Doc /

Serveur Debian pour le CULTe

Quelques notes sur la configuration d'un serveur Debian pour le CULTe à partir de février 2022

Machine utilisée

Le CULTe avait dans son stock une machine ancienne (2008!) mais très peu utilisée, un portable MSI avec une batterie bonne à 75% et 160Go de disque dur. Cette machine supporte un maximum de 2Go de ram ce qui est très suffisant pour un petit serveur mais un peu juste en station de travail.

Cette machine a été utilisée en première intention, sous réserve d'amélioration éventuelle qui peut n'être que le changement du disque dur pour un ssd ou l'ajout d'un disque externe (usb2 seulement).

Usages prévus

installation initiale du site web original, d'un serveur de liste de diffusion, d'un serveur de nouvelles et de tout autre application utile.

Installation initiale

Il a été considéré qu'une Debian était le choix le plus utile dans l'esprit d'une administration partagée entre plusieurs membres de l'association.

A donc été installée une Debian Bullseye (11), avec une interface graphique xfce au cas où pour usage en local, mais cette interface n'est pas démarrée par défaut.

Ont été installés Apache, Postfix, INN, ainsi que vim, mc, w3m et quelques autres outils. Avec xfce il y avait Firefox.

Les valeurs par défaut du disque dur ont été gardées, soit 30Go pour root, 1Go de swap et 120Go pour /home.

Création du compte admin

Procédé abandonné. Chaque admin a son compte et l'accès sudo.

Je suis parti d'une machine de démo banale du CULTe, avec des compte utilisateur et root avec des mots de passe bateau.

À ma première connexion, j'ai modifié le mot de passe root pour un mdp plus complexe, mais de toutes façon, par défaut, il n'est pas possible de se connecter à distance sur root par ssh. Je me suis donc connecté sur "culte", j'ai changé le mot de passe, je me suis connecté en root, j'ai changé le mot de passe puis créé un utilisateur pour moi.

adduser admin # (le compte n'est pas admin)

et supprimé le compte culte.

deluser --remove-home culte

je me suis mis comme administrateur

adduser admin sudo

(ne pas oublier de se déconnecter/reconnecter pour que le groupe sudo soit activé)

et je me suis même dispensé de taper le mot de passe que j'utilise sudo avec

admin ALL=(ALL) NOPASSWD: ALL

inscrit avec visudo en fin de fichier.

Compléments d'installation

Documentation

J'essaie de tenir à jour deux documentations: cette page pour tout ce qui peut être public et une page de notes pour ce qui doit rester confidentiel.

Accès ssh

Les valeurs initiales ont été mise en place directement sur la machine, le reste devra être fait à distance, via ssh avec clé cryptée. Je l'ai évidemment d'abord mis en place pour moi.

Voir ici comment utiliser l'accès crypté

Réseau

Le wifi était resté activé, je l'ai désactivé avec:

nmcli radio wifi off

Redémarrage en mode console

Bien que xfce soit installé sur la machine, je ne souhaite pas qu'il s'exécute par défaut, car je n'en ai qu'un besoin limité, j'ai donc modifié /etc/default/grub pour y mettre

GRUB_CMDLINE_LINUX="2"

et lancé la commande:

updategrub

De cette façon si la machine reboote, elle sera bien en mode console.

Autres comptes admin

Il est alors possible de créer de nouveaux comptes, pour des administrateurs de zones variées du serveur

Parefeu

Le pare feu usuel sous Debian est "ufw" (uncomplicated firewall).

apt install ufw

et, aussitôt:

ufw allow ssh

sous peine de devoir retourner au local pour configurer l'accès :-).

alors on peut

ufw enable

et vérifier

ufw status

# ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
22/tcp (v6)                ALLOW       Anywhere (v6)             

La liste des services pré-configurés est données par

ufw app list

Beaucoup de services sont listés en, majuscule, mais ans "ufw allow" les minuscules sont acceptées.

Par exemple

ufw allow www

pour ouvrir le port 810 et l'accès au serveur web.

Site web

http://culte.asso.st/

Installation générale d'Apache (en anglais)

Doc.InstallingApache2019