YunoHost/doc
1
0
Fork 0
mirror of https://github.com/YunoHost/doc.git synced 2024-09-03 20:06:26 +02:00
Code Issues Projects Releases Packages Wiki Activity
doc/installation_brique_fr.md
elie bf58fdd462 Update installation_brique_fr.md
2015-09-27 01:35:06 +02:00

13 KiB
Raw Blame History

Installation dune Brique Internet

Site du projet **La Brique Internet** : http://labriqueinter.net/

Instructions basées sur l'image labriqueinternet_04-06-2015_jessie.img et écrites début Juillet par kload chez Neutrinet.

brique

Prérequis

Une Brique Internet complète, soit :

  • Un mini-serveur A20-OLinuXino-LIME ou A20-OLinuXino-LIME2.
  • Une carte micro-SD (des Transcend 300x pour des raisons de performance/stabilité).
  • Une antenne WiFi MOD-WIFI-R5370-ANT (non-libre) ou AR9271 (libre, mais limitée à 7 connexions simultanées maximum).
  • Un adaptateur secteur européen pour alimenter la brique. Lalimentation via USB semble peu stable.
  • Un câble Ethernet/RJ-45 pour brancher la Brique à son routeur.

Et évidemment, un ordinateur sous UNIX (e.g. GNU/Linux).

Lordre des étapes est important.

Étapes préliminaires

  1. Télécharger limage, la décompresser, puis valider son checksum (en comparant la valeur de retour de la dernière commande avec celle sur le site) :
% cd /tmp/
% wget http://repo.labriqueinter.net/labriqueinternet_latest_jessie.img.tar.xz
% sha512sum labriqueinternet_*.img.xz
% tar -xf labriqueinternet_*.img.tar.xz

  1. Identifier le nom de la carte micro-SD en tapant la commande ls -1 /sys/block/, en insérant la carte micro-SD (éventuellement à l'aide d'un adaptateur) dans son ordinateur, puis en retapant la commande ls -1 /sys/block/. Le nom de la carte micro-SD correspond à la ligne qui apparaît en plus après la seconde saisie (e.g. sdb ou mmcblk0).

  2. Copier l'image sur la carte (remplacer SDNAME par le nom trouvé lors de l'étape précédente) :

sudo dd if=/tmp/labriqueinternet_latest_jessie.img of=/dev/SDNAME bs=1M
  1. Uniquement pour le modèle LIME2 : Monter la carte micro-SD et changer le lien symbolique suivant :
% sudo mount /dev/SDNAME /mnt/
% cd /mnt/boot/
% sudo rm board.dtb
% sudo ln -sf /boot/dtb/sun7i-a20-olinuxino-lime2.dtb board.dtb
  1. Mettre la carte micro-SD dans une Brique, brancher le câble Ethernet et lalimentation. Elle démarre normalement toute seule, et les LEDs du port Ethernet se mettent à clignoter au bout de 10 secondes maximum.
Le premier démarrage peut mettre une grosse minute car la partition est redimensionnée et le serveur est redémarré automatiquement.
  1. Récupérer ladresse IP locale de la Brique, soit avec une commande comme arp-scan --local | grep -P '\t02', soit via l'interface du routeur listant les clients DHCP, soit en branchant un écran en HDMI à la Brique.
Admettons que ladresse IP locale de la Brique soit **192.168.4.2**
  1. Se connecter en SSH en root à la Brique, le mot de passe est olinux par défaut (un changement de mot de passe sera demandé à la première connexion) :
% ssh root@192.168.4.2
  1. Mettre à jour le système (environ 10 minutes) :
% sudo apt-get update && sudo apt-get dist-upgrade

