2022. Tiffany Souterre à DevFest Nantes.
Build your 8-bit computer from scratch
2022. Olivier Huber à DevFest Nantes.
« Ce que je ne peux pas créer, je ne le comprends pas. » (Richard Feynman)
WordPress : Problème de mise à jour sur un VPS
Sources :
How to make WordPress work under linux (solve the FTP login request)
En voulant mettre à jour WordPress, j’ai rencontré un problème :
« Pour lancer la requête demandée, WordPress a besoin d’accéder à votre serveur web. Veuillez saisir votre identifiant FTP pour continuer. Si vous ne vous souvenez pas de votre identifiant, vous devriez contacter votre hébergeur. »
C’est un problème de droits, il suffit de changer le propriétaire des fichiers et répertoires le temps de la mise à jour :
sudo chown -R www-data:www-data /var/www/html/mon-site (mon-site à adapter)
puis une fois la mise à jour faite, je reviens en arrière pour des raisons de sécurité :
sudo chown -R $USER:www-data /var/www/html/mon-site (mon-site à adapter)
Installer un VPS sous Debian 11
Sources :
Débuter avec un VPS (documentation OVH)
Sécuriser un VPS (documentation OVH)
Comment Installer Un VPS Multisite WordPress – Guide Complet
Une fois reçus par e-mail les paramètres d’accès au VPS, je me connecte à celui-ci via SSH et je renforce la sécurité en modifiant les mots de passe notamment :
Pour supprimer une ancienne clé ssh liée à l'adresse ip du VPS : ssh-keygen -f "/home/$USER/.ssh/known_hosts" -R "ip" (ip à adapter) ssh debian@ip (ip à adapter) sudo passwd debian sudo su - passwd nano /etc/ssh/sshd_config Changer le paramètre suivant en no (enlever le #) : PermitRootLogin no service ssh restart adduser nouvel-utilisateur (à adapter) usermod -aG sudo,adm nouvel-utilisateur (à adapter) apt-get update apt-get upgrade apt-get install ufw (installation d'un firewall) ufw allow 22/tcp ufw enable ufw status verbose apt-get install fail2ban (prévention contre les intrusions) systemctl enable fail2ban systemctl status fail2ban reboot Se reconnecter avec nouvel-utilisateur (à adapter) : ssh nouvel-utilisateur@ip (ip à adapter) sudo deluser debian sudo rm -r /home/debian
Initialement, avant de le supprimer, l’utilisateur debian appartenait aux groupes : debian, adm, dialout, cdrom, floppy, sudo, audio, dip, video, plugdev, netdev.
Pour mieux connaître son serveur :
cat /etc/debian_version dpkg --list
Serveur Apache sur VPS sous Debian 11 : Installation, Création d’hôtes virtuels, Certificats pour HTTPS
Sources :
Serveur HTTP Apache 2
Documentation Apache
Installer Apache :
sudo apt-get install apache2 sudo service apache2 status Pour cacher la version d'Apache à des regards extérieurs : sudo nano /etc/apache2/conf-enabled/security.conf Remplacer ServerTokens OS par ServerTokens Prod Remplacer ServerSignature On par ServerSignature Off sudo service apache2 restart On ouvre le port 80 du firewall : sudo ufw allow http sudo ufw status verbose (vérification)
En se connectant sur l’adresse IP du VPS, nous arrivons sur :
On modifie la page d’accueil du serveur :
sudo rm /var/www/html/index.html sudo nano /var/www/html/index.html et enregistrer une page vide.
On modifie les droits du dossier auquel peut accéder Apache pour plus facilement administrer les sites (avec FileZilla) et pour des raisons de sécurité. 750 : Le propriétaire à tous les droits / Le groupe www-data (sur lequel intervient Apache) peut lire et exécuter (=> lien) :
sudo chown -R $USER:www-data /var/www/html sudo chmod -R 750 /var/www/html
Création d’hôtes virtuels :
Dans le répertoire /etc/apache2/sites-available, les deux fichiers par défaut sont 000-default.conf et default-ssl.conf.
Pour connaître les sites actifs :
ls /etc/apache2/sites-enabled
Nous allons créer des hôtes virtuels (fichiers *.conf) pour chacun des sites web installés sur le serveur.
