Etat et évolution du serveur Kimsufi Bon Plan
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Etat et évolution du serveur Kimsufi Bon Plan
Ce sujet remplace l'ancien sujet http://forum.abandonware.org/viewtopic.php?f=13&t=3544
J'ai un nouveau serveur et ce sujet va me permettre d'indiquer les différentes étapes de mises à jour de mon serveur Kimsufi Bon Plan
Si vous voulez plus d'infos sur le Kimsufi Bon Plan
http://www.kimsufi.com/fr/bons_plans/index.xml
Processeur Intel Core i5 4x 2.66 GHz (6 Mo de cache)
Architecture 64 bits
NIC GigaEthernet
Mémoire vive 16 Go
Disque 2 To
J'ai un nouveau serveur et ce sujet va me permettre d'indiquer les différentes étapes de mises à jour de mon serveur Kimsufi Bon Plan
Si vous voulez plus d'infos sur le Kimsufi Bon Plan
http://www.kimsufi.com/fr/bons_plans/index.xml
Processeur Intel Core i5 4x 2.66 GHz (6 Mo de cache)
Architecture 64 bits
NIC GigaEthernet
Mémoire vive 16 Go
Disque 2 To
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Pour éviter que les fichiers zip soient corrompus, on fait une modification du fichier /httpd.conf.
On recherche :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary
Et on remplace :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|zip|gz|rm|flv|rar|mp3|avi|doc|ppt|pps|xls|mkv|mp4|pdf)$ no-gzip dont-vary
On active ensuite les modifications :
/etc/init.d/httpd restart
On recherche :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary
Et on remplace :
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png|zip|gz|rm|flv|rar|mp3|avi|doc|ppt|pps|xls|mkv|mp4|pdf)$ no-gzip dont-vary
On active ensuite les modifications :
/etc/init.d/httpd restart
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
activation du resume avec le FTP
fichier : /etc/proftpd/proftpd.conf
J'ai ajouté à la fin AllowStoreRestart on
On active ensuite les modifications :
/etc/init.d/proftpd restart
Gestion des comptes n'ayant pas accès au le FTP
fichier : /etc/ftpusers
fichier : /etc/proftpd/proftpd.conf
J'ai ajouté à la fin AllowStoreRestart on
On active ensuite les modifications :
/etc/init.d/proftpd restart
Gestion des comptes n'ayant pas accès au le FTP
fichier : /etc/ftpusers
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Modification du fichier /usr/local/lib64/php5/php.ini
Initialement :
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)
Après modification
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 60 ; Maximum execution time of each script, in seconds
max_input_time = 120 ; Maximum amount of time each script may spend parsing request data
memory_limit = 64M ; Maximum amount of memory a script may consume (8MB)
Initialement :
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)
Après modification
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
max_execution_time = 60 ; Maximum execution time of each script, in seconds
max_input_time = 120 ; Maximum amount of time each script may spend parsing request data
memory_limit = 64M ; Maximum amount of memory a script may consume (8MB)
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Modification du fichier /httpd.conf
Initialement :
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>
On change en
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
ServerLimit 300
MaxClients 300
MaxRequestsPerChild 0
</IfModule>
On applique les modifications :
/etc/init.d/httpd restart
Initialement :
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>
On change en
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
ServerLimit 300
MaxClients 300
MaxRequestsPerChild 0
</IfModule>
On applique les modifications :
/etc/init.d/httpd restart
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
On programme une sauvegarde des bases de données de façon régulière.
On va créer le dossier /home/sav-db/
Webmin = https://ipserveur:10000/
Dans le webmin ==> Server ==> MySQL Database Server
On sélectionne Backup All Databases.
on indique le répertoire où seront enregistrés les fichiers.
On dit oui pour Scheduled backup enabled?
On demande que cela se fasse le 15 de chaque mois.
cela va permettre d'ajouter une ligne dans les tâches cron ==> //etc/webmin/mysql/backup.pl --all
On va créer le dossier /home/sav-db/
Webmin = https://ipserveur:10000/
Dans le webmin ==> Server ==> MySQL Database Server
On sélectionne Backup All Databases.
on indique le répertoire où seront enregistrés les fichiers.
