Ca m’a l’air un peu léger en terme de sécurité quand même : ne parle pas de la sélection des modules, de la sécu de php, de ssl, de la personnalisation des pages d’erreur, de virer la signature serveur…
Dès que je démarre mon laptop je te balance quelques liens.
Quand j’ai démarré avec apache on m’a prêté un bouquin :
Apache en action
Par Ken Coar et Rich Bowen
Ed. O’Reilly
Il date peut-être un peu maintenant mais il m’avait bien servi.
RETOUR SUR SSH 
J’ai éteint le serveur hier soir (je sais, ce n’est pas fait pour être éteint mais j’en suis aux essais)
Ce matin, je rallume, j’essaie de me connecter en ssh, réponse
ssh: connect to host 192.168.0.14 port 22: Connection refused
ALORS QUE j’avais modifié le port 22 par le port xyz
Je revérifie tout et c’est bien en place sur le serveur et sur la box et sur le parefeu.
Je modifie pour revenir au port 22 et ça fonctionne ???
Il doit me falloir indiquer quelque part que SSH n’est plus sur le 22 mais sur xyz.
Sur la box, c’est fait en redirection comme indiqué par François.
Où ???
Salut,
il faut redémarrer le daemon SSH a chaque motif
la freebox a chaque modif …
[quote=“sinozis”]il faut redémarrer le daemon SSH a chaque motif
la freebox a chaque modif …
[/quote]
Cela avait été fait, mais j’ai eu une autre idée … en déjeunant, je vais la tester et si ce n’est pas bon, j’essaie la méthode Lol.
Par contre Lol, ne faudrait-il pas y ajouter ‘ricardo@’ avant l’IP :
ssh -p xyz ricardo@192.168.0.14
Mon idée n’était pas bonne 
Avant de tester la suite, je voudrais savoir qui il faut redémarrer dans init.d pour avoir de nouveau accès au web ?
à chaque fois que je tripote à la Box, je ne peux plus me brancher sur le web et je suis obligé de rebouter la machine 
EDIT :
apache2 ???
j’attends confirmation pour éviter une connerie de plus
bonjour ricardo
je me permet de poster puisque je suis, moi aussi, en train de creer un serveur Apache + Pureftpd.
j’ai donc suivi quelques tutos par ci par la ( la plupart pour etch … )
pour le moment j’ai installé apache2 et proftpd ça a l’air de fonctionner mais honnetement ma configuration ne doit vraiment pas etre terrible
enfin tout ça pour dire que au pire si tu bloque quelque part je pourrait te passer les fichiers de configurations de mon serveur
la je regarde au niveau sécurité ce qu’il faut faire pour ne pas se faire hacker en moins de 5 minutes
bon courage
Merci.
Ben Lol avait bon, avec ce que j’ai ajouté, ça fonctionne
[quote]ricardo@sid-sda8:~$ ssh ricardo@192.168.0.14
ssh: connect to host 192.168.0.14 port 22: Connection refused
ricardo@sid-sda8:~$ ssh -p xyz ricardo@192.168.0.14
ricardo@192.168.0.14’s password:
Linux serveur 2.6.26-2-686 #1 SMP Mon Jun 21 05:58:44 UTC 2010 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Jul 17 14:29:01 2010
ricardo@serveur:~$
[/quote]
J’ai quand même l’impression que la redirection de port dans la Box, comme je l’ai faite, n’est pas bonne.
Une explication sur “redirection de ports” dans la FreeBox mode routeur.
Je replace la capture mais ne tenez pas compte des données , il faut lire dans la deuxième ligne : Port ‘666’ Protocole ‘tcp’ Destination ‘192.168.0.14’ (IP du serveur) Port ‘666’
Au départ, j’avais mis 22 en premier mais François m’a dit de placer le même qu’en dernier.
J’aimerais une explication car pour moi, si on dit “redirection”, il faut bien connaître ce qui est dans notre machine et ce qui le remplacera, non ?
Donc, à mon sens, les deux ports ne devraient pas être les mêmes ???
Pour apache, c’est vraiment simple.
- apt-get install apache2
- mise en place du site dans /var/www
- test en local, si besoin de PHP avec éventuellement MySQL,
apt-get install php5-mysql libapache2-mod-php5
puis lien dans /etc/apache2/mods-enabled vets /etc/apache2/mods-avalable
(y mettre php5.conf, php5.load)
La config par défaut est sécurisée. Là où c’est plus compliqué, c’est pour mettre une deux
ième machine derrière sur le même site ou plusieurs sites sur la même machine mais ça reste simple.
Pour la redirection de ports. Il faut faire attention: Tu as ta freeBox avec IPpublique et IPinterne et ton serveur avec IPserveur (les deux dernières sur le LAN).
