Etat et évolution du serveur Kimsufi Bon Plan

Venez discuter ici de tout ce qui touche à l'abandonware.
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Ce sujet remplace l'ancien sujet http://forum.abandonware.org/viewtopic.php?f=13&t=3544

J'ai un nouveau serveur et ce sujet va me permettre d'indiquer les différentes étapes de mises à jour de mon serveur Kimsufi Bon Plan

Si vous voulez plus d'infos sur le Kimsufi Bon Plan
http://www.kimsufi.com/fr/bons_plans/index.xml
Processeur Intel Core i5 4x 2.66 GHz (6 Mo de cache)
Architecture 64 bits
NIC GigaEthernet
Mémoire vive 16 Go
Disque 2 To
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Pour éviter que les fichiers zip soient corrompus, on fait une modification du fichier /httpd.conf.

On recherche :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary


Et on remplace :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|zip|gz|rm|flv|rar|mp3|avi|doc|ppt|pps|xls|mkv|mp4|pdf)$ no-gzip dont-vary


On active ensuite les modifications :
/etc/init.d/httpd restart
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

activation du resume avec le FTP
fichier : /etc/proftpd/proftpd.conf
J'ai ajouté à la fin AllowStoreRestart on

On active ensuite les modifications :
/etc/init.d/proftpd restart


Gestion des comptes n'ayant pas accès au le FTP
fichier : /etc/ftpusers
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Modification du fichier /usr/local/lib64/php5/php.ini

Initialement :
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)


Après modification
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 60 ; Maximum execution time of each script, in seconds
max_input_time = 120 ; Maximum amount of time each script may spend parsing request data
memory_limit = 64M ; Maximum amount of memory a script may consume (8MB)
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Modification du fichier /httpd.conf

Initialement :
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>


On change en
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10

ServerLimit 300
MaxClients 300

MaxRequestsPerChild 0
</IfModule>



On applique les modifications :
/etc/init.d/httpd restart
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

On programme une sauvegarde des bases de données de façon régulière.

On va créer le dossier /home/sav-db/

Webmin = https://ipserveur:10000/

Dans le webmin ==> Server ==> MySQL Database Server
On sélectionne Backup All Databases.
on indique le répertoire où seront enregistrés les fichiers.
On dit oui pour Scheduled backup enabled?
On demande que cela se fasse le 15 de chaque mois.

cela va permettre d'ajouter une ligne dans les tâches cron ==> //etc/webmin/mysql/backup.pl --all
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Modification du fichier /usr/local/lib64/php5/php.ini

Initialement :
; Maximum allowed size for uploaded files.
upload_max_filesize = 2M


; Maximum size of POST data that PHP will accept.
post_max_size = 8M

Après modification
; Maximum allowed size for uploaded files.
upload_max_filesize = 40M


; Maximum size of POST data that PHP will accept.
post_max_size = 40M
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

A l'aide du Webmin et plus précisément de OVHM, j'ai installé tous les noms de domaine, avec accès SSH, comptes MySQL, alias, sous-domaines, et quota d'espace.
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Création du fichier /etc/ini.d/firewall

Ce fichier contient diverses règles :

On fait en sorte que le fichier ait les droits d'exécution. (CHMOD)

Activation du firewall iptables :
/etc/init.d/firewall start
/sbin/iptables -L



On bloque l'IP6
$IPT6 -A INPUT -i eth0 -j DROP

on bloque des scans à la recherche de failles
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Pour connaître le nombre de requêtes rejetées, je peux taper la commande iptables -L INPUT -nvx

Je bloque toutes les tentatives de connexion au serveur sur le port 80 qui utilise uniquement l'IP du serveur.
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 700 --algo bm --string 'Host: 176.31.123.20' -j DROP
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Mise à jour des différents éléments du serveur :

Distribution : Gentoo Base System version 1.6.14
Kernel : 3.2.13-grsec-xxxx-grs-ipv6-64
Date : SMP Thu Mar 29 09:48:59 UTC 2012
Processeur : x86_64 Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz GenuineIntel GNU/Linux

Version RTM : 0.9.4
Version Release : 2.32

Pour info, j'ai choisi la Release 2 de OVH

# wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
# sh install_rtm.sh

A jour le 18/08/2014
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Au niveau du manager OVH (c'est lui qui gère mes noms de domaine - https://www.ovh.com/managerv3/), mise à jour de DNS.
Pour tous les noms de domaine :
"A" pointe vers 176.31.123.20

