Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
auto-heber:yuno_vps [2019/03/10 11:13] jean_leblond |
auto-heber:yuno_vps [2020/01/18 16:26] loxymore [cas d'utilisation] |
* L'adresse IP de mon VPS -> 999.99.999.999 | * L'adresse IP de mon VPS -> 999.99.999.999 |
* Le nom de mon VPS -> vps123456.vps.ovh.ca | * Le nom de mon VPS -> vps123456.vps.ovh.ca |
* Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[##creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|'Créer un nouvel utilisateur avec accès sudo (poweruser)']]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc. | * Le numéro du port SSH de mon VPS (par défaut 22) -> nn |
| * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[#creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|Créer un nouvel utilisateur avec accès sudo (poweruser)]]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc. |
| |
===== Spécifications matérielles pour l'installation de Yunohost ===== | ===== Spécifications matérielles pour l'installation de Yunohost ===== |
===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost ===== | ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost ===== |
| |
Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|luna node]], j'ai opté pour le premier. Chez luna node, le serveur à 7$ est l'équivalent. J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!. | Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|LunaNode]], j'ai opté pour le premier. Autres notes : |
| * Chez LunaNode, le serveur à 7$ est l'équivalent. |
| * [[https://cloudatcost.com/developer-cloud|cloudatcost]] offre aussi des serveurs 'payer une fois' |
| * J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM! |
| |
De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note : | De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note : |
ou | ou |
<code>ssh root@nom_du_serveur</code> | <code>ssh root@nom_du_serveur</code> |
| |
| Restez connecté pour la section suivante. |
| |
* (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation. | * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation. |
===== Créer un nouvel utilisateur avec accès sudo (poweruser) ===== | ===== Créer un nouvel utilisateur avec accès sudo (poweruser) ===== |
| |
* Créer un utilisateur, que j'appellerai **//poweruser//** avec des droits restreints pouvant agir sur le système avec les droits racine (ok fait) | Référence : [[https://www.digitalocean.com/community/tutorials/how-to-create-a-sudo-user-on-ubuntu-quickstart|How To Create a Sudo User on Ubuntu [Quickstart]]] |
* Test de connexion avec le compte 'poweruser' et test **su root** : | |
| |
<code>exit</code> | La commande //sudo// fournit un mécanisme d'attribution de privilèges d'administrateur, généralement uniquement disponible pour l'utilisateur //root//, aux utilisateurs normaux. |
<code>ssh poweruser@vps123456.vps.ovh.ca -p nn</code> | |
(votre compte poweruser, IP ou nom de serveur et port remplaçant le 22) | Nous allons créer un nouvel utilisateur, que j'appellerai dorénavant **//poweruser//** (donnez-lui le nom que vous voulez) avec un accès //sudo// pouvant agir sur le système avec les droits //root//, sans avoir à modifier le fichier sudoers de votre serveur. |
<code>su root</code> | |
(saisir mot de passe root) (ok) | Toujours connecté en tant que //root//, utilisons la commande //adduser// pour ajouter un nouvel utilisateur au système : |
| |
| <code>adduser poweruser</code> |
| |
| Configurer son mot de passe (un mot de passe fort est fortement recommandé, que je sauvegarde dans KeePassX). Vous pouvez laisser les autres informations vides. |
| |
| Ajoutons l'utilisateur au groupe //sudo// (par défaut, dans Ubuntu, les utilisateurs du groupe //sudo// ont les privilèges //sudo//) : |
| |
| <code>usermod -aG sudo poweruser</code> |
| |
| Basculez sur le nouveau compte utilisateur : |
| |
| <code>su - poweruser</code> |
| |
