Rendez-vous sur Arrakis

C'est lorsque nous croyons savoir quelque chose qu'il faut justement réfléchir un peu plus profondément. F. Herbert

Héberger son serveur avec OpenBSD : un coup de pouce?

J'ai reçu récemment plusieurs mails me demandant quand sera disponible la version papier de la doc sur l'auto-hébergement avec openBSD. C'est vrai que j'en avais parlé dans un article précédent, sans donner de nouvelles depuis.
Alors non, le projet n'est pas mort. Je n'ai tout simplement actuellement pas les moyens financiers d'investir dans la publication de ce livre. Et le truc, c'est que ça ne va pas tellement s'arranger avant quelques temps.
C'est pourquoi, suite aux demandes précédentes, j'ai ouvert un Ulule faute de mieux.

Participer sur Ulule

Si ça marche, je pourrai me faire un plaisir de vous envoyer un exemplaire du livre avec un petit mot perso dedans ☺. Si ça dépasse, la différence sera versée à framasoft et OpenBSD, parce que sans eux, pas de libre ni d'informatique sécurisé à mon avis. Et au moins, puisque tout est disponible en ligne, pas de surprises ni de mystères.

On verra bien ce qui va se passer. ☺

À bientôt ;)

le 19/10/2016 à 19:41:55, Péhä a dit :

si je donne j'aurais le droit à une clé USB?
je sors

le 19/10/2016 à 23:06:13, thuban a dit :

@Péhä : Hi hi.
Non, les clés USB, c'est seulement pour les projets où on ne publie pas le code source et où on promet de sortir un truc en octobre :)

le 20/10/2016 à 00:34:53, Péhä a dit :

Mauvaise langue, on est encore en octobre :P

le 20/10/2016 à 07:34:03, trefix a dit :

Ceci dit, tu n'as pas donné de date d'édition.
Tu ne pourras donc pas la repousser, remarque...
:lol:

le 20/10/2016 à 08:18:37, ayla a dit :

Hello Thuban,

C'est avec plaisir que je participe à ton projet.
Pourquoi ulule ? je me suis fais ban là-bas y a pas très longtemps :)
@+

le 20/10/2016 à 08:56:03, thuban a dit :

@Trefix : Ah si c'est pour novembre toutes les contreparties. Enfin dès que j'ai de quoi éditer en fait, car c'est prêt :)

@ayla : Salut! :)
Ah oui, bonne question, pourquoi ulule? Ben tout simplement parce que c'est le moins pire pour faire ce genre de choses. On aurait pu faire ça à l'ancienne, un appel aux dons sur ma page de contact, mais je préfère que ça reste public l'avancement du projet, ça me paraît plus honnête.

le 20/10/2016 à 10:59:19, bendia a dit :

A voté ;) Comme ça ça verra le jour à coup sur :D

le 20/10/2016 à 11:17:48, thuban a dit :

Je n'en reviens pas, l'objectif est déjà atteint! C'est trop cool! :)

le 20/10/2016 à 11:28:54, Frederic Bezies a dit :

Tu vas exploser les plafonds. Et c'est vrai, il reste encore 11 jours avant la fin d'octobre... J'ai comme l'impression qu'au 15 novembre, on rigolera toujours autant de l'intox d'une certaine équipe.

Sinon, DFLinux approche de sa béta 2 :)

le 20/10/2016 à 11:40:20, nicolassimond a dit :

Bah voila, 110% :)

le 20/10/2016 à 11:45:19, Frederic Bezies a dit :

Avec un projet demandant 100€ de financement, on peut vite faire exploser le pourcentage de financement :D

On vise les 200% ? :D

le 20/10/2016 à 12:44:41, PengouinPdt a dit :

Et, sinon ... beh, y'a l'hebergement de la plate-forme d'OBSD4* :p
Ah, oui, mais c'est vrai ... c'est déjà assuré pour l'année qui vient !
Une idée comme une autre ... ton bouquin pourrait aussi assumer cela ;-)

J'ai bien envie d'avoir un "petit mot personnalisé", moi :D
(remarquez que ça m'intéresse bien plus qu'avoir mon nom cité ... même si cela fait toujours plaisir :p - pour moi, ça importe peu ... "oh, un doux billet de thuban, comme il est gentil :D !")

le 20/10/2016 à 12:50:29, thuban a dit :

@PengouinPdt : Oui, c'est assuré pour un an encore , grâce à linox. Donc oui, je pourrais mettre de côté, mais si c'est pour l'utiliser dans 1 an ça n'a plus d'intérêt.

