Teteve wiki - Nouvelles pages [fr]

Secu LAMP

2017-06-13T12:56:24Z

Teteve :

== PHPMyAdmin ==

Dans le fichier /etc/apache2/conf-available/phpmyadmin.conf
Modifier :
Alias /gestionsql /usr/share/phpmyadmin
Commenter :
# Authorize for setup
#<Directory /usr/share/phpmyadmin/setup>
/usr/share/phpmyadmin/setup
# <IfModule mod_authz_core.c>
# <IfModule mod_authn_file.c>
# AuthType Basic
# AuthName "phpMyAdmin Setup"
# AuthUserFile /etc/phpmyadmin/htpasswd.setup
# </IfModule>
# Require valid-user
# </IfModule>
#</Directory>

Supprimer le répertoire : /usr/share/phpmyadmin/setup

mettre en SSL : [https://www.guillaume-leduc.fr/4-securiser-son-serveur-phpmyadmin.html]

== WordPress ==

modifier dans wp-content.php les lignes :

define('AUTH_KEY', 'put your secret key');
define('SECURE_AUTH_KEY', 'put your secret key');
define('LOGGED_IN_KEY', 'put your secret key');
define('NONCE_KEY', 'put your secret key');

Générer des clés (dans le "moins meilleur des cas", aller sur le site [https://api.wordpress.org/secret-key/1.1 Générateur de clés] )

Installer le pluggin TAC, qui permet de tester la qualité des thèmes installés, et surtout ne pas télécharger des thèmes n'importe où !!! :)

lien externe : 
http://digwp.com/2009/06/wordpress-configuration-tricks/

LAMP

2017-06-13T12:56:00Z

Teteve :

== PhpMyAdmin ==

L'installation de PhpMyAdmin se fait dans la foulée après celle de Mysql et Php :

# apt-get install phpmyadmin

Editer le fichier de configuration d'Apache :

# vim /etc/apache2/apache2.conf

Rajouter la ligne suivante :

include /etc/phpmyadmin/apache.conf

Pour accéder ensuite à l'interface de PhpMyAdmin, il suffit de se rendre sur le site web (ou en localhost si le serveur web n'est pas opérationnel) :

http://localhost/phpmyadmin

note : PhpMyAdmin utilise les identifiants de l'admin de Mysql tels que définis à l'installation de Mysql

== Blog avec WordPress==

Grâce à l'interface web de phpmyadmin, créer une base de données. 
Nous appelons cette base de données : db_blog 
Créer un utilisateur dans Mysql pour accéder à la base de données du blog : user_blog 
Mettre un mot de passe aléatoire complexe (nous n'aurons pas à nous en souvenir)
mettre les autorisations pour user_blog sur db_blog 

installer Wordpress :
cd /var/home/www/
wget http://fr.wordpress.org/latest-fr_FR.zip
unzip latest-fr_FR.zip ./
aller sur l'adresse du site, et suivre la configuration automatique, en renseignant les nom de la base/login/mot de passe/localhost

=== Mise à jour ===

Je suis obligé de faire des mises à jour manuelles de Wordpress. Je fais donc ici un petit récapitulatif des actions à effectuer :
(pb reglé : l'utilisateur d'Apache doit être le propriétaire des fichiers. Sinon, il faut renseigner un user/mdp FTP qui soit le propriétaire => OK vu que tous les utilisateurs FTP sont virtuels...)

wget http://fr.wordpress.org/latest-fr_FR.zip
unzip latest-fr_FR.zip
sauvegarder le site
cp -r blog/* /home/temp/
cp -r worpress/* blog/
Lancer le site, on arrive sur une page d'installation. S'aider de la sauvegarde /home/temp/wp-config.php pour renseigner les champs. 
A la demande, fermer le site, et recopier les thèmes et uploads :
cp -r /home/temp/wp-content/themes/* blog/wp-content/themes/
relancer le site et se connecter...

== AWSTATS ==

'''En cours de mise en place et d'approfondissement...'''

Installation :

# apt-get install awstats

Définir l'alias utilisé par les différents domaines :

# '''vim /etc/apache2/sites-available/stats.conf'''

Alias /awstatsclasses "/usr/share/awstats/classes/"
Alias /awstatscss "/usr/share/awstats/css/"
Alias /awstats-icon "/usr/share/awstats/icon/"

ScriptAlias /stats /usr/lib/cgi-bin/awstats.pl

# mêmes paramètres que dans awstats.*.conf
<Directory /usr/lib/cgi-bin/>
DirectoryIndex awstats.pl
UseCanonicalName off
AuthType Digest
AuthName "Acces restreint aux stats"
AuthDigestDomain /awstats http://www.teteve.fr/awstats
AuthDigestProvider file
AuthUserFile /etc/apache2/.awstats.pwd
Require valid-user
Options +ExecCGI
AllowOverride None
Order allow,deny
Allow from all
</Directory>

# ''' a2ensite stats.conf
Enabling site stats.
To activate the new configuration, you need to run:
service apache2 reload
# '''service apache2 reload'''

Je n'explique pas le fonctionnement du "AuthDigestDomain" : ça fonctionne pour tous les sites : www.mondomaine.fr/awstats avec le même et unique fichier de conf... 
recopier le fichier de conf par défaut :
# '''cp /etc/awstats/awstats.local.conf /etc/awstats/awstats.www.teteve.fr.conf'''

=== Config ===

'''EN COURS...'''

Extrait de mon fichier de config, à rapprocher de la [[Apache#Les_fichiers_de_conf|Conf d'Apache]] et des [[Apache#Les_vhosts|vhosts]]... 

LogFile="/var/log/apache2/log/teteve.log"
LogType=W

J'ai barré les variables ne correspondant pas à un serveur web. A reprendre dans le cas d'un autre type de serveur.
# Enter here your log format (Must match your web server config. See setup
# instructions in documentation to know how to configure your web server to
# have the required log format).
# Possible values: 1,2,3,4 or "your_own_personalized_log_format"
# 1 - Apache or Lotus Notes/Domino native combined log format (NCSA combined/XLF/ELF log format)
# 2 - IIS or ISA format (IIS W3C log format). See FAQ-COM115 For ISA.
# 3 - Webstar native log format.
# 4 - Apache or Squid native common log format (NCSA common/CLF log format)
# With LogFormat=4, some features (browsers, os, keywords...) can't work.
# "your_own_personalized_log_format" = If your log is ftp, mail or other format,
# you must use following keys to define the log format string (See FAQ for
# ftp, mail or exotic web log format examples):
# %host Client hostname or IP address (or Sender host for mail log)
<s># %host_r Receiver hostname or IP address (for mail log)</s>
# %lognamequot Authenticated login/user with format: "john"
# %logname Authenticated login/user with format: john
# %time1 Date and time with format: [dd/mon/yyyy:hh:mm:ss +0000] or [dd/mon/yyyy:hh:mm:ss]
# %time2 Date and time with format: yyyy-mm-dd hh:mm:ss
# %time3 Date and time with format: Mon dd hh:mm:ss or Mon dd hh:mm:ss yyyy
# %time4 Date and time with unix timestamp format: dddddddddd
# %methodurl Method and URL with format: "GET /index.html HTTP/x.x"
# %methodurlnoprot Method and URL with format: "GET /index.html"
# %method Method with format: GET
# %url URL only with format: /index.html
# %query Query string (used by URLWithQuery option)
# %code Return code status (with format for web log: 999)
# %bytesd Size of document in bytes
# %refererquot Referer page with format: "http://from.com/from.htm"
# %referer Referer page with format: http://from.com/from.htm
# %uabracket User agent with format: [Mozilla/4.0 (compatible, ...)]
# %uaquot User agent with format: "Mozilla/4.0 (compatible, ...)"
# %ua User agent with format: Mozilla/4.0_(compatible...)
# %gzipin mod_gzip compression input bytes: In:XXX
# %gzipout mod_gzip compression output bytes & ratio: Out:YYY:ZZpct.
# %gzipratio mod_gzip compression ratio: ZZpct.
# %deflateratio mod_deflate compression ratio with format: (ZZ)
<s># %email EMail sender (for mail log)</s>
<s># %email_r EMail receiver (for mail log)</s>
# %virtualname Web sever virtual hostname. Use this tag when same log
# contains data of several virtual web servers. AWStats
# will discard records not in SiteDomain nor HostAliases
# %cluster If log file is provided from several computers (merged by
# logresolvemerge.pl), use this to define cluster id field.
# %extraX Another field that you plan to use for building a
# personalized report with ExtraSection feature (See later).
# If your log format has some fields not included in this list, use:
# %other Means another not used field
# %otherquot Means another not used double quoted field
#
# Examples for Apache combined logs (following two examples are equivalent):
# LogFormat = 1
# LogFormat = "%host %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"
#
# Example for IIS:
# LogFormat = 2
#
LogFormat = %virtualname %host %logname %time1 %methodurl %code %bytesd %refererquot %uaquot

