> Pour ce genre de chose désormais j'utilise des outils qui permettent > de faire ce genre de chose à grande échelle... au taff, j'utilise > "ansible" > Il y a même un repo (Ansible Galaxy) avec plein de gens qui écrivent > des rôles dont on peut s'inspirer...
Hello, pas les mêmes objectifs, pour ça on utilise puppet, aucun intérêt pour un quidam qui veut déployer son vps chez ovh ou online. > - Ton script fonctionne-t-il quelque soit la LANG positionnée ? D'après l'absence de retour que j'ai malgré de nombreuses exécution aux usa, je dirais "sans doute", je vais cependant vérifier ce point. Cependant, tout l'intérêt d'un script est justement de l'adapter à ses propres besoins... ou envies > - Pourquoi modifier ds ta conf ssh à PermitRootLogin à yes ? J'espère > que ton mot de passe est béton et que ton serveur n'est pas sur > internet... Le mot de passe est généré automatiquement par le script, tu peux toujours essayer de le bruteforcer par internet : il va te falloir longtemps (quelques siècles), beaucoup d'ips (à cause de Fail2ban entre autre), et que la personne n'est pas changé le port par défaut (ce que permet le script en standard via ex : -s 44232 installera ssh sur ce port). Ce n'est donc clairement pas la même fréquence de test qu'avec un John the reaper entre de s'amuser avec une Geforce 1080 via openCL J'administre plusieurs milliers de serveurs bastions sur internet avec un ssh (et précedemment telnet) ouvert en mode password sans incident sécurité lié au pass. Il faut juste respecter quelques règles comme http://www.christophe-casalegno.fr/2007/01/30/petit-point-sur-les-strategies-de-mot-de-passe/ mais il y en a d'autres. > - Pourquoi utiliser ntpdate ds un cron pour ta mise à l'heure ? > Utilise plutôt ntpdate au démarrage + le démon ntpd, c'est mieux En parlant de sécurité, disons que le démon ntpd a eu sa phase d'utilisation pour faire du ddos udp, même s'il est toujours possible de positionner des filtres adéquats, l'objectif est de rester simple. > - pure-ftpd sur un serveur ? C'est pas tip-top sur un serveur surtout > depuis que l'on peut chrooter sftp (mais au taff je me bas aussi > contre ça) Le protocole ftp reste le plus utilisé pour publier un site aujourd'hui, rien en effet ne t'empêche d'utiliser sftp (faut bidouiller un minimum pour le chrooter correctement et surtout qu'il ne puisse pas servir à créer des tunnels ssh), ou ftps (il est supporté par pure-ftpd d'ailleurs). J'ai fais le choix de pure-ftpd car c'est un soft qu'on a eu à auditer en pentest plusieurs fois, je trouve sa conception robuste (comme pour vsftpd) et dans ma "philo". > - attention si tu rebootes ton serveur, les produits ne démarreront > pas automatiquement... il faut probablement que tu ajoutes des > update-rc.d à ton script (ou des systemctl enable xxx) Quels produits ? > - pourquoi forcer la sortie d'exécution de ton script à 0 ? D'ailleurs > tu ne trappes pas bcp les codes retours de tes commandes... Les tests, ça vient(dra) après, bien bien après, même si j'en ai mis 2 ou 3 de base. L'objectif est seulement de permettre à un quidam de prendre un serveur chez l'hébergeur de son choix, même si ce n'est pas chez moi, et avoir une stack lamp relativement propre sans rien connaître. Si tu sais déjà installer ton stack, tu as probablement déjà tes scripts amicalement, -- Christophe Casalegno http://www.christophe-casalegno.com
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/