Pour tenir informés nos utilisateurs des modifications et des nouveautés apportées au serveur, nous allons créer une interface web accessible depuis un simple navigateur internet.
Pour cela, nous utilisons un éditeur de blogs très connu, DotClear. Ce dernier nécessite pour fonctionner l'utilisation d'un serveur web (nous choisissons Apache), d'un interpréteur de scripts PHP et d'une base de données MySQL.
Nous allons donc installer ces différents programmes sur notre serveur.
Nous avons finalement besoin d'un serveur LAMP = Linux + Apache + MySQL + Php.
C'est un terme consacré dans le monde des serveurs web !
Comme pour le serveur FTP défini au chapitre précédent, nous allons utiliser une transmission sécurisée par canal crypté en utilisant la technologie SSL. Cette dernière rend très difficile l'interception sur internet des communications entre notre serveur et les ordinateurs qui s'y connectent.
Cependant, la technologie SSL telle que nous l'utilisons (sans échange de clefs de confiance) ne permet pas de restreindre l'accès au serveur qu'à ces membres. Pour cela, nous utiliserons un système d'authentification par login et mot-de-passe.
Ces deux aspects de la sécurité de notre serveur seront mis en place au niveau du serveur web Apache.
Nous avons besoin des paquets DEBIAN suivants : apache2 et apache2-common. Pour cela, en tant que superutilisateur (utilisateur root), entrez les commandes suivantes dans une console :
# aptitude install apache2 apache2-common
Pour activer l'utilisation de l'encodage des caractères UTF8, il faut rajouter la ligne suivante dans le fichier de configuration du serveur Apache, /etc/apache2/apache2.conf :
addDefaultCharset UTF-8
/etc/apache2/apache2.conf.
Pour que le serveur Apache prenne en compte cette modification, il faut le "forcer" à relire ses fichiers de configuration :
# /etc/init.d/apache2 force-reload
Nous allons avoir besoin du support SSL pour crypter la connexion et du support PAM pour l'authentification des utilisateurs.
Le support SSL est maintenant intégré par défaut dans le paquet apache2. Nous devons juste rajouter le module mod_auth_pam comme suit :
# aptitude install libapache2-mod-auth-pam
# ln -s /etc/pam.d/apache2 /etc/pam.d/httpd
/etc/shadow en rajoutant l'utilisateur www-data au groupe shadow :
# adduser www-data shadow
Ensuite nous devons activer ces deux modules :
# a2enmod ssl
# a2enmod auth_pam
# /etc/init.d/apache2 force-reload
Apache2 possède sa propre commande pour créer un certificat auto-signé : apache2-ssl-certificate.
Si le script apache2-ssl-certificate n'est pas présent, voir plus loin pour une autre possibilité de créer un certificat de sécurité.
Si le script apache2-ssl-certificate est présent, faire :
# apache2-ssl-certificate
creating selfsigned certificate
replace it with one signed by a certification authority (CA)
enter your ServerName at the Common Name prompt
If you want your certificate to expire after x days call this programm
with -days x
Generating a 1024 bit RSA private key
...................................++++++
...................++++++
writing new private key to '/etc/apache2/ssl/apache.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR
State or Province Name (full name) [Some-State]:France
Locality Name (eg, city) []:Plaisir
Organization Name (eg, company; recommended) []:www.nuts.fr
Organizational Unit Name (eg, section) []:Serveur web
Email Address []:webmaster@nuts.fr
/etc/apache2/ssl/apache.pem.
Si le script apache2-ssl-certificate n'est pas présent, il y a une autre possibilité de créer un certificat de sécurité en utilisant le script make-ssl-cert du paquet DEBIAN ssl-cert :
# aptitude install ssl-cert
# make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
Editons un nouveau fichier /etc/apache2/sites-available/nuts comme suit :
# Le port 443 est le port pour l'accès sécurisé par HTTPS.
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/
<Directory />
Options FollowSymLinks
AllowOverride None
<\/Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
# This directive allows us to have apache2's default start page
# in /apache2-default/, but still have / go to the right place
RedirectMatch ^/$ /apache2-default/
# PAM authentification module
AuthType Basic
AuthName "PAM"
AuthPAM_Enabled On
AuthPAM_FallThrough off
AuthBasicAuthoritative off
Require valid-user
Require group ftp
<\/Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
<\/Directory>
ErrorLog /var/log/apache2/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog /var/log/apache2/access.log combined
ServerSignature Off
# Secure socket layer
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
Alias /ftp/ "/var/ftp/"
<Directory "/var/ftp/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
allow from all
# PAM authentification module
AuthType Basic
AuthName "PAM"
AuthPAM_Enabled On
AuthPAM_FallThrough off
AuthBasicAuthoritative off
Require valid-user
Require group ftp
<\/Directory>
<\/VirtualHost>
ServerSignature Off permet de masquer les informations relatives à la version du serveur, notamment sur la page d'erreur 404.
Remarquons dans le fichier de configuration les lignes qui définissent l'utilisation d'un canal sécurisé par SSL et certificat de sécurité :
# Secure socket layer
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
Il faut aussi modifier le fichier /etc/apache2/ports.conf comme suit :
#Listen 80
Listen 443
Remarquons dans le fichier de configuration les lignes suivantes qui définissent l'authentification des utilisateurs par le système PAM - Pluggable Authentication Module :
# PAM authentification module
AuthType Basic
AuthName "PAM"
AuthPAM_Enabled On
AuthPAM_FallThrough off
AuthBasicAuthoritative off
Require valid-user
Require group ftp
Remarquons aussi le paragraphe concernant /var/ftp qui nous permet d'accéder depuis l'interface web au répertoire FTP.
Il faut pour cela, que l'utilisateur www-data ait accès en lecture au répertoire /var/ftp/ en rajoutant l'utilisateur www-data au groupe ftp :
# adduser www-data ftp
Pour activer ce site sur le serveur Apache, nous devons entrer les commandes suivantes :
# a2ensite nuts
# /etc/init.d/apache2 force-reload
Pour désactiver le site par défaut, faire :
# a2dissite default
# /etc/init.d/apache2 force-reload
Depuis un autre ordinateur, entrez l'adresse suivante dans votre navigateur favori : https://www.nuts.fr/. Vous devriez voir apparaître la page d'acceuil du serveur Apache.
Si ce n'est pas la cas, c'est qu'il y a un problème. Pour connaître l'origne de ce problème consultez les logs du serveur dans les deux fichiers : /var/log/apache2/error.log et /var/log/apache2/access.log.
Nous avons besoin des paquets DEBIAN suivants : php5 et php5-mysql. Pour cela, en tant que superutilisateur (utilisateur root), entrez les commandes suivantes dans une console :
# aptitude install php5 php5-mysql
Nous avons besoin du paquet DEBIAN suivant : libapache2-mod-php5. Pour cela, en tant que superutilisateur (utilisateur root), entrez les commandes suivantes dans une console :
# aptitude install libapache2-mod-php5
Ensuite nous devons activer ce module dans Apache :
# a2enmod php5
# /etc/init.d/apache2 force-reload
Là, il y a normalement rien à faire, l'installation par défaut des paquets DEBIAN fait tout ce dont nous avons besoin à notre place.
Editions un nouveau fichier /var/www/info.php comme suit :
<?php
print phpinfo();
?>
https://www.nuts.fr/info.php.
Un tableau montrant les divers paramètres de la configuration de PHP devrait apparaître...
Nous avons besoin des paquets DEBIAN suivants : mysql-server et mysql-client. Pour cela, en tant que superutilisateur (utilisateur root), entrez les commandes suivantes dans une console :
# aptitude install mysql-server mysql-client
Ici encore, il y a normalement rien à faire, l'installation par défaut des paquets DEBIAN fait tout ce dont nous avons besoin à notre place.
Pour tester le fonctionnement de MySQL, lancez la commande :
# mysql -u root
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 8 to server version: 4.0.24_Debian-10sarge2-log
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
quit pour sortir du gestionnaire.
Vous constaterez que l'accès au gestionnaire de base de donnée en tant qu'administrateur n'est pas sécurisé, puisque vous n'avez pas eu à rentrer de mot-de-passe. Nous allons y remédier tout de suite. Entrez la commande suivante :
# mysqladmin password 'mot-de-passe en clair'
# mysql -u root -p
Enter password: ********
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 8 to server version: 4.0.24_Debian-10sarge2-log
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
Pour faciliter l'administration de la base de données, nous allons utiliser un outil dédié qui a le bon gout d'avoir une interface graphique et d'être accessible depuis n'importe quel poste. Vous l'aurez compris, il s'agit de phpMyAdmin.
Nous avons besoin du paquet DEBIAN suivant : phpmyadmin. Pour cela, en tant que superutilisateur (utilisateur root), entrez les commandes suivantes dans une console :
# aptitude install phpmyadmin
Pour accéder à l'interface d'utilisation de phpMyAdmin, entrez l'URL suivante dans votre navigateur : https://www.nuts.fr/phpmyadmin/ depuis n'importe quel poste ayant un accès au serveur www.nuts.fr.
Depuis l'interface d'administration phpMyAdmin, il ne nous reste plus qu'à créer une base de données et un utilisateur pour DotClear.
Pour créer un nouvelle base de donnée, rentrez son nom (par exemple : "dotclear") dans le champs "Créer une base de données" et cliquez sur le bouton "Créer". Voilà, c'est aussi simple que ça !
Pour ajouter un nouvel utilisateur, cliquez sur le lien "Privilèges" de la page principale. Ensuite, cliquez sur le lien : "Ajouter un utilisateur".
Donnez lui un nom et un mot-de-passe, spécifiez le serveur de connexion (ici localhost) et accordez lui tous les privilèges des colonnes "Données" et "Structure" et les privilèges "Super", "Process" et "Lock tables" de la colonne "Administration". Puis appuyez sur le bouton "Exécuter".
Votre base de données est maintenant prête pour une utilisation avec DotClear.
Pour installer Dotclear, il faut récupérer l'archive sur le site
http://www.dotclear.net/ et la décompresser dans le répertoire /var/www/ :
# cd /var/www/
# wget http://www.dotclear.net/download/dotclear-1.2.5.tar.gz
# tar -zxvf dotclear-1.2.5.tar.gz
Dans un navigateur internet depuis un autre poste, entrez l'URL suivante : https://www.nuts.fr/dotclear/install.
Entrez les informations demandées et spécifiez les données pour la base MySQL, telles que vous les avez définies dans la section Création de la base de données pour DotClear.
Cliquez sur le bouton "Terminer l'installation". Voilà, c'est fini...
Pour voir le blog, toujours depuis un autre poste, entrez l'URL suivante dans votre navigateur internet : https://www.nuts.fr/dotclear/.
Pour écrire un nouveau billet, entrez l'URL suivante : https://www.nuts.fr/dotclear/ecrire.
L'interface est très claire et est en français, alors laissez-vous guidé !
Maintenant, paramétrons Apache pour qu'il nous redirige directement sur la page de notre blog depuis l'adresse https://www.nuts.fr/.
Pour cela il suffit de remplacer dans le fichier de configuration de notre site /etc/apache2/sites-available/nuts la ligne suivante :
RedirectMatch ^/$ /apache2-default/
RedirectMatch ^/$ /dotclear/
# /etc/init.d/apache2 force-reload
Voilà, notre serveur WEB est maintenant opérationel !