[HOWTO] Config complète et sécurisée pour Debian

[virusphoto]

Bonjour,

Celà fait pas mal de temps que je suis dessus et c'est enfin prêt :

Ce tutorial explique pas à pas la mise en place d'un serveur web fonctionnel, à partir d'une Debian Sarge « nue », par exemple celle fournie par OVH.

A l'issue de ce howto, vous aurez :

- Un serveur LAMP fonctionnel avec apache2, mysql, php5 (avec modules curl et gd), bind9, jhead et imagemagick, phpmyadmin et un serveur ftp (proftpd)

- Des outils pour votre serveur : webmin et ses modules pour administrer le serveur depuis un navigateur, logrotate pour effacer les logs à intervalles réguliers

- Un serveur de mail avec postfix, mais sans pop : nous allons utiliser google apps pour gérer les mails entrants (interface semblable à gmail).
Les mails sortants seront eux gérés par postfix.

- Toute une batterie d'outils et de configurations de sécurité, avec shadowing pour limiter les tentatives de hacking, sécurisation de bind, logwatch pour recevoir par mail un rapport quotidien sur l'activité du serveur, rkhunter pour détecter les fichiers malveillants, un firewall configuré correctement, snort pour détecter les tentatives d'intrusion, tiger pour faire des audits de sécurité avancés, cron-apt pour être prévenu par mail des mises à jour système nécessaires, le login root en ssh désactivé pour vous protéger des tentatives d'intrusion, et l'anti-spoofing.

- Enfin, quelques outils utiles : l'heure du serveur réglée à l'heure atomique, et les stats détaillées d'activité de la machine avec munin.


Les instructions sont données pour une debian sarge.

PDF disponible ici

Enjoy

 

[wullon]

Bien, mais ce qui me chagrine c'est que ça fait un peu trop "recette" qu'on applique bêtement.

J'aurais apprécié (personnellement) qu'à chaque étape il y ait un petit commentaire disant "là on fait ça" ("parce qu'on veut ça", etc...).

Mais sinon c'est très bien fait j'ai l'impression (je n'ai pas regardé en détail), beau boulot .

 

[virusphoto]

A la base je l'avais fait pour moi, comme un mémo pour configurer rapidement un serveur de la façon que j'aime. Puis je me suis dit que ça serait utile de le faire partager.

D'où l'absense d'explications.
Mais je vais ajouter des explications dès que j'ai un peu de temps

Celà ne correspond d'ailleurs pas à toutes les utilisations, puisque j'utilise ici google apps pour les mails entrants, et donc aucun compte pop3 ni imap sur le serveur.
Mais c'est possible d'ajouter ça sans problème.

Il y a aussi des choses comme jhead qui ne servent à rien dans la plupart des cas, mais qui me servent dans mon utilisation personnelle (jhead permet d'extraire les métadonnées des fichiers images). Mais c'est adaptable...

C'est aussi basé sur Debian en anglais, parce que j'ai des automatismes sur la version anglaise (des choses toutes bêtes comme taper y (yes) au lieu de o (oui) pour confirmer... )

Quand j'aurai le temps je ferai une version de ce document avec explications, pop3, et basé sur Debian en Français.

 

[wullon]

Tiens à propos de mail, je pense faire comme dans ton tuto : utiliser Google Apps + mon propre serveur smtp.
Et donc, la partie postfix de ton tuto configure postfix en serveur smtp sécurisé ?
Si oui comment on l'utilise "de l'extérieur" ?
(enfin là par exemple c'est le cas typique je trouve où ton tuto serait très bien mais finalement il faut la doc à côté si on veut comprendre ou "s'éloigner un peu du chemin", ce qui est dommage)

Mais sinon c'est très bien hein, en memo c'est génial également, et en le complétant un peu ça peu devenir excellent imho ^^.

 

[virusphoto]

Dans mon cas, le serveur ne s'occupe que des mails sortants.
Par exemple, dans ces cas concrets :
- Mails envoyés par php
- Mails système envoyés à l'utilisateur root, qui sont redirigés sur un compte externe (dans mon cas, un compte gmail).

En utilisant Google Apps, tu changes les entrées MX de ton domaine, ce qui fait que les mails entrants, au lieu d'être traités par ton serveur, sont dirigés chez google apps, et consultables sur ton compte google apps.
Donc les mails entrants ne sont pas du tout gérés par le serveur dans mon cas.
Et lorsque tu envoies un mail depuis google apps, il l'envoie lui-même sans passer par ton serveur.

Mais si on souhaite utiliser la méthode classique pour les mails en ce basant sur ce document, ça se fait sans aucune autre manipulation que de créer des comptes mail, et d'indiquer l'entrée MX du serveur dans la zone dns du domaine (automatisé avec webmin).

Après il faut installer le nécessaire en plus si on souhaite récupérer ses mails en pop3 ou imap.

 

[wullon]

Ok, moi je cherche à avoir un serveur smtp avec authentification & co (pour l'utiliser avec un client mail), ce qui n'a pas l'air très loin de ce que tu proposes.

 

[virusphoto]

Tu peux déjà envoyer en smtp depuis un client externe en suivant ce tuto.

Si tu souhaites aussi un accès pop3 et imap, après l'installation de postfix, tu peux faire :

apt-get install courier-pop courier-imap

Répondre Yes

Puis configurer postfix pour envoyer les mails au bon endroit :

postconf -e 'home_mailbox = Maildir/'
postconf -e 'mailbox_command ='
/etc/init.d/postfix restart

Et voilà ! (attention à ouvrir les ports 110 pour pop3 et 143 pour imap dans le firewall).

 

[Ohax]

Debian 4 devrait pas tarder à sortir non ?

 

[odr]

Bonjour.

Ca m'intéresse, mais...

La page que vous essayez de voir n'existe pas ou a été déplacée.

Vous pouvez revenir à l'accueil de VirusPhoto.

 

[gripsous]

Un petit lien utile
http://www.vhcs.net/new/

Contral Panel libre et gratuit. Très bien !

 

[Tripollite]

Personne n'a garder le pdf ?
:roll:

 

[Misaki]

Ce sujet m'interesse aussi mais le lien est cassé .

 

[bertimus]

Y'a ce tuto sinon : http://olange.developpez.com/articles/d ... eur-dedie/