« Documentation » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 19 : | Ligne 19 : | ||
- Fail2Ban | - Fail2Ban | ||
Ajouter dans /etc/fail2ban/jail.local: | |||
[sshd] | |||
enabled = true | |||
port = 2222 | |||
filter = sshd | |||
logpath = /var/log/auth.log | |||
maxretry = 5 | |||
bantime = 3600 | |||
Enregistrer avec systemctl restart fail2ban | |||
- IPSet | - IPSet | ||
Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip | |||
Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP | |||
Enregistrer la regle iptables avec netfilter-persistent save | |||
| Ligne 32 : | Ligne 48 : | ||
- Mise en place de LXC | - Mise en place de LXC | ||
apt-get install lxc lxc-templates | |||
lxc-create -n nginx -t debian | |||
lxc-create -n monsite -t debian | |||
Changer l'ip des deux contenaires en 10.0.3.10 et 101 | |||
Installer apache dans monsite, nginx dans nginx | |||
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 | |||
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 | |||
iptables -t nat -A POSTROUTING -j MASQUERADE | |||
- Reverse proxy configurer | - Reverse proxy configurer | ||
server { | |||
listen 80; | |||
server_name *nom du site*; | |||
access_log off; | |||
# Autoriser uniquement GET, HEAD, POST | |||
if ($request_method !~ ^(GET|HEAD|POST)$) { | |||
return 444; | |||
} | |||
location / { | |||
proxy_pass http://10.0.3.101:80/; | |||
proxy_set_header Host $host; | |||
proxy_set_header X-Real-IP $remote_addr; | |||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; | |||
} | |||
} | |||
| Ligne 41 : | Ligne 87 : | ||
<strong>3 - Documentation</strong> | |||
- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth") | |||
Mettre en place une BDD | |||
- | cd /tmp | ||
wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz | |||
tar -xzf mediawiki-1.41.0.tar.gz | |||
rm -rf /var/www/html/* | |||
mv mediawiki-1.41.0/* /var/www/html/ | |||
chown -R www-data:www-data /var/www/html/ | |||
chmod -R 755 /var/www/html/ | |||
- mise en place d'une solution de backups (locale pour commencer) | - mise en place d'une solution de backups (locale pour commencer) | ||
Version du 8 octobre 2025 à 11:34
0 - Mise en place
- VPS:
Aller sur pulseheberg.com et acheter le VPS EDU-2 dans Education Cloud.
- Nom de domaine
Aller sur ovhcloud.com et acheter un domaine, puis l'associer a son IP dans la section
1 - Sécurité
- bonnes pratiques SSH (Root, port, ...)
Désactiver dans /etc/ssh/sshd_config l'acces root et changer le port par défaut.
- Fail2Ban
Ajouter dans /etc/fail2ban/jail.local:
[sshd] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 5 bantime = 3600
Enregistrer avec systemctl restart fail2ban
- IPSet
Creer une liste d'ip à bloquer avec ipset create blacklist hash:ip
Integrer ipset au firewall avec iptables -I INPUT -m set --match-set blacklist src -j DROP
Enregistrer la regle iptables avec netfilter-persistent save
2 - Containerisation
- Mise en place de LXC
apt-get install lxc lxc-templates
lxc-create -n nginx -t debian lxc-create -n monsite -t debian
Changer l'ip des deux contenaires en 10.0.3.10 et 101 Installer apache dans monsite, nginx dans nginx
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.3.10:80 iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.3.10:443 iptables -t nat -A POSTROUTING -j MASQUERADE
- Reverse proxy configurer
server {
listen 80;
server_name *nom du site*;
access_log off;
# Autoriser uniquement GET, HEAD, POST
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 444;
}
location / {
proxy_pass http://10.0.3.101:80/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
3 - Documentation
- Mise a disposition d'une base de connaissance (Mediawiki ou autre) sécurisé ("apache-auth")
Mettre en place une BDD
cd /tmp wget https://releases.wikimedia.org/mediawiki/1.41/mediawiki-1.41.0.tar.gz tar -xzf mediawiki-1.41.0.tar.gz rm -rf /var/www/html/* mv mediawiki-1.41.0/* /var/www/html/ chown -R www-data:www-data /var/www/html/ chmod -R 755 /var/www/html/
- mise en place d'une solution de backups (locale pour commencer)
