> Tous les forums > Forum des Webmasters
 Installer un serveur vps sous SSHSujet résolu
Ajouter un message à la discussion
Pages : Début ... 17 18 [19] 20 ... Fin
[Début] Page 19 sur 20 [Fin]
griggione
 Posté le 08/02/2021 à 13:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Jean-Pierre a écrit :

Il avait d'ailleurs dit, qu'il ne souhaitait pas infliger pareille épreuve à son pire ennemi !

Espérons qu'il se sorte de cette merde si c'est le cas.

Je ne vois qu'une solution, perfusion de Casa jusqu'à guérison.

Jean-Pierre a écrit :

et toi tu es in the panade server...

Je pense que je vais laisser tomber CentOS et me tourner vers Debian ou Ubuntu.

Je pars à la chasse pour voir celui qu'on peut le mieux sécurisé.

Jean-Pierre
 Posté le 08/02/2021 à 13:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Tonton Grigri,

Si tu refais un petit saut de l'autre côté de la rivière... et si tu vas à Marseille : dans tes bagages un petit tonneau de Casa...

griggione
 Posté le 10/02/2021 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

En attendant la suite, je suis sous Debian ou Ubuntu comme serveur ???

griggione
 Posté le 09/04/2021 à 07:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour tous,

Puisque le "patron" est de retour, je vais honorer ma promesse de faire mon résumé, aprés lui avoir soumis.

Installer un server sécurisé avec centos 8:

-------------------------------------------------------
Se servir d'un SSH (ici Putty)

Mettre directement le nom de domaine, toujours mieux que l'IP, dans le cas ou ce domaine est déja réservé et que les redirections
du DNS sont faites

Une fois sur la fenêtre :

root (entrer)
le mot de passe (entrer)

Pour la sécurité, commencer par désactiver SELinux (voir plus bas)
Toujours pour la sécurité, installer fail2ban (voir plus bas)
---------------------------------------------------

installer Apache (le paquet est httpd), MariaDB, PHP, et les modules PHP permettant la connexion à la base de données :

yum install httpd php mariadb-server mariadb php-{gd,pdo,xml,mbstring,zip,mysqlnd,opcache,json}

Activation apache :

systemctl enable httpd

démarrage apache :

systemctl start httpd

vérifier apache démarré sans erreur

systemctl status httpd

Activation mariadb :

systemctl enable mariadb

démarrage mariadb :

systemctl start mariadb

vérifier mariadb démarré sans erreur

systemctl status mariadb

A faire pour tous les services activés
Enabled signifie que le service est activé. Il se lancera au démarrage du serveur.
Active (running) signifie que le service est actuellement lancé.
-----------------------------------------------------
MdP pour mysql :

mysql -u root

créer un mot de passe :

ALTER USER 'root'@'localhost' identified by 'MOT_DE_PASSE';
ALTER USER 'root'@'localhost' PASSWORD EXPIRE NEVER;
exit

Se connecter à MySQL :

mysql -u root -p

enter password: MdP
--------------------------------------------
Création de la BDD (bdd) et de l'utilisateur (moi) et MdP (123), sans oublier les privilèges :

CREATE DATABASE bdd;
CREATE USER 'moi'@'localhost' IDENTIFIED BY '123';
GRANT ALL ON MdP.* to 'moi'@'localhost';

Confirmer les privileges :

FLUSH PRIVILEGES;
--------------------------------------------------
Pour fermer le port mysql !!!recommandé!!!

firewall-cmd --permanent --zone=public --add-service=mysql
firewall-cmd --reload

Si et seulement SI vous devez accéder à MariaDB depuis une autre machine on autorise dans le pare-feu le protocole mysql (port 3306) :

firewall-cmd --permanent --zone=public --remove-service=mysql
firewall-cmd --reload
------------------------------------------------------
installer Curl, Wget :

yum install curl wget -y

installer acme.sh

cd /root
curl https://get.acme.sh | sh

obtenir un certificat de sécurité et rendre le site accessible en HTTPS

/root/.acme.sh/acme.sh
------------------------------------------------------
ouvrir les ports HTTP et HTTPS avant :

