Conseils installation dédié OVH

Nouveau WRInaute
Bonjour,

Je viens ici pour avoir quelques conseils quant à l'installation d'un serveur dédié OVH pour faire tourner un site web qui tourne sur un serveur ancien (php 5.2, debian 6 etc.)

Cela fait un moment que je n'ai pas suivi ni touché l'administration du coup je viens chercher conseils pour faire un serveur au poil, à jour et surtout bien sécurisé.

Voici ce que je pense faire :

- Prendre un dédié OVH avec un debian dessus (8 ou 9 si sur la 9 y'a pas d'incompatibilité ou autre).
- Sécuriser SSH en désactivant le système de login et autorisant uniquement root sans MDP via cle RSA + paraphrase (système que j'ai actuellement qui évite les tentatives de hack).
- Installer Apache2 + HTTP/2 + HTTPS
- Installer PHP7
- Installer MYSQL
- Installer SFTP
- Installer un compresseur JPG. J'ai vu qu'il y avait Guetzli ? Actuellement j'ai jpegtrans

J'ai trouvé une base de tutos ici : https://www.alsacreations.com/actu/lire/499-tutos-administration-de-se ... edies.html

Au niveau de la sécurité je suis preneur aussi de ce qu'il faut faire. Il faut installer IPTables je suppose ? J'ai ip6tables sur mon serv actuel.

Si vous avez des conseils / liens / tuto pour faire tout cela dans les règles de l'art tout en étant bien sécurisé je suis preneur.

Merci d'avance !
 
WRInaute accro
jonjojo007 a dit:
- Sécuriser SSH en désactivant le système de login et autorisant uniquement root sans MDP via cle RSA + paraphrase (système que j'ai actuellement qui évite les tentatives de hack).

C'est déjà le cas par défaut depuis Debian 8

jonjojo007 a dit:
- Installer Apache2 + HTTP/2 + HTTPS
Opte plutôt pour nginx.

jonjojo007 a dit:
- Installer PHP7
https://deb.sury.org/

jonjojo007 a dit:
- Installer MYSQL
Avec Debian 9 c'est remplacé par MariaDB, compatible.

jonjojo007 a dit:
- Installer SFTP
C'est déjà installé par défaut (SSH).

jonjojo007 a dit:
Au niveau de la sécurité je suis preneur aussi de ce qu'il faut faire. Il faut installer IPTables je suppose ? J'ai ip6tables sur mon serv actuel.
Je gère ça avec ufw, cfr. cheat sheet.

Je me suis fait une cheat sheet pour Debian 8, à peu près 95% doit tjs fonctionner en Debian 9 (d'ailleurs j'ai fait l'upgrade Debian 9 mais pas encore cette cheat sheet qui part de l'idée "installation from scratch"):
https://github.com/spout/debian-8-install-cheatsheet
 
Nouveau WRInaute
Merci de la réponse et du cheatsheet !

Donc je fais une install Debian 9 sans soucis sur mon dédié OVH, alors, pas besoin de rester en 8, pas de soucis de compatibilité ou autre ^^

oki pour le ssh, c'est cool alors. Donc c'est très secure de base.

Pour nginx vs Apache et mysql / MariaDB, je n'y connais rien, je voulais à la base repartir en essayant de C/C la config du dédié actuel qu'on m'a fait y'a 7/8 ans du coup si je change j'ai peur de zapper des trucs dans la config. A voir. J'ai regardé quelques benchs ici et ici et y'a pas grosse différence non plus je trouve. Après si avec Debian 9 c'est MariaDB tant pis, si y'a pas de différence je le laisserai. Il y a des choses à savoir quand on passe de mysql à ça ? Index / Primary key, Inodb / myisam / façon de faire des requêtes différentes etc. ou c'est vraiment full transparent ?

