Notice administrateur serveur web Linux Debian 6.0.6 Réalisée par Doyen Alexis
Table des matières Introduction... 3 I. Attribution d une adresse IP fixe... 4 II. Synchronisation avec un serveur NTP... 5 III. Installation du serveur FTP... 6 IV. Installation de l outil Webmin... 7 V. Installation du serveur web (apache, phpmyadmin, MySQL)... 8 VI. Installation et paramétrage de WordPress... 10 VII. Installation et paramétrage du nouveau site intranet... 13 1. Installation... 13 2. Synchronisation... 13 VIII. Accès au serveur web depuis le WAN... 14 IX. Installation de GLPI... 17 X. Installation et paramétrage d OCS inventory serveur... 19 1. Installation et paramétrage... 19 2. Récupération des données et intégration dans GLPI... 21 XI. Tâches planifiées... 23 1. Mise à jour sur serveur web... 23 2. Tâche planifiée de sauvegarde des données... 26 XII. Services et outils divers... 28 1. Openssh... 28 2. Nmap... 31 3. Requête A dans le DNS... 31 XIII. Sécurisation du serveur web... 34 1. Changement mot de passe utilisateur... 34 2. Création de l utilisateur «admin» pour webmin... 34 3. Ssh... 35 4. phpmyadmin... 36 5. changer les permissions des dossiers... 37 6. Mise en place d outil de sécurisation... 37 a. Fail2ban... 37 b. Rootkit hunter... 37 1
c. mod security... 38 7. Mise en place d une authentification pour l accès au site extranet depuis le WAN... 39 2
Introduction Cette notice est créée dans le but de réinstaller ou intervenir en cas de problème sur le serveur web. Le serveur web est basé sur une distribution linux, nommé DEBIAN Squeeze (6.0.6) Le serveur web va servir à accéder au site intranet de la mairie de Cormontreuil (depuis le réseau local ou des sites distants via internet sécurisé), GLPI et OCS. La procédure d installation est standard. Pour une utilisation optimale, j ai mis à jour le sources.list (puis apt-get update et apt-get upgrade). Toutes les opérations à effectuer dans le terminal sont à faire en mode root. Pour se faire, saisir la commande su - 3
I. Attribution d une adresse IP fixe Après l installation il faut éditer le fichier interfaces. gedit /etc/network/interfaces Et rentrer les paramètres identiques à la capture. Il faut ensuite redémarrer le service /etc/init.d/networking restart Faire un ifconfig afin de vérifier le bon paramétrage. 4
II. Synchronisation avec un serveur NTP - apt-get install ntp - gedit /etc/ntp.conf - changer les lignes présentes par : - puis redémarrer le service /etc/init.d/ntp restart 5
III. Installation du serveur FTP Afin de faciliter les échanges avec le serveur web, il faut installer un serveur ftp : apt-get install proftpd Sélectionner Indépendamment et ok. Après l installation, transférer les fichiers à l aide d un client comme FileZilla 6
IV. Installation de l outil Webmin Afin de faciliter la gestion à distance du serveur web, j ai installé l outil webmin. Pour l installer : - J ai installé au préalable ses dépendances : apt-get install perl libnet-ssleay-perl openssl libauthen-pam-perl libpam-runtime libiopty-perl apt-show versions python - J ai téléchargé le paquet webmin_1.620_all.deb (dernière version au 06.02.13) et transféré via FTP - Je l ai installé dpkg i webmin_1.620_all.deb - Puis on peut se connecter à la machine via webmin. 7
V. Installation du serveur web (apache, phpmyadmin, MySQL) Il faut procéder de la façon suivante - apt-get install apache2 - apt-get install php5 - apt-get install libapache2-mod-php5 - apt-get install mysql-server - apt-get install libmysqlclient15-dev Il faut ensuite éditer le fichier php.ini gedit /etc/php5/apache2/php.ini Et dans celui-ci, y incorporer les deux lignes suivantes à la fin du fichier : - extension = pdo.so - extension = pdo_mysql.so Il faut maintenant installer phpmyadmin. - apt-get install phpmyadmin Et le configurer de la façon suivante. Il faut ensuite saisir ses mots de passe. Afin que le service fonctionne il faut faire un lien symbolique : ln s /usr/share/phpmyadmin /var/www Puis redémarrer le service. service apache2 restart 8
