Skip to content

Latest commit

 

History

History
524 lines (354 loc) · 13.4 KB

errata.md

File metadata and controls

524 lines (354 loc) · 13.4 KB
Raw

Errata pour Installation et configuration d'un serveur internet

Légende :

Non : texte d'origine

Oui : texte corrigé

Chapitre 2

Page 48 : La détermination du type de fichier de fichierzip.zip.

Non

$ file fichierzip.zip
zipfile.zip: Zip archive data, at least v2.0 to extract

Oui

$ file fichierzip.zip
fichierzip.zip: Zip archive data, at least v2.0 to extract

Le résultat de la commande file commence avec le nom du fichier analysé.

Chapitre 3

Page 77 : Le démarrage de lynx.

Non

freebsd# lynx […]

Oui

freebsd$ lynx […]

lynx peut être exécuté par les utilisateurs normaux.

→ 2x

Page 83 : Le démarrage de lynx.

Non

debian# lynx […]

Oui

debian$ lynx […]

lynx peut être exécuté par les utilisateurs normaux.

→ 2x

Page 89 : Le démarrage de lynx.

Non

debian# lynx […]

Oui

centos$ lynx […]

L'invite de commande doit être une invite CentOS pour les utilisateurs normaux.

→ 2x

Chapitre 4

Page 100 : Le redémarrage du service netif.

Non

freebsd# service netif restart

Oui

freebsd# service netif restart && service routing restart

Le redémarrage de l'interface réseau supprime toutes les routes dans la table de routage ; le redémarrage du service routing les recrée. Ces deux redémarrages doivent être faits dans une seule commande.

Si le service routing n'est pas redémarré après le redémarrage du service netif, le serveur devient inaccessible et doit être redémarré. Clairement cela n'est vrai que si le serveur est géré à distance (p.ex. par SSH).

Page 109/110 : La configuration du pare-feu pf.

Non

# Tableau pour les adresses IP bloquées automatiquement.
table f2b persist { }

[…]

# Bloquer les adresses explicitement bloquées.
block drop quick from <f2b> to any

Oui

# Tableau pour les adresses IP bloquées automatiquement.
table f2b persist { }

[…]
antispoof for $interface

anchor "f2b/*"

# Politiques par défaut.
[…]

# Bloquer les adresses explicitement bloquées.
block drop quick from <f2b> to any

Les versions les plus récentes de Fail2ban se servent d'une anchor (ancre) pour la création automatique des tableaux et règles nécessaires. Cette anchor est inséré entre la ligne antispoof et la ligne block in all ; les lignes se référant au tableau f2b doivent être supprimées.

Chapitre 5

Page 162 : Les ACL.

Non mentionné, mais important quand-même.

Tout comme les ACL peuvent servir à l'attribution des droits supplémentaires, elles peuvent également servir à une limitation supplémentaire des droits d'utilisateur. Dans l'exemple suivante tous les utilisateurs peuvent accéder au fichier paspourdiane.txt, sauf diane :

$ ls -l ./paspourdiane.txt
-rw-r--r-- 1 dimitri wheel 893 4 avr. 15:43 ./paspourdiane.txt
$ getfacl ./paspourdiane.txt
  file: ./paspourdiane.txt
  owner: dimitri
  group: wheel
  user::rw-
  group:r--
  user:diane:---
  mask::r--
  other::r--

La commande suivante sert à l'annulation de cette limitation:

$ setfacl -x u:diane:--- ./paspourdiane.txt

Chapitre 7

Page 193 : La configuration du daemon sshd.

Non

StrictMode yes

Oui

StrictModes yes

Chapitre 9

Page 220 : La recherche des modules Apache sous FreeBSD.

Non

freebsd# pkg src mod_

Oui

freebsd# pkg search mod_

Page 238 : L'activation de PHP-FPM sous FreeBSD.

Non

freebsd# service enable php-fpm

Oui

freebsd# service php-fpm enable

Page 248 : Le répertoire alias pour un hôte ou serveur virtuel.

Non
Apache appelle une telle séparation un alias, sous Nginx c'est une location

Oui
une telle séparation s'appelle un alias sous Apache et Nginx

L'alias est défini dans un contexte location sous Nginx  cf. page 382 : chapitre Serveur web - Avancé, section Alias.

Page 250 : La création des répertoires pour le premier hôte virtuel.

Non

# chown -R webdev:webdev vert.example.com

Oui

# chown -R devweb:devweb vert.example.com

Pages 256/257/258 : Configuration Nginx : contextes location.

Non

location / {
  […]
}
location ~ \.php$ {
  […]
}

Oui

location / {
  […]
  location ~ \.php$ {
    […]
  }
}

Le deuxième contexte location, pour les fichiers PHP, doit être placé dans le premier contexte location.

→ 3x

Chapitre 11

Page 275 : Les ACL par défaut sous FreeBSD.

Non

freebsd# setfacl -m user:www:rx .
freebsd# setfacl -d -m user:www:rx .

Oui

freebsd# setfacl -m user:www:rx .
freebsd# setfacl -d -m user::rwx,group::rwx,other::--- .
freebsd# setfacl -d -m user:www:rx .

Avant de pouvoir définir les ACL par défaut pour les utilisateurs ou les groupes particuliers, les ACL par défaut générales doivent être définies ; cf. page 162 : chapitre Gestion des utilisateurs et des droits, section ACL par défaut.

Page 276 : Les ACL par défaut sous FreeBSD.