=> https://doc.ubuntu-fr.org/apache2#hotes_virtuels
Les choses vont se passer ici :
cd /etc/apache2/sites-available
sudo cp 000-default.conf mon-site.conf (mon-site à adapter)
Dans le fichier mon-site.conf ouvert ci-dessus, rajouter ou modifier (mon-site à adapter) :
ServerName mon-site
DocumentRoot /var/www/html/mon-site
ErrorLog ${APACHE_LOG_DIR}/error.mon-site.log
CustomLog ${APACHE_LOG_DIR}/access.mon-site.log combined
Pour activer la configuration d'un site :
sudo a2ensite mon-site.conf (mon-site à adapter)
Pour recharger la configuration d'Apache :
sudo systemctl reload apache2
Quelques ordres également utiles :
Pour désactiver la configuration d'un site : sudo a2dissite mon-site.conf (mon-site à adapter) Pour redémarrer Apache : sudo service apache2 restart
Pour activer le https (génération de certificat SSL) :
On commence par ouvrir le port 443 (https) sur le firewall :
sudo ufw allow 443/tcp sudo ufw status verbose (vérification)
On fait pointer le nom de domaine vers l’adresse IP du VPS.
Sources :
https://letsencrypt.org/fr/getting-started/
https://certbot.eff.org/ => Certbot Commands
https://certbot.eff.org/instructions?ws=apache&os=debianbuster
On installe le gestionnaire de paquets Snap avant d’installer Cerbot :
sudo apt-get install snapd sudo snap install core; sudo snap refresh core sudo apt-get remove certbot (si déjà installé) sudo snap install --classic certbot sudo ln -s /snap/bin/certbot /usr/bin/certbot Pour créer un certificat : sudo certbot --apache -d mon-site-1 (à adapter) sudo certbot --expand -d mon-site-2 (à adapter) Remarque : Les fichiers *-le-ssl.conf sont créés automatiquement à ce moment là. Pour tester le renouvellement automatique d'un certificat : sudo certbot renew --dry-run
Quelques ordres également utiles :
Pour lister les certificats : sudo certbot certificates Pour effacer un certificat : sudo certbot delete Pour mettre à jour un certificat en ajoutant un nouveau nom de domaine : sudo certbot --expand -d mon-site (à adapter)
On modifie les droits du dossier auquel peut accéder Apache pour plus facilement administrer les sites (avec FileZilla) et pour des raisons de sécurité. 750 : Le propriétaire à tous les droits / Le groupe www-data (sur lequel intervient Apache) peut lire et exécuter (=> lien) :
(mon-site à adapter)
Changement de propriétaire :
sudo chown -R $USER:www-data /var/www/html/mon-site
Donne les droits 750 (on peut préférer 755) sur les répertoires :
sudo find /var/www/html/mon-site/ -type d -exec chmod 750 {} \;
Donne les droits 640 (on peut préférer 644) sur les fichiers :
sudo find /var/www/html/mon-site/ -type f -exec chmod 640 {} \;
Installer PHP sur un VPS sous Debian 11
Sources :
PHP => Versions de PHP en cours
Version 7.4 (obsolète) :
Debian 11 est actuellement livré avec la version 7.4 de PHP laquelle a été maintenue jusqu’au 28 novembre 2022.
sudo apt-get install php Les 10 paquets suivants sont dès lors installés : libapache2-mod-php7.4 libsodium23 php php-common php7.4 php7.4-cli php7.4-common php7.4-json php7.4-opcache php7.4-readline
Pour le développement Web, on installe quelques paquets en plus :
sudo apt-get install php-curl php-gd php-intl php-mbstring php-soap php-xml php-xmlrpc php-zip
Version 8.1 :
Sources :
https://deb.sury.org => https://packages.sury.org/php/README.txt
Ondřej Surý est un des responsables de l’empaquetage de php sous Debian.
Les paquets lsb-release, ca-certificates, curl sont déjà livrés avec Debian 11.
sudo apt-get -y install apt-transport-https sudo curl -sSLo /usr/share/keyrings/deb.sury.org-php.gpg https://packages.sury.org/php/apt.gpg sudo sh -c 'echo "deb [signed-by=/usr/share/keyrings/deb.sury.org-php.gpg] https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list' sudo apt-get update sudo apt-get install php8.1 The following NEW packages will be installed: libapache2-mod-php8.1 libsodium23 php-common php8.1 php8.1-cli php8.1-common php8.1-opcache php8.1-readline The following packages will be upgraded: libpcre2-8-0 1 upgraded, 8 newly installed, 0 to remove and 2 not upgraded.
