Serveur Debian pour le CULTe
Quelques notes sur la configuration d'un serveur Debian pour le CULTe à partir de février 2022
Machine utilisée
Le CULTe avait dans son stock une machine ancienne (2008!) mais très peu utilisée, un portable MSI avec une batterie bonne à 75% et 160Go de disque dur. Cette machine supporte un maximum de 2Go de ram ce qui est très suffisant pour un petit serveur mais un peu juste en station de travail.
Cette machine a été utilisée en première intention, sous réserve d'amélioration éventuelle qui peut n'être que le changement du disque dur pour un ssd ou l'ajout d'un disque externe (usb2 seulement).
Usages prévus
installation initiale du site web original, d'un serveur de liste de diffusion, d'un serveur de nouvelles et de tout autre application utile.
Installation initiale
Il a été considéré qu'une Debian était le choix le plus utile dans l'esprit d'une administration partagée entre plusieurs membres de l'association.
A donc été installée une Debian Bullseye (11), avec une interface graphique xfce au cas où pour usage en local, mais cette interface n'est pas démarrée par défaut.
Ont été installés Apache, Postfix, INN, ainsi que vim, mc, w3m et quelques autres outils. Avec xfce il y avait Firefox.
Les valeurs par défaut du disque dur ont été gardées, soit 30Go pour root, 1Go de swap et 120Go pour /home.
Création du compte admin
Procédé abandonné. Chaque admin a son compte et l'accès sudo.
Je suis parti d'une machine de démo banale du CULTe, avec des compte utilisateur et root avec des mots de passe bateau.
À ma première connexion, j'ai modifié le mot de passe root pour un mdp plus complexe, mais de toutes façon, par défaut, il n'est pas possible de se connecter à distance sur root par ssh. Je me suis donc connecté sur "culte", j'ai changé le mot de passe, je me suis connecté en root, j'ai changé le mot de passe puis créé un utilisateur pour moi.
adduser admin # (le compte n'est pas admin)
et supprimé le compte culte.
deluser --remove-home culte
je me suis mis comme administrateur
adduser admin sudo
(ne pas oublier de se déconnecter/reconnecter pour que le groupe sudo soit activé)
et je me suis même dispensé de taper le mot de passe que j'utilise sudo avec
admin ALL=(ALL) NOPASSWD: ALL
inscrit avec visudo en fin de fichier.
Compléments d'installation
Documentation
J'essaie de tenir à jour deux documentations: cette page pour tout ce qui peut être public et une page de notes pour ce qui doit rester confidentiel.
Accès ssh
Les valeurs initiales ont été mise en place directement sur la machine, le reste devra être fait à distance, via ssh avec clé cryptée. Je l'ai évidemment d'abord mis en place pour moi.
Voir ici comment utiliser l'accès crypté
Réseau
Le wifi était resté activé, je l'ai désactivé avec:
nmcli radio wifi off
Redémarrage en mode console
Bien que xfce soit installé sur la machine, je ne souhaite pas qu'il s'exécute par défaut, car je n'en ai qu'un besoin limité, j'ai donc modifié /etc/default/grub pour y mettre
GRUB_CMDLINE_LINUX="2"
et lancé la commande:
updategrub
De cette façon si la machine reboote, elle sera bien en mode console.
Autres comptes admin
Il est alors possible de créer de nouveaux comptes, pour des administrateurs de zones variées du serveur
Parefeu
Le pare feu usuel sous Debian est "ufw" (uncomplicated firewall).
apt install ufw
et, aussitôt:
ufw allow ssh
sous peine de devoir retourner au local pour configurer l'accès :-).
alors on peut
ufw enable
et vérifier
ufw status
# ufw status Status: active To Action From -- ------ ---- 22/tcp ALLOW Anywhere 22/tcp (v6) ALLOW Anywhere (v6)
La liste des services pré-configurés est données par
ufw app list
Beaucoup de services sont listés en, majuscule, mais ans "ufw allow" les minuscules sont acceptées.
Par exemple
ufw allow www
pour ouvrir le port 810 et l'accès au serveur web.