LogFile="/var/log/apache2/vhosts/teteve.log"
LogType=W
LogFormat = %virtualname %host %logname %time1 %methodurl %code %bytesd %refererquot %uaquot
LogSeparator=" "

J'ai été obligé de rajouter %bytesd sinon awstats refuse d'analyser les logs.
De même, je n'ai pas réussi à faire passer un "virtualname:port"

=== Commande ===

Pour lancer l'update manuellement (ou à rajouter dans un cron...)
/usr/lib/cgi-bin/awstats.pl -config=www.teteve.fr

== Web radio avec MPD et Icecast2 ==

=== Introduction ===

Cette section est un tutoriel visant à expliquer comment installer, configurer et utiliser une web radio.
Tout d'abord, il faut savoir qu'elle est composée de plusieurs logiciels ayant des rôles spécifiques :

* Un lecteur audio, ==> MPD
* Un diffuseur de flux, ==> Icecast2
* Une interface. ==> Pitchfork

=== Lecteur audio : MPD (Music Player Daemon) ===
==== Installation ====

Sous Debian :
# apt-get install mpd avahi-daemon

==== Configuration ====
Pour configurer MPD, il faut éditer le fichier de configuration : '''/etc/mpd.conf'''.

'''music_directory''' “chemin du Répertoire où se trouvent les fichiers audio”
'''playlist_directory''' “chemin du Répertoire où se trouvent les playlists”
'''db_file''' “chemin du Répertoire où se la Base de données MPD"
'''log_file''' “chemin du fichier log”
'''error_file''' “chemin du fichier log d'erreur”
'''pid_file''' “chemin du fichier pid”

'''password "XXXX@read,add,control,admin"'''

''audio_output {''
'''type''' “shout” # Type de flux
'''name''' “Teteve Radio” # Nom de la Web radio
'''host''' “localhost” # Nom d'hôte ou ip
'''port''' “8000″ # Port
'''mount''' “/mpd.ogg” # Point de montage pour Icecast
'''password''' “mot de passe qu'on réutilisera dans Icecast” # Password
'''quality''' “5″ # Qualité du flux
'''user''' “mpd” # Utilisateur système
'''description''' “Radio de teteve.fr” # Commentaires, description
'''genre''' “éclectique” # Genre de musique
''}''

''audio_output { '' # Sortie audio bidon pour éviter
'''type''' "ao" # le message d'erreur : problem opening audio device
'''driver''' "null"
''' name''' "Dummy output"
''}''

'''log_level''' "verbose" # log explicites

=== Diffuseur de flux : Icecast ===
==== Installation ====

Sous Debian :
# apt-get install icecast2 php5 php-pear

==== Configuration ====
Pour configurer Icecast2, il faut éditer le fichier '''/etc/icecast2/icecast.xml.'''

<icecast>
<limits>
<clients>'''10'''</clients> <-- ici, le nombre d'auditeurs simultanés autorisés

... plus bas, ligne 23, reportez le mot de passe de /etc/mpd.conf:

<authentication>

<source-password>'''XXXXXXX'''</source-password>
Puis modifiez les paramètres par défaut d'authentification:

<relay-password>'''YYYYYYYYYY'''</relay-password>
L'Admin se connecte avec le nom d'utilisateur ci-dessous:
<admin-user>'''admin'''</admin-user>
<admin-password>'''ZZZZZZZZ'''</admin-password>
</authentication>

Pour pouvoir lister les dossiers :
<directory> #listage des dossiers
<yp-url-timeout>15</yp-url-timeout>
<yp-url>http://dir.xiph.org/cgi-bin/yp-cgi</yp-url>
</directory>

ligne 49, votre hôte (doit correspondre à ce que vous avez rentré au paramètre "host" du fichier de configuration de MPD)

<hostname>'''localhost'''</hostname>

Le port utilisé par Icecast, vous pouvez laisser 8000
'''<listen-socket>'''
'''<port> '''8000''' </port>'''
'''</listen-socket>'''
'''<listen-socket>'''
'''<port> '''8001''' </port>'''
'''</listen-socket>'''

Le reste de la configuration d'Icecast :

'''<master-server> '''127.0.0.1''' </master-server>'''
'''<master-server-port> '''8000''' </master-server-port>'''
'''<master-update-interval> '''120''' </master-update-interval>'''
'''<master-password> '''XXXXX''' </master-password>'''
'''<fileserve> '''1''' </fileserve>'''
'''<shoutcast-mount> '''/mpd.ogg''' </shoutcast-mount>''' # Point de montage du flux
'''<paths>'''
'''<basedir> '''/usr/share/icecast2''' </basedir>''' # utilisé que lorsque chroot est activé
'''<logdir> '''/var/log/icecast2''' </logdir>''' #dossier des logs
'''<webroot> '''/usr/share/icecast2/web''' </webroot>''' #dossier interface
'''<adminroot> '''/usr/share/icecast2/admin''' </adminroot>''' #dossier interface administration
<alias source="/" dest="/status.xsl"/> #redirige vers la page de status
'''</paths>'''
'''<security>'''
'''<chroot>'''0'''</chroot>'''
'''</security>'''
''' </icecast>'''

Pour que Icecast2 tourne en tâche de fond, éditer également: '''/etc/default/icecast2''' et modifier la fin du fichier pour obtenir:

'''ENABLE=true'''

Relance Icecast2 et MPD pour tenir compte des modifications:

#/etc/init.d/mpd restart

#/etc/init.d/icecast2 stop

#/etc/init.d/icecast2 start

Et créer la base de données de MPD:

#mpd --create-db

==== Utilisation ====
Vous accéderez a l'interface d'Icecast à une adresse du type: '''http://teteve.fr:8000'''

=== Interface Web Cliente : Pitchfork ===
==== Installation ====

Pour commencer, télécharger Pitchfork à l'adresse suivante :
[http://pitchfork.remiss.org/files/pitchfork-0.5.5.tar.bz2]

Ensuite :
* Décompresser l'archive à l'endroit de votre choix.
* Mettre l'utilisateur Apache (www-data) propiétaire du dossier '''"config"''' de Pitchfork

==== Configuration ====

Copier le fichier Pitchfork.conf dans le dossier de configuration du serveur web '''/etc/httpd/conf.d/'''

Dans le Pitchfork.conf :