Étapes de configuration

Ici nous installons la Brique de **michu.nohost.me** (à remplacer par le nom de domaine choisi).
  1. Mettre à jour le fichier /etc/hosts de son ordinateur client pour pouvoir accéder à la Brique en local via michu.nohost.me, en ajoutant à la fin :
192.168.4.2 michu.nohost.me
  1. Procéder à la postinstallation en se connectant à la Brique sur https://michu.nohost.me (accepter l'exception de sécurité du certificat).
**Note :** il est possible de réaliser cette étape en ligne de commande via SSH en exécutant `yunohost tools postinstall`
  1. Créer le premier utilisateur : se rendre dans linterface dadministration YunoHost (ici https://michu.nohost.me/yunohost/admin), entrer le mot de passe dadministration puis se rendre dans Utilisateurs > Nouvel utilisateur.
Il faudra entrer un **nom dutilisateur** sans majuscule/espace/tiret, un **nom/prénom/pseudo** en deux parties (obligatoires, merci LDAP) qui correspondra au nom qui apparaîtra sur les futurs emails de lutilisateur, ainsi qu'un **quota demail** éventuel et un **mot de passe** (*à ne pas confondre avec le mot de passe dadministration dans ce cas*).

  1. Installer lapplication VPN Client : se rendre dans Applications > Installer, et entrer https://github.com/labriqueinternet/vpnclient_ynh dans le champs URL du formulaire Installer une application personnalisée tout en bas de la page.

  2. (optionnel) Restreindre laccès à lapplication VPN Client : se rendre dans Applications > VPN Client > Accès et sélectionner lutilisateur précédemment créé, de sorte que les futurs potentiels nouveaux utilisateurs ne puissent pas modifier les paramètres daccès VPN.

  3. Configurer lapplication VPN Client : se connecter à linterface utilisateur (ici https://michu.nohost.me/yunohost/sso/) et entrer les identifiants de lutilisateur précédemment créé. Vous devriez voir apparaître VPN Client dans votre liste dapplication :

De manière générale, il convient bien sûr déditer les paramètres en fonction de son fournisseur daccès VPN. Ce dernier devra vous fournir des certificats et/ou des identifiants ainsi qu'un préfixe délégué IPv6. Pour Neutrinet, dans **Advanced**, il faudra également ajouter trois directives spécifiques : 
resolv-retry infinite
ns-cert-type server
topology subnet
**Attention** : le redémarrage du service, déclenché par le bouton **Save and reload**, peut mettre quelques minutes.
  1. Installer lapplication Hotspot : s'assurer que lantenne WiFi est bien branchée, et répéter les étapes 4, 5 et 6 en installant à laide de l'URL https://github.com/labriqueinternet/hotspot_ynh :
  1. TESTER : la Brique devrait être accessible via lIP publique que sa connexion VPN lui procure. Si lutilisateur a opté pour un nom de domaine en .nohost.me, patienter quelques minutes que son IP se propage sur le serveur DNS de YunoHost. Si lutilisateur a opté pour son propre nom de domaine, cest le moment de configurer ses enregistrements DNS correctement chez son registrar. Si tout se passe bien côté hotspot, un réseau WiFi du nom choisi par lutilisateur à létape 7 devrait être visible, et devrait vous router tout bien vers lInternet. Il est possible de regarder lIP avec laquelle on sort sur Internet : IPv6 / IPv4.

Étapes supplémentaires (pour une Brique idéale)

Ces étapes ne sont pas obligatoires mais peuvent améliorer considérablement l'expérience de la Brique (fap fap fap).

  • Supprimer le CRON DynDNS : si lutilisateur a opté pour un nom de domaine en .nohost.me, YunoHost a configuré automatiquement un client DynDNS sur la Brique qui va avertir le serveur DNS dun potentiel changement dIP publique. Or, lIP fourni par la connexion VPN est fixe. Il convient donc de supprimer ce client, qui pourrait malencontreusement mettre à jour lIP dans les DNS si la connexion VPN venait à tomber :
rm /etc/cron.d/yunohost-dyndns

  • Sassurer du nom de linterface WiFi : lors du changement dantenne WiFi (même si le modèle reste le même), il peut arriver que le nom de linterface WiFi change, typiquement de wlan0 à wlan1. Pour continuer à utiliser lapplication hotspot, il faut se rendre sur linterface web de configuration de lapplication (étape 10) et mettre à jour le Device.

  • Ajouter un CRON de restart du service VPN : selon les paramètres VPN client et serveur, il peut arriver que la connexion soit instable, et que le client VPN tombe de temps en temps. Pour sassurer quil redémarrera automatiquement, une bonne méthode quick'n'dirty et de tester que le service tourne et de le redémarrer dans le cas contraire :

echo "* * * * * root /sbin/ifconfig tun0 > /dev/null 2>&1 || systemctl restart ynh-vpnclient" > /etc/cron.d/restart-vpn
  • Arrêter le service Amavis : Amavis est un antivirus qui soccupe de regarder si les pièces jointes des emails ne sont pas vérolées. Il est très lourd et tombe souvent en panne sur des petites machines comme la Brique. Pour arrêter Amavis (ce qui arrêtera aussi l'antispam), éditer le fichier /etc/postfix/main.cf et commenter la ligne 90 (normalement) :
#content_filter = amavis:[127.0.0.1]:10024

Éditer également le fichier /etc/postfix/master.cf pour y commenter les lignes relatives à Amavis, vers les lignes 119-122:

#amavis unix    -       -       -       -       2     smtp
#     -o smtp_data_done_timeout=1200
#     -o smtp_send_xforward_command=yes
#     -o smtp_tls_note_starttls_offer=no

Une fois ces éditions effectuées, redémarrer le service postfix et arrêter le service amavis :

systemctl restart postfix
systemctl stop amavis
systemctl disable amavis
  • Arrêter le service postgrey : Postgrey est un mécanisme antivirus qui est assez peu efficace, et surtout assez pénible. Il refuse les emails en premier lieu lorsque quils proviennent dune source inconnue. Un serveur email de spam ne fait pas toujours leffort de renvoyer le spam une seconde fois. Pour arrêter postgrey, il faut éditer le fichier /etc/postfix/main.cf et commenter la ligne relative à postgrey (ligne 132) :
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_unauth_destination,
    check_policy_service unix:private/policy-spf
#    check_policy_service inet:127.0.0.1:10023
    permit

Une fois le fichier éditer, redémarrer le service postfix :

systemctl restart postfix

  • Mettre à jour la configuration SSH : par défaut, la connexion en tant que root est possible sur la Brique. Pour ne garder que la connexion en tant quadmin (qui est sudoer), il convient déditer le /etc/ssh/sshd_config et de passer PermitRootLogin à without-password.

  • Configurer le reverse DNS : pour sassurer du bon fonctionnement du serveur email, il est recommandé de configurer un reverse DNS pour son IP. En tant que FAI associatif, cest un service faisable, autant le demander !

  • Configurer le DKIM : avec un SPF et un PTR bien configurés dans les DNS, les emails envoyés par la Brique ne devraient pas être considérés comme spam. Ceci dit, GMail et dautres dégraderont considérablement le spamscore si le DKIM nest pas configuré également. Cette opération est longue mais à considérer pour avoir un serveur email irréprochable en production. Plus de renseignement sur la page de documentation appropriée.

  • Installer Roundcube via linterface dadministration YunoHost et tester lenvoi/réception demail.

  • Installer dautres applications et les découvrir.

Notes

  • Attention à la RAM : sur le modèle A20-OLinuXino-LIME, les 512 Mo partent vite. Les applications PHP ne sont pas très gourmandes, mais Searx et Etherpad Lite sont par exemple à installer avec des pincettes.

  • Glances ne fonctionne pas sur limage labriqueinternet_04-06-2015_jessie.img, ce qui rend longlet État du serveur inaccessible dans linterface dadministration de YunoHost. Une mise à jour future du noyau sera à prévoir pour corriger le problème.