serveurs:installation:utilisateurs

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
serveurs:installation:utilisateurs [2021/03/18 13:00] – [Configurer le compte debian] jpmilcentserveurs:installation:utilisateurs [2023/08/01 15:00] (Version actuelle) – [Changer le nom du compte debian en admin] jpmilcent
Ligne 7: Ligne 7:
       * Décommenter les lignes d'alias       * Décommenter les lignes d'alias
       * Ajouter le prompt en couleur : <code bash>PS1='${debian_chroot:+($debian_chroot)}\[\033[1;33m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '</code>        * Ajouter le prompt en couleur : <code bash>PS1='${debian_chroot:+($debian_chroot)}\[\033[1;33m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '</code> 
 +      * Ajouter le code suivant à la fin pour la prise en compte des dossier //bin/// de l'utilisateur :<code bash>
 +# Set PATH so it includes user's private bin if it exists and not already set
 +if [[ -d "${HOME}bin" && ":$PATH:" != *":${HOME}bin:"* ]] ; then
 +    PATH="${HOME}bin:${PATH}"
 +fi
 +
 +# Set PATH so it includes user's private bin if it exists and not already set
 +if [[ -d "${HOME}.local/bin" && ":${PATH}:" != *":${HOME}.local/bin:"* ]] ; then
 +    PATH="${HOME}.local/bin:${PATH}"
 +fi
 +</code> 
 +
  
  
 ===== Configurer le compte root ===== ===== Configurer le compte root =====
-  * Pas d'accès direct //root// par SSH, se connecter en utilisant la commande : ''ssh debian@<ip-public>''+  * Pas d'accès direct //root// par SSH (=> sécurité !), se connecter en utilisant la commande : ''ssh debian@<ip-public>''
   * Depuis l'utilisateur //debian//, passer en root : ''sudo -i''   * Depuis l'utilisateur //debian//, passer en root : ''sudo -i''
   * Définir un mot de passe pour root (stocker ses infos dans Keepass) : ''passwd''   * Définir un mot de passe pour root (stocker ses infos dans Keepass) : ''passwd''
Ligne 25: Ligne 37:
   * Ajouter le fichier //.bash_aliases//   * Ajouter le fichier //.bash_aliases//
     * ''vi ~/.bash_aliases''     * ''vi ~/.bash_aliases''
-    * Y mettre le contenu suivant : <code bash>+    * Y mettre le contenu suivant :  
 +      * Pour //web-srv// : <code bash>
 alias nginx-reload='nginx -t && nginx -s reload' alias nginx-reload='nginx -t && nginx -s reload'
 </code> </code>
-  Installer la coloration syntaxique pour les fichiers de conf Nginx avec Vim : +      Pour //db-srv// : <code bash> 
-    * Créer un dossier qui contiendra les fichiers de syntaxe : ''mkdir -p ~/.vim/syntax'' +alias pga='sudo -u postgres pg_activity -U postgres' 
-    * Créer le fichier indiquant les syntaxes à utilsier : ''vim ~/.vim/filetype.vim'' +</code>
-      * Y placer le contenu suivant : <code vim>au BufRead,BufNewFile /etc/nginx/*,/usr/local/nginx/conf/* if &ft == '' | setfiletype nginx | endif</code> +
-    * Télécharger la dernière version de la syntaxe : ''<nowiki>wget -O ~/.vim/syntax/nginx.vim  https://www.vim.org/scripts/download_script.php?src_id=19394 </nowiki>'' +
  
