auto-heber:yuno_vps

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
auto-heber:yuno_vps [2019/03/10 11:13]
jean_leblond
auto-heber:yuno_vps [2020/01/29 20:24] (Version actuelle)
loxymore
Ligne 10: Ligne 10:
     * L'adresse IP de mon VPS -> 999.99.999.999     * L'adresse IP de mon VPS -> 999.99.999.999
     * Le nom de mon VPS -> vps123456.vps.ovh.ca     * Le nom de mon VPS -> vps123456.vps.ovh.ca
-  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[##creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|'Créer un nouvel utilisateur avec accès sudo (poweruser)']]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.+    * Le numéro du port SSH de mon VPS (par défaut 22) -> nn 
 +  * Quand je mentionne **//poweruser//**, je fais référence au compte que nous allons créer (à la section [[#creer_un_nouvel_utilisateur_avec_acces_sudo_poweruser|Créer un nouvel utilisateur avec accès sudo (poweruser)]]) et ajouter au groupe 'sudo' afin d'effectuer des tâches administratives (en évitant d'utiliser le compte 'root') comme se connecter en SSH sur le VPS, installer des paquets, configurer la sauvegarde, etc.
  
 ===== Spécifications matérielles pour l'installation de Yunohost ===== ===== Spécifications matérielles pour l'installation de Yunohost =====
Ligne 22: Ligne 23:
 ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost ===== ===== Choix d'un fournisseur et du type de serveur virtuel pour Yunohost =====
  
-Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|luna node]], j'ai opté pour le premier. Chez luna node, le serveur à 7$ est l'équivalent. J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!.+Suite à une comparaison des offres entre OVH et [[https://www.lunanode.com/pricing|LunaNode]], j'ai opté pour le premier. Autres notes : 
 +  * Chez LunaNode, le serveur à 7$ est l'équivalent. 
 +  * [[https://cloudatcost.com/developer-cloud|cloudatcost]] offre aussi des serveurs 'payer une fois' 
 +  * J'ai aussi vu l'offre gratuite d'Amazon, mais elle est trop contraignante ; être étudiant, avoir un compte GMail valide...et j'essaie de ne pas encourager GAFAM!
  
 De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note : De la page https://www.ovh.com/world/vps/ j'ai choisi 'VPS SSD'. Ensuite (la région 'North America - Beauharnois' est déjà sélectionnée) parmi les SSD, j'ai choisi 'VPN SSD 1', le moins cher et suffisant pour installer Yuno. Voici les informations utiles de mon choix que je note :
Ligne 156: Ligne 160:
 ou ou
 <code>ssh root@nom_du_serveur</code> <code>ssh root@nom_du_serveur</code>
 +
 +Restez connecté pour la section suivante.
  
   * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation.   * (Au besoin seulement) Documentation : Home / Cloud / Serveurs dédiés / [[https://docs.ovh.com/fr/dedicated/ssh-introduction/|Installer la clé SSH OVH]] Ce guide vous décrit l’installation d’une clé SSH OVH pour permettre l’intervention des administrateurs d'OVH, puis sa désactivation.
Ligne 161: Ligne 167:
 ===== Créer un nouvel utilisateur avec accès sudo (poweruser) ===== ===== Créer un nouvel utilisateur avec accès sudo (poweruser) =====
  
-  * Créer un utilisateur, que j'appellerai **//poweruser//** avec des droits restreints pouvant agir sur le système avec les droits racine (ok fait) +Référence : [[https://www.digitalocean.com/community/tutorials/how-to-create-a-sudo-user-on-ubuntu-quickstart|How To Create a Sudo User on Ubuntu [Quickstart]]]
-  * Test de connexion avec le compte 'poweruser' et test **su root** :+
  
