Pour cet article, je pars d’une image debian-6.0.0-amd64-netinst.iso. Je déroule la procédure d’installation simplement afin d’arriver à un serveur de base vierge d’interface graphique et de tous logiciels sauf SSH. Je vais décrire maintenant les étapes de l’installation des packages complémentaires afin de disposer de Apache, MySQL, PHP, Java et Tomcat. Ceci peut vous intéresser, mais c’est également un aide mémoire pour moi-même. C’est un peu technique, mais je n’entre pas dans les détails.

Dans le précédent article j’utilisais le gestionnaire de package Apt. Je profite de cette mise à jour pour utiliser Aptitude. Afin que la gestion ds dépendance, les mises à jours et les suppressions fonctionnent correctement, il faut éviter d’utiliser alternativement les 2 outils sur un même serveur. Il faut donc faire attention à ne plus utiliser par réflexe apt-get et apt-cache.

Les commandes qui sont indiquées doivent être exécutées sous le compte root ou avec sudo (on va voir sudo plus loin).

Mettre à jour les dépots Apt / Aptitude

Apt et Aptitude, sont les outils qui permettent d’installer des packages et de gérer les dépendances. Les 2 outils utilisent les mêmes dépots. La mise à jour en question a pour but de mettre à jour la liste des packages disponibles.

Je commence par modifier le fichier /etc/apt/sources.list pour ajouter les dépots contrib et non-free ainsi que pour désactiver le CDROM. Mon fichier contient ceci :

#
 
# deb cdrom:[Debian GNU/Linux 6.0.0 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-14:31]/ squeeze main
 
#deb cdrom:[Debian GNU/Linux 6.0.0 _Squeeze_ - Official amd64 NETINST Binary-1 20110205-14:31]/ squeeze main
 
deb http://ftp.fr.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ squeeze main contrib non-free
 
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
 
deb http://ftp.fr.debian.org/debian/ squeeze-updates main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ squeeze-updates main contrib non-free

Et enfin :

aptitude update

Installation du serveur OpenSSH

Dans mon installation de base, j’ai installé le serveur SSH sur le serveur. Si ce n’est pas fait, il faut installer OpenSSH depuis la console physique de serveur.

aptitude install openssh-server

Création de l’utilisateur « dominique »

useradd -d /home/dominique -m -s /bin/bash dominique      

passwd

Installer sudo

sudo permet d’exécuter des commandes comme utilisateur root sans être connecté sous le compte root.

aptitude install sudo

Déclarer l’utilisateur dominique dans sudo en ajoutant la ligne suivante dans « /etc/sudoers »

dominique ALL=(ALL) ALL

A partir de là, tout se fait si possible sous le compte « dominique » (et utilisation de sudo pour les actions nécessitants les droits root).

Augmentation des limites systèmes (optionnel)

Pour mes besoins j’ai besoin d’augmenter certaines limites systèmes. Cela se fait en éditant le fichier  /etc/security/limits.conf

vi /etc/security/limits.conf

Personnellement, j’y ajoute les lignes suivantes :

*                soft    nofile        8192
*                hard    nofile        16384
*                soft    stack         16384
*                hard    stack         32768

Installation de apache2.2

sudo aptitude install apache2

Activer le mode rewrite

sudo a2enmod rewrite

sudo /etc/init.d/apache2 restart

Installation de mysql server 5.1

sudo aptitude install mysql-server-5.1

Installation PHP 5

J’ai besoin de PHP 5 et quelques librairies complémentaires (curl par exemple pour appeler des web services en http, mysql, PEAR, …).

sudo aptitude install php5 php5-cli libapache2-mod-php5 php5-curl php5-gd php5-mysql php5-dev
sudo aptitude install locales-all

