Comme vous le savez, vous pouvez rajouter des modules à Apache, c’est à dire des fonctions spéciales, vous pouvez les activer et les désactiver à votre guise. Je vais vous parler ici de quelques modules qui me semblent cruciaux pour alléger la charge de votre serveur et servir les requêtes le plus rapidement possible. Nous allons commencer par un module primordial : expires

Dans /etc/apache2 vous trouvez deux dossiers : mods-available et mods-enabled. Le premier contient la liste des modules disponibles (installés) et le deuxième la liste des modules activés. En effet vous pouvez très bien installer un module sans l’utiliser (sans l’activer). Pour enclencher un module, vous pouvez soit faire un lien symbolique (ln -s) dans le mods-enabled vers mods-available ou utiliser une commande spéciale : a2enmod nomdumodule

Par exemple :


a2enmod expires
a2dismod expires


La première commande active le module, la deuxième le désactive.

Que fait ce module ? Il permet de dire à votre navigateur qu’il n’a pas besoin de recharger un objet (image, html, swf etc…) suivant un temps imparti. Le résultat est énorme car non seulement il accélère le téléchargement coté client mais soulage aussi la bande passante, ainsi que la charge de votre serveur. Voici quelques commandes à rajouter dans votre VirtualHost par exemple


ExpiresActive On
ExpiresByType video/mp4 "access plus 1 month"
ExpiresByType video/x-flv "access plus 1 month"
ExpiresByType text/css A604800
ExpiresByType image/gif A604800
ExpiresByType image/jpeg A604800
ExpiresByType image/png A604800
ExpiresByType application/x-shockwave-flash A604800
ExpiresByType video/x-flv A604800


Dans la première ligne, nous activons la fonction expires avec On (Off pour désactiver). ExpiresByType permet de définir un temps d’accès par mime-type. Donc par exemple pour les vidéos mp4 (le mime est video/mp4) on définit le temps imparti comme étant le dernier accès plus un mois. C’est à dire que le client va charger cette vidéo la première fois mais pendant 1 mois, le navigateur ne la rechargera plus s’il a dans le cache !

Un autre modèle d’écriture plus compact est par exemple A604800. Donc A pour Access suivi d’un nombre de seconde (604800 = 7 jours car chaque jour contient 86400 secondes). Vous pouvez aussi utiliser une directive universelle ExpiresDefault qui donnera par défaut un temps imparti pour tous les mime-types

Attention : car si vous modifiez la vidéo en gardant le même nom, les clients auront encore l’ancienne version en cache. Pour rendre le changement effectif, vous devez changer le nom de la video sur le serveur et donc sur toutes les urls qui contient ce lien…

Quelques trucs avec Apache 2

Quelques commandes utiles avec Apache 2. Pour savoir par exemple quels sont les modules effectivement en marche dans Apache 2, voici une commande listant les modules en marchent :

apache2ctl -M

Une commande qui permet aussi de savoir comment sont occupés les “slot” Apache que vous avez défini par ServerStart (s’il n’est pas dépassé). Très utile lorsque votre serveur est surchargé et que vous ne comprenez pas pourquoi, regardez d’abord avec cette commande :

apache2ctl status

Si la commande retourne une erreur, regardez si le module status est installé (a2enmod status), si c’est le cas consultez le paramètre du module dans /etc/apache2/mods-enabled/status.conf

Vous devez avoir une ligne : Allow from 127.0.0.1 pour permettre l’accès depuis l’ordinateur local. (vous avez surement mis HostnameLookups dans apache2.conf à OFF ce qui est plutôt logique…)

Cette commande retourne donc un tableau de caractères :

. indique un slot Apache libre
_ indique un slot en attente de connexion (donc un processus Apache en attente)
K indique que le slot est en Keepalive, c’est le paramètre que vous avez défini dans apache2.conf
C indique un slot en cours de fermeture de connexion

Si votre tableau est totalement rempli cela peut être mauvais signe, trop de processus sont ouverts, soit votre paramètre n’est pas bon (ServerLimit, ServerStart…)

Une petite astuce bien pratique, pour voir en temps réel toutes les secondes par exemple :

watch -n 1 apache2ctl status

permet de voir toute les 1 seconde la commande apache2ctl status…

Mod_evasive

Ce module Apache permet plusieurs choses et notamment de stopper les attaques brutes. Il est par contre difficile à régler et inadéquat pour certain site web (à mon avis). En fait il consiste à compter les requêtes d’une adresse IP arrivant par URL ou par site et à bloquer temporairement cette IP si elle dépasse les limites fixées. Pour installer ce module Apache il suffit de taper le code :

apt-get install libapache2-mod-evasive

Ensuite configurer apache pour y intégrer les paramètres du modules, cela peut se faire dans apache2.conf ou dans le dossier conf.d

<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 50
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 300
DOSEmailNotify "contact@monsite.com"
DOSLogDir "/home/log/mod_evasive/"
#DOSSystemCommand "/sbin/iptables -I INPUT -s %s -j DROP"
#DOSSystemCommand "/bin/echo %s >> /home/log/mod_evasive/dos_evasive.log && /bin/date >> /home/log/mod_evasive/dos_evasive.log"
#DOSWhiteList 127.0.0.1
</IfModule>

Des logs seront écrits comme indiqué dans le dossier suivant qu’il faut donc créer :

mkdir /home/log/mod_evasive/
chown -R www-data /home/log/mod_evasive/

Voici la signification des paramètres :

DOSPageCount : Nombre de requêtes IP sur la même URL permis dans l’intervalle de temps défini avec DOSPageInterval (en seconde)

DOSSiteCount : Nombre de requêtes IP sur le site permis dans l’intervalle de temps défini avec DOSSiteInterval (en seconde)

DOSBlockingPeriod : Durée pendant laquelle l’IP est bloqué en seconde (erreur 403)

DOSEmailNotify : Email d’avertissement

DOSSystemCommand : Commande système, les exemples permettent par exemple d’inscrire dans iptables l’ip à bannir (donc bannissement définitif de cette ip) ou encore d’écrire un fichier log avec date etc…

DOSWhiteList : IP qui ne sera jamais banni

On voit avec les paramètres que si vous mettez un chiffre trop bas dans les count ou trop haut dans les intervalles alors vos visiteurs pourraient être bloqué par exemple s’ils demandent le même objet (par exemple une image répétitive dans un forum), il faut donc bien régler selon son serveur et son site web.

mod_security

Ce module est plus puissant mais aussi bien plus complexe, quelques livres sont disponibles à son sujet. Ce module analyse les requêtes HTTP d’ Apache, il permet ensuite de prendre des actions, il est très puissant car aussi bien l’entête que le corps des requêtes peuvent être analysées.

Pour installer ce module, rien de plus simple…

apt-get install libapache2-mod-security2

Par défaut, le module ne protège pas grand chose, il faut l’alimenter en règle. Chaque règle permet de détecter les intrusions, trojans ou autres scanners. Etant donné que tout cela est vaste, je vous conseille de consulter le site OWASP par exemple. Vous y trouverez de quoi alimenter le module en règle avec toute les explications sur l’installation.

Le module est livré avec quelques règles de base, faites un locate modsecurity pour trouver les règles en question plus la configuration minimale.

Si je passe peu de temps sur ce module, c’est pour vous exposer ma méthode personnelle…

Blocage depuis Apache

En effet Apache possède tout ce qu’il faut pour bloquer certaines requêtes HTTP et notamment celles des scans. C’est les plus dangereuse car il suffit d’appuyer sur un bouton pour déclencher un scanner qui va chercher toutes les failles possibles de votre site WEB. Hors que fait un scanner ? Il scanne toute les pages possible même celle qui n’existe pas…Lorsqu’un serveur est en production et stable, il n’a normalement aucune url qui retourne une erreur 404 (page inexistante)

L’idée consiste alors à bannir définitivement toute IP qui scanne votre site et tombe sur une url inexistante. Une autre idée consiste à connaitre le scanner, à trouver des mots clefs et à bannir les IP qui cherche des URL contenant ces mots clefs.