Alias /teteveradio /home/teteve/www/teteveradio # radio accessible via teteve.fr/teteveradio
'''<Directory /home/teteve/www/teteveradio>'''
'''DirectoryIndex''' index.php
'''Options''' -Indexes
'''AllowOverride''' all
'''AddType application/x-httpd-php''' .php
'''php_flag magic_quotes_gpc''' off
'''php_flag magic_quotes_runtime''' off
'''php_flag display_errors''' on
'''php_flag log_errors''' on
''# switch comment marks on the two items to disable access logging
# completely for pitchfork. See INSTALL''
'''SetEnvIf''' Request_URI "player/command\.php" pitchforknolog
''#SetEnv pitchforknolog''
'''</Directory>'''

Lancer ensuite la page de config de Pitchfork : [http://teteve.fr/teteveradio/player/config.php]

Réglages de connexion :
Hôte : '''localhost'''
Port : '''6600'''
Mot de Passe : '''mot de passe MPD

Intégration du shoutcast :
http://'''<nom de domaine>''':'''<port icecast>'''/<'''point de montage du shout>'''

Ce qui donne pour notre exemple :
http://teteve.fr:8000/mpd.ogg

Vous pouvez également entrer cette URL dans un lecteur audio comme VLC pour écouter votre flux :
* Fichier/Ouvrir un flux réseau
* Sélectionner HTTP/HTTPS/FTP/MMS
* Entrer l'URL dans le champ à droite

==== Utilisation ====
Pour utiliser Pitchfork, il suffit ensuite de lancer l'URL configurée dans Pitchfork.conf :
[http://teteve.fr/teteveradio/]

[[Catégorie:Informatique]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Système]]
[[Catégorie:Debian]]
[[Catégorie:Procédures]]

PHPMyAdmin

2017-06-13T08:24:36Z

Teteve : Page créée avec « == PhpMyAdmin == L'installation de PhpMyAdmin se fait dans la foulée après celle de Mysql et Php : # apt-get install phpmyadmin Editer le fichier de configuration... »

Tips securite

2017-06-09T12:20:11Z

Teteve : Page créée avec « https://www.guillaume-leduc.fr/pki-installez-votre-autorite-de-certification-sur-votre-debian-2.html »

https://www.guillaume-leduc.fr/pki-installez-votre-autorite-de-certification-sur-votre-debian-2.html

VSFTPD

2017-03-24T09:47:03Z

Teteve :

==Prérequis==

On va installer un serveur FTP, grâce à vsftpd (Very Secure FTP Daemon). 
Les utilisateurs de ce FTP sont les webmasters des différents sites hébergés sur le serveur. 
Les utilisateurs n'auront pas de compte système sur la machine. Il faudra donc créer une base d'utilisateurs dits "virtuels". 
Chaque utilisateur sera également "chrooté" dans son répertoire. Chaque utilisateur pourra lire et écrire dans son répertoire.

==Installation==

Installation du paquet :
# apt-get install vsftpd

Si le répertoire /etc/vsftpd n'existe pas, le créer :
# mkdir /etc/vsftpd

Renommer les fichiers de configuration d'origine pour sauvegarde :
# cp /etc/vsftpd.conf /etc/vsftpd.conf.default.bak
# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.default.bak

Installation du paquet pour gérer la base de données login/mot de passe : libdb4-util
# apt-get install libdb8.3
# apt-get install db5.3-util db-util

Remplir le fichiers des utilisateurs :
# vim /etc/vsftpd/login.txt
'''Important''' : respecter la syntaxe ! 
(retour à la ligne entre les deux et sans commentaires)
utilisateur1
mot de passe1
utilisateur2
mot de passe2

Créer la base de données proprement dite :
# db_load -T -t hash -f login.txt /etc/vsftpd/login.db
# chmod 600 /etc/vsftpd/login.db

# vim /etc/pam.d/vsftpd.pam
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/login

# cp /etc/pam.d/vsftpd.pam /etc/pam.d/vsftpd

Le serveur FTP, géré par vsftpd, n'utilise pas les comptes système pour s'authentifier
(d'où l'utilité de la base de données des utilisateurs => utilisateurs virtuels) 
Il faut donc créer l'utilisateur système utilisé par le démon :
# mkdir -p /home/ftp/virtual
# groupadd ftp
# useradd -g ftp -d /home/ftp/virtual/ virtual
Vérifier dans les fichiers /etc/passwd et /etc/group
# chown root.ftp ~virtual/
# chmod 2750 ~virtual/

==Configuration VSFTPD==

# vim /etc/vsftpd.conf

''# Ceci configure vsFTPd en mode "standalone"''
'''listen=YES'''

''# On désactive les connexions anonymes et on active les non-anonymes(c'est le cas des utilisateurs virtuels):''
'''anonymous_enable=NO'''
'''local_enable=YES'''

''# On interdit par défaut toute possibilité d'écrire ou lire.''
''# Ces droits seront gérés par utilisateurs, dans les fichiers de conf de chaque user''
'''anon_mkdir_write_enable=NO'''
'''anon_other_write_enable=NO'''
'''anon_upload_enable=NO'''
'''write_enable=NO'''

''# guest_enable pour activer l'utilisateur virtuel''
'''guest_enable=YES
'''guest_username=virtual'''

''# On veut que les utilisateurs virtuels restent dans ~virtual/''
'''chroot_local_user=YES'''

''# On définit le nombre maximum de sessions à 4 (les nouveaux clients recevront un message du genre: "erreur : serveur occupé")''
'''max_clients=10'''

''# On définit le nombre maximum de sessions par IP à 4''
'''# max_per_ip=4'''

''# Configuration emplacement fichiers utilisateurs, jail chroot, et service pam''
'''secure_chroot_dir=/var/run/vsftpd'''
'''pam_service_name=vsftpd'''
'''user_config_dir=/etc/vsftpd/vsftpd_user_conf'''

''#################### Supplément Teteve #############################''

'''ftpd_banner=Bienvenue sur le serveur FTP de teteve.fr'''

''# On active les logs pour les uploads/downloads''
'''xferlog_enable=YES'''
'''xferlog_file=/var/log/vsftpd-dl.log'''

''# Connexion et ports pour le mode passif''
'''connect_from_port_20=YES'''
'''pasv_address=87.98.141.85'''
'''pasv_min_port=20000'''
'''pasv_max_port=20100'''

''# temps d'inactivité''
'''idle_session_timeout=600'''
'''data_connection_timeout=120'''

''################# Droits sur les fichiers uploadés #################''
'''chown_uploads=YES'''
'''chown_username=virtual'''
'''chown_upload_mode=0750'''

#### anon_umask=007
# The value that the umask for file creation is set to for anonymous users.
NOTE! If you want to specify octal values, remember the "0" prefix otherwise the value will be treated as a base 10 integer!
# Default: 077

#### chown_upload_mode=0760
# The file mode to force for chown()ed anonymous uploads. (Added in v2.0.6).
# Default: 0600

#### file_open_mode=0117
# The permissions with which uploaded files are created. Umasks are applied on top of this value.
You may wish to change to 0777 if you want uploaded files to be executable.
# Default: 0666

#### local_umask=022
# The value that the umask for file creation is set to for local users.
NOTE! If you want to specify octal values, remember the "0" prefix otherwise the value will be treated as a base 10 integer!
# Default: 077

==Droits utilisateurs==
# mkdir /etc/vsftpd/vsftpd_user_conf/
Donner les droits en lecture (utilisateur1) et lecture/écriture (utilisateur2) :
# echo "anon_world_readable_only=NO" > /etc/vsftpd/vsftpd_user_conf/utilisateur1

# echo "anon_world_readable_only=NO" > /etc/vsftpd/vsftpd_user_conf/utilisateur2
# echo "write_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/utilisateur2
# echo "anon_upload_enable=YES" >> /etc/vsftpd/vsftpd_user_conf/utilisateur2

si besoin, rajouter deux lignes sur les ports ftp et modifier le firewall en conséquence