9
VI. Installation et paramétrage de WordPress Avant d importer la base de données «intranet» et récupérer le site intranet, il faut installer et paramétrer WordPress. Procédure : - wget http://fr.wordpress.org/latest-fr_fr.zip (téléchargement de la dernière version de WordPress) - apt-get install unzip - unzip latest-fr_fr.zip - rm -rf latest-fr_fr.zip (pour supprimer l archive devenu inutile) - service apache2 restart Il faut maintenant créer une base de données (qui sera supprimée ultérieurement). - mysql -u root p - mysql> CREATE DATABASE WordPress; (Message si opération c est bien déroulée) - mysql> CREATE USER alexis; - mysql> SET PASSWORD FOR alexis = PASSWORD("alexis"); - mysql> GRANT ALL PRIVILEGES ON wordpress.* TO alexis@localhost IDENTIFIED BY 'alexis'; - mysql> exit; Il faut maintenant saisir sur un navigateur 192.168.0.201/wordpress - Cliquer sur le bouton «créer un fichier de configuration» - Cliquer sur le bouton «c est parti» - Entrer les informations de votre base de données et cliquer sur "Envoyer". Vu que le fichier de config ne se créé pas, il faut l éditer à la main. - Gedit wp-config.php (l éditer dans le dossier /var/www/wordpress) - Collez le fichier de config proposé dans le navigateur. - Lancer l installation 10
- Tester ses identifiants Il faut maintenant importer la BDD intranet sur phpmyadmin. - Importer - Choisir un fichier - Sélectionner la BDD en archive - Exécuter Il faut également transférer tout le dossier «intranet» (celui-ci était déjà transférer sur le serveur via FTP) - mv home/alexis/intranet /var/www Il faut modifier le fichier config du dossier importé intranet. - gedit /var/www/intranet.old/wp-config.php - modifier DB_USER et DB_PASSWORD Il ne reste plus qu à aller sur le site pour le configurer. - 192.168.0.201:1165/intranet/wp-login.php 11
Il faut maintenant rediriger les liens des documents de l intranet dans la base de données. (192.168.0.251 à 192.168.0.201) Dans phpmyadmin/intranet.old/sql/ o UPDATE wp_posts SET post_content = REPLACE (post_content,"192.168.0.251","192.168.0.201:1165") o UPDATE wp_posts SET guid = REPLACE(guid,"192.168.0.251","192.168.0.201:1165") o UPDATE wp_options SET option_name= REPLACE(option_name,"192.168.0.251","192.168.0.201:1165") o UPDATE wp_links SET link_url = REPLACE (link_url, 192.168.0.251, 192.168.0.201:1165 ) o update wp_options set option_value = replace(option_value,"192.168.0.251","192.168.0.201:1165") o update wp_streampad_tracks set enclosure = replace(enclosure,"192.168.0.251","192.168.0.201:1165") o update `wp_streampad_tracks` set `sourceurl` =replace(`sourceurl`,"192.168.0.251","192.168.0.201:1165") Celui-ci sera conservé en archive. 12
VII. Installation et paramétrage du nouveau site intranet Comme l accès à wordpress pose des problèmes depuis l extérieur, j ai créé un nouveau site intranet via le CMS pluxml. Je créé donc deux sites nommés intranet et extranet (celui-ci sera accessible depuis le WAN) avec une copie régulière des données (tache cron) de l intranet vers l extranet. 1. Installation Télécharger et décompresser l archive pluxml-latest.zip avec unzip Changer de propriétaire (chown -R www-data:www-data /var/www/) Changer les droits (chmod -R 755 /var/www/) Dans le navigateur, accéder au site, et on aura la page d installation Remplir les 4 champs et s assurer que les prérequis sont OK, puis valider l installation Répéter l installation une deuxième fois pour l extranet 2. Synchronisation Dans webmin, aller dans Système/cron Créer une nouvelle tâche programmée Rentrer la ligne de commande : rsync -a --delete --exclude parametres.xml -- exclude="statiques" /var/www/intranet/data /var/www/extranet et faire une exécution hebdomadaire (à minuit) Sauvegarder 13
