Bien configurer son serveur dédié sous Ubuntu 16.04 LTS

Cet article est une remise à jour de Bien configurer son serveur dédié sous Ubuntu 12.04 LTS

Bien démarrer

# apt-get update && apt-get upgrade

on ajoute l’utilisateur principal au groupe sudo

on se déconnecte, et sur la machine locale, on lit le contenu de la clef SSH publique :

on y insère le contenu de la clef public

on se déconnecte, on se reconnecte sans mot de passe :

Outils divers à installer

Parefeu avec ufw

Avant de l’activer, on autorise ssh (ou sinon … c’est dommage :-D )

on verifie que ca fonctionne à coups de nmap du poste client, et on autorise les ports un à un

Dans le cas où vous voulez revenir en arrière sur une de vos configurations :

Serveur web pour wordpress, galeries en tout genre (apache/mysql/php5)

Certificats SSL de Let’s encrypt

Là aussi, je m’inspire d’un article du blog sur la génération de certificats SSL gratuits avec Let’s Encrypt

DNS avec Bind

Tout se passe dans /etc/bind ; je vous recommande de garder les fichiers présents et d’ajouter un fichier par zone.
named.conf.local : on y lie les fichiers des zones qu’on gère, named.conf.options on y configure les options de sécurité

on peut verifier la confiuration avec :

ca devrait etre correct, il n’y a plus qu’ a faire pointer votre registrar vers votre nouveau serveur dns

Liens utiles :

Le courrier

Avec postfix pour smtp, postgrey pour réduire le courriel indésirable, et dovecot pour accéder à ses boites en Imap Start tls

Postfix

En migrant postfix de 2.9 à 3.1 faire très attention en recopiant l’ancienne configuration, le mieux est sans doute de reprendre avec la conf par défaut et ajouter les règles une par une dans main.cf

  • mettre à jour le hostname,
  • ajouter certaines regles de filtrage, dont le passage par postgrey, dont la configuration se trouve dans /etc/default/postgrey (rien à faire normalement)
  • augmenter la taille maximale par défauts des courriels : message_size_limit = 31457280 (si on met rien c’est 10Mo, pour info gmail c’est 25Mo)

Parfois il peut être utile d’ouvrir 1 autre port que le port 25 (smtp) ; comme par exemple le port 587 (submission) – si par exemple votre FAI ne vous autorise pas à utiliser le port 25 en sortant à part pour son propre serveur smtp.

Dans ce cas, rendez vous dans /etc/postfix/master.cf , afin de decommentez cette ligne :

Ensuite, il vous suffit de recharger la configuration postfix, et de demander l’ouverture du port 587 à votre parefeu:

Si lors du rechargement de config vous avez du warning comme :

Alors, vous pouvez désactiver le mode compatibilité, mais avant çà, soyez sûr que inet_protocols = all

SPF, DKIM et DMARC

Ces 3 spécifications visent à lier votre serveur de courrier ainsi que vos utilisateurs à votre nom de domaine – en gros certifier que vous êtes bien l’expéditeur des courriels.

  • SPF est le plus facile à mettre en pace, il suffit de rajouter une entrée TXT à votre domaine :

  • DKIM est un peu plus compliqué car vous devez installer opendkim qui sera appelé à chaque envoi de ocurriel pour signer avec une clef privée l’entrée DKIM (et vous devez donc donner la clef publique dans une entrée DNS TEXT); tout est là : https://easyengine.io/tutorials/mail/dkim-postfix-ubuntu/ – attention à ne pas utiliser un fichier sock mais plutôt un port comme indiqué dans le cas où votre Postfix est chroot’er !
  • Enfin DMARC est très simple à obtenir une fois que vous avez obtenu DKIM :

Je vous recommende l’outil en ligne Mail Tester pour vérifier que tout est en place !

Dovecot

configuration dans /etc/dovecot/dovecot.conf quand on migre de 2.0.19 vers 2.0.22 : ce n’est pas une bonne idée de garder la configuration, il vaut mieux prendre celle par défaut et la modifier.

pour configurer les accès distants (pop3s, imaps)

on peut jeter un coup d’oeil à la configuration :

Par défaut, les dossiers IMAP seront sauvegardés sous Mailbox/.nom_du_dossier; si comme moi vous préférez ne pas avoir le . devant le nom du répertoire, dans /etc/dovecot/conf.d/01-mail-stack-delivery.conf rajoutez :LAYOUT=fs à la suite du chemin de votre boite :

enfin, il peut etre interessant d’utiliser un mot de passe different de celui de votre compte principal; pour cela dovecot permet de configurer une base de mot de passe :
dans /etc/dovecot/conf.d/10-auth.conf

pour ajouter des entrees dans /etc/dovecot/passwd :

et vous pouvez recopier le mot de passe dans /etc/dovecot/passwd :

Ceci étant fait, on peut même déléguer l’autorisation de smtp a dovecot :

en verifiant que /etc/postfix/main.cf contient ces informations :

Compatibilité Docker

Si votre machine est hébergée chez OVH, il est probable que le kernel fourni vous empêche de faire fonctionner Docker.

Dans ce cas, installez Docker comme préconisé et ensuite : (merci à ce fil github)

Liens utiles :