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
------------------------------------------------------
Demander le certificat :

/root/.acme.sh/acme.sh --issue -d LE_DOMAINE -d www.LE_DOMAINE -w /var/www/html

Le certificat sera installé dans le dossier caché /root/.acme.sh/LE_DOMAINE
Une copie sera faite dans /var/ssl/LE_DOMAINE afin qu'on puisse détecter les renouvellements automatiques et recharger Apache
lors de chaque renouvellement (tous les 3 mois).
------------------------------------------------------------
copier le tout dans un dossier où on pourra l'utiliser avec Apache sans gêner acme.sh :

mkdir /var/ssl/
mkdir /var/ssl/LE_DOMAINE/
cp -r /root/.acme.sh/LE_DOMAINE/ /var/ssl/LE_DOMAINE/

reboot
-----------------------------------------------------------------
Créer le dossier qui contiendra les signatures générées par acme.sh sur ordre de Let's Encrypt pour vérifier qu'on est bien le
propriétaire du domaine.

/var/www/html/.well-know/acme-challenge
------------------------------------------------------------
créer une tache cron (une tâche planifiée) qui gérera le certificat
Editer le fichier /etc/crontab et ajouter cette ligne en fin de fichier (sur une nouvelle ligne) :

30 1 * * * root /var/ssl/renew-cert.sh &> /dev/null

Cette ligne fait exécuter le fichier /var/ssl/renew-cert.sh tous les jours à 1h30 avec les permissions root
--------------------------------------------------------------
Créer ou modifier le VHOST dans /etc/httpd/conf.d avec le domaine.
recharger Apache :

systemctl reload httpd
----------------------------------------------------
tester le SSL :

https://www.ssllabs.com/ssltest/
entrer
---------------------------------------------------------------
une fois qu'un site ou application est placé dans /var/www/html on donne les permissions de groupes :

chown -R apache:apache /var/www/html

Cela veut dire que les fichiers du dossier centos/ ont comme propriétaire et utilisateur, le group www-data,
ainsi que dans tous les sous dossiers du dossier (-R)
Le groupe de Apache CentOS est Apache.
----------------------------------------------

Configuration du système SELinux :

-----------------------------------------------------
Configuration du système si SELinux est actif, on active ce booléen permettant à httpd d'écrire dans le répertoires d'apache :

setsebool -P httpd_unified on

on autorise dans le pare-feu le protocole http (ici si la zone de l'interface est public) :

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --reload
-----------------------------------------------
désactiver SELinux :

sudo setenforce 0

Editer le fichier /etc/selinux/config, remplacer

SELINUX=enforcing

par :

SELINUX=disabled

sauvegardes. redémarrage de la machine et vérifier que c'est bien désactivé :

reboot

une fois le rebbot fait :

sestatus
-----------------------------------------------

Installer Fail2ban :

---------------------------------------------------------
Fail2ban se contente de bannir pendant une heure les adresses IP qui on échoué à une tentative de connexion 3 fois de suite.
Quand une IP est bannie, le serveur ne répond plus à cette IP sur le port SSH (22).
C'est comme si le serveur n'existait plus pour cette IP.
On parle là de "DROP IPTABLES" (IPTABLES fait partie de ton firewall).

installer :

yum install fail2ban

théoriquement, il existe déjà une "jail" pour SSHd (le processus OpenSSH), Créer ou éditer le fichier jail.localjail.local

[sshd]
enabled = true
action = iptables[name=sshd, port=ssh, protocol=tcp]
maxretry = 3

activer fail2ban comme un service (le faire tourner en tâche de fond) et le lancer :

systemctl enable fail2ban
systemctl restart fail2ban

Une erreur sera affichée si fail2ban n'était pas actif au moment du restart.
Ce n'est rien, il suffit de vérifier son état et le lancer si ce n'est pas fait :

systemctl start fail2ban

ensuite, on vérifie que la "jail" sshd est bien active :

fail2ban-client status sshd

Ca donnera d'abord ça :

Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

Et après un peu de temps d'attente (au moins une heure) :

Status for the jail: sshd
|- Filter
| |- Currently failed: 40
| |- Total failed: 4071
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 13
|- Total banned: 299
`- Banned IP list: 47.25.226.50 221.8.12.143 2.57.122.195 70.182.25.141 104.244.79.157 185.239.242.217 157.245.169.66
45.148.122.19 191.233.194.99 104.244.75.112 171.239.252.230 173.196.248.163 76.106.249.251
---------------------------------------------------------

zoulouman
 Posté le 09/04/2021 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Oui, ça a l'air correct.

griggione
 Posté le 10/04/2021 à 07:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

j'avais pas dormi de la nuit.

griggione
 Posté le 14/06/2021 à 08:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour tous,

Il apparait qu'un nouveau Rocky Linux vise à fonctionner comme une construction en aval comme CentOS l'avait fait auparavant.

https://rockylinux.org/fr/

Qui connait et est-ce vraiment aussi bien que CentOS ?

zoulouman
 Posté le 14/06/2021 à 19:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ne t'en fais pas.
Si cet OS est reconnu comme un digne successeur de CentOS, on en entendra parler. Et rapidement !

J'ai vu leur site je ne sais plus quand, mais je n'ai pas encore testé dans la mesure ou rien de stable n'existe encore.

Publicité
griggione
 Posté le 15/06/2021 à 09:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour zoulouman,

Normal, c'est tout jeune, même si c'est annoncé pour cet été. Stable et longue durée, au moins 5 ans.

En attendant, je suis un peu déçu du site Debian-Facile, je n'ai pas vraiment les réponses souhaitées.

Je passe sur les délais, 24H, 48h, plutot 72H ou plus, admettons, ils ont du travail.

Mais ils sont si pointus que les réponses meritent des questions pour les comprendre. Ils ne se mettent pas vraiment à portée des débutants, je trouve.

zoulouman
 Posté le 19/06/2021 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Si tu essayes, n'hésite surtout pas à venir en parler ici, ça m'intéresse !

griggione
 Posté le 20/06/2021 à 10:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
zoulouman a écrit :

Si tu essayes, n'hésite surtout pas à venir en parler ici, ça m'intéresse !

Bonjour zoulouman,

Si j'essaie quoi, Debian ou Rocky Linux ?

zoulouman
 Posté le 20/06/2021 à 18:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ben rocky pardi !
Debian, tout le monde connait...

griggione
 Posté le 21/06/2021 à 08:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Pour Rocky, je viens de demander à Hosteur quand il pense proposer des VPS avec

On fera joujou avec.

zoulouman a écrit :

Debian, tout le monde connait...

Pour Debian, je teste pour savoir si c'est nginx ou apache d'installé :

griggxxxxx@45:~$ systemctl status nginx
Unit nginx.service could not be found.

griggxxxxx@45:~$ systemctl status apache
Unit apache.service could not be found.

Sur Debian-Facile, je demande pourquoi, réponse :

Ben trouve toi un tuto pas trop nul, et vogue.
On a tous commencé à la ramasse, mais vaut mieux avoir essayé avant de demander à l'aide.
Lance-toi donc et si ça marche pas, pose des questions moins générales sinon on y est encore dans un mois

Je crois que je vais voir une autre communauté.

zoulouman
 Posté le 21/06/2021 à 10:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Tu ne trouveras pas Nginx fourni sur une distribution Linux. A moins que j'ai raté un épisode...
En règle générale, même Apache n'est pas fourni. C'est au gars qui installe l'OS de choisir ce qu'il veut.

Apache sera utilisé pour la plupart des projets.
Nginx sera utilisé pour les projets à très fort traffic, à forte charge serveur.

