Comments on: Configurer un serveur dédié OVH/Kimsufi/Debian pour LAMP

By: Linux / Ubuntu / Debian : automatiser les connexions avec une clé SSH | Yann "Bug" Dubois

Wed, 25 Aug 2010 12:56:47 +0000

[...] Cet article est donc un bon complément de mon autre article sur la configuration de base d’un environnement LAMP sur un serveur Debian du type de …. [...]

By: Y.Dubois

Y.Dubois — Fri, 20 Aug 2010 18:32:09 +0000

@Teenage :
Avec grand plaisir, et je prendrais le temps de mettre à jour cette page ou d’ajouter des pages complémentaires (et de te créditer pour tes infos). En effet, cette page est pas mal consultée (une dizaine de fois par jour en moyenne), donc j’en conclus qu’elle est utile à beaucoup de monde !

By: Teenage

Teenage — Fri, 20 Aug 2010 16:49:51 +0000

Oui, mais ca peut pas faire de mal surtout si l’on ne maitrise pas tout les services (inetd).

Pour exim il n’était pas installé sur ma machine, donc :
sudo /etc/init.d/sendmail stop
sudo apt-get purge sendmail
sudo aptitude install exim4
dpkg-reconfigure exim4-config

Pour ma part je rajouterais bien quel info sur la sécurisation d’apache : droits, mod_secure, analyse de log,…
Apparemment chrooter semble contre-productif, surtout pour un serveur qui ne fait que du http.
Coté performance et sécurité le mod FastCGI PHP parait pas mal…

Sinon je proposerais bien de faire tourner les page web non public : awstats, phpsysinfo, munin, phpmyadmin sur une ip non routable et de n’y accéder que via un tunnel ssh ?

Sinon dans l’ensemble il manque quelque commentaire supplémentaire pour indiquer plus précisément à quoi sert tel package ou tel réglage.
Comme je vais écrire une doc détaillé sur la config de mon serveur, je te l’enevrais, cela te permettra d’enrichir ce post

By: Y.Dubois

Y.Dubois — Fri, 20 Aug 2010 15:41:32 +0000

@Teenage:

Concernant iptables, c’est un choix : il y a tellement peu de ports ouverts sur cette machine qui est un serveur web isolé (en fait seuls les ports http, le ssh étant déplacé à une adresse non triviale), et tellement peu de services actifs à l’écoute, qu’on peut se demander si c’est utile. Personnellement, je considère que non. Il y a beaucoup plus de chances d’être attaqué en http sur les applications php, et c’est donc plutôt l’installation de mod-secure pour Apache qui manque.

Bien entendu si on veut ajouter des services sur son Kimsufi, faire du routage, ou faire communiquer des serveurs entre eux par des services privilégiés, iptables peut devenir intéressant. Ce n’est pas l’objet de cette config.

Concernant Exim4, son installation est mentionnée dans le tuto, et la configuration est triviale et se fait en mode interactif pour l’usage qu’on en fait (uniquement relayer en smtp des mails envoyés par les applis web).

Mais n’hésites pas à compléter si tu as des suggestions, ou des liens intéressants pour ces deux aspects : je ne prétends pas être exhaustif, car à la base c’est juste un aide-mémoire à usage personnel

By: Teenage

Teenage — Fri, 20 Aug 2010 15:29:01 +0000

Pas mal,

mais il manque sans doute la config iptables et l’install d’exim4

By: Fred

Fred — Sat, 03 Apr 2010 16:54:49 +0000

Bravo !!!

Je crois que c’est le premier tuto complet sur le sujet.

Franchement je suis bluffé !!

By: Mog

Mog — Tue, 24 Nov 2009 23:38:22 +0000

Impressionnant ! je crois que c’est le premier tuto qui fonctionne du premier coup, je suis bluffé !

Félicitation pour ce tuto qui fonctionne a merveille, c’est du beau boulot. Il permet de partir sur des bases solides et à le merite d’être clair en plus.

Pour mon cas, j’ai adapté la sécurisation des dossiers munin et phpsysinfo à partir du tuto concernant le RPS d’OVH.

Un grand merci en tout cas…