-<code>exit</code> +La commande //sudo// fournit un mécanisme d'attribution de privilèges d'administrateur, généralement uniquement disponible pour l'utilisateur //root//, aux utilisateurs normaux.  
-<code>ssh poweruser@vps123456.vps.ovh.ca -p nn</code> + 
-(votre compte poweruser, IP ou nom de serveur et port remplaçant le 22+Nous allons créer un nouvel utilisateur, que j'appellerai dorénavant **//poweruser//** (donnez-lui le nom que vous voulez) avec un accès //sudo// pouvant agir sur le système avec les droits //root//, sans avoir à modifier le fichier sudoers de votre serveur. 
-<code>su root</code> + 
-(saisir mot de passe root(ok)+Toujours connecté en tant que //root//, utilisons la commande //adduser// pour ajouter un nouvel utilisateur au système : 
 + 
 +<code>adduser poweruser</code> 
 + 
 +Configurer son mot de passe (un mot de passe fort est fortement recommandé, que je sauvegarde dans KeePassX). Vous pouvez laisser les autres informations vides. 
 + 
 +Ajoutons l'utilisateur au groupe //sudo// (par défaut, dans Ubuntu, les utilisateurs du groupe //sudo// ont les privilèges //sudo//) : 
 + 
 +<code>usermod -aG sudo poweruser</code> 
 + 
 +Basculez sur le nouveau compte utilisateur : 
 + 
 +<code>su - poweruser</code> 
 + 
 +En tant que nouvel utilisateurvérifiez que vous pouvez utiliser //sudo// en ajoutant "sudo" à la commande que vous souhaitez exécuter avec les privilèges de super-utilisateur (//poweruser//). Par exemple, lister le contenu du répertoire '/root' qui ne peut normalement être effectué par l'utilisateur //root// : 
 + 
 +<code>sudo ls -la /root</code> 
 + 
 +La première fois que vous utilisez //sudo// dans une session, vous serez invité à saisir le mot de passe du compte utilisateur. Entrez le mot de passe pour continuer. 
 + 
 +Si votre utilisateur appartient au groupe approprié et que vous avez entré le mot de passe correctement, la commande que vous avez émise avec //sudo// devrait s'exécuter avec les privilèges //root// : 
 + 
 +{{ vps-ovh-jl-yunohost-verifier-cpt-poweruser-acces-sudo.png?400 |}} 
 + 
 +Revenir en 'root' en tapant **exit** (ne pas vous déconnecter pour la suite) 
 + 
 +De votre poste de travail, testez la connexion de votre nouveau compte //poweruser//
 + 
 +<code>ssh poweruser@vps123456 -p 22</code> 
 + 
 +Vous devriez être connecté : 
 + 
 +<code>poweruser@mondomaine:~$</code> 
 + 
 +Fermez la connexion en tapant **exit**
  
 ===== Sécuriser un VPS ===== ===== Sécuriser un VPS =====
Ligne 185: Ligne 224:
 <code>apt-get upgrade</code> <code>apt-get upgrade</code>
  
-  * Modifier le port d’écoute par défaut du service SSH (par défaut, définie sur le port 22 et visés en premier par les robots des pirates) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :+  * Modifier le port d’écoute par défaut du service SSH 
 +    * Par défaut, définie sur le port 22 et visés en premier par les robots des pirates
 +    * Selon la page [[https://phoenixnap.com/blog/linux-ssh-security|5 Linux SSH Security Recommendations To Secure Your Systems]], les bénéfices de changer ce port sont l'impact sur les fichiers de journalisation et la charge sur votre serveur, suite aux attaques automatisées. 
 +    * Un inconvénient rencontré est que la commande rsync de sauvegarde [[.:yuno_gestion#exemple_pratique|(section Gestion / Sauvegarde programmée de Yunohost sur VPS / Exemple pratique)]] ne fonctionne pas à priori sur un autre port (un paramètre à fournir?). Donc le compromis est de ne laisser le port SSH 22 que pendant la sauvegarde. 
 +    * J'utiliserai dorénavant 'nn' pour mon nouveau port SSH) (**netstat -nlp** montre que le port 22 écoute en TCP) (enlever le '#' devant 'Port nn') :
  
