> Tous les forums > Forum des Webmasters
 Installer un serveur vps sous SSHSujet résolu
Ajouter un message à la discussion
Pages : Début ... 17 18 [19] 20 ... Fin
[Début] Page 19 sur 20 [Fin]
griggione
 Posté le 08/02/2021 à 13:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Jean-Pierre a écrit :

Il avait d'ailleurs dit, qu'il ne souhaitait pas infliger pareille épreuve à son pire ennemi !

Espérons qu'il se sorte de cette merde si c'est le cas.

Je ne vois qu'une solution, perfusion de Casa jusqu'à guérison.

Jean-Pierre a écrit :

et toi tu es in the panade server...

Je pense que je vais laisser tomber CentOS et me tourner vers Debian ou Ubuntu.

Je pars à la chasse pour voir celui qu'on peut le mieux sécurisé.

Jean-Pierre
 Posté le 08/02/2021 à 13:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Tonton Grigri,

Si tu refais un petit saut de l'autre côté de la rivière... et si tu vas à Marseille : dans tes bagages un petit tonneau de Casa...

griggione
 Posté le 10/02/2021 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

En attendant la suite, je suis sous Debian ou Ubuntu comme serveur ???

griggione
 Posté le 09/04/2021 à 07:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour tous,

Puisque le "patron" est de retour, je vais honorer ma promesse de faire mon résumé, aprés lui avoir soumis.

Installer un server sécurisé avec centos 8:

-------------------------------------------------------
Se servir d'un SSH (ici Putty)

Mettre directement le nom de domaine, toujours mieux que l'IP, dans le cas ou ce domaine est déja réservé et que les redirections
du DNS sont faites

Une fois sur la fenêtre :

root (entrer)
le mot de passe (entrer)

Pour la sécurité, commencer par désactiver SELinux (voir plus bas)
Toujours pour la sécurité, installer fail2ban (voir plus bas)
---------------------------------------------------

installer Apache (le paquet est httpd), MariaDB, PHP, et les modules PHP permettant la connexion à la base de données :

yum install httpd php mariadb-server mariadb php-{gd,pdo,xml,mbstring,zip,mysqlnd,opcache,json}

Activation apache :

systemctl enable httpd

démarrage apache :

systemctl start httpd

vérifier apache démarré sans erreur

systemctl status httpd

Activation mariadb :

systemctl enable mariadb

démarrage mariadb :

systemctl start mariadb

vérifier mariadb démarré sans erreur

systemctl status mariadb

A faire pour tous les services activés
Enabled signifie que le service est activé. Il se lancera au démarrage du serveur.
Active (running) signifie que le service est actuellement lancé.
-----------------------------------------------------
MdP pour mysql :

mysql -u root

créer un mot de passe :

ALTER USER 'root'@'localhost' identified by 'MOT_DE_PASSE';
ALTER USER 'root'@'localhost' PASSWORD EXPIRE NEVER;
exit

Se connecter à MySQL :

mysql -u root -p

enter password: MdP
--------------------------------------------
Création de la BDD (bdd) et de l'utilisateur (moi) et MdP (123), sans oublier les privilèges :

CREATE DATABASE bdd;
CREATE USER 'moi'@'localhost' IDENTIFIED BY '123';
GRANT ALL ON MdP.* to 'moi'@'localhost';

Confirmer les privileges :

FLUSH PRIVILEGES;
--------------------------------------------------
Pour fermer le port mysql !!!recommandé!!!

firewall-cmd --permanent --zone=public --add-service=mysql
firewall-cmd --reload

Si et seulement SI vous devez accéder à MariaDB depuis une autre machine on autorise dans le pare-feu le protocole mysql (port 3306) :

firewall-cmd --permanent --zone=public --remove-service=mysql
firewall-cmd --reload
------------------------------------------------------
installer Curl, Wget :

yum install curl wget -y

installer acme.sh

cd /root
curl https://get.acme.sh | sh

obtenir un certificat de sécurité et rendre le site accessible en HTTPS

/root/.acme.sh/acme.sh
------------------------------------------------------
ouvrir les ports HTTP et HTTPS avant :

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
------------------------------------------------------
Demander le certificat :

