INFO les barques

LAMP : 10ème Etape : Sauvegardes et mises à jour auto [DEBIAN]

Georges Charpenay — 2009-05-20T07:16:03Z

WEBMIN : MISE A JOUR AUTOMATIQUES

Dans un système professionnel, il est indispensable que des mises à jour automatiques du système d'exploitation soient planifiées.

Pour celà, il faut installer un paquet :

apt-get install cron-apt

Puis l'activer dans webmin.
Se connecter à webmin (voir articles précédents).

cron auto

Dans la page tâches cron du menu system, nous apercevons les nouveaux paquets téléchargés.

Il suffit d'activer les deux nouveaux paquets et valider la manip.

C'est tout pour les mises à jour automatiques.. Vive Debian !

WEBMIN : GESTION DES SERVICES AUTOMATIQUE

Dans la dernière version de webmin, il existe un excellent utilitaire qui permet de s'informer automatiquement de certains évènements systèmes qu'on aura choisi, et de programmer, à l'avance, la réaction du système à ces évènements.

Donnons un exemple, et il suffira de le reproduire et l'adapter aux autres services...

Connectons nous à notre cher webmin une nouvelle fois.

?tat du syst ?me

Nous remarquons que tous les services que nous avons installés jusqu'à présent sont suivi d'une "coche" verte.

Il convient d'abord de faire le ménage. Aussi, nous avons coché plusieurs services que nous n'utilisons pas (dhcp, bind dns, postgres, etc...) et nous validons pour les supprimer. - Bouton delete Selected.

En cas de nécessité ultérieure, il y a de toute façons une procédure pour les faire réapparaître...

Les services surveillés sont cochés vert et pour les paramétrer, il faut sélectionner le service.

Par contre, du fait que pas mal de services ne fonctionnent plus si la connexion réseau est coupée, nous avons ajouté le module "Etat de l'interface réseau local" dans le menu approprié en haut de l'écran.

Exercice pour les services apache :

Sélectionnez apache,
Bouton programmation
- Sélectionner "oui et un message électronique quand il est arrêté"
Nombre d'échecs avant un rapport
- laisser 1
Notification Method
- Cocher Email
Also send email for this service to
- (ne rien saisir, laisser vide)
Don't check if monitor is down
- Choisir Etat de l'Interface Réseau Local

Ainsi, l'alerte et la réaction que nous allons programmer ne s'effectuera que si l'interface réseau est active. (il n'est pas nécessaire d'avoir des alertes par mail ou redémarrer les services car la connexion internet et réseau sera arrêtée et le serveur ne pourra forcément pas communiquer).

Pour programmer la réaction en face d'un évènement, compléter la section commands to run :

Si le moniteur s'arrête, exécuter la commande de redémarrage du service
- /etc/init.d/apache2 restart

Exécuter les commandes sur
- Cocher "Ce Serveur".

En effet, webmin est génial car on peut administrer ce genre d'actions sur un serveur distant.

Sélectionner le bouton "Sauvegarder".

Attention, tout n'est pas fini, il faut activer la surveillance programmée.

Bouton "surveillance programmée", paramétrer la page selon vos souhaits, notamment le champ "champ from : du message électronique, par une adresse email valide et valider.

Surveillance programmes

Pour les autres services, nous avons programmé des alertes et redémarrages de même type pour les services suivants, avec les commandes suivantes, pour redémarrer automatiquement les services.

– Mysql : /etc/init.d/mysql restart
– Postfix : /etc/init.d/postfix restart
– Samba : /etc/init.d/samba restart
– Apache2 : /etc/init.d/apache2 restart
– Interface réseau : /etc/init.d/networking restart && ifconfig eth0 up
– Raid : (Commande à rechercher)
– Charge moyenne (surveillance seulement)
– Espace disque (surveillance seulement)
– Proftpd : /etc/init.d/proftpd restart
– ssh : /etc/init.d/ssh restart
– webmin : /etc/init.d/webmin restart
– taille de la file d'attente (surveillance seulement).

WEBMIN : SAUVEGARDES AUTOMATIQUES

Il faut savoir qu'au delà de webmin, on peut lancer manuellement une double commande enchainant la mise à jour des listes de paquets, puis la mise à jour des paquets, à savoir :

apt-get update (pour la mise à jour de la liste)

apt-get upgrade (pour la mise à jour des paquets)

Politique de sauvegarde :

En matière de sauvegarde, nous avons des serveurs windows sur lesquels des sauvegardes régulières sont faites sur bande magnétique.

L'idée est que les sauvegardes des serveurs debian aillent se copier sur un espace disque des serveurs windows. Cet espace disque sera également compris dans les sauvegardes sur bandes. Ainsi, en cas de crash, nous disposerons de la dernière version de la sauvegarde directement sur le réseau, et si nécessaire, nous disposerons d'un historique des sauvegardes au travers des bandes magnétiques.

Par contre, d'un point de vue restauration, nous souhaitons pouvoir restaurer :

– soit l'archive complète (par webmin) en utilisant le fichier de sauvegarde

– soit quelques fichiers précis (par winscp, ou ftp, ou manuellement).

Par contre, nous n'utiliserons pas webmin pour la restauration car il demande de se souvenir de l'arborescence exacte du serveur pour une restauration partielle, des outils comme winscp pallient largement cette insuffisance.

Ceci implique d'imposer tous les soirs, une double sauvegarde, une première créant le fichier de sauvegarde.tgz sur le lecteur de destination, et une décompression de la sauvegarde, sur ce même lecteur (pour utilisation autre que webmin).

Le système que nous allons décrire peut également servir sur des disques réseaux éthernet (disques dur IP - facilement trouvables dans le commerce). Donc, une sauvegarde pas chère. Le principe sera le même s'il s'agit d'un lecteur de bande sur le serveur, c'est ce que nous allons voir...

SAUVEGARDE : 1ère Etape

Pour le cas d'une sauvegarde sur lecteur réseau, il faut commencer par aller partager un dossier sur le serveur de destination. (windows, pour la circonstance).

Il faut installer un paquet pour un montage réseau samba :

apt-get install smbfs

SAUVEGARDE : 2ème Etape

Deux façons simples de lancer les sauvegardes :
– par ligne de commande
– par webmin

**** Partie ligne de commande ****

Créer le répertoire de montage local du lecteur réseau de sauvegarde :
mkdir /home/sauve/sys

Monter le lecteur distant :

mount -t smbfs //Ip_Serveur_Destination/Nom_de_partage /home/sauve/sys/ -o username=Votre_Nom_De_Session_Windows

S'il s'agit d'un lecteur protégé,il faut ajouter dans la ligne de commande "-o username=Votre_Nom_De_Session_Windows" et saisir le mot de passe de la session.

Il faut ensuite aller dans webmin, menu système, montage disques et réseaux.

Webmin affiche tous les montages, et nous devons apercevoir notre partage windows (/home/sauve/sys)

Cliquer sur le montage et cocher, sur la page "éditer un montage", Enregistrer et monter au démarrage, dans l'option enregistrer le montage, puis sauvegarder. (vérifier que le nom d'utilisateur et le mot de passe soit OK, dans les options spécifiques aux systèmes de fichiers SMB.

Pour voir les points de montage actuels en ligne de commande :
nano /etc/fstab

**** Partie webmin ****

Menu webmin, systeme, filesystem backup.

Cliquer d'abord sur le bouton "..." pour sélectionner un répertoire à sauvegarder, cocher ensuite la case "in tar format", puis cliquer sur le bouton "Add au new backup of directory.

Dans la page ci-dessus, bien ajouter le slash (/), après les noms de répertoires à sauvegarder, zone directories to backup (car il s'agit bien de répertoires et nom de fichiers).

Dans cette zone, on peut ajouter d'autres répertoires. Il suffit de faire un retour de chariot, et ajouter les répertoires de sauvegarde.
Par exemple, nous avons prévu la sauvegarde de :
/home/
/etc/
/var/

Ceci pour sauvegarder les fichiers utilisateurs, les fichiers de config, et les sites internet. (Pour la partie sauvegarde mysql, nous utiliserons le modules serveur/mysqldatabase serveur.)

Dans la zone backup to :

/home/sauve/sys/nom_de_sauvegarde.tar.gz

Backup label :

Nom_de_la_sauvegarde

Files and directories to skip :

/home/sauve/sys/*

(en fait, on précise simplement le répertoire sys (le montage réseau), mais la sauvegarde prendra bien les fichiers et autres sous-répertoires de /home/sauve, dont notre cher egroupware.)

Compress archive :

Yes, with gzip

Limit backup to one filesystem :

Cocher OUI.

Attempt test restore after backup to verify

Cocher OUI.

Command to run before backup :

ls -l /home/sauve/sys/

avec case cochée "halt if command fails".

(cette commande permet de ne pas lancer la sauvegarde si le lien réseau est indisponible).

Astuce : On peut lancer en ligne plusieurs commandes, par exemple, pour ce cas, plutôt que ls -l /home/sauve/sys, on peut lancer cd /home/sauve/sys && ls.

Command to run after backup :

cd /home/sauve/sys/ && tar -xvzf Nom_de_la_sauvegarde.tar.gz

Enfin, il reste la partie backup schedule à programmer selon votre choix.

Scheduled backup enabled :

Cocher OUI

Email schedules output to :

email_administrateur

Email message subject :

Nom_de_la_Sauvegarde

Vous avez le choix entre la planification simple, (cocher et choisir les options).

Sauvegarde : réglages pour le Mail ?

Il est fort possible que le mail ne puisse fonctionner car ce serveur n'a pas de service smtp configuré. Il faut donc configurer Debian pour envoyer les mails, et utiliser entre-autres le "mini-serveur de mail exim" qui fait partie de la base du système. (Ceci dans le cas où ce serveur Lamp, ne soit pas bien sûr lui même serveur de mail).

Pour celà, en mode console et compte administrateur :

sudo dpkg-reconfigure exim4-config

Dans les écrans qui suivent, il faut répondre de partout avec la réponse par défaut sauf pour les deux écrans suivants :

Choisir comme type de configuration Envoi via relais (« smarthost ») - réception SMTP ou fetchmail

Puis pour l'écran :

Entrer l'adresse de votre serveur SMTP externe

Cela suffira pour activer l'envoi de mail avec PHP sans configurer un serveur de mail complet.

WEBMIN : RESTAURATION

Webmin, menu system, file backup system.
On arrive sur la page suivante,

Restore from file device :

bien sélectionner sur l'explorateur la sauvegarde sur le lecteur réseau samba.

