Outils pour utilisateurs

Outils du site


vps

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
vps [2019/06/26 22:03]
vps [2019/07/17 19:24] (Version actuelle)
Ligne 1: Ligne 1:
 +====== Configurer VPS ======
 +Via l'​utilisation de yunohost
 +===== Liens =====
 +  *[[https://​docs.ovh.com/​fr/​vps/​conseils-securisation-vps/​|OVH Sécuriser VPS]]
 +  *[[https://​medium.com/​sebbossoutrot/​installation-et-configuration-dun-vps-sur-ovh-avec-debian9-wordpress-et-ssl-810603968b71|VPS OVH Sécuriser]]
 +  *[[https://​docs.ovh.com/​fr/​dedicated/​firewall-network//​|Firewall Network Configurer]]
 +  *[[https://​wiki.visionduweb.fr/​index.php?​title=Configurer_le_pare-feu_Iptables|Iptables : configuration]]
 +  *[[https://​doc.ubuntu-fr.org/​fail2ban|Ubuntu Doc Fail2ban
 +  *[[https://​wiki.evolix.org/​HowtoFail2Ban|How To Fail To Ban]]
 +
 +===== Fail2ban =====
 +
 +La configuration se fait dans ce fichier
 +
 +/​etc/​fail2ban/​jail.d/​custom.conf ​
 +
 +# service restart fail2ban
 +
 +On peut lister les jails actives : # fail2ban-client status
 +
 +Pour lister l’état de la jail ssh : # fail2ban-client status ssh
 +
 +Logs : # tail -f /​var/​log/​fail2ban.log
 +
 +
 +Rapport de tous les jails
 +<code bash>​root@ragnarok:/​home/​admin# ​ fail2ban-client status | sed -n '​s/,//​g;​s/​.*Jail list://​p'​ | xargs -n1 fail2ban-client status</​code>​
 +
 +
 +
 +
 +===== Iptables =====
 +
 +Activer le parefeu applicatif d'OVH
 +
 +Activer le parefeu du serveur
 +https://​wiki.visionduweb.fr/​index.php?​title=Configurer_le_pare-feu_Iptables
 +
 +===== msmtp =====
 +
 +https://​doc.ubuntu-fr.org/​msmtp
 +
 +
 +
 +
 +===== yunohost =====
 +
 +https://​yunohost.org/#/​security_fr
 +
 +https://​yunohost.org/#/​dns
 +https://​yunohost.org/#/​dns_config_fr
 +
 +===== ssh =====
 +
 +Fermer le port 22 et en sélectionner un autre
 +
 +yunohost n'​autorise que le user admin à se connecter et c'est très bien
 +
 +Choisir une authentification par cle et non mot de passe
 +
 +
 +==== Authentification SSH par clé ====
 + 
 +
 +Sur le client : ssh-keygen
 +Your identification has been saved in /​home/​$USER/​.ssh/​id_rsa
 +cat ~/​.ssh/​id_rsa.pub
 +
 +Envoyer la clef au serveur
 +cat ~/​.ssh/​id_rsa.pub | ssh username@remote_host -p 1234 "mkdir -p ~/.ssh && cat >> ~/​.ssh/​authorized_keys"​
 +
 +
 +==== Supprimer identification MDP ====
 +
 +<code | copy>
 +
 +nano /​etc/​ssh/​sshd_config
 +# Modifiez ou ajoutez la ligne suivante
 +PasswordAuthentication no
 +.....
 +systemctl restart ssh
 +</​code>​
 +
 +
 +===== Etre averti d'une connexion SSH sur son serveur =====
 +
 +<code bash>​root@crust:/​etc/​ssh#​ cat /​etc/​ssh/​sshrc ​
 +#!/bin/sh
 +
 +DEST=MonAdresse@Mail.ext
 +DATE=`date "​+%d.%m.%Y--%Hh%Mm"​`
 +IP=`echo $SSH_CONNECTION | awk '​{print $1}'`
 +REVERSE=$(dig -x $IP +short)
 +MSG="​Connexion de $(echo $USER) sur $(hostname -s)
 +IP: $IP
 +ReverseDNS: $REVERSE
