« Documentation » : différence entre les versions
(Contenu remplacé par « <strong>Bienvenue du mon Wiki.</strong> ») Balise : Contenu remplacé |
Aucun résumé des modifications |
||
| (10 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
<strong> | <strong>0 - Mise en place </strong> | ||
- VPS: | |||
Aller sur pulseheberg.com et acheter le VPS EDU-2 dans Education Cloud. | |||
- Nom de domaine | |||
Aller sur ovhcloud.com et acheter un domaine, puis l'associer a son IP dans la section | |||
<strong>1 - Sécurité</strong> | |||
- bonnes pratiques SSH (Root, port, ...) | |||
Désactiver dans /etc/ssh/sshd_config l'acces root et changer le port par défaut. | |||
- Fail2Ban | |||
Ajouter dans /etc/fail2ban/jail.local: | |||
[sshd] | |||
enabled = true | |||
port = 2222 | |||
filter = sshd | |||
logpath = /var/log/auth.log | |||
maxretry = 5 | |||
bantime = 3600 | |||
Enregistrer avec systemctl restart fail2ban | |||
- IPSet | |||
Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip | |||
Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP | |||
Enregistrer la regle iptables avec netfilter-persistent save | |||
<strong>2 - Containerisation</strong> | |||
- Mise en place de LXC | |||
apt-get install lxc lxc-templates | |||
lxc-create -n nginx -t debian | |||
lxc-create -n monsite -t debian | |||
Changer l'ip des deux contenaires en 10.0.3.10 et 101 | |||
Installer apache dans monsite, nginx dans nginx | |||
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 | |||
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 | |||
iptables -t nat -A POSTROUTING -j MASQUERADE | |||
- Reverse proxy configurer | |||
server { | |||
listen 80; | |||
server_name *nom du site*; | |||
access_log off; | |||
# Autoriser uniquement GET, HEAD, POST | |||
if ($request_method !~ ^(GET|HEAD|POST)$) { | |||
return 444; | |||
} | |||
location / { | |||
proxy_pass http://10.0.3.101:80/; | |||
proxy_set_header Host $host; | |||
proxy_set_header X-Real-IP $remote_addr; | |||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; | |||
} | |||
} | |||
<strong>3 - Documentation</strong> | |||
- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth") | |||
Mettre en place une BDD | |||
cd /tmp | |||
wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz | |||
tar -xzf mediawiki-1.41.0.tar.gz | |||
rm -rf /var/www/html/* | |||
mv mediawiki-1.41.0/* /var/www/html/ | |||
chown -R www-data:www-data /var/www/html/ | |||
chmod -R 755 /var/www/html/ | |||
Securiser avec cerificat SSL | |||
Securiser apache auth dans fail2ban | |||
- mise en place d'une solution de backups (locale pour commencer) | |||
Dernière version du 8 octobre 2025 à 12:20
0 - Mise en place
- VPS:
Aller sur pulseheberg.com et acheter le VPS EDU-2 dans Education Cloud.
- Nom de domaine
Aller sur ovhcloud.com et acheter un domaine, puis l'associer a son IP dans la section
1 - Sécurité
- bonnes pratiques SSH (Root, port, ...)
Désactiver dans /etc/ssh/sshd_config l'acces root et changer le port par défaut.
- Fail2Ban
Ajouter dans /etc/fail2ban/jail.local:
[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600
Enregistrer avec systemctl restart fail2ban
- IPSet
Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip
Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP
Enregistrer la regle iptables avec netfilter-persistent save
2 - Containerisation
- Mise en place de LXC
apt-get install lxc lxc-templates
lxc-create -n nginx -t debian lxc-create -n monsite -t debian
Changer l'ip des deux contenaires en 10.0.3.10 et 101 Installer apache dans monsite, nginx dans nginx
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 iptables -t nat -A POSTROUTING -j MASQUERADE
- Reverse proxy configurer
server {
listen 80;
server_name *nom du site*;
access_log off;
# Autoriser uniquement GET, HEAD, POST
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 444;
}
location / {
proxy_pass http://10.0.3.101:80/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
3 - Documentation
- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth")
Mettre en place une BDD
cd /tmp
wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz
tar -xzf mediawiki-1.41.0.tar.gz
rm -rf /var/www/html/*
mv mediawiki-1.41.0/* /var/www/html/
chown -R www-data:www-data /var/www/html/
chmod -R 755 /var/www/html/
Securiser avec cerificat SSL
Securiser apache auth dans fail2ban
- mise en place d'une solution de backups (locale pour commencer)