Chiche, le petit mot personnalisé, je te le fais en alexandrins :D

le 20/10/2016 à 12:53:40, PengouinPdt a dit :

Allez, chiche ...
Je m'occupe de l'obole - qui pour moi, n'est pas qu'une obole, et tu sais pourquoi - dans la soirée.
Un Giga-TODO ... et un Peta-Merci !

:D

(s'il y en a qui ne suive pas les références, pensez informatique ;-) ...)

le 20/10/2016 à 12:57:53, thuban a dit :

Oui je sais, c'est pourquoi les alexandrins ne seront vraiment pas de trop!

le 20/10/2016 à 13:10:52, trefix a dit :

C'est toujours sympa, le pet' à "Merci"...
:me sors en sifflotant

le 20/10/2016 à 15:13:19, BSDsinonRien a dit :

Je vais revetir le rôle de rabat-joie, jugement hatif de certains mais tant pis.

Personnelement, je ne donnerais que si tu reverses essentiellement à OpenBSD. Je ne vois pas ce que Framasoft fait là dedans et leur prétendue poids pour l'informatique libre.
La fondation OpenBSD en fera meilleur usage, ils produisent du code, ils créent de la richesse.

Tu pourrais aussi te faire plaisir avec l'excedent mais autrement. :p

le 20/10/2016 à 15:22:00, thuban a dit :

@BSDsinonRien : Pourquoi reverser à la fondation OpenBSD : ils produisent du code de qualité et c'est grâce à eux qu'on peu espérer être un peu plus tranquilles (OpenSSH, LibreSSL...).
Pourquoi reverser à Framasoft : c'est à mon avis actuellement une des dernières associations qui fait réellement des choses dans le monde du libre. Toute la campagne de dégooglisation mérite d'être soutenue. Ils contribuent à la démarche de décentralisation comme l'auto-hébergement.

Après, tu peux verser directement à la fondation OpenBSD. Je me ferai plaisir autrement ;)

le 20/10/2016 à 15:49:19, BSDsinonRien a dit :

@thuban :

OK, ce n'est pas le débat mais je pense que vous fantasmez sur la campagne bobo "dégooglisation".

Tu m'aurais dit FDN, Quadrature, oui, tout de suite mais Framasoft, Chatons et cie, sérieusement?

Tu es un bien plus grand contributeur à la démarche de décentralisation, dans le fond et dans la forme, selon moi.


Bon j'arrête d'usurper cet espace. désolé/ :)

le 20/10/2016 à 16:40:29, thuban a dit :

@BSDsinonRien : Non non, c'est intéressant. Et tu as raison pour la FDN et la Quadrature. On ne peut pas être partout cependant.
Et oui, framasoft, vu tout ce qu'ils ont produit dernièrement, on ne peut pas leur retirer une vraie volonté de bien faire. Et au moins, ils ne se contentent pas de mots comme beaucoup de distros ou communautés de libristes :) Ça va marcher ou pas leur initiative, en attendant je trouve l'effort louable.

le 20/10/2016 à 21:43:24, Starsheep a dit :

Framasoft a quand même le mérite de :
1. Populariser la philosophie du logiciel libre, de la décentralisation, etc.
2. Écrire de la doc pour mettre en place les mêmes services.
3. Contribuer à des projets libres via le développement de fonctionnalités (comme Etherpad).

Ce n'est pas rien quand même !

le 21/10/2016 à 16:39:27, chris a dit :

salut,
j'arrive pas à configurer mon serveur openbsd pour le php, ca fonctionne en html, mais pas en php

ca vient du nom du server; j'ai un nom de domaine en sous domaine, je pense

monsite.fr.nf

et aussi pour configurer le parefeu comme ton exemple, il bloque tout mes accès, meme le port 80 et 443

et il n'accepte pas le code contre les forces brutes, aussi dans ton exemple.

en priorité, si on peut résoudre le php, ca m'aiderait, merco

le 21/10/2016 à 17:30:25, thuban a dit :

@chris : Bonjour chris,
Afin de t'aider à configurer php, j'ai besoin de savoir quelle procédure tu as suivie exactement pour l'installer. De plus, voir le contenu du fichier /etc/httpd.conf permettrait sans doute d'identifier le problème.
Rapidement, il te faut :
- installer les paquets php
- activer et démarrer php_fpm avec rcctl
- configurer le httpd.conf
- redémarrer les services.

Rien à voir avec le fait que ton site soit dans un sous-domaine.

