Choisir son \u00e9quipement<\/h2>\n
Ayant historiquement (presque tous) mes domaines chez OVH, et \u00e9tant satisfait de leurs services, j’ai fait le choix du VPS SSD 1<\/a>, l’offre d’entr\u00e9e, afin de me faire la main avant d’accueillir peut-\u00eatre d’autres contenus plus cons\u00e9quents.<\/p>\n D\u00e8s le d\u00e9but, apr\u00e8s avoir cliqu\u00e9 le bouton Commander<\/strong>, vous allez pouvoir faire des choix pour l’installation initiale. N’ayez crainte, vous pouvez les changer ult\u00e9rieurement en cas d’erreur ou d’envie soudaine de changement. Voici ma configuration initiale.<\/p>\n Une fois votre commande pass\u00e9e et le paiement effectu\u00e9, vous devrez vous connecter \u00e0 votre manager OVH pour recueillir quelques informations concernant votre machine (VPS), comme son adresse IP, principalement. Allez donc sur votre Manager<\/a> section VPS. D’entr\u00e9e de jeu, passez l’interface en mode expert<\/strong>.<\/p>\n Un e-mail vous parvient \u00e9galement de la part d’OVH afin de vous fournir des informations plut\u00f4t utiles comme le mot de passe pour vous connecter en root<\/em> \u00e0 votre serveur.<\/p>\n Vous pouvez tout \u00e0 fait utiliser votre logiciel FTP habituel, mais pour les quelques premi\u00e8res \u00e9tapes, je vous conseille d’utiliser le terminal et la ligne de commande, vous verrez que ce n’est pas tr\u00e8s compliqu\u00e9. Ceux qui n’ont ni l’un ni l’autre, vous pouvez utiliser le KVM propos\u00e9 dans votre manager OVH.<\/p>\n Pour vous connecter, entrer la ligne de commande suivante (sauf avec le KVM qui vous demande directement login et mot de passe) :<\/p>\n o\u00f9 vous remplacerez bien s\u00fbr les 0 par l’adresse IP de votre serveur. Normalement on va vous demander \u00e0 cette \u00e9tape d’accepter la cl\u00e9 de cryptage, dites oui, puis \u00e0 l’\u00e9tape suivante entrez votre mot de passe. (celui re\u00e7u par e-mail) Alors non, je n’ai pas la science infuse, j’ai lu un peu de doc et des articles (propos\u00e9s par Matthieu entre autres), et voici quelques conseils qui s’appliquent dans bien d’autres domaines.<\/p>\n L’id\u00e9e c’est qu’avec l’utilisateur Commencez donc par cr\u00e9er un nouvel utilisateur qui aura un peu moins de droits, mais que l’on va doter de quelques super pouvoirs par la suite.<\/p>\n Ici j’appelle mon utilisateur Pour donner des droits compl\u00e9mentaires \u00e0 notre utilisateur nous allons installer Ensuite, installez sudo :<\/p>\n Vous pouvez maintenant utiliser les commandes La derni\u00e8re \u00e9tape consiste \u00e0 ajouter votre utilisateur (toujours en \u00e9tant connect\u00e9 en tant que Cette \u00e9tape permet de se connecter \u00e0 votre serveur uniquement gr\u00e2ce \u00e0 une cl\u00e9 SSH. C’est une \u00e9tape qui vous permet de renforcer la s\u00e9curit\u00e9 lors de la phase de connexion.<\/p>\n Toujours dans le terminal, revenez en local (sur votre machine personnelle, et plus sur le VPS) en tapant Votre interface vous retourne alors :<\/p>\n Si l’emplacement et le nom de la cl\u00e9 vous conviennent, appuyez sur entr\u00e9e. Personnellement je vous conseille de renommer le fichier en quelque chose de plus explicite comme Un fichier Si votre machine peut faire tourner le script Autrement, le prompt va vous retourner une erreur, vous devrez alors le faire \u00e0 la main, comme moi, en suivant ces \u00e9tapes.<\/p>\n Vous vous retrouverez dans le dossier de votre utilisateur.<\/li>\n Le fichier s’ouvre gr\u00e2ce \u00e0 l’\u00e9diteur nano. Copiez votre cl\u00e9 \u00e0 l’int\u00e9rieur, puis faites successivement CTRL+X<\/kbd>, puis Y<\/kbd> et touche entr\u00e9e pour enregistrer le fichier.<\/li>\n D\u00e9sormais, vous devriez avoir besoin de la cl\u00e9 RSA et de votre \u00e9ventuelle passphrase pour vous connecter en SSH sur votre serveur avec l’utilisateur que vous avez nouvellement cr\u00e9\u00e9.