Étendre Perfect Server - Debian Squeeze [ISPConfig 3]

5. multitail

Dans Debian, installez multitail via apt :

apt-get install multitail

Créez le dossier /root/scripts (si vous ne l’avez pas fait auparavant) et insérez la commande qui vous permettra de voir plusieurs fichiers simultanément :

mkdir /root/scripts
cd /root/scripts
nano mytail

Collez les lignes :

#!/bin/bash  
multitail -ci yellow -e "ailed" -n 1000 /var/log/auth.log  \
-ci red -e "Ban" -n 1000 -I /var/log/fail2ban.log \
-ci red -e "fw" -n 1000 -I /var/log/messages \
-ci green -e "Unban" -n 1000 -I /var/log/messages \
-ci blue -e "fail" -n 1000 -I /var/log/syslog

Enregistrez, quittez et rendez-le exécutable pour root :

chmod 700 /root/scripts/mytail

Exécutez-le (pour voir la sortie) avec la commande (appuyez sur “q” pour quitter) :

/root/scripts/mytail

6. SSH sur le port 50022

Avant de changer un port pour autre chose que le port par défaut, N’OUBLIEZ PAS d’ajouter le port à votre pare-feu. Si vous utilisez les paramètres par défaut d’ISPConfig, allez dans Système -> Pare-feu et ajoutez le port que vous souhaitez (Dans ce manuel, nous utiliserons 50000 pour Webmin, 50443 pour ISPConfig, 50022 pour ssh). Enregistrez et NE supprimez PAS les anciens ports (8080, 10000, 22) tant que vous n’êtes pas absolument sûr que les nouveaux ports fonctionnent.

Dans Debian, vous installez le serveur ssh (si vous ne l’avez pas déjà) avec apt-get. Après cela, éditez le fichier de configuration (/etc/ssh/sshd_config)

apt-get install ssh openssh-server openssh-client
nano /etc/ssh/sshd_config

Laissez “Port 22” et AJOUTEZ “Port 50022” juste après “Port 22”. Enregistrez, quittez et redémarrez ssh :

/etc/init.d/ssh restart

ATTENTION : Vous devez vous reconnecter via ssh au port 50022. Après la modification ci-dessus, même sftp sera accessible via le port 50022. Si vous supprimez le port 22, alors vous pouvez accéder à ssh ET sftp UNIQUEMENT via le port 50022.

Si vous réussissez à vous connecter en utilisant le port 50022 (avec la commande suivante), vous pouvez supprimer la ligne “Port 22” de /etc/ssh/sshd_config :

ssh -p 50022 [email protected]

Si vous avez fait ce qui précède, vous devez remplacer la prison ssh et changer le port de la prison SSH de fail2ban (de ssh à 50022) dans /etc/fail2ban/jail.local.

(Si vous avez suivi le tutoriel depuis le début, vous avez déjà fait cela dans la section Fail2ban.)

7. phpmyadmin sous une URL différente (+ astuce ssl)

Pour accéder à phpmyadmin via ssl sous mydomaindb, (ou un autre nom unique), vous pouvez appliquer la même astuce qu’avec roundcube (pour la partie ssl). En ce qui concerne la nouvelle URL, vous devez éditer le /etc/apache2/conf.d/phpmyadmin.conf, changer l’Alias de “/phpmyadmin” à “/mydomaindb” et vous assurer que vous avez les lignes suivantes (Remarquez les dernières lignes de à…. qui sont utilisées pour rediriger vers SSL) :

# phpMyAdmin configuration par défaut d'Apache  
  
Alias /mydomaindb /usr/share/phpmyadmin  
  
  
        Options FollowSymLinks  
        DirectoryIndex index.php  
  
          
                AddType application/x-httpd-php .php  
  
                php_flag magic_quotes_gpc Off  
                php_flag track_vars On  
                php_flag register_globals Off  
                php_value include_path .  
          
  
  
  
# Autoriser pour la configuration  
  
      
    AuthType Basic  
    AuthName "Configuration phpMyAdmin"  
    AuthUserFile /etc/phpmyadmin/htpasswd.setup  
      
    Require valid-user  
  
  
# Interdire l'accès web aux répertoires qui n'en ont pas besoin  
  
    Order Deny,Allow  
    Deny from All  
  
  
    Order Deny,Allow  
    Deny from All  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:50443%{REQUEST_URI}  [L]

Après cela, redémarrez Apache

/etc/init.d/apache2 restart

N’oubliez pas de changer le lien de phpmyadmin dans l’interface ISPConfig 3 (Configuration de l’interface -> Sites (onglet).

8. Installer un accélérateur php (apc) et d’autres applications utiles.

Dans cette section, nous allons installer apc (accélérateur php), qui est développé par les gars qui développent php et quelques applications (htop, iptraf, logwatch, tiger).

apt-get install php-apc htop iptraf logwatch tiger

Éditez /etc/php5/conf.d/apc.ini, afin d’augmenter la mémoire cache :

nano /etc/php5/conf.d/apc.ini

Et ajoutez la ligne suivante :

apc.shm_size=128

Enfin, redémarrez Apache :

/etc/init.d/apache2 restart

Avec htop, vous pouvez voir les informations système d’une manière meilleure que top, avec iptraf, vous pouvez voir des statistiques en temps réel pour votre connexion, avec logwatch, vous pouvez faire en sorte que votre système vous envoie un résumé des fichiers journaux et avec tiger, vous pouvez recevoir un rapport périodique sur les vulnérabilités de sécurité de votre système (s’il en existe).

Comme beaucoup de scripts/applications envoient beaucoup de mails à l’utilisateur root, vous pouvez aliaser le mail de root, à une adresse email plus ‘réelle’. Donc, après avoir configuré un mail ‘réel’ pour votre domaine example.com, vous pouvez éditer les alias et ajouter un alias à l’utilisateur root :

nano /etc/aliases

et changez la ligne

root:root

en quelque chose comme

root:[email protected]

Après cela, exécutez :

newaliases

Si vous souhaitez installer Drupal (ou un autre cms), vous aurez probablement besoin de uploadprogress et json. Pour accomplir leur installation, faites :

apt-get install php5-dev php-services-json
pecl install uploadprogress
touch /etc/php5/apache2/conf.d/uploadprogress.ini
nano /etc/php5/apache2/conf.d/uploadprogress.ini