Pour pf, si tu prends celui de l'exemple à la fin, ça laisse ouvert les ports 443 et 80. Cependant, est-ce que ton routeur redirige bien ces ports? (voir là : http://yeuxdelibad.net/ah/#router)

Quoi qu'il en soit, je t'invite à parler de ces différents problèmes sur un espace plus adapté pour t'aider, par exemple http://obsd4a.net/qa

le 21/10/2016 à 22:58:00, chris a dit :

salut et merci
c'est un peu le binz, je dois avouer, j'ai d'abord installer nginx, puis php56, là, j'obtiens 404 error. ensuite, j'ai décidé de passer à httpd et j'obtiens pareil.

dans mon routeur, j'ai redirigé le port 80, pas le 443.

dans le nom de server , je mets hostname, quand je mets localhost ou mon nom de domaine, j'ai une erreur 503 ou 404. suis un peu perdu .

est-ce que le port 443 redirige php ?

le 22/10/2016 à 04:42:21, lagout a dit :

@chris :

salut chris nginx ne gère pas le php nativement , tu à besoin de php-fpm .

Thuban : bonne initiative .

le 22/10/2016 à 09:26:57, thuban a dit :

@chris : Alors si c'est une erreur 404, ce n'est pas que php ne fonctionne pas, c'est que le serveur ne trouve pas la page à l'adresse indiquée.

est-ce que le port 443 redirige php ?

Désolé, je ne comprends pas ce que ça veut dire.

À nouveau, copie ici ou sur http://obsd4a.net/qa le contenu de ton fichier /etc/httpd.conf, sans ça j'ai du mal à t'aiguiller corretement :)

@lagout : Merci.

le 23/10/2016 à 19:15:14, chris a dit :

alors dans le navigateur si je tape
monsite.fr.nf>>erreur 404
www.monsite.fr.nf>ok
www.monsite.fr.nf/toto.php>il télécharge mon fichier toto.php
www.monsite.fr.nf/toto.php/> erreur500

le fichier httpd.conf:
types { include "/usr/share/misc/mime.types" }

server "monsite.fr.nf" {
listen on * port 80
root "/htdocs/mon_super_site"
}
server "monsite.fr.nf" {
listen on * port 80
root "/htdocs/monsupersite"
directory index index.php

location "*.php*" {
fastcgi socket "/run/php-fpm.sock"
}
}

le 23/10/2016 à 20:12:12, thuban a dit :

@chris :
Dans ton httpd.conf, tu as deux fois une section concernant "server "monsite.fr.nf" {". Seule la seconde doit t'être utile, non?

Pour ça :
monsite.fr.nf>>erreur 404
www.monsite.fr.nf>ok

Je suppose que cela vient de tes enregistrements DNS. Regarde auprès de ton registre si monsite.fr.nf est lui aussi relié à ton IP par un champ A.

www.monsite.fr.nf/toto.php>il télécharge mon fichier toto.php

Deux possibilités me viennent à l'esprit :
- php_fpm n'est pas actif. Vérifie avec cette commande :
ps -A |grep fpm
qui doit te retourner un truc du genre :
30706 ?? Ss 0:01.32 php-fpm-7.0: master process (/etc/php-fpm.conf) (php-
97170 ?? S 0:14.15 php-fpm-7.0: pool www (php-fpm-7.0)
69002 ?? S 0:20.75 php-fpm-7.0: pool www (php-fpm-7.0)
29605 ?? S 0:12.23 php-fpm-7.0: pool www (php-fpm-7.0)
97471 p2 R+ 0:00.00 grep fpm

Sinon, il faut revoir la configuration de php.
- Autre possibilité : les permissions sur tes fichiers php sont mauvaises.
Essaie de les corriger, par exemple avec
# chown -R www:daemon /var/www/htdocs/monsupersite

Sinon, donne le retour de ls -l /var/www/htdocs/monsupersite

www.monsite.fr.nf/toto.php/> erreur500

Tu as mis un slash à la fin, c'est normal.

le 23/10/2016 à 22:26:34, chris a dit :

@thuban :

Je suppose que cela vient de tes enregistrements DNS. Regarde auprès de ton registre si monsite.fr.nf est lui aussi relié à ton IP par un champ A.> pas compris ca ?

j'ai commenté les premieres lignes de httpd.conf
j'ai la meme sortie après ps -A |grep fpm

en fait, mon path c /var/www/htdocs/index.php

drwxr-xr-x 2 www daemon 512 Sep 19 16:56 bgplg
-rw-r--r-- 1 www daemon 13801235 Oct 14 17:42 ede.zip
-rw-r--r-- 1 www daemon 1250002 Oct 14 17:42 edelib.zip
-rw-r--r-- 1 www daemon 5234464 Oct 17 21:31 fltk.zip
drwxr-xr-x 2 www daemon 512 Oct 13 14:45 img
-rw-r--r-- 1 www daemon 20 Oct 13 20:46 index.php
-rw-r--r-- 1 www daemon 4538 Sep 16 21:14 indexBAK.html
-rw-r--r-- 1 www daemon 4281 Sep 16 21:11 style.css

et sur mon navigateur:
500 Internal Server Error

le 23/10/2016 à 22:33:56, chris a dit :