Par exemple le scanner Acunetix cherche des URL contenant son propre nom, voici une règle pouvant être mise en place dans Apache (mod_rewrite doit être activé)


RewriteCond %{REQUEST_URI} ^(.*acunetix.*)$
RewriteRule ^(.*)$ /acutix.php [L]


Cette règle détecte donc une URL contenant le mot cunetix et exécute (et renvoi) l’url acutix.php (il est important que le nom final de l’url ne contienne pas le nom recherché…). Dans cette page PHP, vous pouvez écrire un log et surtout appeler une fonction système pour bannir l’IP en question, voici par exemple le programme PHP


$path_bin = "/home/www/monsiteweb/acutix";
$parm=" ".ip();
$parm = escapeshellcmd($parm);
$result=passthru("$path_bin $parm",$error);


Ce code PHP appelle le script acutix avec comme paramètre l’adresse IP (retourné par la fonction ip() à écrire). Voici par exemple, un code possible pour acutix


#!/bin/bash

res=$(sudo /sbin/iptables -A INPUT -s $1 -j DROP)


Ce petit script rajoutera dans iptables l’adresse IP à exclure, toute connexion entrante avec cette IP sur le serveur sera ignorée…

Vous allez toutefois vous heurter à un problème. iptables ne pourra pas être exécuté si vous n’êtes pas root et normalement vous avez configuré Apache pour une exécution sous l’utilisateur www-data qui n’est pas root. Il faut donc donner les droits d’exécution à www-data. Pour cela il suffit d’éditer le fichier sudoers. Utilisez la commande visudo (si elle n’est pas disponible, faites un apt-get install sudo) et rajoutez ces lignes

www-data ALL=NOPASSWD:/sbin/iptables

Qui indique que l’utilisateur www-data sur toute les adresses (ALL) n’a pas besoin de mot de passe (NOPASSWD) pour exécuter la commande /sbin/iptables avec la commande sudo

Il suffit donc de rajouter la commande sudo devant la commande iptables (comme dans le script) pour exécuter cette commande en mode root.

Installation de X-CACHE

On part toujours ici pour l’installation sur Debian mais l’installation sur les autres versions linux n’est guère différente et souvent aussi pratique. L’installation sur Debian est encore une fois fort simple, puisqu’il suffit d’exécuter la commande suivante :

apt-get install php5-xcache

Une fois fait, tout est déjà prêt puisque le fichier de configuration (xcache.ini) est normalement dans /etc/php5/conf.d/, si ce n’est pas le cas, tapez la commande :

locate xcache.ini

Copiez le fichier au bon endroit, vous pouvez ensuite éditer le fichier avec pico ou vi pour modifier quelques paramètres. Notamment la taille du cache à la ligne (xcache.size =), n’hésitez pas à mettre de l’espace si comme moi vous avez plusieurs Go de mémoire vive. Les autres paramètres sont aussi bien expliqués dans le fichier de configuration, de la sorte vous n’aurez pas trop de mal à paramètrer pour votre serveur mais par défaut tout fonctionne aussi très bien.

Reste à configurer l’accès à la page de contrôle, page WEB qui permet de voir un peu ce que fait le cache. Dans la partie [xcache.admin], en haut du fichier, vous trouverez des paramètres comme le nom d’accès et le mot de passe pour accéder à la page. Une astuce pour créer le mot de passe qui doit être indiqué en md5 :

echo -n motdepasse | md5sum

où motdepasse est votre mot de passe personnel. Copier le résultat à la ligne xcache.admin.pass = et entre guillemets.

Une fois cela fait, il ne reste plus qu’à dire à Apache l’url d’accès à la page de contrôle en créant un Alias :

Alias /xcache-admin/ /usr/share/xcache/admin/

Options Indexes MultiViews
Deny from All
Allow from monIP


Attention car suivant la version, la page admin ne sera pas au même endroit (donc exécutez un locate xcache pour mieux savoir où se trouve cette page). Vous pouvez remplacer monIP par votre adresse IP si elle est fixe, sinon supprimez la ligne Deny from All et mettez Allow from All

Maintenant si vous tapez l’adresse de votre site www.monsite.com/xcache-admin vous aurez accès à la page avec toute les infos. Si vous pensez que Xcache ne fonctionne pas, vérifiez avec la commande php -v si Xcache est bien installé :

php -v
PHP 5.2.6-1+lenny13 with Suhosin-Patch 0.9.6.2 (cli) (built: Jul 1 2011 16:01:01)
Copyright (c) 1997-2008 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2008 Zend Technologies
with XCache v1.2.2, Copyright (c) 2005-2007, by mOo

Installation de APC

Ce deuxième choix de cache n’est pas à installer en même temps que Xcache, c’est l’un ou l’autre. Il existe deux méthodes pour installer APC, je vais prendre la plus simple, il semblerait d’ailleurs qu’APC sera intégré dans une prochaine version de PHP.

apt-get install php-apc

Il suffit ensuite d’éditer le fichier /etc/php5/conf.d/apc.ini qui normalement se trouve donc à cette place. Fixez la taille du cache et divers paramètres mais le défaut fonctionne aussi sans problème.

Vous pouvez facilement accéder à la page de contrôle de APC via un fichier apc.php que vous pouvez placer où bon vous semble. Tapez locate apc.php pour trouver le fameux fichier, s’il est compressé alors décompressez le.

Personnellement je préfère Xcache qui me semble plus stable qu’APC. C’est à votre goût !

Vous constaterez normalement si votre serveur est chargé en temps processeur et en requête une belle diminution de charge (% processeur). C’est toujours bon à prendre de moins consommer d’énergie !

La nécessité

Vous avez beaucoup de processus Apache qui se lance et autant de PHP ? Vous manquez de mémoire et voulez gagner encore en performance ? Alors essayez Worker et Fastcgi ! Avec apache en mode Worker et PHP géré en Fastcgi votre système passera beaucoup moins de temps à ouvrir et fermer des processus car un seul processus gérera enfin toutes les requêtes !

L’installation

L’installation est assez simple pourvu que l’on fasse attention à quelques détails. Je ne vais pas reprendre ici en détail toute la configuration d’Apache et de PHP. Personnellement j’ai fait mes tests sur une version d’apache-php-mysql déjà installé. Donc vous pouvez le faire par dessus votre Apache prefork (ce qui est l’installation standard). Commençons par Apache.


apt-get install apache2-mpm-worker libapache2-mod-fcgid


Si l’installation s’est bien déroulée, vous devriez avoir message final : Module fcgid installed. Si ce n’est pas le cas, activez le module avec la commande suivante.


a2enmod fcgid


Pour vérifier il suffit aussi d’aller voir dans /etc/apache2/mods-enabled pour voir si le module fcgid.load est bien pressé (par lien symbolique ou physiquement)

Pendant l’installation vous aurez peut être peur en voyant que le système veut vous enlever le module php5. C’est normal, en effet celui-ci ne fonctionne pas avec Apache Thread (worker), c’est d’ailleurs pour cette raison que nous installerons le php5 en mode cgi.

PHP 5 en mode CGI

Comme expliqué ci-dessus, le module PHP ne marchera pas avec le mode Worker d’Apache. Par conséquent nous devons installé le PHP en mode CGI qui sera utilisé ici à travers FASTCGI.


apt-get install php5-cgi


Dans /etc/php5 vous trouverez par la suite un répertoire cgi le quel contient le php.ini, le fichier de configuration de php. Vous pouvez donc dans ce fichier faire vos réglages PHP classique.

