auto-heber:yuno_vps

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
auto-heber:yuno_vps [2019/03/10 11:09]
jean_leblond
auto-heber:yuno_vps [2020/01/29 20:24] (Version actuelle)
loxymore
Ligne 10: Ligne 10:
     * L'adresse IP de mon VPS -> 999.99.999.999     * L'adresse IP de mon VPS -> 999.99.999.999
     * Le nom de mon VPS -> vps123456.vps.ovh.ca     * Le nom de mon VPS -> vps123456.vps.ovh.ca
-  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.+    * Le numéro du port SSH de mon VPS (par défaut 22) -> nn 
 +  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[#creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|Créer un nouvel utilisateur avec accès sudo (poweruser)]]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.
  
 ===== Spécifications matérielles pour l'installation de Yunohost ===== ===== Spécifications matérielles pour l'installation de Yunohost =====
Ligne 22: Ligne 23:
 ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost ===== ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost =====
  
-Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|luna node]], j'ai opté pour le premier. Chez luna node, le serveur à 7$ est l'équivalent. J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!.+Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|LunaNode]], j'ai opté pour le premier. Autres notes : 
 +  * Chez LunaNode, le serveur à 7$ est l'équivalent. 
 +  * [[https://cloudatcost.com/developer-cloud|cloudatcost]] offre aussi des serveurs 'payer une fois' 
 +  * J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!
  
 De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note : De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note :
Ligne 156: Ligne 160:
 ou ou
 <code>ssh root@nom_du_serveur</code> <code>ssh root@nom_du_serveur</code>
 +
 +Restez connecté pour la section suivante.
  
   * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation.   * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation.
Ligne 161: Ligne 167:
 ===== Créer un nouvel utilisateur avec accès sudo (poweruser) ===== ===== Créer un nouvel utilisateur avec accès sudo (poweruser) =====
  
-  * Créer un utilisateur, que j'appellerai **//poweruser//** avec des droits restreints pouvant agir sur le système avec les droits racine (ok fait) +Référence : [[https://www.digitalocean.com/community/tutorials/how-to-create-a-sudo-user-on-ubuntu-quickstart|How To Create a Sudo User on Ubuntu [Quickstart]]]
-  * Test de connexion avec le compte 'poweruser' et test **su root** :+
  
-<code>exit</code> +La commande //sudo// fournit un mécanisme d'attribution de privilèges d'administrateur, généralement uniquement disponible pour l'utilisateur //root//, aux utilisateurs normaux.  
-<code>ssh poweruser@vps123456.vps.ovh.ca -p nn</code> + 
-(votre compte poweruser, IP ou nom de serveur et port remplaçant le 22+Nous allons créer un nouvel utilisateur, que j'appellerai dorénavant **//poweruser//** (donnez-lui le nom que vous voulez) avec un accès //sudo// pouvant agir sur le système avec les droits //root//, sans avoir à modifier le fichier sudoers de votre serveur. 
-<code>su root</code> + 
-(saisir mot de passe root(ok)+Toujours connecté en tant que //root//, utilisons la commande //adduser// pour ajouter un nouvel utilisateur au système : 
 + 
 +<code>adduser poweruser</code> 
 + 
 +Configurer son mot de passe (un mot de passe fort est fortement recommandé, que je sauvegarde dans KeePassX). Vous pouvez laisser les autres informations vides. 
 + 
 +Ajoutons l'utilisateur au groupe //sudo// (par défaut, dans Ubuntu, les utilisateurs du groupe //sudo// ont les privilèges //sudo//) : 
 + 
 +<code>usermod -aG sudo poweruser</code> 
 + 
 +Basculez sur le nouveau compte utilisateur : 
 + 
 +<code>su - poweruser</code> 
 + 
 +En tant que nouvel utilisateurvérifiez que vous pouvez utiliser //sudo// en ajoutant "sudo" à la commande que vous souhaitez exécuter avec les privilèges de super-utilisateur (//poweruser//). Par exemple, lister le contenu du répertoire '/root' qui ne peut normalement être effectué par l'utilisateur //root// : 
 + 
 +<code>sudo ls -la /root</code> 
 + 
 +La première fois que vous utilisez //sudo// dans une session, vous serez invité à saisir le mot de passe du compte utilisateur. Entrez le mot de passe pour continuer. 
 + 
 +Si votre utilisateur appartient au groupe approprié et que vous avez entré le mot de passe correctement, la commande que vous avez émise avec //sudo// devrait s'exécuter avec les privilèges //root// : 
 + 
 +{{ vps-ovh-jl-yunohost-verifier-cpt-poweruser-acces-sudo.png?400 |}} 
 + 
 +Revenir en 'root' en tapant **exit** (ne pas vous déconnecter pour la suite) 
 + 
 +De votre poste de travail, testez la connexion de votre nouveau compte //poweruser//
 + 
 +<code>ssh poweruser@vps123456 -p 22</code> 
 + 
 +Vous devriez être connecté : 
 + 
 +<code>poweruser@mondomaine:~$</code> 
 + 
 +Fermez la connexion en tapant **exit**
  