/root/.acme.sh/acme.sh --issue -d LE_DOMAINE -d www.LE_DOMAINE -w /var/www/html

Le certificat sera installé dans le dossier caché /root/.acme.sh/LE_DOMAINE
Une copie sera faite dans /var/ssl/LE_DOMAINE afin qu'on puisse détecter les renouvellements automatiques et recharger Apache
lors de chaque renouvellement (tous les 3 mois).
------------------------------------------------------------
copier le tout dans un dossier où on pourra l'utiliser avec Apache sans gêner acme.sh :

mkdir /var/ssl/
mkdir /var/ssl/LE_DOMAINE/
cp -r /root/.acme.sh/LE_DOMAINE/ /var/ssl/LE_DOMAINE/

reboot
-----------------------------------------------------------------
Créer le dossier qui contiendra les signatures générées par acme.sh sur ordre de Let's Encrypt pour vérifier qu'on est bien le
propriétaire du domaine.

/var/www/html/.well-know/acme-challenge
------------------------------------------------------------
créer une tache cron (une tâche planifiée) qui gérera le certificat
Editer le fichier /etc/crontab et ajouter cette ligne en fin de fichier (sur une nouvelle ligne) :

30 1 * * * root /var/ssl/renew-cert.sh &> /dev/null

Cette ligne fait exécuter le fichier /var/ssl/renew-cert.sh tous les jours à 1h30 avec les permissions root
--------------------------------------------------------------
Créer ou modifier le VHOST dans /etc/httpd/conf.d avec le domaine.
recharger Apache :

systemctl reload httpd
----------------------------------------------------
tester le SSL :

https://www.ssllabs.com/ssltest/
entrer
---------------------------------------------------------------
une fois qu'un site ou application est placé dans /var/www/html on donne les permissions de groupes :

chown -R apache:apache /var/www/html

Cela veut dire que les fichiers du dossier centos/ ont comme propriétaire et utilisateur, le group www-data,
ainsi que dans tous les sous dossiers du dossier (-R)
Le groupe de Apache CentOS est Apache.
----------------------------------------------

Configuration du système SELinux :

-----------------------------------------------------
Configuration du système si SELinux est actif, on active ce booléen permettant à httpd d'écrire dans le répertoires d'apache :

setsebool -P httpd_unified on

on autorise dans le pare-feu le protocole http (ici si la zone de l'interface est public) :

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --reload
-----------------------------------------------
désactiver SELinux :

sudo setenforce 0

Editer le fichier /etc/selinux/config, remplacer

SELINUX=enforcing

par :

SELINUX=disabled

sauvegardes. redémarrage de la machine et vérifier que c'est bien désactivé :

reboot

une fois le rebbot fait :

sestatus
-----------------------------------------------

Installer Fail2ban :

---------------------------------------------------------
Fail2ban se contente de bannir pendant une heure les adresses IP qui on échoué à une tentative de connexion 3 fois de suite.
Quand une IP est bannie, le serveur ne répond plus à cette IP sur le port SSH (22).
C'est comme si le serveur n'existait plus pour cette IP.
On parle là de "DROP IPTABLES" (IPTABLES fait partie de ton firewall).

installer :

yum install fail2ban

théoriquement, il existe déjà une "jail" pour SSHd (le processus OpenSSH), Créer ou éditer le fichier jail.localjail.local

[sshd]
enabled = true
action = iptables[name=sshd, port=ssh, protocol=tcp]
maxretry = 3

activer fail2ban comme un service (le faire tourner en tâche de fond) et le lancer :

systemctl enable fail2ban
systemctl restart fail2ban

Une erreur sera affichée si fail2ban n'était pas actif au moment du restart.
Ce n'est rien, il suffit de vérifier son état et le lancer si ce n'est pas fait :

systemctl start fail2ban

ensuite, on vérifie que la "jail" sshd est bien active :

fail2ban-client status sshd

Ca donnera d'abord ça :

Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

Et après un peu de temps d'attente (au moins une heure) :

Status for the jail: sshd
|- Filter
| |- Currently failed: 40
| |- Total failed: 4071
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 13
|- Total banned: 299
`- Banned IP list: 47.25.226.50 221.8.12.143 2.57.122.195 70.182.25.141 104.244.79.157 185.239.242.217 157.245.169.66
45.148.122.19 191.233.194.99 104.244.75.112 171.239.252.230 173.196.248.163 76.106.249.251
---------------------------------------------------------

zoulouman
 Posté le 09/04/2021 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Oui, ça a l'air correct.

