Documentation
0 - Mise en place
- VPS:
Aller sur pulseheberg.com et acheter le VPS EDU-2 dans Education Cloud.
- Nom de domaine
Aller sur ovhcloud.com et acheter un domaine, puis l'associer a son IP dans la section
1 - Sécurité
- bonnes pratiques SSH (Root, port, ...)
Désactiver dans /etc/ssh/sshd_config l'acces root et changer le port par défaut.
- Fail2Ban
Ajouter dans /etc/fail2ban/jail.local:
[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600
Enregistrer avec systemctl restart fail2ban
- IPSet
Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip
Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP
Enregistrer la regle iptables avec netfilter-persistent save
2 - Containerisation
- Mise en place de LXC
apt-get install lxc lxc-templates
lxc-create -n nginx -t debian lxc-create -n monsite -t debian
Changer l'ip des deux contenaires en 10.0.3.10 et 101 Installer apache dans monsite, nginx dans nginx
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 iptables -t nat -A POSTROUTING -j MASQUERADE
- Reverse proxy configurer
server {
listen 80;
server_name *nom du site*;
access_log off;
# Autoriser uniquement GET, HEAD, POST
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 444;
}
location / {
proxy_pass http://10.0.3.101:80/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
3 - Documentation
- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth")
Mettre en place une BDD
cd /tmp
wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz
tar -xzf mediawiki-1.41.0.tar.gz
rm -rf /var/www/html/*
mv mediawiki-1.41.0/* /var/www/html/
chown -R www-data:www-data /var/www/html/
chmod -R 755 /var/www/html/
- mise en place d'une solution de backups (locale pour commencer)