@chris :

ah non j'ai
81393 ?? Ss 0:00.02 php-fpm-7.0: master process (/etc/php-fpm.conf) (php-
94639 ?? I 0:00.00 php-fpm-7.0: pool www (php-fpm-7.0)
29459 ?? I 0:00.01 php-fpm-7.0: pool www (php-fpm-7.0)

le 23/10/2016 à 23:23:54, thuban a dit :

aha! c'est donc normal que ça ne fonctionne pas. D'après ta configuration tes fichiers devraient être dans /var/www/htdocs/monsupersite
Crée le dossier et déplace tes fichiers php et html dedans. Déjà, ça te permet d'avoir quelque chose de plus propre, et ça fonctionnera nettement mieux :)

On verra après pour le champ A.

Pour php, ça semble bon ;)

le 24/10/2016 à 00:09:41, chris a dit :

@thuban :

je sais pas ce qu'il s'est passé, tout d'un coup, impossible de me connecter par ssh, plus de connexion sur le serveur. J'ai remis le cable pour voir, j'ai internet, mais impossible de me connecter à mon site. rcctl start httpd (failed), j'ai essayé avec nginx, c'est ok mais pas de site, ni en local. :/

le 24/10/2016 à 09:33:04, thuban a dit :

@chris : Si tu as droit à ce message :
rcctl start httpd (failed)

C'est certainement parce qu'il y a une erreur qui s'est glissée dans le httpd.conf.
Essaie de le lancer manuellement pour repérer d'où vient le problème : httpd -d

le 24/10/2016 à 11:11:52, chris a dit :

@thuban :

bon là, c'est bon avec httpd en html

mais j'ai plus ssh, au démarrage de openbsd, j'ai ssh(failed) php70_fpm(failed)

j'abandonne là, ca commence à me saouler

le 24/10/2016 à 11:53:00, thuban a dit :

@chris : Tu as configures beaucoup de choses en même temps. Va faire une sieste, fais une promenade, souffle, ça ira mieux en revenant :)
As-tu bien lu petit à petit le document que je propose? Tu aurais pu voir la partie concernant l'emplacement de ton dossier où se trouve ton site, ainsi que le paragraphe "que faire en cas de problème".
Sinon, pour ssh et php70_fpm, eh bien il va être nécessaire de corriger leurs fichiers de configuration un par un.

Tu es bon pour éplucher les fichiers logs afin de trouver d'où vient le problème. En même temps que tu tentes de démarrer le service, lance :

tail -f /var/log/daemon /var/log/messages /var/www/logs/*

le 24/10/2016 à 12:45:28, chris a dit :

merci de ton aide
TTP/1.1" 304 0
xxxxxxx.fr.nf xx.xx.xx.xx - - [24/Oct/2016:11:30:37 +0200] "GET /img/RD.png HTTP/1.1" 304 0

==> /var/www/logs/error.log <==
2016/10/24 12:27:59 [emerg] 11308#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:27:59 [emerg] 11308#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:27:59 [emerg] 11308#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:27:59 [emerg] 11308#0: still could not bind()
2016/10/24 12:40:08 [emerg] 9490#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:40:08 [emerg] 9490#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:40:08 [emerg] 9490#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:40:08 [emerg] 9490#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:40:08 [emerg] 9490#0: bind() to 0.0.0.0:80 failed (48: Address already in use)
2016/10/24 12:40:08 [emerg] 9490#0: still could not bind()

et dans pf.conf, j'avais ajouté
block quick proto tcp from <brute> to any port 22
pass quick proto tcp from any to any port 22 keep state \
(max-src-conn-rate 20/60, overload <brute> flush global)

le 25/10/2016 à 10:32:09, thuban a dit :

@chris : Pour httpd, il semble déjà lancé. Tape la commande suivante alors : #rcctl restart httpd

Pour ssh, il y a des chances que tu te sois "banni". Lance alors pfctl -d && pfctl -F all && pfctl -ef /etc/pf.conf. Il faudra te reconnecter ensuite.

