« Serveurs dédiés ovh » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
Ligne 95 : | Ligne 95 : | ||
#accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, | #accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, | ||
#service ssh | #service ssh | ||
$IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a | |||
$IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b | |||
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT | ||
Ligne 152 : | Ligne 152 : | ||
esac | esac | ||
</pre> | </pre> | ||
* lancement | |||
/etc/init.d/firewall stop | |||
/etc/init.d/firewall start | |||
[[category:ovh]] | [[category:ovh]] |
Version du 24 juillet 2019 à 14:00
- zone dns d'un domaine acces direct manager V3:
- Utilisateur sudo sans mot de passe :
/etc/sudoers -> user1 ALL=(ALL) NOPASSWD: ALL
- rsync avec user sudo pour DSM
/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
- Mes 10 premières minutes sur un serveur
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html
- utilisateur et permission pour chaque dossier site
sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www sudo passwd leuser
- authorized_keys2 pour les clefs ssl
ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub
- backup FTP
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net
- virutal host par defaut ovh
<VirtualHost *:80> ServerAdmin postmaster@nsXXXXX.ovh.net DocumentRoot /home/rep/ SuexecUserGroup vpopmail vchkpw ServerName nom.de.domaine.com CustomLog logs/ovh-access_log combined ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/ AddHandler x-httpd-php5 .php </VirtualHost>
- [Tuto] Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH
- Diagram Informatique - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL (port 443)
- Syrelis
- Configuration d'un serveur dédié de A à Z - Alsacréations
- OVH - ReleasePatchSecurite
- recompiler php exemple
- activé mod_proxy
cd /usr/local/portage-ovh/net-www/apache-ovh nano apache-ovh-2.2.20.ebuild
remplacer
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" --enable-rewrite \ --enable-proxy \ --enable-proxy-http \
Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
ebuild apache-ovh-2.2.20.ebuild digest
à ce stade, on est prêt pour compiler apache avec les nouvelles options
emerge apache-ovh
ça compile, on relance apache pour être sûr qu'il démarre
/etc/init.d/apache restart
- pare feu
/etc/init.d/firewall (à créée)
---------------------------- firewall------------------------- #!/bin/sh ### BEGIN INIT INFO # Provides: firewall # Required-Start: $local_fs $remote_fs $network $syslog $named # Required-Stop: $local_fs $remote_fs $network $syslog $named # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # X-Interactive: true # Short-Description: Start/stop le service firewall ### END INIT INFO IPT=/sbin/iptables case "$1" in start) $IPT -F INPUT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #accepter les connexions tcp entrantes sur le port 80, l'interface , #service http $IPT -A INPUT -p tcp --dport 80 -j ACCEPT #accepter les connexions tcp entrantes sur le port 8081, #service jetty #$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT #accepter les connexions tcp entrantes sur le port 443 #service https $IPT -A INPUT -p tcp --dport 443 -j ACCEPT #accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes, #service ssh $IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a $IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT $IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT $IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT #accepter les connexions protocoles icmp pour les adresses suivantes $IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié $IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT $IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT $IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT $IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT # ip serveur dédié $IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente $IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG $IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring $IPT -A INPUT -p icmp -j DROP #accepter les connexions tcp et udp pour l'adresse ci-dessous $IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT $IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT #rejeter le reste des connexions via l'interface $IPT -A INPUT -j REJECT exit 0 ;; stop) $IPT -F INPUT exit 0 ;; *) echo "Usage: /etc/init.d/firewall {start|stop}" exit 1 ;; esac
- lancement
/etc/init.d/firewall stop /etc/init.d/firewall start