Maintenant il faut expliquer à Apache que les page php que vous voulez vont être exécutée avec FASTCGI. Pour cela quelques commandes suffisent, elles sont à mettre dans la configuration de votre Virtual Host dans Apache

Par exemple si votre site Web est dans le dossier www de /home

NameVirtualHost *
<VirtualHost *>

ServerAdmin webmaster@localhost
DocumentRoot /home/www/

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

<Directory /home/www/>

AddHandler fcgid-script .php
AddHandler fcgid-script .php3
FCGIWrapper /usr/lib/cgi-bin/php5 .php
FCGIWrapper /usr/lib/cgi-bin/php5 .php3
Options ExecCGI Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

</Directory>
….

La ligne AddHandler permet donc de spécifier quelle extension de fichier est a exécuter via FCGI. Il suffit ensuite d'indiquer où se trouve l'application concernant cette extension. Cela se fait avec FCGIWrapper. Pour finir, n'oubliez pas l'option ExecCGI sans quoi vos CGI ne s'exécuteront jamais...

Normalement après avoir tout redémarrer (apache2ctl restart), vous devriez vous retrouver avec seulement quelques processus d'apache et de php5 mais surtout un nombre défini et fixe qui ne changera peu.

La nécessité

L’optimisation Mysql peut devenir une réelle nécessité que vous soyez en hébergement mutualisé ou en dédié. Votre site répondra beaucoup plus rapidement et donc attirera plus de visiteurs avec des requêtes optimisés. Sans compter l’économie d’un serveur dédié moins puissant !

Nous allons voir donc quelques principes de bases sans entrer dans le cœur de Mysql.

Detecter les requêtes non optimisés

Le premier but va être de détecter vos requêtes non optimisées. Pour cela vous avez déjà un moyen visuel trés simple. Vous cliquez sur une rubrique de votre site et le chargement est extrêmement long ? La page d’entrée du site se charge par étape ? Demandez-vous ce qui peut causer ces soucis, cela peut être une page trop lourde à charger, des images trop volumineuses ou des requêtes SQL non optimisés !

Un autre moyen consiste à utiliser aussi le calcul du temps pris par les requêtes Mysql avec PHP, voir par exemple ce tutoriel. Cela consiste à utiliser une fonction temps de PHP qui donnera des indications trés précises sur le temps utilisé. Vous mettez cette fonction avant et après la requête et vous affichez le résultat !


function utime_temps()
{
$t=microtime();
$t=((double)strstr($t, ' ')+(double)substr($t,0,strpos($t,' ')));
return $t;
}


Pour ceux qui sont en dédiés ou qui ont accès au fichier my.cnf dans /etc/mysql, vous pouvez rajouter ces lignes

log-slow-queries = /var/log/mysql/mysql-slow.log
long_query_time = 1


dans le fichier my.cnf (et faire un restart de Mysql par exemple avec /etc/init.d/mysql restart). Avec ces paramètres les requêtes Mysql trop longue d’une seconde (paramètre long_query_time) seront indiquées dans le fichier mysql-slow.log. Ainsi la consultation de ce fichier vous permet simplement de cibler précisément vos optimisations.

Une autre fonction Mysql est aussi pratique : la fonction EXPLAIN. Il suffit par exemple dans PhpMyAdmin de positionner EXPLAIN devant la requête SQL que vous voulez analyser. Celle-ci retourne un résultat expliquant exactement ce que fait Mysql concernant cette requête. Et notamment la colonne rows indique le nombre de ligne parcouru (celui-ci doit être le plus petit possible) et la colonne key indique les clefs utilisées (ci c’est NULL alors aucune clef est utilisée pour cette requête)

Clef et index !

Une erreur classique consiste à négliger les clefs et les index. Dans une requête Mysql, lorsque vous utilisez la condition WHERE, celle-ci pourra être extrêmement améliorée par l’utilisation d’un index dans la condition WHERE. Par exemple :
SELECT * FROM tutoriaux WHERE categorie=1

Dans cette requête ci-dessous, si la table tutoriaux contient 100 000 enregistrements, Mysql va passer les 100 000 enregistrements pour chercher les tutoriaux de catégorie 1 !! C’est du temps perdu. Il suffit de mettre catégorie en index pour que de 100 000 enregistrements examinés on passe à …1 !

Vous allez me dire, dans ce cas là, pourquoi ne pas mettre des index partout ? Il y a plusieurs raisons à cela : d’abord un index prend de la place mémoire dans la table Mysql et si vous avez trop d’index, cette place mémoire peut être plus importante que la place que prend les données. Ensuite lorsque vous faites une insertion dans la table, Mysql est obligé de mettre à jour tous les index, ce qui prend du temps aussi !

Vous devez donc calculer ce qui est le plus intéressant pour vous. Si la requête est exécutée très souvent, il sera intéressant de mettre des index sur les conditions WHERE MAIS si vous faites beaucoup d’insertions dans la table, il faudra limiter les index au strict necessaire et calculer au plus juste avec EXPLAIN le gain réalisé en mettant un index.

Jointures et inclusions

Il faut faire attention à ne pas utiliser des requêtes trop complexe. Et surtout faire attention aux jointures et aux inclusions. Voici un exemple de requête :

SELECT * FROM tutoriaux WHERE id_cat IN
(SELECT id_cat FROM tutoriaux_categorie WHERE id_cat_mere=2)

Dans cette requête, nous recherchons des tutoriaux dont la catégorie appartient à la catégorie “mère” 2. Cette requête est très belle mais peut rapidement poser d’énormes problèmes de temps si elle n’est pas optimisée. Déjà, oublier un index sur id_cat par exemple ou encore oublier un index sur id_cat_mere surtout que cette dernière table sera plutôt fixe (nous ne rajoutons pas des catégories tous les jours) avec une table assez conséquente de plusieurs milliers d’enregistrements conduira à une requête s’exécutant très lentement…pouvant prendre plusieurs secondes !

Toutefois on peut faire une chose pour optimiser tout cela. Pourquoi ne pas mettre l’information id_cat_mere dans la table tutoriaux ? D’accord, c’est moins joli, c’est moins conceptuel et on devra faire plus de mise à jour si on change la table tutoriaux_categorie MAIS ALORS que de temps de gagner ! Puisqu’au final on arrive à ça

SELECT * FROM tutoriaux WHERE id_cat_mere=2

Avec un index sur id_cat_mere, la requête est exécutée immédiatement !

Concernant les jointures, c’est la même chose…Par exemple :

SELECT *,count(c.nb_com) as nb FROM tutoriaux t LEFT JOIN tutoriaux_commentaire c WHERE t.id=c.id_tutoriaux GROUP BY t.id

Ici cette requête recherche les tutoriaux avec une information supplémentaire : le nombre de commentaire sur chaque tutoriel. Comme les commentaires sont dans une autre table Mysql, une jointure est effectué permettant de récupérer le nombre d’enregistrements (donc de commentaires) concernant le tutorial. Si vous avez 10 000 tutoriaux et des centaines de milliers de commentaires, cette requête est totalement explosive (pour le serveur !)

Hors nous pouvons faire une chose très simple. Inclure dans la table tutoriaux un champ nb_commentaire. Alors bien sur chaque fois qu’un commentaire est ajouté, il faudra incrémenter le champ nb_commentaire mais au final que de temps gagné car la requête devient :

SELECT * FROM tutoriaux

Ce n’est pas plus simple ?

C’est fini

Voilà j’aurais encore beaucoup de choses à dire sur le sujet mais j’espère que pour mon premier tutorial sur le site j’aurais éveillé la curiosité de certains concernant l’organisation des données dans la base de données et l’optimisation des requêtes Mysql !

Dans ce tutorial, nous allons procéder à l’installation de postfix et courier en utilisant des bases de données mysql pour les paramètres. Cette configuration n’est pas la meilleure pour la sécurité (au niveau mysql) mais elle est très souple pour l’ajout d’utilisateur ou d’adresse email.

