Vous trouverez plus d’informations dans l’article de Julien Pauli sur developpez.com.

Ici il s’agit de voir comment l’installer sous Debian. Très facile finalement, il existe un paquet pour ça:

> apt-get install php-apc

Il faudra bien sûr redémarrer Apache.

Le fichier permettant le monitoring du cache est situé dans /usr/share/doc/php-apc et s’appelle apc.php.gz. Il faudra donc le décompresser:

> gzip -d apc-php.gz

Il vous suffit de déplacer ce fichier où bon vous semble.

A noter que le fichier de config d’APC se situe dans:

/etc/php5/conf.d/apc.ini

Au lieu de faire un backup des données sur ma machine puis les renvoyer sur le nouveau serveur, j’ai décidé de faire directement un transfert de serveur à serveur via SSH. C’est nettement plus rapide car on bénéficie de la bande passante du serveur.

Pour cela nous allons utiliser la commande scp. La procédure est toute simple, on se loggue sur le serveur de destination et on tape la commande suivante:

> scp -pr user@host:/home/user/www/ /home/user/

Quelques précisions:

• -pr : signifie que l’on copie tout le contenu récursivement (dossiers, sous-dossiers et leur contenu) et que l’on veut conserver les options des fichiers
• user@host : le login et l’adresse du serveur sur lequel on va chercher les fichiers. L’utilisateur est bien sûr un utilisateur valide sur le serveur sur lequel nous allons récupérer le contenu et qui a les droits de lecture sur les fichiers et dossiers que l’on veut télécharger.
• /home/user/www : le chemin du répertoire contenant les fichiers à copier. Bien entendu c’est à personnaliser
• /home/user/ : le chemin de destination des fichiers sur notre serveur local. A personnaliser aussi.

Notez que l’on vous demandera bien évidemment le mot de passe de l’utilisateur afin de pouvoir se connecter au serveur distant.

Les fichiers seront copiés en conservant le chmod de chaque fichier. Par contre leur appartenance sera changée selon l’utilisateur sous lequel vous allez faire l’opération. Si vous avez fait l’opération sous root, n’oubliez pas de faire un petit

> chown -R user:group /home/user/www

L’idéal serait que le serveur A puisse rediriger les visiteurs sur le serveur B le temps de la propagation des DNS. Apache va nous y aider.

Pour cela il faut dans un premier temps activer le module proxy dans Apache. Nous allons ici nous contenter de rediriger le traffic HTTP uniquement.

> cd /etc/apache2/mods-enabled
> ln -s ../mods-available/proxy.conf proxy.conf
> ln -s ../mods-available/proxy.load proxy.load
> ln -s ../mods-available/proxy_http.load proxy_http.load

Ensuite on va modifier le virtualhost du domaine en question:

<VirtualHost *>
    ServerName mondomaine.com
    ServerAlias mondomaine.com www.mondomaine.com

    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>

    ProxyRequests Off
    ProxyPass / http://mon_ip_de_domaine/~user/
    ProxyPassReverse / http://mon_ip_de_domaine/~user/
</VirtualHost>

Dans ce schéma, nous voyons que sur le serveur de destination nous avons activé le mod_userdir afin de pouvoir accéder au site par une adresse temporaire.

Un petit

> /etc/init.d/apache2 reload

et votre traffic devrait être redirigé.

Attention cependant pour tous les sites dynamiques utilisant PHP : avec cette méthode, les variables $_SERVER['PHP_SELF'] et $_SERVER['REQUEST_URI'] auront les informations du serveur de destination…

Ce serveur dédié a été choisi chez OVH. J’ai bien sûr demandé une Debian nue mais ça n’a pas vraiment été le cas. En fait, OVH livre une distribution Debian avec un noyau personnalisé et plusieurs outils installés par défaut. Suite à une mésaventure lors du passage de Etch à Lenny sur un de mes dédiés, j’ai décidé de ne plus laisser le noyau d’OVH mais d’installer un noyau standard. Si cette manipulation vous intéresse, voyez ce billet. Sinon ce qui suit fonctionne quand même parfaitement.

Les outils

La première chose que je fais en arrivant sur une installation neuve, c’est de configurer le raccourcit ll afin d’avoir un ls détaillé et en couleur. J’ai déjà fais un billet là-dessus que vous pourrez trouver à cette adresse.

