Update installation_brique_fr.md

This commit is contained in:
ma.azimi@laposte.net 2016-01-07 20:08:29 +01:00 committed by YunoHost
parent 17bf578533
commit 03eac1f3f8

View file

@ -1,9 +1,9 @@
# Installation dune Brique Internet
<div class="alert alert-info" markdown="1">
Cette documentation s'adresse à des personnes qui ont **quelques notions d'informatique** et qui souhaitent installer eux-même leur Brique Internet.
Cette documentation sadresse à des personnes qui ont **quelques notions dinformatique** et qui souhaitent installer eux-même leur Brique Internet.
Pour obtenir une **Brique clé-en-main** et pouvoir l'utiliser directement sans avoir besoin de connaissances particulières, il faut se rapprocher d'une association locale qui fournit des Briques Internet à ses adhérents, comme celles référencées sur [le site de FFDN](http://db.ffdn.org).
Pour obtenir une **Brique clé-en-main** et pouvoir lutiliser directement sans avoir besoin de connaissances particulières, il faut se rapprocher dune association locale qui fournit des Briques Internet à ses adhérents, comme celles référencées sur [le site de FFDN](http://db.ffdn.org).
[Site du projet *La Brique Internet*](http://labriqueinter.net)
</div>
@ -13,7 +13,7 @@ Pour obtenir une **Brique clé-en-main** et pouvoir l'utiliser directement sans
## Prérequis
Une **Brique Internet complète**, soit :
* Un mini-serveur Olimex :
* Un mini-serveur Olimex :
* [A20-OLinuXino-LIME](https://www.olimex.com/Products/OLinuXino/A20/A20-OLinuXino-LIME/open-source-hardware)
* [A20-OLinuXino-LIME2](https://www.olimex.com/Products/OLinuXino/A20/A20-OLinuXino-LIME2/open-source-hardware)
* Une carte micro-SD (des [Transcend 300x](http://www.amazon.fr/Transcend-microSDHC-adaptateur-TS32GUSDU1E-Emballage/dp/B00CES44EO) pour des raisons de performance/stabilité).
@ -41,9 +41,9 @@ Lordre des étapes est important.
% mv labriqueinternet_*.img labriqueinternet.img
```
2. Identifier le nom de la carte micro-SD (SDNAME) en tapant la commande `ls -1 /sys/block/`, en insérant la carte micro-SD (éventuellement à l'aide d'un adaptateur) dans son ordinateur, puis en retapant la commande `ls -1 /sys/block/`. Le nom de la carte micro-SD (SDNAME) correspond à la ligne qui apparaît en plus après la seconde saisie (e.g. *sdb* ou *mmcblk0*).
2. Identifier le nom de la carte micro-SD (SDNAME) en tapant la commande `ls -1 /sys/block/`, en insérant la carte micro-SD (éventuellement à laide dun adaptateur) dans son ordinateur, puis en retapant la commande `ls -1 /sys/block/`. Le nom de la carte micro-SD (SDNAME) correspond à la ligne qui apparaît en plus après la seconde saisie (e.g. *sdb* ou *mmcblk0*).
3. Copier l'image sur la carte (remplacer *SDNAME* par le nom trouvé lors de l'étape précédente) :
3. Copier limage sur la carte (remplacer *SDNAME* par le nom trouvé lors de létape précédente) :
```bash
sudo dd if=/tmp/labriqueinternet.img of=/dev/SDNAME bs=1M
sync
@ -56,15 +56,15 @@ Le premier démarrage peut prendre un peu plus dune minute car la partition e
5. Récupérer ladresse IP locale de la Brique :
* soit avec une commande comme `arp-scan --local | grep -P '\t02'` ou bien avec la commande `arp-scan --local -I wlan0 | grep -P '\t02'` si votre ordinateur est connecté en WiFi.
* soit via l'interface du routeur listant les clients DHCP,
* soit avec une commande comme `arp-scan --local | grep -P \t02` ou bien avec la commande `arp-scan --local -I wlan0 | grep -P \t02` si votre ordinateur est connecté en WiFi.
* soit via linterface du routeur listant les clients DHCP,
* soit en branchant un écran en HDMI à la Brique, et en exécutant `ifconfig`.
<div class="alert alert-info" markdown="1">
Pour les commandes suivantes, nous admettons que ladresse IP locale de la Brique est **192.168.4.2**. Remplacer par l'adresse IP précédement déterminée.
