande curl pour installer, L'URL d'installation est différente si on est en Chine ou ailleurs (oups!), etc.
Cela ne s'installe que par-dessus une Debian, Ubuntu, Raspbian, Openwrt, Alpine ou Triskel. ce n'est donc pas un OS à part entière.
Cela ressemble vaguement à un orchestrateur docker avec une interface graphique bling-bling sans que les basiques la sécurité, mises à jour entre autres, ne soit pris en compte.

Dernière modification par kastopidiak (Le 11/01/2025, à 09:26)

krodelabestiole · Le 11/01/2025, à 10:11

c'est plus ou moins une interface graphique pour docker-compose effectivement. pour moi c'est un important argument en faveur du projet (en comparaison à yunohost par ex. : je trouve ça forcément plus propre de "compartimenter" - et pratique sur le long terme en terme de portabilité entre autre, grâce à la dimension IaC de docker compose). ça se rapprocherait presque de portainer ou dockge.
la sécurité est en principe assurée par le design de containerisation de docker, j'espère surtout que le projet se base sur les images stables de prod officielles des applications ?

après comme indiqué dans le sujet que j'ai mis en lien, sur le papier ce serait plutôt cosmos que je trouve le plus intéressant.

pascal06 · Le 11/01/2025, à 21:31

Bonsoir,
merci à tous pour tous ces conseils.
J'ai pas mal de chose à lire du coup
Je n'avais pas vu qu'un sujet similaire était ouvert cependant.
Cosmos m'a l'air intérressant !
Il faudrait vraiment que je me penche sur le sujet car mon serveur étant très ancien j'ai vraiment peur qu'un jour il y ait une intrusion... C'est pas très prudent de ma part !

kastopidiak · Le 12/01/2025, à 09:40

la sécurité est en principe assurée par le design de containerisation de docker

Attention à ce genre d'affirmation qui laisse croire que parce que c'est déployé avec docker, c'est sécurisé.

L'isolation des processus dans des conteneurs est un élément de sécurisation. La conteneurisation rend plus difficile la compromission des autres services, et du système en général, mais ne l'empêche pas complètement.

Par ailleurs la compromission d'un service est souvent facilitée par une mauvais maintenance : les images ne sont pas mises à jour et continent des failles connues, les services conteneurisés ne sont pas (ou mal) monitorés, trop de conteneurs sont dépendant les uns des autres rendant le système complexe et difficile à administrer (même avec un bon orchestrateur).
Enfin docker lance les conteneurs en tant que root ce qui permet à un attaquant de devenir root sur le système en cas de faille exploitable. Pour ce dernier il existe des alternatives comme podman.

La conteneurisation est un outil formidable mais il faut l'utiliser à bon escient et surtout ce n'est pas à conseiller à des administrateurs système débutants. Je comprends que ces (pseudo-)distributions qui masquent toute la complexité derrière une interface graphique bien léchée soit tentantes mais à mon avis leur usage est très risqué.

---
Pour Pascal06

Il faudrait mettre à niveau ton serveur Ubuntu 18.04 vers 20.04 au moins pour continuer à bénéficier des mises à jour de sécurité.
Et surtout envisager de passer de Owncloud à Nextcloud. Pour ce dernier dès qu'une mise à jour est disponible on est notifié et on peut la faire via le navigateur web (ou en ligne de commande au choix).

Dernière modification par kastopidiak (Le 12/01/2025, à 16:19)

krodelabestiole · Le 12/01/2025, à 12:56

c'est pas faux !

Dolly Praners · Le 14/01/2025, à 14:18

kastopidiak a écrit :

Je n'ai pas testé casaOS mais outre les avantages que tu pointes YunoHost me semble beaucoup plus « propre » et plus sécurisé au niveau configuration. Et je suis loin d'être sûr que se soit plus facile à utiliser quand je vois ce point de la FAQ :
We recommend that all applications are stable versions, so there is no automatic update function at present. However, you can enable auto update through third-party docker applications, such as watchtower.
EDIT : en fait après un rapide coup d'œil, ce truc chinois ne m'inspire pas du tout confiance. Pas de documentation, juste une commande curl pour installer, L'URL d'installation est différente si on est en Chine ou ailleurs (oups!), etc.
Cela ne s'installe que par-dessus une Debian, Ubuntu, Raspbian, Openwrt, Alpine ou Triskel. ce n'est donc pas un OS à part entière.
Cela ressemble vaguement à un orchestrateur docker avec une interface graphique bling-bling sans que les basiques la sécurité, mises à jour entre autres, ne soit pris en compte.

casaOS est super simple à utiliser, beaucoup plus que Yunohost je trouve à titre perso.Non ce n'est pas un OS à part entière, cela fonctionne comme StartOS, Umbrel, Runtipi etc... Il est possible de trouver plein de tutos sur YouTube pour augmenter la sécurité, pour y accéder depuis l'extérieur. L'interface est super agréable, alors pas du tout bling-bing pour le coup, mais c'est sûr qu'elle n'est pas austère. Pour les mises à jour, elles sont prises en compte, après tout dépend de quelles mises à jour tu parles.