La deuxième chose est de configurer un accès par clé privée ssh. L’article est à cet endroit.

Ceci fait, nous allons faire une première mise à jour du système:

> apt-get update
> apt-get -u dist-upgrade

Vient ensuite l’installation de quelques outils. Chez moi ils étaient déjà pré-installés mais s’ils ne le sont pas, faites-le:

• aptitude (permet de gérer les packages dans un mode semi-graphique)
• vim (qui est une version un peu plus évoluée de vi et qui permet notamment la coloration synthaxique)
• screen (permet de créer des consoles virtuelles supplémentaires, voir ce billet)

Pour activer la coloration syntaxique dans vim il faut taper la commande

:syn on

Si vous voulez qu’elle soit permanente, créez le fichier .vimrc dans votre répertoire utilisateur et insérez la ligne de commande:

syn on

Déplacer le dossier /var

Je pense que la première chose à faire, avant de se retrouver avec des daemons qui tournent de tous les côtés, c’est de déplacer le dossier /var. En effet les partitions système ne sont pas très grosses chez OVH et il arrivera un moment où les logs et les bases de données vont saturer cette partition et amener à un plantage du serveur. Etant donné qu’on a de la place dans /home, on va y déplacer le dossier /var

> cp -Rp var/ /home/
> mv /var/ /var.old/
> ln -s /home/var/ var

Installation de MySQL

rien de plus simple:

> apt-get install mysql-server

Dans la dernière version que j’ai installé, MySQL me propose désormais de paramétrer le mot de passe root du serveur. Je vous encourage fortement à le faire dès maintenant. Si vous ne le faites pas, vous pourrez le faire plus tard mais le plus tôt est le mieux car à ce niveau, ce n’est plus un trou de sécu, c’est la porte ouverte à toutes les fenêtres

Installation d’Apache 2.2

Pareil, trop dur Debian:

> apt-get install apache2-mpm-prefork

Notez que l’on installe ce paquet là d’Apache car le module PHP5 en dépend. Il ne fonctionne pas avec le paquet classique d’Apache 2.2.

Installation de PHP 5

> apt-get install libapache2-mod-php5

On va devoir également installer quelques modules supplémentaires pour PHP:

> apt-get install php5-cli
> apt-get install php5-gd
> apt-get install php5-mcrypt
> apt-get install php5-mysql

sont un minimum je pense. On peut facilement voir la liste des modules dispos en faisant un petit:

> dpkg -l *php5*

A ce niveau on peut déjà faire quelques petits tests. Déjà il faut redémarrer Apache:

> /etc/init.d/apache2 restart

Puis les tests : taper l’adresse du serveur dans votre navigateur web. Vous devriez avoir le fameux « It Works! » d’Apache.

Dans le répertoire /var/www créez un fichier info.php dans lequel vous allez mettre le code suivant:

1
2
3

<?php
phpinfo();
?>

Pareil, dans votre navigateur tapez : http://monserver/info.php. Normalement la config de PHP apparaît.

Configuration

maintenant que l’environnement LAMP est installé, on va faire un peu de configuration.

Tout d’abord pour MySQL, de base il n’y a rien de spécial à toucher. Cependant si vous désirez personnaliser votre installation, vous pouvez le faire en rajoutant un fichier dans /etc/mysql/conf.d. Toutes les options que vous y insèrerez seront prises en compte automatiquement.

Pour PHP, il faut faire la configuration classique de php.ini qui se trouve dans /etc/php5/apache2/php.ini

Ce fichier est configuré de façon très basique. Tel quel il fonctionne, il y a cependant moyen de l’améliorer un petit peu:

Si vous n’avez pas de scripts PHP balisés par <? et ?>, mettez l’option short_open_tag à Off. Cela obligera les scripts PHP à être balisés par <?php et ?>. Pourquoi? A partir de PHP6, le balisage court n’existera plus. Autant se mettre à la norme dès maintenant.

Si vous voulez désactiver certaines fonctions par mesure de sécurité (exec par exemple), vous pouvez les rajouter à l’option disable_functions en les séparant par des virgules.

En production, on conseille de passer l’option display_errors à Off car cela peu donner des indications importantes à une personne mal intentionnée. Par contre on passera le paramètre log_errors à On pour que les messages d’erreur soient enregistrés dans un fichier.