Pour les commandes suivantes, nous admettons que ladresse IP locale de la Brique est **192.168.4.2**. Remplacer par ladresse IP précédement déterminée.
</div>
6. Se connecter en SSH en root à la Brique, le mot de passe par défaut est **olinux** :
6. Se connecter en SSH en root à la Brique, le mot de passe par défaut est **olinux** :
```bash
ssh root@192.168.4.2
```
@ -81,7 +81,7 @@ apt-get update && apt-get dist-upgrade
## Étapes de configuration
<div class="alert alert-info" markdown="1">
Nous installons ici la Brique de **michu.nohost.me**. Remplacer ce nom par le nom de domaine choisi (et comme précédemment l'IP 192.168.4.2 par celle de la brique)
Nous installons ici la Brique de **michu.nohost.me**. Remplacer ce nom par le nom de domaine choisi (et comme précédemment lIP 192.168.4.2 par celle de la brique)
</div>
1. Mettre à jour le fichier `/etc/hosts` de son ordinateur client pour pouvoir accéder à la Brique en local via **michu.nohost.me**, en ajoutant à la fin :
@ -89,17 +89,17 @@ Nous installons ici la Brique de **michu.nohost.me**. Remplacer ce nom par le no
192.168.4.2 michu.nohost.me
```
2. Procéder à la [postinstallation](/postinstall_fr) en se connectant à la Brique sur https://michu.nohost.me (accepter l'exception de sécurité du certificat).
2. Procéder à la [postinstallation](/postinstall_fr) en se connectant à la Brique sur https://michu.nohost.me (accepter lexception de sécurité du certificat).
<div class="alert alert-info" markdown="1">
**Note :** il est également possible de réaliser cette étape en ligne de commande via SSH en exécutant `yunohost tools postinstall`.
</div>
3. **Créer le premier utilisateur** : se rendre dans linterface dadministration YunoHost (ici https://michu.nohost.me/yunohost/admin), entrer le mot de passe dadministration puis se rendre dans **Utilisateurs** > **Nouvel utilisateur**.
<div class="alert alert-info" markdown="1">
Il faudra entrer un **nom dutilisateur** sans majuscule/espace/tiret, un **nom/prénom/pseudo** en deux parties (obligatoires, merci LDAP) qui correspondra au nom qui apparaîtra sur les futurs emails de lutilisateur, ainsi qu'un **quota demail** éventuel et un **mot de passe** (*à ne pas confondre avec le mot de passe dadministration dans ce cas*).
Il faudra entrer un **nom dutilisateur** sans majuscule/espace/tiret, un **nom/prénom/pseudo** en deux parties (obligatoires, merci LDAP) qui correspondra au nom qui apparaîtra sur les futurs emails de lutilisateur, ainsi quun **quota demail** éventuel et un **mot de passe** (*à ne pas confondre avec le mot de passe dadministration dans ce cas*).
</div>
4. **Installer lapplication VPN Client** : se rendre dans **Applications** > **Installer**, et entrer `https://github.com/labriqueinternet/vpnclient_ynh` dans le champs **URL** du formulaire **Installer une application personnalisée** tout en bas de la page. L'adresse du serveur peut être configurée plus tard (utiliser par exemple `dummy.vpn`).
4. **Installer lapplication VPN Client** : se rendre dans **Applications** > **Installer**, et entrer `https://github.com/labriqueinternet/vpnclient_ynh` dans le champs **URL** du formulaire **Installer une application personnalisée** tout en bas de la page. Ladresse du serveur peut être configurée plus tard (utiliser par exemple `dummy.vpn`).
5. **Restreindre laccès à lapplication VPN Client** (optionnel) : se rendre dans **Applications** > **VPN Client** > **Accès** et sélectionner lutilisateur précédemment créé, de sorte que les futurs potentiels nouveaux utilisateurs ne puissent pas modifier les paramètres daccès VPN.
