Outils pour utilisateurs
Table des matières
Serveur brs0.internetway.net
Configuration et architecture
Paramètres de la machine virtuelle
| Hardware | |
|---|---|
| CPU | 4*2GHz |
| RAM | 8Gb |
| Swap | 8Gb |
| Disque | /boot : 512MB / : 37GB /brs : 153Gb |
| Réseau | |
| Bande-passante | 2Mb/s (10Mb/s) |
| Adresse IP | 178.16.164.213 |
| Nom d'hôte | brs0.internetway.net |
| Virtualisation | |
| Virutualisation | KVM |
| Haute-disponibilité | DRBD |
Sécurité
Coffre-for de mots de passe
Les mots de passe sont fournis via un coffre-fort. Ce coffre-fort se présente sous la forme d'un fichier .kdb, ouvrable avec l'application suivante :
Seul le mot de passe de ce coffre-fort est remis en mains propres.
Règles de firewall
Le comportement par défaut du firewall est de bloquer les flux. Les flux autorisés sont conformes aux règles suivantes :
# Generated by iptables-save v1.4.14 on Thu May 22 15:52:16 2014 *filter :INPUT DROP [174732:12468627] :FORWARD DROP [0:0] :OUTPUT DROP [38353:2280743] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 81.255.160.36/32 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 90.83.38.130/32 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 87.254.230.225/32 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 92.151.190.241/32 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -s 92.151.255.182/32 -p tcp -m tcp --dport 21 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT COMMIT # Completed on Thu May 22 15:52:16 2014
Backup
Le backup se fait au moyen de snapshots LVM.
Applications
SSH
L'accès SSH root se fait sur le port 22, via une authentification par mot de passe.
SFTP
SFTP permet de transférer des fichiers à travers le protocole SSH.
Sous Windows, l'application WinSCP supporte ce protocole.
L'authentification se fait par certificat. Pour cela, il faut :
- Générer un couple clé privée/clé publique (via
ssh-keygensous Linux ou PuTTYgen sous Windows). Il est fortement recommandé de protéger la clé privée par une passphrase. - Installer la clé publique sur le servuer (dans
/brs/brs-paris.com/.ssh/authorized_keys) - Ajouter la clé privée à Pageant (sous Windows)
La connexion se fait ensuite via WinSCP.
FTP
Un accès FTP a été créé (utilisateur brs). Cependant, les flux sur le port 21 sont actuellement bloqués. Les autorisations se feront à la demande, adresse IP par adresse IP.
Serveur Web Apache2
Les modules Apache suivants sont actifs :
- alias
- auth_basic
- authn_file
- authz_default
- authz_groupfile
- authz_host
- authz_user
- autoindex
- cgi
- deflate
- dir
- env
- mime
- negotiation
- php5
- reqtimeout
- setenvif
- status
Les extensions PHP suivantes sont installées :
- php5-curl
- php5-gd
- php5-imagick
- php5-pgsql
- php5-xsl
D'autres modules, extensions et/ou versions de PHP pourront être installées sur simple demande.
Serveur Postgresql 9.1
Un serveur PostgreSQL a été installé dans la version 9.1.
Les modules suivants ont également été installés :
- contrib (fonction de cryptage notamment)
- language plperl
- language pltcl
A ce jour, aucune base n'a été créée.
Statisitiques Web
L'accès aux statistiques se fait via l'adresse suivante : http://stats.internetway.net/
Piwik est un outil open source qui permet de récupérer les statistiques de visites via l'ajout de quelques lignes de code en fin de chaque page du site. Contrairement aux outils comme Google Analitycs, les données restent privées.
Il existe également des applications mobiles permettant de consulter ces données.
Pour l'utiliser, il suffit d'insérer le code suivant juste avant la balise </body> :
<!-- Piwik -->
<script type="text/javascript">
var _paq = _paq || [];
_paq.push(["trackPageView"]);
_paq.push(["enableLinkTracking"]);
(function() {
var u=(("https:" == document.location.protocol) ? "https" : "http") + "://stats.internetway.net/";
_paq.push(["setTrackerUrl", u+"piwik.php"]);
_paq.push(["setSiteId", "2"]);
var d=document, g=d.createElement("script"), s=d.getElementsByTagName("script")[0]; g.type="text/javascript";
g.defer=true; g.async=true; g.src=u+"piwik.js"; s.parentNode.insertBefore(g,s);
})();
</script>
<!-- End Piwik Code -->
Supervision
L'accès à l'interface de supervision se fait via l'adresse suivante : http://simonitor.irincom.com/
L'interface permet de :
- Monitorer l'état des éléments hardware (CPU, RAM, SWAP, disques)
- Monitorer les services
- Superviser l'utilisation de la bande passante (graphes et vue adresse IP par adresse IP et port par port)
Outils de la page