Nginx permet d'avoir plus de monde sur un serveur que ne le permet Apache sans changer de matériel.
Perso, je préfère changer de serveur pour du matériel plus costaud et garder Apache que je connais très bien.
Je suis un nul en Nginx... J'ai déjà testé, mais c'est pas allé plus loin.

griggione
 Posté le 21/06/2021 à 13:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Hosteur me permet de prendre un VPS avec Rocky-8.4.

Cet aprés-midi, je vais vais en prendre un et je reviens.

On pourra tester autant qu'on veut, ce sera un vps de test uniquement.
Toi qui est plus habitué, regarde si la version prévue pour juillet, je crois, sera stable ou pas, et si oui, pour combien de temps ?

zoulouman
 Posté le 21/06/2021 à 18:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

T'affole pas non plus.
Mais si t'as envie de me refiler des identifiants de connexion ROOT, c'est pas moi qui va pleurnicher.

Publicité
griggione
 Posté le 21/06/2021 à 19:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Je viens de les recevoir, on avait une coupure générale

Demain, je t'envoie ça

Bon, vu l'heure, je vais à la piscine .....

zoulouman
 Posté le 21/06/2021 à 19:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ne va pas te noyer tant que j'ai pas la connexion, attention !

griggione
 Posté le 22/06/2021 à 08:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
zoulouman a écrit :

Ne va pas te noyer tant que j'ai pas la connexion, attention !

RE

Dans la piscine à Casa, pas de risque

https://forum.pcastuces.com/rocky_linux-f2s18365.htm

+ MP

zoulouman
 Posté le 22/06/2021 à 18:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Super, merci pour l'accès ROOT !

On va voir ce qu'on peut faire avec la bête rock'n roll.

griggione
 Posté le 23/06/2021 à 16:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Je vais devenir fou ...... quoi ..... qui a dit que c'est déjà fait ??? attention, j'ai les noms.

Sur mon Filezilla, j'ai entrer pour le VPS l'accés en ROOT et bien sur j'ai créé un utilisateur et l''accés en USER.

Je ne me rappelle plus comment désactiver le compte USER (le temps de et revenir) ?

EDIT:

J'ai modifié sshd_config > PermitRootLogin yes pour entrer en ROOT

Impossible avec filezilla de passer le fichier vers le VPS, l'inverse oui ?

Donc je suis allé en SSH le modifié.

J'ai transféré vers mon PC et il est bien modifié.

Impossible de me connecter en ROOT en SSH ?



Modifié par griggione le 23/06/2021 17:03
zoulouman
 Posté le 23/06/2021 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

Si tu t'interdis de te connecter en ROOT en SSH, faut pas t'étonner.
C'est une mesure de sécurité permise dans la configuration de Open SSH, mais si tu es le seul utilisateur de la machine, tu te prives de tout.
N'imagine pas pouvoir modifier la config depuis une connexion FTP qui te donnera les permissions prévues à l'installation de PureFTPd, par exemple.

Si tu t'es interdit l'accès à ton VPS en ROOT, il n'y a plus que ton hébergeur qui peut faire quelque chose pour corriger le tir...

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...
En même temps, je ne suis pas certain d'avoir bien compris ton problème...

griggione
 Posté le 24/06/2021 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

zoulouman a écrit :
En même temps, je ne suis pas certain d'avoir bien compris ton problème...

Je confirme

zoulouman a écrit :

Si tu t'interdis de te connecter en ROOT en SSH, faut pas t'étonner.

Exact, sauf que, le mois dernier, quand j'ai commencé, en SFTP via filezilla, je pouvais à volonté activer ou pas le compte USER de filezilla mais je ne sais plus comment.
Je crois, en modifiant le fichier sshd_config > PermitRootLogin yes pour entrer en ROOT (ou PermitRootLogin no).
Le problème est que je ne peux plus le transférer une fois modifié, vers le VPS, parce que surement, ce fichier ne peut être modifié qu'en ROOT.

Donc, comment je faisais avec filezilla pour désactiver le compte USER et entrer de nouveau sur le compte ROOT, toujours de filezilla.

