Je dispose d'une grappe de serveurs exécutant Xenserver 5.6 qui hébergent des services de messagerie Web et de VoIP. J'envisage actuellement de mettre en place un serveur bind chrooté sur chaque hôte Xenserver (je veux dire sur le serveur réel, pas dans une VM).
Est-ce une mauvaise idée ?
En règle générale, je vous déconseille d'exécuter autre chose que le strict minimum de services dans le Dom0 de Xen (le domaine privilégié qui a un accès complet au matériel et à toutes les machines virtuelles sur l'hôte).
Si votre Dom0 est compromis, tous vos DomU (machines virtuelles invitées) le sont également, car l'attaquant a accès à la console de chaque machine virtuelle.
Si vous souhaitez exécuter quelques serveurs de noms, et qu'ils sont publics et font autorité, il n'y a aucun problème à les exécuter en tant que machines virtuelles, mais vous devez faire tout votre possible pour les exécuter (vous avez toujours besoin d'au moins deux) sur des segments de réseau entièrement séparés pour garantir la disponibilité. Par exemple :
ns1.redhat.com. 463 IN A 66.187.233.210
ns2.redhat.com. 463 IN A 209.132.183.2
ns3.redhat.com. 462 IN A 209.132.176.100
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