Postfix est un MTA, il permet en autre de récupérer le courrier envoyé à votre serveur (par exemple contact@votredomaine.com). Nous allons donc procéder ici à la configuration de Postfix afin qu’il gère le courrier reçu par le serveur. Courier est un client POP. Nous allons installer ce logiciel afin de lire notre courrier présent sur le serveur par un logiciel de type Outlook express, Eudora, …Les deux logiciels utiliseront des tables Mysql pour leur paramétres.

Nous allons travailler sur une debian woody mais à part l’installation, le reste ne change pas sur les autres systèmes.

Postfix

Pour installer Postfix, avec une debian :

apt-get install postfix postfix-mysql

La version installé de postfix :

postconf mail_version

Quelques différences existent entre la version 1 et 2 de Postfix alors regardez quelle version vous avez ou installez une version spécifique avec apt-get.

Si Postfix vous demande pour quelle utilisation vous voulez vous en servir, choisissez Internet site. Faites Entrée pour tout le reste.

Nous allons créer des boites aux lettres virtuelles. Il faut savoir que par défaut, postfix envoi le courrier sur les comptes unix. Etant donné que nous comptons héberger plusieurs domaines sur un serveur, il devient fastidieux et dangereux de créer de nouveaux utilisateurs unix.

Nous allons donc utiliser la fonction boite virtuelle de Postfix qui va créé automatiquement des répertoires contenant le courrier et divers paramètres. Il suffit juste de lui indiquer ou placer le courrier et aussi quelle boite aux lettres il doit gérer.

Après avoir installer Postfix, créer un compte unix vmail qui servira de base pour la réception de tous les courriers.

groupadd -g 5000 vmail 

useradd -g vmail -u 5000 vmail -d /home/vmail –m

Les tables Mysql

Nous allons créer des tables Mysql qui contiendront tous les paramétrages de Postfix et Courier concernant les boites aux lettres virtuelles.

Tout d’abord, nous pouvons créer une base de donnée « courrier ».

Ensuite seulement trois tables.

CREATE TABLE `domaines` (
 `domaine` varchar(100) NOT NULL default '',
 UNIQUE KEY `domaine` (`domaine`)
) TYPE=MyISAM;

Dans la table domaines, entrez vos domaines qui recevront du courrier, par exemple sos-dedie.com (pas de sous domaine)

CREATE TABLE `forward` (
 `source` varchar(255) NOT NULL default '',
 `destination` varchar(255) NOT NULL default '',
 PRIMARY KEY  (`source`)
) TYPE=MyISAM;

Dans forward, entrez tout vos forwards, par ex contact@sos-dedie.com vers webmaster@sos-dedie.om

CREATE TABLE `compte` (
 `login` varchar(255) NOT NULL default '',
 `motdepasse` varchar(255) NOT NULL default '',
 `emplacement` varchar(255) NOT NULL default '',
 PRIMARY KEY  (`login`)
) TYPE=MyISAM;

Enfin cette dernière table définie vos comptes. Le login est de la forme d’un email (par ex contact@sos-dedie.com), ensuite emplacement contient un chemin relatif au répertoire de base (normalement /home/vmail/) de type contact/ pour un format de boite aux lettres maildir

Initialisation de Postfix & mysql

Allez dans le répertoire /etc/postfix/ editer le fichier main.cf qui contient la configuration de postfix.

cd /etc/postfix/
pico main.cf

Voici un exemple de fichier main.cf épuré de tout commentaire (Postfix 2)

myhostname = votreserveur.com

myorigin = votredomaine.com

mydestination = $myhostname, localhost.$mydomain, localhost

mynetworks = 127.0.0.0/8

best_mx_transport=virtual

virtual_mailbox_domains = mysql:/etc/postfix/virtual_domaine.cf

virtual_maps = mysql:/etc/postfix/virtual_adresse.cf mysql:/etc/postfix/virtual_forward.cf

virtual_mailbox_base = /home/vmail

virtual_mailbox_maps = mysql:/etc/postfix/virtual_emplacement.cf

virtual_uid_maps = static:5000

virtual_gid_maps = static:5000

Nous allons étudier ce fichier. Toute modification de ce fichier doit être confirmé en relançant postfix par la commande

/etc/init.d/postfix reload

Paramètres généraux de Postfix

Nous allons d’abord configurer les paramètres généraux :

myhostname : Contient le nom de votre machine ou à défaut votre nom de domaine, à l’installation postfix a normalement configuré ce champ

myorigin : Ce paramètre contient le nom de domaine qui apparaîtra dans tout courrier sortant de votre serveur. Dans le fichier d’exemple, ce paramètre contient la valeur $myhostname ce qui signifie que myorigin contiendra la valeur défini dans myhostname.

mydestination : Définit le domaine par défaut de destination (qui reçoit donc le courrier). Normalement ce paramètre est à localhost (le courrier est reçu à la machine elle-même)

best_mx_transport : Indique à Postfix de s’occuper d’abord du transport virtuel (gestion des boites aux lettres virtuelles)

Problème du Chroot de Postfix

Postfix s’execute en Chroot et pose un problème d’accès à la socket Mysql (qu’il cherche dans /etc/postfix). Pour contourner ce problème, on doit d’abord dire à Postfix de se connecter via l’adresse IP de notre serveur et non pas en local. Mais pour cela, nous devons encore dire à Mysql qu’il accepte les requêtes venant de l’extérieur. Voici une faille de sécurité.

pico /etc/mysql/my.cnf

Commentez la ligne skip-networking ou cherchez la ligne Bind_adress et permettez l’accès à votre serveur.

Redémarrez mysql.

/etc/init.d/mysql restart

Pour palier au problème de sécurité et dans le cas où le fichier de configuration de Mysql (my.cnf) ne contiennent pas la ligne Bind_adress, on doit simplement limiter par un firewall l’accès à Mysql à notre seule adresse de serveur.

Paramètre pour les boites aux lettres virtuelles

virtual_mailbox_base : Répertoire de base où sont stockés les boites aux lettres et leur courrier.

virtual_maps : Ce paramètre permet de définir toutes les adresses emails acceptés. Par exemple si vous voulez une adresse du genre contact@votredomaine.com il faut l’indiquer dans virtual_maps sinon celle-ci sera éjectée. De plus, vous pouvez faire du forwarding avec ce paramètre. Par exemple : webmaster@votredomaine.com vers contact@votredomaine.com. Pour indiquer toutes les adresses, nous allons utiliser la table user et forward.

Tout d’abord, nous devons créer des fichiers de configuration virtual_adresse.cf et virtual_forward.cf contenant la configuration pour l’accès de Postfix à mysql.

ATTENTION ! Pour la version 1 de Postfix, pas besoin de virtual_maps mais de transport_maps dans lequel vous indiquez un fichier contenant la liste des domaines virtuels suivi de virtual. De plus rajoutez le paramètre relay_domains = mysql:/etc/postfix/virtual_domaine.cf

pico virtual_adresse.cf

Entrez les champs suivant par ligne

user = login mysql

password = mot de passe mysql

dbname = courrier

table = compte

select_field = ‘virtual’

where_field = login

hosts = adresse IP de votre serveur

Ce fichier sert donc à établir une connexion à mysql à la base de donnée dbname et à la table table. Voici la requête mysql que Postfix crée :

select ‘virtual’ from compte where login = '$lookup'

La variable $lookup contient l’adresse de destination qu’a reçu Postfix ou dans le cas général la valeur que veut vérifier postfix (nom de domaine, forward, …) Ici le champ de selection est ‘virtual’ car il s’agit simplement de vérifier si l’adresse email existe. Pour le fichier de forwarding (redirection d’une adresse vers une autre) voici le contenu du fichier virtual_forward.cf

pico virtual_forward.cf

Entrez les champs suivant par ligne

user = login mysql

password = mot de passe mysql

dbname = courrier

table = forward

select_field = destination

where_field = source

hosts = adresse IP de votre serveur

Maintenant que l’on a définit les adresses hébergées sur ce site, il faut tout de même dire où Postfix va stocker le courrier de chaque adresse. C’est le rôle de virtual_mailbox_maps. Ce paramètre contient le chemin d’un fichier nommée virtual_emplacement.cf. Ce fichier contient une liste composée des adresses email suivi d’un chemin (relatif à virtual_mailbox_base).

pico virtual_emplacement.cf

user = login mysql

password = mot de passe mysql

dbname = courrier

table = compte

select_field = emplacement

where_field = login

hosts = adresse IP de votre serveur

Nous organisons nos boites de cette façon. Un dossier “nom de domaine” contenant des sous-dossiers “boite aux lettres”. Attention au / à la fin du chemin qui indique que le format de la boite au lettre sera Maildir au lieu de Mailbox.