File to restore

choisir tout préciser les fichiers comme sur l'écran ci-dessous

Restore to directory :

restore

Astuce : Si malencontreusement, vous précisez de mauvais paramètres à webmin pour restaurer, vous amenant à la page d'erreur, il peut arriver que vous ne trouviez plus le contenu du volume à restaurer, c'est à dire la sauvegarde elle-même. Pour corriger cet effet, aller vérifier dans system, montage disque et réseaux, puis sélectionner le montage de la sauvegarde, pour sélectionner monter maintenant, dans la page éditer un montage.

Pour les amoureux(ses) de la ligne de commande, la commande

cd '/home/sauve' && tar -x -f '/home/sauve/sys/sauvegardelinux.tar.gz' -p -z /home/sauve/egroupware/ ..

devrait avoir les mêmes effets

Si la restauration complète n'intéresse pas nos lecteurs, il reste la possibilité d'utiliser winscp pour procéder à la restauration. Pas besoin de tuto pour son utilisation.

LAMP : 9ème Etape - Samba [DEBIAN]

Georges Charpenay — 2008-07-21T13:29:54Z

logo samba linux

SAMBA - Installation - Configuration

Samba permet de partager des dossiers sous Linux avec des ordinateurs locaux sous Windows, très pratique, donc !

De plus, il permet d'établir un réseau relativement sécurisé grâce à ses nombreuses fonctions.

Nous allons utiliser samba de deux façons :

La première :

Dans notre politique de sécurité, nous allons décrire le paramétrage de samba pour que certains répertoires FTP soient accessibles avec samba pour les utilisateurs locaux.

Pourquoi ?, pour citer un exemple, une société extérieure doit livrer un travail à des personnes interne à notre entreprise. La société extérieure aura seulement un accès ftp pour déposer son travail, et la personne interne à notre entreprise aura un accès samba (à la windows) sur le même dossier.

La deuxième :

Quelques personnes de notre entreprise précisément désignées auront des dossiers partagés sous samba.

Installation de SAMBA

Commencez d'abord par l'installer : connectez vous en root et saisissez :

apt-get install samba

A la fin du téléchargement, samba vous demande le nom du groupe de travail ou du domaine.

Samba vous demande ensuite si vous voulez modifier smb.conf pour utiliser les paramètres WINS fournis par DHCP.

En ce qui nous concerne, notre serveur n'est pas en DHCP, mais nous choisissons OUI, car si plus tard, nous décidons d'activer DHCP sur le serveur, samba pourra récupérer automatiquement les noms netbios.

Configuration

Il faut ensuite configurer quelques lignes du fichier smb.conf :

nano /etc/samba/smb.conf

En Ligne 27, nous avons renseigné le groupe de travail (ou le domaine), en principe, il est prérenseigné car vous l'avez saisi à l'installation du paquet.

# Change this to the workgroup/NT-domain name your Samba server will part of workgroup = MonDomaine

Il est possible, sous samba, d'autoriser l'accès aux dossiers partagés depuis des adresses ip préalablement définies.

Nous ne l'avons pas fait car il n'est pas possible de définir des masques et nous aurions beaucoup trop d'adresse ip à saisir, mais la procédure est la suivante, pour les personnes intéressées :

Dans smb.conf, il faut ajouter la ligne suivante :

Après « ####### Authentication ####### », vers la ligne 88, :

hosts deny = ALL hosts allow = ***.***.*.*

En remplaçant ***.***.*.* par l'ip local de l'ordinateur qui aura accès aux partages.

Si vous souhaitez mettre plusieurs ip, séparez les par des espaces.

SAMBA : Gérer les utilisateurs

Toujours dans smb.conf, un peu plus loin, vers la ligne 94, décommentez la ligne

;security = user

En supprimant le point virgule.

Cela signifie que par défaut seuls les utilisateurs enregistrés auprès de samba auront accès aux partages.

A l'inverse, « security=share » , (ligne suivante), autorise n'importe quel accès anonyme et est donc un mode bien moins sécurisé (que nous n'avons pas choisi).

SAMBA : Dossiers Partagés / Droits d'accès

Toujours dans /etc/samba/smb.conf :

Les droits d'accès sont à configurer dans la partie “Share Definitions” : Par défaut, ils sont très limités.

Tout d'abord, pour autoriser les utilisateurs à naviguer et à écrire dans leur dossier personnel , modifier la partie [homes] de cette manière :

[homes] comment = Home Directories browseable = yes # By default, the home directories are exported read-only. Change next # parameter to ‘yes' if you want to be able to write to them. writable = yes # File creation mask is set to 0700 for security reasons. If you want to # create files with group=rw permissions, set next parameter to 0775. create mask = 0644 # Directory creation mask is set to 0700 for security reasons. If you want to # create dirs. with group=rw permissions, set next parameter to 0775. directory mask = 0755

EXPLICATION

“create mask” est le CHMOD associé aux fichiers créés.

644 correspond à Lire/ecrire pour les fichiers (nous n'avons pas mis le droit executer car nous voulons limiter le rôle de samba à un serveur de fichier et non pas d'application).

“directory mask” est celui associé aux dossiers créés.

755 correspond correspond à tout les droits.

Partage de dossiers pour les utilisateur locaux

Comment partager un dossier :

Toujours dans smb.conf, il faut décrire chaque partage de chaque dossier.

Pour celà, il est pratique de les décrire en fin de fichier.

Il faut commencer par le nom du partage entre crochets, puis renseigner les différentes règles qui lui seront affectées :

EXEMPLE D'UN PARTAGE DE DOSSIER AJOUTE DANS SMB.CONF

[Nom_du_partage] path = CheminDuDossierPartagé valid users = guillaume jacques jean browseable = yes writeable = yes create mask = 0644 directory mask = 0755

Ne pas oublier ensuite, de créer le dossier approprié sur le serveur.

Exemple :

mkdir /home/NomduDossierPartagé

SAMBA - Utilisateurs

Il faut maintenant ajouter les utilisateurs de Samba.

Les utilisateurs samba doivent forcément être des utilisateurs système, utilisez pour cela la commande adduser que vous pouvez compléter par la spécification du dossier personnel, auquel l'utilisateur aura accès par défaut (via samba) :

Création d'un utilisateur système :

adduser —shell /bin/false –home /home/votre_dossier NomNouvelUtilisateur

Option choisie : "—shell /bin/false" lui interdira d'avoir un shell en accès console.

Vous est alors demandé le mot de passe associé ainsi que différentes informations que vous pouvez laisser vide.

Donner ensuite l'accès à Samba

Pour qu'un utilisateur système ait ensuite un accès aux dossiers partagés de Samba, utilisez la commande :

smbpasswd –a NomNouvelUtilisateur

Le système demande alors le mot de passe système qui a été affecté à l'utilisateur.

Finalisez le tout, en redémarrant le service samba :

/etc/init.d/samba restart

Pour avoir accès aux partages depuis Windows XP, il est indispensable d'avoir un compte XP avec les mêmes noms/mots de passe que sous Linux.

Vous pouvez également partager des répertoires avec webmin (menu serveur, partages)...

SAMBA : Connecter à un domaine windows

Connecter Samba à un domaine windows vous permettra entre autres de partager sur le serveur Samba des dossiers qui seront visibles depuis les utilisateurs du domaine windows et hériterons des droits windows sur ses propres dossiers. Les dossiers samba partagés seront partagés avec windows, comme n'importe quel dossier partagé windows.

Ensuite, avec webmin, vous pouvez configurer samba pour lui faire rejoindre votre domaine :

La sélection de l'icône "joindre au domaine" vous enchaine l'écran suivant qu'il faut compléter évidemment du vrai nom de votre domaine.

Et tout baigne.
Si un message d'erreur du genre ... :

Liaison au domaine avec la commande /usr/bin/net join -U Administrateur -S masociete\.com en cours... Invalid configuration. Exiting.... ADS join did not work, falling back to RPC... Host is not configured as a member server. cannot join as standalone machine

Il ne faut pas s'affoler, dans ce cas, il semble prudent d'effectuer l'ensemble des procédures de liaisons au domaine et tout rentrera dans l'ordre.

SAMBA : Donner des droits aux utilisateurs Active Directory

Les procédures de créations de dossier partagé sont strictement les mêmes que supra-évoqué, cependant, webmin ne nous aidera pas beaucoup dans cette étape car il semble ne travailler que sur les utilisateurs linux et n'affiche pas les utilisateurs d'active directory (quand on essaye par exemple d'ajouter des groupes à écrire sur la zone samba).

Passons donc par l'édition manuelle du smb.conf où nous allons créer l'espace de partage Samba

nano /etc/samba/smb.conf

[intranet] writable = yes path = /var/intranet create mask = 0600 directory mask = 0700 comment = Utilisateurs intranet valid groups = s_info

Dans cet exemple, nous avons ajouté et autorisé le groupe s_info (qui existe sur l'active directory), à écrire sur la zone de partage. Ainsi, tous les utilisateurs du groupe s_info de l'active directory peuvent écrire sur cette zone samba appelée, pour l'exemple "Intranet".

Attention de bien vérifier les options create et directory mask, pour donner les bons droits aux répertoires et fichiers créés (voir plus haut dans cet article dédié à Samba.).

Ne pas oublier de refaire systématiquement redémarrer samba après chaque modification de smb.conf, soit avec webmin, soit avec la commande suivante :

/etc/init.d/samba restart

LAMP : 8ème Etape - LDAP, EGROUPWARE [DEBIAN]

Georges Charpenay — 2008-07-17T15:04:46Z

EGROUP : Téléchargement des paquets

Les paquets à télécharger

Choisir les paquets :

Egroupware 1.4.004 (ou le dernier en cours)

Egwpear qui va avec.

Gallery qui va avec.

Prendre les fichiers.tar.gz.

Les copier dans un répertoire utilisateur quelconque, puis les détarer.

tar xvzf eGroupWare-1.4.004-2.tar.gz

tar xvzf eGroupWare-egw-pear-1.4.004-2.tar.gz

tar xvzf eGroupWare-gallery-1.4.004-2.tar.gz

Par défaut, un répertoire egroupware est créé dans l'arborescence existante et l'ensemble des trois archives a été décompressée dedans.

Rappel : nous avions décidé, dans les installations précédentes, de donner une arborescence particulière aux utilisateurs, en séparant les utilisateurs ftp des utilisateurs locaux - /home/ftp/utilisateurFtp. De même que pour les utilisateurs, nous avons appliqué la même méthode aux sites internet. L'egroupware sera donc réparti et installé dans le répertoire /var/www/wwwegroup).

Il convient maintenant de déplacer cet egroupware sous /var/wwwegroup.

cd egroup
mv * /var/www/wwwegroup/

Ensuite, il faut créer un virtual host egroupware qui va pointer sur /var/www/wwwegroup/.

Pour cela, il faut éditer le fichier :

nano /etc/apache2/sites-enabled/000-default

# Ici un virtual host pour héberger un egroupware sécurisé sur le port 443... ##### VIRTUAL HOST EGROUPWARE ##### <VirtualHost 192.22.1.1:443> ServerName egroup DocumentRoot /var/www/wwwegroup SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key </VirtualHost>

EGROUP : 1ère connexion

Vous pouvez dès à présent vous connecter par l'adresse IP du serveur egroupware.

https://192.22.1.1/

Bien, nous savons que ça marche, mais n'allons pas plus loin car il faut créer la base mysql, que nous évoquerons après la remarque de sécurité ci-dessous.

EGROUP : Gestion des virtual hosts

Remarque de sécurité importante :

C'est le premier enregistrement décrit dans virtualhost qui est pris par défaut, selon le port demandé, si aucun servername n'est indiqué dans l'url.

Pour exemple, un virtual host qui contient :

– premier virtual host - 192.22.1.1:80 internet
– deuxième virtual host - 192.22.1.1:443 egroupware
– troisième virtual host - 192.22.1.1 : 443 intranet
– quatrième virtual host - 192.22.1.1 :80 deuxièmeSiteInternet

le site atteint avec :
– http://192.22.1.1/ est internet (premier site 80 )
– https://192.22.1.1/ est egroupware (premier site 443)

Donc, puisque que virtualhost, par défaut, vous emmène à la racine de /var/www, et puisque nos sites sont situés sous cette racine, dans des répertoires séparés (ex : /var/www/wwwegroup), il faut enlever l'enregistrement par défaut de virtual host pour ne pas arriver à la racine. De plus, nous avons à la racine de www des répertoires comme phpmyadmin, postfixadmin que nous ne voulons pas partager.

Il faut donc soit enlever tout le virtual host par défaut, soit le commenter entièrement.
Texte virtual host par défaut :

<VirtualHost 192.22.1:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/ <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all # This directive allows us to have apache2's default start page # in /apache2-default/, but still have / go to the right place RedirectMatch ^/$ /apache2-default/ </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory> </VirtualHost>

EGROUP : Création base Mysql

Utilisons phpmyadmin

Dans un explorateur :

https://192.22.1.1/phpmyadmin/ devrait théoriquement nous amener à phpmyadmin...

Cela ne marche pas ? Bien sûr car nous avons décidé de sécuriser au maximum par virtual host. Aussi, et puisque nous n'avons donné qu'un accès par défaut par type de port utilisé (ex évoqué dans la remarque de sécurité ci-dessus, un accès sur le port 80 par défaut vous amène sur internet, un accès par le port 443 vous amène par défaut sur le site egroupware. )

Pourquoi ne pas créer un accès virtual host (443 - sécurisé) qui contiendrait seulement le portail d'accès à tous les autres sites. Ainsi, notre premier enregistrement sur le port 443 de notre virtual host contient notre portail intranet dans lequel tous les liens sur tous les sites existent. Nous sommes ainsi jamais au niveau de la racine /var/www.

Ce que nous avons fait :

Nous avons donc créé un virtual host dédié à l'administration qui sera accessible seulement aux administrateurs. Pour celà, nous avons modifié leur fichier hosts de leur poste Windows. Nous avons ainsi un peu plus de sécurité et nous cachons les pages d'administration au utilisateurs lambdas.

Pour tester et administrer les virtual hosts depuis notre machine cliente d'administration, (les virtual hosts sont volontairement pas déclarés sur un serveur DNS Local pour le moment), il faut éditer le fichier C :\WINDOWS\system32\drivers\etc\hosts et rajouter les lignes suivantes :

192.22.1.1	admin 192.22.1.1	egroup 192.22.1.1	monsite.com 192.22.1.1	intranet

S'il y a utilisation d'un serveur DNS, les dns ci-dessus seront renseignés, sauf évidemment le premier (admin).

Maintenant les 4 virtual hosts sont accessibles depuis notre pc d'administration.

EGROUP : Création Utilisateur Egroupware

Pour reprendre la suite de l'installation d'egroupware, nous pouvons nous connecter à phpmyadmin, avec l'url suivante, utilisant le host "admin", déclaré dans le fichier hosts de windows :

https://admin/phpmyadmin/

Depuis cet accès phpmyadmin, nous devrons ajouter un utilisateur egroupware et une nouvelle base de donnée pour accueillir l'installation d'egroupware.

Après saisie du mot de passe, sur la page de phpmyadmin, cliquons sur Privilèges dans la colonne localhost, puis Ajouter un utilisateur dans la page suivante.

Nom d'utilisateur :

Réponse : egroupware

Serveur :

Réponse : local (localhost)

Mot de passe :

Réponse : MonMotde Passe (saisi deux fois)

Base de donnée :

Réponse : Sélectionner le bouton "créer la base portant son nom...")

puis bouton : EXECUTER

La base egroupware ainsi que son utilisateur est créée.

EGROUP : Phase de vérification des modules pour eGroupWare

Nous pouvons donc passer à la phase de vérification ainsi que l'installation d'egroupware.

Pour accéder à eGroupWare maintenant on peut utiliser soit le virtual host :

https://egroup

https://192.22.1.1

Nous arrivons ainsi sur la page de sélection de langue.

Cliquer sur démarrer la procédure de vérification et , sur la page suivante, et modifier obligatoirement toutes les vérifications marquées d'une croix rouge. Le mode opératoire est décrit.

Pour les modifications marquées d'un éclair jaune, il est préférable de les corriger, mais vous pouvez en éviter si vous jugez ne pas avoir besoin des modules indiquée (ex : pgsql - progress sql - si vous n'utilisez pas progress, etc ...)

verif egroup

Astuce : Après avoir rectifié un paramètre, vous pouvez actualiser la page de test d'egroupware en tapant F5 .

En ce qui nous concerne, nous avons rectifié mémory limit à 24, mbstring (à ajouter dans php.ini), magic quote à Off. Nous ignorons pgsql, odbc, et oci8.

Pour ldap, egroupware ne trouve pas le module, nous l'avons installé avec :

apt-get install slapd
apt-get Php5-ldap

Rappel : vous pouvez interroger le cache d'apt-cache, avec apt-cache search ldap (et choisir slapd), sans oublier php5-ldap.
A l'installation du paquet ldap, il faut saisir un mot de passe administrateur. Vous avez le choix plus tard d'aller dans webmin ajouter le module LDAP.

Pour mémoire, LDAP peut être considéré comme un annuaire faisant du stockage d'information disponible pour toutes les applications. Un exemple d'annuaire autre que ldap, mais fonctionnant de la même manière est l'active directory de Microsoft .

Nous avons aussi installé le module imap (qui permet à php5 de comprendre les instructions imap, dans les fichiers php).

apt-cache search imap

choisir php5 imap

apt-get install php5-imap

A la question : poursuivre l'installation de libc-client sans gestion de « maildir » ?
Réponse : OUI (très important car nous voulons que le mail soit géré par mysql et pas par un système de fichiers sur disque) Cette gestion de mail par mysql est appelée virtualmail. Ainsi, une sauvegarde de la base mysql sauvegardera également tous les mails lus, et nous serons dispensés de sauvegarder la partie disque correspondant aux mails.

Nous avons aussi installé le module gd (qui permet à egroupware d'utiliser le project manager).

apt-cache search gd

choisir php5-gd

apt-get install php5-gd

Nous avons aussi installé le module pear (qui est quasi-indispensable à egroupware pour plein de services de mail).

apt-cache search pear

choisir php-pear

apt-get install php-pear

Puis,

pear install Auth_SASL

A ce stade, l'egroupware est prêt à être installé. Seuls les paquets que nous ne voulons pas restent en avertissement. (Cependant le choix des paquets et des avertissements peuvent varier d'une configuration à une autre et vous êtes libre arbitre.).

Choisir le menu au bas de page « configurer les entêtes »

EGROUP : Configuration des entêtes

C'est une page importante, elle consiste à positionner tous les réglages système par défaut pour egroupware (sauvegardes, répertoires, etc ...) Egroupware a son propre système de réglage de fonctionnement préférentiel, mais cette partie se passera dans l'applicatif egroupware.

Conf entetes

RACINE SERVEUR :

/var/www/wwwegroup

INCLURE ROOT :

/var/www/wwwegroup

IDENTIFIANT ENTETE :

admin

MOT DE PASSE ENTETE :

MonMotdePasseEntête (pour accéder à cette page)

LIMITER L'ACCES :

(laissé vide)

CONNECTIONS PERSISTANTES :

Oui

TYPE DE SESSION :

PHP

ACTIVER MCRYPT :

NON

VERSION :

(laissé vide)

VECTEUR D'INITIALISATION MCRYPT :

(laissé tel quel)

BOITE DE SELECTION DE DOMAINE :

NON

INSTANCE DE BASE DE DONNEE (EGW) :

(laissé défault)

TYPE DE BASE DE DONNEE :

Sélectionner Mysqli (php5)

NOM DU SERVEUR DE BASE DE DONNEE :

laissé localhost, sinon indiquer l'adresse ip du serveur mysql

PORT D'ACCES A LA BASE DE DONNEE :

laissé 3306

NOM DE LA BASE DE DONNEE :

laissé egroupware (nom de la base mysql)

UTILISATEUR DE LA BASE DE DONNEE :

laissé egroupware (utilisateur egroupware dans mysql)

MOT DE PASSE UTILISATEUR A LA BASE DE DONNEE :

MotdePasseUtilisateurEgroupwareMysql (créé dans mysql)

IDENTIFIANT DE CONFIGURATION :

laissé admin

MOT DE PASSE CONFIGURATION :

MotdePasseDomaineEgroupware

NE PAS CLIQUER SUR Ajouter une nouvelle instance (Domaine Egw).

EGROUP : Ecriture du header.inc.php

Le bas de la page se présente ainsi :

header

Nous voyons qu'il ne peut pas créer le fichier header.inc.php à cause de permissions manquantes. Ceci est normal car apache2 crée un utilisateur système, qui s'appelle www-data.

La création de cet utilisateur peut se voir dans le fichier /etc/passwd.

Cet utilisateur (www-data) n'a pas les droits pour écrire dans le répertoire d'egroupware qui est situé sur /var/www/wwwegroup/, et ne peut donc écrire le fichier header.inc.php.

L'interface d'egroupware propose donc de :

– soit télécharger le fichier header.inc.php sur son pc, le modifier avec ses paramètres, puis de le remettre "à la main" sous /var/www/wwwegroup/. (Bouton Télécharger)

– soit visualiser le fichier header.inc.php (Bouton voir), copier-coller le texte (complet), dans un nouveau document directement sur le serveur dans le répertoire approprié.