 +Date: $DATE"
 +
 +echo "​$MSG"​ | mail -s "​$(echo $DATE) : Connexion de $(echo $USER) sur $(hostname -s)" $DEST</​code>​
 +
 +
 +===== Dokuwiki =====
 +
 +
 +Recupérer le dossier data du répertoire dokuwiki de l'​ancien site
 +Sauvegarder le dokuwiki de Yunohost
 +<code bash>mv /​var/​www/​dokuwiki/​data /​var/​www/​dokuwiki/​data-BACKUP
 +Copier le dossier data de l'​ancien site
 +cp -rf dataDokuwikiAncienSite /​var/​www/​dokuwiki/</​code>​
 +
 +
 +On adapte les droits et les perms
 +
 +<code bash>​chmod -R 775 /​var/​www/​dokuwiki/​data
 +chown -R /​var/​www/​dokuwiki/​ dokuwiki:​root data
 +chmod 640 /​var/​www/​dokuwiki/​data/​dont-panic-if-you-see-this-in-your-logs-it-means-your-directory-permissions-are-correct.* /​var/​www/​dokuwiki/​data/​_dummy</​code> ​
 +
 +chown dokuwiki:​root VERSION README doku.php feed.php index.php COPYING
 +
 +
 +Copier les répertoires manquants
 +<code bash>mv data-BACKUP/​media_meta/​ data/
 +mv data-BACKUP/​media_attic/​ data/</​code>​
 +
 +===== Backup =====
 +
 +
 +Upload / Download Backup
 +
 +<code bash>scp -P NumPort DIR-SOURCE DIR-DEST</​code>​
 +
 +
 +<​konsole>​
 +scp -P 1234 /​home/​$USER/​Dir/​FILE login@serveur.ext:/​DIR/​DE/​DEST
 +scp -P 1234 login@serveur.ext:/​DIR/​DE/​DEST /​home/​$USER/​Dir/​FILE
 +</​konsole>​
 + 
 +
 +===== Tester sa config mail =====
 +
 +https://​www.mail-tester.com/​
 +https://​tools.dnsstuff.com
 +https://​mxtoolbox.com/​
 +https://​dkimvalidator.com/​
 +
 +ajouter alias abuse@mondaime.ext
 +
 +Tester son DKIM
 +<code bash>dig +short TXT  mail._domainkey.monDomaine.ext</​code>​
 +
 +
 +
 +===== mise à jour =====
 +
 +yunohost tools update ​
 +yunohost tools upgrade --ignore-apps
 +
 +
 +reverse dns
 +<code bash> dig -x IP
 + dig +noall +answer -x IP
 +</​code>​
 +
 +===== wordpress bloquer types mimes =====
 +
 +Création d'un plugin
 +<code bash>​@crust:/​var/​www/​wordpress/​wp-content/​plugins/​perso-mime-type#​ cat perso-mime-type.php</​code> ​
 +<code | download>​
 +<?php
 +/**
 +* Plugin Name: Custom mime types
 +* Plugin URI: https://​crust.ovh
 +* Description:​ Bloquer upload en fonction de type mimes
 +* Version: 1.0
 +* Author: crust
 +* Author URI: http://​crust.ovh
 +**/
 +function custom_mime_types( $mimes ){
 +  // Forbiden ALL
 +     ​unset( $mimes );
 +  // OK 4 svg, jpg and mp3 only
 +     ​$mimes['​jpg|jpeg|jpe'​] = '​image/​jpeg';​
 +     ​$mimes['​gif'​ ] = '​image/​gif';​
 +     ​$mimes['​png'​] = '​image/​png'; ​
 +     ​$mimes['​mp3|m4a|m4b'​] = '​audio/​mpeg';​
 +// List mime types available here
 +// https://​codex.wordpress.org/​Function_Reference/​get_allowed_mime_types
 +return $mimes;
 +}
 +add_filter('​upload_mimes',​ '​custom_mime_types',​ 1, 1);
 +?>
 +</​code>​
 +
 +===== Modifier le thème du SSO de yonohost =====
 +
 +https://​yunohost.org/#/​theming_fr
 +
 +Penser à rafraichir le cache du navigateur (avec FF)
 +Ctrl+Maj+R