Sima78

Dotclear et Yunohost  pas au point.

Contrairement à ce que je disais dans le précédent billet, je vais continuer mes publications puisque la migration sur le nouveau serveur ce n’est pas pour demain.

Contexte :

J’ai une vieille machine qui fait office de serveur, il est dans la salle à manger et Madame Sima ne supporte plus de voir et surtout d’entendre ce gros machin ronfler 24h/24h. J’ai depuis quelques mois une machine flambant neuf sans ventilateur qui dort dans son carton et comme tout bon procrastinateur que je suis, remettais au lendemain l’installation. La semaine dernière un ami est venu et il m’a motivé, je voulais un serveur avec Yunohost. C’est parti ! On installe Debian, puis la couche Yunohost. Pour les bases de données on y met l’application PhpMyAdmin (quitte à l’enlever plus tard), ça faisait looongtemps que je n’avais pas utilisé PhpMyAdmin, mais puisque Yunohost autant aller dans la simplicité.

Puis installer Dotclear pour y migrer mon blog, et là c’est le début des problèmes.

Arrive le moment du renouvellement de mes certificats Let's Encrypt. Oui, je sais, il suffit de le faire de façon automatique par une tâche cron... Mais cela n'aurait pas empêché les messages d'erreurs.

Il faut dire que j'avais un peu "bricolé" mon serveur ses derniers temps et activé de nouveaux sites et autres bricoles.

Bref, je lance le renouvellement des certificats par:

# /opt/letsencrypt/letsencrypt-auto renew

Et là j'ai le message d'erreur suivant:

(...)
Attempting to renew cert (chispa.fr) from /etc/letsencrypt/renewal/chispa.fr.conf produced an unexpected error: Unable to find a virtual host listening on port 80 which is currently needed for Certbot to prove to the CA that you control your domain. Please add a virtual host for port 80.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/chispa.fr/fullchain.pem (failure)
(...)

Et plus d'accès en https...
Suite à cela, je vous fais grâce de toutes mes tentatives de réparation plus laborieuses les unes que les autres multipliant les messages d'erreur.

Il y a un moment où il faut savoir se lever de sa chaise, prendre un thé...

J'avais déjà écrit un billet intitulé "Scripts de sauvegardes journalières et hebdomadaires" et un commentaire de Tetsumaki m'a donner à réfléchir.

Pourquoi je fais compliqué quand ont peut faire simple?

Soit, j'aime les scripts, et du coup il m'arrive de m'emballer et il fallait un disque de sauvegarde assez « gros »… Et j’ai décidé de regarder du côté de Rdiff-Backup. J’ai été séduit !

Je fais donc un nouveau billet sur le sujet de la sauvegarde sans pour autant supprimer l'autre...

Rdiff-Backup existe aussi pour Windows, je suppose qu'il doit exister une interface graphique , j'avoue ne pas avoir cherché puisque je m'en sert pour la sauvegarde d'un serveur, qui n'a pas d'interface graphique et de façon automatisée.

Bien entendu, une sauvegarde ne se fait pas sur une partition du disque dur, pas même sur un autre disque dur sur le même pc, mais sur un disque externe ou un pc distant...

Une modification à été apporté le 07/12/2023 concernant le message d'érreur :

/bin/sh: 1: root: not found

Lire la suite...

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l'encapsuler dans un tunnel SSL.
Bien entendu, il s'agit là d'un exemple, qui fonctionne chez-moi, n'hésitez pas à améliorer.

Geneweb en https

Depuis que mon serveur est en https, geneweb restait en http. Geneweb se lance sur mon serveur en service (il est son propre serveur) sur un port dédié. Une des solutions aurait été de l'installer sur /var/www/ avec un script CGI... Ce que je ne souhaitais pas.
Donc mon exemple s'applique à Geneweb, mais en cherchant sur le web, vous trouverez comment encapsuler d'autres protocoles tels que smtp, pop, vpn, imap...
Habituellement, on se connecte sur Geneweb en mode service sur le port 2317 (http://leserveur.net:2317) donc pas en https...

Voyons comment procéder...

Geneweb est un logiciel de généalogie, ou plus précisément un serveur de généalogie.

Il s'agit d'un logiciel libre multi-plateforme (linux, bsd, windows, Mac Os X), on y accède via une interface web. On peut l'utiliser en mono poste (localhost) ou l'installer sur un serveur.

Je parle ici de geneweb sous serveur linux, pour ceux sous pc windows, j'imagine que ce doit se faire via mode graphique.
Sur un serveur, deux possibilités d'installation :

J'ai mis ce billet dans la catégorie serveur, mais en réalité cela s'applique à n'importe quel PC

Vous venez d'installer un disque supplémentaire sur votre pc.

Vous souhaitez le partitionner avec LVM (logical volume management ou gestion par volumes logiques) puis chiffrer les partitions avec Cryptsetup.

Prenons ici un disque dur de 1To et que l'on souhaite faire deux partitions qu'on nommera "donnees" et "save"

Vérifier les disques montés, et éviter de se tromper de disque.
Deux commandes utiles
sudo fdisk -l
sudo df -h

Fail2ban ou comment bloquer les requêtes phpmyAdmin w00tw00t et dos avec mod_evasive

Élément essentiel pour sécuriser son serveur, Fail2ban permet d'éviter des intrusions via force-brute. Il se charge d'analyser les logs des services installés et bannit automatiquement et pour une durée déterminée un hôte via iptables en cas d’échecs de connexion après X tentatives.

Installer Fail2ban:

Installer et configurer Logwatch

Pourquoi plutôt logwatch qu'une autre application de surveillance?

Je trouve logwatch très explicite, facile à configurer, simple et agréable à lire, il livre les logs bien structurés sous forme de chapitres, bref, pas besoin d'être un pro de la sécurité pour déchiffrer les logs... Qu'on peut recevoir par mail.

Logwatch sur ubuntu 14.04 server