griggione
 Posté le 10/04/2021 à 07:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

j'avais pas dormi de la nuit.

griggione
 Posté le 14/06/2021 à 08:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour tous,

Il apparait qu'un nouveau Rocky Linux vise à fonctionner comme une construction en aval comme CentOS l'avait fait auparavant.

https://rockylinux.org/fr/

Qui connait et est-ce vraiment aussi bien que CentOS ?

zoulouman
 Posté le 14/06/2021 à 19:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ne t'en fais pas.
Si cet OS est reconnu comme un digne successeur de CentOS, on en entendra parler. Et rapidement !

J'ai vu leur site je ne sais plus quand, mais je n'ai pas encore testé dans la mesure ou rien de stable n'existe encore.

Publicité
griggione
 Posté le 15/06/2021 à 09:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour zoulouman,

Normal, c'est tout jeune, même si c'est annoncé pour cet été. Stable et longue durée, au moins 5 ans.

En attendant, je suis un peu déçu du site Debian-Facile, je n'ai pas vraiment les réponses souhaitées.

Je passe sur les délais, 24H, 48h, plutot 72H ou plus, admettons, ils ont du travail.

Mais ils sont si pointus que les réponses meritent des questions pour les comprendre. Ils ne se mettent pas vraiment à portée des débutants, je trouve.

zoulouman
 Posté le 19/06/2021 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Si tu essayes, n'hésite surtout pas à venir en parler ici, ça m'intéresse !

griggione
 Posté le 20/06/2021 à 10:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
zoulouman a écrit :

Si tu essayes, n'hésite surtout pas à venir en parler ici, ça m'intéresse !

Bonjour zoulouman,

Si j'essaie quoi, Debian ou Rocky Linux ?

zoulouman
 Posté le 20/06/2021 à 18:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ben rocky pardi !
Debian, tout le monde connait...

griggione
 Posté le 21/06/2021 à 08:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Pour Rocky, je viens de demander à Hosteur quand il pense proposer des VPS avec

On fera joujou avec.

zoulouman a écrit :

Debian, tout le monde connait...

Pour Debian, je teste pour savoir si c'est nginx ou apache d'installé :

griggxxxxx@45:~$ systemctl status nginx
Unit nginx.service could not be found.

griggxxxxx@45:~$ systemctl status apache
Unit apache.service could not be found.

Sur Debian-Facile, je demande pourquoi, réponse :

Ben trouve toi un tuto pas trop nul, et vogue.
On a tous commencé à la ramasse, mais vaut mieux avoir essayé avant de demander à l'aide.
Lance-toi donc et si ça marche pas, pose des questions moins générales sinon on y est encore dans un mois

Je crois que je vais voir une autre communauté.

zoulouman
 Posté le 21/06/2021 à 10:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Tu ne trouveras pas Nginx fourni sur une distribution Linux. A moins que j'ai raté un épisode...
En règle générale, même Apache n'est pas fourni. C'est au gars qui installe l'OS de choisir ce qu'il veut.

Apache sera utilisé pour la plupart des projets.
Nginx sera utilisé pour les projets à très fort traffic, à forte charge serveur.

Nginx permet d'avoir plus de monde sur un serveur que ne le permet Apache sans changer de matériel.
Perso, je préfère changer de serveur pour du matériel plus costaud et garder Apache que je connais très bien.
Je suis un nul en Nginx... J'ai déjà testé, mais c'est pas allé plus loin.

griggione
 Posté le 21/06/2021 à 13:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Hosteur me permet de prendre un VPS avec Rocky-8.4.

Cet aprés-midi, je vais vais en prendre un et je reviens.

On pourra tester autant qu'on veut, ce sera un vps de test uniquement.
Toi qui est plus habitué, regarde si la version prévue pour juillet, je crois, sera stable ou pas, et si oui, pour combien de temps ?

zoulouman
 Posté le 21/06/2021 à 18:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

T'affole pas non plus.
Mais si t'as envie de me refiler des identifiants de connexion ROOT, c'est pas moi qui va pleurnicher.

