CitizenZ

Blog Libre, Net & Société

Debian c'est bien

Rédigé par citizenz 4 commentaires

​Debian 9 "Strech" va sortir samedi 17 juin ! Evènement dans la communauté débianiste car une sortie de Debian Stable se fait toujours attendre et reste un évènement !

J'en ai profité, moi le Archiste-Debianiste, pour faire un petit tour des avantages et des inconvénients de Debian. J'ai mis tout ça à ma sauce ... caustique. C'est de l'humour, rien que de l'humour ! Hein ?!! ...

Les + de Debian
  1. Super comme serveur : un serveur PHP/MySQL/Nginx, ça s'installe sous Debian non de d'la ! (A la rigueur, sous Ubuntu server... Pour les menaces de mort, voyez avec ma secrétaire)
  2. Super comme desktop : KDE, Gnome, XFCE, etc. Tout est bon dans Debian !
  3. C'est une distribution "culte", une des premières (Le projet Debian fut officiellement fondé par Ian Murdock le 16 août 1993)
  4. Basée sur des personnages de Toy Stoy : et là c'est l'un des arguments ultimes en ce qui me concerne. Pour avoir vu 47 fois les 3 Toy Story avec mes gamins, je peux vous dire que je m'y connais ! Et Sid, le méchant, il est jamais "stable" (Still In Developpement).
  5. Stabilité, stabilité, stabilité, ... : prendre une Debian stable, c'est quand même une sécurité de ne pas être trop embêté par des applis qui plantent en moins de deux !
  6. Une communauté énorme et très dynamique : Debian, c'est comme Alain Delon. C'est une expression qu'on retrouve même dans les dialectes de Patagonie australe. Et en Zoulou, Ubuntu signie : "Je n'arrive pas à configurer Debian".
  7. Un système de paquets qui a fait ses preuves : dpkg et les fichiers deb, c'est le bien. On en trouve partout. Et apt-get, c'est diablement efficace : apt-get --purge remove mabelle-mere
Les - de Debian
  1. Une partie de la communauté Debian est composée de Geeks complètement barrés ! C'est chiants les geeks barrés ! Ca se croit tout permis... c'est même à ça qu'on les reconnait !
  2. Une partie des geeks complètement barrés a reçu un don divin à la naissance : ils savent tout... Eux, ils savent ! Et pas nous... et on les fait chier grave. Je les nomme les "geeks absolus".
  3. Une partie des "geeks absolus" se la pète sur linuxfr.org !
     

[NOTE] Installer Nginx stable pour Debian 7 et 8

Rédigé par citizenz 3 commentaires

La version de Nginx dans les ports de Debian 8 est actuellement la 1.6.2-5+deb8u4

Cela ne pose pas de problème en soit mais vous pouvez installer la version "stable" depuis les ports officiels Nginx afin de disposer d'une appli plus à jour (version actuelle : 1.12.0) et qui permet d'avoir accès à certaines "fonctions" ou "configs" comme par exemple l'utilisation de HTTP2 (qui sert à améliorer le temps de chargement des pages d’un site web sécurisé ) ou une légère différence dans la mise en place de la configuration. En effet, avec la version "stable", finis les répertoires "sites-enabled" et autres "sites-available". Tout se trouve dans le rep /etc/nginx/conf.d.

Sur le Net, on trouve ces précisions :
Qu’est-ce HTTP/2 ?
Le protocole HTTP/2 reprend les bases du protocole HTTP 1.1 tout en ajoutant de la rapidité et de la sécurité (support du SSL) car basé sur le code de SPDY, un protocole développé par Google.
La grande force du protocole HTTP/2 est de pouvoir faire du « Multiplexing », qui permet d’envoyer dans un seul flux de données tous les fichiers d’un site web.
Pour résumé HTTP/2 c’est : support du protocole SSL + Multiplexing = Chargement de page web sécurisé très rapide !

Pour installer cette version "stable", c'est assez simple :

wget -O - https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb http://nginx.org/packages/debian/ $(lsb_release -sc) nginx" > /etc/apt/sources.list.d/nginx.list
apt update
apt install nginx

Les "Stats" pour les Nuls : Netdata

Rédigé par citizenz Aucun commentaire

​Afficher les stats d'un serveur, cela peut être bien utile : vérifier la charge processeur, la RAM utilisée, la "santé" de sa base de données SQL, etc.
Jusqu'à maintenant, j'avais l'habitude d'installer Munin qui nous propose de jolis graphiques. Mais, à mon goût, l'un des inconvénients de Munin, c'est que, outre l'aspect esthétique graphique un peu répétitif, ça devient vite "assez lourd" sur des petits systèmes (sur un petit VPS avec un proc et 2 GO de RAM, vous êtes vite dépassé niveau charge avec des crêtes d'utilisation assez élevées...).

Et puis je suis tombé sur Netdata. Un site proposait d'aller "voir" ses stats en ligne : ahurissant !
Netdata, c'est du "live", "temps réel", "en direct", blablabla, ... et vous avez beau descendre dans la page de stats, vous en avez toujours, encore et encore.
C'est ULTRA complet, esthétiquement à des années lumières de Munin. Ca flash !

C'est quoi Netdata ?
Netdata est un outil de supervision en temps réel pour les systèmes Linux qui va nous permettre de visualiser les éléments importants d'un système (processeur, mémoire, débit du disque dur, traffic réseau, application, etc.).
C'est assez exhaustif et vous serez surpris du nombres d'éléments visualisables ! 

Comment on installe Netdata ?
Bon : on va l'installer sur notre serveur Debian. Mais avant cela, on va installer quelques éléments indispensables :

$sudo apt install zlib1g-dev gcc make git autoconf autogen automake pkg-config

J'ai l'habitude d'installer mes sites web dans /var/www/monsite.com/web.
Je pars du postulat que Nginx (version stable depuis le dépot officiel), php5 ou php7 sont installés.
N'oubliez pas de changer monsite.com avec vos propres infos.

Pour plus d'aisance, on passe directement en root :

$sudo -s

Puis on crée le répertoire web qui va accueillir les fichiers netdata :

#mkdir /var/www/netdata.mondomaine.com

Si vous n'avez jamais encore configuré de site dans ce répertoire, entrez plutôt la commande suivante : 

#mkdir -p /var/www/netdata.mondomaine.com

On se place dans le répertoire web qu'on vient de créer :

#cd /var/www/netdata.mondomaine.com

La ligne suivante est facultative (mais ça me permet de placer les logs du site afin de les consulter facilement, notamment en cas de soucis...)

#mkdir logs

On va maintenant cloner le repertoire git du projet Netdata :

#git clone https://github.com/firehol/netdata.git netdata --depth=1

L'étape suivante est facultative. Je renomme le répertoire netdata pour coller avec ma config et mon "organisation" :

#mv netdata/ web/

On se place dans le répertopire web/ :

#cd web/

... et on installe Netdata :

#./netdata-installer.sh

... et c'est tout !

Configuration Nginx
Il reste quand même à configurer Nginx :

#cd /etc/nginx/conf.d
#vim netdata.mondomaine.com.conf

Cerise sur le gateau, nous allons configurer le vhost Nginx avec HTTPS Let's Encrypt :
- netdata écoute, par défaut, sur le port 19999
- IPV6 ready
- tous les accès sur le port 80 sont "automagiquement" renvoyer sur le port 443 (HTTPS)
- on ne log pas les accès sur le port 80
- on ajoute plusieurs options SSL "qui vont bien" ...
- nous configurerons Let's Encrypt juste après cette partie

Voici le fichier :

#/etc/nginx/conf.d/netdata.mondomaine.com.conf
upstream backend {
    server 127.0.0.1:19999;
    keepalive 64;
}
server {
    listen 80;
    listen [::]:80;
    server_name netdata.mondomaine.com;
    return 301 https://$server_name$request_uri;
    access_log /dev/null;
    error_log /dev/null;
}
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name netdata.mondomaine.com;
    charset utf-8;
    access_log /var/www/netdata.mondomaine.com/logs/netdata.access.log combined;
    error_log /var/www/netdata.mondomaine.com/logs/netdata.error.log error;
    ssl_certificate /etc/letsencrypt/live/netdata.mondomaine.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/netdata.mondomaine.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/netdata.mondomaine.com/chain.pem;
    ssl_protocols TLSv1.2;
    ssl_ecdh_curve prime256v1;
    ssl_ciphers EECDH+AESGCM:EECDH+AES;
    ssl_prefer_server_ciphers on;
    resolver 80.67.169.12 80.67.169.40 valid=300s;
    resolver_timeout 5s;
    ssl_session_cache shared:SSL:10m;
    add_header Strict-Transport-Security "max-age=15768000";
    add_header Referrer-Policy "strict-origin-when-cross-origin";
    location / {
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://backend;
        proxy_http_version 1.1;
        proxy_pass_request_headers on;
        proxy_set_header Connection "keep-alive";
        proxy_store off;
    }
}

Et voila. Vous enregistrez ce fichier après avoir adapté les passages avec netdata.mondomaine.com.

Configuration de Let's Encrypt
On passe à la config Let's Encrypt. On installe d'abord les backports Debian (à moins que cela ne soit déjà fait ...) :

#echo "deb http://httpredir.debian.org/debian jessie-backports main" >> /etc/apt/sources.list

On met à jour : 

#apt update && apt full-upgrade -y

On installe Let's Encrypt :

#apt install -t jessie-backports letsencrypt

Pour obtenir un certificat Let's Encrypt, il faut arrêter Nginx (port 80) :

#service nginx stop

Puis on génére le certifcat (à adapter pour netdata.mondomaine.com et l'adresse e-mail) :

#letsencrypt certonly -d netdata.mondomaine.com --agree-tos -m contact@mondomaine.com --rsa-key-size 4096 --standalone

Si vous voyez "Congratulations..." etc., c'est bon, votre certificat Let's Encrypt a été créé et installé dans /etc/letsencrypt/live/netdata.mondomaine.com/.
Vous y trouverez plusieurs fichiers : fullchain.pen, chain.pem, privkey.pem, ...

Redémarrez maintenant votre serveur Nginx :

#service nginx start

Si vous ne voyez pas d'erreur : VICTOIRE !

Vous pouvez aller voir vos superbes stats sur l'adresse https://netdata.mondomaine.com !
 

Installer facilement Pure-FTPd sur une Debian

Rédigé par citizenz Aucun commentaire

# On installe pure-ftpd
apt-get install pure-ftpd-common pure-ftpd

 

# On crée un nouveau groupe
groupadd ftpgroup

 

# On crée un nouvel utilisateur : ftpuser
# Pour des questions de sécurité, il n'a pas de /home, il n'a pas de shell
useradd -g ftpgroup -d /dev/null -s /bin/false ftpuser

 

# On crée un nouvel utilisateur "virtuel" de pure-ftpd pouvant se connecter en ftp
# il aura accès au répertoire /var/www
pure-pw useradd citizenz -u ftpuser -g ftpgroup -d /var/www

 

# On crée ou on met à jour la base de pure-ftpd : indispensable après
# chaque modification des utilisateurs
pure-pw mkdb

 

# Commande pour lister les utilisateurs
pure-pw list

 

# Commande pour modifier le mot de passe utilisateur
pure-pw passwd citizenz
pure-pw mkdb

 

# Quelques liens ...
ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/75puredb

 

# Changer les droits pour faire cohabiter le serveur web et le serveur ftp
# Ainsi, on peut utiliser un client ftp pour mettre un site web à jour sans problème de droits
adduser ftpuser www-data
chmod -R g+rw /var/www/

Fil RSS des articles de ce mot clé