« Serveurs dédiés ovh » : différence entre les versions
Page créée avec « zone dns d'un domaine acces direct manager V3: http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DO... » |
Aucun résumé des modifications |
||
(10 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
zone dns d'un domaine acces direct manager V3 | == zone dns d'un domaine acces direct manager V3 == | ||
http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DOMAIN.COM&hostname=DOMAIN.COM&service=DOMAIN.COM&lastxsldoc=hosting%2Fdomain%2Fhosting-domain.xsl&csid=0&dns1=&fieldtype=&id=&position=&target=&typeFreeHosting= | http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DOMAIN.COM&hostname=DOMAIN.COM&service=DOMAIN.COM&lastxsldoc=hosting%2Fdomain%2Fhosting-domain.xsl&csid=0&dns1=&fieldtype=&id=&position=&target=&typeFreeHosting= | ||
== Utilisateur sudo sans mot de passe == | |||
/etc/sudoers | |||
-> | |||
user1 ALL=(ALL) NOPASSWD: ALL | |||
== rsync avec user sudo pour DSM == | |||
/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/ | |||
== Mes 10 premières minutes sur un serveur == | |||
Mes 10 premières minutes sur un serveur | |||
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html | http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html | ||
== utilisateur et permission pour chaque dossier site == | |||
sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www | |||
sudo passwd leuser | |||
== authorized_keys2 pour les clefs ssl == | |||
ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub | |||
== backup FTP == | |||
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net | |||
backup FTP | |||
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net | |||
== virutal host par defaut ovh == | |||
<VirtualHost *:80> | |||
ServerAdmin postmaster@nsXXXXX.ovh.net | |||
DocumentRoot /home/rep/ | |||
SuexecUserGroup vpopmail vchkpw | |||
ServerName nom.de.domaine.com | |||
CustomLog logs/ovh-access_log combined | |||
ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/ | |||
AddHandler x-httpd-php5 .php | |||
</VirtualHost> | |||
* [http://forum.ovh.com/showthread.php?t=41506 [Tuto<nowiki>]</nowiki> Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH] | |||
* [http://www.delicious.com/redirect?url=http%3A//www.syrelis.com/ Diagram Informatique - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL] (port 443) | |||
* [http://www.delicious.com/redirect?url=http%3A//www.syrelis.com/ Syrelis] | |||
* [http://www.delicious.com/redirect?url=http%3A//www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html Configuration d'un serveur dédié de A à Z - Alsacréations] | |||
* [http://guide.ovh.com/ReleasePatchSecurite OVH - ReleasePatchSecurite] | |||
* [http://forum.ovh.com/showthread.php?t=11903 recompiler php exemple] | |||
== activé mod_proxy == | |||
cd /usr/local/portage-ovh/net-www/apache-ovh | |||
nano apache-ovh-2.2.20.ebuild | |||
remplacer | remplacer | ||
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" | #SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" | ||
SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" | SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" | ||
--enable-rewrite \ | --enable-rewrite \ | ||
--enable-proxy \ | --enable-proxy \ | ||
--enable-proxy-http \ | --enable-proxy-http \ | ||
Le fichier ebuild étant modifié, on doit réactualisé le "manifest" | Le fichier ebuild étant modifié, on doit réactualisé le "manifest" | ||
ebuild apache-ovh-2.2.20.ebuild digest | ebuild apache-ovh-2.2.20.ebuild digest | ||
à ce stade, on est prêt pour compiler apache avec les nouvelles options | à ce stade, on est prêt pour compiler apache avec les nouvelles options | ||
emerge apache-ovh | emerge apache-ovh | ||
ça compile, on relance apache pour être sûr qu'il démarre | ça compile, on relance apache pour être sûr qu'il démarre | ||
/etc/init.d/apache restart | /etc/init.d/apache restart | ||
== pare feu == | |||
/etc/init.d/firewall (à créée) | |||
<pre> | |||
---------------------------- firewall------------------------- | |||
#!/bin/sh | |||
### BEGIN INIT INFO | |||
# Provides: firewall | |||
# Required-Start: $local_fs $remote_fs $network $syslog $named | |||
# Required-Stop: $local_fs $remote_fs $network $syslog $named | |||
# Default-Start: 2 3 4 5 | |||
# Default-Stop: 0 1 6 | |||
# X-Interactive: true | |||
# Short-Description: Start/stop le service firewall | |||
### END INIT INFO | |||
IPT=/sbin/iptables | |||
/ | |||
case "$1" in | |||
start) | |||
$IPT -F INPUT | |||
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 80, l'interface , | |||
#service http | |||
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 8081, | |||
#service jetty | |||
#$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 443 | |||
#service https | |||
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, | |||
#service ssh | |||
$IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a | |||
$IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b | |||
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | |||
$IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT | |||
#accepter les connexions protocoles icmp pour les adresses suivantes | |||
$IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié | |||
$IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT | |||