 ===== Sécuriser un VPS ===== ===== Sécuriser un VPS =====
Ligne 185: Ligne 224:
 <code>apt-get upgrade</code> <code>apt-get upgrade</code>
  
-  * Modifier le port d’écoute par défaut du service SSH (par défaut, définie sur le port 22 et visés en premier par les robots des pirates) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :+  * Modifier le port d’écoute par défaut du service SSH 
 +    * Par défaut, définie sur le port 22 et visés en premier par les robots des pirates
 +    * Selon la page [[https://phoenixnap.com/blog/linux-ssh-security|5 Linux SSH Security Recommendations To Secure Your Systems]], les bénéfices de changer ce port sont l'impact sur les fichiers de journalisation et la charge sur votre serveur, suite aux attaques automatisées. 
 +    * Un inconvénient rencontré est que la commande rsync de sauvegarde [[.:yuno_gestion#exemple_pratique|(section Gestion / Sauvegarde programmée de Yunohost sur VPS / Exemple pratique)]] ne fonctionne pas à priori sur un autre port (un paramètre à fournir?). Donc le compromis est de ne laisser le port SSH 22 que pendant la sauvegarde. 
 +    * J'utiliserai dorénavant 'nn' pour mon nouveau port SSH) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :
  
 <code>nano /etc/ssh/sshd_config</code> <code>nano /etc/ssh/sshd_config</code>
Ligne 193: Ligne 236:
 <code>/etc/init.d/ssh restart</code> <code>/etc/init.d/ssh restart</code>
  
-  * (**netstat -nlp** montre que c'est maintenant le port 99 qui écoute en TCP) +  * (**netstat -nlp** montre que c'est maintenant le port nn qui écoute en TCP) 
-  * On devra obligatoirement renseigner le port lors des prochaines connexiosn SSH sur le serveur+  * On devra obligatoirement renseigner le port lors des prochaines connexions SSH sur le serveur comme ceci : 
 + 
 +<code>ssh poweruser@vps123456 -p nn</code> 
 + 
 +ou avec l'adresse IP du VPS comme ceci : 
 + 
 +<code>ssh poweruser@999.99.9999.9999 -p nn</code> 
   * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed)   * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed)
  
Ligne 216: Ligne 266:
 <code>/etc/init.d/fail2ban restart</code> <code>/etc/init.d/fail2ban restart</code>
  
-**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[vps#debuter_avec_un_vps|Débuter avec un VPS]].+**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[#debuter_avec_un_vps|Débuter avec un VPS]].
  
   * Configurer le pare-feu interne : iptables   * Configurer le pare-feu interne : iptables
Ligne 532: Ligne 582:
     * Validity : 3649 -> **89** (nombre de jours restants avant son échéance)     * Validity : 3649 -> **89** (nombre de jours restants avant son échéance)
   * Au besoin, consultez la page https://www.digitalocean.com/community/tutorials/how-to-install-yunohost-on-debian-9 (configurations DNS pour certaines applications & installation //Lets Encrypt//, etc.)   * Au besoin, consultez la page https://www.digitalocean.com/community/tutorials/how-to-install-yunohost-on-debian-9 (configurations DNS pour certaines applications & installation //Lets Encrypt//, etc.)
 +
 +===== Utilisation d'un sous-domaine  =====
 +
 +Certaines applications demandent d'avoir leur propre domaine.  On peut alors créer un sous-domaine qu'on offrira à cette application.  Yunohost fera le tri. 
 +
 +Dans le menu d'administration sous Domaine 
 +- ajouter un dommaine
 +- vous devez déjà avoir votre domaine.
 +- ensuite vous ajoutez le sous-domaine dans votre serveur de DNS en ajoutant un champs "A" avec la même adresse que votre domaine.
 +- une fois enregistré, vous pourrez enregistrer un certificat Let's encrypt tel que décrit dans la section précédante
  
 ===== Gestion de Yunohost ===== ===== Gestion de Yunohost =====
Ligne 538: Ligne 598:
  
 ====== Applications de Yunohost ====== ====== Applications de Yunohost ======
 +===== cas d'utilisation =====
 +
 +Vous pouvez utiliser la liste suivante pour débuter votre site. 
 +
 +OpenSondage vous permettra d'envoyer des questions à vos parents et amis.
 +DocuWiki pour faire un wiki personnel, texte et image modifiable par vos proches
 +===== retour d'expérience d'installation =====
 +
  
 Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations. Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations.
  
  • auto-heber/yuno_vps.1552230558.txt.gz
  • Dernière modification: 2019/03/10 11:09
  • de jean_leblond