=== Pour séparer le répertoire d'upload ===
Créer le répertoire utiliser pour les uploads :
# mkdir ~virtual/upload/
# chmod 770 ~virtual/upload/

Commandes pour séparer les répertoires d'upload de chaque utilisateur
# cd ~virtual/
# mkdir -p {utilisateur1/,utilisateur2/}/upload
# chmod 2750 {utilisateur1/,utilisateur2/}
# chmod 770 {utilisateur1/,utilisateur2/}/upload/
# echo "local_root=utilisateur1" >> /etc/vsftpd/vsftpd_user_conf/utilisateur1
# echo "local_root=utilisateur2" >> /etc/vsftpd/vsftpd_user_conf/utilisateur2

On relance le serveur FTP pour prendre en compte tous ces paramètres :
# /etc/init.d/vsftpd stop
# /etc/init.d/vsftpd start

== SSL ==
===Préparation pour le SSL===
Installer le paquet openssl
# apt-get install openssl

Créer le fichier certificat
# openssl req -x509 -nodes -days 730 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem
Plusieurs questions seront posées afin de créer le certificat. La plus critique est celle-ci :
Common Name (eg, YOUR name) []: <renseigner le nom ou l'ip que les clients utiliseront>
Une fois ce fichier certificat généré, il faut le copier dans le dossier /etc/ssl/certs.
# cp vsftpd.pem /etc/ssl/certs
Il faut ensuite le sécuriser :
sudo chown root:root /etc/ssl/certs/vsftpd.pem
sudo chmod 600 /etc/ssl/certs/vsftpd.pem
Note : vsftp s'exécute avec les droits de l'utilisateur nobody mais il se lance en tant que root et donc lit le certificat en tant que root.

''################## SSL : connexions cryptées ######################''
'''ssl_enable=YES'''
'''allow_anon_ssl=NO'''
'''force_local_data_ssl=NO'''
'''force_local_logins_ssl=YES'''
'''ssl_tlsv1=YES'''
'''ssl_sslv2=YES'''
'''ssl_sslv3=YES'''
'''rsa_cert_file=/etc/ssl/certs/vsftpd.pem'''
'''rsa_private_key_file=/etc/ssl/certs/vsftpd.pem'''

[[Catégorie:Informatique]]
[[Catégorie:Debian]]
[[Catégorie:Proxmox]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Procédures]]

QOS

2017-03-24T09:46:42Z

Teteve : Page créée avec « == Commandes utiles == '''nmap''' : port scanner Options utiles : - - - '''tcpdump''' : sniffeur de trames réseau Permet de capt... »

== Commandes utiles ==

'''nmap''' : port scanner 
Options utiles : 
- 
- 
- 

'''tcpdump''' : sniffeur de trames réseau 
Permet de capturer tous les paquets passant par une carte réseau. 
Oblige à passer la carte en mode "promiscuous", donc c'est noté dans syslog...

'''Ethereal''' : idem que tcpdump, mais en mode graphique.

'''netstat''' : indique l'état des connexions en cours 
Options : 
-t : Indique les connexions TCP. 
-u : Indique les connexions UDP. 
-a : Affiche toutes ("all") les connexions, y comprit c elle des serveurs en attente de connexion.
-e : Affiche le nom de l’utilisateur qui a lancé le programme qui utilise ce port. 
-p : Seul le root peut utiliser cette option. Elle indique quel est le PID (Process Identifiant) et le nom du programme utilisant le port. 
Moyen mnémotechnique : netstat -taupe

'''LSOF''' : "LiSt Open Files" 
Options : 
-i : Restreint la recherche aux seuls "fichiers" de connexion IP. 
-P : Converti le numéro de port (exemple : 80) en son nom équivalent ( exemple : http).

'''fuser''' : se base sur les fichiers ouverts pour déterminer les connexions IP ouvertes. 
Options : 
-v [type de ports] : Affiche les ports ouverts du type [type de ports]. Exemple : "80/tcp" pour les port TCP 80. 

'''ping''' : sans commentaires

'''traceroute''' : idem

[[Catégorie:Informatique]]
[[Catégorie:Debian]]
[[Catégorie:Proxmox]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Réseau]]
[[Catégorie:Commandes]]

Logs

2017-03-24T09:46:17Z

Teteve : Page créée avec « Tips : Suppression des messages d'authentification de cron dans /var/log/auth.log : Nov 19 20:10:01 srv CRON[7373]: pam_unix(cron:session): session opened for user root... »

Tips :

Suppression des messages d'authentification de cron dans /var/log/auth.log :
Nov 19 20:10:01 srv CRON[7373]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 19 20:10:01 srv CRON[7373]: pam_unix(cron:session): session closed for user root

Editer le fichier de conf de syslog :
# vim /etc/syslog.conf

auth,authpriv.*,'''cron.none''' /var/log/auth.log

J'ai hésité à installer Rsyslog, qui permet d'exporter ses logs via le réseau. Je me contente pour l'instant de gérer la rotation des logs avec logrotate, et leur exploitation avec fail2ban et awstats. 
Il faudra également rajouter les logs des sauvegardes dans le logrotate, et dans awstats... :)

# vim /etc/logrotate.d/apache2

/var/log/apache2/*.log { # Le fichier de log en question...
weekly # La rotation s'effectue toutes les semaines
missingok # L'absence de fichier de log n'est pas anormale...
rotate 52 # On garde 52 fichiers. Vu qu'on change de fichier toutes les semaines, on a 1 an de logs
compress # On compresse tous les fichiers secondaires (= tous les fichiers sauf celui en cours)
delaycompress # Avec l'option compress, on décale l'archivage d'un cran (pour garder 2 fichiers non-archivés)
notifempty # ne pas permuter le journal lorsqu'il est vide
create 640 root adm # chmod et chown des fichiers de logs créés
sharedscripts # Permet d'exécuter une seule fois le script par rotation (???)
postrotate # Ces commandes (une par ligne) sont exécutées avant la rotation du fichier de log.
if [ -f "`. /etc/apache2/envvars ; echo ${APACHE_PID_FILE:-/var/run/apache2.pid}`" ]; then
/etc/init.d/apache2 reload > /dev/null
fi
endscript # fin des commandes
}

[[Catégorie:Informatique]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Système]]
[[Catégorie:Debian]]

Webradio

2017-03-24T09:45:08Z

Teteve :

Wordpress

2017-03-24T09:43:12Z

Teteve :

== Blog avec WordPress==

Grâce à l'interface web de phpmyadmin, créer une base de données. 
Nous appelons cette base de données : db_blog 
Créer un utilisateur dans Mysql pour accéder à la base de données du blog : user_blog 
Mettre un mot de passe aléatoire complexe (nous n'aurons pas à nous en souvenir)
mettre les autorisations pour user_blog sur db_blog 

installer Wordpress :
cd /var/home/www/
wget http://fr.wordpress.org/latest-fr_FR.zip
unzip latest-fr_FR.zip ./
aller sur l'adresse du site, et suivre la configuration automatique, en renseignant les nom de la base/login/mot de passe/localhost

=== Sécurité ===

modifier dans wp-content.php les lignes :

define('AUTH_KEY', 'put your secret key');
define('SECURE_AUTH_KEY', 'put your secret key');
define('LOGGED_IN_KEY', 'put your secret key');
define('NONCE_KEY', 'put your secret key');

Générer des clés (dans le "moins meilleur des cas", aller sur le site [https://api.wordpress.org/secret-key/1.1 Générateur de clés] )

Installer le pluggin TAC, qui permet de tester la qualité des thèmes installés, et surtout ne pas télécharger des thèmes n'importe où !!! :)

lien externe : 
http://digwp.com/2009/06/wordpress-configuration-tricks/

=== Mise à jour ===

Je suis obligé de faire des mises à jour manuelles de Wordpress. Je fais donc ici un petit récapitulatif des actions à effectuer :

wget http://fr.wordpress.org/latest-fr_FR.zip
unzip latest-fr_FR.zip
sauvegarder le site
cp -r blog/* /home/temp/
cp -r worpress/* blog/
Lancer le site, on arrive sur une page d'installation. S'aider de la sauvegarde /home/temp/wp-config.php pour renseigner les champs. 
A la demande, fermer le site, et recopier les thèmes et uploads :
cp -r /home/temp/wp-content/themes/* blog/wp-content/themes/
relancer le site et se connecter...