VIII. Accès au serveur web depuis le WAN Afin que les sites distants (médiathèque, écoles ) accèdent soit au site intranet ou GLPI, il faut autoriser l accès depuis internet via l adresse IP publique. (Il faudra ensuite sécuriser cet accès.) Pour cela, il faut ouvrir un port sur le routeur. Dans la logique, c est soit le port 80 (HTTP) ou le 443 (HTTPS) qui doivent être ouvert pour l accès à l intranet depuis le WAN. Or ces ports sont utilisés par le serveur web actuel et par l ESXI. J ai donc ouvert un port TCP supérieur à 1000 (conseillé) pour l accès au serveur web. 14
Il faut ensuite modifier le port d écoute d apache. Puis mettre le port 1165 à la place du port 80. Il faut également modifier dans webmin le port sur le serveur virtuel (remplacer le port 80 par 1165) 15
Nous avons maintenant accès à la racine du serveur web via les adresses : 192.168.0.201 :1165 cormontreuil :1165 (uniquement en local) 80.14.147.247 :1165 16
Il faut également modifier tous les liens du site intranet inscrit dans la base de données. Pour cela, dans phpmyadmin, il faut faire une recherche des anciens liens. Puis faire une requête SQL du type UPDATE wp_posts SET post_content = REPLACE (post_content,"192.168.0.251","192.168.0.201:1165") Il faut réitérer les requêtes SQL, jusqu à ce que tous les liens soient changés. IX. Installation de GLPI - Il faut au préalable exporter la base de données (BD) existante, puis dans phpmyadmin crée une base de données glpi et finalement importer notre BD. - - Il faut télécharger l archive à l adresse : http://www.glpi-project.org/?article3&lang=fr - La décompresser puis la déplacer dans le dossier /var/www tar xvzf glpi-0.83.7.tar.gz mv glpi /var/www - il faut maintenant changer le propriétaire du dossier chown www-data :glpi - maintenant, le reste du paramétrage se fait via l interface web à l adresse : 192.168.0.201:1165/glpi 17
18
X. Installation et paramétrage d OCS inventory serveur 1. Installation et paramétrage - Il faut déjà installer les modules requis : Ensuite, il faut ensuite télécharger et Détarer l archive : Télécharger OCSNG_UNIX_SERVER-2.0.5.tar.gz sur le site http://www.ocsinventory-ng.org/fr/telechargement/telecharger-serveur.html - La Détarer : tar xvzf OCSNG_UNIX_SERVER-2.0.5.tar.gz - la déplacer : mv OCSNG_UNIX_SERVER-2.0.5 /opt - puis finalement l installer : o cd /opt/ocsng_unix_server-2.0.5 o./setup.sh o Suivre l installation - La configuration se fait ensuite sur l interface web à l adresse 192.168.0.201 :1165/ocsreports 19
Je me connecte ensuite pour la 1 ère fois à ocs avec les login et mdp suivants : admin/admin Après l installation, il faut sécuriser l accès à OCS 1. Suppression du fichier d installation : rm /usr/share/ocsinventory-reports/ocsreports/install.php 2. Creation d un nouvel utilisateur : 3. Création d un nouvel utilisateur sur la BD ocsweb dans phpmyadmin admin/notorious big 20
2. Récupération des données et intégration dans GLPI Deux méthodes seront utilisées pour récupérer les informations d inventaires. Soit d une part, le déploiement de l agent manuellement sur les postes, et d autre part, le déploiement par GPO. - Installer le programme : OCSAgent.exe (en version 2.0.5.0) Si l installation de l agent se fait à l extérieur du réseau local changer l adresse à l étape 2 et mettre http://80.14.147.247:1165/ocsinventory - En se connectant sur 192.168.0.201:1165/ocsreports, on peut constater que la machine est bien remontée. 21