C'est cette deuxième méthode que nous avons choisie.

voir header

1 - ouvrir une fenêtre ssh,

2 - cd /var/www/wwwegroup/

(.. le répertoire de votre egroupware)

3 - nano header.inc.php

(..ou votre éditeur préféré..)

4 - copier l'intégralité du contenu de header.inc.php affiché par votre egroupware

5 - Coller dans l'éditeur ouvert en ssh (click droit souris)

6 - Sauvegarder votre fichier dans l'éditeur de texte en ssh.

Header.inc.php existe maintenant à la racine de votre site egroupware, avec les bons paramètres. Nous pouvons donc continuer l'installation d'egroupware, à travers l'interface web...

Cliquer sur bouton "Continuer", en bas de la page du contenu de header.inc.php.

Nous arrivons sur la page suivante :

setup g ?n ? egroup

Nous remarquons que la partie "Header Admin Login" est terminée. Il ne reste plus qu'à lancer la partie "Setup/Config Admin Login".

Allons y gaiement !

EGROUP - Suite de la Configuration

Nous arrivons sur l'écran suivant :

installation egroupware

Cocher "afficher les informations de déboguage supplémentaire", puis cliquer sur le bouton "installer" (juste en dessous).

Attention, tout le script s'affiche, avec les résultats sur la page, il faut donc aller tout au bas de la page pour cliquer ensuite sur le bouton "vérifier mon installation".

Vous devriez voir passer "en vert" tout sauf :

– étape 2 : configuration

– étape 3 : compte administrateur.

Cliquez sur bouton Etape 2 et répondre aux questions suivantes :

Entrez le chemin complet pour les fichiers temporaires :

laisser /tmp

Entrez le chemin complet pour les fichiers d'utilisateurs :

/home/sauve/egroupware/files

Entrez le chemin complet vers le répertoire de sauvegarde :

/home/sauve/egroupware/backup

NOTE : Ces répertoires correspondent à une politique de sauvegarde qui est décrite dans l'article suivant concernant les sauvegardes.

Entrez l'emplacement de l'URL de eGroupWare :

https://mondomaine.com/egroupware

ATTENTION : Ne pas mettre de "/" à la fin de l'adresse.

Ordre de sélection de type d'image :

PNG->JPEG->GIF

Entrez le nom de la machine sur laquelle ce serveur s'exécute :

192.22.1.1 (adresse IP du serveur)

Entrez votre serveur FTP par défaut :

192.22.1.1
(...adresse IP du serveur.. parce qu'on a installé proftpd)

Tentative d'utiliser le type MIME correct pour FTP au lieu de celui par défaut :

Laisser NON

Entrez votre serveur proxy HTTP :

adresse IP de votre proxy HTTP

... s'il existe sur votre réseau, sinon laisser vide.

Entrez le port de votre serveur proxy HTTP :

Le cas échéant, autres paramètres de votre proxy que vous devez connaître...en général 3128 ou 8080

Entrez le nom d'utilisateur pour le proxy HTTP :

Le cas échéant, autres paramètres de votre proxy que vous devez connaître...

Entrez le mot de passe pour le proxy HTTP :

Le cas échéant, autres paramètres de votre proxy que vous devez connaître...

ATTENTION : Du fait qu'on a précisé des sauvegardes ailleurs que dans le répertoire par défaut d'egroupware, il faut les créer sur le disque :

mkdir /home/sauve

mkdir /home/sauve/egroupware

mkdir /home/sauve/egroupware/files

mkdir /home/sauve/egroupware/backup

Ensuite, il faut autoriser "l'utilisateur d'apache2", soit www-data à s'approprier les répertoires où apache doit écrire.

chown -R www-data /home/sauve/egroupware/*

SERVEUR DE MESSAGERIE

nom d'hôte ou adresse IP du serveur de messagerie POP/IMAP :

adresse IP de votre serveur de messagerie
... s'il existe sur votre réseau, sinon laisser vide.

Protocole Mail server :

Choisir IMAP
(..parce qu'on reste dans le réseau local et que le serveur de mail n'est pas à l'extérieur - s'il avait une IP publique, on prendrait IMAPS).

Type de login Mail server :

Choisir Virtual Mail Manager
(..car nous avons choisi une authentification par base Mysql pour les comptes mail - évoqué ci-dessus - pas de maildir).

Domaine Mail (pour Virtual mail manager) :

saisir MonDomaine.com
(..il s'agit de l'extension d'adresse, après l'arobase, dans les adresses mail).

Nom d'hôte ou adresse IP du serveur SMTP :

adresse IP de votre serveur SMTP
... s'il existe sur votre réseau, sinon laisser vide.

Port du serveur SMTP :

port de votre serveur SMTP, en général 25
... s'il existe sur votre réseau, sinon laisser vide.

Utilisateur pour l'authentification SMTP (laisser vide si aucune authentification n'est requise) :

Laisser vide.

Mot de passe pour l'authentification SMTP :

Laisser vide.

Astuce : Pour les paramètres mail que nous venons de compléter, il est évident qu'ils ne sont obligatoires que si nous voulons nous servir des fonctions de mail d'egroupware. Dans le cas contraire, vous pouvez laisser à blanc les champs à compléter et ne pas vous servir du mail d'egroupware. Et si, plus tard, vous décidiez d'implémenter les fonctions de mail, vous pourrez revenir sur cette page et compléter les champs pour egroupware. Il suffira de taper dans l'url de votre explorateur :
https://adresse_Ip_serveur/setup/config.php

AUTHENTIFICATION COMPTES

Voir les réponses choisies sur l'image ci-dessous...

setup authentification

Sur l'image suivante :

Pour la partie Ldap et active directory. Nous n'avons pas complété LDAP car nous pourrons le faire si nous décidons plus tard de laisser LDAP gérer les comptes et les groupes Egroupware. Par défaut, les comptes et les groupes d'egroupware sont gérés par défaut par egroupware.

Nous avons renseigné la partie active directory car nous avons un serveur de domaine windows sur le réseau et nous pensons que cette partie est nécessaire à l'usage de samba dans un domaine windows avec les comptes d'egroupware.

setup ldap

Image suivante :

Enfin dernière étape, nous n'avons pas sélectionné de méthode de cryptage, et nous avons choisi SQL version 2 (expérimentale..), ainsi que le stockage par système de fichiers pour éviter d'avoir une base sql énorme et faciliter la sauvegarde des fichiers.

fin config egroup

EGROUP : Dernière Etape - Compte Admin

Depuis la page générale de configuration, sélectionner Etape 3 - Création du compte admin.

Aux questions :

Supprimez tous les comptes ...?

NON (...vu que nous venons de créer la base, elle est vide..)

Identifiant (login), prénom, nom, adresse email, mot de passe.

A compléter selon votre choix mais nous conseillons très fortement de ne jamais créer un utilisateur admin, avec le login admin pour des raisons de sécurité dont vous ne pouvez douter !

Donner les droits administrateurs à tous...

Coché la Case (... oui, pour qu'on puisse avoir tous les accès pour gérer egroupware, depuis egroupware).

FELICITATIONS ! - Vous pouvez vous connecter par l'url :

https://MonDomaine/egroup/

LAMP : 6ème Etape - WEBMIN [DEBIAN]

Georges Charpenay — 2008-07-15T08:42:50Z

WEBMIN : Installation

WebMin permet d'administrer à distance une machine Linux à partir d'un simple navigateur. Voici les instructions pour installer rapidement l'interface d'administration WebMin sous Debian (et Ubuntu) :

1) Installez les paquets nécessaires à WebMin :

En mode console administrateur : apt-get install libnet-ssleay-perl libauthen-pam-perl libio-pty-perl libmd5-perl

2) Allez sur http://www.webmin.com/download.html

2) Téléchargez le .deb (par exemple webmin_1.420_all.deb) —prenez garde de bien sélectionner le paquet debian.

Astuce : Inaugurez le ssh et connectez vous en putty (ou sinon sur la console serveur. Placez vous sur un compte utilisateur (/home/utilisateur) pour éviter de laisser des fichiers téléchargés un peu partout), et taper wget url_de_webmin.deb.

3) Installez WebMin

dpkg —install webmin_1.420_all.deb

(Un copier-coller de la ligne ci-dessus fonctionne correctement car il y a bien deux tirets devant le mot install)

4) Mettez un mot de passe :

/usr/share/webmin/changepass.pl /etc/webmin root votre_mot_de_passe

(Il ne s'agit pas de modifier le mot de passe de root, mais le mot de passe de l'admin WebMin qui s'appelle "root".)

5) Allez sur https://localhost:10000/ et loggez-vous avec le compte "root" et votre mot de passe. (localhost doit bien entendu, à partir d'un poste distant, être remplacé par exemple par l'adresse ip ou le nom de votre serveur)

ecran accueil

LAMP : 7ème Etape - SQUID [DEBIAN]

Georges Charpenay — 2008-07-15T08:02:46Z

Pour ce serveur proxy, le but recherché est simplement de gérer le cache des pages internet consultées. C'est Squid que nous avons choisi. Le choix du contrôle de contenu (squid-gard), n'a pas été fait.

SQUID : Installation

apt-get install squid

SQUID : Configuration

nano /etc/squid/squid.conf

Rechercher la partie concernant la déclaration des acl (ctrl-w : rechercher « acl all »), vers la fin du fichier et ajouter une ligne correspondante à la configuration du réseau, après la ligne « acl all src 0.0.0/0.0.0.0 » :

acl MonNomReseau src 192.20.0.0/255.255.0.0

Ensuite, il faut modifier quelques lignes plus bas avant la ligne « http_access deny all » et après la ligne « http_access allow localhost » , la ligne suivante :

http_access allow MonNomReseau

(en fait les règles indiquées dans le fichier de configuration sont exécutées dans l'ordre où elle sont données - comme dans un firewall).

Enfin, il faut redémarrer le serveur pour prendre en compte les modifications :

/etc/init.d/squid restart

SQUID : Configuration des postes clients

Dans la partie configuration du proxy, il faut indiquer le nom ou l'adresse IP du proxy (l'adresse IP du serveur) et le port par défaut 3128.

Vérification du fonctionnement

La commande suivante permet de surveiller les logs du proxy pour vérifier que tout fonctionne correctement :

tail -f /var/log/squid/access.log

SQUID : Intégration dans webmin

Pour faciliter les paramètrages et l'administration ultérieure de Squid, nous pouvons utiliser webmin.
Une fois connecté à webmin, il s'agit d'intégrer le module squid dans webmin.