[[Catégorie:Informatique]]
[[Catégorie:Système]]
[[Catégorie:Debian]]
[[Catégorie:Procédures]]

Bash

2017-03-24T09:39:18Z

Teteve : Page créée avec « = Les redirections = Lorsque vous exécutez une commande ou un programme, ceux-ci affichent des informations sur votre console. L'application peut afficher des messages d... »

= Les redirections =

Lorsque vous exécutez une commande ou un programme, ceux-ci affichent des informations sur votre console. L'application peut afficher des messages de type "standard" ou des messages de type "erreur". Chaque type de message est associé à un canal. Le premier est appelé STDOUT, le second STDERR.

== Le simple supérieur ==

ps -ax > /tmp/out
renvoie le canal STDOUT vers le fichier out. 
ps -ax > /tmp/out 2> /tmp/err
renvoie le canal STDOUT (canal 1, par défaut) vers le fichier out, et le canal 2 vers le fichier err. 
ps -ax > /tmp/out 2>&1
renvoie le canal STDOUT vers le fichier out, et le canal 2 vers le canal 1 (donc dans le fichier out). 
ps -ax > /dev/null
ignore la sortie STDOUT (pour tout ignorer : ''ps -ax > /dev/null 2>&1'').

== Le double supérieur ==

Le double supérieur, contrairement au simple, n'efface pas le contenu du fichier avant d'écrire dedans (cas typique : fichiers de logs).

== le pipe ==

ps -ax | grep syslog
affiche STDERR et grep STDOUT 
ps -ax 2>&1 | grep syslog
grep STDOUT et STDERR

= Le code d'erreur =

echo $?
renvoie le résultat de la dernière commande effectuée : 0 = pas d'erreur, 1 = erreur

= Le double pipe =

Le double pipe signifie "s'il y a des erreurs, alors..." 
ps -ax | grep syslog || echo "raté"
affichage de "raté" si le code de sortie de la commande précédente (grep) est différent de 0. 
[ -x /usr/sbin/postfix ] || exit 0
si le fichier /usr/sbin/postfix est exécutable, on continue, sinon on quitte avec le code de sortie 0.

= Le double & =

le double & est le complément du ||. Il signifie "s'il n'y a pas eu d'erreur, alors..." Il peut bien évidemment s'utiliser simultanément avec le double pipe. 
[ -x /usr/sbin/postfix ] && echo "fichier exécutable" || echo "fichier non-exécutable"

= Syntaxe particulière =

[ -f /tmp/toto ] && echo "/tmp/toto existe" || : 
Le ":" signifie que le code de retour doit être 0. Utile pour effectuer une action lorsqu'un test est vrai, mais en passant outre l'erreur si elle survient.

= Le point virgule =

Il permet de définir la fin d'une commande et le début d'une suivante. Les commandes ainsi séparées seront exécutées séquentiellement : 
echo "1"; sleep 5; echo "2" 
On affiche "1", puis on attend 5 secondes, et on affiche "2". 

= Le simple & =

Il permet de séparer les commandes, mais celles-ci seront exécutées simultanément : 
echo "a" & sleep 5 & echo "b" 
a 
[1] 30553 
[2] 30554 
b

Dans ce cas, l'affichage de "a" et "b" sera quasi simultané. La commande sleep reste en tache de fond. Chaque processus se voit attribuer un numéro de travail. C'est ce que l'on observe dans l'affichage ''[2] 30554''. 
La commande jobs permet de connaître la liste des travaux en cours. 
La commande fg (foreground) suivie du numéro de travail permet de le repasser au premier plan. 
Pour repasser un processus en tâche de fond, il suffit de taper [Ctrl] + [Z] pour suspendre la tâche en cours, puis d'utiliser la commande bg (background) pour la mettre en tâche de fond.

= Echappement des caractères spéciaux =

Les caractères comme & - ! @ / \ ; : ^ sont souvent utilisés comme paramètres ou arguments de commande. Pour les utiliser comme caractères "normaux", il faut le spécifier grâce au caractère d'échappement "\" 
ps -ax | grep ' \-\-nosid ' 
De même, pour échapper le caractère "\", on utilise un double \\ 
ps -ax | grep ' \\ '

[[Catégorie:Informatique]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Système]]
[[Catégorie:Debian]]
[[Catégorie:Commandes]]

Apache

2017-03-24T09:37:39Z

Teteve :

== Pré requis (installation) ==

Rien de bien compliqué pour l'installation :

# apt-get install apache2

== Configuration ==

=== Les fichiers de conf ===

J'indique ici quelques lignes particulière du fichier de conf d'apache sur lesquelles je me suis penché... 
Le fichier envvars : 
export APACHE_RUN_USER=virtual
export APACHE_RUN_GROUP=www-data
-> Modifié pour que l'utilisateur FTP et l'utilisateur d'Apache soit le même. Permet les mises à jour automatiques de Wordpress sans utiliser de login/mdp FTP 
-> Vérifier si besoin / si c'est mieux de remettre www-data...

# vim /etc/apache2/apache2.conf

# Indique si Apache doit essayer de faire une résolution DNS inversée sur les IP des clients
HostnameLookups Off

ServerRoot "/etc/apache2"
DirectoryIndex index.php index.html # Indique quel type de fichier index doit sélectionner apache par défaut

# Config perso des pages d'erreur
# Peut être défini plus précisément plus loin dans ce fichier
ErrorDocument 404 /404.html

# Les logs d'erreur sont peu configurables, à part leur emplacement et le niveau :
ErrorLog ${APACHE_LOG_DIR}/error.log
# Valeurs possibles pour les niveaux de log : debug, info, notice, warn, error, crit, alert, emerg.
LogLevel warn

# Modèle de sécurité par défaut des répertoires utilisés par Apache
# À analyser plus finement...
<Directory />
Options FollowSymLinks
AllowOverride None
Require all denied
</Directory>

<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>

<Directory /home/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>

#<Directory /srv/>
# Options Indexes FollowSymLinks
# AllowOverride None
# Require all granted
#</Directory>

# Configuration des logs :
'''# EN COURS D'APPROFONDISSEMENT...'''

VOIR LA PARTIE "LOGS" (faire une ancre)

=== Les vhosts ===

D'après la documentation d'Apache, voici la configuration préconisée :
Cette configuration est "hors vhosts". Elle adresse donc le "serveur principal", ou "serveur par défaut".
Je mets ici une redirection vers la page 404 : si on n'est pas dans un vhost prévu, on a rien à faire là... :)

Il est possible d'utiliser des noms d'hôtes dans la définition d'un serveur virtuel, mais ils seront résolus en adresses IP au démarrage du serveur.
Si une résolution de nom échoue, cette définition de serveur virtuel sera ignorée.
Cette méthode est par conséquent déconseillée.