le 25/10/2016 à 12:31:29, chris a dit :

pour sshd, ca ne change rien; j'ai rien touché à ssh, je vois juste authorized_key vide dans mon folder utilisateur et sinon que j'avais supprimé des utilisateurs qui n'étaient pas wheel.
httpd c ok, php56_fpm c'est ok, ssh non et php70_fpm non

le 25/10/2016 à 12:49:44, thuban a dit :

Pour ssh, il faut regarder le message d'erreur lorsque tu le lances. Tu peux aussi surveiller le contenu de /var/log/daemon et /var/log/authlog puis tenter une connexion ssh pour voir ce qu'il se passe mal.

httpd c ok, php56_fpm c'est ok, ssh non et php70_fpm non


Si tu as déjà php56_fpm en route, php70_fpm ne peut pas démarrer, c'est normal. Il faut choisir entre l'un ou l'autre.

le 25/10/2016 à 14:24:26, chris a dit :

@thuban :

quand opensbd démarre starting network: ssh (failed) nginx(failed) php70_fpm (failed)

php56 est stoppé quand je lance php70, ca n'est pas le problème, j'ai suvi le tuto, j'ai fait la suite avec le lien #ln......et php sample et on dirait que ca foire, j'ai aussi tenté de changer les permissions, ca fonctionne pas. ya que httpd et html qui fonctionne maintenant. j'ai essayé avec php56, ca foncvtionne pas quoique je fasse.

soit je réinstalle complètement openbsd soit je passe à manjaro

je vais pas polémiquer sur openbsd, mais pour installer xfce, j'avais suivi le tuto de fred bezies, ca fonctionnait pas, j'ai suivi le tuto de riba linux, ca fonctionnait pas non plus, j'ai du faire un mix des deux pour y arriver, comment c'est possible ?
sur les forums d'entraide, plein de gens n'arrivent à faire tourner php. Regarde ici, on a tenté plein de trucs, ca déconne à fond, je sais même pas pourquoi ssh à lâché d'un coup et je vois pas comment il pourra repartir.
et quand j'écris directement à openbsd, ils prennent ca avec arrogance et se foutent de mon pif

le 25/10/2016 à 14:59:28, thuban a dit :

@chris : Je pense que la majeure partie de tes ennuis viennent du fait que tu tentes de faire fonctionner plusieurs choses en même temps. Essaie de résoudre un problème un par un.

Au risque de me répétér, je t'invite à venir poser chacune de tes questions ici : http://obsd4a.net/qa . On est plus nombreux que sur ce blog, on sera plus efficaces.

Pour ssh : il faut le contenu de /etc/ssh/sshd_config pour voir si tout va bien. Afin de récupérer les messages d'erreur comme je te l'ai indiqué dans ma réponse précédente, redémarre ssh à la main : rcctl -d start sshd. Tu dois voir le message d'erreur s'afficher, sinon avec la commande tail précédente.
C'est l'équipe OpenBSD qui développe openssh que l'on retrouve sous toutes les distros. Le problème vient donc d'autre part qu'openBSD.

Pour nginx : il ne peut pas démarrer si httpd est déjà lancé. Les deux écoutent sur le port 80, d'où l'erreur produite.

Pour php, deux versions différentes ne peuvent pas tourner en même temps. Si php56_fpm est déjà lancé, alors php70_fpm ne peut pas démarrer non plus. C'est un problème semblable à nginx et httpd. Peu importe la configuration que tu auras déjà réalisé avec les ln -s. Donc tu en désinstalle un pour ne laisser qu'une seule version.

Quand on apprend, il faut accepter que tout ne fonctionne pas dès le début. Un pas après l'autre, et tu pourras marcher ensuite.

le 25/10/2016 à 15:44:13, chris a dit :

j'ai posé mes 2 questions sur le site

sinon ssh
# rcctl -d start sshd
doing _rc_parse_conf
doing _rc_quirks
sshd_flags empty, using default ><
doing _rc_parse_conf /var/run/rc.d/sshd
doing _rc_quirks
doing rc_check
sshd
doing rc_start
/var/empty must be owned by root and not group or world-writable.
doing _rc_rm_runfile
(failed)
#

le 26/10/2016 à 12:57:46, Spartiate a dit :

Thuban,

Au vu du "ulule", penses tu pouvoir réaliser quelque chose??

le 26/10/2016 à 13:09:12, thuban a dit :

@Spartiate : Salut!
Que veux-tu dire par là? Ça devrait se faire oui :)
Avec un peu plus de sous je publie le livre avec une meilleure couverture, et quelques paragraphes en +, + des détails un peu partout sur lesquels je travaille pas mal ces jours-ci :)

le 29/10/2016 à 22:34:12, Spartiate a dit :

excellent tout ceci :)