Documentation

De wikisio

0 - Mise en place

- VPS:

Aller sur pulseheberg.com et acheter le VPS EDU-2 dans Education Cloud.

- Nom de domaine

Aller sur ovhcloud.com et acheter un domaine, puis l'associer a son IP dans la section



1 - Sécurité

- bonnes pratiques SSH (Root, port, ...)

Désactiver dans /etc/ssh/sshd_config l'acces root et changer le port par défaut.

- Fail2Ban

Ajouter dans /etc/fail2ban/jail.local:

[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600


Enregistrer avec systemctl restart fail2ban

- IPSet

Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip

Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP

Enregistrer la regle iptables avec netfilter-persistent save



2 - Containerisation

- Mise en place de LXC

apt-get install lxc lxc-templates

lxc-create -n nginx -t debian lxc-create -n monsite -t debian

Changer l'ip des deux contenaires en 10.0.3.10 et 101 Installer apache dans monsite, nginx dans nginx

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 iptables -t nat -A POSTROUTING -j MASQUERADE

- Reverse proxy configurer


server { 

   listen 80;
   server_name *nom du site*;
   
   access_log off; 
   
   # Autoriser uniquement GET, HEAD, POST
   if ($request_method !~ ^(GET|HEAD|POST)$) {
       return 444;
   }
   
   location / {
       proxy_pass http://10.0.3.101:80/;
       proxy_set_header Host $host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   }

}



3 - Documentation

- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth")

Mettre en place une BDD

cd /tmp

wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz

tar -xzf mediawiki-1.41.0.tar.gz

rm -rf /var/www/html/*

mv mediawiki-1.41.0/* /var/www/html/

chown -R www-data:www-data /var/www/html/

chmod -R 755 /var/www/html/


Securiser avec cerificat SSL

- mise en place d'une solution de backups (locale pour commencer)

Récupérée de « http://serveursio.ovh:80/index.php?title=Documentation&oldid=12 »