Installation et mise à jour de PHP PEAR

sudo aptitude install php-pear

sudo pear upgrade PEAR

Puis installation de quelques modules Pear

sudo pear install Mail Net_Smtp

Modification du php.ini

Editer « /etc/php5/apache2.php.ini » et mettre

output_buffering=4096

Installation d’un JDK

On peut soit installer openJDK 6 ou Sun JDK 6

openJDK

sudo aptitude install openjdk-6-jre openjdk-6-jdk

Sun JDK

sudo aptitude install sun-java6-jdk sun-java6-fonts

Installation de tomcat 6

sudo aptitude install tomcat6 tomcat6-admin

Installation de pdftotext

sudo aptitude install xpdf-utils

Installation de lftp

lftp est un client ftp qui sera utile pour mettre les sauvegardes sur le serveur FTP mis a disposition par OVH.

sudo aptitude install lftp

Paramétrage de apache

Copier le fichier de configuration de mon virtualhost dans « /etc/apache2/site-available« ,
activer le site et relancer Apache.

sudo a2ensite xxxxxx (ou xxxxxx est le nom du fichier .conf du virtualhost)
sudo /etc/init.d/apache2 reload

Paramétrage Tomcat

Dans /var/lib/tomcat6/conf/server.xml, on vérifie que le connecteur non-SSL inclut l’attribut « URIEncoding= »UTF-8″ ». C’est le cas apparemment par défaut maintenant.

    <!-- Define a non-SSL HTTP/1.1 Connector on port 8080 -->
    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               URIEncoding="UTF-8"
               redirectPort="8443"/>

Sous Debian, Tomcat est très sécurisé. Une autre manière radicale de passer outre cette sécurisation est de la désactiver dans le fichier « /etc/init.d/tomcat6″, en indiquant :

TOMCAT6_SECURITY=no

Je constate que c’est la configuration par défaut maintenant. Par contre, je ne me permet ceci parce que je n’autorise l’accès à mon serveur Tomcat que localement. Dans /var/lib/tomcat6/conf/server.xml, j’ajoute une définition de valve au niveau engine :

    <Engine name="Catalina" defaultHost="localhost">
      <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127.0.0.1" deny=""/>

Je change également le fichier « /etc/default/tomcat6″ pour lui indiquer le bon timezone et augmenter ses ressources mémoires. Editer le fichier « /etc/default/tomcat6″, pour modifier la ligne JAVA_OPTS=…

JAVA_OPTS="-Djava.awt.headless=true -Xms256M -Xmx1024M -Duser.timezone=Europe/Paris -XX:MaxPermSize=128m -XX:+UseConcMarkSweepGC"

Relancer tomcat

sudo /etc/init.d/tomcat6 restart

Installer le compilateur GCC et l’outil make

sudo aptitude install gcc g++ make

Installer memcached

sudo aptitude install memcached php5-memcache

Dans cet article,  je décris memcached.

Pour son installation à partir des sources, suivre la procédure parfaitement décrite dans cet article. Par contre, il faut vérifier quelles sont les dernières versions des modules à télécharger.

Installer ntpdate

sudo aptitude install ntpdate

Pour mettre à l’heure en utilisant le serveur de temps de l’observatoire de Paris

sudo /usr/sbin/ntpdate ntp-p1.obspm.fr

Dans la crontab ajouter la ligne suivante afin de synchroniser l’heure tous les matins à 3h

0 3 * * * root /usr/sbin/ntpdate ntp-p1.obspm.fr >/dev/null

Installer fail2ban

En fonctionnement, un serveur s’expose à des attaques. Fail2ban permet de se protéger contre les attaques de masse sur certains ports TCP ou UDP en attente de connexion. Le premier protocole à protéger (le seul exposé à la livraison du serveur lorsque qu’il n’y a pas de logiciel complémentaire installé) est ssh. Ssh permet de prendre la main sur un serveur à distance. Mais si on connaît le port d’attente (22 par défaut) et le mot de passe root, on peut tout faire sur le serveur. Fail2ban scrute les logs des services en attente de connexion pour déterminer si une attaque est en cours et si donc il doit bloquer l’adresse IP de l’attaquant.

sudo aptitude install fail2ban

dans « /etc/fail2ban/jail.conf », j’ajout mon ip perso dans les ip a ignorer

ignoreip = 127.0.0.1 82.xxx.xxx.xxx

redémarrage de fail2ban

sudo /etc/init.d/fail2ban restart

Concernant la sécurité, on peut  (et on doit) aller plus loin, mais cela n’ai pas couvert par cet article.