Enfin les derniers paramétres

virtual_uid_maps = static:5000

virtual_gid_maps = static:5000

Ces dernières valeurs permettent de spécifier sous quel compte postfix va écrire les messages. Nous avons créé exprès un compte vmail (5000). Donc nous indiquons cette valeur qui est valable pour toutes les adresses (d’où le prefixe static

Vérification

Sauvegardez votre main.cf et faite un

/etc/init.d/postfix reload

Si aucun message d’erreur n’apparaît, vous pouvez faire un petit contrôle avec un telnet.

Par exemple : telnet localhost 25 ou depuis l’extérieur telnet www.votredomaine.com 25

Si vous n’arrivez pas à vous connecter, regardez le fichier tail /var/log/syslog

telnet www.votredomaine.com 25

220 myserver ESMTP Postfix (Debian/GNU)

ehlo coucou.com

250-mailtest 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250 XVERP 250 8BITMIME

mail from:<test@coucou.com>

250 Ok

rcpt to:<contact@votredomaine.com>

250 Ok

data

354 End data with <CR><LF>.<CR><LF></LF></CR></LF></CR>

blablabla...
.

250 Ok: queued as ABC1D1C123

quit

221 BYE

Les erreurs possibles

Une erreur peut se produire après la commande rcpt to: Le problème peut être souvent du à plusieurs facteurs :

1. l’adresse email du destinataire n’est pas reconnue, dans ce cas un problème peut se situer dans virtual_adresse
2. Postfix ne trouve pas le répertoire de destination, cette fois-ci c’est virtual_emplacement qui peut avoir un problème

Pour en savoir plus, n’hésitez pas à consulter /etc/var/mail.log ou /etc/var/syslog

Courier

L’installation de courier est assez simple, la partie la plus difficile se situe dans la connexion et l’indentification de votre logiciel de messagerie (outlook par exemple) à votre serveur.

apt-get install courier-pop courier-authdaemon  courier-authmysql courier-debug

Nous allons faire l’identification des clients se connectant au serveur de courrier pour relever leur email. Nous avons déjà les tables Mysql, il reste à indiquer à Courier qu’il doit se servir de ces tables.

Configuration de base

cd /etc/courier

Editer le fichier pop3d, décommenter la ligne

pico pop3d

POP3AUTH="LOGIN CRAM-MD5 CRAM-SHA1"

Commentez la ligne

#POP3AUTH=""

Editer ensuite le fichier authdaemonrc

pico authdaemonrc

Mettez le paramètre

authmodulelist="authmysql"

Ce dernier permet de dire à Courier que l’authentification des utilisateurs se fait avec Mysql. Nous allons maintenant indiquer à Courier comment se connecter à Mysql et quelle base utiliser.

pico authmysqlrc

MYSQL_SERVER            localhost
MYSQL_USERNAME          login mysql
MYSQL_PASSWORD          mot de passe mysql
MYSQL_DATABASE          courrier
MYSQL_USER_TABLE        compte

Commentez la ligne

MYSQL_CRYPT_PWFIELD    crypt

Et décommentez

MYSQL_CLEAR_PWFIELD     motdepasse

Ensuite entrez les valeurs

MYSQL_UID_FIELD         5000

MYSQL_GID_FIELD         5000

MYSQL_LOGIN_FIELD       login

MYSQL_HOME_FIELD        "/home/vmail/"

Décommentez la ligne suivante (ou ajoutez là si elle est absente)

MYSQL_MAILDIR_FIELD     emplacement

Commentez la ligne

MYSQL_NAME_FIELD		name

Redémarrez les démons

/etc/init.d/courier-pop restart
/etc/init.d/courier-authdaemon restart

Vérification

Pour vérifier le fonctionnement de l’authentification, on utilise l’outil courierauthtest

courierauthtest contact@votredomaine.com motdepasse

Réponse du prompt

Authenticated: module authdaemon

Home directory: /home/vmail

UID/GID: 5000/5000

Maildir: votredomaine.com/contact/

AUTHADDR=contact@votredomaine.com

AUTHFULLNAME=<none>

Maintenant vérifions la connexion pop au serveur

telnet www.votredomaine.com 110

+OK Hello there.

USER contact@votredomaine.com

+OK Password required.

PASS motdepasse

+OK logged in.

STAT

+OK 4 14434

TOP 1 5

+OK headers follow.

Return-Path: <test@coucou.com>

Delivered-To: contact@votredomaine.com

....

.

QUIT

+OK Bye-bye.

Les erreurs possibles

Le plus souvent les erreurs se situe dans l’authentification (le paramétrage de courier est simple). Il faut donc faire marcher l’authentification mysql en testant avec courierauthtest. Les problèmes sont dû généralement à de mauvaise indication de champ dans le fichier de connection Mysql. Vérifiez bien que vous avez décommenté les lignes ou commentez celles indiquées.

Ensuite vérifier dans les logs ce qu’il se passe s’il y a des problèmes avec le telnet. Une erreur de type

-ERR Maildir: No such file or directory

est classique d’une mauvaise authentification ou d’un mauvais paramétrage dans l’authentification (mauvais chemin ,etc…)

Postfix est un MTA, il permet en autre de récupérer le courrier envoyé à votre serveur (par exemple contact@votredomaine.com). Nous allons donc procéder ici à la configuration de Postfix afin qu’il gère le courrier reçu par le serveur. Courier est un client POP. Nous allons installer ce logiciel afin de lire notre courrier présent sur le serveur par un logiciel de type Outlook express, Eudora, …

Ce tutorial a pour but de faire les choses simplement ! Nous allons travailler sur une debian woody. Nous nous passerons donc de toute complication parceque c’est déjà assez complexe…

Postfix

Pour installer Postfix, avec une debian :

apt-get install postfix

La version installé de postfix :

postconf mail_version

Quelques différences existent entre la version 1 et 2 de Postfix alors regardez quelle version vous avez ou installez une version spécifique avec apt-get.

Si Postfix vous demande pour quelle utilisation vous voulez vous en servir, choisissez Internet site. Faites Entrée pour tout le reste.

Nous allons créer des boites aux lettres virtuelles. Il faut savoir que par défaut, postfix envoi le courrier sur les comptes unix. Etant donné que nous comptons héberger plusieurs domaines sur un serveur, il devient fastidieux et dangereux de créer de nouveaux utilisateurs unix.

Nous allons donc utiliser la fonction boite virtuelle de Postfix qui va créé automatiquement des répertoires contenant le courrier et divers paramètres. Il suffit juste de lui indiquer ou placer le courrier et aussi quelle boite aux lettres il doit gérer.

Après avoir installer Postfix, créer un compte unix vmail qui servira de base pour la réception de tous les courriers.

groupadd -g 5000 vmail 

useradd -g vmail -u 5000 vmail -d /home/vmail -m

Allez dans le répertoire /etc/postfix/ editer le fichier main.cf qui contient la configuration de postfix.

cd /etc/postfix/

pico main.cf

Voici un exemple de fichier main.cf épuré de tout commentaire (Postfix 2)

myhostname = votreserveur.com

myorigin = votredomaine.com

mydestination = $myhostname, localhost.$mydomain, localhost

mynetworks = 127.0.0.0/8

virtual_mailbox_domains = votredomaine1.com votredomaine2.com

virtual_maps = hash:/etc/postfix/virtual_adresse

virtual_mailbox_base = /home/vmail

virtual_mailbox_maps = hash:/etc/postfix/virtual_emplacement

virtual_uid_maps = static:5000

virtual_gid_maps = static:5000

Nous allons étudier ce fichier. Toute modification de ce fichier doit être confirmé en relançant postfix par la commande

/etc/init.d/postfix reload

Paramétre généraux

Nous allons d’abord configurer les paramètres généraux :

myhostname : Contient le nom de votre machine ou à défaut votre nom de domaine, à l’installation postfix a normalement configuré ce champ

myorigin : Ce paramètre contient le nom de domaine qui apparaîtra dans tout courrier sortant de votre serveur. Dans le fichier d’exemple, ce paramètre contient la valeur $myhostname ce qui signifie que myorigin contiendra la valeur défini dans myhostname.

mydestination : Définit le domaine par défaut de destination (qui reçoit donc le courrier). Normalement ce paramètre est à localhost (le courrier est reçu à la machine elle-même)

Paramètre pour les boites aux lettres virtuelles

virtual_mailbox_base : Répertoire de base où sont stockés les boites aux lettres et leur courrier.

virtual_maps : Ce paramètre permet de définir toutes les adresses emails acceptés. Par exemple si vous voulez une adresse du genre contact@votredomaine.com il faut l’indiquer dans virtual_maps sinon celle-ci sera éjecté. De plus, vous pouvez faire du forwarding avec ce paramètre. Par exemple : webmaster@votredomaine.com vers contact@votredomaine.com. Comme la liste peut être grande, postfix utilise un fichier sous forme de base de donnée. Tout d’abord, vous devez ecrire un fichier texte nommée virtual_adresse

ATTENTION ! Pour la version 1 de Postfix, pas besoin de virtual_maps mais de transport_maps dans lequel vous indiquez un fichier contenant la liste des domaines virtuels suivi de virtual. De plus rajoutez le paramétres relay_domains = votredomaine.com votredomaine2.com

pico virtual_adresse

Entrez vos adresses de boites virtuelles et/ou forwarding

contact@votredomaine.com contact@votredomaine.com

contact@votredomaine2.com contact@votredomaine2.com

webmaster@votredomaine.com contact@votredomaine.com

Une fois enregistré, vous devez transformer ce fichier en base de donnée en faisant

postmap virtual_adresse

Cela vous créé un nouveau fichier qui sera utilisé par Postfix. La commande hash: indique à Postfix le format du fichier à lire.

Maintenant que l’on a définit les adresses hébergées sur ce site, il faut tout de même dire où Postfix va stocker le courrier de chaque adresse. C’est le rôle de virtual_mailbox_maps. Ce paramètre contient le chemin d’un fichier nommée virtual_emplacement. Ce fichier contient une liste composée des adresses email suivi d’un chemin (relatif à virtual_mailbox_base).

pico virtual_emplacement

contact@votredomaine.com votredomaine.com/contact/

contact@votredomaine2.com votredomaine2.com/contact/

postmap virtual_emplacement

Nous organisons nos boites de cette façon. Un dossier “nom de domaine” contenant des sous-dossiers “boite aux lettres”. Attention au / à la fin du chemin qui indique que le format de la boite au lettre sera Maildir au lieu de Mailbox.

N’oubliez pas de faire postmap virtual_emplacement

Enfin les derniers paramétres

virtual_uid_maps = static:5000

virtual_gid_maps = static:5000

Ces dernières valeurs permettent de spécifier sous quel compte postfix va écrire les messages. Nous avons créé exprès un compte vmail (5000). Donc nous indiquons cette valeur qui est valable pour toute les adresses (d’où le prefixe static:)

Vérification

Sauvegardez votre main.cf et faite un

/etc/init.d/postfix reload

Si aucun message d’erreur apparaît, vous pouvez faire un petit contrôle avec un telnet.

Par exemple : telnet localhost 25 ou depuis l’extérieur telnet www.votredomaine.com 25

Si vous n’arrivez pas à vous connecter, regardez le fichier tail /var/log/syslog

telnet www.votredomaine.com 25

220 myserver ESMTP Postfix (Debian/GNU)

ehlo coucou.com

250-mailtest 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250 XVERP 250 8BITMIME

mail from:<test@coucou.com>

250 Ok

rcpt to:<contact@votredomaine.com>

250 Ok

data

354 End data with <CR><LF>.<CR><LF></LF></CR></LF></CR>

blablabla...
.

250 Ok: queued as ABC1D1C123

quit

221 BYE

Les erreurs possibles

Une erreur peut se produire après la commande rcpt to: Le problème peut être souvent du à plusieurs facteurs :

1. l’adresse email du destinataire n’est pas reconnue, dans ce cas un problème peut se situer dans virtual_adresse
2. Postfix ne trouve pas le répertoire de destination, cette fois-ci c’est virtual_emplacement qui peut avoir un problème

Pour en savoir plus, n’hésitez pas à consulter /etc/var/mail.log ou /etc/var/syslog

Courier

L’installation de courier est assez simple, la partie la plus difficile se situe dans la connexion et l’indentification de votre logiciel de messagerie (outlook par exemple) à votre serveur.

apt-get install courier-pop courier-authdaemon courier-debug

Nous allons faire l’identification des clients se connectant au serveur de courrier pour relever leur email par l’authentification userdb mais d’abord configurons un peu courier

Configuration de base

cd /etc/courier

Editer le fichier pop3d, décommenter la ligne

vi pop3d

POP3AUTH="LOGIN CRAM-MD5 CRAM-SHA1"

Commentez la ligne

#POP3AUTH=""

Editer ensuite le fichier authdaemonrc

vi authdaemonrc

Mettez le paramètre

authmodulelist="authuserdb"

Ce dernier permet de dire à Courier que l’authentification des utilisateurs se fait avec userdb. Normalement il n’y a rien d’autre à faire.

Redémarrez les démons

/etc/init.d/courier-pop restart

/etc/init.d/courier-authdaemon restart

Créez une liste d’utilisateur

Vous n’allez pas autoriser tout le monde à relever le courrier sur votre serveur. Pour cela vous devez indiquer une liste d’utilisateur avec leur mot de passe. Nous allons utiliser userdb qui est livré en standard et laisse moins de faille de sécurité que mysql par exemple.

Allez dans /etc/courier

cd /etc/courier

Créez le répertoire userdb, pour une raison de sécurité faite un chmod 0 userdb (empeche quelqu’un de lire le contenu)

mkdir userdb

chmod 0 userdb

Nous allons construire maintenant notre liste d’utilisateur. Nous allons créer dans le répertoire userdb autant de fichier que de domaine hébergé sur le serveur. Ces fichiers vont contenir les informations nécessaires.

