Installation d'un serveur chez moi

Support Debian
#1

Bonjour/Bonsoir, selon votre fuseau, … toustes : Linuxienne et Linuxien …

J’aimerais installer un serveur chez moi pour quelques tâches accessible depuis l’extérieur.
J’ai découvert le projet YunoHost qui est très bien et que je recommande.
(d’au moins y faire un tour pour se rendre compte du boulot fait par des bénévoles - etc … - c’est cool)

Je me demandais si il était difficile de mettre un place une machine tel que se projet, à partir d’une installation minimal de Debian.

Je précise. Mon future serveur serrait destiné à deux trois applications. La principale un serveur de media audio (Ampache, SubSonic ou autre). Secondo: NextCloud. Et troisièmement : les applis les moins utilisées : rtorrent, Gallerie Photos, … Bienque pour les photos, je pense que NextCloud peut s’encharger.
Pas de serveur web, mails (mon FAI restreint de toute façon les ports pour ce service), …

Administrable depuis l’extérieur donc un serveur SSH. Eventuellement un serveur vpn. mais dans un premier temps, restons simple.

Et en gros, c’est un peu prêt tout pour les applications des plus utiles. Après celles appartement au systèmes sont appart et à ajuster : hfsplus et toutes les autres.

Je suis prêt à acheter un nom de domaine (monserveur.0rg) mais si on peut se connecter via un ip public, ça me fait des économie. Mais bon … y a des domaines pas cher.

Je serrais le seul utilisateur.

Voilà donc.

Pourriez vous avec ces éléments, orienté mes recherches, me donner conseils, si vous avez un tuto sous la main à refiler, … je prend.

Des questions pour de meilleurs réponses ? je prend aussi !

Merci d’avance et à bientôt.

#2

Je me sers de Yunohost sur un hébergement 1984 (donc hors 14 eyes) et c’est très bien, je confirme.
Je n’ai pas le niveau, ni le temps pour me mettre à faire de l’admin serveur au delà, par contre comme c’est du Debian, si il y a besoin d’ajuster un truc je sais faire, donc parfait pour moi.
Full stack c’est savoir faire tout, mais un p’tit peu :wink:

1 J'aime
#3

Salut,

Bon à savoir: Nextcloud a une app (nommée « Music ») qui fait très bien office de serveur Subsonic ou Ampache (perso j’utilise Subsonic). Si ta musique est sur ton Nextcloud, ça te fait une étape en moins à faire.

Sinon, selon les capacités de la machine, et comme tu envisages d’y faire tourner plusieurs services différents, tu peux utiliser de la virtualisation / conteneurisation (l’OS du serveur exécute des machines virtuelles ou des conteneurs, lesquels exécutent les services que tu veux mettre en place). Ça permet de cloisonner les applications ainsi que leurs middlewares (PHP…), de rendre moins casse-gu**le les mises à jour applicatives, etc. Tu peux jeter un oeil du côté de Proxmox VE, distribution basée sur Debian (d’ailleurs je l’installe toujours à partir d’une fresh install Debian, au lieu d’utiliser leur iso d’installation) et orientée virtualisation. Nous sommes plusieurs sur ce forum à l’utiliser, il me semble.
Pour le coup, tu ne seras pas sur une installation minimale de Debian, mais ça peut valoir le coup.

Oui tout à fait, via l’app « Photos » notamment.

Tu peux prendre un sous-domaine gratuit chez un fournisseur de Dynamic DNS, il y a un comparatif des fournisseurs de dynDNS ici. A ma connaissance la plupart des box des FAI principaux supportent les principaux services de dyn DNS.

Petite note au passage: prévois quelque chose pour les sauvegardes :laughing:

Cela dépend de ce que tu veux faire.
Tu peux partir d’une installation minimale de Debian + docker, et exécuter des conteneurs docker pour les différents services que tu veux mettre en place (il y a des images docker pour Nextcloud, et probablement tous les autres services que tu mentionnes). L’administration sera exclusivement en CLI.
Ou bien des machines virtuelles (qemu) ou encore des conteneurs LXC à la place des conteneurs docker. C’est d’ailleurs ce que fait Proxmox, ce dernier offrant en plus une interface graphique web et des mécanismes de sauvegarde, cluster + haute-dispo etc.
Ou encore installer Yunohost et t’en servir pour déployer les services souhaités.