Cas de l’installation sous Vmware server 2.0

Dans ce cas, il faut installer les vmware tools. Pour cela :

1. Dans l’administration Web Vmware Server 2.0, cliquer sur « Install VMware Tools » du serveur en question

2. Ouvrir une console Vmware pour accéder au serveur, se connecter sous le compte root et exécuter les commandes suivantes :

aptitude install autoconf automake binutils cpp gcc linux-headers-$(uname -r) make psmisc
mount /media/cdrom
cp /media/cdrom/VMwareTools-7.7.6-203138.tar.gz /tmp/.
cd /tmp/
tar xvfz VMwareTools-7.7.6-203138.tar.gz
cd vmware-tools-distrib/
./vmware-install.pl

Activation des modules apache :

sudo a2enmod status
sudo a2enmod info

Installation de Munin (voir http://www.howtoforge.com/server-monitoring-with-munin-and-monit-on-debian-lenny) :

sudo apt-get install munin munin-node libwww-perl
vi /etc/munin/munin.conf pour modifier [localhost.localdomain]
sudo /etc/init.d/munin-node restart

Activation de plugin Munin qui ne le sont pas par défaut (http://www.crashdump.fr/tutoriels/munin-le-top-du-monitoring-3/) :

sudo ln -s /usr/share/munin/plugins/apache_accesses /etc/munin/plugins/
sudo ln -s /usr/share/munin/plugins/apache_processes /etc/munin/plugins/
sudo ln -s /usr/share/munin/plugins/apache_volume /etc/munin/plugins/
sudo ln -s /usr/share/munin/plugins/netstat /etc/munin/plugins/netstat
sudo ln -s /usr/share/munin/plugins/uptime /etc/munin/plugins/uptime

Modification des droits pour le plugin netstat :

Créer le fichier /etc/munin/plugin-conf.d/netstat

sudo vi /etc/munin/plugin-conf.d/netstat

avec le contenu suivant

[netstat]
user root

Pour le monitoring des vhost apache :

http://stubbedtoe.co.nz/index.php/2009/09/apache-vhost-monitoring-with-munin/

Un plugin fail2ban :

http://www.majorxtrem.be/2009/08/14/plugins-fail2ban-pour-munin/

Penser à ajouter le droit d'exécution sur le plugin

sudo chmod +x /usr/share/munin/plugins/fail2ban

Pre-requis

Il s'agit des pre-requis consolidés pour Jira et Confluence, notament pour la configuration de Tomcat qui nécessite quelques ajustements.

Avoir JDK 6 de Sun (openJDK 6 n'est pas supporté par Atlassian), Tomcat 5.5 et MySQL 5.x installés.

Dans le fichier server.xml de Tomcat (/var/lib/tomcat5.5/conf/server.xml), ajouter le paramètre URIEncoding="UTF-8" au connecteur "non-SSL".

Dans le script de démarrage de Tomcat (/etc/init.d/tomcat5.5), ajouter les paramètres suivants pour le démarrage

if [ -z "$JAVA_OPTS" ]; then
    JAVA_OPTS="-Djava.awt.headless=true -Xmx768M -Duser.timezone=Europe/Paris -Dorg.apache.jasper.runtime.BodyContentImpl.LIMIT_BUFFER=true -Dmail.mime.decodeparameters=true -XX:MaxPermSize=128m"
fi

Dans /usr/share/tomcat5.5/common/lib, copier le fichier jar du connecteur java de MySQL disponible via cette page : http://www.mysql.com/downloads/connector/j/

Jira

Il s'agit d'installer la version EAR-WAR de Jira. La procédure d'installation sur le site de Atlassian est à cette adresse :

http://confluence.atlassian.com/display/JIRA/Installing+JIRA+WAR-EAR

Créer la base de donnée en utf-8 et donner les droits à un utilisateur.

mysql> CREATE DATABASE jiradb CHARACTER SET utf8 COLLATE utf8_bin;
mysql> grant all privileges on jiradb.* to 'jira'@'localhost' identified by 'jira' with grant option;

Télécharger la distribution à l'adresse suivante : http://www.atlassian.com/software/jira/JIRADownloadCenter.jspa

Au besoin, choisir le bon OS et afficher toutes les versions disponibles ("show all" au dessus du bouton "download")

Contrairement à ce que demande la documentation sur le site de Atlassian, je ne créer pas de d'utilisateur "jira". J'installe Jira dans /opt/atlassian.

Décompresser la distribution dans /opt/atlassian et créer un lien symbolique

gunzip atlassian-jira-enterprise-4.1.2.tar.gz
tar xf atlassian-jira-enterprise-4.1.2.tar
sudo chown -R un_utilisateur: /opt/atlassian
ln -s atlassian-jira-enterprise-4.1.2 jira

J'indique le Jira home path dans le fichier /opt/atlassian/jira/jira/edit-webapp/WEB-INF/classes/jira-application.properties

jira.home = /opt/atlassian/jira

Donner les droits d'écriture à tout le monde dans le répertoires /opt/atlassian/atlassian-jira-enterprise-4.1.2, /opt/atlassian/atlassian-jira-enterprise-4.1.2/cache et /opt/atlassian/atlassian-jira-enterprise-4.1.2/plugins

Configurer la connexion à la base de données dans le fichier /opt/atlassian/jira/jira/edit-webapp/WEB-INF/classes/entityengine.xml 

<datasource name="defaultDS" field-type-name="mysql"
    helper-class="org.ofbiz.core.entity.GenericHelperDAO"
    check-on-start="true"
    use-foreign-keys="false"
    use-foreign-key-indices="false"
    check-fks-on-start="false"
    check-fk-indices-on-start="false"
    add-missing-on-start="true"
    check-indices-on-start="true">

et vérifier par la même occasion :

<transaction-factory class="org.ofbiz.core.entity.transaction.JNDIFactory">
    <user-transaction-jndi jndi-server-name="default" jndi-name= "java:comp/env/UserTransaction" /> 
    <transaction-manager-jndi jndi-server-name="default" jndi-name="java:comp/env/UserTransaction" />
</transaction-factory>

Construire Jira

cd /opt/atlassian/jira
./build.sh

Ajouter dans /usr/share/tomcat5.5/common/lib les librairies nécessaires à jira et qui se trouvent sur le site Atlassian à l'adresse : http://confluence.atlassian.com/download/attachments/200709089/jira-jars-tomcat5.zip?version=1&modificationDate=1252474277460

Stopper Tomcat

sudo /etc/init.d/tomcat5.5 stop

Copier le fichier /opt/atlassian/jira/dist-tomcat/tomcat-5.5/jira.xml dans /var/lib/tomcat5.5/conf/Catalina/localhost

Démarrer Tomcat

sudo /etc/init.d/tomcat5.5 start

Confluence

Créer la base de donnée en utf-8 et donner les droits à un utilisateur.

mysql> CREATE DATABASE confluence CHARACTER SET utf8 COLLATE utf8_bin;
mysql> grant all privileges on confluence.* to 'confluence'@'localhost' identified by 'confluence' with grant option;

Il s'agit de la version EAR-WAR de confluence. La procédure d'installation sur le site de Atlassian est à cette adresse : http://confluence.atlassian.com/display/DOC/Installing+Confluence+EAR-WAR+on+Tomcat

Télécharger la distribution à l'adresse suivante : http://www.atlassian.com/software/confluence/ConfluenceDownloadCenter.jspa

Au besoin, choisir le bon OS et afficher toutes les versions disponibles ("show all" au dessus du bouton "download")

Décompresser l'archive dans /opt/atlassian et créer un lien symbolique

gunzip confluence-3.3.3.tar.gz
tar xf confluence-3.3.3.tar
sudo chown -R un_utilisateur: /opt/atlassian
ln -s confluence-3.3.3 confluence

Donner les droits d'écriture à tout le monde dans le répertoire confluence-3.3.3

Editer confluence/WEB-INF/classes/confluence-init.properties afin d'indiquer le Confluence home path

confluence.home = /opt/atlassian/confluence

Créer un fichier confluence.xml dans le répertoire conf/Catalina/localhost de Tomcat qui contient :

<Context path="/confluence" docBase="/opt/atlassian/confluence/confluence" debug="0" reloadable="true" />

Redémarrer Tomcat

Se connecter à confluence pour exécuter le wizard : http://serveur:8180/confluence/

Problème connu

Les menus de Confluence ne fonctionnent pas ou Confluence ne démarre pas lorsque Conflunence et Jira sont hébergés dans le même serveur Tomcat.

Ces problèmes sont du au fait que ces deux produits utilisent une version différente d'une même librairie Atlassian. Il s'agit de org.apache.felix.main-2.0.0-atlassian-1.jar pour Jira et org.apache.felix.main-2.0.4-atlassian-3.jar pour Confluence. La solution consiste a :

• arrêter Tomcat
• sauvegarder org.apache.felix.main-2.0.0-atlassian-1.jar de Jira
• remplacer toutes les instances de org.apache.felix.main-2.0.0-atlassian-1.jar dans Jira (il y en a 2) par org.apache.felix.main-2.0.4-atlassian-3.jar de Confluence
• démarrer Tomcat

La solutions passe par une paramétrage du coté client pour envoyer des packets vides qui serviront à maintenir la connexion en vie.

Avec Putty : Onglet Connections > Seconds between keepalives : « 60″

Sous Linux : Dans « ~/.ssh/config » > « ServerAliveInterval 60″

Dans les cas ou cela est possible, cette configuration peut être réalisée coté serveur : dans « /etc/ssh/sshd_config » > « ClientAliveInterval 60″

Qu’est-ce que le SSO ou Single Sign-On ?

Il s’agit d’une technique permettant à un utilisateur de ne procéder qu’à une seule authentification pour accéder à plusieurs applications informatiques sécurisées (généralement des sites Web).  Souvent dans une entreprise, les utilisateurs sont amenés à s’identifier dans différentes applications (intranet, courrier électronique, forums, agendas, …). Sans solution de SSO, il est nécessaire de s’identifier dans chacune de ces applications avec souvent des identifiants différents.

On trouve des articles qui expliquent le principe et les bienfaits du SSO sur Wikipédia en Français et en Anglais (articles complémentaires).

CAS une solution open source

Dans le cadre du projet en question, le but est d’intégrer une application PHP à CAS (Central Authentication Service) une solution de SSO open source développée à l’origine par l’université de Yale puis reprise par JA-SIG. Le site officiel de CAS par JA-SIG est ici.

L’université de Rennes à l’occasion de la mise en place de CAS a élaboré un document très complet sur le fonctionnement de CAS et notamment le dialogue entre le serveur SSO (CAS) et l’application cliente (l’application Web).

Les applications s’intègrent à CAS soit au niveau applicatif au moyen de librairies disponibles pour différents langages (PHP, ASP, C, Java, …), soit directement au niveau d’un serveur Web (module Apache pour CAS).

Ces Librairies ou modules Apache sont appelés clients CAS. En voici une liste disponible sur le site JA-SIG.

De son coté, le serveur CAS s’interface avec un annuaire existant ou mis en place pour l’occasion (annuaire LDAP par exemple).

Pour réaliser le codage et les tests d’intégration d’une application avec CAS, il faut donc :

• Installer un serveur CAS qui va s’interfacer avec un annuaire existant.
• Un client CAS

Mise en oeuvre de CAS

J’ai procédé à l’installation d’un serveur CAS que j’ai interfacé avec une simple base MySQL contenant les noms et mots de passe des utilisateurs. Puis j’ai intégré l’appel au serveur CAS dans des pages PHP.

Voici les étapes de cette mise en oeuvre et des liens vers les tutoriels que j’ai suivis.

Installation du serveur CAS sous Debian

CAS est une application Java nécessitant un serveur d’application tel que Jetty, Tomcat, …

Voici un tutoriel qui explique l’installation complète de Java, Tomcat et de CAS sur un serveur Debian 4.0 Etch. Vérifiez si des versions plus récentes des différents composants sont disponibles. Bizarrement, ce tutoriel passe sous silence certains pré-prequis. Il s’agit de :

• Installer le JSDK 1.5 ou 1.6 de SUN sous Debian. Pour cela, vous aurez sans doute besoin de configurer les dépots APT. Voici un article que j’ai écris à ce sujet.
• Installer OpenSSL sous Debian. Pour cela, exécuter la commande suivante (sous le compte root ou en sudo) : apt-get install openssl
• Configurer Tomcat pour supporter le mode SSL (protocole https), qui est impératif pour une bonne sécurisation des échanges avec CAS. Pour cela, vous pouvez vous référer à ce tutoriel ou cette page de la documentation Tomcat
  

Intégration des appels CAS dans un application PHP

Pour cette intégration, j’ai utilisé la librairie phpCAS. Cette page du site JA-SIG est la documentation officielle avec tous les exemples nécessaires.

Intégration de CAS au niveau du serveur WEB Apache

Avec une intégration directement au niveau sur serveur Web Apache, ce n’est plus l’application Web qui est en charge de dialoguer avec le serveur CAS, mais directement le serveur Apache. L’application Web récupère l’identité de l’utilisateur dans les variables d’environnements du serveur Apache.

J’ai essayé de mettre en oeuvre cette solution mais je n’y suis pas parvenu car les informations que l’on trouve sur le sujet sont incomplètes, contradictoires ou obsolètes. Toutefois, ce que je peux mentionner est qu’il existe 2 modules CAS pour Apache : mod_cas qui semble obsolète et mod_auth_cas qui est la solution indiquée par JA-SIG.

De la documentation sur mod_cas est disponible ici (ESUP) et ici (JA-SIG).

De la documentation sur mod_auth_cas est disponible ici (JA-SIG).

Dans certaines de ces documentation, il est demandé de compiler les sources des modules. Il n’est pas mentionné qu’il faut disposer de différents outils et librairies de développement sous Debian. Pour les installer, il faut exécuter les commandes suivantes (sous le compte root ou en sudo) :

sudo apt-get install gcc g++ make

sudo apt-get install apache-dev apache2-threaded-dev

sudo apt-get install kernel-package

Dans cet article, je pars d'une installation Debian 5.0 Lenny de base livrée par OVH (pour choisir la distribution Linux commandée chez OVH, je me suis basé sur cette page). Je décrie les étapes de l'installation des  packages complémentaires afin de disposer de Apache, MySQL, PHP, Java et Tomcat. Ceci peut vous intéresser, mais c'est également un aide mémoire pour moi-même. C'est un peu technique, mais je n'entre pas dans les détails.

Les commandes qui sont indiquées doivent être exécutées sous le compte root ou en mode avec sudo (on va voir sudo plus loin).

Mettre à jour le repository Apt

Apt, c'est l'outil qui permet d'installer des packages. Un logiciel est constitué de un ou plusieurs packages et peut être dépendant d'autres packages. Les dépendances entre packages sont gérées par la technologie de distribution par package. La mise à jour en question a pour but de mettre à jour la liste des packages disponibles.

apt-get update

Pour éviter que les futurs installation de packages demande l'insertion du CRDOM, on édite le fichier listant les sources de packages (/etc/apt/sources.list) afin de supprimer le CDROM comme source. Pour cela, il faut mettre en commentaire avec vi mettre la ligne qui commence par "deb cdrom:". On met un "#" en début de ligne.

Installation du serveur OpenSSH

Afin de pouvoir se connecter en SSH sur le serveur, il faut installer OpenSSH.

apt-get install openssh-server

Création de l'utilisateur "dominique"

useradd -d /home/dominique -m -s /bin/bash dominique      

passwd

Installer sudo

sudo permet d'exécuter des commandes comme utilisateur root sans être connecté sous le compte root.

apt-get install sudo

Déclarer l'utilisateur dominique dans sudo en ajoutant la ligne suivante dans "/etc/sudoer"

dominique ALL=(ALL) ALL

Redémarrer sudo

/etc/init.d/sudo restart

à partir de là, tout se fait si possible sous le compte "dominique" (et utilisation de sudo pour les actions necessitants les droits root).

Augmentation des limites systèmes (optionnel)

Pour mes besoins j'ai besoin d'augmenter certaines limites systèmes. Cela se fait en éditant le fichier  /etc/security/limits.conf

vi /etc/security/limits.conf

Personnellement, j'y ajoute les lignes suivantes :

*                soft    nofile        8192
*                hard    nofile        16384
*                soft    stack         16384
*                hard    stack         32768

Installation de apache2.2

J'installe Apache et l'intégration avec PHP 5

sudo apt-get install apache2 libapache2-mod-php5

Activer le mode rewrite

sudo a2enmod rewrite

sudo /etc/init.d/apache2 force-reload

Installation de mysql server 5.0

J'installe mysql avec les librairies pour PHP 5.

sudo apt-get install mysql-server-5.0 php5-mysql

Installation php5

J'ai besoin de PHP 5 et quelques librairies complémentaires (curl par exemple pour appeler des web services en http, mysql, PEAR, …).

sudo apt-get install php5 php5-cli libapache2-mod-php5 php5-curl php5-gd 
sudo apt-get install php5-mysql php5-dev

Installation et mise à jour de PHP PEAR

sudo apt-get install php-pear

sudo pear upgrade PEAR

Puis installation de quelques modules Pear

sudo pear install Mail

sudo pear install Net_Smtp

Installation d'un JDK

On peut soit installer openJDK 6 ou Sun JDK 6

openJDK

sudo apt-get install openjdk-6-jre openjdk-6-jdk

Sun JDK

On commence par télécharger sur le site de sun la documentation en anglais du JDK (http://www.oracle.com/technetwork/java/javase/downloads/index.html). La dernière version disponible du fichier au moment ou j'écris ces lignes est : jdk-6u21-docs.zip

Il faut copier se fichier dans le répertoire /tmp du serveur mais en le renommant jdk-6u12-docs.zip (version actuelle du JDK sun fournie par les repositories Debian).

Sans ce pré-requis, l'installation est stoppée.

sudo apt-get install sun-java6-jdk sun-java6-fonts

Installation de tomcat 5.5

sudo apt-get install tomcat5.5 tomcat5.5-admin tomcat5.5-webapps

Installation de lftp

lftp est un client ftp qui sera utile pour mettre les sauvegardes sur le serveur FTP mis a disposition par OVH.

sudo apt-get install lftp

Paramétrage de apache

Copier le fichier de configuration de mon virtualhost dans "/etc/apache2/site-available",
activer le site et relancer Apache.

sudo a2ensite xxxxxx (ou xxxxxx est le nom du fichier .conf du virtualhost)
sudo /etc/init.d/apache2 reload

Paramétrage Tomcat

Dans /var/lib/tomcat5.5/conf/server.xml, modifier le connecteur non-SSL pour y ajouter l'attribut "URIEncoding="UTF-8""

    <!-- Define a non-SSL HTTP/1.1 Connector on port 8180 -->
    <Connector port="8180" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" redirectPort="8443" acceptCount="100"
               connectionTimeout="20000" disableUploadTimeout="true"
               URIEncoding="UTF-8" />

Sous Debian, Tomcat est très sécurisé. Une autre manière radicale de passer outre cette sécurisation est de la désactiver dans le fichier "/etc/init.d/tomcat5.5", en indiquant :

TOMCAT5_SECURITY=no

Par contre, je ne me permet ceci parce que je n'autorise l'acces à mon serveur Tomcat que localement. Dans /var/lib/tomcat5.5/conf/server.xml, j'ajoute une définition de valve au niveau engine :

    <Engine name="Catalina" defaultHost="localhost">
      <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127.0.0.1" deny=""/>

Je change également le fichier "/etc/init.d/tomcat5.5" pour lui indiquer le bon timezone et augmenter ses ressources mémoires. Editer le fichier "/etc/init.d/tomcat5.5", trouver la ligne encadrée par "if [ -z "$CATALINA_OPTS" ]; then" et "fi", et modifiez la comme ceci.

if [ -z "$CATALINA_OPTS" ]; then
	CATALINA_OPTS="-Djava.awt.headless=true -Xms256M -Xmx768M -Duser.timezone=Europe/Paris -XX:MaxPermSize=128m"
fi 

Relancer tomcat

sudo /etc/init.d/tomcat5.5 restart

A partir de là, on dispose d'une configuration de base Debian Etch. le serveur est opérationnel.

Installer le compilateur GCC et l'outil make

sudo apt-get install gcc g++ make 

Installer memcached

apt-get install memcached php5-memcache

Dans cet article,  je décris memcached.

Pour son installation à partir des sources, suivre la procédure parfaitement décrite dans cet article. Par contre, il faut vérifier quelles sont les dernières versions des modules à télécharger.

Installer ntpdate

sudo apt-get install ntpdate

Pour mettre à l'heure en utilisant le serveur de temps de l'observatoire de Paris

/usr/sbin/ntpdate ntp-p1.obspm.fr

Dans la crontab ajouter la ligne suivante afin de synchroniser l'heure tous les matins à 3h

0 3 * * * root /usr/sbin/ntpdate ntp-p1.obspm.fr >/dev/null

Installer fail2ban

En fonctionnement, un serveur s'expose à des attaques. Fail2ban permet de se protéger contre les attaques de masse sur certains ports TCP ou UDP en attente de connexion. Le premier protocole à protéger (le seul exposé à la livraison du serveur lorsque qu'il n'y a pas de logiciel complémentaire installé) est ssh. Ssh permet de prendre la main sur un serveur à distance. Mais si on connaît le port d'attente (22 par défaut) et le mot de passe root, on peut tout faire sur le serveur. Fail2ban scrute les logs des services en attente de connexion pour déterminer si une attaque est en cours et si donc il doit bloquer l'adresse IP de l'attaquant.

apt-get install fail2ban

dans "/etc/fail2ban/jail.conf", j'ajout mon ip perso dans les ip a ignorer

ignoreip = 127.0.0.1 82.xxx.xxx.xxx

redémarrage de fail2ban

/etc/init.d/fail2ban restart

Mise en place de règles de filtrage d'ip

Pour l'instant, il n'y a que ssh comme service sensible. Il est traiter par Fail2ban.
Avec iptables, j'ajoute des règles pour éviter des attaques par ping. J'autorise le ping depuis le serveur lui même, mon adresse IP perso et par les serveurs OVH (pour le support entre autre). Je fais un script pour ajouter les règles avec iptables.

set-iptables.sh contient :

#!/bin/sh
iptables -A INPUT -i eth0 -p icmp -j DROP
iptables -A INPUT -i eth0 -p icmp --source 127.0.0.1 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source 91.121.91.250 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source 82.xxx.xxx.xxx -j ACCEPT

"iptables -L" permet de lister les règles en place après l'exécution du script.

Il faut faire attention de ne pas bloquer ssh avec ces règles, sinon on ne peut plus prendre la main sur le serveur et il faut lancer le procédure de réinstallation du serveur (pas cool).