@ -107,10 +107,10 @@ Il faudra entrer un **nom dutilisateur** sans majuscule/espace/tiret, un **no
<div><a title="screenshot_vpnclient" target="_blank" href="https://raw.githubusercontent.com/labriqueinternet/vpnclient_ynh/master/screenshot.png">
<img style="border-radius: 5px; border: 5px solid #eee; max-width: 800px" src="https://raw.githubusercontent.com/labriqueinternet/vpnclient_ynh/master/screenshot.png" />
</a></div>
De manière générale, il convient bien sûr déditer les paramètres en fonction de son fournisseur daccès VPN. Ce dernier devra vous fournir des certificats et/ou des identifiants ainsi qu'un préfixe délégué IPv6.
De manière générale, il convient bien sûr déditer les paramètres en fonction de son fournisseur daccès VPN. Ce dernier devra vous fournir des certificats et/ou des identifiants ainsi quun préfixe délégué IPv6.
<div class="alert alert-info" markdown="1">
Pour Neutrinet, dans **Advanced**, il faudra également ajouter trois directives spécifiques :
Pour Neutrinet, dans **Advanced**, il faudra également ajouter trois directives spécifiques :
<pre><code>resolv-retry infinite
ns-cert-type server
topology subnet</code></pre>
@ -120,7 +120,7 @@ topology subnet</code></pre>
**Attention** : le redémarrage du service, déclenché par le bouton **Save and reload**, peut prendre quelques minutes.
</div>
7. **Installer lapplication Hotspot** : s'assurer que lantenne WiFi est bien branchée, et répéter les étapes **4**, **5** et **6** en installant à laide de l'URL `https://github.com/labriqueinternet/hotspot_ynh` :
7. **Installer lapplication Hotspot** : sassurer que lantenne WiFi est bien branchée, et répéter les étapes **4**, **5** et **6** en installant à laide de lURL `https://github.com/labriqueinternet/hotspot_ynh` :
<div><a title="screenshot_hotspot" target="_blank" href="https://raw.githubusercontent.com/labriqueinternet/hotspot_ynh/master/screenshot.png">
<img style="border-radius: 5px; border: 5px solid #eee; max-width: 800px" src="https://raw.githubusercontent.com/labriqueinternet/hotspot_ynh/master/screenshot.png" />
</a></div>
@ -132,11 +132,11 @@ Il est possible de regarder lIP avec laquelle on sort sur Internet ([IPv4](ht
% host $(wget -qO- ip.yunohost.org)
% host $(wget -qO- ip6.yunohost.org)
```
Si le retour des deux commandes précédentes contient le nom du fournisseur d'accès VPN, c'est que la Brique fait bien accéder à Internet via le VPN.
Si le retour des deux commandes précédentes contient le nom du fournisseur daccès VPN, cest que la Brique fait bien accéder à Internet via le VPN.
# Étapes supplémentaires <small>(pour une Brique idéale)</small>
Ces étapes ne sont pas obligatoires mais peuvent améliorer considérablement l'**expérience de la Brique** (*fap fap fap*).
Ces étapes ne sont pas obligatoires mais peuvent améliorer considérablement l**expérience de la Brique** (*fap fap fap*).
* **Supprimer le CRON DynDNS** : si lutilisateur a opté pour un nom de domaine en **.nohost.me**, YunoHost a configuré automatiquement un client DynDNS sur la Brique qui va avertir le serveur DNS dun potentiel changement dIP publique. Or, lIP fournie par la connexion VPN **est fixe**. Il convient donc de supprimer ce client, qui pourrait malencontreusement mettre à jour lIP dans les DNS si la connexion VPN venait à tomber :
```bash
@ -145,7 +145,7 @@ rm /etc/cron.d/yunohost-dyndns
* **Sassurer du nom de linterface WiFi** : lors du changement dantenne WiFi (même si le modèle reste le même), il peut arriver que le nom de linterface WiFi change, typiquement de `wlan0` à `wlan1`. Pour continuer à utiliser lapplication **hotspot**, il faut se rendre sur linterface web de configuration de lapplication (étape 10) et mettre à jour le **Device**.
* **Ajouter un CRON de restart du service VPN** : selon les paramètres VPN client et serveur, il peut arriver que la connexion soit instable, et que le client VPN tombe de temps en temps. Pour sassurer quil redémarrera automatiquement, une bonne méthode *quick'n'dirty* et de tester que le service tourne et de le redémarrer dans le cas contraire :
* **Ajouter un CRON de restart du service VPN** : selon les paramètres VPN client et serveur, il peut arriver que la connexion soit instable, et que le client VPN tombe de temps en temps. Pour sassurer quil redémarrera automatiquement, une bonne méthode *quickndirty* et de tester que le service tourne et de le redémarrer dans le cas contraire :
```bash
echo "* * * * * root /sbin/ifconfig tun0 > /dev/null 2>&1 || systemctl restart ynh-vpnclient" > /etc/cron.d/restart-vpn
```
@ -169,13 +169,13 @@ systemctl stop amavis
systemctl disable amavis
```
* **Mettre à jour la configuration SSH** : par défaut, la connexion SSH en tant que **root** est possible sur la Brique ce qui est considéré comme une faille de sécurité. Quand vous voulez vous connecter en SSH, il est préférable de le faire en tant qu'**admin** : cet utilisateur (qui est sudoer) a été créé automatiquement avec le même mot de passe que **root**. Pour ne garder que la connexion en tant qu**admin**, il convient déditer le `/etc/ssh/sshd_config` et de passer **PermitRootLogin** à **without-password**.
* **Mettre à jour la configuration SSH** : par défaut, la connexion SSH en tant que **root** est possible sur la Brique ce qui est considéré comme une faille de sécurité. Quand vous voulez vous connecter en SSH, il est préférable de le faire en tant qu**admin** : cet utilisateur (qui est sudoer) a été créé automatiquement avec le même mot de passe que **root**. Pour ne garder que la connexion en tant qu**admin**, il convient déditer le `/etc/ssh/sshd_config` et de passer **PermitRootLogin** à **without-password**.
<div class="alert alert-warning" markdown="1">
D'autres conseils de sécurité sont décrits sur la page : [sécurité](/security_fr).
Dautres conseils de sécurité sont décrits sur la page : [sécurité](/security_fr).
</div>
* **Configurer le reverse DNS** : pour sassurer du bon fonctionnement du serveur email, il est recommandé de configurer un reverse DNS pour son IP. Il faut s'adresser au fournisseur de VPN. En tant que FAI associatif, cest un service faisable, autant le demander !
* **Configurer le reverse DNS** : pour sassurer du bon fonctionnement du serveur email, il est recommandé de configurer un reverse DNS pour son IP. Il faut sadresser au fournisseur de VPN. En tant que FAI associatif, cest un service faisable, autant le demander !
* **Configurer le DKIM** : avec un SPF et un PTR bien configurés dans les DNS, les emails envoyés par la Brique ne devraient pas être considérés comme spam. Ceci dit, GMail et dautres dégraderont considérablement le spamscore si le DKIM nest pas configuré également.
Cette opération est longue mais à considérer pour avoir un serveur email irréprochable en production. Plus de renseignement sur [la page de documentation appropriée](/dkim_fr).
@ -188,6 +188,6 @@ Cette opération est longue mais à considérer pour avoir un serveur email irr
## Notes
* **Attention à la RAM** : sur le modèle A20-OLinuXino-LIME, les **512 Mo** partent vite. Les applications PHP ne sont pas très gourmandes, mais Searx et Etherpad Lite sont par exemple à installer avec des pincettes. Ce sont Amavis et MySQL qui consomment le plus de RAM. Amavis sera bientôt remplacé par rspamd qui est moins gourmand en ressources. Toutes les apps officielles fonctionnent sans problème de RAM avec le A20-OLinuXino-LIME2 (qui a 1 Go de RAM).
* **Attention à la RAM** : sur le modèle A20-OLinuXino-LIME, les **512 Mo** partent vite. Les applications PHP ne sont pas très gourmandes, mais Searx et Etherpad Lite sont par exemple à installer avec des pincettes. Ce sont Amavis et MySQL qui consomment le plus de RAM. Amavis sera bientôt remplacé par rspamd qui est moins gourmand en ressources. Toutes les apps officielles fonctionnent sans problème de RAM avec le A20-OLinuXino-LIME2 (qui a 1 Go de RAM).
* Attention à bien veiller à ce que les répertoires utilisateurs soient bien créés (étape 5.) dans `/var/mail` et `/home/`, sans quoi plusieurs bugs seront observables dans linterface dadministration (erreurs 500 en pagaille).
* Attention à bien veiller à ce que les répertoires utilisateurs soient bien créés (étape 5.) dans `/var/mail` et `/home/`, sans quoi plusieurs bugs seront observables dans linterface dadministration (erreurs 500 en pagaille).