Sinon c'est quoi le mieux ? php-fpm (FastCGI, ce que j'ai sur mon serv actuel) ou mod_php ? D'après le lien mis plus haut ou encore celui ci Apache + mod_php serait le plus rapide non ?

https://deb.sury.org/ si j'ai bien compris, c'est là ou je chope le package du dernier php 7.1 Dans les tutos pour installer php 7.1 je l'ai souvent vu passer :)

Je savais pas que SSH installait SFTP directement, j'avais mis de côté ce lien qui expliquait comment l'installer en plus.

ufw j'ai pas vu passer encore, c'est mieux que iptables dont beaucoup parlent ?
cfr. => c'est à dire ? Pas compris ^^

fail2ban j'ai souvent vu passer en plus de iptables je me demandais s'il le fallait justement. Actuellement je l'ai pas, je gère un ban des ip moi même en php + mysql pour ceux qui font des abus.

Rien de plus niveau sécu sinon ?

gzip j'en avais pas parlé mais l'installation est facile.

Au niveau du compresseur d'images JPG, Guetzli est à priori mieux que Jpegoptim. J'ai pas trouvé de tuto bien détaillé encore sur son installation + utilisation.
A ce sujet actuellement je suis obligé d'activer exec() en php et c'est mal, en gros mon image je la compresse au moment ou je la mets sur mon serveur, je sais pas si on peu faire sans exec() pour ça ? C'est le seul endroit ou j'ai besoin du exec().
Code:
exec('jpegtran -copy none -optimize -perfect -outfile $input $dest);

Pour le HTTPS j'ai noté ça : https://korben.info/securiser-facilement-gratuitement-site-https.html
Pour HTTP2 : https://korben.info/installter-activer-http2-apache2.html

Si certains on des suggestions, pointent des oublis / incohérences / problèmes de sécurité je suis preneur.

Merci encore !
 
WRInaute accro
jonjojo007 a dit:
ou c'est vraiment full transparent ?
De ce que j'ai pu constater, full transparent.

jonjojo007 a dit:
Apache + mod_php serait le plus rapide non ?
Pas convaincu, le futur c'est PHP-FPM, PHP tourne comme processus standalone par rapport au serveur HTTP, donc une modification de php.ini n'implique pas de devoir redémarrer le serveur HTTP.
De plus le serveur web est loin de ne servir que les scripts PHP, il y a tous les fichiers statiques et là nginx est bien réputé (je te laisse fouiller sur le web qui regorge de benchmarks en tous genres).

jonjojo007 a dit:
https://deb.sury.org/ si j'ai bien compris, c'est là ou je chope le package du dernier php 7.1 Dans les tutos pour installer php 7.1 je l'ai souvent vu passer :)
Debian privilégiant la stabilité, si tu veux du PHP up-to-date, oui.

jonjojo007 a dit:
ufw j'ai pas vu passer encore, c'est mieux que iptables dont beaucoup parlent ?
C'est "une surcouche" à iptables, pour le configurer plus facilement (perso je suis un noob iptables alors ufw c'est parfait pour moi)

jonjojo007 a dit:
cfr. => c'est à dire ? Pas compris ^^
https://fr.wikipedia.org/wiki/Confer

jonjojo007 a dit:
fail2ban j'ai souvent vu passer en plus de iptables je me demandais s'il le fallait justement. Actuellement je l'ai pas, je gère un ban des ip moi même en php + mysql pour ceux qui font des abus.
Protection supplémentaire qui coûte pas cher contre le brute force.
 
WRInaute discret
Perso j'ai d'abord installé un proxmox pour virtualiser.
J'ai pu ensuite installer dessus une copie de mon serveur précédent (debian6) pour y transférer rapidement mes sites.
Puis calmement j'ai installé quelques serveurs pour tester différentes configurations.

L'avantage c'est que si demain je veux changer pour un serveur plus puissant, il suffit d'y installer un proxmox et les images de mes serveurs.

Pour la compression d'images, j'ai un script shell qui tourne la nuit et compresse toutes les images ajoutées dans la journée.
 
WRInaute occasionnel
Parfois je me demande ce que vous faites tourner comme sites sur vos dedies pour avoir besoins de configurations aussi elitistes et poussées
 
Discussions similaires
Haut