Pour le développement Web, on installe quelques paquets en plus :
sudo apt-get install php8.1-{curl,gd,intl,mbstring,mysql,soap,xml,xmlrpc,zip}
Test de PHP :
On affiche la version de PHP, les modules installés et on teste son bon fonctionnement en créant un fichier info.php dans notre répertoire Apache :
php -v php -m sudo nano /var/www/html/info.php Y enregistrer le code suivant : <?php phpinfo(); ?> => http:// [adresse IP du VPS] /info.php Puis, pour des raisons de sécurité, effacer immédiatement le fichier : sudo rm /var/www/html/info.php
Installer un serveur LAMP sur un VPS sous Debian 11
LAMP : Linux / Apache / MariaDB / PHP
Sources :
Comment installer un serveur LAMP sous Debian (documentation OVH)
Installer un serveur LAMP (Linux Apache MariaDB PHP) sous Debian 11
Installer Apache :
Voir l’article correspondant.
Installer PHP :
Voir l’article correspondant.
Installer MariaDB :
Sources :
Debian 11 Bullseye : installer et configurer MariaDB
sudo apt-get update sudo apt-get install mariadb-server sudo mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!
In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.
Enter current password for root (enter for none):
Appuyer sur Entrée.
OK, successfully used password, moving on... Setting the root password or using the unix_socket ensures that nobody can log into the MariaDB root user without the proper authorisation. You already have your root account protected, so you can safely answer 'n'. Switch to unix_socket authentication [Y/n]
Appuyer sur Y.
Enabled successfully! Reloading privilege tables.. ... Success! You already have your root account protected, so you can safely answer 'n'. Change the root password? [Y/n]
Appuyer sur Y et choisir un mot de passe root différent de celui de Debian.
New password: Re-enter new password: Password updated successfully! Reloading privilege tables.. ... Success! By default, a MariaDB installation has an anonymous user, allowing anyone to log into MariaDB without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n]
Appuyer sur Y.
... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n]
Appuyer sur Y.
... Success! By default, MariaDB comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n]
Appuyer sur Y.
- Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n]
Appuyer sur Y.
... Success! Cleaning up... All done! If you've completed all of the above steps, your MariaDB installation should now be secure. Thanks for using MariaDB!
MariaDB est désormais installée. On va tester si la connexion à la base de données fonctionne. On entre d’abord le mot de passe lié à sudo puis quand on nous le demande le mot de passe root de MariaDB.
sudo mariadb -u root -p
show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
+--------------------+
3 rows in set (0.001 sec)
exit
À chaque changement de configuration de MariaDB, Il faut redémarrer le service :
sudo systemctl restart mariadb
Installer Adminer (pour gérer plus facilement mes bases de données) :
sudo apt-get update
sudo apt-get install adminer
Le fichier de configuration Apache pour Adminer est ici :
sudo nano /etc/apache2/conf-available/adminer.conf
Il contient :
Alias /adminer /etc/adminer
<Directory /etc/adminer>
Require all granted
DirectoryIndex conf.php
</Directory>
sudo a2enconf adminer.conf
sudo systemctl reload apache2
Debian 11 installe la version 4.7.9 d’Adminer. Pour y accéder :
https:// [ nom de domaine ] /adminer
Installer WordPress sur un VPS
Le serveur LAMP doit être déjà installé.
Sources :
Exigences officielles de WordPress
Changing File Permissions (WordPress)
Installation de WordPress sous Linux
Créer une base de données pour WordPress :
On se connecte en tant que root (celui de MariaDB). On crée un utilisateur dans MariaDB dans le but d’associer cet utilisateur à une base de données. Ainsi on évitera de devoir se connecter plus tard en tant que root :
sudo mariadb -u root -p CREATE USER 'utilisateur'@'localhost' IDENTIFIED BY 'mot-de-passe';
On crée maintenant une base de données, on donne sur cette base tous les droits à l’utilisateur créé plus haut puis on active les nouveaux privilèges :
CREATE DATABASE nom-base; GRANT ALL PRIVILEGES ON nom-base.* TO 'utilisateur'@'localhost'; FLUSH PRIVILEGES; exit
La base ainsi créée est encodée au format utf8mb4_general_ci.