Publicité
griggione
 Posté le 21/06/2021 à 19:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Je viens de les recevoir, on avait une coupure générale

Demain, je t'envoie ça

Bon, vu l'heure, je vais à la piscine .....

zoulouman
 Posté le 21/06/2021 à 19:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ne va pas te noyer tant que j'ai pas la connexion, attention !

griggione
 Posté le 22/06/2021 à 08:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
zoulouman a écrit :

Ne va pas te noyer tant que j'ai pas la connexion, attention !

RE

Dans la piscine à Casa, pas de risque

https://forum.pcastuces.com/rocky_linux-f2s18365.htm

+ MP

zoulouman
 Posté le 22/06/2021 à 18:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Super, merci pour l'accès ROOT !

On va voir ce qu'on peut faire avec la bête rock'n roll.

griggione
 Posté le 23/06/2021 à 16:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

Je vais devenir fou ...... quoi ..... qui a dit que c'est déjà fait ??? attention, j'ai les noms.

Sur mon Filezilla, j'ai entrer pour le VPS l'accés en ROOT et bien sur j'ai créé un utilisateur et l''accés en USER.

Je ne me rappelle plus comment désactiver le compte USER (le temps de et revenir) ?

EDIT:

J'ai modifié sshd_config > PermitRootLogin yes pour entrer en ROOT

Impossible avec filezilla de passer le fichier vers le VPS, l'inverse oui ?

Donc je suis allé en SSH le modifié.

J'ai transféré vers mon PC et il est bien modifié.

Impossible de me connecter en ROOT en SSH ?



Modifié par griggione le 23/06/2021 17:03
zoulouman
 Posté le 23/06/2021 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

Si tu t'interdis de te connecter en ROOT en SSH, faut pas t'étonner.
C'est une mesure de sécurité permise dans la configuration de Open SSH, mais si tu es le seul utilisateur de la machine, tu te prives de tout.
N'imagine pas pouvoir modifier la config depuis une connexion FTP qui te donnera les permissions prévues à l'installation de PureFTPd, par exemple.

Si tu t'es interdit l'accès à ton VPS en ROOT, il n'y a plus que ton hébergeur qui peut faire quelque chose pour corriger le tir...

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...
En même temps, je ne suis pas certain d'avoir bien compris ton problème...

griggione
 Posté le 24/06/2021 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

zoulouman a écrit :
En même temps, je ne suis pas certain d'avoir bien compris ton problème...

Je confirme

zoulouman a écrit :

Si tu t'interdis de te connecter en ROOT en SSH, faut pas t'étonner.

Exact, sauf que, le mois dernier, quand j'ai commencé, en SFTP via filezilla, je pouvais à volonté activer ou pas le compte USER de filezilla mais je ne sais plus comment.
Je crois, en modifiant le fichier sshd_config > PermitRootLogin yes pour entrer en ROOT (ou PermitRootLogin no).
Le problème est que je ne peux plus le transférer une fois modifié, vers le VPS, parce que surement, ce fichier ne peut être modifié qu'en ROOT.

Donc, comment je faisais avec filezilla pour désactiver le compte USER et entrer de nouveau sur le compte ROOT, toujours de filezilla.

Par contre, en passant par SSH, j'ai pu modifier le fichier sshd_config > PermitRootLogin yes pour entrer en ROOT
Pourquoi je ne peux plus entrer en ROOT via SSH ?
Filezilla n'a rien avoir directement avec le VPS.

zoulouman a écrit :

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...

C'est pas le même VPS

griggione
 Posté le 25/06/2021 à 10:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

RE

J'ai viré mon compte utilisateur et du coup je peux entrer à nouveau dans mon VPS en compte ROOT via Filezilla et de même via SSH.

Ca reste un mystère, je suis pratiquement certain que je pouvais désactiver provisoirement mon compte USER dans Filezilla.

Bon, ben, j'ai plus qu'à remettre un compte USER sur mon VPS.

zoulouman

griggione a écrit :
zoulouman a écrit :

Bon ! Du coup, c'est pas la peine que je me connecte pour l'instant, vu que ROOT est banni...

