Serveurs dédiés ovh
- zone dns d'un domaine acces direct manager V3:
- Utilisateur sudo sans mot de passe :
/etc/sudoers -> user1 ALL=(ALL) NOPASSWD: ALL
- rsync avec user sudo pour DSM
/usr/syno/bin/rsync -avz --delete --no-owner --no-group --rsync-path="sudo rsync" -e ssh usersudo@ip:/rep/ /volume1/rep/
- Mes 10 premières minutes sur un serveur
http://guillaumevincent.com/2013/09/15/First-10-minutes-on-ubuntu-servers.html
- utilisateur et permission pour chaque dossier site
sudo adduser -g ovh -G ftp leuser -d /home/etc/etc1/sites/www sudo passwd leuser
- authorized_keys2 pour les clefs ssl
ssh user@ipdedie 'cat >> /home/user/.ssh/authorized_keys2' < /user/.ssh/id_dsa.pub
- backup FTP
ncftp> open -u nsXXXXXXX.ovh.net -p pass ftpback-rbxX-XX.ovh.net
- virutal host par defaut ovh
<VirtualHost *:80> ServerAdmin postmaster@nsXXXXX.ovh.net DocumentRoot /home/rep/ SuexecUserGroup vpopmail vchkpw ServerName nom.de.domaine.com CustomLog logs/ovh-access_log combined ScriptAlias /cgi-bin/ /home/ovh/cgi-bin/ AddHandler x-httpd-php5 .php </VirtualHost>
- [Tuto] Sécurisation de serveur dédié Release2 / Gentoo - Forum OVH
- Diagram Informatique - tutoriel : installer une connexion sécurisé sur ovh Gentoo release 2 via SSL (port 443)
- Syrelis
- Configuration d'un serveur dédié de A à Z - Alsacréations
- OVH - ReleasePatchSecurite
- recompiler php exemple
- activé mod_proxy
cd /usr/local/portage-ovh/net-www/apache-ovh nano apache-ovh-2.2.20.ebuild
remplacer
#SRC_URI="http://apache.crihan.fr/dist/httpd/httpd-$PV.tar.gz" SRC_URI="http://archive.apache.org/dist/httpd/httpd-2.2.20.tar.gz" --enable-rewrite \ --enable-proxy \ --enable-proxy-http \
Le fichier ebuild étant modifié, on doit réactualisé le "manifest"
ebuild apache-ovh-2.2.20.ebuild digest
à ce stade, on est prêt pour compiler apache avec les nouvelles options
emerge apache-ovh
ça compile, on relance apache pour être sûr qu'il démarre
/etc/init.d/apache restart
- pare feu
/etc/init.d/firewall (à créée)
---------------------------- firewall-------------------------
- !/bin/sh
- BEGIN INIT INFO
- Provides: firewall
- Required-Start: $local_fs $remote_fs $network $syslog $named
- Required-Stop: $local_fs $remote_fs $network $syslog $named
- Default-Start: 2 3 4 5
- Default-Stop: 0 1 6
- X-Interactive: true
- Short-Description: Start/stop le service firewall
- END INIT INFO
IPT=/sbin/iptables
case "$1" in
start)
$IPT -F INPUT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#accepter les connexions tcp entrantes sur le port 80, l'interface ,
#service http
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 8081,
#service jetty
#$IPT -A INPUT -p tcp --dport 8082 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 443
#service https
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
#accepter les connexions tcp entrantes sur le port 2222 pour les adresses suivantes,
#service ssh
$IPT -A INPUT -p tcp --dport 22 --source aaa.aaa.aaa.aaa -j ACCEPT #lieux_a
$IPT -A INPUT -p tcp --dport 22 --source bbb.bbb.bbb.bbb -j ACCEPT #lieux_b
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
$IPT -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT
#accepter les connexions protocoles icmp pour les adresses suivantes
$IPT -A INPUT -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.xxx -j ACCEPT # ip serveur dédié
$IPT -A INPUT -p icmp --source a2.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-rbx.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-sbg.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-gra.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source netmon-1-bhs.ovh.ca -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.244 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.245 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.246 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.231.247 -j ACCEPT
$IPT -A INPUT -p icmp --source 151.80.118.100/32 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.184.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.185.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 92.222.186.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source 167.114.37.0/24 -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.sbg.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source proxy.bhs.ovh.net -j ACCEPT
$IPT -A INPUT -p icmp --source ping.ovh.net -j ACCEPT
# ip serveur dédié
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.249 -j ACCEPT # temporaire, seulement pour serveurs HG
$IPT -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT # IP pour system de monitoring
$IPT -A INPUT -p icmp -j DROP
#accepter les connexions tcp et udp pour l'adresse ci-dessous
$IPT -A INPUT -p tcp --source 192.168.0.0/16 -j ACCEPT
$IPT -A INPUT -p udp --source 192.168.0.0/16 -j ACCEPT
#rejeter le reste des connexions via l'interface
$IPT -A INPUT -j REJECT
exit 0
;;
stop)
$IPT -F INPUT
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop}"
exit 1
;;
esac