Conseils installation dédié OVH

Discussion dans 'Administration d'un site Web' créé par jonjojo007, 6 Septembre 2017.

  1. jonjojo007
    jonjojo007 Nouveau WRInaute
    Inscrit:
    4 Septembre 2012
    Messages:
    17
    J'aime reçus:
    0
    Bonjour,

    Je viens ici pour avoir quelques conseils quant à l'installation d'un serveur dédié OVH pour faire tourner un site web qui tourne sur un serveur ancien (php 5.2, debian 6 etc.)

    Cela fait un moment que je n'ai pas suivi ni touché l'administration du coup je viens chercher conseils pour faire un serveur au poil, à jour et surtout bien sécurisé.

    Voici ce que je pense faire :

    - Prendre un dédié OVH avec un debian dessus (8 ou 9 si sur la 9 y'a pas d'incompatibilité ou autre).
    - Sécuriser SSH en désactivant le système de login et autorisant uniquement root sans MDP via cle RSA + paraphrase (système que j'ai actuellement qui évite les tentatives de hack).
    - Installer Apache2 + HTTP/2 + HTTPS
    - Installer PHP7
    - Installer MYSQL
    - Installer SFTP
    - Installer un compresseur JPG. J'ai vu qu'il y avait Guetzli ? Actuellement j'ai jpegtrans

    J'ai trouvé une base de tutos ici : https://www.alsacreations.com/actu/lire/499-tutos-administration-de-se ... edies.html

    Au niveau de la sécurité je suis preneur aussi de ce qu'il faut faire. Il faut installer IPTables je suppose ? J'ai ip6tables sur mon serv actuel.

    Si vous avez des conseils / liens / tuto pour faire tout cela dans les règles de l'art tout en étant bien sécurisé je suis preneur.

    Merci d'avance !
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 802
    J'aime reçus:
    31
    C'est déjà le cas par défaut depuis Debian 8

    Opte plutôt pour nginx.

    https://deb.sury.org/

    Avec Debian 9 c'est remplacé par MariaDB, compatible.

    C'est déjà installé par défaut (SSH).

    Je gère ça avec ufw, cfr. cheat sheet.

    Je me suis fait une cheat sheet pour Debian 8, à peu près 95% doit tjs fonctionner en Debian 9 (d'ailleurs j'ai fait l'upgrade Debian 9 mais pas encore cette cheat sheet qui part de l'idée "installation from scratch"):
    https://github.com/spout/debian-8-install-cheatsheet
     
  3. jonjojo007
    jonjojo007 Nouveau WRInaute
    Inscrit:
    4 Septembre 2012
    Messages:
    17
    J'aime reçus:
    0
    Merci de la réponse et du cheatsheet !

    Donc je fais une install Debian 9 sans soucis sur mon dédié OVH, alors, pas besoin de rester en 8, pas de soucis de compatibilité ou autre ^^

    oki pour le ssh, c'est cool alors. Donc c'est très secure de base.

    Pour nginx vs Apache et mysql / MariaDB, je n'y connais rien, je voulais à la base repartir en essayant de C/C la config du dédié actuel qu'on m'a fait y'a 7/8 ans du coup si je change j'ai peur de zapper des trucs dans la config. A voir. J'ai regardé quelques benchs ici et ici et y'a pas grosse différence non plus je trouve. Après si avec Debian 9 c'est MariaDB tant pis, si y'a pas de différence je le laisserai. Il y a des choses à savoir quand on passe de mysql à ça ? Index / Primary key, Inodb / myisam / façon de faire des requêtes différentes etc. ou c'est vraiment full transparent ?

    Sinon c'est quoi le mieux ? php-fpm (FastCGI, ce que j'ai sur mon serv actuel) ou mod_php ? D'après le lien mis plus haut ou encore celui ci Apache + mod_php serait le plus rapide non ?

    https://deb.sury.org/ si j'ai bien compris, c'est là ou je chope le package du dernier php 7.1 Dans les tutos pour installer php 7.1 je l'ai souvent vu passer :)

    Je savais pas que SSH installait SFTP directement, j'avais mis de côté ce lien qui expliquait comment l'installer en plus.

    ufw j'ai pas vu passer encore, c'est mieux que iptables dont beaucoup parlent ?
    cfr. => c'est à dire ? Pas compris ^^

    fail2ban j'ai souvent vu passer en plus de iptables je me demandais s'il le fallait justement. Actuellement je l'ai pas, je gère un ban des ip moi même en php + mysql pour ceux qui font des abus.

    Rien de plus niveau sécu sinon ?

    gzip j'en avais pas parlé mais l'installation est facile.

    Au niveau du compresseur d'images JPG, Guetzli est à priori mieux que Jpegoptim. J'ai pas trouvé de tuto bien détaillé encore sur son installation + utilisation.
    A ce sujet actuellement je suis obligé d'activer exec() en php et c'est mal, en gros mon image je la compresse au moment ou je la mets sur mon serveur, je sais pas si on peu faire sans exec() pour ça ? C'est le seul endroit ou j'ai besoin du exec().
    Code:
    exec('jpegtran -copy none -optimize -perfect -outfile $input $dest);
    Pour le HTTPS j'ai noté ça : https://korben.info/securiser-facilement-gratuitement-site-https.html
    Pour HTTP2 : https://korben.info/installter-activer-http2-apache2.html

    Si certains on des suggestions, pointent des oublis / incohérences / problèmes de sécurité je suis preneur.

    Merci encore !
     
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 802
    J'aime reçus:
    31
    De ce que j'ai pu constater, full transparent.

    Pas convaincu, le futur c'est PHP-FPM, PHP tourne comme processus standalone par rapport au serveur HTTP, donc une modification de php.ini n'implique pas de devoir redémarrer le serveur HTTP.
    De plus le serveur web est loin de ne servir que les scripts PHP, il y a tous les fichiers statiques et là nginx est bien réputé (je te laisse fouiller sur le web qui regorge de benchmarks en tous genres).

    Debian privilégiant la stabilité, si tu veux du PHP up-to-date, oui.

    C'est "une surcouche" à iptables, pour le configurer plus facilement (perso je suis un noob iptables alors ufw c'est parfait pour moi)

    https://fr.wikipedia.org/wiki/Confer

    Protection supplémentaire qui coûte pas cher contre le brute force.
     
  5. bogey
    bogey WRInaute discret
    Inscrit:
    21 Mars 2005
    Messages:
    91
    J'aime reçus:
    0
    Perso j'ai d'abord installé un proxmox pour virtualiser.
    J'ai pu ensuite installer dessus une copie de mon serveur précédent (debian6) pour y transférer rapidement mes sites.
    Puis calmement j'ai installé quelques serveurs pour tester différentes configurations.

    L'avantage c'est que si demain je veux changer pour un serveur plus puissant, il suffit d'y installer un proxmox et les images de mes serveurs.

    Pour la compression d'images, j'ai un script shell qui tourne la nuit et compresse toutes les images ajoutées dans la journée.
     
  6. sebux69
    sebux69 WRInaute occasionnel
    Inscrit:
    2 Juillet 2009
    Messages:
    308
    J'aime reçus:
    0
    Parfois je me demande ce que vous faites tourner comme sites sur vos dedies pour avoir besoins de configurations aussi elitistes et poussées
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 802
    J'aime reçus:
    31
    @sebux69: qu'est ce que tu trouves d'élitiste et poussé ?
     
  8. sebux69
    sebux69 WRInaute occasionnel
    Inscrit:
    2 Juillet 2009
    Messages:
    308
    J'aime reçus:
    0
    J'ai du lire de travers du debian propre c'est bien sur un dedie