- SI tu veux que dans ton LAN, le serveur ssh soit normal (sur le port 22), alors la redirection doit être
666 -> IPserveur:22 (IPserveur est 192.168.0.250 sur ta capture).
et ton serveur doit écouter sur le port 22 (configuration classique dans le sshd_config)
ATTENTION: de ton LAN, un ssh ricardo@ricardo.fr -p 666 ne marchera pas. cfhttp://forum.debian-fr.org/viewtopic.php?f=3&t=27801 par exemple comme explications.
- SI tu veux que et dans le LAN et à l’extérieur ça réponde sur le port 666, il faut faire
666 -> IPserveur:666 (IPserveur est 192.168.0.250 sur ta capture).
et ton serveur doit écouter sur le port 666 (configuration modifiée dans le sshd_config)
Là encore un ssh ricardo@ricardo.fr -p 666 ne marchera pas dans ton LAN.
Merci de tes explications, que je pense avoir comprises.
Rectification : il y a sur la capture 192.168.0.250 mais ça a été modifié par 192.168.0.14 (14 étant l’IP interne du serveur.
C’EST BIEN CETTE IP (celle du serveur) QUE JE DOIS METTRE À CET ENDROIT ?
oui
Bon, c’est ce que j’ai actuellement :
666 tcp ==> 192.168.0.14 666 … (14 = mon serveur)
Quand tu écris :
- SI tu veux que et dans le LAN et à l’extérieur ça réponde sur le port 666, il faut faire
666 -> IPserveur:666 (IPserveur est 192.168.0.250 sur ta capture).
et ton serveur doit écouter sur le port 666 (configuration modifiée dans le sshd_config)
C’est ce que j’ai aussi
(serveur sshd_config = 666)
(parefeu : port tcp 666 ouvert)
Et pourtant, de ma machine principale (dans le LAN), si je fais
$ ssh ricardo@192.168.0.14
j’ai la réponse :
ricardo@sid-sda8:~$ ssh ricardo@192.168.0.14
ssh: connect to host 192.168.0.14 port 22: Connection refused
Toujours de la même machine, si je fais
ricardo@sid-sda8:~$ ssh -p 666 ricardo@192.168.0.14
ricardo@192.168.0.14's password:
ÇA PASSE
Ça contredit ce que tu avances plus haut, non ?
Bon alors ,admet on !
tu configures le serv ssh sur le port 666
tu redémarres le deamon ssh
tu ouvres le port tcp 666 dans ton pare feux
voilà ssh est configuré
donc si tu veux te conecter a ssh depuis une machine en réseau local
parce que si tu spécifies pas le port,c’est le port par défaut c’est le 22
ensuite si tu veux que Internet ai accès a ton serv ssh il faut que tu dises a ta box que le port 666 qui arrive de internet , aille sur ton adresse ip de ton serv local
donc le port 666 de internet, va vers l’ip local 192.168.0.14 port 666
Ben j’ai tout bon, donc
C’est exactement ma config actuelle.
Mais, à moins que j’aie mal compris, François ne tenait pas compte du ‘-p 666’
Si je t’ai bien compris, quand on modifie le P22 par un autre port, quel qu’il soit, on est obligé de le déclarer à la commande.
[quote=“ricardo”]…
Si je t’ai bien compris, quand on modifie le P22 par un autre port, quel qu’il soit, on est obligé de le déclarer à la commande.[/quote]
Oui !
Par contre si tu es dans une console en tant que “ricardo” et que tu souhaite te connecter en ssh en tant que “ricardo”, inutile de préciser “ricardo@” l’IP (ou le nom de la machine) suffit.
[quote=“lol”]
Par contre si tu es dans une console en tant que “ricardo” et que tu souhaite te connecter en ssh en tant que “ricardo”, inutile de préciser "ricardo@" l’IP (ou le nom de la machine) suffit.[/quote]
Merci, en effet, ça fonctionne aussi bien
[quote=“ricardo”]Ben j’ai tout bon, donc
C’est exactement ma config actuelle.
Mais, à moins que j’aie mal compris, François ne tenait pas compte du ‘-p 666’
Si je t’ai bien compris, quand on modifie le P22 par un autre port, quel qu’il soit, on est obligé de le déclarer à la commande.[/quote]
Ben si:
Si ton adresse IP est 81.23.23.34, un ssh -p 666 ricardo@ricardo.fr équivaut à
ssh -p 666 ricardo@81.23.23.34
Si la freebox est très bien faite, ça marchera, elle recevra la requête et la relaiera au serveur en faisant du MASQUERADING.
Si la freebox est normalement faite, ça marchera, elle recevra la requête et la relaiera au serveur sans MASQUERADING. Si tu interroges de la machine 192.168.0.1, la requête sera transmise à 192.168.0.14 qui te répondra directement. Tu interroges 81.23.23.34, c’est 192.168.0.14 qui te répond. La connexion ne se fait pas.