C'est pas le même VPS

Tu peux faire joujou comme tu veux.

zoulouman
 Posté le 25/06/2021 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

Je ne comprends pas cette histoire de compte USER...
Quand tu te connectes en SFTP avec Filezilla, tu te connectes en SSH. C'est donc avec les identifiant que t'a filé l'hébergeur et c'est certainement en ROOT.
D'autant plus que si la machine est correctement configurée, ssh_config n'est modifiable que par ROOT.

SFTP signifie SSH File Transfer Protocol.
C'est une connexion SSH qu'on utilise uniquement pour le transfert et l'édition de fichiers sans s'emmerder. Les habitués de Windows adorent ce type de connexion.
Par contre, le SFTP montre vite ses limites et se on replonge rapidement dans du SSH pur avec Pageant de Putty.

Dernier détail. Si tu modifies la config de OpenSSH sans redémarrer OpenSSH, c'est comme si tu n'avais rien fait.



Modifié par zoulouman le 25/06/2021 10:52
Publicité
Pages : Début ... 17 18 [19] 20 ... Fin
[Début] Page 19 sur 20 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
281,43 €Processeur AMD Ryzen 5 5600X à 281,43 € livré
Valable jusqu'au 01 Août

Amazon Allemagne fait une promotion sur le processeur AMD Ryzen 5 5600X qui passe à 276,30 € (avec la TVA ajustée). Comptez 5,17 € pour la livraison en France soit un total de 281,43 € livré alors qu'on le trouve ailleurs à partir de 360 €. Le processeur pour PC de bureau AMD Ryzen 5 5600X propose 6 coeurs natifs et 12 coeurs logiques pour un traitement multitâche agréablement fluide. Grâce à sa fréquence native élevée et à son mode Turbo Core ajustant la puissance en fonction des besoins, le CPU AMD Ryzen de nouvelle génération délivre des performances exceptionnelles dans tous les domaines : Jeux vidéo, multitâche intensif, édition vidéo, modélisation 3D et bien plus encore. Le cache L3 de 32 Mo permet en outre le traitement ultrarapide d'un grand nombre d'instructions grâce à des latences réduites. Fourni avec un système de refroidissement.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane.


> Voir l'offre
31,17 €XIAOMI Mi TV Stick à 31,17 €
Valable jusqu'au 01 Août

Cdiscount propose en exclusivité la nouvelle version de la clé HDMI XIAOMI Mi TV Stick à 31,17 €. Cette clé HDMI à brancher sur votre TV possède un processeur quadricoeur, 1 Go de RAM et 8 Go d'espace de stockage, le WiFi et le bluetooth. Elle intègre un Chromecast, est compatible Dolby et DTS et est fournie avec une télécommande qui peut être pilotée à la voix. Elle tourne sous Android TV 9.0 et vous allez pouvoir voir facilement Prime Video, Netflix, Disney+, YouTube, Spotify, Moltov, ... sur votre TV Full HD.


> Voir l'offre
28,90 €Microsoft Office 2019 Professional Plus à 28,90 €
Valable jusqu'au 01 Août

Le vendeur sérieux License Online propose sur Amazon la clé d'activation légale pour Microsoft Office Professionnel 2019 Plus en français à 28,90 €. Cette clé livrée par email vous permettra d'activer Microsoft Office Professionnel 2019 Plus légalement et vous permettra ainsi d'utiliser autant de temps que vous voulez (il s'agit de la version complète et pas d'un abonnement) Word,Excel, PowerPoint, OneNote, Outlook, Publisher et Access 2019 sur un PC. La clé sera à activer sur Office.com où vous pourrez ensuite télécharger toute la suite bureautique. Pour mémoire, Microsoft Office Professionnel 2019 nécessite Windows 10. Pour plus d'info sur la procédure, n'hésitez pas à jeter un oeil à notre dossier pratique Acheter une clé OEM d'Office 2019 et l'installer.


> Voir l'offre

Sujets relatifs
Probleme de mise en ligne de fichier sur un serveur
lire des vidéos sur mon site avec VLC ?
tags ou pas (sur overblog)
Ecriture sur le serveur en upload
Problème - site sur nouveau serveur [résolu]
Serveur dédié
serveur dédié et base sql
Capacité du site sur serveur FTP
Taille d'un fichier sur serveur ftp
enregistrer pièces jointes via menu sur serveur
Plus de sujets relatifs à Installer un serveur vps sous SSH
 > Tous les forums > Forum Forum des Webmasters