Pour résumer, ça dépend d’à quel point tu as envie de « mettre les mains dans le cambouis »:

  • si tu as une âme de CLI-guru ou de ninja sysadmin, fonce sur une Debian minimale avec soit LXC, soit QEMU/KVM, soit docker
  • si tu veux que ça fonctionne rapidement sans avoir à te farcir des tas de fichiers de config à éditer en console, tu peux opter pour Yunohost
  • enfin, je trouve que les distributions orientées virtualisation (comme Proxmox) sont un bon copmpromis entre les deux

Par contre, je ne conseillerais pas de déployer tes services dans le même environnement que l’OS principal (càd installer Debian + appli1 + appli2 + … + appliN), c’est un bon moyen de s’embrouiller dans les configurations de l’appli1/2/N, de faire tourner X versions de Java/PHP/autre sur le même OS, et d’autres situations embrouillogènes.

#4

Bonsoir à toustes d’ici et ailleurs.

Voilà. Pour reprendre et compléter ce qui a déjà été dit, conseillé et discuté :

Le principale but de mon futur serveur est pouvoir écouter ma musique via internet depuis l’extérieur. Ainsi que distribuer et recevoir quelques fichiers en tout genre. J’imagine que cela évoluera au fur et à mesure.

(Ps : C’est grâce à et pour l’audio qu’à l’époque je mettais tourné vers une solution Linux et ai installé mon premier Lubuntu. C’est encore grâce à l’audio que je rentre avec interret dans le monde du serveur en self-hosting. Les choses ont changé mais l’essence reste à l’identique. lol)

Mon ordinateur destiné à devenir serveur, possède :
4Go Ram, un SSD 258 Go, un HDD 2To et un HDD 4To. Démarre en UEFI.

Aura comme principale application Nextcloud via Docker, si son application Musique tient la route avec ma bibliothéque musical. Aussi non, Nextcloud serra devancé par Ampache (ou autre).
Et si besoin, par la suite et par dessus acceuillir YunoHost qui propose la possibilité de son installation après une installation Debian en régle.
L’installation devrait être chiffrée et sachant se réveiller via SSH via l’installation de dropbear (+ openssh-server et busybox).
Puis, devrait être accessible depuis l’extérieur de mon réseau.

  • Dans l’absolu, je destine le premier HDD de 2To aux fichiers quelconques.
  • Mon HDD de 4To exclusivement aux fichiers audio. Des fichiers Flac pour être précis.
  • Le SSD de 256Go au système. (C’est un SSD du mon tiroir « Trucs Et Bidules » qui trainait mais je le pense être demessuré)

Après plusieurs recherches et prises de notes (je ne pourrais donc pas tout sourcer) voici un peu plus quoi que je m’en fais comme idée.

Je compte bien mettre en place plusieurs partitions, en voici le futur schéma que je lui réserverai :

Sur le SSD :

  • Une partition EFI, 512Mo
  • Une partition /boot en Ext2 de 1Go. Option de montage : noauto
  • Un Groupe de Volumes Logique Chiffrée pour le reste des partitions du système.

Toujours sur le SSD - le LVM Chiffré gérera des volumes comme suit :

  • / en Ext4 de (??)Go Options de montage par défauts.
  • /var en Ext4 de 4Go Options de montage par défauts.
  • /var/log en Ext4 de 8Go. Opts de montage : nosuid, nodev, noexec.
  • /tmp en Ext2 de 4Go. Il serrait bien de la mettre en tmpfs. Je pense que ça se fait après installation. Donc à voir si je cré réellement celle-ci.
  • /svr en Ext4 de ??Go. Destiné à recevoir les installations Docker. Options de montage par défauts.
  • /home en Ext4 de taille de ce qui restera. Options de montage : nosuid, nodev, noexec.
  • (?) SWAP : 4Go (ça devrait suffire). Je pencherais plus pour une désactivation de la Swap et créer plutôt un fichier swap dans la partition racine.

Pour le SSD, si les options sont disponible (vu les différences entre Ext2 et Ext4 par exemple), les partitions auront et en plus de celles citées : noatime, discard, nodiratime. Afin de minimiser l’écriture sur le disque.
Si, c’est toujours d’actualité, le partions multiple sur un SSD sont à éviter. Mais je pense que des partitions en LVM posent moins de problèmes que si elles ne l’étaient pas.
(Devrais je créer une partition LVM pour rassembler la partition EFi et /boot. Vu leur taille, j’pense que c’est plus une prise de tête.)

Les HHD :

  • Celui de 2To monté en /Data : Chiffré, en Ext4 et les options de montage : nosuid, nodev, noexec. Serra déverrouillé et monté via le fichier fstab qui lui serra accessible par le déchiffrement de la partition racine et ce via ssh et l’installation au préalable de dropbear.
  • Celui de 4To monté en /DataZiq : Pas besoin de chiffrement, en Ext4, options de montage : nosuid, nodev, noexec.

Voilà … c’est un bon début.

Voyez vous des erreurs à cela ?

Les sources pour celles que j’ai :

1 J'aime
#5

(
je sais pas trop ce que j’ai fait mais je pense que j’ai réécris mon dernier message posté il y a 21j à cette date.
Désolé.
Il n’était pas spécialement important en termes d’informations pour ce fil.
C’était des remerciements et autres - pas moins importantes serte - mais très peu informatique
)

#6

Bon, j’avance petit à petit, désolé boulot, travaux rénovations et vie social oblige yeah…

Bonjour.

Bien, là, je bloque sur l’accès de mon serveur depuis l’extérieur (internet).
J’ai une configuration du réseau local un peu particulière.
Nous vivons à beaucoup réparti sur une grande surface.
Du coup: moi, sur le réseau local, càd celui après le routeur principale (routeur Telenet : FAI belge), il y a un autre routeur transitoire (TP-Link Archer 900) par lequel je passe pour entre autre surfer sur la toile.

En faite …
Je bloque sur la redirection de ports afin de donné l’accès à certains services (pas ceux lié aux mail : restriction du FAI oblige).
Tel les ports : 22 (ssh), 80 (svr web), 443 (srv web), 5222 (xmpp client) et 5269 (xmpp srv).
Peut-être d’autres à venir … (les deux derniers sont pas forcément nécessaire je pense)

Mais voici:

  • dois je rediriger ses ports du routeur principal (Telenet) vers le routeur transitoire (Archer VR900) qui lui gérera la bon partage et connexion avec mon serveur relié à celui-ci.
  • Ou dois je, plus directement, rediriger les ports de mon routeur principale vers mon serveur.

J’ai un peu essayé des deux … sans résultats.

  • Je suis rentré en contacte avec mon FAI et iels m’ont discretement dit que leur service de redirection (de leur matos) était un peu capricieux.

Donc dans tout ça, je ne sais pas ou est l’erreur … peut-être toutes les trois de mes solutions …

mon routeur principale à l’adresse ip local : 192.168.1.x
mon routeur secondaire à l’ip : 192.168.0.x
mon serveur : 192.168.0.xxx
(c’est pas dangereux de divulguer ce genre d’infos ? - d’ou les ‹ x › … )

Voici ce que précise mon FAI pour la redirections :
« Les numéros de port ne peuvent pas se chevaucher. Le port de départ doit être inférieur au port d’arrivée et le port d’arrivée ne peut pas être supérieur à 65535. (…) »

Une redirection se fait par cette suite d’infos :
" Adresse IP locale" « Port externe » « Port interne » « Protocole »
ou plus précisément pour le port 22 par exemple :
« ??? … ??? » « 22-22 » « 22 » « TCP »

Cela étant dit ce fameux port 22 est déjà redirigé par défault (je pense) par le FAI :
« 192.168.1.1xx » « 22-22 » « 22 » « TCP »
(je ne sais pas trop à qui appartient cette ip … )
Mais je pense que c’est pas en ma faveur pour mes attentes …
(Peut-être que cela ne me serra jamais utile à vrai dire, ce service depuis internet)

Pour terminé :
UPnP est activé sur mes deux routeurs.
Sur mon serveur : alors là, je me suis pas encore mis au taf.
Mais alors l’adresse DMZ est dans le rouge.
Je vois pas très bien ce qu’est cette adresse DMZ

Voilà.
Merci de vos réponses et bon matin !! On est Lundi et demain est encore loin !..