# Serveur "principal", qui répondra pour les vhosts non déclarés :
# interrogation d'Apache par l'IP par exemple, ou nom de domaine pointant vers le VPS sans qu'il soit déclaré dans Apache
ServerName 178.32.102.151
DocumentRoot /home/www/teteve/vps2

# La directive NameVirtualHost doit de préférence contenir une adresse IP et/ou un port (Joker * accepté)
# C'est le couple IP/Port utilisé par Apache (doit être défini dans la directive "Listen"), pour lequel Apache doit filtrer les noms d'hôtes
NameVirtualHost 178.32.102.151

<VirtualHost 178.32.102.151>
DocumentRoot /www/example.com
ServerName www.example.com

# D'autres directives ici ...

</VirtualHost>

<VirtualHost 178.32.102.151>
DocumentRoot /www/example.org
ServerName www.example.org

# D'autres directives ici ...

</VirtualHost>

Voici un fichier de conf d'un Vhost :

'''<VirtualHost www.toto.fr>''' # Nom du virtualhost (défini normalement dans la directive "NameVirtualHost")
'''ServerAdmin webmaster@localhost''' # Mail du webmaster (pas trop compliqué à comprendre... :p)
'''ServerName www.toto.fr''' # Nom du serveur
'''ServerAlias www2.toto.fr''' # Un éventuel alias
'''DocumentRoot /home/www/toto'''
'''<Directory />'''
'''Options FollowSymLinks''' # Autorise à suivre les liens symboliques
'''AllowOverride None'''
'''</Directory>'''
'''<Directory /home/www/toto/>'''
# Indexes : Ne liste pas les fichiers d'un répertoire s'il n'y a pas de fichier index.*
'''Options Indexes FollowSymLinks MultiViews'''
'''AllowOverride None'''
'''Order allow,deny'''
'''allow from all'''
# This directive allows us to have apache2's default start page
# in /apache2-default/, but still have / go to the right place
# RedirectMatch ^/$ www.toto.fr
'''</Directory>'''
'''<Directory /home/www/secure/>'''
# Config du répertoire sécurisé (voir ci-dessous)
'''</Directory>'''
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ # Pour la config des scripts CGI
<Directory "/usr/lib/cgi-bin">
# A approfondir
</Directory>
ErrorLog /var/log/apache2/error.log
# Si besoin de logs particuliers pour le vhost :
# Valeurs possibles : debug, info, notice, warn, error, crit, alert, emerg.
# Non utilisées actuellement
#LogLevel warn
#CustomLog /var/log/apache2/access.log combined
'''</VirtualHost>'''
Ne pas oublier de rajouter le nom du vhost dans /etc/hosts

Petite astuce pour désactiver l'accès à votre serveur par son IP publique : 
Dans le fichier de conf du vhost "default", rajouter ceci à la fin. Ça peut être utile pour éviter les scans de port et les bots. Totalement inutile si le DNS est public... 
A éviter pour un site web souhaitant être référencé !!! :)
<VirtualHost *:80>
ServerName VOTRE.IP.PUB.LIQUE
<Directory />
Deny from all
</Directory>
</VirtualHost>

Liens pour approfondir les vhosts :
http://httpd.apache.org/docs/2.4/fr/vhosts/details.html
http://httpd.apache.org/docs/2.4/fr/vhosts/examples.html

== Les logs ==

'''# EN COURS D'APPROFONDISSEMENT...'''

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

Devient :

LogFormat "%v:%p %a %h %l %u %t \"%r\" %>s %T \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
# Define an access log for VirtualHosts that don't define their own logfile
CustomLog /var/log/apache2/other_vhosts_access.log vhost_combined

=== LogFormat ===
Directives présentes dans le fichier /etc/apache2/apache.conf d'après [http://doc.ubuntu-fr.org/apache2 La documentation Ubuntu]
# format des lignes contenues dans les logs
# %a Adresse ip distante.
# %A Adresse ip local.
# %B Taille de la réponse en octets, excluant l'entête HTTP.
# %b Taille de la réponse en octets, excluant l'entête HTTP au format CLF.
# %{Foobar}C Contenu du cookie "Foobar" de la requête envoyée au serveur.
# %D Le temps mis à servir la requête .
# %{FOOBAR}e Contenue de la variable d'environnement "FOOBAR".
# %f Nom du fichier.
# %h Hôte distant.
# %H Le protocole demandé.
# %{Foobar}i Le contenu de "Foobar": Ligne(s) d'en-tête de la requête envoyée au serveur.
# %l nom du fichier de log distant (de identd, si il est fournit). Cela retournera un tiret tant que //mod_ident// n'est pas présent et //IdentityCheck// n'est pas mis à ON.
# %m Méthode de la requête.
# %{Foobar}n Contenu de la note "Foobar" provenant d'un autre module.
# %{Foobar}o Le contenu de "Foobar": Ligne(s) d'entête dans la réponse.
# %p Port canonique du serveur qui sert la réponse.
# %P Id du processus fils qui a servi la requête.
# %{format}P Id du processus ou du thread fils qui a servi la requête.
# Les formats valides sont pid, tid, et hextid.
# hextid nécessite APR 1.2.0 ou supérieur.
# %q Chaînes de la requête (Commençant avec un ? si une chaine de requête existe, sinon une chaîne vide)
# %r Première ligne de la requête.
# %s Statut. Pour les requête redirigées en interne, ceci est la requête originale --- %>s pour la dernière.
# %t Heure à laquelle la requête a été reçue (format standard anglais mois jour année )
# %{format}t L'heure, au format précisé, qui doit être dans les formats de strftime(3). (potentiellement localisé).
# %T Le temps mis pour répondre à la requête.
# %u Utilisateur distant (de l'authentification; peut être faux si le code de retour de statut (%s) est 401)
# %U Url demandée, n'inclue aucune chaîne de requête.
# %v Nom canonique de ServerName du serveur qui répond à la requête.
# %V Nom du serveur en fonction du paramètre UseCanonicalName.
# %X Statut de la connexion une fois la réponse envoyée.
# X = connexion annulée avant la réponse complète.
# + = la connexion peut être maintenue après l'envoi de la réponse.
# - = la connexion sera fermée après l'envoi de la réponse.
# %I Octets reçus, incluant l'entête et la requête, ne peut être nul. Vous devez activer //mod_logio// pour l'utiliser.
# %O Octets envoyés, incluant l'entête, ne peut être nul. Vous devez activer //mod_logio// pour l'utiliser.

LogFormat "%h %l %h %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

Celles que j'ai dans le mien :
LogFormat "%v %a %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
#LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
#LogFormat "%h %l %u %t \"%r\" %>s %b" common
#LogFormat "%{Referer}i -> %U" referer
#LogFormat "%{User-agent}i" agent
#
# Define an access log for VirtualHosts that don't define their own logfile
CustomLog /var/log/apache2/other_vhosts_access.log vhost_combined

'''Explications :'''
LogFormat "%v %a %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
%v - Nom canonique de ServerName du serveur qui répond à la requête.
%a - Adresse ip distante.
%u - Utilisateur distant (de l'authentification; peut être faux si le code de retour de statut (%s) est 401)
%t - Heure à laquelle la requête a été reçue (format standard anglais mois jour année )
"%r" - Première ligne de la requête.
%>s - Statut. Pour les requête redirigées en interne, ceci est la requête originale --- %>s pour la dernière.
%b - Taille de la réponse en octets, excluant l'entête HTTP au format CLF. (obligatoire pour [[Awstats]])
%{Referer}i - Le contenu de "Referer": Ligne(s) d'en-tête de la requête envoyée au serveur.
%{User-Agent}i - Le contenu de "User-Agent": Ligne(s) d'en-tête de la requête envoyée au serveur.