On dit oui pour Scheduled backup enabled?
On demande que cela se fasse le 15 de chaque mois.
cela va permettre d'ajouter une ligne dans les tâches cron ==> //etc/webmin/mysql/backup.pl --all
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Modification du fichier /usr/local/lib64/php5/php.ini
Initialement :
; Maximum allowed size for uploaded files.
upload_max_filesize = 2M
; Maximum size of POST data that PHP will accept.
post_max_size = 8M
Après modification
; Maximum allowed size for uploaded files.
upload_max_filesize = 40M
; Maximum size of POST data that PHP will accept.
post_max_size = 40M
Initialement :
; Maximum allowed size for uploaded files.
upload_max_filesize = 2M
; Maximum size of POST data that PHP will accept.
post_max_size = 8M
Après modification
; Maximum allowed size for uploaded files.
upload_max_filesize = 40M
; Maximum size of POST data that PHP will accept.
post_max_size = 40M
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
A l'aide du Webmin et plus précisément de OVHM, j'ai installé tous les noms de domaine, avec accès SSH, comptes MySQL, alias, sous-domaines, et quota d'espace.
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Création du fichier /etc/ini.d/firewall
Ce fichier contient diverses règles :
On fait en sorte que le fichier ait les droits d'exécution. (CHMOD)
Activation du firewall iptables :
/etc/init.d/firewall start
/sbin/iptables -L
On bloque l'IP6
$IPT6 -A INPUT -i eth0 -j DROP
on bloque des scans à la recherche de failles
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Pour connaître le nombre de requêtes rejetées, je peux taper la commande iptables -L INPUT -nvx
Je bloque toutes les tentatives de connexion au serveur sur le port 80 qui utilise uniquement l'IP du serveur.
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 700 --algo bm --string 'Host: 176.31.123.20' -j DROP
Ce fichier contient diverses règles :
On fait en sorte que le fichier ait les droits d'exécution. (CHMOD)
Activation du firewall iptables :
/etc/init.d/firewall start
/sbin/iptables -L
On bloque l'IP6
$IPT6 -A INPUT -i eth0 -j DROP
on bloque des scans à la recherche de failles
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP
Pour connaître le nombre de requêtes rejetées, je peux taper la commande iptables -L INPUT -nvx
Je bloque toutes les tentatives de connexion au serveur sur le port 80 qui utilise uniquement l'IP du serveur.
iptables -I INPUT -d 176.31.123.20 -p tcp --dport 80 -m string --to 700 --algo bm --string 'Host: 176.31.123.20' -j DROP
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Mise à jour des différents éléments du serveur :
Distribution : Gentoo Base System version 1.6.14
Kernel : 3.2.13-grsec-xxxx-grs-ipv6-64
Date : SMP Thu Mar 29 09:48:59 UTC 2012
Processeur : x86_64 Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz GenuineIntel GNU/Linux
Version RTM : 0.9.4
Version Release : 2.32
Pour info, j'ai choisi la Release 2 de OVH
# wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
# sh install_rtm.sh
A jour le 18/08/2014
Distribution : Gentoo Base System version 1.6.14
Kernel : 3.2.13-grsec-xxxx-grs-ipv6-64
Date : SMP Thu Mar 29 09:48:59 UTC 2012
Processeur : x86_64 Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz GenuineIntel GNU/Linux
Version RTM : 0.9.4
Version Release : 2.32
Pour info, j'ai choisi la Release 2 de OVH
# wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
# sh install_rtm.sh
A jour le 18/08/2014
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Au niveau du manager OVH (c'est lui qui gère mes noms de domaine - https://www.ovh.com/managerv3/), mise à jour de DNS.
Pour tous les noms de domaine :
"A" pointe vers 176.31.123.20
Suppression des IPv6.