Dans la colonne de gauche, choisir « webmin configuration », puis l'icône « modules webmin ».
Dans l'onglet install, cocher « module standard www.webmin.com», cliquer sur le bouton de liste et choisir dans la fenêtre qui apparait « squid », puis bouton « Installer »

Vous remarquerez que le menu squid apparaît dans la catégorie « unused modules ».

Il faut cliquez sur le menu refresh modules, pour que le menu de squid apparaisse dans le bon menu.

Si vous voulez l'affecter à un autre menu, par exemple, au menu serveur, il faut aller dans configuration webmin, icône réaffectation des modules, choisir le module, et menu rafraichir.

LAMP : 5ème Etape - PROFTPD... [DEBIAN]

Georges Charpenay — 2008-07-10T13:13:20Z

PROFTPD : Installation

proftpd

D'abord, vous pouvez voir les serveurs qui sont packagés avec debian en utilisant la commande, en mode console ou via ssh :
apt-cache search ftp-server

Astuce : apt-cache permet de chercher les paquets existants dans le cache qui est chargé avec la commande aptitude.

Un des plus populaires est proftpd et vous pouvez l'installer avec la commande :
apt-get install proftpd

Une fois téléchargé, debconf va vous demander si vous voulez lancer le serveur via inet.d ou en mode standalone . En général, vous choisirez la dernière option.

Après l'installation, le serveur fonctionnera et autorisera l'accès de tous les utilisateurs au host.

Si vous voulez arrêter le serveur, par exemple, pour modifier la config, vous devez lancer la commande suivante :

/etc/init.d/proftpd stop

La configuration de proftpd est conduite par le fichier de configuration suivant :

/etc/proftpd/proftpd.conf.

Attention !, pour pouvoir ajouter des comptes seulement ftp sans accès local, il faudra dire à Debian d'utiliser un shell particulier. Pour celà, il ne faut pas oublier d'éditer le fichier /etc/shells et ajouter la ligne /bin/false.

PROFTPD : Options de sécurité

Vous pouvez activer beaucoup de fonctions de sécurité dans ftpd, la plus importante est d'utiliser TLS security.

Pour utiliser TLS, vous aurez besoin de générer une clé et de mettre à jour votre fichier de configuration serveur pour l'utiliser.

Générer une clé est suffisamment simple avec les commandes openssl, qui sont contenues dans le paquet openssl.

cd /etc/proftpd

openssl req -new -x509 -days 1000 -nodes -out ftpd-rsa.pem -keyout ftpd-rsa-key.pem

PS : la clé est générée pour 1000 jours, à vous de choisir..

Jeu de questions/réponses :
Country Name (2 letter code) [AU] :

Réponse : FR

State or Province Name (full name) [Some-state] :

Réponse : Rhône-Alpes

Locality Name (eg. city) [] :

Réponse : MaVille .. attention, ne pas mettre d'accent ...

Organization Name (eg, Company) [Internet Widgits Pty Ltd]

Réponse : MonEntreprise ... attention les accents....

Organizational Unit Name (eg, section) [] :

Réponse : MonService

Common Name (eg, YOUR name) [] :

Réponse : MonNom

Email-Adress [] :

Réponse : MonAdresseEmail

LE CERTIFICAT TLS est CREE, toutes les connections ftp seront cryptées, mais il faut activer le module TLS.

PROFTPD : Activer le module TLS

Avec les fichiers générés, vous pouvez ajouter le texte suivant à votre fichier de configuration proftpd situé dans /etc/proftpd/proftpd.conf

nano /etc/proftpd/proftpd.conf

<IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd-tls.log TLSProtocol TLSv1 # Are clients required to use FTP over TLS when talking to this server? TLSRequired off TLSRSACertificateFile /etc/proftpd/ftpd-rsa.pem TLSRSACertificateKeyFile /etc/proftpd/ftpd-rsa-key.pem # Authenticate clients that want to use FTP over TLS? TLSVerifyClient off </IfModule>

A ce stade, il convient de redémarrer le serveur proftpd.

/etc/init.d/proftpd stop
/etc/init.d/proftpd start

ATTENTION !

Il est possible, selon la version de Debian que vous avez, surtout dans les dernières, que le service démarre avec une erreur d'ipv6 du style :

Starting ftp server : proftpd - IPv6 getaddrinfo 'srv-lamp.monsite.com' error : Name or service not known

La solution est d'aller supprimer dans le fichier de configuration /etc/proftpd/proftpd.conf l'utilisation de l'Ipv6, en changeant la ligne suivante :
UseIPv6 On
en
UseIPv6 Off

Ceci s'explique que le protocole utilisé par votre opérateur (IPV4 ou IPV6), il convient de demander à proftpd d'utiliser le même protocole. Par exemple, Free utilise IPV6, et votre serveur ne va pas générer d'erreur après avoir fait l'installation ci-dessus.

PROFTPD : Création des utilisateurs

Un utilisateur FTP n'est pas nécessairement un utilisateur local. Il s'agit ici de créer les utilisateurs FTP, dans le groupe FTPUSERS que nous allons créer par la commande suivante :

addgroup ftpusers

C'est ce groupe système qui va contenir tous les comptes FTP et chaque compte aura son répertoire personnel.

Pour faciliter la tâche, nous pouvons utiliser webmin, mais la solution la plus simple est de créer un script contenant les instructions suivantes.
Ce script, lancé à chaque création d'utilisateur FTP, permet d'ajouter l'utilisateur au groupe ftpusers avec aucun accès console (—shell /bin/false) et avec un répertoire d'arrivée pour l'accès ftp (—home $home $login).

Vous trouverez le script ci-dessous en fichier joint à cet article, il suffit de le copier dans un répertoire quelconque d'utilisateur du serveur, de lui donner les droits d'exécution (chmod 750 ftp2) et d'aller en console lancer manuellement le script pour chaque création d'utilisateur.

Par exemple : ./ftp2, puis georges, puis /home/ftp/georges, en réponse au script va créer l'utilisateur ftp georges, et lui attribuer le répertoire d'accueil dans /home/ftp/georges. Ainsi, on gère en même temps l'arborescence des utilisateurs, et les utilisateurs ftp (qui ne sont pas forcément des utilisateurs locaux, auront leur arborescence dans un propre répertoire ftp, situé sous /home de tous les utilisateurs locaux. Cela deviendra plus clair quand vous serez amené à parcourir l'arborescence de tous les utilisateurs et où on pourra distinguer facilement les utilisateurs ftp, parce qu'ils seront situés dans le sous-répertoire ftp. On fait d'une pierre deux coups, on crée et on classe...

Astuce : Pour exécuter un script quelconque, que vous venez d'écrire, il faut vérifier les choses suivantes :
– le script doit avoir les droits d'exécution (par défaut non car il ne s'agit que de fichier texte)

chmod 750 fichier
– il s'agit toujours de fichier texte, et pour dire au système qu'il s'agit d'un script, il faut lancer le fichier de la façon suivante :
./ftp2

#!/bin/bash echo "Entrez le login du compte a creer :" read login echo "Entrez le repertoire par defaut de l'utilisateur:" read home adduser --ingroup ftpusers --shell /bin/false --home $home $login echo "Compte initialise !"

Pour peaufiner, détails exact du jeu de questions-réponses, retourné par le système à l'exécution du script :

ftp2

Entrez le login du compte à créer :

georges

Entrez le répertoire par défaut de l'utilisateur :

/home/ftp/georges

Enter new Unix password :

MotdePasseGeorges

Retype new Unix Password :

MotdePasseGeorges

Nom Complet :

Georges Dupont

N° Bureau :

2 (on peut ne pas répondre)

Tel professionnel :

04 77 77 77 77

Tel personnel :

04 77 77 77 77

Autres :

Cequel'onveut..

Ces informations sont elles correctes :

PROFTPD : Client FTP

Du fait que nous avons créé l'accès FTP (par défaut) et FTPS (TLS), il convient d'imposer à toutes les connexions extérieures l'utilisation du FTPS. Pour celà, il faut bloquer le port 21 en entrée de réseau et ouvrir le 989 et le 990.

En ce qui concerne le client, par exemple, filezilla, il convient de choisir FTPES FTP sur TLS/SSL comme protocole de communication.

PROFTPD : Limiter l'accès des utilisateurs

D'autres options de sécurité sont indispensable, notamment la limitation des utilisateurs à leurs répertoires particuliers.

Pour celà, ajouter les lignes suivantes à la fin de /etc/proftpd/proftpd.conf

<Limit ALL> DenyGroup !ftpusers </Limit> <Global> DefaultRoot ~ DefaultChdir ~ </Global>

Ainsi, tous les utilisateurs arriveront dans leur répertoire, mais n'auront aucun droit sur le système ainsi que tous les répertoires autres que ceux situés en dessous de leur point d'arrivée.

PROFTPD : Permettre les accès anonymes

Enfin, dernière option qu'on utilisera que si besoin et permettant un accès anonyme avec un maximum de sécurité. Cela permet, par exemple, à des utilisateurs distants d'utiliser le ftp pour télécharger des fichiers volumineux depuis votre serveur.

Pour permettre les accès anonymes à votre serveur, vous aurez besoin de décommenter les options de configuration qui sont présente dans le fichier standard /etc/proftpd.conf file.

C'est un bon point de départ :

<Anonymous ~ftp> User ftp Group nogroup # Nous voulons que les clients puissent se connecter en utilisateurs anonymes "anonymous" ainsi qu'en ftp UserAlias anonymous ftp # Cosmetic changes, all files belongs to ftp user DirFakeUser	on ftp DirFakeGroup on ftp RequireValidShell off # Limiter le maximum d'utilisateurs anonymes MaxClients 10 # Nous voulons que le message 'bienvenue.msg' soit affiché au login, et que le '.message' soit affiché dans chaque nouveau répertoire (à chaque changement de répertoire). DisplayLogin welcome.msg DisplayFirstChdir .message} # Limiter l'écriture (WRITE) de tout le monde dans le répertoire anonyme chroot. Directory *> <Limit WRITE> DenyAll </Limit> </Directory> </Anonymous>}

Ce paramétrage de configuration autorisera les utilisateurs à se connecter à la fois en anonyme ou en ftp en tant qu'utilisateur authentifié, et ils seront capables de lire depuis /home/ftp.

Ils seront incapables d'uploader un nouveau contenu, ou de supprimer des fichiers existants. Ils auront seulement des droits d'accès de lecture seulement sur le serveur.

PROFTPD : Options et messages divers

Il y a quelques autres options que vous souhaiteriez quelquefois changer, par exemple le message de bienvenue.

Pour cela, le message de bienvenue est lu depuis /home/ftp/welcome.msg.

Editez ce fichier pour que le nouveau contenu soit immédiatement envoyé aux utilisateurs.