<\/p>\n Le plus gros est fait, maintenant nous allons simplement nous interdire d’utiliser Normalement vous \u00eates toujours connect\u00e9 avec votre compte poss\u00e9dant les bons privil\u00e8ges ( L\u00e0 vous rentrez en \u00e9dition du fichier, trouver la ligne commen\u00e7ant par :<\/p>\n et passez la valeur \u00e0 Fermez le fichier comme nous l’avons vu pr\u00e9c\u00e9demment (ctrl+X<\/kbd>, Y<\/kbd>, Entr\u00e9e<\/kbd>), puis red\u00e9marrez le service SSH pour que les modifications soient prises en compte.<\/p>\n Avant de nous d\u00e9connecter d\u00e9finitivement, nous allons contr\u00f4ler que tout fonctionne encore : ouvrez un nouvel onglet sur le terminal, puis cette fois connectez-vous avec l’utilisateur Rentrons maintenant au c\u0153ur de la magie. Mais avant cela, il faut l’installer. Je vous rassure, c’est simple. C’est tout, laissez juste faire l’installation, compl\u00e9tez les renseignements demand\u00e9es et passez \u00e0 la suite quand c’est ok.<\/p>\n Partons du principe que vous avez enregistr\u00e9 un nom de domaine chez OVH qui est example.com. Je veux cr\u00e9er un site web sur ce domaine avec PHP7 et MySQL, je vais utiliser la commande C’est tout ! Une fois que le changement n’est plus \u00ab\u00a0en cours\u00a0\u00bb, et pour v\u00e9rifier que les DNS se sont bien propag\u00e9s, utilisez le service suivant: What’s My DNS<\/a>.<\/p>\n \u2026 je voulais un site sous WordPress et je ne l’ai pas pr\u00e9cis\u00e9 au moment de l’installation de mon site avec Easy Engine. L’outil vous installe alors un WordPress avec les informations que vous allez renseigner dans les \u00e9tapes qui suivent le processus (en ligne de commande oui, mais c’est simple).<\/p>\n Oui, EE permet aussi de faire \u00e7a tr\u00e8s simplement en une seule commande gr\u00e2ce \u00e0 Let’s Encrypt. Confirmez avec un Y<\/kbd> lorsque le prompt vous le demande\u2026 et c’est tout. Par d\u00e9faut mon certificat SSL avait une note de B sur SSLlabs.com<\/a> juste apr\u00e8s la mise en place du certificat via Lets Encrypt. Je vous rassure, c’est d\u00e9j\u00e0 tr\u00e8s tr\u00e8s bien, mais si vous \u00eates des obs\u00e9d\u00e9s de la note, vous pouvez augmenter un poil cette note en suivant ces quelques \u00e9tapes, tir\u00e9es du site web weakdh.org<\/a>.<\/p>\n puis naviguez dedans<\/p>\n En testant \u00e0 nouveau, j’avais une note de A. Certains me diront que la note n’est pas importante ici, et vous avez raison. Comme je le disais, la diff\u00e9rence est maigre, m\u00eame un D reste s\u00e9curisant \ud83d\ude42<\/p>\n Voil\u00e0, c’est fini pour ces premiers pas et cette retranscription presque en direct de ma propre exp\u00e9rience sur le sujet. Encore un grand merci \u00e0 Matthieu qui a \u00e9t\u00e9 de tr\u00e8s bon conseils \u00e0 diff\u00e9rents \u00e9tapes du processus et qui a su me simplifier la compr\u00e9hension de certains concepts.<\/p>\n Maintenant je vais me prendre la t\u00eate sur le param\u00e9trage des mails \ud83d\ude42<\/p>\n Cela faisait un petit moment que j’avais envie de monter un peu en comp\u00e9tences et d’apprendre \u00e0 \u00ab\u00a0g\u00e9rer\u00a0\u00bb un serveur par moi-m\u00eame. Comme je n’avais pas envie de me lancer t\u00eate baiss\u00e9e dans l’inconnu, j’ai profit\u00e9 de conseils de l’un de mes coll\u00e8gues pour le suivre dans ses tests.<\/p>\n","protected":false},"author":4,"featured_media":5970,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_bluesky_dont_syndicate":"","_bluesky_syndication_accounts":"","_bluesky_syndication_text":"","footnotes":""},"categories":[50,700,9],"tags":[746,21,22,395,321],"coauthors":[597],"class_list":["post-5934","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ressources-telechargements","category-retours-experience","category-tutoriels","tag-nginx","tag-optimisation","tag-ovh","tag-securite","tag-serveur"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts\/5934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/comments?post=5934"}],"version-history":[{"count":1,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts\/5934\/revisions"}],"predecessor-version":[{"id":6783,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts\/5934\/revisions\/6783"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/media\/5970"}],"wp:attachment":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/media?parent=5934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/categories?post=5934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/tags?post=5934"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/coauthors?post=5934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