== Quelques tips sur Apache2 ==

=== Les commandes apache2 ===
root@test ~ # apache2 -h
Usage: apache2 [-D name] [-d directory] [-f file]
[-C "directive"] [-c "directive"]
[-k start|restart|graceful|graceful-stop|stop]
[-v] [-V] [-h] [-l] [-L] [-t] [-S] [-X]
Options:
-D name : define a name for use in <IfDefine name> directives
-d directory : Spécifie un répertoire racine specify an alternate initial ServerRoot
-f file : specify an alternate ServerConfigFile
-C "directive" : process directive before reading config files
-c "directive" : process directive after reading config files
-e level : show startup errors of level (see LogLevel)
-E file : log startup errors to file
-v : show version number
-V : show compile settings
-h : list available command line options (this page)
-l : list compiled in modules
-L : list available configuration directives
-t -D DUMP_VHOSTS : show parsed settings (currently only vhost settings)
-S : a synonym for -t -D DUMP_VHOSTS
-t -D DUMP_MODULES : show all loaded modules
-M : a synonym for -t -D DUMP_MODULES
-t : run syntax check for config files
-X : debug mode (only one worker, do not detach)

=== restreindre l'accès à un répertoire ===

Sous Apache, il existe 2 types d'authentification possible :
* mod_auth_basic
* mod_auth_digest

pour activer le module mod_auth_digest :
a2dismod mod_auth_basic
a2enmod mod_auth_digest
/etc/init.d/apache2 restart
L'authentification Basic envoie le couple login/password en clair sur le réseau.
Elle est donc déconseillée sans être couplée avec SSL.
L'authentification Digest utilise les condensés MD5. Attention : Digest est mal supporté par IE 6 et antérieur, à cause du non-respect des RFC de la part de IE (original... ^^).

Il est possible de mettre les directives d'authentification soit dans le/les fichiers(s) de configuration d'apache (typiquement apache2.conf), soit directement dans les répertoires concernés grace aux fichiers .htaccess.
Il est conseillé, dans la mesure du possible, d'utiliser les directives <Directory> dans apache2.conf pour sécuriser les répertoires. Dans le cas contraire, Apache devra parcourir tous les répertoires à la recherche de fichiers .htaccess, ce qui risque d'amoindrir les performances.

<Directory /home/www/secure/>
AuthType Digest
AuthName "Zone securisee"
AuthDigestDomain /secure/ http://www.teteve.fr/secure/
AuthDigestProvider file
AuthUserFile /etc/apache2/password
Require valid-user
</Directory>

créer le premier couple login/password :
htdigest -c /ou/vous/voulez "Zone securisee" login1
Un prompt vous demande alors de taper le mot de passe, puis de le confirmer. Créer ensuite les couples login/password en enlevant l'option "-c" (pour "create").
service apache2 reload

[[Catégorie:Informatique]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Système]]
[[Catégorie:Debian]]
[[Catégorie:Procédures]]

Awstats

2017-03-24T09:37:07Z

Teteve :

'''En cours de mise en place et d'approfondissement...'''

== Installation ==

# apt-get install awstats

Définir l'alias utilisé par les différents domaines :

# '''vim /etc/apache2/sites-available/stats.conf'''

Alias /awstatsclasses "/usr/share/awstats/classes/"
Alias /awstatscss "/usr/share/awstats/css/"
Alias /awstats-icon "/usr/share/awstats/icon/"

ScriptAlias /stats /usr/lib/cgi-bin/awstats.pl

# mêmes paramètres que dans awstats.*.conf
<Directory /usr/lib/cgi-bin/>
DirectoryIndex awstats.pl
UseCanonicalName off
AuthType Digest
AuthName "Acces restreint aux stats"
AuthDigestDomain /awstats http://www.teteve.fr/awstats
AuthDigestProvider file
AuthUserFile /etc/apache2/.awstats.pwd
Require valid-user
Options +ExecCGI
AllowOverride None
Order allow,deny
Allow from all
</Directory>

# ''' a2ensite stats.conf
Enabling site stats.
To activate the new configuration, you need to run:
service apache2 reload
# '''service apache2 reload'''

Je n'explique pas le fonctionnement du "AuthDigestDomain" : ça fonctionne pour tous les sites : www.mondomaine.fr/awstats avec le même et unique fichier de conf... 
recopier le fichier de conf par défaut :
# '''cp /etc/awstats/awstats.local.conf /etc/awstats/awstats.www.teteve.fr.conf'''

== Config ==

'''EN COURS...'''

Extrait de mon fichier de config, à rapprocher de la [[Apache#Les_fichiers_de_conf|Conf d'Apache]] et des [[Apache#Les_vhosts|vhosts]]... 

LogFile="/var/log/apache2/log/teteve.log"
LogType=W

J'ai barré les variables ne correspondant pas à un serveur web. A reprendre dans le cas d'un autre type de serveur.
# Enter here your log format (Must match your web server config. See setup
# instructions in documentation to know how to configure your web server to
# have the required log format).
# Possible values: 1,2,3,4 or "your_own_personalized_log_format"
# 1 - Apache or Lotus Notes/Domino native combined log format (NCSA combined/XLF/ELF log format)
# 2 - IIS or ISA format (IIS W3C log format). See FAQ-COM115 For ISA.
# 3 - Webstar native log format.
# 4 - Apache or Squid native common log format (NCSA common/CLF log format)
# With LogFormat=4, some features (browsers, os, keywords...) can't work.
# "your_own_personalized_log_format" = If your log is ftp, mail or other format,
# you must use following keys to define the log format string (See FAQ for
# ftp, mail or exotic web log format examples):
# %host Client hostname or IP address (or Sender host for mail log)
<s># %host_r Receiver hostname or IP address (for mail log)</s>
# %lognamequot Authenticated login/user with format: "john"
# %logname Authenticated login/user with format: john
# %time1 Date and time with format: [dd/mon/yyyy:hh:mm:ss +0000] or [dd/mon/yyyy:hh:mm:ss]
# %time2 Date and time with format: yyyy-mm-dd hh:mm:ss
# %time3 Date and time with format: Mon dd hh:mm:ss or Mon dd hh:mm:ss yyyy
# %time4 Date and time with unix timestamp format: dddddddddd
# %methodurl Method and URL with format: "GET /index.html HTTP/x.x"
# %methodurlnoprot Method and URL with format: "GET /index.html"
# %method Method with format: GET
# %url URL only with format: /index.html
# %query Query string (used by URLWithQuery option)
# %code Return code status (with format for web log: 999)
# %bytesd Size of document in bytes
# %refererquot Referer page with format: "http://from.com/from.htm"
# %referer Referer page with format: http://from.com/from.htm
# %uabracket User agent with format: [Mozilla/4.0 (compatible, ...)]
# %uaquot User agent with format: "Mozilla/4.0 (compatible, ...)"
# %ua User agent with format: Mozilla/4.0_(compatible...)
# %gzipin mod_gzip compression input bytes: In:XXX
# %gzipout mod_gzip compression output bytes & ratio: Out:YYY:ZZpct.
# %gzipratio mod_gzip compression ratio: ZZpct.
# %deflateratio mod_deflate compression ratio with format: (ZZ)
<s># %email EMail sender (for mail log)</s>
<s># %email_r EMail receiver (for mail log)</s>
# %virtualname Web sever virtual hostname. Use this tag when same log
# contains data of several virtual web servers. AWStats
# will discard records not in SiteDomain nor HostAliases
# %cluster If log file is provided from several computers (merged by
# logresolvemerge.pl), use this to define cluster id field.
# %extraX Another field that you plan to use for building a
# personalized report with ExtraSection feature (See later).
# If your log format has some fields not included in this list, use:
# %other Means another not used field
# %otherquot Means another not used double quoted field
#
# Examples for Apache combined logs (following two examples are equivalent):
# LogFormat = 1
# LogFormat = "%host %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"
#
# Example for IIS:
# LogFormat = 2
#
LogFormat = %virtualname %host %logname %time1 %methodurl %code %bytesd %refererquot %uaquot