--------------------------- | $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT | ||
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT | |||
$IPT -A INPUT | |||
$IPT -A INPUT | |||
$IPT -A INPUT | |||
$IPT -A INPUT | |||
$IPT -A INPUT | |||
stop) | $IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT | ||
$IPT -F INPUT | $IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT | ||
exit 0 | $IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT | ||
;; | $IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT | ||
*) | $IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT | ||
echo "Usage: /etc/init.d/firewall {start|stop}" | # ip serveur dédié | ||
exit 1 | $IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente | ||
;; | $IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG | ||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring | |||
$IPT -A INPUT -p icmp -j DROP | |||
#accepter les connexions tcp et udp pour l'adresse ci-dessous | |||
$IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT | |||
$IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT | |||
#rejeter le reste des connexions via l'interface | |||
$IPT -A INPUT -j REJECT | |||
exit 0 | |||
;; | |||
stop) | |||
$IPT -F INPUT | |||
exit 0 | |||
;; | |||
*) | |||
echo "Usage: /etc/init.d/firewall {start|stop}" | |||
exit 1 | |||
;; | |||
esac | esac | ||
</pre> | |||
/etc/init.d/firewall stop | * lancement | ||
/etc/init.d/firewall start | /etc/init.d/firewall stop | ||
/etc/init.d/firewall start | |||
[[category:ovh]] | [[category:ovh]] | ||
[[category:Firewall]] |
Dernière version du 27 août 2024 à 11:58
zone dns d'un domaine acces direct manager V3
Utilisateur sudo sans mot de passe
/etc/sudoers -> user1 ALL=(ALL) NOPASSWD: ALL
rsync avec user sudo pour DSM
/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
Mes 10 premières minutes sur un serveur
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html
utilisateur et permission pour chaque dossier site
sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www sudo passwd leuser
authorized_keys2 pour les clefs ssl
ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub
backup FTP
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net
virutal host par defaut ovh
<VirtualHost *:80> ServerAdmin postmaster@nsXXXXX.ovh.net DocumentRoot /home/rep/ SuexecUserGroup vpopmail vchkpw ServerName nom.de.domaine.com CustomLog logs/ovh-access_log combined ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/ AddHandler x-httpd-php5 .php </VirtualHost>
- [Tuto] Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH
- Diagram Informatique - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL (port 443)
- Syrelis
- Configuration d'un serveur dédié de A à Z - Alsacréations
- OVH - ReleasePatchSecurite
- recompiler php exemple
activé mod_proxy
cd /usr/local/portage-ovh/net-www/apache-ovh nano apache-ovh-2.2.20.ebuild
remplacer
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" --enable-rewrite \ --enable-proxy \ --enable-proxy-http \
Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
ebuild apache-ovh-2.2.20.ebuild digest
à ce stade, on est prêt pour compiler apache avec les nouvelles options
emerge apache-ovh
ça compile, on relance apache pour être sûr qu'il démarre
/etc/init.d/apache restart
pare feu
/etc/init.d/firewall (à créée)
---------------------------- firewall------------------------- #!/bin/sh ### BEGIN INIT INFO # Provides: firewall # Required-Start: $local_fs $remote_fs $network $syslog $named # Required-Stop: $local_fs $remote_fs $network $syslog $named # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # X-Interactive: true # Short-Description: Start/stop le service firewall ### END INIT INFO IPT=/sbin/iptables case "$1" in start) $IPT -F INPUT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #accepter les connexions tcp entrantes sur le port 80, l'interface , #service http $IPT -A INPUT -p tcp --dport 80 -j ACCEPT #accepter les connexions tcp entrantes sur le port 8081, #service jetty #$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT #accepter les connexions tcp entrantes sur le port 443 #service https $IPT -A INPUT -p tcp --dport 443 -j ACCEPT #accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, #service ssh $IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a $IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT $IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT #accepter les connexions protocoles icmp pour les adresses suivantes $IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié $IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT # ip serveur dédié $IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente $IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG $IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring $IPT -A INPUT -p icmp -j DROP #accepter les connexions tcp et udp pour l'adresse ci-dessous $IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT $IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT #rejeter le reste des connexions via l'interface $IPT -A INPUT -j REJECT exit 0 ;; stop) $IPT -F INPUT exit 0 ;; *) echo "Usage: /etc/init.d/firewall {start|stop}" exit 1 ;; esac
- lancement
/etc/init.d/firewall stop /etc/init.d/firewall start