Les vacances !

Après 5 mois chez Ankama, enfin les vacances !

Ce fût l’occasion (même si ils élèvent des chiens) de rencontrer (même si ils ont des franges) pas (même si ils sont fan de VBS) mal (même si ils veulent restaurer la grandeur de l’Empire austro-hongrois) de gens sympas (oééééé) et de travailler sur des projets intéressants à l’aide de technologies d’avant garde tels que Symfony, Yahoo! User Interface, les microformats, AIR, PureMVC, Python ou encore Smartfox server.

Je vais profiter des 15 prochains jours pour changer un peu d’air avant de retourner à l’Université de Lille 1 pour ma 3ème année de licence informatique.

Nouvelle offre d’hébergement à bas prix chez Gandi : installez votre serveur web

Gandi m’a gentiment fourni une invitation à la bêta de leur service d’hébergement. Je compte y passer ce blog et voir comment se comportent les frameworks Symfony et Django sur ces serveurs virtualisés et scalable.

J’ai donc pris une part (6€ HT/mois) afin d’y installer un serveur web composé d’Apache, de PHP, de MySQL et géré par hosting.py.

Première opération, créer le serveur. J’ai choisi le mode expert et Ubuntu comme distribution (c’est le choix par défaut). Tout ce fait très simplement via le site internet de Gandi. Quelques minutes après la création du serveur via l’interface un mail arrive vous indiquant l’adresse IP de votre serveur tout neuf.

C’est une version personnalisée par Gandi de Gutsy qui est installée, un peu vieille mais très stable, cela me convient parfaitement.

Première opération : mettre à jour la distribution.

Connectez vous via SSH puis passez en root en tapant su (un peu perturbant pour une Ubuntu n’est-ce pas :P) puis tapez la classique commande apt-get update && apt-get dist-upgrade. Cette mise à jour est importante car elle corrige certaines failles de sécurité critiques dont celle désormais célèbre touchant le protocole DNS.

Installer Apache, PHP et MySQL

La commande magique pour installer le tout : apt-get install apache2 mysql-server php5 libapache2-mod-php5 php5-mysql phpmyadmin.

L’utilitaire d’installation vous demandera d’abord de choisir un mot de passe pour le compte root du serveur MySQL puis de sélectionner quel version d’Apache doit être configurée pour être utiliser avec phpMyAdmin : choisissez apache2.

Vous pouvez taper l’adresse IP de votre serveur dans votre navigateur préféré afin de vérifier que tout fonctionne bien. phpMyAdmin est accessible depuis http://<votre_ip>/phpmyadmin/.

Une petite amélioration afin d’augmenter les performances : installons xcache. Comme son nom l’indique, xcache permet de mettre en cache les versions “compilées” des scripts PHP (opcode) et ainsi d’améliorer grandement les performances du langage le plus populaire du web.

Rien de plus facile : apt-get install php5-xcache. La commande /etc/init.d/apache2 restart vous permettra de rendre effective la mise en cache.

Sécurisons tout ça

Très bien, notre serveur fonctionne. Mais ce n’est pas encore la panacée. Une simple requête HTTP GET nous renvoi comme en-têtes :

Les en-têtes HTTP sont riches, trop riches : on y apprend que le serveur fonctionne sous la distribution Ubuntu Linux, que le serveur web est Apache en version 2.2.4, que le langage de script PHP en version 5.2.3 est disponible et que les versions installées sont celles pacagées par la distribution (ce qui donne des indices supplémentaires sur la configuration utilisée). Ces informations sont en partie reprises dans les pages d’erreurs et les index générés automatiquement du serveur web.

Même si cacher les noms et numéros de versions des logiciels installés n’améliore pas la sécurité réelle de votre serveur elle le rend moins visible des pirates en herbe et autres robots des amateurs de warez.

Pour masquer les informations distillées par Apache éditons le fichier /etc/apache2/apache2.conf, remplaçons la ligne ServerTokens Full par ServerTokens Prod puis ServerSignature On par ServerSignature Off.

Pour celles que fourni PHP c’est dans /etc/php5/apache2/php.ini que ça se passe. Remplacez expose_php = On par expose_php = Off. Même si cela n’a rien à voir avec les numéros de versions, ça peut être une bonne idée de désactiver églament les magic quotes en remplaçant magic_quotes_gpc = On par magic_quotes_gpc = Off.

Relançons encore une fois Apache /etc/init.d/apache2 restart afin de faire prendre en compte nos modifications, c’est mieux.

Reste MySQL. Nous avons défini un mot de passe pour le compte root lors de l’installation mais il reste quelques brèches importantes comme la possibilité de se connecter sans compte ou celle d’utiliser le compte root depuis l’extérieur (sans passer par une console SSH ou phpMyAdmin – ce qui facilite les attaques par force brute).
Un script fourni nommé mysql_secure_installation permet de remédier à tous ces problèmes. Lancez-le. Excepté pour le changement de mot de passe root que nous venons de définir lors de l’installation je vous conseil de répondre par le choix proposé par défaut à toutes les questions.

Notre serveur est un peu mieux préparé à survivre dans la jungle qu’est le web.

Note : nous n’abordons ici que la sécurisation des composants LAMP de notre serveur. C’est un bon début mais c’est loin d’être une protection absolue ou suffisante.

Installer hosting.py

hosting.py est un petit logiciel que j’ai développé qui permet de gérer de manière très simple des comptes web. Il se base sur le système de gestion des utilisateurs UNIX et automatise les tâches les plus courantes lors de l’administration d’un petit serveur web mutualisé à savoir la mise en place et la modification de compte comprenant un utilisateur UNIX (accès SSH, FTP, …), un hôte virtuel apache, un compte et une base de données MySQL.

Il est conçu pour fonctionner avec les distributions basées sur Debian, Ubuntu en particulier. Il permet de simplement séparer les comptes des différents sites qu’hébergera votre serveur, ce qui n’est pas un mal question sécurité.

Commençons par installer les dépendances nécessaires à la récupération et à l’utilisation de mon script : apt-get install subversion python-mysqldb

Créons maintenant le squelette du répertoire de base des comptes web :

  • mkdir /etc/skel-www
  • mkdir /etc/skel-www/logs
  • mkdir /etc/skel-www/public_html

Comme son nom l’indique, logs accueillera les logs de connexion d’Apache (on pourra plus tard configurer AWstats pour générer des statistiques) et public_html sera le répertoire web de nos utilisateurs.

Récupérons la dernière version de hosting.py via Subversion : svn checkout http://debian-hosting.googlecode.com/svn/trunk/ debian-hosting-read-only

Éditez la variable MYSQL_PASSWD du fichier debian-hosting/hosting.py pour qu’elle contienne le mot de passe MySQL de l’utilisateur root puis donnez les droits en exécution sur ce même fichier en tapant chmod a+x debian-hosting/hosting.py.

Pour créer un compte utilisateur, passez en root avec la commande su puis tapez debian-hosting/hosting.py add monsite.com. Vous pouvez voir les informations de connexion s’afficher, notez les 🙂

Un sous domaine du type monsite.com.dunglas.fr est automatiquement créé (pour être effectif, il nécessite que dunglas.fr, notre domaine de test, dispose d’un wildcard dans ses entrées DNS).

Je vous conseil de le laisser à des fins de test et de debug, néanmoins un vrai nom de domaine c’est mieux. Toujours en tant que root éditez le fichier généré automatiquement nommé /etc/apache2/sites-available/monsite.com et transformez la ligne ServerName monsite.com.dunglas.fr en ServerAlias monsite.com.dunglas.fr. Ajoutez au dessus de celle-ci ServerName monsite.com.