Non

bsd# setfacl -d -m user:www-db:rx .
[…]
bsd# setfacl -d -m user:www-db:rwx ./tmp

Oui

bsd# setfacl -d -m user::rwx,group::rwx,other::--- .
bsd# setfacl -d -m user:www-db:rx .
[…]
bsd# setfacl -d -m user::r-x,group::r-x,other::--- ./tmp
bsd# setfacl -d -m user:www-db:rwx ./tmp

Avant de pouvoir définir les ACL par défaut pour les utilisateurs ou des groupes particuliers, les ACL par défaut générales doivent être définies ; cf. page 162 : chapitre Gestion des utilisateurs et des droits, section ACL par défaut.

Page 277/278 : Configuration Nginx bd.example.com.

Non

http {
  server {
    […]
  }
  server {
    […]
  }
}

Oui

server {
  […]
}
server {
  […]
}

Comme les configurations des serveurs virtuels sont chargé dans le contexte http (cf. page 236, Chapitre Serveur web - Base, section Nginx, Configuration), ce fichier ne doit pas contenir un contexte http; cette configuration ne contient que 2 contextes server.

Page 278 : Configuration Nginx bd.example.com.

Non

location / {
  […]
}
location ~ \.php$ {
  […]
}

Oui

location / {
  […]
  location ~ \.php$ {
    […]
  }
}

Le troisième contexte location, pour les fichiers PHP, doit être placé dans le deuxième contexte location.

Page 286 : Configuration Nginx phpMyAdmin.

Non

location /mariadb {
  alias /usr/local/www/phpMyAdmin;
}

Oui

location /mariadb {
  alias /usr/local/www/phpMyAdmin;
  location ~ \.php$ {
    fastcgi_pass 127.0.0.1:9001;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $request_filename;
    include fastcgi_params;
  }
}

Les directives pour PHP-FPM sont perdues.

Page 294 : Configuration Nginx phpPgAdmin.

Non

location /postgres {
  alias /usr/local/www/phpPgAdmin;
}

Oui

location /postgres {
  alias /usr/local/www/phpPgAdmin;
  location ~ \.php$ {
    fastcgi_pass 127.0.0.1:9001;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $request_filename;
    include fastcgi_params;
  }
}

Les directives pour PHP-FPM sont perdues.

Page 311 : Configuration Nginx phpLDAPadmin.

Non

location /ldap {
  alias /usr/local/www/phpldapadmin/htdocs;
}

Oui

location /ldap {
  alias /usr/local/www/phpldapadmin/htdocs;
  location ~ \.php$ {
    fastcgi_pass 127.0.0.1:9001;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $request_filename;
    include fastcgi_params;
  }
}

Les directives pour PHP-FPM sont perdues.

Page 312 : Les fichiers de configuration de phpLDAPadmin sous FreeBSD.

Non
Les fichiers de configuration […] /etc/phpldapadmin.

Oui
Les fichiers de configuration […] /etc/phpldapadmin (/usr/local/www/phpldapadmin/config sous FreeBSD).

Page 314 : La désactivation du chiffrage TLS pour phpLDAPadmin.

Non
Le certificat sera utilisé pour crypter la connexion avec les clients de messagerie, quand ils se servent du carnet d'adresses partagé.

Oui
Le certificat sera utilisé pour crypter la connection des clients de bureau, comme Apache Directory Studio, avec le serveur. Le certificat TLS de bd.example.com chiffra la communication entre l'utilisateur et phpLDAPadmin.

Chapitre 12

Page 335 : Configuration du socket d'authentification.

Non

# nano conf.d/10-main.cf

Oui

# nano conf.d/10-mail.conf

Page 342 : Fichier de configuration Postfix master.cf.

Non
Dans le fichier master.conf, […]

Oui
Dans le fichier master.cf, […]

Ce fichier s'appelle master.cf, comme indiqué quelques lignes plus haut.

Page 360 : Création du groupe opendkim sous FreeBSD.

Non

freebsd# pw groupadd -g 127 opendkim

Oui

freebsd# pw groupadd opendkim -g 127

Le premier argument de la sous-commande groupadd est le nom du nouveau groupe.

Page 372 : bogofilter-entrainer.sh.

Non

cat | bogofilter ${ARG} &

Oui

cat | bogofilter -d "${HOME}/bogofilter" ${ARG} &

Le chemin doit correspondre à celui utilisé dans les fichiers bogo-rprtrs.sh et bogofilter-courriel.sh.

Chapitre 13

Page 395 : Configuration Nginx WebDAV.

Non

http {
  server {
    […]
  }
  server {
    […]
  }
}

Oui

server {
  […]
}
server {
  […]
}

Comme les configurations des serveurs virtuels sont chargé dans le contexte http (cf. page 236, Chapitre Serveur web - Base, section Nginx, Configuration), ce fichier ne doit pas contenir un contexte http; cette configuration ne contient que 2 contextes server.

Page 402 : Configuration Apache Radicale.

Non

RequestHeader set X-Remote-User expr=%{REMOTE_USER}

Oui

RequestHeader set X-Script-Name /
RequestHeader set X-Remote-User expr=%{REMOTE_USER}

Le proxy inverse ne fonctionne pas sans l'en-tête X-Script-Name.

Page 402/403 : Configuration Nginx Radicale.

Non

http {
  server {
    […]
  }
  server {
    […]
  }
}

Oui

server {
  […]
}
server {
  […]
}

Comme les configurations des serveurs virtuels sont chargé dans le contexte http (cf. page 236, Chapitre Serveur web - Base, section Nginx, Configuration), ce fichier ne doit pas contenir un contexte http; cette configuration ne contient que 2 contextes server.

Page 403 : Configuration Nginx Radicale.

Non

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Oui

proxy_set_header X-Script-Name /;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Le proxy inverse ne fonctionne pas sans l'en-tête X-Script-Name.