Enfin le hostname de votre serveur est typiquement affiché aux clients quand ils se connectent - dans le paquet Debian, le message de bienvenue affiche seulement la chaine "Debian", comme vous pouvez le voir dans la session suivante :

user@host : ftp localhost

Connected to localhost.localdomain.

220 ProFTPD 1.2.10 Server (Debian) [127.0.0.1]

Pour changer cette mise à jour, mettez à jour le fichier proftpd en incluant :

ServerName "NomServeur"

LAMP : 4ème Etape - SSH, VPN [DEBIAN]

Georges Charpenay — 2008-07-09T12:16:52Z

OPENSSH Server Installation

Il faut pouvoir se connecter en mode sécurisé (console à distance), aussi le choix est arrêté sur OpenSSH Server.

Pour l'installer :

aptitude install openssh-server

openvpn

OPENVPN : installation

Lien duquel cet article a été construit

Pour lancer l'installation :

aptitude install openvpn

OPENVPN : Création autorité certification

Il faut générer la clé de cryptage :

– 1- se placer dans le répertoire suivant :
cd /usr/share/doc/openvpn/examples/easy-rsa

– 2- modifier le fichier vars :
nano vars

- export KEY_COUNTRY=FR - export KEY_PROVINCE=France - export KEY_CITY=MaVille - export KEY_ORG="MonEntreprise" - export KEY_EMAIL="contact@monentreprise.fr"

– 3- Une fois le fichier modifié, la ligne suivante à lancer permet d'initialiser les variables pour les scripts :

. ./vars (attention, les deux points ne se suivent pas..)

– 4- Ensuite la ligne suivante initialise le dossier keys (efface les clés présentes)

./clean-all

– 5- Le dossier « easy-rsa » contient un fichier de configuration par défaut d'OpenSSL, qu'il faut décompresser, pour qu'il soit utilisable pour faire fonctionner la génération des clés et des certificats :

gunzip openssl.cnf.gz

(il se peut qu'openssl.cnf soit déjà dézippé).

– Le script suivant permet de créer dans « keys » le certificat principal du serveur « ca.crt » et la clé correspondante « ca.key » :

./build-ca

Initiales du Pays :

Country Name (2 letter code) [AU] :

Réponse : FR

State or Province Name (full name) [Some-state] :

Réponse : Rhône-Alpes

Locality Name (eg. city) [] :

Réponse : MaVille .. attention, ne pas mettre d'accent ...

Organization Name (eg, Company) [Internet Widgits Pty Ltd]

Réponse : MonEntreprise ... attention les accents....

Organizational Unit Name (eg, section) [] :

Réponse : MonService

Common Name (eg, YOUR name) [] :

Réponse : MonNom

Email-Adress [] :

Réponse : MonAdresseEmail

ASTUCE : Les champs peuvent apparaître pré-remplis du fait qu'on a renseigné vars au préalable, dans ce cas, les valeurs apparaissent entre crochets et il suffit de faire entrée pour valider.

OPENVPN : Création certificat et clé du serveur

Le script suivant permet de créer dans « keys » le certificat « ServeurLAMP.crt » et la clé « ServeurLAMP.key » pour le serveur VPN nommé par exemple « ServeurLAMP » :

./build-key-server ServeurLAMP

Jeu de questions/réponses (préremplies...), avec les questions supplémentaires suivantes :

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/openssl.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'France' localityName :PRINTABLE:'MaVille' organizationName :PRINTABLE:'MonEntreprise' commonName :PRINTABLE:'ServeurLAMP' emailAddress :IA5STRING:['contact@monentreprise.fr->mailto:'contact@monentreprise.fr]' Certificate is to be certified until Dec 7 13:41:02 2015 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

ATTENTION : Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu'il faut renseigner manuellement. Exemple « serveurlamp ». Personnellement, je n'ai pas renseigné le champ « password »

OPENVPN : Création certificat et clé du client

Création du certificat et de la clé pour un client OpenVPN

On va supposer qu'un utilisateur VPN s'appelle Client01.

Le script suivant permet de créer dans « keys » le certificat « Client01.crt » et la clé « Client01.key » pour le client VPN nommé par exemple « Client01 » :

cd /usr/share/doc/openvpn/examples/easy-rsa/

. ./vars

./build-key Client01

Ce script doit afficher à l'écran quelque chose qui ressemble à ça :

pgdebian:/usr/share/doc/openvpn/examples/easy-rsa# ./build-key Client01 Generating a 1024 bit RSA private key ..++++++ ....................++++++ writing new private key to 'Client01.key' You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) [MaVille]: Organization Name (eg, company) [MonEntreprise]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:Client01 Email Address [contact@monentreprise.fr]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /usr/share/doc/openvpn/examples/easy-sa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'France' localityName :PRINTABLE:'Maville' organizationName :PRINTABLE:'MonEntreprise' commonName :PRINTABLE:'Client01' emailAddress :IA5STRING:['contact@monentreprise.fr->mailto:'contact@monentreprise.fr]' Certificate is to be certified until Mar 4 09:19:09 2016 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

ATTENTION : Il faudra renouveler cette opération pour chaque client. Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu'il faut renseigner manuellement.

Exemple « Client01 ». Chaque « Common Name » de chaque client doit être différent.

Personnellement, je n'ai pas renseigné le champ « password »

OPEN VPN : Création du paramètre Diffie Hellman

Le script suivant permet de créer dans « keys » le fichier « dh1024.pem » , la commande suivant va encoder et crypter la clé :

./build-dh

Ce script doit afficher à l'écran quelque chose qui ressemble à ça :

./build-dh Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time .................................................................... .................................................................... ..............+......................................+.............. .++*++*

OPENVPN : Mise en place des certificats et des clés

Concernant le serveur OpenVPN/ OpenSSL, le plus simple est de copier les 4 fichiers dans le dossier /etc/openvpn

cp ./keys/ca.crt /etc/openvpn/

cp ./keys/ca.key /etc/openvpn/

cp ./keys/serveurlamp.crt /etc/openvpn/

cp ./keys/serveurlamp.key /etc/openvpn/

cp ./keys/dh1024.pem /etc/openvpn/

Pour le client, il faudra copier ses deux fichiers une fois que celui-ci sera installé.

cp ./keys/Client01.* /etc/openvpn/

OPENVPN :Création d'un utilisateur avec des droits limités pour OpenVPN

Pour limiter les risques d'attaques sur OpenVPN, il est important que le processus d'OpenVPN fonctionne sur un utilisateur n'ayant aucun droit sur le système.

Souvent, l'utilisateur « nobody » est utilisé par défaut, mais il est encore plus sécurisant de faire tourner chaque processus avec un utilisateur différent. Donc, pour le processus OpenVPN, nous allons créer l'utilisateur « openvpn », cet utilisateur (système) va lancer dans un processus indépendant le démon openvpn quand il sera sollicité par une demande de connection vpn extérieure :

groupadd openvpn
useradd -d /dev/null -g openvpn -s /bin/false openvpn

OPENVPN : Configuration

Par défaut OpenVPN est fourni avec plusieurs fichiers d'exemples enregistrés dans le dossier :

– /usr/share/doc/openvpn/examples/sample-config-files/

Pour configurer le serveur, je suis parti du fichier d'exemple « server.conf.gz », qu'il faut donc décompresser et mettre en place dans « /etc/openvpn » :

cd /usr/share/doc/openvpn/examples/sample-config-files/
gunzip server.conf.gz
cp server.conf /etc/openvpn/

Il suffit ensuite d'adapter ce fichier en fonction des besoins.

Voici par exemple le fichier de configuration que j'utilise :

;Port en écoute utilisé pour la connexion VPN port 1194 ;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp) proto udp ;Type d'interface réseau virtuelle créée dev tun ;Nom des fichiers servant à l'authentification des clients via OpenSSL ca ca.crt cert serveurlamp.crt key serveurlamp.key dh dh1024.pem ;Adresse du réseau virtuel (Le serveur aura l'adresse 10.8.0.1) server 10.8.0.0 255.255.255.0 ;Cette ligne ajoute sur le client la route du réseau du serveur push "route 192.20.1.0 255.255.255.0" ;Ces lignes indiquent aux clients l'adresse de vos serveurs DNS et WINS push "dhcp-option DNS 192.20.1.15" push "dhcp-option DOMAIN Monsite.com" ;push "dhcp-option WINS 192.168.0.3" # Cette ligne permet aux clients de voir les autres clients ;client-to-client keepalive 10 120 ;Cette ligne active la compression comp-lzo ;Ces lignes indiquent un user et un group particulier pour le processus user openvpn group openvpn ;Ces lignes permettent de rendre persistante la connexion persist-key persist-tun status openvpn-status.log ;Cette ligne permet d'indiquer le niveau de log souhaité (de 1 à 9) verb 1

ATTENTION : Il est évident, après ce script, d'ouvrir le port 1194 (port openvpn) sur le firewall.

OPEN VPN : Démarrage du serveur OpenVPN

La commande suivante permet de démarrer ou redémarrer le serveur :

/etc/init.d/openvpn restart

Ne pas hésiter à regarder dans les logs que tout c'est bien passé :

tail -100 /var/log/syslog

Bien vérifier également que le processus tourne sous l'utilisateur « openvpn »

ps aux | grep openvpn

Pour finir, si tout c'est bien passé l'interface « tun0 » doit apparaître dans la configuration du réseau :

# ifconfig ... tun0 Lien encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet adr:10.8.0.1 P-t-P:10.8.0.2 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Et il doit être possible de la pinguer :

# ping 10.8.0.1

OPENVPN : Logiciel client

Avec OpenVPN, la notion de client et de serveur n'existe pas étant donné que c'est le même logiciel qui peut faire office de client ou de serveur.

Pour Windows, il existe une version d'OpenVPN avec une installation simplifiée qui est disponible sur
http://openvpn.se/download.html
http://openvpn.se/files/install_packages/openvpn-2.0.5-gui-1.0.3-install.exe

Lors de l'installation de ce programme, la carte réseau virtuelle « TAP-Win32 Adapter V8 » est installée. Une fois le programme installé, il est lancé automatiquement et à chaque démarrage de Windows. Une icône pour le configurer est disponible à coté de l'heure.

Ensuite, il est possible de franciser OpenVPN en remplaçant le binaire enregistré dans « C :\Program Files\OpenVPN\bin\openvpn-gui.exe » par le binaire téléchargeable à l'adresse ci-dessous (Attention : Il faut le renommer après l'avoir téléchargé) :
http://openvpn.se/files/localized/binary/1.0.3/openvpn-gui-1.0.3-fr.exe

OPENVPN : Configuration du client Windows

La première chose à faire est de copier dans le dossier « C :\Program Files\OpenVPN\config » les fichiers servant à l'authentification du client via OpenSSL créés dans les chapitres précédents :
ca.crt, Client01.crt et Client01.key

Sous windows, il faut copier le fichier "Client" du répertoire Sample-config dans le répertoire config.

