eVote.php Install System
- configuration réseau
- configuration système
  - root's password
  - Alias
  - SSHD
  - Firewall
  - DNS
  - FTP
  - POP3
  - IMAP
  - SMTP
  - Webmin
  - Ovh RTM
  - User evote

eVote.php Install System

copie du wiki Digimedia

Configuration réseau et système.

configuration réseau

Hostname

fichier dans etc où l'on trouve le hostname :

/etc/sysconfig/network
/etc/ssh/ssh_host_dsa_key.pub
/etc/rc.d/init.d/qmail
/etc/ncftpd/domain.cf
/etc/motd
/etc/issue
/etc/hosts

j'ai opéré c'est 2 changements :

/etc/sysconfig/network
hostname zeuhost.zeudomain.com

et au reboot j'ai bien

[root@zeuhost root]# hostname
zeuhost.zeudomain.com

il ne reste te plus qu'à faire les changements (éventuellement) pour les applis …

Si Qmail est utilisé, voir la section Qmail pour changer le hostname.

Ip-Failover

créer une IP-Failover sur le serveur principal

OVH Manager / Serveur nsXXXXX.ovh.net / Services / IP-Failover

Puis pour la config sur les machines voir le guide ovh AjouterAliasIp

Zone DNS votingsuite.com

sur gandi, modifier la zone DNS de votingsuite.com:
par exemple www2 est le principal (un SP2007) et www3 le secours (Start100m).

@ 3600 IN A 91.121.68.177 
@ 3600 IN MX 10 mail.digimedia.fr. 
@ 3600 IN TXT v=spf1 a ptr mx:digimedia.fr ~all 
www 3600 IN CNAME www.digimedia.fr. 
s5s6 3600 IN A 91.121.63.203 
s6 3600 IN A 91.121.183.18 
s5 3600 IN A 91.121.183.16 
www2 3600 IN A 91.121.11.187 
www2a 3600 IN A 91.121.33.14 
www3 3600 IN A 91.121.22.208

Les wwwX sont de syntaxe obsolète. Maintenant je vais utiliser sX pour les serveurs et sXsY pour les ip-failover.

Reverse des IPs

assigner un reverse aux IPs.
Par exemple, en concervant l'exemple de la zone DNS.

pour nsXXXX.ovh.net (principal) assigné lui sX.votingsuite.com
pour nsXXXX.ovh.net (secours) assigné lui sY.votingsuite.com
pour l'IP-Failover assignée lui sXsY.votingsuite.com

configuration système

Connection au serveur via SSH port 22 en tant qu'utilisateur root.

root's password

Changer le mot de passe de root. En choisir un long et complexe que de toute façon on ne devrait que rarement utiliser puisque l'on va préférer l'usage d'un bi-clé pour accéder au système à distance.

Alias

Dans /etc/aliases, à la fin du fichier changer:

# Person who should get root's mail
#root:          marc
root:   root@digimedia.fr

SSHD

on change le port SSH :

# vi /etc/ssh/sshd_config

touche 'i' pour passer en insertion.
ajouter la ligne :

Port 30001

touches 'esc' puis ':' puis 'w' puis 'q' puis 'enter' pour enregistrer et fermer.
redemarrer le serveur SSH.

/etc/init.d/sshd restart

sans fermer la connexion actuelle (en cas de problème) ouvrir une nouvelle connexion SSH sur le port 30001. Si cette nouvelle connexion fonctionne, fermer la précédente.

voilà, ssh est maintenant sur le port 30001 ; ça évite les scan et brute force sur le port standard.

NOTE pour voir quels ports sont utilisés :

[root@nsxxxxx root]# netstat -tanp

exemple :

[root@ns36934 root]# netstat -tanp
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name   
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      26048/tcpserver     
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      31883/couriertcpd   
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      15471/perl          
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      2682/httpd          
tcp        0      0 0.0.0.0:30001           0.0.0.0:*               LISTEN      15787/sshd          
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      23267/ncftpd        
tcp        0      0 91.121.1.174:53         0.0.0.0:*               LISTEN      8586/named          
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      8586/named          
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      10701/tcpserver     
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      8586/named          
tcp        0    240 91.121.1.174:30001      82.237.178.204:1970     ESTABLISHED 20800/sshd: root@tt

On voit bien ici que sshd écoute sur le port 300001

Firewall

/etc/services

#pago-services1 30001/tcp                       # Pago Services 1
#pago-services1 30001/udp                       # Pago Services 1
custom-sshd     30001/tcp       # custom-sshd Port

Configuring firewall

# system-config-securitylevel-tui

DNS

Distribution : CentOS5

remove Bind and install DnsMasq

# yum remove bind
# yum install dnsmasq
# chkconfig dnsmasq on
# /etc/init.d/dnsmasq start

in /etc/dnsmasq.conf :

#listen-address=
listen-address=127.0.0.1
#no-dhcp-interface=
no-dhcp-interface=127.0.0.1
#bind-interfaces
bind-interfaces

restart dnsmasq

# /etc/init.d/dnsmasq restart

check

[root@s7 ~]# netstat -tanp |grep dnsmasq
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      4990/dnsmasq

FTP

On utilise pas FTP, mais le SFTP fourni et actif via SSHD.

Distribution : OVH-Release1

on désactive le serveur FTP (on utilisera plus que SSH) :

[root@nsxxxx root]# vi /etc/inittab

se déplacer au début de la ligne:

nc:2345:respawn:/usr/local/etc/ncftpd/ncftpd -q /usr/local/etc/ncftpd/general.cf /usr/local/etc/ncftpd/domain.cf

touche 'i' puis '#' pour la mettre en commentaire.
touches 'esc' puis ':' puis 'w' puis 'q' puis 'enter' pour enregistrer et fermer.

Le serveur ftp tourne toujours, il sera inactif après le prochain reboot de la machine.

POP3

Distribution : OVH-Release1

on désactive le serveur POP3 :

[root@nsxxxx root]# vi /etc/init.d/qmail

touche 'i' puis '#' pour la mettre en commentaire les lignes suivantes :

# env - PATH="/var/qmail/bin:/usr/local/bin" \
# tcpserver -H -R -c100 0 pop-3 /var/qmail/bin/qmail-popup \
# ns32129.ovh.net \
# /home/vpopmail/bin/vchkpw /var/qmail/bin/qmail-pop3d Maildir &
# echo -n "pop "

touches 'esc' puis ':' puis 'w' puis 'q' puis 'enter' pour enregistrer et fermer.

on redémarre le serveur Qmail :

[root@nsxxxx root]# /etc/init.d/qmail restart

Voilà, le port 110 (écoute POP3) n'est plus actif.

IMAP

Distribution : OVH-Release1

Ajouter les lignes suivantes au fichier /etc/init.d/imapd

 # chkconfig: - 55 45
 # description: imapd is an Imap Server (email)
 # probe: true

ensuite

 [root@nsxxxx root]# /sbin/chkconfig  --add imapd

puis

 [root@nsxxxx root]# /sbin/chkconfig imapd off

Au prochain reboot impad ne sera pas lancé.

SMTP

Distribution : OVH-Release1

On va changer la signature utilisée par le serveur de mail pour qu'il ne signe pas les emails avec nsxxxx.ovh.net mais wwwX.votingsuite.com

[root@nsxxxx root]# vi /var/qmail/control/me

touche 'd' puis 'd' pour vider la ligne.
touche 'i' pour passer en insertion.
saisir le nom votingsuite du serveur :

wwwX.votingsuite.com

touches 'esc' puis ':' puis 'w' puis 'q' puis 'enter' pour enregistrer et fermer.

Et puis on a pas besoin que le serveur fasse du relay smtp, mais simplement qu'il envoi des emails postés depuis loclahost, Alors : TODO Qmail listen only on localhost.

Distribution : CentOS5

# chkconfig sendmail on
# /etc/init.d/sendmail start

Normalement de base sendmail est bindé sur localhost, vérif:

[root@ns312905 ~]# netstat -tanp |grep sendmail
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      7135/sendmail: acce

Webmin

Distribution : OVH-Release1

[root@nsxxxx root]# /sbin/chkconfig webmin off
[root@nsxxxx root]# /etc/init.d/webmin stop

Ovh RTM

[root@nsxxxx root]# wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
[root@nsxxxx root]# sh install_rtm.sh

User evote

Et pour finir :

L'application eVote sera hébergée dans l'espace de l'utilisateur 'evote' dans /home/evote.

Créons donc cet utilisateur :

[root@nsxxxx root]# useradd evote
[root@nsxxxx root]# passwd evote
password : xxxxxxxx