++
question un tuti hors sujet :
++
Est ce vrai que mon FAI, selon ma configuration du réseau local, n’a pas connaissance de ce qui se passe après le second routeur dit transitoire (l’Archer VR900). Si c’est vrai: c’est trop cool !
iels sont hyper intrusif …
Trop !! en tout cas pour le mien mais je pense que c’est la tendance général …
(pas obligé de répondre …) :wink:

#7

Bonjour,
Un petit schéma est parfois plus simple :slight_smile:
Pour résumer:
Routeur FAI [RFAI] : 192.168.1.0/24 (LAN1)
Routeur Interne (RI]: 192.168.0.0/24 (LAN2)

Le problème que tu as c’est que le RFAI ne sais pas router en interne car ce ne sont pas la fonction des routeurs FAI.
Le seul moyen, le cas échéant et si la fonctionnalité existe c’est de créer une DMZ dans laquelle tu mettra ton serveur.

Tout ce qui se passe dans 192.168.0.0/24 est invisible par RFAI.

Coté routes tu ne peux avoir que:

  • 192.168.0.0/24 => 192.168.1.0/24 de RI vers RFAI.
    La route ne peut fonctionner (Hors DMZ) de:
  • 192.168.1.0/24 +> 192.168.0.0/24 de RFAI vers RI.

Une DMZ est une zone particulière dans un réseau, cela veut dire DemMilitarized Zone.
Normalement c’est la zone réseau dans laquelle on met les serveur qui doivent avoir un accès à partir d’internet afin de ne pas donner accès à un serveur dans le LAN et risquer une compromission de tout le LAN.

Donc tu devrais avoir, à Minima:

INTERNET------RFAI -------------RI-----LAN2
                |--LAN1------SERVEUR

Si ton routeur FAI a une fonctionalité DMZ:

 INTERNET------RFAI -------------RI----LAN2
                 |---DMZ-----SERVEUR
                 |---LAN1

En fait, si ton routeur est bien protégé sur ses accès, alors ils ne peuvent pas aller au delà en effet.
Les FAI ne vont pas sur ton réseau, car ce serait une violation pénale de la loi Mais il en ont la capacité car ils contrôlent le routeur (personnellement ce n’est pas le cas chez moi, car je n’utilise pas le routeur du FAI mais le mien).

#8

Merci !
Je ne vois que maintenant (désolé du délai)

J’avais pensé à cette possibilité. Mais pour deux raisons c’était pas un choix judicieux. 1) je vis en collectif, de ce fait, pour répartir le réseau, utiliser leur routeur permet d’avoir un appareil en plus dans la configuration. Moi, n’ayant pas tout ce qu’il faut en stocke. Leur routeur, aussi, étant assez performant : nous sommes une vingtaine à utiliser une connexion « standard » (on en a griller un, iels l’on remplacer avec un plus performant autre que ceux proposer dans l’annonce). 2) D’après eux, pour leur pack haut débit (qui n’est pas la fibre - juste un quota de Giga plus élevé si je me souviens bien) seul leur appareil était adapté. Et ce d’après eux mais je reste dubitatif de cette info.

Soit.

Effectivement, il y a une fonction DMZ sur le RFAI qui apparamment ne peux être utiliser avec l’UPnP.

Merci : je vais voir quoi (et donnerai quelques news - et ce, pas dans xNbr de mois lol)
Merci aussi : pour les explications, schémas et tutti. Rien à redire :wink:

à toute ! –
:wink:

#9

Ça n’a absolument rien à voir. renseigne toi sur le sens exact de ces termes. le premier permet d’améliorer la sécurité de la fourniture de service, le deuxième est une fonctionnalité qui au final créé une faille de sécurité.