Ensuite, il faut modifier le fichier de configuration pour l'adapter à votre cas. Pour éditer le fichier, il est possible de faire un clic droit sur l'icône « OpenVPN » situé à gauche de l'heure et de choisir l'option « Éditer la configuration ».

client dev tun proto udp remote 192.22.1.1 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert Client01.crt key Client01.key comp-lzo verb 1

Normalement, vous n'aurez qu'à changer :
– L'adresse IP du serveur OpenVPN sur la ligne « remote »
– Le nom des fichiers : ca.crt, Client01.crt et Client01.key

OPENVPN : Lancement du client Windows

Pour lancer la connexion, il suffit de faire un clic droit sur l'icône « OpenVPN » situé à gauche de l'heure et de choisir l'option « Connecter ».

Si tout se passe bien, une fenêtre affichant les logs doit s'afficher et une fois la connexion effectuée, le réseau est opérationnel.

En cas de problème, et pour trouver l'origine de celui-ci il faut augmenter le niveau des logs en changeant le paramètre « verb » du fichier de configuration :
– verb 3 -> Suffisamment de logs dans la plupart des cas.
– verb 9 -> Énormément de logs.

Une fois la connexion établie, il doit être possible de pinguer le serveur soit sur son adresse virtuelle (ex : 10.8.0.1 dans notre cas) soit sur son adresse réelle (ex : 192.168.0.1)

Remarque : Depuis le serveur, pour connaître les clients connecté, il faut consulter le fichier :
/etc/openvpn/openvpn-status.log

Vous pouvez aussi exploiter en live le log des connections en cours avec tail -f /etc/openvpn/openvpn-status.log

OPENVPN Permettre aux clients VPN d'accéder à l'ensemble du réseau distants

Avec la configuration précédente, les clients peuvent accéder au serveur OpenVPN, mais ils ne peuvent pas accéder au reste du réseau sur lequel est connecté le serveur OpenVPN.

Pour permettre aux clients d'accéder au reste du réseau, il faut effectuer deux opérations :

1 - Autoriser le serveur Linux à transmettre les paquets au reste du réseau

Pour cela, il faut activer le forwarding avec la commande suivante :

echo 1 > /proc/sys/net/ipv4/ip_forward

La commande suivante, permet de vérifier que le forwarding est bien activé :
cat /proc/sys/net/ipv4/ip_forward

Remarque : ici, nous utilisons une redirection d'écran sur le fichier ip_forward, qui contiendra seulement la valeur 1.
Ip_forward = 1 (forward activé)
ip_forward = 0 ..ou vide (forward désactivé).
Nous aurions pu aussi bien éditer le fichier ip_forward pour lui donner la valeur 1.

2 - Indiquer aux autres postes du réseau la route vers le serveur OpenVPN

Puisque le serveur VPN est sur l'adresse 192.22.1.1, il faut ajouter une route manuellement sur les postes clients VPN avec la commande suivante sous Windows :

C :>route add 10.8.0.0 mask 255.255.255.0 192.22.1.1

La commande suivante, permet d'avoir la liste des routes :

C :>route print

La commande suivante permet de supprimer une route :

C :>route delete 10.8.0.0 mask 255.255.255.0 192.22.1.1

OPENVPN : Adressage IP

Dernière étape, il faut que la carte virtuelle TAP-Win32, installée pour l'utilitaire windows ait une adresse et une passerelle compatible avec la connection vpn.

Pour cela, on peut par exemple paramétrer nous même l'adresse IP de la carte virtuelle TAP-win32, avec une adresse ip/masque/passerelle/dns disponible dans le réseau de destination (ex : 192.22.1.69/24 passerelle 10.8.0.1 + dns qui va bien).

Par contre, il existe des procédures beaucoup plus fines, ne nécessitant pas l'intervention ci-dessus, par le biais du paramétrage du fichier /etc/openvpn/server.conf.

Dès que nous aurons validé une procédure qui fonctionne, nous complèterons cet article.

OUF !, C'est terminé pour le VPN....

LAMP : 3ème Etape - INSTALL PHP/MYSQL [DEBIAN]

Georges Charpenay — 2008-07-09T08:31:28Z

Pour héberger des sites dynamiques ou exécuter des scripts php, nous avons choisi le kit PHP5/MYSQL5.

INSTALLATION PHP5

apt-get install php5

********* Petit rappel système *************** Ici, il est intéressant d'avoir installé au préalable apache, car les paquets php5 correspondant au module apache seront téléchargés et installés. A savoir que la commande apt-get ne résoud pas les problèmes de dépendances, mais les détecte. S'il y a un problème de dépendance, apt-get n'installera pas les paquets demandé par notre commande, avant que les problèmes de dépendance soient résolus. Donc, pas de risque de rupture d'intégrité par l'installation de paquets par une commande apt-get. La commande aptitude a le même rôle qu'apt-get, mais en résolvant les dépendances. On peut lancer la commande suivante, qui aura le même rôle et les mêmes effets que la précédente : aptitude install php5 Pourquoi la commande aptitude ? Parce que dans certains cas, il arrive qu'apt-get n'installe pas des paquets (mais le signale toujours), pour des problèmes de dépendances, et qu'aptitude peut faire. On peut lancer la commande aptitude qui ne téléchargera et n'installera que les paquets manquants.

FINI POUR PHP !

INSTALLATION MYSQL5

Pour s'assurer d'installer la dernière version d'un logiciel ou le dernier paquet en date, la commande aptitude search permet de voir les versions et noms des paquets en cours.

Par exemple pour ce cas :

aptitude search mysql retourne toutes les correspondances des paquets mysql sur les paquets disponibles sur la distribution Debian.

Dans ce cas, nous choisissons le paquet le plus récent et nous pouvons l'obtenir qu'en mettant son nom complet (qu'on a récupéré via aptitude search)

aptitude install mysql-server-5.0

SECURISER MYSQL

Mysql est livré non-sécurisé (aucun mot de passe, bases de tests, etc ...), la commande suivante lance un script de sécurisation.

Astuce : pour connaître toutes les commandes liées à un programme, une fonction, il faut taper la commande, suivi de deux fois la touche tabulation.

mysql_secure_installation

Enter current password for root (enter for none) :

Réponse : (Touche Entrée - car nous n'avons pas de mot de passe par défaut)

Set root password : (voulez-vous mettre un mot de passe MYSQL)

Réponse : Yes

New password :

Réponse : NotreNouveauMotdePasseMysql

Ensuite Confirmer le mot de passe.

Remove anonymous users ?

Réponse : Yes

Disallow root login remotely ? (désactiver connection hors localhost)

Réponse : No (attention : nous ne désactivons pas l'accès distant car nous voulons qu'un serveur externe puisse, à travers ses scripts, se connecter à la base mysql). Si vous n'avez pas ce besoin, il est bien sûr recommandé de sélectionner Yes.

Remove test database ... ?

Réponse : Yes

Reload privilege tables now ?

Réponse : Yes

INSTALLATION DE MYSQL TERMINEE !

INSTALLATION DE PHPMYADMIN

aptitude install phpmyadmin

INSTALLATION PHPMYADMIN TERMINEE !

On peut déjà administrer mysql via l'adresse :
http://192.22.1.1/phpmyadmin

LAMP : 2ème Etape - INSTALLATION APACHE [DEBIAN]

Georges Charpenay — 2008-07-08T09:07:44Z

Le serveur a redémarré correctement et l'invite système est dispo.
Se logger en root, MotdePasse_root.

MISE A JOUR DE TOUS LES PAQUETS ET LE NOYAU

apt-get update
(pour mettre à jour la liste des paquets)

puis

apt-get upgrade
(pour mettre à jour les paquets eux-même)

Astuce : A n'importe quel moment, si le système de mise à jour demande le cd et pour éviter de l'insérer à chaque fois, il suffit de commenter la ligne dans source.list. Pour ce faire, taper la commande nano /etc/apt/sources.list ou vi /etc/apt/sources.list , et mettre en commentaire la ligne deb/cdrom. Ainsi, le système ne demandera plus le cd et ira chercher les informations sur le net.

Ensuite, l'installation d'apache passe par les étapes suivantes :

– installation des paquets d'apache, et intégration des paquets ssl à apache.

– configuration d'apache et création des virtual hosts

– paramétrer les ports d'écoute d'apache

– création des répertoires d'accueil pour héberger les sites décrits dans les virtual hosts.

– générer les certificats ssl pour les connections sécurisées

INSTALLATION DES PAQUETS D'APACHE

Installation des paquets de base d'apache :

apt-get install apache2

Installation des librairies ssl pour apache :

apt-get install libapache-mod-ssl

Intégration des librairies ssl dans apache :

a2enmod ssl

Relance obligatoire d'apache avec rechargement de ses fichiers de config :

/etc/init.d/apache2 force-reload

NOTES PARTICULIERES SUR CES COMMANDES

La deuxième commande installe l'interpréteur de commande ssl (pour les sites sécurisés utilisant le ssl ) - egroupware par exemple.

Attention : bien installer ce deuxième module ci-dessus (ibapache-mod-ssl) et surtout pas apache-ssl qui est un serveur web à part entière qui entre en conflit avec apache2.

Apache dispose de son interpréteur de commande (comme mysql par exemple). Pour intégrer la librairie ssl à apache, il a fallu exécuter la commande A2 (qui est une commande debian installée par apache - se référer à la doc d'apache2). Cependant on peut avoir l'intuition de demander au système toutes les commandes qui commencent par "a" comme apache. Pour cela, taper "a", puis tabulation deux fois. Debian affiche toutes les commandes commençant par a.

CONFIGURATION D'APACHE - VIRTUAL HOSTS

Dans /etc/apache2/ se trouvent tous les fichiers de configuration d'apache.

Les virtual-hosts :

cd sites-enabled

Puis éditer le fichier 000-default

vi 000-default

Pour éviter d'ouvrir tous les ports, remplacer les * par les adresses ip, suivies du port utilisé (ouvert).

CONTENU D'UN FICHIER DE CONFIGURATION COMMENTE

Le fichier est joint à l'article sans les commentaires.