Pour info, voici la config précédente avec les IP6
abandonware-definition.org
"AAAA" pointe vers 2001:41d0:8:4214::2
abandonware-magazines.org
"AAAA" pointe vers 2001:41d0:8:4214::3
abandonware-videos.org
"AAAA" pointe vers 2001:41d0:8:4214::4
abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::5
lankhor.net
"AAAA" pointe vers 2001:41d0:8:4214::7
download.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::10
forum.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::11
newsletter.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::12
A noter que j'ai également fait un alias pour ftp.abandonware.org qui pointe vers le serveur
Pour tous les noms de domaine :
"A" pointe vers 176.31.123.20
Suppression des IPv6.
Pour info, voici la config précédente avec les IP6
abandonware-definition.org
"AAAA" pointe vers 2001:41d0:8:4214::2
abandonware-magazines.org
"AAAA" pointe vers 2001:41d0:8:4214::3
abandonware-videos.org
"AAAA" pointe vers 2001:41d0:8:4214::4
abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::5
lankhor.net
"AAAA" pointe vers 2001:41d0:8:4214::7
download.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::10
forum.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::11
newsletter.abandonware.org
"AAAA" pointe vers 2001:41d0:8:4214::12
A noter que j'ai également fait un alias pour ftp.abandonware.org qui pointe vers le serveur
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Mise à jour de sécurité
Enlever le firewall : /etc/init.d/firewall stop
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh patch-all.sh
Version actuelle : 2.33 (août 2014)
Enlever le firewall : /etc/init.d/firewall stop
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh patch-all.sh
Version actuelle : 2.33 (août 2014)
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Page qui donne les infos sur le serveur : https://176.31.123.20/cgi-bin/mrtg.cgi/ ou http://176.31.123.20/cgi-bin/mrtg.cgi/
Ces pages ne peuvent être consultées que par moi.
Ces pages ne peuvent être consultées que par moi.
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Edit de août 2014 : J'ai finalement décidé de retirer la gestion de l'IP6
Ajout de la gestion de l'IP v6 par le serveur.
1) modification du fichier httpd.conf
NameVirtualHost [2001:41d0:8:4214::2]:80
NameVirtualHost [2001:41d0:8:4214::3]:80
NameVirtualHost [2001:41d0:8:4214::4]:80
NameVirtualHost [2001:41d0:8:4214::5]:80
NameVirtualHost [2001:41d0:8:4214::6]:80
NameVirtualHost [2001:41d0:8:4214::7]:80
NameVirtualHost [2001:41d0:8:4214::8]:80
NameVirtualHost [2001:41d0:8:4214::9]:80
NameVirtualHost [2001:41d0:8:4214::10]:80
NameVirtualHost [2001:41d0:8:4214::11]:80
NameVirtualHost [2001:41d0:8:4214::12]:80
<VirtualHost [2001:41d0:8:4214::2]:80>
<VirtualHost [2001:41d0:8:4214::3]:80>
etc. pour chaque nom de domaine
On applique les modifications :
/etc/init.d/httpd restart
2) on modifie le fichier /etc/conf.d/net
/etc/init.d/net.eth0 restart
3) on vérifie si tout est ok
on regarde les connexions réseau
ifconfig
(il doit apparaître le routeur IP6 : adr inet6: fe80::3a60:77ff:fe2e:b2c0/64 Scope:Lien)
on regarde le nom que porte le serveur
uname -a
on regarde si on peut pinger notre serveur
ping6 -c 4 2001:41d0:8:4214:00:00:00:01
Ajout de la gestion de l'IP v6 par le serveur.
