Contactez-nous
  1. Accueil
  2. /
  3. Blog
  4. /
  5. Isolation avancée des services Linux avec systemd-nspawn

Administration
Sécurité

Isolation avancée des services Linux avec systemd-nspawn

22 juillet 2025

2 min de lecture

Sommaire
Prérequis
Création d'un conteneur
Comparaison avec d'autres solutions
Avantages de systemd-nspawn
Quand choisir une alternative ?
Conclusion

systemd-nspawn1 est l'outil natif de systemd pour lancer des conteneurs Linux légers. Il isole les services et les intègre au système sans daemon supplémentaire. Ce guide détaille comment installer, configurer et sécuriser vos services dans des conteneurs systemd-nspawn. Pour les fondamentaux de systemd, consultez notre guide sur les services systemd.

Prérequis

Avant de commencer, assurez-vous d'avoir :

  • Un serveur Linux avec systemd ≥ 240
  • Accès root ou sudo
  • Le paquet systemd-container
  • Un espace dédié (/var/lib/machines)
sudo apt update
sudo apt install -y systemd-container debootstrap

Création d'un conteneur

1. Création du système de fichiers racine
sudo mkdir -p /var/lib/machines/webapp
sudo debootstrap --arch=amd64 bookworm /var/lib/machines/webapp http://deb.debian.org/debian

Cette commande télécharge et installe un système Debian minimal dans le répertoire spécifié.

2. Création du fichier container.nspawn

Créez le fichier /etc/systemd/nspawn/webapp.nspawn :

[Exec]
Boot=true
3. Démarrage du conteneur
sudo systemd-nspawn -D /var/lib/machines/webapp
Sécurisation avec capabilities
sudo systemd-nspawn -D /var/lib/machines/webapp --drop-capability=ALL
Configuration du réseau et du stockage
sudo systemd-nspawn -D /var/lib/machines/webapp --network-veth --bind=/data
Sauvegarde des données

Montez un volume externe pour les données :

sudo mount /dev/sdb1 /var/lib/machines/webapp/data
Gestion avec machinectl
# Lister les conteneurs
machinectl list

# Démarrer/arrêter un conteneur enregistré
machinectl start webapp
machinectl stop webapp

# Ouvrir un shell dans le conteneur
machinectl shell webapp

Comparaison avec d'autres solutions

Fonctionnalitésystemd-nspawnDockerLXC
Daemon externeNonOuiOui
Intégration systemdTotaleLimitéeTotale
Simplicité de configurationÉlevéeMoyenneMoyenne

Avantages de systemd-nspawn

  1. Intégration native : utilise les unités systemd2.
  2. Légèreté : pas de couche d'abstraction supplémentaire.
  3. Sécurité renforcée : isolation fine des namespaces.

Quand choisir une alternative ?

  • Docker : si vous avez besoin d'un écosystème riche (registries, Swarm).
  • LXC : pour des conteneurs lourds avec gestion complexe.

Conclusion

systemd-nspawn isole vos services Linux avec une configuration simple et une sécurité native, sans dépendre de solutions tierces.

Footnotes

  1. https://www.freedesktop.org/software/systemd/man/systemd-nspawn.html ↩

  2. https://www.freedesktop.org/software/systemd/man/systemd.html ↩

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

AIDE : intégrité des fichiers Linux contre rootkits et compromissions
Sécurité
Linux
Administration

AIDE : intégrité des fichiers Linux contre rootkits et compromissions

Configurer AIDE pour détecter modifications fichiers système, baseline, comparaisons, intégration cron et alerting. Outil d'intégrité Linux historique, toujours utilisé en production.

14 juin 2026

Lire plus

auditd et ausearch : audit kernel Linux pour la conformité
Sécurité
Linux
Administration

auditd et ausearch : audit kernel Linux pour la conformité

Configurer auditd, écrire des règles audit, requêter avec ausearch et aureport. Audit syscalls et fichiers, intégration SIEM, conformité PCI/CIS, retours ops.

13 juin 2026

Lire plus

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS
Sécurité
Linux
Administration

systemd-cryptenroll et TPM2 : déchiffrement automatique LUKS

Lier une partition LUKS au TPM2 de la machine avec systemd-cryptenroll. Déchiffrement automatique au boot, attestation Secure Boot, sealing PCR, retours ops.

8 juin 2026

Lire plus


SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Contactez-nousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr