Différences

Ci-dessous, les différences entre deux révisions de la page.

--- auto-heber:yuno_vps [2019/03/10 11:13]
jean_leblond
+++ auto-heber:yuno_vps [2020/01/18 16:26]
loxymore [cas d'utilisation]
@@ Ligne 10: / Ligne 10: @@
     * L'adresse IP de mon VPS -> 999.99.999.999
     * Le nom de mon VPS -> vps123456.vps.ovh.ca
-  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[##creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|'Créer un nouvel utilisateur avec accès sudo (poweruser)']]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.
+    * Le numéro du port SSH de mon VPS (par défaut 22) -> nn
+  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[#creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|Créer un nouvel utilisateur avec accès sudo (poweruser)]]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.
 ===== Spécifications matérielles pour l'installation de Yunohost =====
@@ Ligne 22: / Ligne 23: @@
 ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost =====
-Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|luna node]], j'ai opté pour le premier. Chez luna node, le serveur à 7$ est l'équivalent. J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!.
+Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|LunaNode]], j'ai opté pour le premier. Autres notes :
+  * Chez LunaNode, le serveur à 7$ est l'équivalent.
+  * [[https://cloudatcost.com/developer-cloud|cloudatcost]] offre aussi des serveurs 'payer une fois'
+  * J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!
 De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note :
@@ Ligne 156: / Ligne 160: @@
 ou
 <code>ssh root@nom_du_serveur</code>
+Restez connecté pour la section suivante.
   * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation.
@@ Ligne 161: / Ligne 167: @@
 ===== Créer un nouvel utilisateur avec accès sudo (poweruser) =====
-  * Créer un utilisateur, que j'appellerai **//poweruser//** avec des droits restreints pouvant agir sur le système avec les droits racine (ok fait)
+Référence : [[https://www.digitalocean.com/community/tutorials/how-to-create-a-sudo-user-on-ubuntu-quickstart|How To Create a Sudo User on Ubuntu [Quickstart]]]
-  * Test de connexion avec le compte 'poweruser' et test **su root** :
-<code>exit</code>
+La commande //sudo// fournit un mécanisme d'attribution de privilèges d'administrateur, généralement uniquement disponible pour l'utilisateur //root//, aux utilisateurs normaux.
-<code>ssh poweruser@vps123456.vps.ovh.ca -p nn</code>
-(votre compte poweruser, IP ou nom de serveur et port remplaçant le 22)
+Nous allons créer un nouvel utilisateur, que j'appellerai dorénavant **//poweruser//** (donnez-lui le nom que vous voulez) avec un accès //sudo// pouvant agir sur le système avec les droits //root//, sans avoir à modifier le fichier sudoers de votre serveur.
-<code>su root</code>
-(saisir mot de passe root) (ok)
+Toujours connecté en tant que //root//, utilisons la commande //adduser// pour ajouter un nouvel utilisateur au système :
+<code>adduser poweruser</code>
+Configurer son mot de passe (un mot de passe fort est fortement recommandé, que je sauvegarde dans KeePassX). Vous pouvez laisser les autres informations vides.
+Ajoutons l'utilisateur au groupe //sudo// (par défaut, dans Ubuntu, les utilisateurs du groupe //sudo// ont les privilèges //sudo//) :
+<code>usermod -aG sudo poweruser</code>
+Basculez sur le nouveau compte utilisateur :
+<code>su - poweruser</code>
+En tant que nouvel utilisateur, vérifiez que vous pouvez utiliser //sudo// en ajoutant "sudo" à la commande que vous souhaitez exécuter avec les privilèges de super-utilisateur (//poweruser//). Par exemple, lister le contenu du répertoire '/root' qui ne peut normalement être effectué par l'utilisateur //root// :
+<code>sudo ls -la /root</code>
+La première fois que vous utilisez //sudo// dans une session, vous serez invité à saisir le mot de passe du compte utilisateur. Entrez le mot de passe pour continuer.
+Si votre utilisateur appartient au groupe approprié et que vous avez entré le mot de passe correctement, la commande que vous avez émise avec //sudo// devrait s'exécuter avec les privilèges //root// :
+{{ vps-ovh-jl-yunohost-verifier-cpt-poweruser-acces-sudo.png?400 |}}
+Revenir en 'root' en tapant **exit** (ne pas vous déconnecter pour la suite)
+De votre poste de travail, testez la connexion de votre nouveau compte //poweruser// :
+<code>ssh poweruser@vps123456 -p 22</code>
+Vous devriez être connecté :
+<code>poweruser@mondomaine:~$</code>
+Fermez la connexion en tapant **exit**
 ===== Sécuriser un VPS =====
@@ Ligne 185: / Ligne 224: @@
 <code>apt-get upgrade</code>
-  * Modifier le port d’écoute par défaut du service SSH (par défaut, définie sur le port 22 et visés en premier par les robots des pirates) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :
+  * Modifier le port d’écoute par défaut du service SSH :
+    * Par défaut, définie sur le port 22 et visés en premier par les robots des pirates)
+    * Selon la page [[https://phoenixnap.com/blog/linux-ssh-security|5 Linux SSH Security Recommendations To Secure Your Systems]], les bénéfices de changer ce port sont l'impact sur les fichiers de journalisation et la charge sur votre serveur, suite aux attaques automatisées.
+    * Un inconvénient rencontré est que la commande rsync de sauvegarde [[.:yuno_gestion#exemple_pratique|(section Gestion / Sauvegarde programmée de Yunohost sur VPS / Exemple pratique)]] ne fonctionne pas à priori sur un autre port (un paramètre à fournir?). Donc le compromis est de ne laisser le port SSH 22 que pendant la sauvegarde.
+    * J'utiliserai dorénavant 'nn' pour mon nouveau port SSH) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :
 <code>nano /etc/ssh/sshd_config</code>
@@ Ligne 193: / Ligne 236: @@
 <code>/etc/init.d/ssh restart</code>
-  * (**netstat -nlp** montre que c'est maintenant le port 99 qui écoute en TCP)
+  * (**netstat -nlp** montre que c'est maintenant le port nn qui écoute en TCP)
-  * On devra obligatoirement renseigner le port lors des prochaines connexiosn SSH sur le serveur
+  * On devra obligatoirement renseigner le port lors des prochaines connexions SSH sur le serveur comme ceci :
+<code>ssh poweruser@vps123456 -p nn</code>
+ou avec l'adresse IP du VPS comme ceci :
+<code>ssh poweruser@999.99.9999.9999 -p nn</code>
   * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed)
@@ Ligne 216: / Ligne 266: @@
 <code>/etc/init.d/fail2ban restart</code>
-**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[vps#debuter_avec_un_vps|Débuter avec un VPS]].
+**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[#debuter_avec_un_vps|Débuter avec un VPS]].
   * Configurer le pare-feu interne : iptables
@@ Ligne 538: / Ligne 588: @@
 ====== Applications de Yunohost ======
+===== cas d'utilisation =====
+Vous pouvez utiliser la liste suivante pour débuter votre site.
+OpenSondage vous permettra d'envoyer des questions à vos parents et amis.
+===== retour d'expérience d'installation =====
 Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations.