Discussion :

[Soundboy39]

Bonjour à toutes et tous,

Voilà j'ai un ordinateur sur lequel j'ai installé Ubuntu, j'aimerais en faire un serveur local pour développer mes sites avant de les mettre en production sur les serveurs mutualisés.
Jusque là rien d'anormal je présume...

Pour l'instant, j'ai réussi à me débrouiller, j'ai mis en place un serveur web et un serveur FTP.
Je peux me connecter à la machine via un autre ordinateur de mon réseau perso. Je peux me connecter en FTP et en HTTP.
Par contre là je colle sur 2 points :

1. Est il nécessaire de mettre en place un blocage des connexions entrantes (IP tables par exemple) sachant que tous les ports entrants de ma box sont fermés ?

2. Comment faire pointer le dossier personnel d'un utilisateur vers un autre dossier que le dossier par défaut "Documents" ?
Pour être plus précis, je veux que lorsque l'utilisateur se connecte via FTP, il tombe sur le dossier "www/USERNAME" et qu'il ne puisse pas accéder à un autre dossier de la machine (hormis les sous-dossiers de "www/USERNAME" bien sûr...).

Merci d'avance pour votre aide et bonne journée !

[millie]

1. Est il nécessaire de mettre en place un blocage des connexions entrantes (IP tables par exemple) sachant que tous les ports entrants de ma box sont fermés ?

Effectivement. Mais si tu souhaites que ta procédure de mise en place soit similaire à ce que tu ferai en production. Je te conseille de faire... Avant ce que tu feras en production.

Pour le firewall, sur Ubuntu, il y a ufw qui est simple à manipuler.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
apt install ufw
ufw allow 80/tcp
ufw allow 21/tcp
ufw allow leportssh/tcp  //bien penser à ouvrir le port SSH sous peine de perdre l'accès à la machine)
ufw enable

2. Comment faire pointer le dossier personnel d'un utilisateur vers un autre dossier que le dossier par défaut "Documents" ?

En général, il est déconseillé d'utiliser du FTP de nos jours, mais plutôt utiliser du sftp.
Sinon, il faut changer le répertoire avec l'option usermod :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
usermod -d /var/www/USERNAME/ USERNAME

Mettre les bons droits, et mettre cette option :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
chroot_local_user=YES

Dans l'/etc/vsftpd.conf, pour limiter l'accès à ce répertoire uniquement (si tu utilises vsftpd)

[Soundboy39]

Merci pour ta réponse Millie,

1. Est il nécessaire de mettre en place un blocage des connexions entrantes (IP tables par exemple) sachant que tous les ports entrants de ma box sont fermés ?

Effectivement. Mais si tu souhaites que ta procédure de mise en place soit similaire à ce que tu ferai en production. Je te conseille de faire... Avant ce que tu feras en production.

Du coup... effectivement Oui ou effectivement Non...

Sachant qu'en production, jusqu'à présent, je ne travail qu'avec des serveurs mutualisés qui sont donc normalement déjà blindés au niveau sécurité, c'est d'ailleurs aussi le cas, d'après ce que j'ai pu comprendre, des serveurs dédiés.

Mais bon, je pense que çà ne mange pas de pain d'installer un firewall, comme çà je saurai faire Surtout qu’apparemment Ufw est déjà installé et pré-configuré sur Ubuntu.

Sinon, il faut changer le répertoire avec l'option usermod

OK je vais essayer çà, je te retiens au courant,

Bonne journée,

[millie]

Sachant qu'en production, jusqu'à présent, je ne travail qu'avec des serveurs mutualisés qui sont donc normalement déjà blindés au niveau sécurité, c'est d'ailleurs aussi le cas, d'après ce que j'ai pu comprendre, des serveurs dédiés.

Cela dépend en fait ce que tu entends par mutualisés.
Si tu as juste un accès ftp + http, effectivement, tu n'auras de toute manière pas trop le choix. Si c'est un VPS, qui s'administre comme un dédié, si tu en fais une passoire, cela sera une passoire

Par exemple, une installation de base chez OVH ou SoYouStart sur un VPS ou un dédié, t'as un accès root en SSH sur le port 22 avec un password. Ce qui n'est en général par recommandé.

[Soundboy39]

Me revoici su ce poste après un petit temps d'absence...

Merci Millie pour cette réponse,

Donc j'ai réussi à me débrouiller pour reconfigurer le répertoire HOME de l'utilisateur.

Concernant le part feu UFW, je l'ai bien activé et j'ai pu mettre en place une règle de filtrage pour le port 80, je l'ai rendu accessible uniquement via une IP spécifique.
J'ai testé, je peux bien accéder au site via une requête HTTP envoyée via le navigateur.

PAR CONTRE, çà ne fonctionne pas avec le FTP
J'ai ouvert le port 21 de la même manière que pour le port 80, mais le serveur reste inaccessible (il me répond CONNEXION REFUSÉE)...

Y a t'il une procédure supplémentaire ? Je serais passé à côté de quelque chose ? J'utilise PROFTPD.

Merci d'avance pour votre aide et bonne journée !

[millie]

Es-tu sûr que ton client fait du FTP (21) et non du SFTP (= le port SSH) ?
Essaye aussi en ayant coupé le firewall pour voir.

Attention aussi à cette histoire d'autoriser qu'à partir d'une IP si ton IP n'est pas fixe...

[Soundboy39]

Finalement, j'ai réglé mon problème en réinstallant Proftp, apparemment le fichier de configuration était altéré... j'ai du faire une mauvaise manipulation à un moment donné.

Bref, maintenant tout fonctionne, j'ai bien accès à la machine via FTP qui pointe vers le répertoire spécifique.

Je suis donc rentré dans le vif du sujet et j'ai voulu tester mon serveur en y installant un site Joomla.

Tout fonctionne à peu près correctement mis à part le fait que le script ne peut rien écrire ni modifier sur le serveur.
Pourtant, je croyais que PHP était considéré comme propriétaire et pouvait tout faire... mais je dois me tromper...
comment est ce que je peux remédier à çà ?

Merci encore une fois pour toute l'aide apportée.

Très bonne journée ensoleillée.

[millie]

Pourtant, je croyais que PHP était considéré comme propriétaire et pouvait tout faire... mais je dois me tromper...
comment est ce que je peux remédier à çà ?

Non, sinon, cela serait openbar sur le serveur en cas de faille sur ton application web.

apache s'exécute avec le user/group définit dans :
/etc/apache2/envvars

Au niveau de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
export APACHE_RUN_USER=...
export APACHE_RUN_GROUP=...

J'ai pas d'apache sous la main, mais il me semble que c'est www-data par défaut.

[Flodelarab]

Bonjour

je croyais que PHP était considéré comme propriétaire

Comme cette phrase est étrange.
Microsoft a créé ASP, langage propriétaire, pour mieux facturer à ses clients, plutôt que de donner de vendre du php, qui, lui, est libre !

et pouvait tout faire...

Php est la base du web dynamique.
Tu mets un serveur FTP pour faire du FTP (transfert de fichier).
Et un serveur PHP, pour exécuter du code php (page web dynamique)
Joomla n'est qu'une solution toute faite pour ne pas recommencer de zéro.
Maintenant, à toi de faire ton code php en plus, si tu le souhaites.
Que n'arrives-tu pas à faire ?

[Soundboy39]

C'est bon, j'ai trouvé la solution !

Il faut changer le propriétaire et groupe du dossier de joomla par "root:www-data"

EXEMPLE

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sudo chown -Rv root:www-data /var/www/html/site-joomla

Tout est simplement expliqué ici : https://doc.ubuntu-fr.org/joomla

Merci encore pour votre aide précieuse et bonne journée à toutes et tous !