 <code>nano /etc/ssh/sshd_config</code> <code>nano /etc/ssh/sshd_config</code>
Ligne 193: Ligne 236:
 <code>/etc/init.d/ssh restart</code> <code>/etc/init.d/ssh restart</code>
  
-  * (**netstat -nlp** montre que c'est maintenant le port 99 qui écoute en TCP) +  * (**netstat -nlp** montre que c'est maintenant le port nn qui écoute en TCP) 
-  * On devra obligatoirement renseigner le port lors des prochaines connexiosn SSH sur le serveur+  * On devra obligatoirement renseigner le port lors des prochaines connexions SSH sur le serveur comme ceci : 
 + 
 +<code>ssh poweruser@vps123456 -p nn</code> 
 + 
 +ou avec l'adresse IP du VPS comme ceci : 
 + 
 +<code>ssh poweruser@999.99.9999.9999 -p nn</code> 
   * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed)   * Modifier le mot de passe associé à l’utilisateur root (très fortement conseillé de le personnaliser, KeePassed)
  
Ligne 216: Ligne 266:
 <code>/etc/init.d/fail2ban restart</code> <code>/etc/init.d/fail2ban restart</code>
  
-**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[vps#debuter_avec_un_vps|Débuter avec un VPS]].+**Important :** Nous ne configurerons pas ci-dessous le pare-feu interne (iptables) et n'installerons pas non plus le Firewall Réseau OVH, mais plutôt le Coupe-Feu de base UFW à la section 'Prérequis 1' suivante. Vous pouvez donc passer à la section [[#debuter_avec_un_vps|Débuter avec un VPS]].
  
   * Configurer le pare-feu interne : iptables   * Configurer le pare-feu interne : iptables
Ligne 532: Ligne 582:
     * Validity : 3649 -> **89** (nombre de jours restants avant son échéance)     * Validity : 3649 -> **89** (nombre de jours restants avant son échéance)
   * Au besoin, consultez la page https://www.digitalocean.com/community/tutorials/how-to-install-yunohost-on-debian-9 (configurations DNS pour certaines applications & installation //Lets Encrypt//, etc.)   * Au besoin, consultez la page https://www.digitalocean.com/community/tutorials/how-to-install-yunohost-on-debian-9 (configurations DNS pour certaines applications & installation //Lets Encrypt//, etc.)
 +
 +===== Utilisation d'un sous-domaine  =====
 +
 +Certaines applications demandent d'avoir leur propre domaine.  On peut alors créer un sous-domaine qu'on offrira à cette application.  Yunohost fera le tri. 
 +
 +Dans le menu d'administration sous Domaine 
 +- ajouter un dommaine
 +- vous devez déjà avoir votre domaine.
 +- ensuite vous ajoutez le sous-domaine dans votre serveur de DNS en ajoutant un champs "A" avec la même adresse que votre domaine.
 +- une fois enregistré, vous pourrez enregistrer un certificat Let's encrypt tel que décrit dans la section précédante
  
 ===== Gestion de Yunohost ===== ===== Gestion de Yunohost =====
Ligne 538: Ligne 598:
  
 ====== Applications de Yunohost ====== ====== Applications de Yunohost ======
 +===== cas d'utilisation =====
 +
 +Vous pouvez utiliser la liste suivante pour débuter votre site. 
 +
 +OpenSondage vous permettra d'envoyer des questions à vos parents et amis.
 +DocuWiki pour faire un wiki personnel, texte et image modifiable par vos proches
 +===== retour d'expérience d'installation =====
 +
  
 Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations. Passer à la page [[:auto-heber:vps_yunoapps|Installation des applications de Yunohost sur VPS]] pour consulter mes applications auto-hébergées dans Yunohost sur mon VPS. Elle contient des notes sur mes expérimentations.
  
  • auto-heber/yuno_vps.1552230787.txt.gz
  • Dernière modification: 2019/03/10 11:13
  • de jean_leblond