1) modification du fichier httpd.conf
NameVirtualHost [2001:41d0:8:4214::2]:80
NameVirtualHost [2001:41d0:8:4214::3]:80
NameVirtualHost [2001:41d0:8:4214::4]:80
NameVirtualHost [2001:41d0:8:4214::5]:80
NameVirtualHost [2001:41d0:8:4214::6]:80
NameVirtualHost [2001:41d0:8:4214::7]:80
NameVirtualHost [2001:41d0:8:4214::8]:80
NameVirtualHost [2001:41d0:8:4214::9]:80
NameVirtualHost [2001:41d0:8:4214::10]:80
NameVirtualHost [2001:41d0:8:4214::11]:80
NameVirtualHost [2001:41d0:8:4214::12]:80
<VirtualHost [2001:41d0:8:4214::2]:80>
<VirtualHost [2001:41d0:8:4214::3]:80>
etc. pour chaque nom de domaine
On applique les modifications :
/etc/init.d/httpd restart
2) on modifie le fichier /etc/conf.d/net
On applique les modifications :# This blank configuration will automatically use DHCP for any net.*
# scripts in /etc/init.d. To create a more complete configuration,
# please review /etc/conf.d/net.example and save your configuration
# in /etc/conf.d/net (this file :]!).
config_eth0=(
"176.31.123.20/24"
#"2001:41d0:8:4214::1/64"
#"2001:41d0:8:4214::2/64"
#"2001:41d0:8:4214::3/64"
#"2001:41d0:8:4214::4/64"
#"2001:41d0:8:4214::5/64"
#"2001:41d0:8:4214::6/64"
#"2001:41d0:8:4214::7/64"
#"2001:41d0:8:4214::8/64"
#"2001:41d0:8:4214::9/64"
#"2001:41d0:8:4214::10/64"
#"2001:41d0:8:4214::11/64"
#"2001:41d0:8:4214::12/64"
)
/etc/init.d/net.eth0 restart
3) on vérifie si tout est ok
on regarde les connexions réseau
ifconfig
(il doit apparaître le routeur IP6 : adr inet6: fe80::3a60:77ff:fe2e:b2c0/64 Scope:Lien)
on regarde le nom que porte le serveur
uname -a
on regarde si on peut pinger notre serveur
ping6 -c 4 2001:41d0:8:4214:00:00:00:01
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Transfert des bases de données.
Elles sont toutes situées dans /home/mysql/
Elles sont toutes situées dans /home/mysql/
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Transfert des fichiers d'un serveur à l'autre.
Pour cela, j'utilise ce type de commande :
scp -r abandonware@176.31.244.178:/home/abandonware/www/ .
Pour cela, j'utilise ce type de commande :
scp -r abandonware@176.31.244.178:/home/abandonware/www/ .
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Pour info, il est possible de se connecter au forum en passant par cette adresse : http://[2001:41d0:8:4214::11]
Edit : cela n'est plus possible car suppression de l'IP6
Edit : cela n'est plus possible car suppression de l'IP6
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Gestion des mails.
En gros, je fais en sortes que tous les mails pouvant arriver sur le serveur soient détruits.
En gros, je fais en sortes que tous les mails pouvant arriver sur le serveur soient détruits.
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
J'ai des problèmes de limitations liées aux connexions MySQL.
J'ai donc modifié le fichier /etc/mysql/my.cnf
J'ai donc modifié le fichier /etc/mysql/my.cnf
[mysqldump]
quick
max_allowed_packet = 16M
[mysql]
# uncomment the next directive if you are not familiar with SQL
#safe-updates
[isamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M
[myisamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M
- Fredo_L
- Scientifique dans l'âme !
- Messages : 6880
- Enregistré le : 26-12-2001 13:02
- Localisation : Paris
- Contact :
Re: Etat et évolution du serveur Kimsufi Bon Plan
Bannir des IP avec fail2ban
On édite le fichier /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1 monIPperso
findtime = 3600
bantime = 86400
Tous les services sont mis sur true pour les surveiller.
On relance le service
/etc/init.d/fail2ban start
/etc/init.d/fail2ban reload
On peut vérifier que c'est bien pris en compte en lançant la commande
fail2ban-client status
On édite le fichier /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1 monIPperso
findtime = 3600
bantime = 86400
Tous les services sont mis sur true pour les surveiller.
On relance le service
/etc/init.d/fail2ban start
/etc/init.d/fail2ban reload
On peut vérifier que c'est bien pris en compte en lançant la commande
fail2ban-client status