Outils pour utilisateurs

Outils du site


serveur_perso

À propos

Avec la sortie de Wheezy, une réinstallation complète du système est prévue.

Installation de Debian

Je ne vais pas détailler ici l'installation de base de Debian. Je décrirai uniquement les parties qui me semblent importantes dans le cadre d'un serveur. Pour plus d'informations, je vous conseille le Manuel d'installation officiel.

Partitionnement

Avec ma petite expérience dans l'auto-hébergement (depuis 2009), il faut prendre son temps pour bien partitionner le(s) disque(s) dur(s) pour diverses raisons (surtout si vous voulez faire du RAID mais je n'en parle pas ici).

Bien que Debian peut fonctionner avec une seule partition, je conseille de créer une partition dédiée pour les répertoires suivants :

  • / : La partition racine. Elle contient le système de base. Donc cette partition est obligatoire pour pouvoir démarrer le système.
  • /home : Répertoires personnels des utilisateurs. Adapter la taille selon votre besoin. Par expérience, à part mes mails, j'ai que quelques petits fichiers.
  • /var : Données variables. Les sites Web, les logs, le cache du système seront placés dans ce répertoire. Certains programmes gourmands (comme backup-manager ou apt-cacher-ng) utilisent par défaut ce répertoire.
  • /usr : Hiérarchie secondaire. Ce répertoire contient tous les programmes des utilisateurs avec les bibliothèques. Il est conseillé d'avoir le plus d'espace possible. Mais 7 Go devrait suffire pour un serveur.
  • /tmp : Fichiers temporaires. Généralement, 100Mo suffit mais j'ai toujours tendance à mettre beaucoup plus car certains programmes ont besoin de beaucoup d'espaces pour stocker des fichiers temporaires.
  • swap : Partition d'échange. Ce n'est pas un répertoire. Cette partition est utilisée lorsque la machine passe en veille (c'est qui n'est jamais le cas d'un serveur normalement) et aussi d’extension de la RAM. Généralement, on met autant que la RAM.
À partir d'ici, je considère que le système de base est bien installé.

Configuration pour un IP statique

Pour un serveur, il est préférable de lui donner une adresse IP fixe. Sur un serveur, on n'installe généralement pas d'interface graphique. Donc, tout se passe en ligne de commande. On édite le fichier /etc/network/interfaces :

# vim /etc/network/interfaces

Commenter ou enlever les lignes qui correspondent au DHCP :

allow-hotplug eth0
iface eth0 inet dhcp

Ensuite, on ajoute les lignes suivantes:

auto eth0
iface eth0 inet static
address 192.168.1.20
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1

Ça mérite une petite explication.
auto eth0 : activation automatique de l'interface;
iface eth0 : configuration l'interface en statique;
address 192.168.1.20 : on met ici l'adresse IP fixe.

Accès à distance au serveur

Serveur SSH

Pour accéder à distance à mon serveur, j'utilise ssh.

# apt-get install openssh-server

Ainsi, on peut accéder en console :

$ ssh login@adresseIP

Pour un transfert de beaucoup de fichier, on peut utiliser le protocole SFTP qui est basé sur ssh. On peut utiliser filezilla pour cela. On peut accéder au serveur à partir d'internet en redirigeant le port 22 vers le serveur au niveau du routeur.

Pour contrer d'éventuelles attaques de type force-brute, il est vivement conseillé d'installer le paquet fail2ban :

# aptitude install fail2ban

D'ailleurs, il est vivement conseillé de ne pas autoriser de s'identifier par ssh en root. Pour cela, éditer le fichier /etc/ssh/sshd_config et modifier la ligne 20 comme suite :

PermitRootLogin no

Authentification par clé

On peux s'authentifier à l'aide d'une clé (Cela évite de taper son mot de passe). Pour cela, il faut d'abord générer la clé sur la machine locale (laissez vide le champ “passphrase”):

ssh-keygen -t dsa

Cette commande génére une clé DSA. Les clés privé et publique seront stocké respectivement dans ~/.ssh/id_dsa et ~/.ssh/id_dsa.pub.

Ensuite, il faut copier la clé publique sur le serveur (à l'aide de scp par exemple) :

scp ~/.ssh/id_dsa.pub user@ip_serveur:~/.ssh/

Et copier son contenant dans ~/.ssh/authorized_keys (sur le serveur) :

cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys

Si le fichier authorized_keys n'existe pas, le créer :

touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
Les 3 précédentes commandes peuvent être effectué par une seule :
$ ssh-copy-id -i ~/.ssh/id_dsa.pub user@ip_serveur

Maintenant, on peux se connecter en ssh comme suite (sans avoir à taper son mot de passe) :

ssh -i ~/.ssh/id_dsa user@ip_serveur

Désactiver IPv6

Quand on n'a pas une adresse IPv6, il est intéressant de désactiver l'IPv6 pour des raisons de performance et de sécurité aussi.

Par défaut, l'IPv6 est activé sous Debian. Pour vérifier (1=inactif / 0=actif) :

# cat /proc/sys/net/ipv6/conf/all/disable_ipv6

Pour désactiver, ajouter dans le fichier /etc/sysctl.conf :

# On desactive IPv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Recharger ensuite la conf :

# sysctl -p

Source : http://www.tux-planet.fr/desactiver-ipv6-sous-linux/

À voir aussi

serveur_perso.txt · Dernière modification: 2016/02/16 23:11 (modification externe)