| En tant que nouvel utilisateur, vérifiez que vous pouvez utiliser //sudo// en ajoutant "sudo" à la commande que vous souhaitez exécuter avec les privilèges de super-utilisateur (//poweruser//). Par exemple, lister le contenu du répertoire '/root' qui ne peut normalement être effectué par l'utilisateur //root// : |
| |
| <code>sudo ls -la /root</code> |
| |
| La première fois que vous utilisez //sudo// dans une session, vous serez invité à saisir le mot de passe du compte utilisateur. Entrez le mot de passe pour continuer. |
| |
| Si votre utilisateur appartient au groupe approprié et que vous avez entré le mot de passe correctement, la commande que vous avez émise avec //sudo// devrait s'exécuter avec les privilèges //root// : |
| |
| {{ vps-ovh-jl-yunohost-verifier-cpt-poweruser-acces-sudo.png?400 |}} |
| |
| Revenir en 'root' en tapant **exit** (ne pas vous déconnecter pour la suite) |
| |
| De votre poste de travail, testez la connexion de votre nouveau compte //poweruser// : |
| |
| <code>ssh poweruser@vps123456 -p 22</code> |
| |
| Vous devriez être connecté : |
| |
| <code>poweruser@mondomaine:~$</code> |
| |
| Fermez la connexion en tapant **exit** |
| |
===== Sécuriser un VPS ===== | ===== Sécuriser un VPS ===== |
<code>apt-get upgrade</code> | <code>apt-get upgrade</code> |
| |
* Modifier le port d’écoute par défaut du service SSH (par défaut, définie sur le port 22 et visés en premier par les robots des pirates) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') : | * Modifier le port d’écoute par défaut du service SSH : |
| * Par défaut, définie sur le port 22 et visés en premier par les robots des pirates) |
| * Selon la page [[https://phoenixnap.com/blog/linux-ssh-security|5 Linux SSH Security Recommendations To Secure Your Systems]], les bénéfices de changer ce port sont l'impact sur les fichiers de journalisation et la charge sur votre serveur, suite aux attaques automatisées. |
| * Un inconvénient rencontré est que la commande rsync de sauvegarde [[.:yuno_gestion#exemple_pratique|(section Gestion / Sauvegarde programmée de Yunohost sur VPS / Exemple pratique)]] ne fonctionne pas à priori sur un autre port (un paramètre à fournir?). Donc le compromis est de ne laisser le port SSH 22 que pendant la sauvegarde. |
| * J'utiliserai dorénavant 'nn' pour mon nouveau port SSH) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') : |
| |
<code>nano /etc/ssh/sshd_config</code> | <code>nano /etc/ssh/sshd_config</code> |
<code>/etc/init.d/ssh restart</code> | <code>/etc/init.d/ssh restart</code> |
| |
* (**netstat -nlp** montre que c'est maintenant le port 99 qui écoute en TCP) | * (**netstat -nlp** montre que c'est maintenant le port nn qui écoute en TCP) |
* On devra obligatoirement renseigner le port lors des prochaines connexiosn SSH sur le serveur | * On devra obligatoirement renseigner le port lors des prochaines connexions SSH sur le serveur comme ceci : |
| |
| <code>ssh poweruser@vps123456 -p nn</code> |
| |
| ou avec l'adresse IP du VPS comme ceci : |
| |
| <code>ssh poweruser@999.99.9999.9999 -p nn</code> |
* Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed) | * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed) |
| |
<code>/etc/init.d/fail2ban restart</code> | <code>/etc/init.d/fail2ban restart</code> |
| |
**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[vps#debuter_avec_un_vps|Débuter avec un VPS]]. | **Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[#debuter_avec_un_vps|Débuter avec un VPS]]. |
| |
* Configurer le pare-feu interne : iptables | * Configurer le pare-feu interne : iptables |
| |
====== Applications de Yunohost ====== | ====== Applications de Yunohost ====== |
| ===== cas d'utilisation ===== |
| |
| Vous pouvez utiliser la liste suivante pour débuter votre site. |
| |
| OpenSondage vous permettra d'envoyer des questions à vos parents et amis. |
| ===== retour d'expérience d'installation ===== |
| |
| |
Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations. | Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations. |
| |