« Serveurs dédiés ovh » : différence entre les versions

De Marmits Wiki
← Modification précédente
Aucun résumé des modifications
Aucun résumé des modifications
 
(7 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
* zone dns d'un domaine acces direct manager V3:
== zone dns d'un domaine acces direct manager V3 ==
http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DOMAIN.COM&hostname=DOMAIN.COM&service=DOMAIN.COM&lastxsldoc=hosting%2Fdomain%2Fhosting-domain.xsl&csid=0&dns1=&fieldtype=&id=&position=&target=&typeFreeHosting=
http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DOMAIN.COM&hostname=DOMAIN.COM&service=DOMAIN.COM&lastxsldoc=hosting%2Fdomain%2Fhosting-domain.xsl&csid=0&dns1=&fieldtype=&id=&position=&target=&typeFreeHosting=
----
 
* Utilisateur sudo sans mot de passe :
== Utilisateur sudo sans mot de passe ==
  /etc/sudoers
  /etc/sudoers
  ->
  ->
  user1  ALL=(ALL) NOPASSWD: ALL
  user1  ALL=(ALL) NOPASSWD: ALL
----
 
* rsync avec user sudo pour DSM
== rsync avec user sudo pour DSM ==
  /usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
  /usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
----
 
* Mes 10 premières minutes sur un serveur
== Mes 10 premières minutes sur un serveur ==
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html


* utilisateur et permission pour chaque dossier site
== utilisateur et permission pour chaque dossier site ==
  sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www
  sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www
  sudo passwd leuser
  sudo passwd leuser


* authorized_keys2 pour les clefs ssl
== authorized_keys2 pour les clefs ssl ==
  ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub
  ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub


* backup FTP
== backup FTP ==
  ncftp> open -u nsXXXXXXX.ovh.net  -p pass ftpback-rbxX-XX.ovh.net
  ncftp> open -u nsXXXXXXX.ovh.net  -p pass ftpback-rbxX-XX.ovh.net


* virutal host par defaut ovh
== virutal host par defaut ovh ==
  <VirtualHost *:80>
  <VirtualHost *:80>
         ServerAdmin postmaster@nsXXXXX.ovh.net
         ServerAdmin postmaster@nsXXXXX.ovh.net
Ligne 35 : Ligne 35 :




[Tuto] Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH
* [http://forum.ovh.com/showthread.php?t=41506 [Tuto<nowiki>]</nowiki> Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH]
 
* [http://www.delicious.com/redirect?url=http%3A//www.syrelis.com/ Diagram Informatique  - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL] (port 443)
Diagram Informatique  - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL (port 443)
* [http://www.delicious.com/redirect?url=http%3A//www.syrelis.com/ Syrelis]
 
* [http://www.delicious.com/redirect?url=http%3A//www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html Configuration d'un serveur dédié de A à Z - Alsacréations]
Syrelis  
* [http://guide.ovh.com/ReleasePatchSecurite OVH - ReleasePatchSecurite]
Configuration d'un serveur dédié de A à Z - Alsacréations
* [http://forum.ovh.com/showthread.php?t=11903 recompiler php exemple]
OVH - ReleasePatchSecurite
 
. recompiler php exemple
 
 
activé mod_proxy
 
cd /usr/local/portage-ovh/net-www/apache-ovh
 
nano apache-ovh-2.2.20.ebuild


== activé mod_proxy ==
cd /usr/local/portage-ovh/net-www/apache-ovh
nano apache-ovh-2.2.20.ebuild
remplacer
remplacer
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz"
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz"
SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz"
SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz"
 
--enable-rewrite \
--enable-rewrite \
--enable-proxy \
--enable-proxy \
--enable-proxy-http \
--enable-proxy-http \


Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
ebuild apache-ovh-2.2.20.ebuild digest
ebuild apache-ovh-2.2.20.ebuild digest


à ce stade, on est prêt pour compiler apache avec les nouvelles options
à ce stade, on est prêt pour compiler apache avec les nouvelles options
emerge apache-ovh
emerge apache-ovh