Installer WordPress :
wget https://fr.wordpress.org/latest-fr_FR.tar.gz tar xpf latest-fr_FR.tar.gz sudo cp -r wordpress/* /var/www/html/mon-site/ (à adapter) rm latest-fr_FR.tar.gz rm -r wordpress
Gestion des droits sur les fichiers / répertoires :
cd /var/www/html/mon-site/ (à adapter)
ls -l (pour connaître les droits sur les fichiers / répertoires)
Changement de propriétaire :
sudo chown -R $USER:www-data /var/www/html/mon-site (à adapter)
Donne les droits 755 sur les répertoires :
sudo find /var/www/html/mon-site/ -type d -exec chmod 755 {} \;
Donne les droits 644 sur les fichiers :
sudo find /var/www/html/mon-site/ -type f -exec chmod 644 {} \;
On se connecte sur l’interface Web de WordPress (https:// [ nom de domaine ]) afin d’effectuer son installation :
J’obtiens ceci :
Je continue à la main en faisant un copier-coller dans le fichier wp-config.php à la racine du site, puis je lance l’installation :
sudo nano /var/www/html/mon-site/wp-config.php
Cliquer sur le bouton "Lancer l'installation".
sudo mkdir /var/www/html/mon-site/wp-content/uploads (à adapter)
Changement de propriétaire :
sudo chown -R $USER:www-data /var/www/html/mon-site (à adapter)
Restriction des droits sur le fichier wp-config.php:
sudo chmod 640 /var/www/html/mon-site/wp-config.php (à adapter)
Pour pouvoir ajouter des fichiers dans la médiathèque, on donne les droits en écriture à Apache (www-data) sur le répertoire uploads :
sudo find /var/www/html/mon-site/wp-content/uploads -type d -exec chmod 775 {} \; (à adapter)
sudo find /var/www/html/mon-site/wp-content/uploads -type f -exec chmod 664 {} \; (à adapter)
Une fois les fichiers téléchargés, on peut de nouveau restreindre les droits :
sudo find /var/www/html/mon-site/wp-content/uploads -type d -exec chmod 755 {} \; (à adapter)
sudo find /var/www/html/mon-site/wp-content/uploads -type f -exec chmod 644 {} \; (à adapter)
sudo chown -R $USER:www-data /var/www/html/mon-site/wp-content/uploads (à adapter)
On se connecte sur :
https:// [ adresse du site ] /wp-login.php
Mise à jour :
Pour mettre à jour WordPress, je change ponctuellement le propriétaire des fichiers et répertoires :
sudo chown -R www-data:www-data /var/www/html/mon-site (mon-site à adapter)
puis une fois la mise à jour faite, je reviens en arrière pour des raisons de sécurité :
sudo chown -R $USER:www-data /var/www/html/mon-site (mon-site à adapter)
Cette méthode de mise à jour n’est pas satisfaisante. Je cherche mieux.
Installation de CoppeliaSim
À la date de l’installation, mon PC est sous Debian 11.
Télécharger CoppeliaSim depuis :
https://www.coppeliarobotics.com/downloads
Dans la console :
cd Téléchargements
tar -xJf CoppeliaSim*.tar.xz
Si le répertoire coppeliasim n’existe pas déjà, je le crée :
mkdir ~/.local/share/CoppeliaSim
J’installe l’application à l’endroit voulu :
cp -r CoppeliaSim*/* ~/.local/share/CoppeliaSim
Je télécharge l’icône CoppeliaSim et l’installe à l’endroit voulu :
wget http://entropie.org/3615/download/coppeliasim.png
mv coppeliasim.png ~/.local/share/CoppeliaSim
Pour intégrer le programme au menu de Mate, je passe par le menu auquel j’ai déjà intégré mozo :
Système > Préférences > Apparence > Menu Principal > Nouvel élément
Le fichier créé apparaît ici :
~/.local/share/applications/mozo-made.desktop
Pour effacer une version précédente :
rm -rf ~/.local/share/CoppeliaSim
J’installe ensuite Jupyter Notebook pour programmer Poppy en Python :
sudo apt-get install jupyter
Pour appeler rapidement Jupyter Notebook, j’installe également l’application dans le menu (avec mozo).
