Le Serveur Parfait - Fedora 15 x86_64 [ISPConfig 2] - Page 3

4 Changer le nom de votre NIC en ethx

Maintenant, nous devons configurer Fedora pour ne plus utiliser les noms de périphériques BIOS pour notre interface réseau. Au lieu de p3p1, nous avons besoin de notre bon vieux eth0 (car sinon, le pare-feu d’ISPConfig va devenir fou et tout bloquer parce qu’il s’attend à eth0 au lieu de p3p1). Ouvrez /etc/grub.conf…

vi /etc/grub.conf

… et ajoutez biosdevname=0 à la ligne du noyau :

| # grub.conf généré par anaconda # # Notez que vous n'avez pas besoin de relancer grub après avoir apporté des modifications à ce fichier # AVIS : Vous avez une partition /boot. Cela signifie que # tous les chemins du noyau et de l'initrd sont relatifs à /boot/, par ex. # root (hd0,0) # kernel /vmlinuz-version ro root=/dev/mapper/vg_server1-lv_root # initrd /initrd-[generic-]version.img #boot=/dev/sda default=0 timeout=0 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu title Fedora (2.6.38.6-27.fc15.x86_64) root (hd0,0) kernel /vmlinuz-2.6.38.6-27.fc15.x86_64 ro root=/dev/mapper/vg_server1-lv_root rd_LVM_LV=vg_server1/lv_root rd_LVM_LV=vg_server1/lv_swap rd_NO_LUKS rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de rhgb quiet biosdevname=0 initrd /initramfs-2.6.38.6-27.fc15.x86_64.img |

Ensuite, redémarrez le système :

reboot

Après le redémarrage, votre NIC devrait être nommé eth0. Exécutez…

ifconfig

… pour vérifier :

[root@server1 ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:15:60:FA
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe15:60fa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48 errors:0 dropped:0 overruns:0 frame:0
TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5226 (5.1 KiB) TX bytes:9682 (9.4 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:100 (100.0 b) TX bytes:100 (100.0 b)

[root@server1 ~]#

5 Ajuster /etc/hosts

Ensuite, nous éditons /etc/hosts. Faites-le ressembler à ceci :

vi /etc/hosts

| 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.0.100 server1.example.com server1 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 |

Il est important que vous ajoutiez une ligne pour server1.example.com et supprimiez server1.example.com et server1 de la ligne 127.0.0.1.

6 Configurer le pare-feu

(Vous pouvez sauter ce chapitre si vous avez déjà désactivé le pare-feu à la fin de l’installation de base du système.)

Je veux installer ISPConfig à la fin de ce tutoriel qui vient avec son propre pare-feu. C’est pourquoi je désactive le pare-feu par défaut de Fedora maintenant. Bien sûr, vous êtes libre de le laisser activé et de le configurer selon vos besoins (mais alors vous ne devriez pas utiliser d’autre pare-feu par la suite car il interférera très probablement avec le pare-feu de Fedora).

Exécutez

system-config-firewall

et désactivez le pare-feu.

Pour vérifier que le pare-feu a vraiment été désactivé, vous pouvez exécuter

iptables -L 

après. La sortie devrait ressembler à ceci :

[root@server1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server1 ~]#

7 Désactiver SELinux

SELinux est une extension de sécurité de Fedora qui devrait fournir une sécurité étendue. À mon avis, vous n’en avez pas besoin pour configurer un système sécurisé, et cela cause généralement plus de problèmes que d’avantages (pensez-y après avoir passé une semaine à résoudre des problèmes parce qu’un service ne fonctionnait pas comme prévu, et ensuite vous découvrez que tout allait bien, seul SELinux causait le problème). Par conséquent, je le désactive (c’est un must si vous voulez installer ISPConfig plus tard).

Éditez /etc/selinux/config et définissez SELINUX=disabled :

vi /etc/selinux/config

| # Ce fichier contrôle l'état de SELinux sur le système. # SELINUX= peut prendre l'une de ces trois valeurs : # enforcing - La politique de sécurité SELinux est appliquée. # permissive - SELinux imprime des avertissements au lieu d'appliquer. # disabled - Aucune politique SELinux n'est chargée. SELINUX=disabled # SELINUXTYPE= peut prendre l'une de ces deux valeurs : # targeted - Les processus ciblés sont protégés, # mls - Protection de sécurité multi-niveau. SELINUXTYPE=targeted |

Ensuite, nous devons redémarrer le système :

reboot

8 Installer des logiciels

Tout d’abord, nous importons les clés GPG pour les paquets logiciels :

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

Ensuite, nous mettons à jour nos paquets existants sur le système :

yum update

Maintenant, nous installons quelques paquets logiciels qui sont nécessaires plus tard :

yum install fetchmail wget bzip2 unzip zip nmap openssl lynx fileutils ncftp gcc gcc-c++

9 Quota journalisé

(Si vous avez choisi un schéma de partitionnement différent de celui que j’ai fait, vous devez ajuster ce chapitre afin que le quota s’applique aux partitions où vous en avez besoin.)

Pour installer le quota, nous exécutons cette commande :

yum install quota

Éditez /etc/fstab et ajoutez,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 à la partition / ( /dev/mapper/vg_server1-lv_root) :

vi /etc/fstab

| # # /etc/fstab # Créé par anaconda le Mer Mai 25 15:57:24 2011 # # Les systèmes de fichiers accessibles, par référence, sont maintenus sous '/dev/disk' # Voir les pages de manuel fstab(5), findfs(8), mount(8) et/ou blkid(8) pour plus d'infos # /dev/mapper/vg_server1-lv_root / ext4 defaults,usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0 1 1 UUID=366ba6a7-7e68-4ec9-9743-4b02dd105180 /boot ext4 defaults 1 2 /dev/mapper/vg_server1-lv_swap swap swap defaults 0 0 tmpfs /dev/shm tmpfs defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 sysfs /sys sysfs defaults 0 0 proc /proc proc defaults 0 0 |

Ensuite, exécutez

mount -o remount /

quotacheck -avugm
quotaon -avug

pour activer le quota.

10 Installer un serveur DNS chrooté (BIND9)

Pour installer un BIND9 chrooté, nous faisons ceci :

yum install bind-chroot

Ensuite, nous changeons quelques permissions :

chmod 755 /var/named/
chmod 775 /var/named/chroot/
chmod 775 /var/named/chroot/var/
chmod 775 /var/named/chroot/var/named/
chmod 775 /var/named/chroot/var/run/
chmod 777 /var/named/chroot/var/run/named/
cd /var/named/chroot/var/named/
ln -s ../../ chroot

Ensuite, nous ouvrons /etc/sysconfig/named et nous assurons qu’il contient la ligne suivante pour indiquer à BIND qu’il s’exécute chrooté dans /var/named/chroot :

vi /etc/sysconfig/named

| [...] ROOTDIR=/var/named/chroot |

Ensuite, ouvrez /etc/rsyslog.conf…

vi /etc/rsyslog.conf

… et ajoutez la ligne $AddUnixListenSocket /var/named/chroot/dev/log :

| [...] $AddUnixListenSocket /var/named/chroot/dev/log |

Redémarrez rsyslog :

/etc/init.d/rsyslog restart

Ensuite, nous créons les liens de démarrage système pour BIND :

chkconfig --levels 235 named on

Nous ne démarrons pas BIND maintenant car il échouera à cause d’un /var/named/chroot/etc/named.conf manquant. Cela sera créé plus tard par ISPConfig (si vous utilisez le gestionnaire DNS d’ISPConfig, c’est-à-dire).