- Dans GLPI, on active le mode OCSNG o Configuration/inventaire/activer le mode OCSNG/OUI/Valider o Outils/OSCNG/Importation de nouveaux ordinateurs/importer 22
XI. Tâches planifiées Pour faciliter la maintenance du serveur web, je mets en place des tâches planifiées. 1. Mise à jour sur serveur web Afin d éviter des problèmes de sécurité, il est recommandé de mettre à jour son système d exploitation. Seulement on ne pense pas toujours aller voir sur le serveur s il y a des mises à jour disponibles. Pour cela il faut installer un logiciel qui enverra des notifications à l administrateur - apt-get install apticron - nano /etc/apticron/apticron.conf o mettre l adresse mail de l administrateur 23
De base, les notifications sont envoyées quotidiennement. Pour les recevoir une fois par semaine, il faut : - supprimer la tâche cron o rm /etc/cron.daily/apticron - éditer le fichier de configuration dans /etc/cron.d/apticron - 08 30 correspond à l heure pour la notification - 1 correspond au jour de la semaine où la notification sera envoyée (le lundi) Il faut maintenant installée le logiciel ssmtp pour valider l envoi de mail - apt-get install ssmtp - nano /etc/ssmtp/ssmtp.conf 24
Il faut renseigner : - l adresse de «root» - le serveur sortant Il faut également modifier le fichier revaliases - nano /etc/ssmtp/revaliases Modifier la ligne root et mettre les mêmes infos que dans le ssmtp.conf Reste plus qu à tester l envoi de notification - /usr/sbin/apticron 25
2. Tâche planifiée de sauvegarde des données Afin de sécuriser les données présentes sur le site intranet, il faut les sauvegarder (en incrémentielle). J effectue cette tâche en tâche planifiée afin d avoir une sauvegarde a jour. Pour plus de facilité, elle sera effectuée via Webmin. - Créer un dossier backup (actuellement dans /home/admin) - Se connecter sur l interface Webmin (https://192.168.0.201:10000) - Ouvrir système puis Tâche cron - Cliquer sur «Créer une nouvelle tâche cron programmée» 26
- Exécuter la tâche en tant que root - Saisir la commande : rsync r /var/www /home/admin/backup_intranet (Cette commande permet de synchroniser les dossiers et fichiers qu ils contiennent) - Y entrer une description - Puis la planifier aux heures et jours souhaités (ici, tous les jours à 12h00) - Il ne reste plus qu à sauvegarder la tâche cron 27
XII. Services et outils divers Afin de simplifier l utilisation ou l accès au serveur web, j ai mis en place certains outils ou services. - Openssh - Nmap - Requête A dans le DNS 1. Openssh C est un outil informatique open-source permettant des communications sécurisées sur un réseau informatique en utilisant le protocole SSH. Concrètement, je peux administrer le serveur web (uniquement en ligne de commande) de n importe où, ou sur n importe quelle machine et ce, en accès complètement sécurisé. - Putty sous Windows - ServerAuditor (par exemple) sous ios ou Android Installation d openssh: 28
Accès au serveur via ssh: putty : 29
ServerAuditor : - Cliquer sur l application - Puis rentrer les paramètres - Et se connecter 30
2. Nmap Nmap est un scanner de ports open source. Celui-ci nous permet de voir par exemple si le port 80(utilisé par apache) est ouvert et fonctionne bien. Installation de nmap : Apt-get install nmap Utilisation : 3. Requête A dans le DNS La création de cette requête permettra aux utilisateurs une recherche plus simple du site intranet ou GLPÏ. Jusqu à présent, pour accéder au site intranet il fallait saisir l adresse IP et le dossier : 192.168.0.201 :1165/Intranet Grâce à la requête A sur le serveur DNS, les utilisateurs saisiront cormontreuil/intranet 31
