Script post-installation Debian 11

PragmaTICEA 2023-03-11 23:53:12 UTC #1

Bonjour,

Savez-vous où est-ce qu'il est possible de récupérer des scripts de post-installation pour les manips courantes à faire lors de l'installation d'un nouveau serveur web/mail sous Debian 11 ?
L'idée serait de partir d'un script existant pour l'adapter à mon utilisation.
Je pensais par exemple à :
- mise a jour de /etc/hosts, /etc/hostname et /etc/mailname
- mise en français les locales
- paramétrages de securité du serveur (apache - ssh - fail2ban...)
- paramétrage mc
- installation de paquets avec les paramètres de configuration personnalisés qui vont bien ( apticron backuppc certbot clamav dovecot fail2ban git mariabd mc php php-fpm logwatch postfix roundcube rspamd sympa unbound..)
- récupération de données et fichiers de configuration...

Merci
Fred

janus57 2023-03-12 13:32:39 UTC #2

Bonjour,

Je dirais qu'il n'y a rien de générique car il y a autant de façon d'administrer un serveur qu'il y a de SYSAdmin.

Surtout avec l'émergence d'outils comme ansible/puppet voir terraform (j'en utilise aucun mais je me suis intéressé à ansible et cela semble bien meilleur quand on travaille en équipe).

Cordialement, janus57

PragmaTICEA 2023-03-12 17:03:57 UTC #3

Merci de ta réponse.
Je regarde ansible qui est effectivement assez pratique pour ce type d'automatisation.
Le playbook permettant l'installation d'ISPmail (serveur mail) en quelques clics serait peut-être une bonne base de départ...
https://workaround.org/bullseye/ansible/

Cordialement, Fred

Sich 2023-03-13 08:46:41 UTC #4

Perso j'ai mes scripts maison, mais je bosse tt seul et je ne déploie pas de serveur ts les 4 matins.

Juste une suggestion, regardez du côté de crowdsec en remplacement de fail2ban.

TTY 2023-03-13 08:53:20 UTC #5

Crowsec est vraiment sympas. Il choppe des attaques que mes filtres Fail2ban sont incapables de bloquer.
Malheureusement, je n'ai pas encore le niveau pour créer des scénarios et je l'utilise encore avec Fail2ban.
Aussi le scénario bad user agent banni les utilisateurs de screamfrog utilisé par les agences SEO.

hapx 2023-03-13 09:06:35 UTC #6

Bonjour à tous,

Personnellement j'utilise csf/lfd, j'en suis très satisfait :
https://configserver.com/configserver-security-and-firewall/

Sich 2023-03-13 09:19:10 UTC #7

Pour CS les scénarios sont assez simples à utiliser.
Pour screamgfrog on part du principe qu'on utilise ce genre de tools uniquement sur ses sites, et dans ce cas on crée une rule pour whitelister son IP.

Sinon il est possible de whitelister le bot pour éviter qu'il se fasse ban (j'ai du le faire pour 1 client), à mettre dans /etc/crowdsec/parsers/s02-enrich/

name: si/whitelist-screaming-frog
description: "Whitelist access on user agent Screaming Frog SEO Spider"
whitelist:
  reason: "Access from Screaming Frog SEO Spider"
  expression:
    - "evt.Meta.log_type == 'http_access-log' && evt.Parsed.http_user_agent contains 'Screaming Frog SEO Spider'"

@hapx : Intéressant je vais jeter un oeil.

TTY 2023-03-13 13:24:04 UTC #8

Les IP V4 fixes sont pas/plus très courantes

Ho mais c'est génial ça ! Merci @Sich.
Je ne voulais pas virer la ligne dans /var/lib/crowdsec/data/bad_user_agents.regex.txt car je veux continuer à partager les bad IP.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.