« Serveurs dédiés ovh » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 62 : | Ligne 62 : | ||
/etc/init.d/apache restart | /etc/init.d/apache restart | ||
---- | |||
* pare feu | * pare feu | ||
/etc/init.d/firewall (à créée) | /etc/init.d/firewall (à créée) | ||
<code> | |||
---------------------------- firewall------------------------- | |||
#!/bin/sh | |||
### BEGIN INIT INFO | |||
# Provides: firewall | |||
# Required-Start: $local_fs $remote_fs $network $syslog $named | |||
# Required-Stop: $local_fs $remote_fs $network $syslog $named | |||
# Default-Start: 2 3 4 5 | |||
# Default-Stop: 0 1 6 | |||
# X-Interactive: true | |||
# Short-Description: Start/stop le service firewall | |||
### END INIT INFO | |||
IPT=/sbin/iptables | |||
---------------------------- | case "$1" in | ||
IPT | start) | ||
$IPT -F INPUT | |||
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 80, l'interface , | |||
$IPT - | #service http | ||
$IPT -A INPUT - | $IPT -A INPUT -p tcp --dport 80 -j ACCEPT | ||
#accepter les connexions tcp entrantes sur le port 8081, | |||
#service jetty | |||
#$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 443 | |||
#service https | |||
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT | |||
#accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, | |||
#service ssh | |||
$IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a | |||
$IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b | |||
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | |||
$IPT -A INPUT | $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | ||
$IPT -A INPUT | $IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT | ||
#accepter les connexions protocoles icmp pour les adresses suivantes | |||
$IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié | |||
$IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT | |||
$IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT | |||
$IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT | |||
# ip serveur dédié | |||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente | |||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG | |||
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring | |||
$IPT -A INPUT -p icmp -j DROP | |||
#accepter les connexions tcp et udp pour l'adresse ci-dessous | |||
$IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT | |||
$IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT | |||
#rejeter le reste des connexions via l'interface | |||
$IPT -A INPUT -j REJECT | |||
exit 0 | |||
;; | |||
stop) | |||
$IPT -F INPUT | |||
exit 0 | |||
;; | |||
*) | |||
echo "Usage: /etc/init.d/firewall {start|stop}" | |||
exit 1 | |||
;; | |||
esac | |||
</code> | |||
[[category:ovh]] | [[category:ovh]] | ||
Version du 24 juillet 2019 à 13:58
- zone dns d'un domaine acces direct manager V3:
- Utilisateur sudo sans mot de passe :
/etc/sudoers -> user1 ALL=(ALL) NOPASSWD: ALL
- rsync avec user sudo pour DSM
/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
- Mes 10 premières minutes sur un serveur
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html
- utilisateur et permission pour chaque dossier site
sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www sudo passwd leuser
- authorized_keys2 pour les clefs ssl
ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub
- backup FTP
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net
- virutal host par defaut ovh
<VirtualHost *:80>
ServerAdmin postmaster@nsXXXXX.ovh.net
DocumentRoot /home/rep/
SuexecUserGroup vpopmail vchkpw
ServerName nom.de.domaine.com
CustomLog logs/ovh-access_log combined
ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/
AddHandler x-httpd-php5 .php
</VirtualHost>
- [Tuto] Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH
- Diagram Informatique - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL (port 443)
- Syrelis
- Configuration d'un serveur dédié de A à Z - Alsacréations
- OVH - ReleasePatchSecurite
- recompiler php exemple
- activé mod_proxy
cd /usr/local/portage-ovh/net-www/apache-ovh nano apache-ovh-2.2.20.ebuild
remplacer
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" --enable-rewrite \ --enable-proxy \ --enable-proxy-http \
Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
ebuild apache-ovh-2.2.20.ebuild digest
à ce stade, on est prêt pour compiler apache avec les nouvelles options
emerge apache-ovh
ça compile, on relance apache pour être sûr qu'il démarre
/etc/init.d/apache restart
- pare feu
/etc/init.d/firewall (à créée)
---------------------------- firewall-------------------------
- !/bin/sh
- BEGIN INIT INFO
- Provides: firewall
- Required-Start: $local_fs $remote_fs $network $syslog $named
- Required-Stop: $local_fs $remote_fs $network $syslog $named
- Default-Start: 2 3 4 5
- Default-Stop: 0 1 6
- X-Interactive: true
- Short-Description: Start/stop le service firewall
- END INIT INFO
IPT=/sbin/iptables
case "$1" in
start)
$IPT -F INPUT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#accepter les connexions tcp entrantes sur le port 80, l'interface ,
#service http
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 8081,
#service jetty
#$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 443
#service https
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes,
#service ssh
$IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a
$IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT
#accepter les connexions protocoles icmp pour les adresses suivantes
$IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié
$IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT
# ip serveur dédié
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring
$IPT -A INPUT -p icmp -j DROP
#accepter les connexions tcp et udp pour l'adresse ci-dessous
$IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT
#rejeter le reste des connexions via l'interface
$IPT -A INPUT -j REJECT
exit 0
;;
stop)
$IPT -F INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac