nyroBlog
Bannière NyroBlog, par emi
Image par emi - ?

Catégorie : Serveur


Base de données : MySQL (Serveur Web sur Debian Squeeze)

Cette partie n'a pas évolué depuis Lenny. C'est exactement la même procédure.

On installe le serveur :

aptitude install mysql-server

Durant l'installation, il vous sera demandé le mot de passe de l'utilisateur MySQL root.

MySQL vient avec une commande sympathique qui permet de sécurisé le serveur :

mysql_secure_installation
# Current password : VOTRE_MOT_PASSE
# set new password : N
# remove anonymous Users : Y
# Disallow root login remotley : Y
# remove test database and access to it : Y
# reload privileges table now : Y

Si vous utilisez InnoDB comme moteur de stockage de vos tables, l'ensemble des données de chaque table est stockée dans un seul et même fichier pour toutes les tables InnoDB de toutes les bases de données. Cela peut vous embetter, et dans certains cas, causer des lenteurs du serveur. Il est possible de paramétrer MySQL pour créer un fichier de stockage par table. Nous allons aussi optimiser un chouilla la taille des caches. Pour ce faire, on édite le fichier /etc/mysql/my.cnf pour y ajouter dans la section [mysqld] :

innodb_file_per_table=1
innodb_buffer_pool_size=64M
tmp_table_size=32M
table_cache=128


On déplace les fichiers de la base de données dans /home/var en prenant soin d'arrêter le serveur avant : 

/etc/init.d/mysql stop
mv /var/lib/mysql /home/var/
ln -s /home/var/mysql/ /var/lib/mysql
chown mysql:mysql /home/var/mysql
/etc/init.d/mysql start

 

Nous voilà prêt pour installer le serveur DNS.

 

Retour au sommaire du tutorial complet.

Serveur Web : Nginx et PHP (Serveur Web sur Debian Squeeze)

Avant de commencer l'instalaltion de Nginx et PHP, quelques petits éléments.

J'ai décidé d'utiliser Nginx plutôt qu'Apache car il est beaucoup plus rapide et supporte des montées en charge beaucoup plus importantes qu'Apache.

Pour utiliser PHP avec Apache, il suffisait d'installer un module apache et tout fonctionnait directement. Avec Nginx, nous sommes obligés d'utiliser FastCGI Process Manager qui est plus ou moins un démon PHP qui va tourner sur le serveur et répondre à Nginx lorsqu'il le demandera. Plus de détails dans les configurations.

 

Pour installer PHP et pas mal d'extenstions à PHP (vous pouvez en supprimer si vous le souhaitez), une seule ligne de commande :

aptitude install nginx-extras php5-cgi php5-fpm php5 php5-mysql php5-dev php-pear php5-cli php5-gd php5-mcrypt php5-imap php5-curl php5-apc php5-fpm

php5-cli : Utilisation de php en ligne de commande (utile pour les tâche CRON)

php5-gd : Manipulation d'images en PHP

php5-imap : Connexion en Imap à un serveur de web en PHP

php5-curl : Utilisation de CURL en PHP (utile pour beaucoup d'API)

php5-apc : Mise en cache de l'OP code de PHP poru accélérer son fonctionnement (utilsiation totalement transparente)

php5-fpm : Pour obtenir le script init.d qui permettra de gérer php-fpm. Le démon est maintenant inclus directement dans PHP.

 

Lorsque tout est installé, commencons par configurer Nginx. Dans le fichier /etc/nginx/nginx.conf, dans la zone events :

worker_connections 1024;
multi_accept on;
use epoll;

Détails sur la configuration.

Puis dans la zone http :

tcp_nopush off;
server_tokens off;
client_max_body_size 30M;
client_body_buffer_size 128k;
expires 31d;

index index.php index.htm index.html;

Détails sur la confgiration.

Puis nous allons éditer les paramètres par défaut utiliser lors du passage au PHP-FPM. Dans le fichier /etc/nginx/fastcgi_params, ajoutez :

fastcgi_index index.php;
fastcgi_split_path_info ˆ((?U).+\.php)(/?.+)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_pass unix:/var/run/php5-fpm.sock;

La dernière ligne indique le chemin du socket par lequel on va passer, que nous allons configurer un peu plus loin.

Editons le site par défaut /etc/nginx/sites-available/default de nginx pour y ajouter quelques éléments :

listen 80; ## listen for ipv4; this line is default and implied
listen [::]:80 default ipv6only=on; ## listen for ipv6

#comment index line

server_name localhost ks389877.kimsufi.com;
location = /nginx_status {
expires off;
stub_status on;
access_log off;
error_log off;
allow 176.31.102.83;
allow 127.0.0.1;
deny all;
}
location = /php_status {
expires off;
include fastcgi_params;
access_log off;
error_log off;
allow 127.0.0.1;
deny all;
}
location = /apc_info.php {
expires off;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME /home/var/www/apc_info.php;
access_log off;
error_log off;
allow 127.0.0.1;
deny all;
}

location ~ \.php$ {
expires off;
include fastcgi_params;
}

les loctions nginx_status, php_status et apc_info.php seront utilisé plus tard pour le monitoring du serveur.

Pour la dernière section, on active le PHP. Ce ne sera pas plus compliqué que ça pour activer le PHP pour un autre site.

Enfin, pour être sûr que le site par défaut soit bien chargé en premier, exécutez :

rm /etc/nginx/sites-enabled/default
ln -s /etc/nginx/sites-available/default /etc/nginx/sites-enabled/000-default

 

Voilà pour ce qui est du Nginx. Passons maintenant à la configuration du PHP.

D'abord la configuration de base du FPM pour autoriser l'envoi de fichier jusqu'à 15 Mégas dans le fichier /etc/php5/fpm/php.ini :

post_max_size = 30M
upload_max_filesize = 15M

Puis configurons le FPM pour correspondre un peu plus à nos attentes dans le fichier /etc/php5/fpm/pool.d/www.conf :

listen = /var/run/php5-fpm.sock
pm.max_children = 50
pm.start_servers = 10
pm.min_spare_servers = 5
pm.max_spare_servers = 10
pm.status_path = /php_status

La dernière ligne permet de répondre à la configuration que nous avons faites dans Nginx pour connaître le nombre de process du PHP-Fpm par exemple.

Puis, nous avons installé un accélérateur de code PHP. La configuration par défaut n'est pas très satisfaisante et arrive très vite a des limitations. Modifié le fichier /etc/php5/fpm/conf.d/apc.ini pour y mettre :

[apc]
apc.shm_size=256M
; workaround for CLI
apc.enable_cli=1
; Symfony make lot of path lookups, try to optimize
apc.include_once_override=0
apc.canonicalize=1

Tous les détails de cette configuration.

Dans Squeeze, PHP est installé directement avec suhosin. Cette une extension qui rajoute une couche de sécuirté dans pas mal d'éléments du PHP. Pour ma part, je n'avais pas vraiment envie de corriger tous les sites installé sur ce serveur. J'ai donc modifié la configuration de suhosin pour loggé ses erreurs (afin de les comprendre et les corriger), mais aussi d'augmenter les limites qu'il met en place et de supprimer quelques sécurités. Dans le fichier /etc/php5/conf.d/suhosin.ini :

[suhosin]
suhosin.log.syslog.facility = LOG_LOCAL2

suhosin.executor.include.whitelist="phar"

suhosin.memory_limit = 4G

suhosin.post.max_value_length = 1280000
suhosin.request.max_value_length = 1280000

suhosin.session.encrypt = Off
suhosin.cookie.encrypt = Off

Tous les détails de cette configuration.

la première ligne de cette configuration utilise rsyslog, avec le numéro 2. Il faut donc créer le configuration correspondante dans le fichier /etc/rsyslog.d/php-suhosin.conf :

local2.*  /home/var/log/php-suhosin.log

Et comme on ne veut pas gardé ad vitam eternam ces logs, on ajoute dans le fichier /etc/logrotate.d/rsyslog juste en dessous de /var/log/messages :

/var/log/php-suhosin.log

 

Pour finir, on déplace le dossier www dans notre /home/var, on redémarre les démons dont la configuration a été modifié et notre serveur web est prêt !

mkdir /home/var/www/
ln -s /home/var/www/ /var/www
/etc/init.d/rsyslog restart
/etc/init.d/php5-fpm restart
/etc/init.d/nginx force-reload

 

La suite : Base de données MySQL.

Retour au sommaire du tutorial complet.

Préparation et accès SFTP (Serveur Web sur Debian Squeeze)

La première étape lors de la réception d'un serveur dédié et de bien préparer le terrain pour configurer l'espace de travail dont nous avons besoin.

Pour l'édition de fichiers, j'utilise vi. Il existe une variante un peu plus ergonimique et avec plus d'options, nommé vim.

Je commence par l'installer :

aptitude install vim vim-common

Puis j'éditer la configuration de base pour y ajouter la colorisation syntaxique et l'affichage du nombre de ligne.

En modifiant le fichier /etc/vim/vimrc :

syntax on # décommenter
set number # ajouter la ligne

Puis, on va aussi ajouter la colorisation lorsqu'on parcours les dossiers et fichier, c'est toujours plus agréable. On va aussi ajouter un alias sur la ligne de commande vi pour utiliser vim.

Editer le fichier /root/.bashrc pour décommenter les lignes suivantes et ajouter la dernière :

export LS_OPTIONS='--color=auto'
eval "`dircolors`"
alias ls='ls $LS_OPTIONS'
alias ll='ls $LS_OPTIONS -l'
alias l='ls $LS_OPTIONS -lA'
alias vi='vim'

 

Lorsque vous vous connectez la première fois sur votre serveur, ce sera sûrement en root. Les administrateurs n'apprécient pas vraiment ça. Personnelement, je préfère garder mon accès root pour plus de liberté. Plutôt que de devoir utiliser sudo à tour de bras, je préfère créer un alias de l'utilisateur root, et n'autoriser que cet utilisateur à se connecter en SSH.

Editer le fichier /etc/passwd pour y ajouter la ligne :

toto::0:0:root:/root:/bin/bash

Puis exécuter les commandes :

passwd toto
shadowconfig on

La première vous demandera le mot de passe pour toto. La seconde améliore la sécurité des mots de passe sur votre serveur.

 

Puis, Nous allons autoriser uniquement cet utiliser à se connecter en SSH. Les autres utilisateurs appartenant au groupe www-data vont être forcé d'utiliser le sous-système SFTP.

Editer le fichier /etc/ssh/sshd_config pour y ajouter à la fin :

DenyUsers root
Match group www-data
ChrootDirectory %h
AllowTcpForwarding no
X11Forwarding no
ForceCommand internal-sftp

Chaque utilisateur du groupe www-data qui se connectera en SSH sera forcé d'utiliser le SFTP, et sera en plus Chrooté dans son répertoire personnel.

On redémarre le serveur SSH et nous voilà déjà avec un serveur SFTP opérationnel :

/etc/init.d/ssh force-reload

Si vous êtes sûr que tout fonctionne bien, vous pouvez vous déconnecter et vosu reconnecter avec toto.

 

La seconde partie importante de la prépaparation du serveur Debian consiste à mettre à jour les sources de fichiers APT.

Pour ce faire, il faut éditer le fichier /etc/apt/sources.list pour autoriser les sources contrib et non-free, y ajouter les backports. Nous y ajoutons aussi dotdeb qui permettra d'obtenir les dernières versions de PHP par exemple. Le fichier sources.list devrait donc ressembler à cela :

deb http://mirror.ovh.net/debian/ squeeze main contrib non-free
deb-src http://mirror.ovh.net/debian/ squeeze main contrib non-free

deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free

deb http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
deb-src http://backports.debian.org/debian-backports squeeze-backports main contrib non-free

deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

Pour terminer l'installation des sources dotdeb, il faut exécuter :

wget http://www.dotdeb.org/dotdeb.gpg
cat dotdeb.gpg | apt-key add -
rm dotdeb.gpg

Nous voilà prêt pour notre première mise à jour du serveur. vous en aurez peut-être déjà !

aptitude update
aptitude full-upgrade

 

Sur le serveur dédié OVH que j'ai acheté, le / du serveur ne dispose que de 10G, alors que le /home a quant à lui 1.8T ! Plutôt que de stocker les logs sur le / et de craindre d'atteindre un jour cet hypotétique 10G de logs, je préfère les stockés dans /home/var/log. Réalisé simplement grâhce à un lien symbolique :

mkdir /home/var
mv /var/log /home/var
ln -s /home/var/log/ /var/log

 

Enfin, pour être compatible IPv6, il faut d'abord récupérer l'adresse IPv6 de votre serveur. Chez OVH, vous le trouverez dans le manager, sur le récapitualitf de votre dédié. Il s'agira sûrement d'une plage d'adresse IP, se terminant par exemple par /64. Nous allons pour noter serveur n'utiliser qu'une seule adresse IPv6. L'adresse IPv6 indiqué par OVH est 2001:41d0:8:1753::/64. J'ai décidé d'utilsier comme adresse IPv6 2001:41d0:8:1753::1. Pour que le serveur comprenne qu'il possède cette IP, il faut ajouter dans le fichier /etc/network/interfaces :

iface eth0 inet6 static
address 2001:41d0:8:1753::1
netmask 64

Puis redémarrer le service correspondant :

/etc/init.d/networking restart

 

Voilà, votre serveur est prêt pour la suite, le serveur Web.

 

Retour au sommaire du tutorial complet.

Serveur Web sur Debian Squeeze : Tutorial complet

Il y a maintenant 3 ans, j'avais mis en ligne un tutorial complet pour installer un serveur Web Debian avec la version Lenny. Comme le support officiel de cette version s'est arrêté le 6 Février 2012, il est temps de mettre à jour vos serveurs.

De plus, le serveur sera totalement compatible IPv6.

Donc je vais reprendre le tutorial complet de la version Lenny, avec quelques changements, dont les principaux sont :

  • Plus de serveur FTP. A la place, nous utiliserons SFTP uniquement qui est beaucoup plus écurisé et ne nécessite pas de logiciels supplémentaires.
  • A la place du très gourmand Apache, Nginx sera utilisé : beaucoup moins gourmand en mémoire vive, Nginx gagne des parts de marché très rapidement.

Comme pour la première version de ce tutorialn, les prérequis sont :

  • Connaissance de base de Debian/Linux : gestion des droits, aptitude, démons, etc...
  • Edition de fichiers avec vi (ou autre éditeur de votre choix)
  • Connaîre SSH, comment se connecter à un serveur distant (via PuTTY par exemple)

Voici donc le sommaire de ce tutorial :

Je tenterai d'expliquerua au mieux l'ensemble des configurations utilisées. Si vous avez des questions, vous pourrez évidemment poser des questions dans les commentaires.

Ce tutorial n'est en rien un gage de sécurité et je ne pourrai être tenu pour responsable pour un manquement quelconque.

Vous êtes prêt ? Passons à la première étape.

Bilan (Serveur Web sur Debian Lenny)

Voilà, notre serveur est maintenant opérationnel en tout point.

Encore faut-il ajouter des sites internet dessus, transférer les fichiers, faire pointer les DNS dessus, etc...

Voici donc la marche à suivre pour ajouter un nouveau site sur le site :

I : Ajouter un nouvel utilisateur avec la commande :

useradd -m -g www-data DOMUSER
Comme nous avons créer le dossier www dans /etc/skel, la création de l'utilisateur va directement crée le /home de ce dernier avec le dossier pour contenir les fichiers du futur site web.

II : Ajouter le virtualhost dans Apache

Même si les DNS pointent vers notre serveur, Il n'y a encore rien qui indique que le serveur doit répondre à cette requête ; pire encore, on ne sait pas quels fichiers desservir... C'est pourquoi on ajoute dans /etc/apache2/sites-available/domain.dtd :

        ServerName domain.dtd
        ServerAlias www.domain.dtd
        DocumentRoot /home/DOMUSER/www/
       
                Options -Indexes FollowSymLinks MultiViews
                AllowOverride All
       

        ErrorLog /var/log/apache2/DOMUSER_error.log
        CustomLog /var/log/apache2/DOMUSER_access.log combined
Puis on active le site et recharges la configuration d'apache :
a2ensite domain.dtd
/etc/init.d/apache2 force-reload

III : Ajouter la base de données

Vous voudrez probablement utilisez une base de données avec votre site. Il suffit d'exécuter les commandes suivantes :
mysql --user=root --password=PASSROOT --execute="CREATE DATABASE DOMUSER;"
mysql --user=root --password=PASSROOT --execute="GRANT ALL PRIVILEGES ON DOMUSER.* TO 'DOMUSER'@'localhost' IDENTIFIED BY 'PASSDOMUSER';"
mysql --user=root --password=PASSROOT --execute="FLUSH PRIVILEGES;"
De cette façon, on crée la base de donnée MySQL DOMUSER et l'utilisateur du même nom, qui a des droits uniquement sur cette base de données.

IV : Paramétrer les DNS

Pour que tout fonctionne bien, les DNS du serveur doivent être paramétrer pour répondre aux requêtes DNS. Pour ce faire, nous allons simplement ajouter des lignes dans notre base de données serverconf crée plus tôt :
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO domain (name) VALUES ('domain.dtd');"

# $IDDB = id du domaine dans la table domain
# $SERVERNAME = nom unique de votre serveur (ksNNNNN.kimsufi.com par exemple)
# $SECONDDNS = adresse unique du second DNS (ns6.gandi.net par exemple)
# SERVERIP = adresse IP de votre serveur

mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO domainDNS (domain_id, master) VALUES ($IDDB, 'NATIVE');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, 'domain.dtd', 'SOA', '$SERVERNAME. postmaster.domain.dtd `date +%Y%m%d`01 21600 3600 604800 86400');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, 'domain.dtd', 'NS', '$SERVERNAME');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, 'domain.dtd', 'NS', '$SECONDDNS');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content, prio) VALUES ($IDDB, 'domain.dtd', 'MX', 'mail.domain.dtd', 25);"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, 'domain.dtd', 'A', '$SERVERIP');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, 'www.domain.dtd', 'A', '$SERVERIP');"
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO record (domain_id, name, type, content) VALUES ($IDDB, '*.domain.dtd', 'A', '$SERVERIP');"
La dernière ligne, avec *.domain.dtd, permet de mettre en place catch-all, ce qui veut dire que n'importe quel sous-domaine de domain.dtd sera pris en compte et envoyé vers le serveur. Ceci permet la mise en place beaucoup plus simple et plus rapide pour de nouveaux sous-domaines : il n'y a pas besoin de modifier les DNS !

Et voilà, vous pouvez maintenant envoyer vos fichiers par ftp en utilisant par exemple l'adresse ftp.domain.dtd.

V : Ajouter des adresses email

Avec votre sites, vous voudrez sans doute créer des adresses emails. Tout se fait là aussi en ajoutant des lignes dans la base de données serverconf :
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO user (domain_id, user, password) VALUES ($IDDB, 'USER', MD5('PASS'));"
On créé ici l'adresse USER@domain.dtd avec le mot de passe PASS.

VI : Ajouter des alias d'adresse email

Mais parfois, les utilisateurs préfèrent garder leurs adresses email avec un alias. Rien de plus simple :
mysql --user=serverconfuser --password=serverconfpass --database=serverconf --execute="INSERT INTO alias (domain_id, source, destination) VALUES ($IDDB, 'USER', 'redir@email.com');"
Vous devriez donc maintenant être capable les éléments de base de votre serveur. Si vous avez quelques questions, utilisez les commentaires !

Pour ma part, mon serveur tourne depuis plus d'un mois maintenant sans aucun problème particulier...

Retour au sommaire.