Rechargez Apache (toujours en root) : /etc/init.d/apache2 reload

Votre serveur web est le site que vous avez créé sont fonctionnels si vos entrées DNS sont bien configurées. Placez vos fichiers web dans /home/monsite.com/public_html/ pour qu’ils soient visibles sur http://monsite.com 🙂

hosting.py 0.2 released

hosting.py is a web server account manager for Debian GNU/Linux and derivatives, such as Ubuntu Linux I am maintaining.

I am proud to announce that the version 0.2 is out !

hosting.py now supports MySQL accounts and databases management and his core is modular. The documentation as been rewrited and detailled.

hosting.py needs contributors. Testers and developers are wanted.

Downloads and details on Google Code.

feedproxy.google.com semble remplacer feeds.feedburner.com

Depuis fait quelques temps déjà que FeedBurner, l’outil de statistique et d’optimisation de flux RSS coqueluche des blogueurs, a été racheté par Google.

FeedBurner

Aujourd’hui, l’assimilation du service par le géant des moteurs de recherches va plus loin : la célèbre url feeds.feedburner.com laisse progressivement sa place à feedproxy.google.com.

Exemple sur le flux RSS de Techcrunch : http://feeds.feedburner.com/francaistechcrunch
Personnellement, je préférais l’URL sous la forme feeds.feedburner.com qui donnait moins impression d’une allégeance à Google (d’accord, c’était juste une impression). Peut-être est-ce l’occasion de reprendre (un peu) le contrôle de vos données et d’utiliser vos propres URLs pour les flux FeedBurner ?

Mon installation audio

Sur ce blog, je parle beaucoup d’informatique et un peu de musique. Quand je travail, comme quand je ne travail pas, j’aime bien avoir du bon son dans les oreilles !

Le casque

C’est mon acquisition la plus récente et j’en suis très content. Mon JVC HA-S350 m’accompagne partout, au travail (en open space relativement bruyant), dans le métro et même pour aller courir. Léger, robuste, très bon son et prix raisonnable, que demander de plus 🙂 Bien sur il est noir !

Oui, c'est mon casque !

Le baladeur

Très content de mon iPod shuffle de première génération (de forme rectangulaire et de couleur blanche) à l’autonomie démente et au son quasi parfait que j’ai maleuhreusement brisé. J’ai profité il y’a deux ans d’une offre qui m’a permis d’obtenir gratuitement un iPod nano avec mon Macbook. Plus design et disposant d’un écran, c’est mon compagnon de tous les instants. Le son est très bon et l’autonomie plus que correcte. Il dispose de fonctionnalitées avancées tel que le stockage et l’affichage de photos ou la gestion du carnet d’adresse, fonctionnalitées que j’avoue ne jamais avoir utilisé 😛
Seul regret, contrairement à mon ancien iPod shuffle, le nano nécessite un câble pour être rechargé via le port USB d’un ordinateur, plutôt encombrant et gênant à transporter.

Les enceintes

Question enceintes, je reste fidèle à mon kit Altec Lansing comprenant deux petits sattelites à la puissance exceptionnelle et un efficace caisson basse. Elles commencent à dater mais restituent toujours le son de manière très fidèle et disposent d’un volume suffisant pour se faire entendre même lors d’une soirée bruyante.

Les lecteurs

J’utilise en fait trois lecteurs :

Tous les trois ont une interface similaire, un bon support de l’iPod et un son plus que correct. Ils permettent de facilement retrouver les morceaux que l’on souhaite écouter, gèrent les playlists, affichent les couvertures des albums et sont supportés par Last.fm. A noter que iTunes contrairement aux deux autres n’est pas un logiciel libre.

Rhythmbox

Même si je n’ai aucune fascination particulière pour cette marque j’avoue utiliser beaucoup de produits Apple et en être très satisfait que ce soit au niveau du son, de la fiabilité ou du design. J’essaie de trouver des produits à bon rapport qualité prix qui font plaisir à mes oreilles, et c’est le cas pour tous ceux cités ici 🙂