ça compile, on relance apache pour être sûr qu'il démarre
ça compile, on relance apache pour être sûr qu'il démarre
/etc/init.d/apache restart
/etc/init.d/apache restart


== pare feu  ==
/etc/init.d/firewall (à créée)
<pre>
---------------------------- firewall-------------------------
#!/bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $local_fs $remote_fs $network $syslog $named
# Required-Stop:    $local_fs $remote_fs $network $syslog $named
# Default-Start:    2 3 4 5
# Default-Stop:      0 1 6
# X-Interactive:    true
# Short-Description: Start/stop le service firewall
### END INIT INFO


pare feu
IPT=/sbin/iptables
/etc/init.d/firewall (à créée)


case "$1" in
        start)
            $IPT -F INPUT
            $IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 80, l'interface ,
            #service http
            $IPT -A INPUT  -p tcp --dport 80 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 8081,
            #service jetty
            #$IPT -A INPUT  -p tcp --dport 8082 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 443
            #service https
            $IPT -A INPUT  -p tcp --dport 443 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes,
            #service ssh
            $IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a
            $IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b
           
            $IPT -A INPUT  -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
            $IPT -A INPUT  -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
            $IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT
            #accepter les connexions protocoles icmp pour les adresses suivantes
            $IPT -A INPUT  -p icmp --source proxy.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié
            $IPT -A INPUT  -p icmp --source a2.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-gra.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT


---------------------------- firewall-------------------------
            $IPT -A INPUT  -p icmp --source 92.222.184.0/24 -j ACCEPT
IPT=/sbin/iptables
            $IPT -A INPUT  -p icmp --source 92.222.185.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.186.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 167.114.37.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.244 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.245 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.246 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.247 -j ACCEPT


case "$1" in
            $IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT
start)
            $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT
$IPT -F INPUT
            $IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
            $IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
            $IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT
#$IPT -A INPUT -i eth0 -p tcp --dport 8081 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 21 --source ipduclient -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 --source ipduclient -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source XX.XX.XX.250 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -i eth0 -p udp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -i eth0 -j REJECT
exit 0
;;


stop)
            $IPT -A INPUT  -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -F INPUT
            $IPT -A INPUT  -p icmp --source proxy.rbx.ovh.net -j ACCEPT
exit 0
            $IPT -A INPUT  -p icmp --source proxy.sbg.ovh.net -j ACCEPT
;;
            $IPT -A INPUT  -p icmp --source proxy.bhs.ovh.net -j ACCEPT
*)
            $IPT -A INPUT  -p icmp --source ping.ovh.net -j ACCEPT
echo "Usage: /etc/init.d/firewall {start|stop}"
            # ip serveur dédié
exit 1
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
;;
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring
            $IPT -A INPUT  -p icmp -j DROP
            #accepter les connexions tcp et udp pour l'adresse ci-dessous
            $IPT -A INPUT  -p tcp --source 192.168.0.0/16 -j ACCEPT
            $IPT -A INPUT  -p udp --source 192.168.0.0/16 -j ACCEPT
            #rejeter le reste des connexions via l'interface
            $IPT -A INPUT  -j REJECT
            exit 0
        ;;
        stop)
                $IPT -F INPUT
                exit 0
        ;;
        *)
                echo "Usage: /etc/init.d/firewall {start|stop}"
                exit 1
        ;;
esac
esac
------------------------------------------------------------------
</pre>
 


/etc/init.d/firewall stop
* lancement
/etc/init.d/firewall start
/etc/init.d/firewall stop
/etc/init.d/firewall start


[[category:ovh]]
[[category:ovh]]
[[category:Firewall]]

Dernière version du 27 août 2024 à 11:58

zone dns d'un domaine acces direct manager V3

http://www.ovh.com/managerv3/hosting-domain-zone.pl?xsldoc=hosting%2Fdomain%2Fhosting-domain-zone.xsl&language=fr&domain=DOMAIN.COM&hostname=DOMAIN.COM&service=DOMAIN.COM&lastxsldoc=hosting%2Fdomain%2Fhosting-domain.xsl&csid=0&dns1=&fieldtype=&id=&position=&target=&typeFreeHosting=