Pour ma part, je l'ai installé sur un Mini PC qui est dans ma baie informatique pour pouvoir utiliser Plex Server. Comme ça, je peux ajouter des films depuis mon iMac sur Plex et je les visionner sur mon Apple TV dans le salon. Y'a peut-être plus simple, mais ça fonctionne bien.

kastopidiak · Le 14/01/2025, à 17:12

Non ma citation est claire il n'y a pas de processus de mise à jour des images utilisée par les conteneurs dockers.
Tant mieux si cela te convient mais ce n'est pas du tout sécurisé et je vois qu'il ya eu de grosses failles de sécurité dans l'application elle-même par le passé. En outre, je reste méfiant envers l'entreprise chinoise Icewhale Technology qui fait une grosse promo de ses mauvais produits Zima (board, cube, etc) via Youtube. CasaOS et le système maison préinstallé sur leur produits.

krodelabestiole · Le 14/01/2025, à 17:42

ta citation est claire mais elle parle de mise à jour automatique. rien n'indique qu'on ne peut pas faire de mise à jour, comme tu l'extrapoles.
tu t'adresses à un utilisateur de casaOS alors que tu ne l'as probablement jamais installé, pas plus que tu n'as essayé les appareils zima, je suppose, que tu trouves apparemment déjà mauvais ?
quels sont les arguments au sujet de la qualité de ces machines ?

kastopidiak · Le 14/01/2025, à 17:52

Je n'ai jamais dit que l'on ne pouvait pas faire de mise à jour. Relis la citation en anglais STP. Qu'un administrateur du forum conseille des solutions douteuses ce n'est grave, mais qu'il utilise des techniques de troll quand on le contredit c'est plus gênant.

J'ai déjà eu au moins une de leurs cartes en test. À prix équivalent c'est bien moins performant que les ordinateurs monocartes à base d'ARM et cela consomme plus.

Dernière modification par kastopidiak (Le 14/01/2025, à 17:59)

Dolly Praners · Le 14/01/2025, à 22:50

kastopidiak a écrit :

Non ma citation est claire il n'y a pas de processus de mise à jour des images utilisée par les conteneurs dockers.
Tant mieux si cela te convient mais ce n'est pas du tout sécurisé et je vois qu'il ya eu de grosses failles de sécurité dans l'application elle-même par le passé. En outre, je reste méfiant envers l'entreprise chinoise Icewhale Technology qui fait une grosse promo de ses mauvais produits Zima (board, cube, etc) via Youtube. CasaOS et le système maison préinstallé sur leur produits.

Et donc quel est le soucis qu'il n'y ait pas de mises à jour automatiques ?

Tu es méfiant de cette entreprise parce que tu trouves que les produits Zima sont mauvais, mais tu n'as jamais installé CasaOS. Comment peux-tu le juger du coup ? Je ne vois d'ailleurs pas trop de soucis de sécurité sachant que de base on accède à CasaOS qu'en local.

kastopidiak a écrit :

Qu'un administrateur du forum conseille des solutions douteuses

Quelles solutions douteuses ? Si elles le sont, à quelle niveau ?

kastopidiak · Le 15/01/2025, à 07:09

Et donc quel est le soucis qu'il n'y ait pas de mises à jour automatiques ?

Sue tu ne saches pas faire les mises à jour des images Docker. Que tu utilises des images contenant des failles de sécurité connues et exploitées. Il me semble l'avoir déjà expliqué…

Tu es méfiant de cette entreprise parce que tu trouves que les produits Zima sont mauvais, mais tu n'as jamais installé CasaOS. Comment peux-tu le juger du coup ? Je ne vois d'ailleurs pas trop de soucis de sécurité sachant que de base on accède à CasaOS qu'en local.

Je suis méfiant vis à vis de son mode de fonctionnement global : une seule personne, financement participatif pour des produits technologiquement à la ramasse, siège social en Chine, etc.
Je n'ai pas besoin de tester une application pour voir qu'elle est douteuse ou au moins pas prête à être déployée en production. Il suffit d'examiner le code, à commencer par le script d'installation, et de comprendre son architecture. C'est certainement plus pertinent que d"installer l'application et d'observer uniquement son interface graphique sans chercher à comprendre son fonctionnement.

Encore une fois tant mieux si cela te convient et heureusement que ce n'est pas exposé sur l'Internet.
C'est ton choix, tu trouves cela très bien. Moi j'indique juste qu'il ne faut pas se contenter de le surface des choses et qu'il convient d'être prudent avec ce type d'application.