# on décrit les ports d'écoute ... sur l'adresse ip de la machine NameVirtualHost 192.22.1.1:443 NameVirtualHost 192.22.1.1:80 # Ici un virtual host pour héberger un egroupware sécurisé sur le port 443... ##### VIRTUAL HOST EGROUPWARE ##### <VirtualHost 192.22.1.1:443> ServerName egroup DocumentRoot /var/www/wwwegroup SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key </VirtualHost> # Ici un virtual host pour héberger un intranet sécurisé sur le port 443... ##### VIRTUAL HOST INTRANET ##### <VirtualHost 192.22.1.1:443> ServerName intranet DocumentRoot /var/www/wwwintra/html SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key </VirtualHost> # Ici un virtual host pour le site internet sur le port 80... ##### VIRTUAL HOST INTERNET ##### <VirtualHost 192.22.1.1:80> ServerName monsite.com DocumentRoot /var/www/wwwinter </VirtualHost> # Ici un virtual host administration sécurisé sur le port 443, on remarque qu'on arrive sur l'arborescence par défaut d'apache (/var/www), ce qui permet d'avoir les droits sur les arborescences inférieures. Ce virtual host est le virtual host qui est par défaut dans les fichiers de conf d'apache2..... #### VIRTUAL HOST ADMINISTRATION #### <VirtualHost 192.22.1.1:443> ServerName mab.admin DocumentRoot /var/www/ SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all # This directive allows us to have apache2's default start page # in /apache2-default/, but still have / go to the right place # RedirectMatch ^/$ /apache2-default/ </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature Email Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory> </VirtualHost>

PARAMETRER LES PORTS D'ECOUTE D'APACHE

Editer le fichier /etc/apache2/ports.conf.

Vérifier que les lignes suivantes soient présentes :

Listen 80

Listen 443

CREATION DES REPERTOIRES D'ACCUEIL

cd /var/www/

mkdir www.inter

mkdir www.intra

mkdir www.egroup

La commande ls -l permet de vérifier que les créations ont bien été faites. Cependant, on remarque la présence du répertoire apache2-default, qui correspond au répertoire par défaut d'apache qui permet de vérifier le bon fonctionnement d'apache, et qui peut être utilisé sans modifier les fichiers de configuration. http://192.22.1.1/ sur un explorateur internet doit aboutir sur cette page par défaut.

GENERER LES CERTIFICATS SSL

Pour se connecter en ssl, il faut générer un certificat électronique qui se présentera sous la forme de plusieurs fichiers, qu'on copiera dans le dossier d'apache2, et qui seront utilisés à chaque connection ssl par les accès virtual host. (l'accès à ces certificats est décrit dans le fichier de configuration que nous avons évoqué ci-dessus.)

Un lien utile pour générer les certificats

Installer le paquet open-ssl

apt-get install openssl

se placer dans le rep apache2, pour que les certificats soient générés au bon endroit.

cd /etc/apache2

générer la clé privée (stockée sur le serveur - server.key)

openssl genrsa -out server.key 1024

générer le certificat autosigné (clé publique, accès public, stockée sur le serveur - server.crt)

openssl req -new -x509 -days 1000 -key server.key -out server.crt

Ici, il est intéressant de noter que la clé publique est générée pour 1000 jours, et qu'il faudra le renouveler à la fin de cette période pour accéder en ssl aux services. Même commande en cours de description.

Le système renvoit au retour de la commande ci-dessus, les demandes de précision suivante :

Initiales du Pays :

Country Name (2 letter code) [AU] :

Réponse : FR

State or Province Name (full name) [Some-state] :

Réponse : Rhône-Alpes

Locality Name (eg. city) [] :

Réponse : MaVille .. attention, ne pas mettre d'accent ...

Organization Name (eg, Company) [Internet Widgits Pty Ltd]

Réponse : MonEntreprise ... attention les accents....

Organizational Unit Name (eg, section) [] :

Réponse : MonService

Common Name (eg, YOUR name) [] :

Réponse : MonNom

Email-Adress [] :

Réponse : MonAdresseEmail

Les fichiers nécessaires aux connections ssl sont générés, il s'agit des fichiers /etc/apache2/server.crt et /etc/apache2/server.key.

APACHE EST INSTALLE (BRUT DE FONDERIE..)

On peut se connecter en ssl et http, sur des sites statiques à ce stade.
Pour héberger des sites dynamiques, il faut aussi installer php, mysql, etc ...

REGLER LES PROBLEMES D'ACCENTS

Si vous avez installé apache sur un serveur avec le jeu de caractères utf8, et si vous exporter des bases mysql d'un autre serveur avec un jeu de caractère différent (par ex ISO-8859-15), pour les importer dans votre serveur tout neuf, vous aurez la désagréable surprise de trouver de nombreuses anomalies dans les affichages de caractères accentués.

Pour réparer celà, il est nécessaire de préciser à apache le jeu de caractères supplémentaires à utiliser.

Pour celà, il suffit de retrouver dans /etc/apache2/apache2.conf la ligne

#AddDefaultCharset ISO-8859-15 pour la décommenter (enlever le #)

LAMP : 1ère Etape - INSTALLATION INITIALE [DEBIAN]

Georges Charpenay — 2008-07-07T13:13:01Z

PREAMBULE

L'installation choisie est une installation par internet.

Je l'ai choisie parce c'est une distribution énorme qui tient sur plus de 6 dvd. L'intérêt unique d'avoir tous les dvd est seulement si vous allez installer une machine sur lequel vous n'avez pas de connection internet.

Avantage de la solution par le net : vous avez toujours les derniers paquets, les dernières mises à jour..

Il faut donc télécharger l'image sur le site de Debian. Veiller à bien choisir l'image cd qui correspond à votre architecture matérielle. (processeur 32 bits, image x86.. pour les core 2).

DEMARRAGE

La machine doit être une machine en état, avec une connexion internet active (de préférence dhcp activé). Le bios doit être réglé pour boot sur cd.

Insérer le cd et démarrer le pc, les choix suivants ont été faits :

– choix langue French
– pays france
– clavier fr-latin 9
– configurer le réseau : si le dhcp (de la connection internet) est activé, la machine trouve sa route pour sortir sur internet, si le dhcp n'est pas activé, la page "configurer le réseau" apparaît pour demander si on choisit la route par défaut. Dans ce cas, choisir "non", puis configurer vous-même le réseau (et choisir une adresse ip/passerelle/masque/dns qui va bien).
– nom du système : svr-lamp
– domaine : mondomaine.com

PREPARATION DES DISQUES

Le formatage que nous avons choisi est un formatage manuel car il faut rentrer les paramètres d'un raid logiciel (raid 1 - deux disques ), donc :

– partitionnement : manuel.

Avant d'aller plus loin, il faut se dire que le partitionnement raid sur debian passe par plusieurs étapes : - la première est de créer dans les disques de la baie les volumes futurs qu'utilisera le raid (par ex: une partition de x Mo pour la partition système et une partition de y mo pour le swap), et sélectionner le menu debian pour lui dire que ce seront tous des volumes RAID. ASTUCE : Pour éviter que le système ne se plante plus loin en téléchargeant des paquets, il est indispensable que les partitions disques soient exactement positionnées de la même façon. Soit vous le faites à la main, soi, pour cela, vous pouvez utiliser le partitionnement automatique qui vous créera deux partitions (une grosse, et une petite de swap), il suffit alors de paramétrer ces partitions pour les définir comme des partitions raid) - il faut répéter cette opération pour tous les disques de la baie : x et y Mo, devant fonctionner dans un même volume devront être strictement de même dimension. Votre écran vous montrera les volumes créés dans les disques. - ensuite, il faut sélectionner l'outil de configuration de raid logiciel pour créer un lien entre les premiers volumes (de taille x), et entre les deuxièmes volumes (de taille y). Debian affiche de nouveaux volumes (RAID), sur lequel vous pourrez agir pour affecter un type de partition, cette fois ext3 et swap...

Le choix que nous avons fait est de partitionner la baie raid en deux volumes, un volume pour le swap, un volume pour les données.

Le cas échéant, choisir, pour chaque disque, de réécrire une nouvelle table de partition. Sélection du disque, réécrire une nouvelle table (pour les deux disques). Les deux disques doivent afficher un espace libre de la taille du disque. Sélectionner dans un deuxième temps, les espaces libres, et choisir créer une nouvelle partition.

Le choix des partitions est arrêté ainsi :

– une partition swap de deux fois la ram (soit deux Go)
– une partition os pour le solde du disque.

Première partition - partition système

Taille de partition (nous avons des disques de 160 Go) :

– partition de 158 Go (os), en primaire, début de disque

caractéristiques de la partition :

- système de fichiers (attention, c'est le moment de choisir l'option volume physique pour raid, à la place d'ext3), puis fin du paramétrage de cette partition.

Deuxième partition - partition swap

– idem, et on arrive forcément au choix limité du swap, partition obligatoire (appelée espace d'échange).

Il faut bien penser à sélectionner les entrées choisies pour avoir les menus suivants...

On arrive à la fin du partitionnement où on doit voir les deux disques identiquement configurés (miroir) avec un volume raid, et un volume swap.

Le partitionnement est terminé.

Configuration du raid logiciel

– Choisir "Configurer le raid logiciel"

Choisir oui à "appliquer les changements aux disques et configurer le raid."
Sélectionner "créer un périphérique multidisque"
choisir raid 1
choisir 2 pour nbre de disques.
choisir 0 pour périphériques de réserve (mirroring de raid 1)
activer les deux partitions
choisir terminer.

On arrive sur l'écran principal où on voit les deux volumes (disques), avec chacun leur deux partitions, le tout encapsulé par le raid logiciel que nous venons de créer.

– Il faut choisir la partition du raid, utiliser comme, "ext3".
— *choisir "/" comme point de montage
et fin du paramétrage de cette partition.

Choisir, sur l'écran général "Terminer le partitionnement". Confirmer.

CREATION DES UTILISATEURS ET MOTS DE PASSE

– choix du mot de passe root : "MotdePasse_root" (penser à combiner chiffres, lettres, + 8 caractères, ponctuation, pas dans le dictionnaire)...

– création d'un utilisateur (obligatoire d'en saisir un) : "si"
– mot de passe "MotdePasse_Si"

Le système de base s'installe...

GESTION DES PAQUETS

Configurer l'outil de gestion des paquets
– Faut-il utiliser un miroir sur le réseau : oui.
– Choix du pays : France
– choisir un ftp qui marche bien (ex mir2.ovh.net)
– renseigner le proxy si nécessaire (si renseigné, vérifier que le proxy laisser passer les downloads, sinon passer hors proxy.)

CHOIX DES PAQUETS

Plutôt que de choisir les applications générales, nous prenons seulement le système standard, qui contient le système minimum pour fonctionner.

Après la copie des paquets, une modification de sécurité peut demander de redémarrer certains services (par exemple exim4), il faut valider.

Enfin, le choix de l'installation de GRUB dans la MBR est posée, valider OUI.

Le système redemande de démarrer.. ETAPE TERMINEE !