Utilisateur sudo sans mot de passe

/etc/sudoers
->
user1  ALL=(ALL) NOPASSWD: ALL

rsync avec user sudo pour DSM

/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/

Mes 10 premières minutes sur un serveur

http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html

utilisateur et permission pour chaque dossier site

sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www
sudo passwd leuser

authorized_keys2 pour les clefs ssl

ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub

backup FTP

ncftp> open -u nsXXXXXXX.ovh.net  -p pass ftpback-rbxX-XX.ovh.net

virutal host par defaut ovh

<VirtualHost *:80>
        ServerAdmin postmaster@nsXXXXX.ovh.net
        DocumentRoot /home/rep/
        SuexecUserGroup vpopmail vchkpw
        ServerName nom.de.domaine.com
        CustomLog logs/ovh-access_log combined
        ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/
        AddHandler x-httpd-php5 .php
</VirtualHost>


activé mod_proxy

cd /usr/local/portage-ovh/net-www/apache-ovh
nano apache-ovh-2.2.20.ebuild

remplacer 

#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz"
SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz"

--enable-rewrite \
--enable-proxy \
--enable-proxy-http \

Le fichier ebuild étant modifié, on doit réactualisé le "manifest" 

ebuild apache-ovh-2.2.20.ebuild digest

à ce stade, on est prêt pour compiler apache avec les nouvelles options 

emerge apache-ovh

ça compile, on relance apache pour être sûr qu'il démarre 

/etc/init.d/apache restart

pare feu

/etc/init.d/firewall (à créée)

 ---------------------------- firewall-------------------------
#!/bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $local_fs $remote_fs $network $syslog $named
# Required-Stop:     $local_fs $remote_fs $network $syslog $named
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# X-Interactive:     true
# Short-Description: Start/stop le service firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
        start)
            $IPT -F INPUT
            $IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 80, l'interface ,
            #service http
            $IPT -A INPUT  -p tcp --dport 80 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 8081,
            #service jetty
            #$IPT -A INPUT  -p tcp --dport 8082 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 443
            #service https
            $IPT -A INPUT  -p tcp --dport 443 -j ACCEPT
            #accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes,
            #service ssh
            $IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a
            $IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b
            
            $IPT -A INPUT  -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
            $IPT -A INPUT  -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
            $IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT
            #accepter les connexions protocoles icmp pour les adresses suivantes
            $IPT -A INPUT  -p icmp --source proxy.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié
            $IPT -A INPUT  -p icmp --source a2.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-gra.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT

            $IPT -A INPUT  -p icmp --source 92.222.184.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.185.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.186.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 167.114.37.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.244 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.245 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.246 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 151.80.231.247 -j ACCEPT

            $IPT -A INPUT  -p icmp --source 151.80.118.100/32 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.184.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.185.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 92.222.186.0/24 -j ACCEPT
            $IPT -A INPUT  -p icmp --source 167.114.37.0/24 -j ACCEPT

            $IPT -A INPUT  -p icmp --source proxy.p19.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source proxy.rbx.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source proxy.sbg.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source proxy.bhs.ovh.net -j ACCEPT
            $IPT -A INPUT  -p icmp --source ping.ovh.net -j ACCEPT
            # ip serveur dédié
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG
            $IPT -A INPUT  -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring
            $IPT -A INPUT  -p icmp -j DROP
            #accepter les connexions tcp et udp pour l'adresse ci-dessous
            $IPT -A INPUT  -p tcp --source 192.168.0.0/16 -j ACCEPT
            $IPT -A INPUT  -p udp --source 192.168.0.0/16 -j ACCEPT
            #rejeter le reste des connexions via l'interface
            $IPT -A INPUT  -j REJECT
            exit 0
        ;;
        stop)
                $IPT -F INPUT
                exit 0
        ;;
        *)
                echo "Usage: /etc/init.d/firewall {start|stop}"
                exit 1
        ;;
esac
  • lancement
/etc/init.d/firewall stop
/etc/init.d/firewall start
Récupérée de « https://marmits.com/w/index.php?title=Serveurs_dédiés_ovh&oldid=1987 »