Si vous avez de vieux sites codés en PHP, peut-être aurez vous besoin de passer le paramètre register_globals à On. Si vous pouvez vous en passer ce n’est que mieux, question de sécurité.

Vous pouvez également décommenter la ligne:

;include_path = ".:/usr/share/php"

Cela vous permettra de protéger certains fichiers d’inclusion en les déportant de l’espace accessible par le web.

Passons maintenant à la configuration d’Apache. Tout se passe dans le répertoire /etc/apache2/

La première chose que nous allons faire c’est activer les modules dont nous avons besoin. La gestion des modules Apache à la sauce Debian est plutôt bien foutue: Dans le répertoire mods-available se trouvent tous les modules disponibles pour Apache. Le répertoire mods-enabled contient les modules activés. Si on veut activer un module, on ne va pas copier le module en question du répertoire mods-available au répertoire mods-enabled, mais plutôt faire un lien symbolique dans le répertoire mods-enabled vers les modules que l’on veut activer. Par exemple, pour activer le mod_rewrite, se placer dans le répertoire mods-enabled et taper la commande:

> ln -s ../mods-available/rewrite.load rewrite.load

Faire cela pour tous les modules que vous voulez activer. Si par exemple vous voulez activer le module userdir, n’oubliez pas qu’il y a deux liens à faire: un pour le .load et un pour le .conf

Les autres éléments de configuration se trouvent dans le répertoire /etc/apache2/conf.d. A l’image de ce qui se fait pour MySQL, tout fichier créé dans ce répertoire et contenant des directives sera pris en compte et écrasera la configuration d’origine. De base il y a un fichier charset qui contient une directive

AddDefaultCharset UTF-8

Qui active le jeu de caractère UTF-8 par défaut. Si vous préférez activer l’ISO-8859-1 par défaut, remplacez par:

AddDefaultCharset on

On va également créer un fichier directoryindex contenant la directive suivante:

DirectoryIndex index.html index.htm index.cgi index.pl index.php index.xhtml

Qui permet d’accepter une page index.php ou index.cgi comme page d’accueil pour un site

Si vous voulez accepter les CGI, il faut egalement créer un fichier cgi.conf dans lequel on va mettre:

AddHandler cgi-script .pl
AddHandler cgi-script .cgi

Ce qui va permettre d’accepeter les fichier .pl et .cgi comme CGI

Vous pouvez bien sûr continuer comme ça à paramétrer tout ce que vous voulez.

Installation de ProFTPD

On est presque prêt à accueillir nos premiers sites. Mais pour cela il faut les uploader sur le serveur et pour ça il nous faut un serveur FTP. En voici un : ProFTPD

> apt-get install proftpd

On vous demandera si vous voulez le lancer sous inetd ou indépendamment, choisissez la deuxième option.

Après installation, le serveur est déjà prêt à l’utilisation. Si vous voulez changer la configuration, vous pouvez le faire en modifiant le fichier /etc/proftpd/proftpd.conf, mais on peut déjà exploiter le serveur tel quel.

Il n’y a juste qu’une chose à modifier dans la configuration du serveur. Il faut rajouter les lignes suivantes:

DefaultRoot ~
IdentLookups off
UseReverseDNS off

La première instruction permet de bloquer chaque utilisateur dans son répertoire et évite qu’il se balade sur tout le serveur. Les deuxièmes et troisièmes instructions désactivent des traitements DNS de proftpd et permettent une connexion rapide au serveur (essayez les deux et voyez la différence).

Maintenant, il ne nous reste plus que 2 choses à faire: créer un utilisateur FTP avec son espace, et configurer le domaine associé sous Apache pour qu’il pointe à cet endroit.

Pour créer un utilisateur FTP, rien de plus simple, on va créer un utilisateur système:

> addgroup nom_user
> adduser --ingroup nom_user nom_user

Cela va créer le répertoire personnel de l’utilisateur dans le répertoire /home

Lors de la création de cet utilisateur, vous devrez saisir des renseignements. Le plus important est bien sûr le mot de passe, le reste n’est pas important.

On peut désormais configurer notre client FTP pour se connecter:

host: IP_serveur
login: nom_user
mot de passe : pass_user

Une fois connecté, on crée un répertoire www qui contiendra le site et on peu mettre une page d’accueil quelconque pour faire nos tests.