La commande userdb permet la création de ces fichiers facilement. Disons que vous voulez créer l’utilisateur contact@votredomaine.com, voici la commande à entrer

userdb votredomaine.com/contact@votredomaine.com
set mail=/home/vmail/votredomaine.com/contact
home=/home/vmail/votredomaine.com/contact
uid=5000 gid=5000

Explication de la commande, on créer l’entrée contact@votredomaine.com dans le fichier votredomaine.com avec les paramètres mail et home qui contiennent l’adresse du courrier de cet utilisateur (voir postfix) et le repertoire de base de cet utilisateur. Ensuite pour cette entrée nous créons un mot de passe cryptée en md5. (le mot de passe est cryptée car nous avons défini dans pop3d d’authentifier une connexion avec un mot de passe cryptée)

userdbpw -md5 | userdb votredomaine.com/contact@votredomaine.com set systempw

Le prompt vous demande un mot de passe et une confirmation

Si tout c’est bien passé, un fichier votredomaine.com a été créé dans userdb contenant toute les informations nécessaires.

Si vous avez fini, transformez les fichiers textes en base de donnée par

makeuserdb

Maintenant nous allons tester le fonctionnement du pop

Vérification

Pour vérifier le fonctionnement de l’authentification, on utilise l’outil courierauthtest

courierauthtest contact@votredomaine.com motdepasse

Réponse du prompt

Authenticated: module authdaemon

Home directory: /home/vmail/votredomaine.com/contact

UID/GID: 5000/5000

Maildir: /home/vmail/votredomaine.com/contact

AUTHADDR=contact@votredomaine.com

AUTHFULLNAME=<none>

Maintenant vérifions la connexion pop au serveur

telnet www.votredomaine.com 110

+OK Hello there.

USER contact@votredomaine.com

+OK Password required.

PASS motdepasse

+OK logged in.

STAT

+OK 4 14434

TOP 1 5

+OK headers follow.

Return-Path: <test@coucou.com>
Delivered-To: contact@votredomaine.com
....
QUIT

+OK Bye-bye.

Les erreurs possibles

Le plus souvent les erreurs se situe dans l’authentification (le paramétrage de courier est simple). Il faut donc faire marcher l’authentification userdb en testant avec courierauthtest. Ensuite vérifier dans les logs ce qu’il se passe s’il y a des problèmes avec le telnet. Une erreur de type

-ERR Maildir: No such file or directory

est classique d’une mauvaise authentification ou d’un mauvais paramétrage dans l’authentification (mauvais chemin ,etc…)

Notre but ici est de sécuriser un peu plus la connexion SSH. Par défaut, généralement l’authentification avec une connexion SSH est la méthode simple d’identification unix avec un simple mot de passe (authentification PAM), ce qui fait qu’une attaque massive par mot de passe nous laisse sans défense. Nous allons accentuer la sécurité pour que nous seul puissions accéder à notre serveur par SSH.

Configuration

Allez sur la page WEB de putty pour y télécharger puttygen

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Nous allons créer des clefs cryptées, une de ces clefs va se trouver sur votre ordinateur local et l’autre sur le serveur. Les clefs fonctionnent toujours par paire (donc une seule est inutile)

Lancez Puttygen et sélectionnez en bas SSH 2 RSA, cliquez sur le bouton GENERATE et bougez la souris pour générer la clef (cela permet un plus grand hasard), une fois la clef générée, entrez un mot de passe pour Key passphrase et confirmé ce mot de passe. Vous pouvez même entrer une phrase entière qui vous servira de mot de passe.

Pour finir cliquez sur Save private key pour sauvegarder votre clef sur votre ordinateur local.

On va positionner la clef publique sur le serveur

Connectez-vous avec SSH sur votre serveur. Normalement vous êtes logué sous votre compte (généralement root). Créez un répertoire .ssh

mkdir .ssh
cd .ssh

Ensuite copier la clef publique depuis puttygen et retournez sur votre connections ssh et entrez la commande suivi de la clef publique

echo >>authorized_keys ici collez votre clef publique

Appuyez ensuite sur Entrée ou Control + D

Voilà, le fichier que nous avons créé est lu par défaut par le démon SSH. Celui-ci regarde dans le répertoire de l’utilisateur (ici root) s’il existe un dossier .ssh et ensuite un fichier authorized_keys.

Connexion avec Putty

Maintenant il faut dire à Putty que nous allons utiliser un protocole d’identification par clef. Pour cela rien de plus simple, Il suffit de changer dans l’onglet Connection, SSH et Auth le champ private key file for Authentication. Là on indique le fichier que nous avons sauvegardé par avance.

Maintenant si vous ouvrez la connexion, Putty s’identifie avec la clef, étant donné que vous avez la clef privée qui correspond à la clef publique sur le serveur, le serveur va alors vous demander la Passphrase (montrant que personne n’a volé votre clef privée). Une fois la passphrase saisie vous êtes connecté.

Restreindre les accès

Nous avons bien configuré un accès par clef mais pour autant, nous n’avons pas encore interdit l’accès par l’authentification classique. Pour cela, nous devons éditer le fichier de configuration de ssh

cd /etc/ssh

vi sshd_config

Dans ce fichier se trouvent plusieurs paramètres qui nous intéressent.

RSAAuthentication yes

Cette ligne indique que nous pouvons faire une authentification par la méthode RSA.

PubkeyAuthentication yes

Celui-ci est le protocole qui nous intéresse, il doit donc être à yes pour que l’authentification par clef fonctionne.

PasswordAuthentication no

Indique si on utilise l’authentification par mot de passe pour l’utilisateur qui se connecte (mot de passe unix), pour nous cela sera non.

UsePAM no

Ici on indique si l’on doit utiliser le module PAM unix pour se connecter. Nous allons le désactiver car ils nous intéressent plus

On redemarre le tout par une commande

/etc/init.d/ssh start

Ou

sshd

Voilà j’espère que ce tutorial vous aura aidé un peu. N’oubliez pas pendant ces manœuvres de garder une connexion ouverte sinon vous ne pourriez plus accéder à votre serveur si c’est votre seul moyen !

Ce tutorial vient compléter son confrère « Serveur dédié les premiers pas « . Il reste en effet encore quelques commandes essentielles à découvrir sur votre système Linux. Ces commandes sont identiques quelque soit les versions que vous avez installer (Fedora, debian, mandrake,…)

Linux et les tâches.

Linux est multi tâches et doit sa réputation à cette fonctionnalité. En effet, le vrai multi tâche sur son concurrent Windows est arrivé bien tard. Même si cette fonctionnalité n’est pas nécessaire pour lancer des daemons sur Linux (Service sur Windows), il s’avère que la base de Linux, soit Unix est conçu de telle manière que le multi processus coule de source sur ce système.

Lorsque vous accédez à votre serveur dédié, une multitude de tâches fonctionnent en arrière plan. Pour savoir exactement ce qu’il se passe sur votre serveur vous pouvez utiliser la commande suivante

top

A ce moment là, une liste de processus s’affiche sur votre écran. Cette liste est mise à jour régulièrement (toutes les 10 secondes normalement). Chaque processus est identifié par un numéro (PID) qui est le premier champ de la liste ainsi que la commande qui l’a lancée (le dernier champ de la liste).

En haut de la liste s’affiche aussi des informations importantes, comme le temps depuis lequel l’ordinateur fonctionne (après la mention up), le nombre d’utilisateur,…Mais surtout des informations essentielles comme la mémoire physique totale (mention Mem) suivi du montant utilisé et du montant libre. Ne vous inquiétez pas si le montant libre est très petit, le système se sert d’un cache qui occupe de la place en mémoire physique. Le cache est indiqué avant la mention cached.

Vous devez regarder plutôt le Swap qui indique la taille totale du fichier Swap (une partition normalement sur linux), la partie used et free indique respectivement la taille utilisé et libre. Le Swap est un bon indicateur de grandeur de la mémoire demandé par le système.

La commande top vous indique aussi le pourcentage du CPU utilisé, toutes ces informations regroupées vous donne une bonne idée de la charge de votre serveur dédié.