LogFile="/var/log/apache2/vhosts/teteve.log"
LogType=W
LogFormat = %virtualname %host %logname %time1 %methodurl %code %bytesd %refererquot %uaquot
LogSeparator=" "

J'ai été obligé de rajouter %bytesd sinon awstats refuse d'analyser les logs.
De même, je n'ai pas réussi à faire passer un "virtualname:port"

== Commande ==

Pour lancer l'update manuellement (ou à rajouter dans un cron...)
/usr/lib/cgi-bin/awstats.pl -config=www.teteve.fr

[[Catégorie:Informatique]]
[[Catégorie:Serveur dédié]]
[[Catégorie:Système]]
[[Catégorie:Debian]]
[[Catégorie:Procédures]]

Divers VB

2017-03-24T09:36:50Z

Teteve : Page créée avec « === Formule Excel => Formule VBA === Pour utiliser une formule Excel dans une macro VB, il nous faut son équivalence en VB. Deux façons "simples" se présentent :... »

=== Formule Excel => Formule VBA ===
Pour utiliser une formule Excel dans une macro VB, il nous faut son équivalence en VB. 
Deux façons "simples" se présentent : faire une macro enregistrée, ou mettre ce code :
Sub Trad()
Range("B2") = "'" & Range("A2").Formula
End Sub
Il ne vous reste plus qu'à mettre votre formule dans la cellule "A1" pour voir apparaître son équivalence en "A2"

=== Compteur de doublons ===

Dans un classeur Excel, permet de vérifier dans une liste s'il n'y a pas de doublon...
Sub compte()
Dim lastrow, tab, compteur
lastrow = Range("A1").End(xlDown).Row
Set tab = ThisWorkbook.Sheets(1).Range("A1:A" & lastrow)
For i = 1 To lastrow
compteur = Application.WorksheetFunction.CountIf(tab, Cells(i, 1).Value)
If compteur > 1 Then
Cells(i, 2).Value = compteur & " x " & Cells(i, 1).Value
End If
Next
MsgBox "Script fini"
End Sub

[[Catégorie:Informatique]]
[[Catégorie:Système]]
[[Catégorie:Windows]]

Connexion AD

2017-03-24T09:35:50Z

Teteve : Page créée avec « == Connexions avec login/password en "GetObject" == === Connexion à AD === Sub main() Dim DSO, oDSO, oUser Dim mail, newmail Dim DnName Const ADS_SECUR... »

== Connexions avec login/password en "GetObject" ==

=== Connexion à AD ===

Sub main() 
Dim DSO, oDSO, oUser
Dim mail, newmail
Dim DnName 
Const ADS_SECURE_AUTHENTICATION = &H1
Const ADS_SERVER_BIND = &H200 
DnName = "cn=Utilisateur,ou=Users,dc=domaine,dc=fr"
Set dso = GetObject("LDAP:")
Set oDSO = dso.OpenDSObject("LDAP://" & DnName, "domaine\login", "password", ADS_SECURE_AUTHENTICATION Or ADS_SERVER_BIND)
mail = oUser.EmailAddress
newmail = Replace(mail, "domaine.fr", "vide.fr")
oUser.Put "Mail", newmail
oUser.SetInfo 
End Sub

=== Connexion à ADAM ===

Sub main() 
Dim DSO, objGrp, element, pathperson 
Const ADS_SECURE_AUTHENTICATION = &H1 
pathperson = "LDAP://serveur.domaine.tld:port-eventuel/CN=NomGroupe,CN=OU,O=ORGANISATION"
Set DSO = GetObject("LDAP:")
Set objGrp = DSO.OpenDSObject(pathperson, "domaine.tld\user", "password", ADS_SECURE_AUTHENTICATION)
'MsgBox objUser.Get("diag-profilApplicatif")
For Each element In objGrp.Members
If element.Class = "diag-personne" Then
MsgBox element.uid
End If
Next
Set DSO = Nothing
Set objGrp = Nothing 
End Sub

== Connexions avec login/password et une requête LDAP ==

=== Connexion à AD ===

Sub descri() 
Const ADS_SCOPE_SUBTREE = 2
Dim objConnection, objCommand, objRecordSet, stru, descri 
usr = "Teteve Vinc"
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Properties("User ID") = "CN=Teteve,OU=USERS,OU=INFRA,DC=DOMAINE,DC=tld"
objConnection.Properties("Password") = "MOTDEPASSETOPSECRETDEFENSE"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.CommandText = "SELECT * FROM 'LDAP://domaine.tld/DC=domaine,DC=tld' WHERE Name = '" & usr & "'"
Set objRecordSet = objCommand.Execute
If objRecordSet.RecordCount = 0 Then
MsgBox "Any result"
Else
descri = objRecordSet(0)
End If
MsgBox descri 
End Sub

=== Connexion à ADAM ===

[[Catégorie:Informatique]]
[[Catégorie:Système]]
[[Catégorie:Windows]]

VPS

2017-03-24T09:34:36Z

Teteve :

Suite à l'abandon du serveur dédié sous Proxmox, nous sommes passés à une configuration à 3 VPS.
Le premier s'occupe du DNS, les deux autres sont les serveurs web (prod/homol).

Après l'installation d'une distribution Debian 8 amd64, configuration commune "de base" :

# passwd
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
# vim /etc/apt/sources.list
# Pour les installations, à désactiver pour la mise en place des mises à jour automatiques
deb http://ftp.debian.org/debian/ jessie main contrib non-free
# Mises à jour de sécurité (à exécuter en automatique)
deb http://security.debian.org/ jessie/updates main contrib non-free
# apt-get update && apt-get dist-upgrade
The following packages will be upgraded:
[...]
# apt-get install zsh
# chsh
/bin/zsh
# wget http://formation-debian.via.ecp.fr/fichiers-config.tar.gz && tar xzf fichiers-config.tar.gz && cd fichiers-config && cp z* /etc/zsh/ && cp dir_colors /etc/ && cp vimrc /etc/vim/
# cd .. && rm -rf fichiers-config*
Récupérer grâce à un traceroute la passerelle du VPS
# vim /etc/network/interfaces
auto eth0
iface eth0 inet static
address 137.74.XX.YY
netmask 255.255.255.255
post-up /sbin/ip route add 137.74.VV.1 dev eth0
post-up /sbin/ip route add default via 137.74.VV.1
pre-down /sbin/ip route del default via 137.74.VV.1
pre-down /sbin/ip route del 137.74.VV.1 dev eth0
dns-nameserver 213.186.33.99
dns-nameserver 188.165.37.32
dns-search teteve.fr
iface eth0 inet6 static
address 2001:41d0:302:ZZZ::WWW
netmask 64
gateway 2001:41d0:302:ZZZ::1
# service networking restart
# vim /etc/sysctl.conf:
net.ipv6.conf.eth0.autoconf=0
net.ipv6.conf.eth0.accept_ra=0
# sysctl -p
# vim /etc/ssh/sshd_config
Changement du port si nécessaire
# service ssh restart
# vim /etc/hosts
# vim /etc/hostname
# vim /etc/resolv.conf

***********************************************************************
suggestions de http://docs.ovh.ca/fr/guides-network-ipv6.html :
Ajout de :
post-up /sbin/ip -f inet6 route add 2607:5300:60:47ff:ff:ff:ff:ff dev eth0
post-up /sbin/ip -f inet6 route add default gw 2607:5300:60:47ff:ff:ff:ff:ff
pre-down /sbin/ip -f inet6 route del 2607:5300:60:47ff:ff:ff:ff:ff dev eth0
pre-down /sbin/ip -f inet6 route del default gw 2607:5300:60:47ff:ff:ff:ff:ff
***********************************************************************