 ===== Création utilisateur geonat ===== ===== Création utilisateur geonat =====
   * L'utilisateur //debian// (= //admin//) est l'administrateur système du serveur. Il possède des droits //sudo// avancés.   * L'utilisateur //debian// (= //admin//) est l'administrateur système du serveur. Il possède des droits //sudo// avancés.
 +  * Il est nécessaire de le créer sur les 2 instances principale (//web-srv// et //db-srv//) par défaut. Il sera également nécessaire sur l'instance //bkp-srv// en cas de mise en place d'un environnement de pré-production.
   * L'utilisateur //geonat// va servir d'utilisateur système permettant d'accéder à la base de données de GeoNature qui aura pour administrateur //geonatadmin// :   * L'utilisateur //geonat// va servir d'utilisateur système permettant d'accéder à la base de données de GeoNature qui aura pour administrateur //geonatadmin// :
     * Créer un utilisateur //geonat// : ''adduser geonat''     * Créer un utilisateur //geonat// : ''adduser geonat''
 +      * **ATTENTION** : créer un mot de passe complexe pour cet utilisateur car l'accès via SSH par mot de passe va être autorisé pour celui-ci !
     * L'ajouter au groupe //sudo// : ''usermod -aG sudo geonat''     * L'ajouter au groupe //sudo// : ''usermod -aG sudo geonat''
 +  * Activer la connexion par mot de passe avant d’appliquer la commande ''ssh-copy-id geonat@<server>''
 +    * Dans le serveur -> modification du fichier de config ssh :<code bash>
 +vi /etc/ssh/sshd_config
 +</code>
 +      * Ajouter à la fin du fichier : <code properties>
 +Match User geonat
 +   PasswordAuthentication yes 
 +</code>
 +  * Redémarrer ssh :<code bash>
 +systemctl restart sshd
 +</code>
   * Ajouter votre clé SSH public au fichier //~/.ssh/authorized_keys// pour pouvoir s'y connecter directement :   * Ajouter votre clé SSH public au fichier //~/.ssh/authorized_keys// pour pouvoir s'y connecter directement :
     * Depuis votre machine locale lancer la commander : ''ssh-copy-id geonat@<ip-public-instance>''     * Depuis votre machine locale lancer la commander : ''ssh-copy-id geonat@<ip-public-instance>''
Ligne 49: Ligne 72:
   * **ATTENTION PRÉ-REQUIS** : veiller à avoir préalablement :   * **ATTENTION PRÉ-REQUIS** : veiller à avoir préalablement :
     * ajouter votre clé SSH à l'utilisateur //geonat// afin de pouvoir vous connecter     * ajouter votre clé SSH à l'utilisateur //geonat// afin de pouvoir vous connecter
-    * créer un mot de passe pour //root// afin de pouvoir y accéder depuis :+    * créer un mot de passe pour //root// afin de pouvoir y accéder au choix depuis :
       * l'utilisateur //geonat// et la commande ''su -''       * l'utilisateur //geonat// et la commande ''su -''
       * la console VNC disponible sur le Manager OVH et Horizon OpenStack. Attention, cette console est en quwerty par défaut !       * la console VNC disponible sur le Manager OVH et Horizon OpenStack. Attention, cette console est en quwerty par défaut !
Ligne 64: Ligne 87:
     * Remplacer //debian// par //admin// dans tous les fichiers présents dans le dossier ''/etc/sudoers.d/''     * Remplacer //debian// par //admin// dans tous les fichiers présents dans le dossier ''/etc/sudoers.d/''
     * Remettre les droits par défaut : ''chmod -R 440 /etc/sudoers.d/*''     * Remettre les droits par défaut : ''chmod -R 440 /etc/sudoers.d/*''
-  * Redémarrer la machine : ''reboot''+  * Redémarrer la machine : ''systemctl reboot''
   * Attendre le redémarrage de la machine : visible depuis l'interface VNC de l'instance sur le Manager OVH   * Attendre le redémarrage de la machine : visible depuis l'interface VNC de l'instance sur le Manager OVH
   * Se connecter à la machine : ''ssh admin@<ip-public-instance>''   * Se connecter à la machine : ''ssh admin@<ip-public-instance>''
   * Vérifier que la possibilité de passer en root fonctionne avec : ''sudo -i''   * Vérifier que la possibilité de passer en root fonctionne avec : ''sudo -i''
  
 +===== Configurer les alertes de Sudo =====
 +  * En //root//, éditer le fichier de config sudo principal : ''visudo''
 +    * Vérifier que la ligne suivante à la fin du fichier existe :
 +      * Debian 11+ : ''@includedir /etc/sudoers.d''
 +      * Debian 10 : ''#includedir /etc/sudoers.d''
 +    * Vérifier aussi la présence du dossier ''/etc/sudoers.d''
 +  * Créer un fichier ///etc/sudoers.d/10-config-email// avec : ''visudo -f /etc/sudoers.d/10-config-email''
 +    * Ajouter le contenu suivant en adaptant //<domaine-sinp>// :<code>
 +# Name of this file do not end in '~' or contain a '.' character.
 +# This file should be mode 0440: `chmod 440 <this-file-name>`
 +
 +Defaults mailto = "adminsys@<domaine-sinp>"
 +Defaults mailfrom = "mailer@<domaine-sinp>"
 +Defaults mail_badpass
 +Defaults mail_no_host
 +Defaults mail_no_perms
 +Defaults mail_no_user
 +# Disable "always" because it sends too many messages with geonat user !
 +#Defaults always
 +Defaults mailsub = "*** Command run via sudo on %h ***"
 +Defaults badpass_message = "Please Provide Correct Password"
 +Defaults !lecture,tty_tickets,!fqdn,!syslog
 +Defaults logfile=/var/log/sudo.log
 +</code>
 +  * Vérifier les droits du fichier : ''ls -al /etc/sudoers.d/''
 +    * S'ils ne sont pas //0440//,donner les bons droits au fichier : ''chmod 440 /etc/sudoers.d/10-config-email''
  
  • serveurs/installation/utilisateurs.1616072431.txt.gz
  • Dernière modification : 2021/03/18 13:00
  • de jpmilcent