Tutoriel N° 6c
Configuration et optimisation d'un serveur ovh
1/ Désactiver les stats webalizer avec le logcroate
$ nano /etc/cron.daily/logrotate.cron
et on commente tout avec #
Ceci est à reproduire après chaque ajout de domaine
Je recommande cette manipulation qui surchargera et ralentira vite votre serveur !
2/ Apache
On va éditer le fichier de configuration apache après l'ajout des domaines dans ovhm
$nano /usr/local/apache/conf/httpd.conf
On va commenter ces lignes avec des #
#ErrorLog logs/error_log
#CustomLog logs/access_log common
#CustomLog logs/access_log common
Ensuite tout bas du fichier on va commenter les lignes dans chaque virtualhost pour chaque domaine
#CustomLog logs/ovh-access_log combined
3/ On va désactiver les logs mysql
$ nano /etc/mysql/my.cnf
On commente les lignes suivantes:
#skip-networking
#bind-address = 127.0.0.1
#log-bin
#server-id = 1
4/ php.ini
Suivant votre config php4 ou php5
Lancer un locate php.ini et éditer le bon fichier
$nano /usr/local/lib64/php5/php.ini
Désactiver decode64 (sécurité nécessaire):
Ajouter
#protege contre le hack l'attaque base64_decode
disable_functions = proc_open,popen,parse_ini_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
disable_functions = proc_open,popen,parse_ini_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
modifier
register_globals = On
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
allow_url_include = 1
max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
memory_limit = 64M ; Maximum amount of memory a script may consume (8MB)
;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;
allow_url_include = 1
max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
memory_limit = 64M ; Maximum amount of memory a script may consume (8MB)
On enregistre
On redemarre enfin apache pour prendre en compte les modifs
/etc/init.d/apache restart
5/ On pourra également observer que dans/var/log
plein de fichiers remplissent votre disque, donc pensez à les vider
par exemple avec la commande:
$ cd /var/log
$ ls
$ rm -rf *.gz
$ cat /dev/null > daemon.log
$ cat /dev/null > debug
$ cat /dev/null > messages
$ cat /dev/null > syslog
$ cat /dev/null > mail.info
$ cat /dev/null > mail.log
$ ls
$ rm -rf *.gz
$ cat /dev/null > daemon.log
$ cat /dev/null > debug
$ cat /dev/null > messages
$ cat /dev/null > syslog
$ cat /dev/null > mail.info
$ cat /dev/null > mail.log
ensuite
$ cd httpd
$ rm -rf *.gz
$ cat /dev/null > error.log
$ rm -rf *.gz
$ cat /dev/null > error.log
Personnellement je cree un fichier purg.sh que j'appelle périodiquement dans crontab pour éxécuter ces commandes
fichier purg.sh auquel on donne les droit chmod 777
#!/bin/bash
cat /dev/null > /var/log/httpd/error_log
cat /dev/null > /var/log/httpd/suphp_log
cat /dev/null > /var/log/auth.log
cat /dev/null > /var/log/cron.log
cat /dev/null > /var/log/daemon.log
cat /dev/null > /var/log/kern.log
cat /dev/null > /var/log/mail.err
cat /dev/null > /var/log/mail.info
cat /dev/null > /var/log/mail.log
cat /dev/null > /var/log/messages
cat /dev/null > /var/log/syslog
cat /dev/null > /var/log/debug
cat /dev/null > /var/log/httpd/error_log
cat /dev/null > /var/log/httpd/suphp_log
cat /dev/null > /var/log/auth.log
cat /dev/null > /var/log/cron.log
cat /dev/null > /var/log/daemon.log
cat /dev/null > /var/log/kern.log
cat /dev/null > /var/log/mail.err
cat /dev/null > /var/log/mail.info
cat /dev/null > /var/log/mail.log
cat /dev/null > /var/log/messages
cat /dev/null > /var/log/syslog
cat /dev/null > /var/log/debug
$ nano /etc/crontab
15 * * * * root /bin/sh /home/domain/www/purg.sh;
remplacer domain par le repertoire où se trouve votre script purg.sh
5/ Pensez à la configuration du spf dans votre zone avec webmin
$ttl 86400
domain.com. IN SOA domain.com. postmaster.domain.com. (
2011021911
21600
3600
604800
86400 )
IN NS rxxxx.ovh.net.
