Archives par mot-clé : serveur

Serveur dédié – zone DNS

Gestion de la zone DNS et des mails

Webmin > Serveurs > Serveurs de noms de domaine (BIND) > Configuration du module en haut à gauche > Zone file options > Style du numéro de série > basé sur la date.

Sauvegarder puis appliquer la configuration en haut à droite.

Tout est à gérer sur le nom de domaine, pas le serveur évidemment.

Guide destiné au manager d’OVH.

Activer la zone DNS du domaine.
Dans le manager, dans les DNS du domaine indiquer en primaire ksxxxxx.kimsufi.com et en secondaire ns.kimsufi.com.
Toujours dans le manager, section du serveur dédié, indiquez comme DNS secondaire votre domaine.
En SSH sur votre serveur, éditez /etc/bind/named.conf.options pour rajouter l’IP de votre serveur : listen-on { 127.0.0.1; aa.bb.cc.dd;};
Redémarrer bind9 : service bind9 restart
Menu Email Messages de VirtualMin, DomainKeys etc, installez DKIM puis activez-le sur les mails sortants tout en désactivant le blocage des mails entrants non signés.

Les DNS peuvent mettre jusqu’à 48h pour se propager, soyez donc patient.

host -t mx ndd.fr doit rapporter ndd.fr mail is handled by 1 mail.ndd.fr.
host mail.ndd.fr doit rapporter mail.ndd.fr has address AA.BB.CC.DD.

Pour tester vos mails :

Mail-tester.com ou envoyez un mail à check-auth@verifier.port25.com.

Gestion des sous-domaines

Autoriser php dans les sous-domaines

nano /etc/mime.types

Décommenter la ligne application/x-httpd-php phtml pht php (loin).

Résoudre le problème de droits d’écriture sur les sous-domaines

Choisir le sous-domaine, Serveur configuration > Website Options > PHP script execution mode à régler sur CGI wrapper (run as virtual server owner) (ou le 3e).

Serveur dédié – transmission

sudo apt-get install -y transmission-daemon

On accède à Transmission par l’url : http://xxx.xxx.xxx.xxx:9091/

La connexion est refusée (erreur 403), car l’IP n’est pas autorisée à se connecter.

/etc/init.d/transmission-daemon stop

Modifier le fichier de configuration (login, mot de passe, …) :

nano /etc/transmission-daemon/settings.json

« rpc-enabled »: true,
« rpc-password »: « mot de passe qui sera hashé »,
« rpc-port »: 9091,
« rpc-username »: « username »,
« rpc-whitelist »: « 127.0.0.1,xxx.xxx.xxx.xxx »,
« rpc-whitelist-enabled »: true,

/etc/init.d/transmission-daemon start

Serveur dédié – screen

sudo apt-get install htop screen -y

Pour créer un nouveau screen : screen -S nom_de_la_session

Pour rappeler un screen : screen -r nom_de_la_session

Connaitre les screens existants : screen -ls

Supprimer un screen mort : screen -wipe

Pour fermer un screen : exit

Serveur dédié – fail2ban

sudo apt-get install fail2ban -y

nano /etc/fail2ban/jail.conf

fail2ban-client start

ignoreip = 127.0.0.1 : Liste des adresses IP de confiance à ignorer par fail2ban (mettre votre IP si vous êtes en IP fixe)
bantime = 900 : Temps de ban en secondes (900 secondes = 15 min)
maxretry = 3 : Nombre d’essais autorisés pour une connexion avant d’être banni

Après modification de la configuration, n’oubliez pas de redémarrer fail2ban :

fail2ban-client reload

Vérifier si correctement lancé avec :

fail2ban-client status

echo « 1 » > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts && echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_source_route && echo « 1 » > /proc/sys/net/ipv4/tcp_syncookies && echo « 1024 » > /proc/sys/net/ipv4/tcp_max_syn_backlog && echo « 1 » > /proc/sys/net/ipv4/conf/all/rp_filter && echo « 1 » > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses && echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_redirects && echo « 0 » > /proc/sys/net/ipv4/conf/all/secure_redirects

Smurf Attack

echo « 1 » > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Source routing

echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_source_route

Syn Flood

echo « 1 » > /proc/sys/net/ipv4/tcp_syncookies
echo « 1024 » > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo « 1 » > /proc/sys/net/ipv4/conf/all/rp_filter

Bad error messages

echo « 1 » > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Redirects

echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_redirects
echo « 0 » > /proc/sys/net/ipv4/conf/all/secure_redirects

Windigo

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected »

Serveur dédié – SSH

Configuration SSH

Changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22.

sudo nano /etc/ssh/sshd_config

Port XXXX : Changer le port par défaut.

PermitRootLogin no : Ne pas permettre de login en root.

LoginGraceTime 15 : 15 secondes pour taper le mot de passe.

AllowUsers nom : A rajouter pour n’autoriser que nom à se connecter.

Attention ! Si vous bloquez root, pensez à créer un utilisateur (adduser nom) et l’autoriser avant de redémarrer ssh.

Redémarrez le service SSH après ces modifications :

/etc/init.d/ssh restart

Pour récupérer les droits root, entrez la commande :

su –

puis tapez le mot de passe root.

Modifier le mot de passe root ou d’un utilisateur :

passwd root

 

Serveur dédié – dossiers et fichiers

Droits des fichiers

chmod change le droits d’accès. (chmod (-R) <droit> fichier/dossier)

chown change le propriétaire. (chown (-R) nv-user fichiers)

-R pour la récursivité des dossiers.

chmod +x rend un fichier exécutable.

Emplacement des dossiers importants

Les fichiers de configuration sont en général tous stockés dans /etc/, les programmes exécutables dans /bin/ ou /usr/bin/, les fichiers documents (web, mail, mysql) dans /var/ et les répertoires utilisateurs dans /home/ sauf pour root qui dispose de /~/.

Serveur dédié – infos système

Connaitre les infos système

Processus : htop

Espace libre sur le disque dur : df -h

Taille d’un dossier : du -sh dossier/

État du disque dur :  smartctl -d ata -a /dev/sda

Lister le contenu du répertoire courant : ls

Changer de répertoire : cd

Déplacer (ou renommer) un fichier : mv

Copier un fichier : cp

Supprimer un fichier : rm (récursivement : -rf )

Supprimer un répertoire vide : rmdir

Supprimer un répertoire non vide : rm -R

Créer un répertoire : mkdir

wget : télécharger quelque chose : wget

(-O /dev/null pour ne pas utiliser le disque dur, utile pour un test de vitesse, sur http://proof.ovh.net/files/10Gb.dat)