Suppression des IPv6.
Pour info, voici la config précédente avec les IP6

abandonware-definition.org
"AAAA" pointe vers 2001:41d0:8:4214::2

abandonware-magazines.org
"AAAA" pointe vers 2001:41d0:8:4214::3

abandonware-videos.org
"AAAA" pointe vers 2001:41d0:8:4214::4

abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::5

lankhor.net
"AAAA" pointe vers 2001:41d0:8:4214::7

download.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::10

forum.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::11

newsletter.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::12

A noter que j'ai également fait un alias pour ftp.abandonware.org qui pointe vers le serveur
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Mise à jour de sécurité
Enlever le firewall : /etc/init.d/firewall stop
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh patch-all.sh
Version actuelle : 2.33 (août 2014)
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Page qui donne les infos sur le serveur : https://176.31.123.20/cgi-bin/mrtg.cgi/ ou http://176.31.123.20/cgi-bin/mrtg.cgi/

Ces pages ne peuvent être consultées que par moi.
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Edit de août 2014 : J'ai finalement décidé de retirer la gestion de l'IP6


Ajout de la gestion de l'IP v6 par le serveur.

1) modification du fichier httpd.conf
NameVirtualHost [2001:41d0:8:4214::2]:80
NameVirtualHost [2001:41d0:8:4214::3]:80
NameVirtualHost [2001:41d0:8:4214::4]:80
NameVirtualHost [2001:41d0:8:4214::5]:80
NameVirtualHost [2001:41d0:8:4214::6]:80
NameVirtualHost [2001:41d0:8:4214::7]:80
NameVirtualHost [2001:41d0:8:4214::8]:80
NameVirtualHost [2001:41d0:8:4214::9]:80
NameVirtualHost [2001:41d0:8:4214::10]:80
NameVirtualHost [2001:41d0:8:4214::11]:80
NameVirtualHost [2001:41d0:8:4214::12]:80

<VirtualHost [2001:41d0:8:4214::2]:80>
<VirtualHost [2001:41d0:8:4214::3]:80>
etc. pour chaque nom de domaine

On applique les modifications :
/etc/init.d/httpd restart

2) on modifie le fichier /etc/conf.d/net
# This blank configuration will automatically use DHCP for any net.*
# scripts in /etc/init.d. To create a more complete configuration,
# please review /etc/conf.d/net.example and save your configuration
# in /etc/conf.d/net (this file :]!).

config_eth0=(
"176.31.123.20/24"
#"2001:41d0:8:4214::1/64"
#"2001:41d0:8:4214::2/64"
#"2001:41d0:8:4214::3/64"
#"2001:41d0:8:4214::4/64"
#"2001:41d0:8:4214::5/64"
#"2001:41d0:8:4214::6/64"
#"2001:41d0:8:4214::7/64"
#"2001:41d0:8:4214::8/64"
#"2001:41d0:8:4214::9/64"
#"2001:41d0:8:4214::10/64"
#"2001:41d0:8:4214::11/64"
#"2001:41d0:8:4214::12/64"
)
On applique les modifications :
/etc/init.d/net.eth0 restart

3) on vérifie si tout est ok
on regarde les connexions réseau
ifconfig
(il doit apparaître le routeur IP6 : adr inet6: fe80::3a60:77ff:fe2e:b2c0/64 Scope:Lien)

on regarde le nom que porte le serveur
uname -a

on regarde si on peut pinger notre serveur
ping6 -c 4 2001:41d0:8:4214:00:00:00:01
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Transfert des bases de données.
Elles sont toutes situées dans /home/mysql/
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Transfert des fichiers d'un serveur à l'autre.
Pour cela, j'utilise ce type de commande :
scp -r abandonware@176.31.244.178:/home/abandonware/www/ .
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Pour info, il est possible de se connecter au forum en passant par cette adresse : http://[2001:41d0:8:4214::11]

Edit : cela n'est plus possible car suppression de l'IP6
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Gestion des mails.
En gros, je fais en sortes que tous les mails pouvant arriver sur le serveur soient détruits.
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

J'ai des problèmes de limitations liées aux connexions MySQL.
J'ai donc modifié le fichier /etc/mysql/my.cnf
[mysqldump]
quick
max_allowed_packet = 16M

[mysql]
# uncomment the next directive if you are not familiar with SQL
#safe-updates

[isamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M

[myisamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M
Avatar du membre
Fredo_L
Scientifique dans l'âme !
Messages : 6880
Enregistré le : 26-12-2001 13:02
Localisation : Paris
Contact :

Re: Etat et évolution du serveur Kimsufi Bon Plan

Message non lu par Fredo_L »

Bannir des IP avec fail2ban

On édite le fichier /etc/fail2ban/jail.conf

ignoreip = 127.0.0.1 monIPperso
findtime = 3600
bantime = 86400

Tous les services sont mis sur true pour les surveiller.

On relance le service
/etc/init.d/fail2ban start
/etc/init.d/fail2ban reload

On peut vérifier que c'est bien pris en compte en lançant la commande
fail2ban-client status
Verrouillé