Procédure : - Se connecter au serveur principal - Ouvrir le rôle DNS - Clic droit sur mairie.fr dans «Zones de recherche directes» - Cliquer sur Nouvel Hôte(A) - Saisir le nom souhaité et l adresse IP de la machine - L Hôte A est créé 32
- Il faut maintenant tester Cela fonctionne mais qu en local 33
XIII. Sécurisation du serveur web La sécurisation du serveur web est un point important. En effet, une attaque depuis l extérieur peut vite arriver ainsi que la fuite de données importantes. C est pourquoi, je mets en place plusieurs sécurités. 1. Changement mot de passe utilisateur Que ce soit pour root, admin Ex : 2. Création de l utilisateur «admin» pour webmin Celui aura un accès restreint à l administration. Dans webmin. Utilisateurs webmin/créer un nouvel utilisateur Webmin 34
3. Ssh Changement du port Nano /etc/ssh/sshd_config Changer le port, l adresse d écoute, et la permission root De ce fait, l accès root est limité, et l accès en ssh sécurisé. Service ssh restart résultat 35
4. phpmyadmin Changement du mot de passe root pour l accès aux sites contenant une base de données Au préalable, il faut changer les mots de passe de l utilisateur ayant accès à la base de données dans glpi et intranet. o nano /var/www/glpi/config/config_db.php et changer le mdp o nano /var/www/intranet.old/wp-config.php et changer le mdp changer le mdp de root dans phpmyadmin et mettre le même que les fichiers de config. 36
5. changer les permissions des dossiers Que ce soit sur la racine, les dossiers, sous dossiers, fichiers. Exemple sur la racine : Sur un fichier.htaccess Il faut faire de même sur les fichiers de config et les.php 6. Mise en place d outil de sécurisation a. Fail2ban Fail2ban est un puissant logiciel pour protéger le serveur contre les attaques par force brute (essai de tous les mots de passe). Il est capable de repérer les échecs répétés de connexion et de reconfigurer automatiquement le firewall pour bloquer les adresses IP des attaquants. apt-get install fail2ban nano /etc/fail2ban/fail2ban.conf b. Rootkit hunter Rootkit Hunter est un programme de détection de rootkits. apt-get install rkhunter nano etc/default/rkhunter 37
c. mod security Modsecurity est un pare-feu applicatif, dont le rôle est de filtrer les requêtes entrant sur un serveur HTTP Apache. Il se présente sous la forme d'un module apache, qui analyse les requêtes reçues grâce à l'emploi d'une base des règles de requêtes considérées comme non souhaitées Pour procéder à l installation de celui-ci, j ai suivi le tutoriel à cette adresse : http://www.ebelair.fr/2011/06/07/installer-et-configurer-modsecurity/ 38
7. Mise en place d une authentification pour l accès au site extranet depuis le WAN Afin de sécuriser l accès au serveur depuis les sites distants, il faut mettre en place une authentification. Il en existe 2 types : - Basic (login & mot de passe en clair sur le réseau) - Digest (login et mdp cryptés) J ai donc choisi de mettre en place la méthode digest. Il faut créer le répertoire accueillant le fichier.htpasswd Mkdir /home/admin/digest/.htpasswd Il faut créer le fichier.htaccess Dans le répertoire que l on souhaite protéger Nano /var/www/extranet/.htaccess Puis rentrer ces informations AuthType = mode d authentification (Basic ou Digest) AuthName = le «royaume» du dossier à protéger AuthDigestDomain = domaine protégé par le.htaccess AuthUserFile = chemin du.htpasswd Require valid-user = ligne qui permet d accepter tous les utilisateurs inscrit dans le fichier.htpasswd 39
On va créer les utilisateurs htdigest -c /home/admin/digest/.htpasswd Intranet admin Remarque: pour ajouter un nouvel utilisateur, il faut saisir la commande précédente sans le -c Puis on saisira le mot de passe de notre utilisateur (deux fois) On redémarre le serveur web pour appliquer les changements Service apache2 restart 40