Dolly Praners · Le 15/01/2025, à 09:35

kastopidiak a écrit :

Sue tu ne saches pas faire les mises à jour des images Docker. Que tu utilises des images contenant des failles de sécurité connues et exploitées. Il me semble l'avoir déjà expliqué…

Je suis partisan de ne pas faire les MaJ automatiquement, on voit parfois que ça casse ou que le service ne fonctionne plus correctement ensuite (cf les mises à jours des smartphones où un patch est déployé en urgence ensuite, les MaJ des extensions sur WordPress qui casse le site etc...). C'est pas parce que les MaJ ne se font pas automatiquement qu'il ne faut pas les faire. Normalement, tu as un message disant qu'une MaJ est disponible.

kastopidiak a écrit :

Je suis méfiant vis à vis de son mode de fonctionnement global : une seule personne, financement participatif pour des produits technologiquement à la ramasse, siège social en Chine, etc.
Je n'ai pas besoin de tester une application pour voir qu'elle est douteuse ou au moins pas prête à être déployée en production. Il suffit d'examiner le code, à commencer par le script d'installation, et de comprendre son architecture. C'est certainement plus pertinent que d"installer l'application et d'observer uniquement son interface graphique sans chercher à comprendre son fonctionnement.
Encore une fois tant mieux si cela te convient et heureusement que ce n'est pas exposé sur l'Internet.
C'est ton choix, tu trouves cela très bien. Moi j'indique juste qu'il ne faut pas se contenter de le surface des choses et qu'il convient d'être prudent avec ce type d'application.

Comme tout type d'application en fait... ce n'est pas propre à casaOS.

kastopidiak · Le 15/01/2025, à 09:46

Normalement, tu as un message disant qu'une MaJ est disponible.

Non pas avec docker (enfin tel quel). Et encore une fois j'ai cité la FAQ de CasaOS qui indique très clairement que ce n'est pas le cas !
Ce que tu utilises n'a rien à voir avec un système classique avec gestionnaire de paquet Debian (ou même snap) et encore moins avec WordPress. J'ai des serveurs qui font leurs mises à jour de sécurité automatiquement depuis des années, cela n'a jamais rien cassé.

Pour une interface graphique sûre et éprouvée pour docker, il vaut mieux utiliser portainer-CE même si cela demande un peu de configuration au départ. Au moins c'est complètement documenté et l'on comprend ce que l'on installe.

Dernière modification par kastopidiak (Le 15/01/2025, à 09:49)

pascal06 · Hier à 18:47

krodelabestiole a écrit :

tu peux jeter un œil à ce sujet : https://forum.ubuntu-fr.org/viewtopic.php?id=2082811

Bonsoir,
Cosmos m'a l'air pas mal si j'en crois les fonctionnalités qui sont indiquée dans le comparatif.
Par contre, certaines fonctionnalités ne semblent disponible que dans la version "payante": cela signifie-t-il que ces dernières ne peuvent pas être activées dans la version "gratuite" ? Au fond qu'est ce qui différencie la version gratuite d'une version payante ? Par ex: VPN, ...
Merci par avance

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/01/2025, à 15:05

Distribution spéciale cloud

#2 Le 10/01/2025, à 15:52

Re : Distribution spéciale cloud

#3 Le 10/01/2025, à 17:23

Re : Distribution spéciale cloud

#4 Le 10/01/2025, à 23:42

Re : Distribution spéciale cloud

#5 Le 11/01/2025, à 08:07

Re : Distribution spéciale cloud

#6 Le 11/01/2025, à 08:14

Re : Distribution spéciale cloud

#7 Le 11/01/2025, à 09:15

Re : Distribution spéciale cloud

#8 Le 11/01/2025, à 10:11

Re : Distribution spéciale cloud

#9 Le 11/01/2025, à 21:31

Re : Distribution spéciale cloud

#10 Le 12/01/2025, à 09:40

Re : Distribution spéciale cloud

#11 Le 12/01/2025, à 12:56

Re : Distribution spéciale cloud

#12 Le 14/01/2025, à 14:18

Re : Distribution spéciale cloud

#13 Le 14/01/2025, à 17:12

Re : Distribution spéciale cloud

#14 Le 14/01/2025, à 17:42

Re : Distribution spéciale cloud

#15 Le 14/01/2025, à 17:52

Re : Distribution spéciale cloud

#16 Le 14/01/2025, à 22:50

Re : Distribution spéciale cloud

#17 Le 15/01/2025, à 07:09

Re : Distribution spéciale cloud

#18 Le 15/01/2025, à 09:35

Re : Distribution spéciale cloud

#19 Le 15/01/2025, à 09:46

Re : Distribution spéciale cloud

#20 Hier à 18:47

Re : Distribution spéciale cloud

Pied de page des forums