Vous pouvez tuer un processus avec la commande

kill pid

Où pid est le numéro de processus. Si ce processus est parent d’autres processus, ses fils seront tués. Par exemple, Apache lance plusieurs processus fils pour répondre à la demande des visiteurs. Pour tuer Apache, vous devez éliminer le processus père. Une commande permet de connaître tous les processus fils et père

pstree –p

Editeur de texte Vi

On préferera en 2008 utiliser l’éditeur de texte PICO

L’éditeur de texte vi est présent sur tous les systèmes linux et unix. C’est un éditeur de base qui vous conviendra pour des petites modifications sur les fichiers textes. Toutefois cet éditeur plutôt barbare ne conviendra pas pour éditer des textes long et fastidieux.

On ouvre ou on créé un fichier dans le répertoire local avec la commande

vi nomdefichier

Une fois entré dans l’éditeur vous êtes dans le mode de commande. Vous avez deux modes principaux, le mode insertion et le mode de commande. En mode de commande, le clavier est utilisé pour entrer des commandes. En mode insertion, le clavier est utilisé pour insérer du texte.

Tapez i pour entrer en mode insertion et ESC pour sortir du mode insertion et revenir en mode de commande.

Utilisez la touche DEL pour effacer des caractères.

Voici quelques commandes utiles avec vi.

:wq

Sauve le fichier courant et sort de vi

:q!

Sort de vi sans sauvegarder le fichier courant.

dd

Efface une ligne.

ny

Où n est un nombre, copie n lignes dans le buffer

pp

Colle le buffer à partir de la position actuelle

Quelques mots sur Apache

Enfin vous serez amené à relancer Apache parfois. Pour relancer Apache de manière plus transparente pour vos visiteurs, vous pouvez utiliser la commande suivante :

apachectl graceful

Cette commande a l’avantage de relancer Apache sans tuer tous les processus ce qui provoquerait une jolie erreur pour vos visiteurs. Au contraire elle attend que les processus soient finis pour les relancer avec les nouveaux paramètres (fichier httpd.conf)

Vous avez acheté un serveur dédié et vous êtes un peu déboussolé. D’abord le système ne vous est pas familier (il s’agit de linux le plus souvent) mais de plus vous n’avez plus l’âge (ou l’avez jamais eu) de jouer avec des lignes de commandes ! Et bien pourtant…Si vous voulez vous passer de Webmin ou autre logiciel de gestion en ligne, il faudra passer par ce bon vieux clavier, exit la souris.

Configurer votre accès SSH

Pour accéder à votre serveur, on vous a fourni généralement des identifiants SSH. Sur Windows on pourra utiliser PUTTY qui est extrêmement simple. En effet, il suffit de lancer ce petit logiciel. D’y rentrer son IP dans le champ Host Name, de choisir le protocole SSH et de cliquer sur Open. Là s’ouvre une fenêtre de connexion vous demandant votre login et votre mot de passe.

Généralement et à partir de là vous êtes connecté à votre serveur dans le répertoire root.

Le système Linux.

Linux est un système multitâche ayant acquis sa popularité auprès des entreprises et des étudiants mais aussi en tant que serveur à cause de sa légendaire stabilité. Comme tout système, Linux a ses nombreuses failles mais issu d’un environnement Unix, il s’agit du plus simple et robuste système que l’on peut avoir pour un serveur hormis quelques autres systèmes particuliers mais peu répandu.

Il existe plusieurs distributions de Linux, Personnellement j’ai choisi la Debian Woody. Le système Débian est parfait pour le débutant car l’installation des logiciels par paquet est moins déroutante que le fameux makefile (compilation) des autres distributions (même s’il existe des paquetages, celui de Débian est le plus abouti).

Quelques notions sur le système

Il y a quelques fondamentaux à savoir sur Linux. Tout d’abord comme tout système Unix, celui-ci comporte un utilisateur « maître » et plusieurs autres utilisateurs. Chaque utilisateur a son répertoire personnel et des droits quant à l’utilisation des fichiers présents sur le système. Les droits existent sur tout fichier du système (et dans ce système tout est fichier). Un utilisateur peut par exemple ne pas avoir le droit de voir tout le système, il peut voir par exemple que son répertoire. Toutefois il peut avoir accès à l’utilisation à d’autres fichiers.

Les droits sont divisés à trois catégories, les droits pour l’utilisateur, pour le groupe et pour les autres. A chaque fichier est associé un utilisateur (généralement le créateur du fichier) et un groupe qu’on peut indiquer avec la commande chown

chown utilisateur.groupe fichier

Permet de spécifier que fichier est à utilisateur et au groupe groupe. Si le groupe n’est pas indiqué (paramètre sans .) alors on ne change que l’utilisateur.

Pour chaque catégorie, on peut spécifier un droit de lecture, d’écriture et d’utilisation (execution). Ceci se fait avec la commande chmod

chmod o+rx fichier

Permet par exemple d’ajouter les droits de lecture (read), execution (x) à la catégorie other sur fichier.

chmod g–w fichier

Permet d’enlever les droits d’écriture du groupe sur le fichier. On peut utiliser la mention « a » pour indiquer à la fois le groupe, l’utilisateur et other.

Nous allons voir maintenant quelques commandes de bases sur les fichiers

Commande sur les fichiers.

Tout d’abord la première commande à voir est help

help

Permet de lister les commandes du shell.

Ensuite les commandes de répertoire. Par exemple, une des plus utiles :

ls –l

Permet de lister le répertoire courant avec les droits sur les fichiers et le nom des utilisateurs et groupe.

cd dossier

Permet de faire que le répertoire courant soit dossier. Pour indiquer un chemin de puis la racine il suffit d’indiquer « / » au début du chemin indiqué à cd.

cd ..

Revient en arrière, les deux points qui se suivent sont du à l’architecture même des fichiers sur le disque dur, c’est vieux système d’organisation.

Pour savoir où vous êtes

pwd

Indique le chemin complet du répertoire courant depuis la racine.

rm fichier

Permet d’effacer le fichier. On peut composer avec * et ?. * remplace tout un ensemble de caractère et ? un seul caractère. Par exemple, pour effacer les fichiers commençant par image

rm image*

On peut utiliser le paramètre –r pour indiquer de descendre dans les sous répertoires. Attention à cette commande elle est très dangereuse.

cp source destination

Cette commande copie le fichier ou répertoire source vers destination.

Attention pour renommer un fichier, il suffit d’utiliser la commande mv (move) qui fonctionne comme cp excepté la possibilité de renommer un fichier et la suppression du fichier source.

Installation de logiciel

Sur Debian pour installer vos logiciels, vous pouvez utiliser les paquets et en plus les mettre à jour très facilement. Tout cela se fait avec la commande

apt-get

Cette commande en ligne prend plusieurs paramètres. Le premier paramètre est une commande (install, remove, updrage, update) et le deuxième une liste de logiciel.

Par exemple, pour installer apache

apt-get install apache

Cette commande installera apache en positionnant une configuration par défaut. Mais on peut aussi installer tout un ensemble de logiciels en une seule ligne !

apt-get install apache php4 mysql php4-mysql

Installera Apache, mysql et php4

Une chose bien pratique est la mise à jour des logiciels par la commande upgrade et update. En effet, le logiciel apt-get peut être connecté à une source de paquets et aller chercher par lui-même les bons paquets à changer, voir les nouveaux, les nouvelles versions etc…Attention la commande update n’installe rien, elle met juste à jour la liste des logiciels et leur version. Tandis que la commande upgrade elle met à jour tous les logiciels.

Pour désinstaller des logiciels :

apt-get remove listedelogiciel

Attention à cette manœuvre, regardez bien ce que cette commande vous désinstalle. En effet à cause des liaisons entre bibliothèques, apt-get peut estimer nécessaire de désinstaller d’autres logiciels. Regardez donc la liste des paquets qui seront effacé et choisissez de confirmer ou non.

Voilà pour les bases, nous en verrons un peu plus dans une deuxième partie.