![\"L'\u00e9tape](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2016\/07\/ovh-vps-serveur.png\")
<\/a>![\"Le](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2016\/07\/ovh-vps-tableau-de-bord.png\")
<\/a>Se connecter en SSH \u00e0 votre serveur<\/h2>\n
ssh root@000.000.000.000<\/code><\/pre>\n
\nC’est tout, vous \u00eates dans la b\u00eate !<\/p>\nQuelques conseils pour d\u00e9marrer sur Debian 8<\/h2>\n
N’utilisez pas (ou moins)
root<\/code><\/h3>\nroot<\/code>, vous avez tous les pouvoirs, m\u00eame de d\u00e9truire compl\u00e8tement de pr\u00e9cieuses heures de travail. Le fait d’\u00eatre tout le temps connect\u00e9 en root<\/code> peut \u00e0 n’importe quel moment vous desservir, notamment si vous faites une erreur\u2026<\/p>\nCr\u00e9er un nouvel utilisateur<\/h4>\n
adduser draven<\/code><\/pre>\ndraven<\/code>, vous faites comme bon vous semble. En appuyant sur entr\u00e9e, il va vous \u00eatre demand\u00e9 de pr\u00e9ciser un mot de passe, deux fois pour le contr\u00f4le, puis des informations optionnelles que vous pouvez remplir, ou passer en appuyant sur Entr\u00e9e tout en laissant vide.<\/p>\nInstaller
sudo<\/code><\/h4>\nsudo<\/code> \u00e0 la mano. Pour cela, commencez par mettre \u00e0 jour le package apt :<\/p>\napt-get update<\/code><\/pre>\napt-get install sudo<\/code><\/pre>\nsudo<\/code> et visudo<\/code>.<\/p>\nAjouter l’utilisateur au groupe sudo<\/h4>\n
root<\/code>) au groupe sudo<\/code> avec la ligne de commande qui suit.<\/p>\nusermod -a -G sudo draven<\/code><\/pre>\nAjouter une Cl\u00e9 Public d’Authentification<\/h3>\n
G\u00e9n\u00e9rer une paire de cl\u00e9s<\/h4>\n
exit<\/code>. Puis entrez :<\/p>\nssh-keygen<\/code><\/pre>\nGenerating public\/private rsa key pair.\r\nEnter file in which to save the key (\/Users\/USERNAME\/.ssh\/id_rsa):<\/code><\/pre>\nUTILISATEUR_vps_rsa<\/code> par exemple.
\nDans tous les cas, apr\u00e8s avoir appuy\u00e9 sur entr\u00e9e, vous avez la possibilit\u00e9 d’entrer une passphrase, une sorte de mot de passe compl\u00e9mentaire \u00e0 la cl\u00e9. C’est optionnel, mais le faire augmente votre protection, bien s\u00fbr.<\/p>\nUTILISATEUR_vps_rsa<\/code> et UTILISATEUR_vps_rsa.pub<\/code> sont cr\u00e9\u00e9s dans le dossier cach\u00e9 .ssh<\/code> sur votre machine. Le .pub<\/code> est la cl\u00e9 publique, l’autre fichier contient la cl\u00e9 priv\u00e9e qui ne doit jamais \u00eatre partag\u00e9e \ud83d\ude09<\/p>\nCopier la cl\u00e9 publique<\/h4>\n
ssh-copy-id<\/code>, \u00e7a va \u00eatre rapide, tapez simplement (en rempla\u00e7ant le nom d’utilisateur et l’IP par vos infos\u2026 hein ;p) :<\/p>\nssh-copy-id draven@000.000.000.000<\/code><\/pre>\n\n
cat ~\/.ssh\/geoffrey_vps_rsa.pub<\/code><\/pre>\n<\/li>\nssh-rsa<\/code> et terminant souvent par un truc qui ressemble \u00e0 une adresse mail (ici utilisateur@nom-de-la-machine.home<\/code>). S\u00e9lectionnez et copiez cette cha\u00eene.<\/li>\nsu - draven<\/code><\/pre>\nmkdir .ssh\r\nchmod 700 .ssh\r\nnano .ssh\/authorized_keys<\/code><\/pre>\nroot<\/code> avec ces commandes :\nchmod 600 .ssh\/authorized_keys\r\nexit<\/code><\/pre>\n<\/li>\n<\/ol>\nConfigurer SSH<\/h3>\n
root<\/code> \u00e0 distance. Oui \u00e7a peut para\u00eetre bizarre, mais en bloquant cette possibilit\u00e9 on augmente consid\u00e9rablement la s\u00e9curit\u00e9 de son serveur puisque root<\/code> est l’utilisateur \u00ab\u00a0absolu\u00a0\u00bb le plus recherch\u00e9 par les potentiels pirates.<\/p>\nroot<\/code> ou draven<\/code> utilisant sudo<\/code>), faites donc la commande suivante :<\/p>\nnano \/etc\/ssh\/sshd_config<\/code><\/pre>\nPermitRootLogin<\/code><\/pre>\nno<\/code> comme ceci.<\/p>\nPermitRootLogin no<\/code><\/pre>\nsystemctl restart ssh<\/code><\/pre>\ndraven<\/code>.
\nUne fois que c’est fait, lancez n’importe quelle commande avec sudo<\/code> devant, comme par exemple la commande ls<\/code> qui ne fait que lister le contenu d’un dossier. Si le mot de passe utilisateur est demand\u00e9 et que la commande fonctionne, c’est que \u00e7a marche.<\/p>\nLa magie d’Easy Engine<\/h2>\n
\nEasy Engine<\/a> est l\u00e0 pour vous faciliter la vie en vous procurant un package de commandes qui va vous permettre de cr\u00e9er des sites pr\u00e9-param\u00e9tr\u00e9s en moins de 10s. Non non je ne blague pas.<\/p>\n![\"Fonctionnalit\u00e9s](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2016\/07\/easy-engine-features.png\")
<\/a>Installer Easy Engine<\/h3>\n
\nConnectez-vous \u00e0 votre serveur (en root ou avec un utilisateur qui poss\u00e8de des droits suffisants) comme nous l’avons vu pr\u00e9c\u00e9demment, puis entrez la ligne de commande suivante :<\/p>\nwget -qO ee rt.cx\/ee && sudo bash ee<\/code><\/pre>\nCr\u00e9er un site web<\/h3>\n
site create<\/code><\/a>.<\/p>\nee site create example.com --php7 --mysql<\/code><\/pre>\n
\nAh non ! Il vous faudra quand m\u00eame \u00ab\u00a0relier\u00a0\u00bb votre domaine \u00e0 votre serveur en modifiant les informations DNS de ce premier. Chez OVH \u00e7a se trouve sur votre manager, vous cliquez sur le nom de domaine concern\u00e9, puis sur l’onglet Gestion DNS<\/strong>. Vous aurez probablement ceux par d\u00e9faut que OVH. C’est tr\u00e8s bien. Si ce n’est pas le cas cliquez sur le bouton qui permet de les r\u00e9tablir.
\nEnsuite :<\/p>\n\n
![\"R\u00e9glages](\"https:\/\/www.creativejuiz.fr\/blog\/wp-content\/uploads\/2016\/07\/ovh-dns-vps-ee.png\")
<\/a>Oui mais en fait\u2026<\/h3>\n
\nPas de souci, utilisez simplement site update<\/code><\/a> pour cela.<\/p>\nee site update example.com --wp<\/code><\/pre>\nPasser en SSL<\/h3>\n
\nEn fait c’est une option de site create ou site update<\/a>, vous pouvez donc le faire d\u00e8s le d\u00e9but de la cr\u00e9ation de votre site web, ou alors durant une mise \u00e0 jour.<\/p>\nee site update example.com --letsencrypt<\/code><\/pre>\n
\nL’auto-renouvellement du certificat se fait normalement tous les 89 jours. Si celui-ci \u00e9choue, un e-mail vous sera envoy\u00e9 \u00e0 l’adresse e-mail renseign\u00e9e pour les informations propres \u00e0 git.<\/p>\nLevel up son certificat SSL<\/h3>\n
\n
cd opt<\/code><\/pre>\n<\/li>\nsudo mkdir ssl<\/code><\/pre>\ncd ssl<\/code><\/pre>\n<\/li>\nsudo openssl dhparam -out dhparams.pem 2048<\/code><\/pre>\n<\/li>\ncd \/var\/www\/example.com\/conf\/nginx<\/code><\/pre>\n<\/li>\nls<\/code>, vous devriez voir le fichier ssl.conf<\/code> list\u00e9, \u00e9ditez-le\nsudo nano ssl.conf<\/code><\/pre>\n<\/li>\nssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';\r\n\r\nssl_prefer_server_ciphers on;\r\nssl_dhparam \/opt\/ssl\/dhparams.pem;<\/code><\/pre>\n<\/li>\nsudo service nginx restart<\/code><\/pre>\n<\/li>\n<\/ol>\n\u00c0 vous de jouer maintenant<\/h2>\n
Sources et liens utiles<\/h2>\n
\n