Par contre, en passant par SSH, j'ai pu modifier le fichier sshd_config > PermitRootLogin yes pour entrer en ROOT
Pourquoi je ne peux plus entrer en ROOT via SSH ?
Filezilla n'a rien avoir directement avec le VPS.

zoulouman a écrit :

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...

C'est pas le même VPS

griggione
 Posté le 25/06/2021 à 10:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

J'ai viré mon compte utilisateur et du coup je peux entrer à nouveau dans mon VPS en compte ROOT via Filezilla et de même via SSH.

Ca reste un mystère, je suis pratiquement certain que je pouvais désactiver provisoirement mon compte USER dans Filezilla.

Bon, ben, j'ai plus qu'à remettre un compte USER sur mon VPS.

zoulouman

griggione a écrit :
zoulouman a écrit :

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...

C'est pas le même VPS

Tu peux faire joujou comme tu veux.

zoulouman
 Posté le 25/06/2021 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

Je ne comprends pas cette histoire de compte USER...
Quand tu te connectes en SFTP avec Filezilla, tu te connectes en SSH. C'est donc avec les identifiant que t'a filé l'hébergeur et c'est certainement en ROOT.
D'autant plus que si la machine est correctement configurée, ssh_config n'est modifiable que par ROOT.

SFTP signifie SSH File Transfer Protocol.
C'est une connexion SSH qu'on utilise uniquement pour le transfert et l'édition de fichiers sans s'emmerder. Les habitués de Windows adorent ce type de connexion.
Par contre, le SFTP montre vite ses limites et se on replonge rapidement dans du SSH pur avec Pageant de Putty.

Dernier détail. Si tu modifies la config de OpenSSH sans redémarrer OpenSSH, c'est comme si tu n'avais rien fait.



Modifié par zoulouman le 25/06/2021 10:52
Publicité
Pages : Début ... 17 18 [19] 20 ... Fin
[Début] Page 19 sur 20 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
GratuitJeu PC Mothergunship gratuit
Valable jusqu'au 05 Août

Epic Game Store offre actuellement le jeu PC Mothergunship . MOTHERGUNSHIP est un mélange explosif de FPS et de bullet hell où vous concevez vos propres guns, affrontez des boss gigantesques, et terrassez une armada de robot-aliens. Surmontez l'insurmontable dans du combat non-stop brutal où réfléchir vite sera votre seul moyen de survie. Texte en français.


> Voir l'offre
48,88 €Boîtier PC Corsair Carbide Series 270R avec fenêtre à 48,88 €
Valable jusqu'au 05 Août

Amazon propose actuellement le boîtier PC moyen tour avec fenêtre Corsair Carbide Series 270R à 48,88 € livré gratuitement. On le trouve ailleurs à partir de 80 €. Le Corsair Carbide 270R est compact et conçu pour créer des systèmes hautes performances à l'aspect minimaliste. il offre une capacité de refroidissement efficace, tout en vous permettant de faire évoluer ses performances grâce aux autres emplacements disponibles.


> Voir l'offre
56,95 €Alimentation Seasonic B12 BC 750W Plus Bronze à 56,95 €
Valable jusqu'au 05 Août

RueDuCommerce propose actuellement l'alimentation Seasonic B12 BC-750 750W Plus Bronze à 56,95 €. On la trouve habituellement autour de 70 €. L'alimentation est garantie 5 ans. En plus d’être très efficaces, les unités B12 BC utilisent la conception à résonance LLC et le contrôle des ventilateurs intelligent et silencieux (S2FC).


> Voir l'offre

Sujets relatifs
Probleme de mise en ligne de fichier sur un serveur
lire des vidéos sur mon site avec VLC ?
tags ou pas (sur overblog)
Ecriture sur le serveur en upload
Problème - site sur nouveau serveur [résolu]
Serveur dédié
serveur dédié et base sql
Capacité du site sur serveur FTP
Taille d'un fichier sur serveur ftp
enregistrer pièces jointes via menu sur serveur
Plus de sujets relatifs à Installer un serveur vps sous SSH
 > Tous les forums > Forum Forum des Webmasters