Tester avec le module userdir

Le module userdir permet de se connecter à l’espace web d’un utilisateur du système sans le nom de domaine. L’url sera de la forme:

http://ip_serveur/~nom_utilisateur/

Pour pouvoir faire cela, il faut dans un premier temps activer le module userdir dans Apache (voir plus haut). Puis dans le répertoire /etc/apache2/conf.d créer un fichier userdir contenant les commandes suivantes:

<IfModule mod_userdir.c>
    UserDir www
    UserDir disabled root

    <Directory /home/*/www>
        AllowOverride FileInfo AuthConfig Limit
        Options Indexes SymLinksIfOwnerMatch IncludesNoExec
    </Directory>
</IfModule>

On relance Apache et normalement si vous faites l’adresse indiquée plus haut, vous devriez voir votre page uploadée tout à l’heure.

Note: Si vous utilisez le module rewrite, je vous déconseille fortement d’utiliser l’option MultiViews de la commande Options car personnellement j’ai eu des interférences entre les deux.

Configuration d’un domaine:

Maintenant, on va configurer Apache pour que mondomaine.com pointe sur /home/nom_user/www.

Dans le répertoire /etc/apache2/sites-available créer le fichier mondomaine.com. Y mettre les instructions suivantes:

<VirtualHost *>
    ServerName www.mondomaine.com
    ServerAlias mondomaine.com www.mondomaine.com
    ServerAdmin webmaster@mondomaine.com

    DocumentRoot /home/nom_utilisateur/www
    ScriptAlias /cgi/ "/home/nom_utilisateur/cgi-bin/"

    <Directory /home/nom_utilisateur/www>
         Options -Indexes
    </Directory>

    php_admin_value open_basedir "/tmp:/var/lib/php5:/home/nom_utilisateur/www"
</VirtualHost>

Vous devez bien sûr encore une fois remplacer les paramètres mondomaine.com et nom_utilisateur par vos valeurs.

Enregistrez, rechargez Apache et le tour est joué.

Note: il est important de ne pas oublier le paramètre open_basedir de PHP, cela empêche les scripts PHP de pouvoir lire n’importe quel fichier du serveur en le cloisonnant dans le répertoire www/

Installation de phpMyAdmin

Forcément, si vous avez installé MySQL, il vous faut phpMyAdmin. Il y a deux écoles:

• Rester à la sauce Debian et installer le package phpMyAdmin
• L’installer à la main

Les deux solutions ont leurs avantages et inconvénients:

Installer le package est simple et la maintenance aussi puisqu’un simple apt-get permet une mise à jour. Par contre les versions ne sont pas à jour. Au moment de la rédaction de ce billet, la version actuelle est en 2.11.9 alors que le package est en 2.9.1. Pour cette raison je préfère une installation manuelle. Par contre cela m’oblige à me tenir au courant des mises à jour et à les faire manuellement.

Généralement j’installe phpMyAdmin dans le répertoire /var/www. Ainsi on peut accéder à phpMyAdmin par l’adresse: http://ip_serveur/phpMyAdmin

L’avantage de cette méthode est qu’il est facile de créer des alias ou des redirections de tous les noms de domaine qui seront installés sur le serveur afin qu’ils aient une url de phpMyAdmin simple. Par exemple une directive:

Alias /phpMyAdmin /var/www/phpMyAdmin/

permet une redirection transparente.

une fois phpMyAdmin installé, la première chose à faire est de s’y logguer afin de paramétrer le mot de passe root de MySQL. Si vous ne l’avez pas fait lors de l’installation c’est le moment où jamais !!

Envoyer des mails avec PHP

C’est la dernière chose qui nous manque avant d’avoir un serveur de production minimal potable. Pour cela on va installer exim4:

> apt-get install exim4

puis pour la configuration:

> dpkg-reconfigure exim4-config

les options:

• séparer la configuration dans plusieurs fichiers -> Non
• Type de configuration -> Distribution directe par SMTP
• Nom de courriel du système -> Mettez le nom de domaine principal du serveur ou laissez par défaut
• Liste d’adresses IP -> laissez 127.0.0.1 pour le moment
• Autres destinations -> Vide
• Domaines à relayer -> Vide
• Machines à relayer -> Vide
• Faut-il minimiser les requêtes DNS -> Non
• Méthode de distribution du courrier local -> laissez « mbox »

Théoriquement, les emails envoyés de PHP fonctionnent désormais.