IN NS sdns2.ovh.net.
IN MX 10 mail.domain.com.
IN A xx.xx.xx.xx
www IN A xx.xx.xx.xx
mail IN A xx.xx.xx.xx
smtp IN A xx.xx.xx.xx
pop IN A xx.xx.xx.xx
pop3 IN A xx.xx.xx.xx
imap IN A xx.xx.xx.xx
sql IN A xx.xx.xx.xx
mysql IN A xx.xx.xx.xx
domain.com. IN TXT "v=spf1 a mx ip4:yy.yy.yy.yy -all"
domain.com. IN SOA domain.com. postmaster.domain.com. (
2011021911
21600
3600
604800
86400 )
IN NS rxxxx.ovh.net.
IN NS sdns2.ovh.net.
IN MX 10 mail.domain.com.
IN A xx.xx.xx.xx
www IN A xx.xx.xx.xx
mail IN A xx.xx.xx.xx
smtp IN A xx.xx.xx.xx
pop IN A xx.xx.xx.xx
pop3 IN A xx.xx.xx.xx
imap IN A xx.xx.xx.xx
sql IN A xx.xx.xx.xx
mysql IN A xx.xx.xx.xx
domain.com. IN TXT "v=spf1 a mx ip4:yy.yy.yy.yy -all"
On remplacera xx.xx.xx.xx par l'ip failover dun rps et yy.yy.yy.yy par l'ip reel du serveur
xx.xx.xx.xx et yy.yy.yy.yy sera équivalent pour un kimsufi ou autre
puis
$ /etc/init.d/named restart
News:
6/ Renommer phpmyadmin (sécurité nécessaire)
$ cd /home/ovh/www
$ mv phpmyadmin phpmyadmin2
$ cd /home/ovh/www/
$ mv phpMyAdmin phpMyAdmin2
$ mv phpmyadmin phpmyadmin2
$ cd /home/ovh/www/
$ mv phpMyAdmin phpMyAdmin2
7/ renommer wget (pour éviter une attaque d'un rootkit)
wget est necessaire par ovhm, donc renommer provisoirement sinon vous aurez une erreur !
$ cd /usr/bin
$ mv wget tegw
$ mv wget tegw
Attention on renomme wget car il est utilisé en cas d'intrusion sur votre machine par le rootkits pour rapatrier des scripts.
Renommer temporairement en wget pour utiliser ovhm pour ajouter un domaine !
9/ Désactiver clamd (si le cpu s'emballe dans un top)
Commencez par stopper Clamd (qui devrait déjà être arrêté et donc ne pas fonctionner) :
$ /etc/init.d/clamd stop
* Stopping clamd ...
* Failed to stop clamd
* Stopping freshclam ...
Nous allons donc désactiver le scan AntiVirus de Clamav auprès de Qmail:
$ cd /var/qmail/bin/
$ nano qmail-scanner-queue.pl
$ nano qmail-scanner-queue.pl
Nous allons remplacer ces deux lignes :
## scanners installed
my @scanners_installed=("clamdscan_scanner","spamassassin","perlscan_scanner");
## scanners default
my @scanners_default=("clamdscan_scanner","spamassassin","perlscan_scanner");
my @scanners_installed=("clamdscan_scanner","spamassassin","perlscan_scanner");
## scanners default
my @scanners_default=("clamdscan_scanner","spamassassin","perlscan_scanner");
En retirant "clamdscan_scanner"
Ce qui donnera:
my @scanners_installed=("spamassassin","perlscan_scanner");
my @scanners_default=("spamassassin","perlscan_scanner");
my @scanners_default=("spamassassin","perlscan_scanner");
Une fois l'opération effectué, relancez Qmail :
$ /etc/init.d/qmail restart
* Stopping Qmail ...
* Starting Qmail ...
* Starting Pop ...
* Starting Smtp ...
BONUS:
Corriger faille bind serveur de relay
nano /etc/bind/named.conf
allow-recursion { 127.0.0.1; serverip;}; ==>mettre ip serveur
allow-query-cache { 127.0.0.1; serverip;}; ==>mettre ip serveur
c fini