Télécharger l’icône de Jupyter :
wget http://entropie.org/3615/download/jupyter.svg
L’appel du programme se fait par : jupyter-notebook
Dans Jupyter Notebook, créer un nouveau Notebook et dans la première cellule, écrire puis exécuter :
# Import des bibliothèques et création du robot from poppy_ergo_jr import PoppyErgoJr creature = PoppyErgoJr(simulator='vrep')
Le robot apparaît alors dans CoppeliaSim (il faut avoir ouvert CoppeliaSim avant d’exécuter la cellule).
Installation de Poppy Ergo Jr
À la date de l’installation, mon PC est sous Debian 11.
Officiel : Documentation / GitHub / Poppy Forum
1/ Préparer la carte SD
Télécharger le fichier image pour la Raspberry Pi 2 :
https://github.com/poppy-project/poppy-ergo-jr/releases
Décompresser le fichier téléchargé pour obtenir le fichier image.
Version 4.0.1 :
2021-10-20-poppy-ergo-jr.img.7z
MD5 sums : ce648d0eba1099520e982032b0a9ca86
2021-10-20-poppy-ergo-jr.img
MD5 sums : bc87deb721ee851ccd8cc06311cba514
Transférer l’image sur la carte SD :
sudo fdisk -l (pour avoir la liste des disques) cd Téléchargements sudo dd if=2021-10-20-poppy-ergo-jr.img of=/dev/sdf bs=1M status=progress (à adapter)
À adapter : On indique en sortie le nom d’un périphérique (ici sdf), pas celui d’une partition comme sdf1. Il faut attendre quelques minutes pour que l’opération se finisse.
On met la carte SD dans la Raspberry Pi, on connecte le robot au réseau local et on branche le transformateur (7,5 V / 2 A) sur la carte Pixl prévue pour le robot Poppy Ergo Jr. Le + de la prise du transformateur est au centre, le – à l’extérieur.
2/ Améliorer la sécurité
Par défaut, pour se connecter à Poppy :
login : poppy / password : poppy
Il existe aussi un autre mode administrateur :
login : pi / password : raspoppy
On va modifier leur mot de passe.
ssh pi@192.168.0.xxx (à adapter) passwd pi (pour modifier le mot de passe) sudo passwd poppy (pour modifier le mot de passe)
3/ Modifier la configuration
Dans la console :
sudo raspi-config
Network Options > Hostname (modifier poppy en POPPY)
Localisation Options > Change Locale : fr_FR.UTF8 UTF-8
> Change TimeZone : Europe > Paris
> Change Keyboard Layout
Advanced Options > Expand Filesystem
Network Options modifie les fichiers :
/etc/hostname
/etc/hosts
4/ Ports à ouvrir sur le routeur / firewall à l’adresse du robot et à destination de mon ordinateur
nmap -p- -v 192.168.0.xxx (à adapter) Nmap scan report for 192.168.0.xxx : PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain 80/tcp open http 2280/tcp open lnvpoller 4000/tcp open remoteanything 6969/tcp open acmsoda 8000/tcp open http-alt 8080/tcp open http-proxy 8888/tcp open sun-answerbook 9009/tcp open pichat
5/ Utiliser Poppy en le connectant directement sur un PC
En général, on utilise Poppy en le branchant sur un routeur, mais on peut vouloir être indépendant de tout réseau, soit parce qu’il n’y a tout simplement pas de réseau, soit parce que Poppy n’est pas reconnu. La solution est donc de brancher directement Poppy sur un PC en utilisant un câble RJ45 croisé (chez moi, ça fonctionne aussi avec un câble droit).
sudo nano /boot/cmdline.txt Rajouter à la fin de la première ligne : ip=192.168.0.xxx (à adapter).
Pour repérer les cartes réseaux : ip addr (ou ip a) On donne une adresse ip à la carte Ethernet du PC : sudo ifconfig eth0 192.168.0.yyy up (eth0 et adresse ip à adapter) On teste la connection avec Poppy : ping 192.168.0.xxx (à adapter)
Remarque : Pour avoir accès à ifconfig, il faut installer sous Debian 11 le paquet net-tools :
sudo apt-get install net-tools
Dans le navigateur Internet, on accède à l’interface Poppy par : http://192.168.0.xxx (à adapter).