En fait c’est un noyau préparé par OVH qui contient les derniers patchs de sécurité et qui permet de se passer de modules externes car ils sont embarqués. Problème: quand j’ai voulu upgrader ma distrib de Etch à Lenny, j’ai eu énormément d’ennuis et j’ai dû faire appel à un ami spécialiste pour me dépatouiller.

Le premier problème a été Lilo: il a commencé à me mettre des warnings pendant la mise à jour. Comme je n’étais pas sûr des conséquences que cela aurait au reboot et vu que Lilo commence sérieusement à dater, on a décidé de mettre Grub, et là tout est parti en vrille, ce qui n’aurait pas été le cas si j’avais eu un noyau standard… En effet d’une part Grub se base sur le nom d’un noyau standard pour s’installer, ce qui n’était pas le cas. La config de grub ne n’est donc pas faite correctement. On s’est donc dit que dans ce cas, on allait donner à Grub ce qu’il voulait, c’est à dire un noyau standard. Sauf que la il va aussi falloir gérer les modules à la main. En plus de cela le serveur était en raid1 logiciel, ce qui nécessite une maipulation supplémentaire avec Grub.

On va donc essayer à travers cet article de remettre la distribution droite dès le départ étant donné que le serveur dédié sur lequel je refais cette expérience est neuf.

La première chose à faire est de récupérer toutes les informations nécessaires sur notre hardware, notre architecture, le raid logiciel, etc…

Déjà, grâce au nom du noyau on sait que l’on est sur une architecture 64 bits.

Pour le hardware, on a besoin de savoir quel est le processeur que nous avons, ainsi que la ou les cartes réseaux.  Pour le processeur, on va faire un :

> vi /var/log/dmesg

puis on va faire une recherche sur « Intel ». Déjà je peux noter les infos suivantes:

CPU0: Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz stepping 0a

Bon, première info… Le truc à savoir avec l’architecture 64 bits, c’est que quel que soit votre processeur (AMD ou Intel), vous devrez installer un noyau AMD64. On peut le voir à cette adresse: http://www.debian.org/ports/amd64/

Le portage se compose d’un noyau pour tous les processeurs AMD 64 bits avec l’extension AMD64 et pour les processeurs Intel avec l’extension EM64T et d’un espace utilisateur 64 bits commun.

Bref, si je fais un

> apt-cache seach 'linux-image'

je tombre sur ce noyau :  » linux-image-2.6.26-2-amd64 – Linux 2.6.26 image on AMD64″

C’est celui-là qu’il nous faut.

En ce qui concerne la carte réseau, dans un premier temps on a besoin de savoir combien on en a. Pour cela un petit

> ifconfig

M’indique qu’il n’y a que et0 et lo (qui est l’interface locale). Donc je n’ai qu’une carte. Pour m’assurer des modules nécessaires à ma carte réseau, j’ai trouvé en parcourant les forums un truc plutôt pas mal. Tapez la commande:

> lspci -n

Et copiez le contenu du résultat dans le textarea de ce site: http://kmuto.jp/debian/hcl/

Il vous donnera le nom des modules à charger. Dans mon cas c’est donc le module r8169 dont j’ai besoin

Enfin on finit par vérifier si on est en raid ou pas. En tapant :

> cat /proc/mdstat

j’obtiens:

md1 : active raid1 sdb1[1] sda1[0]
5245120 blocks [2/2] [UU]

md2 : active raid1 sdb2[1] sda2[0]
970992576 blocks [2/2] [UU]

Donc je sais que je suis en raid1 sur deux disques serial ATA (sda et sdb).

On a tout ce qu’il faut pour se lancer. C’est parti:

On installe grub en premier (en effet notre noyau standard a besoin de grub pour s’installer sinon on a une erreur).

> apt-get install grub

On crée le répertoire de grub dans le répertoire de boot :

> mkdir /boot/grub

On fait une première install de grub. Je suis pas sûr que cette étape soit nécessaire, je vérifierai cela lors de ma prochaine installation de dédié

> grub-install /dev/md1

On installe notre noyau :

> apt-get install linux-image-2.6.26-2-amd64

On installe grub :

> grub-install /dev/md1

On demande une mise à jour de grub

> update-grub

Le problème maintenant c’est qu’on est sur du raid logiciel. Notre disque /dev/md1 n’est donc pas physique mais virtuel. Et le souci c’est que notre grub-install ne va pas s’inscrire sur le secteur de boot de sda et sdb. Il faut donc faire cette manipulation manuellement :

> grub
grub> root (hd0,0)
grub> setup (hd0)
grub> setup (hd1)
grub> quit

Il ne faut pas oublier de le faire sur les deux disques dur, ainsi si un des disques crash, le deuxième sera bootable.

Avant de rebooter, ne pas oublier les modules de la carte réseau ! Dans /etc/modules rajouter:

loop
r8169

et sauvegardez..

En demandant conseil à mon pote pour réaliser toutes ces manipulations en sécurité, il m’a dit qu’on avait eu un problème au niveau du package « mdadm » qui est le package gérant le raid. En effet, lors de notre expérience malheureuse, il s’est rendu compte que ce paquet n’était pas installé, le noyau d’OVH embarquant ce dont il a besoin pour le faire fonctionner. En ce qui me concerne sur ce nouveau serveur, le package est bien présent mais n’hésitez pas à vérifier et à l’installer le cas échéant sinon vous aurez une surprise au reboot !

Vous pouvez y aller maintenant.

> reboot

et croisez les doigts…

N’hésitez pas à me faire part de vos expériences sur le sujet, mes connaissances sur le sujet étant modestes, il se peut qu’il y ait des erreurs ou des choses à améliorer.

http://blog.fabroce.info/post/2006/11/19/Installer-un-depot-subversion-sur-une-Debian
http://blog.utopiaz.org/2008/04/mise-en-place-svn-et-virtual-hosts-apache/

Son but est de mettre en place un serveur subversion sur une Debian permettant la gestion de plusieurs dépôts avec une gestion des droits différente selon les dépôts.

Installation des packages:

> apt-get install subversion subversion-tools libapache2-svn

Création du répertoire subversion:

> mkdir /home/svn
> chmod 770 /home/svn

Création des différents dépôts (gestion multi-projets)

> svnadmin create /home/svn/projet_1
> svnadmin create /home/svn/projet_2

On crée un fichier qui contient les utilisateurs / mots de passe qui auront accès au dépôt.

> touch /home/svn/.passwd

Ce fichier fonctionne pour la sécurisation d’un répertoire par htaccess. Par exemple:

toto:$1$uH5.fe0.$4aTxZL9kZTHrjyemyJCBL1
hubert:$1$6I5.VG5.$rOl1m.o6bcZLhkKUZStWf/

On crée un fichier qui va contenir tous les droits d’accès des utilisateurs aux différents projets

> vi /home/svn/.authz

La syntaxe de ce fichier n’est pas extrêment compliquée. Elle va ressembler à cela:

[nom_du_depot:/répertoire/dans/depot]
nom_utilisateur = droits_accès

Soyons bien clairs sur la syntaxe entre crochet: le nom du dépôt correspond au nom du répertoire créé grâce à svnadmin create. Donc pour nous ce sera soit projet_1, soit projet_2. Le répertoire qui suit les deux points est le répertoire relatif au dépôt. Voici quelques exemples expliquant ce point:

# correspond au répertoire /home/svn/projet_1/
[projet_1:/]

#correspond au répertoire /home/svn/projet_1/images/
[projet_1:/images]

Prenons un exemple avec ce que nous avons fait plus haut:

[projet_1:/]
toto = rw
hubert = r

Dans cet exemple, l’utilisateur toto peut lire et écrire dans le dépôt projet_1. Par contre hubert ne peut que lire ce dépôt. Voici d’autres exemples:

[projet_1:/]
toto = rw
hubert = r

[projet_1:/readonly]
toto = r

[projet_2:/]
toto = r
hubert =

Dans cet exemple, on a rajouté des paramètres importants:

• toto peut lire et écrire dans le dépôt projet_1 mais ne peut que lire le répertoire readonly du projet_1
• hubert ne peut que lire le projet_1
• toto peut seulement lire le projet_2
• hubert n’a pas accès au projet_2

Il est possible d’aller plus loin et de traiter les droits d’accès pour plusieurs utilisateurs en même temps:

[/]
* = r

Donne droit de lecture à tous les utilisateurs sur tous les dépôts. On peut également créer des groupes d’utilisateurs:

[groups]
mon-groupe-1 = toto, hubert
mon-groupe-2 = pierre, paul, jacques

[projet_1:/home/svn/projet_1]
@mon-groupe-1 = r
@mon-groupe-2 =

On voir que l’on fait appel à un groupe et non à un utilisateur à l’aide du @ devant le nom du groupe. Il est également possible de faire appel aux groupes à l’intérieur de la définition des groupes:

[groups]
mon-groupe-1 = toto, hubert
mon-groupe-2 = pierre, paul, jacques
tous-les-groupes = @mon-groupe-1, @mon-groupe-2

Enfin, à titre informatif, on peut également utiliser des références à des utilisateurs LDAP ou des certificats SSL et utiliser des alias. Personnellement je n’en ai pas eu besoin, donc je vais me contenter de copier bêtement les exemples que j’ai vu ici: http://svnbook.red-bean.com/nightly/en/svn.serverconfig.pathbasedauthz.html. Si vous avez des infos complémentaires à ajouter, n’hésitez pas.

[aliases]
harry = CN=Harold Hacker,OU=Engineers,DC=red-bean,DC=com
sally = CN=Sally Swatterbug,OU=Engineers,DC=red-bean,DC=com
joe = CN=Gerald I. Joseph,OU=Engineers,DC=red-bean,DC=com

[groups]
calc-developers = &harry, &sally, &joe
paint-developers = &frank, &sally, &jane
everyone = @calc-developers, @paint-developers

On crée un répertoire pour les logs

> mkdir /home/svn/logs

On donne ensuite les droits à Apache

> chown -R www-data:www-data /home/svn

Configuration d’Apache

La solution classique consiste à configurer le fichier /etc/apache2/mods-available/dav_svn.conf. Par défaut tout est commenté dans ce fichier. Il va falloir décommenter, et configurer pour activer l’accès au dépôt SVN. Voici une configuration standard qui permet d’accéder au dépôt configuré plus haut:

<Location /svn>
    DAV svn
    SVNParentPath /home/svn
    AuthType Basic
    AuthName "Subversion Repository"
    AuthUserFile /home/svn/.passwd
    AuthzSVNAccessFile /home/svn/.authz
    Require valid-user
</Location>

Sauvegarder et relancer Apache.

Pour vérifier que tout fonctionne bien, il suffit d’aller avec votre navigateur à l’adresse:

http://IP_serveur/svn/projet_1

Si tout se passe bien, une identification vous est demandée, puis vous devriez voir une page avec marqué « Revision 0″.

Cette méthode fonctionne parfaitement, mais on peut faire mieux. Si vous gérez des noms de domaine sur votre serveur, vous pouvez tout à fait utiliser les VirtualHost pour gérer les adresses d’accès aux dépôts:

<VirtualHost *>
  ServerName svn.mondomaine.com

  <Location />
    DAV svn
    SVNParentPath /home/svn
    AuthType Basic
    AuthName "Subversion Repository"
    AuthUserFile /home/svn/.passwd
    AuthzSVNAccessFile /home/svn/.authz
    Require valid-user
  </Location>

  CustomLog /home/svn/logs/access.log combined
  ErrorLog /home/svn/logs/error.log
</VirtualHost>

Cette méthode présente plusieurs avantages:

• Utilisation d’un sous-domaine, ce qui simplifie l’url
• Possibilité d’utiliser plusieurs noms de domaine pour le même dépôt
• Customisation des logs
• Possibilité de créer un VirtualHost sécurisé par SSL

pour commencer, éditer le fichier /etc/apt/sources.list. Sur ma distribution j’avais les infos suivantes:

deb ftp://mir1.ovh.net/debian/ stable main
deb-src ftp://mir1.ovh.net/debian/ stable main
deb http://security.debian.org/ stable/updates main

à la suite j’ai rajouté les lignes suivantes:

deb ftp://mir1.ovh.net/debian/ testing main
deb-src ftp://mir1.ovh.net/debian/ testing main
deb http://security.debian.org/ testing/updates main

on va ensuite dans le répertoire /etc/apt/apt.conf.d et on crée un fichier 80default-distrib (le nom du fichier est libre). On y place l’instruction suivante:

APT::Default-Release "stable";

Nous y sommes. Avec la configuration ci-dessus, on reste par défaut sur la version stable lors des mises à jour. Mais on a la possibilité d’installer un paquet testing très simplement.

Tout d’abord faire un update d’apt:

apt-get update

puis installer le paquet voulu grâce à -t testing:

apt-get -t testing install mon_paquet

http://e.rycks.com/index.php/post/2005/08/17/22-dynamic-mmap-ran-out-of-room

pour résumer il faut aller dans /etc/apt/apt.conf.d/ et créer un fichier 10cachelimit (le nom du fichier peut-être modifié à votre guise). Y placer l’instruction suivante:

APT::Cache-Limit "10000000";

Cela permet à APT d’utiliser plus de RAM. La valeur entre guillemets est à modifier selon les besoins. Personnellement j’ai dû passer à 20000000 pour que cela fonctionne.

Installation du paquet:

> apt-get install screen

les commandes screen à partir de la console:

> screen			// Lance un screen
> screen -r			// Reprends un screen détaché
> screen -d			// Force le détachement d'un screen en cas de plantage pour en reprendre le contrôle
> screen -ls			// Affiche la liste des screen mère

commandes à partir d’une console screen:

• CTRL+A puis C = créer une nouvelle console screen
• CTRL+A puis N = passer à la console screen suivante
• CTRL+A puis P = passer à la console screen précédente
• CTRL+A puis D = Détacher le screen et revenir sur la console classique
• CTRL+D = fermer une console screen. Lorsqu’il n’y a plus qu’une seule console, ça quitte screen.

Pour commencer nous allons définir que:

• la machine locale sera la machine cliente, c’est-à-dire celle qui se connectera
• la machine distante sera la machine serveur qui recevra la connexion

Générer les clés:

Pour ce faire, commencer par taper la commande ssh-keygen sur la machine locale:

> ssh-keygen -t dsa

l’option -t dsa indique que l’on utilise un cryptage dsa de la clé, utilisé par SSH2. La génération des clés commence:

Generating public/private dsa key pair.
Enter file in which to save the key (/usr/home/toto/.ssh/id_dsa):

Appuyer sur Enter pour accepter la localisation de la clef (il est plus simple d’accepter la localisation proposée). ssh-keygen demande ensuite une « passphrase » (équivalent d’un mot de passe, mais sous forme de phrase). Cette phrase sert à fortifier la clef pour la rendre plus difficilement cassable.

À partir de là, deux solutions :

• Si on tape une phrase, la connexion sera plus sûre, mais il faudra utiliser ssh-agent pour ne pas avoir à la retaper à chaque fois
• On ne tape pas de phrase (on appuie seulement sur Enter), la connexion sera moins sûre.

la fin de la procédure affiche quelque chose comme:

Your identification has been saved in /usr/home/toto/.ssh/id_dsa.
Your public key has been saved in /usr/home/toto/.ssh/id_dsa.pub.
The key fingerprint is:
1a:2a:3e:4a:1a:65:1c:89:10:92:9c:5c:1f:75:cc:de
toto@machineloc

Le générateur va créer 2 clés: id_dsa (la clé privée) et id_dsa.pub (la clé publique).

Utiliser les clés

• Editer la clé publique et copier son contenu.
• Se rendre sur la machine distante et éditer le fichier .ssh/authorized_keys (le créer s’il le faut)
• Y copier le contenu de la clé publique sur une seule ligne
• Sauvegarder

Procéder ainsi pour toutes les machines distantes sur lesquelles on veut se connecter

Tester la connexion

Une fois que les clés sont placées sur les serveurs local et distant, il faut tester la connexion ssh:

> ssh host "ls -a"

Normalement, le système va détecter la présence des clés et vous demander de confirmer l’utilisation de ces clés. Il faut donc taper « yes » et valider. Cette opération ne se fait qu’une seule fois.

The authenticity of host '213.186.158.139 (213.186.158.139)' can't be established.
RSA key fingerprint is 02:11:f2:db:ad:42:86:de:f3:10:9a:fa:41:2d:09:77.
Are you sure you want to continue connecting (yes/no)?