Hospedaje AlternC

Acceso práctico

Andrés coordina actualmente los hospedajes web.

Manejo del AlternC

Con una cuenta AlternC, se maneja, a través de una interfaz web:
  • el hospedaje en línea de una arborescencia de archivos HTML, PHP y otros web.
  • la configuración de "un sitio", es decir la manera en que un punto de esa arborescencia responda a un nombre de dominio (VirtualHost Apache)
  • la configuración de usuarios y bases MySQL, y el acceso a éstas a través dee PHPMyAdmin
  • la gestión ce cuentas de correo (esto lo utilizamos sólo para hacer redirecciones de correos y listas, no para servicios con almacenamiento, tipo imap o pop)
  • la gestión de dominios (no usamos la función bind, los dominios de la UdelaR los manejamos a mano).

Documentación de usuario AlternC- (en inglés y en francés)

Protocolo de uso de hospedaje

Criterios de atribución de una cuenta AlternC

Los criterios de atribución de recursos en este hospedaje web, en particular con los criterios de gestión de un dominio, se basan en el documento Potocolos uso servicios informáticos:
  • los coordinadores de unidad informática podrán atribuir a personas de la UdelaR cuentas con dominios claramente identificados por "prueba", o "test", y que estarán protegidos de la indexación pública por un robots.txt
  • la puesta "al aire" de un sitio o servicio en un dominio pasará por la decisión de un órgano de co-gobierno de los servicios que comparten esta plataforma

Adicionalmente, pueden haber razones técnicas de separar dos cuentas AlternC: al correr el apache con uids diferentes, los eventuales problemas en un desarrollo php en una cuenta AlternC tiene menos riesgos de implicación en los datos de una cuenta diferente, que en la misma cuenta. Es decir que conviene separar los sitios web de diferentes tecnologías en diferentes cuentas AlternC.

Gestión de archivos y derechos

Se pueden subir archivos por ssh u sftp con una cuenta unix en el servidor. No obstante, en ese caso hay que ser cuidadoso de afectar los derechos y usuario y grupo adrecuados. Éstos deben ser:

drwxrws---+  2 alterncpanel 2043

donde el gid, en este caso 2043, determina también el usuario AlternC.

Manejo de dominios

Si un dominio es gestionado en una sola cuenta, se lo puede ingresar como dominio gestionado en dicha cuenta.

Para poder gestionar subdominios de un mismo dominio en diferentes cuentas AlternC, usamos un truco/hack/astuce: ingresamos el dominio, por ejemplo cci, como "top level domain" gestionado por AlternC. En ese caso, cada sub-dominio puede ser gestionado como un dominio en una cuenta AlternC. Esto no es contradictorio con que se gestione también en una cuenta el dominio definido como TLD.

Qué manejamos en AlternC y qué NO manejamos

Básicamente, ahora usamos AlternC sólo para el hospedaje web: nos sirve para poder dedicar a varios usuarios webmasters, independientemente unos de otros, el manejo de un hospedaje LAMP, de manera simple, a través de una interfaz web. Cada unx tiene su cuenta propia en el panel AlternC a través del cual maneja:
  • sus archivos, html y php, subiéndolos ya sea uno a uno (así se psuelen subir instaladores de CMS), ya sea crando cuentas ftp que permiten hacerlo en masa,
  • las bases de datos mysql y los usuarios correspondientes,
  • la configuración de Virtual Host Apache,
Lo que NO se maneja en este panel son:
  • la gestión de dominios (DNS): antes de configurar un VHost Apache en un dominio o sub-dominio dado, es necesario configurar el DNS donde este se maneje (en CSIC, CCI y el Interior usamos el vserver massera.csic.edu.uy, pedirlo a:
  • los correos que, si bien pueden ser configurados ahí, se prefiere manejar en sistemas más avanzado como el zimbra.

https y casos particulares de dominios

OjO: lo que se documenta a continuación ya no es válido, ver: #2696 (que hay que retomar acá).

Si bien es muy simple de configurar y permite automatizarlo y descentralizarlo, AlternC no permite cualquier definición de VHost apache. Hay casos en que nos podemos encontrar bloqueados.
En particular:
  • la interfaz o panel AlternC maneja sólo los VHost http, si se requieren algo en https, hay que configurarlo "manualmente",
  • dos usuarios no pueden compartir la configuración de diferentes sub-dominios de una misma zona compartida,

No obstante, ofrece un "workaround" interesante: cualquier vhost que se defina en la carpeta /var/alternc/apache-vhost/manual/ será tomado en cuenta por los scripts de construcción de vhosts.

Luego de definir un vhost ahí, conviene ejecutar el script:

/usr/lib/alternc/rebuild_all_webconf.sh

Es útil para los https, y es también así es que definimos, por ejemplo, que el dominio: http://formulario.ccdt.udelar.edu.uy/ como un otro acceso a http://encuestas.cci.edu.uy/

Otra manera de de compartir una zona entre usuarios AlternC es que un admin la defina como TLD, en cual caso los usuarios pueden definir sub-zobnas.

Segméntación de usuarios AlternC y gestión de derechos de archivos

En cualquier LAMP mutualizado (varios sitios en un mismo servidor) la configuración PHP y la segmentación de los entornos de los diferentes usuarios es un tema delicado de seguridad. Y no sólo se trata de la confianza mutua entre personas, sino también de las consecuencias que puede tener un solo script PHP sobre el resto de los sitios co-hospedados.

AlternC ha venido mejorando esta segmentación, mediante gestión de derechos unix (incluyendo trucos con el uso de "set group id on execution"), la configuración de php por VHost y con openbasedir. La contra cara es que AlternC no ofrece a los usuarios modificación de los derechos unix de los archivos, y a veces surjen problemas de acceso, en particular cuanodo se suben y descomprimen archivos con múltiples ficheros que puenden conllevar su propia configuración de usuarios y accesos.

El esquema básico de archivos y derechos es el siguiente:
  • los archivos HTML de la cuenta alternC usuario se encuentran en la carpeta: /var/alternc/html/u/usuario, y sus subcarpetas
  • a cada cuenta se le atribuye un gid (número de grupo unix) por encima de 2000.
  • todos los archivos tienen por dueño el usuario unix alterncpanel y el gid de la cuenta,
  • los archivos y carpetas de usuario tienen derechos 770, y el "set group id on execution" (s) de grupo (con ls la, vemos: drwxrws-- )

Si se observan problemas de derechos de acceso a los archivos, es conveniente verificarlo con un acceso root y a priori no hay riesgo en corregir los derechos, usuario y gid.

Para limitar los derechos de acceso a un archivo o carpeta, si bien se pueden utilizar (con cuidado, tomando en cuenta lo que precede) los derechos unix, la consola AltenrC ofrece un muy fácil manejo de la configuración Apache a través de archivos .htaccess

Sitios con SPIP

Actualización de un sitio SPIP:

Sitio de la CHEA

Sitio de la CCDT

Sitio de encuestas de la CCI