Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:web-01 [18/09/2025 00:12] – [Etherpad-Lite] LibertAdmintech:web-01 [13/12/2025 14:53] (Version actuelle) – [Paramètres réseau et swap dans sysctl] LibertAdmin
Ligne 16: Ligne 16:
 ===== Topologie ===== ===== Topologie =====
  
-Cette VM héberge tous les frontaux et applications web de Liberta. Historiquement, des services imposants comme Peertube ou Funkwhale disposaient de leur propre VM dédiée mais à l'usage cela s'est avéré être un gaspillage de ressources.+Cette VM héberge tous les frontaux et applications web de Liberta. Historiquement, des services imposants comme Peertube disposaient de leur propre VM dédiée mais à l'usage cela s'est avéré être un gaspillage de ressources.
  
 Ce serveur héberge donc les services : Ce serveur héberge donc les services :
Ligne 23: Ligne 23:
   * CryptPad   * CryptPad
   * Etherpad-Lite   * Etherpad-Lite
-  * Funkwhale 
   * Nextcloud   * Nextcloud
   * Peertube   * Peertube
Ligne 64: Ligne 63:
 ==== Paramètres réseau et swap dans sysctl ==== ==== Paramètres réseau et swap dans sysctl ====
  
-Dans ''/etc/sysctl.d/99-sysctl.conf'' nous avons passé la « swappiness » à 0. La mémoire doit être donc complètement saturée avant de commencer à « swapper » sur le disque dur (pratique d'ailleurs sujet à débats dont nous avons conscience). Nous avons égalament activé le paramètre d'overcommit à 1 pour éviter que Nextcloud ne se prenne les foudres du « Out of Memory Killer » de Linux:+Dans ''/etc/sysctl.d/99-liberta.conf'' nous avons passé la « swappiness » à 1. La mémoire doit être donc quasiment saturée avant de commencer à « swapper » sur le disque dur (pratique d'ailleurs sujet à débats dont nous avons conscience). Nous avons également activé le paramètre d'overcommit à 1 pour éviter que Nextcloud ne se prenne les foudres du « Out of Memory Killer » de Linux:
  
 <code> <code>
 # Cloud : # Cloud :
 vm.overcommit_memory = 1 vm.overcommit_memory = 1
-# swap à 0% de ram libre : +# swap si plus qu'1% de RAM libre : 
-vm.swappiness=0+vm.swappiness=1
 </code> </code>
  
Ligne 1300: Ligne 1299:
 </code> </code>
  
 +Nous avons créé le fichier commun ''/etc/nginx/letsencrypt_security.conf'' afin de pouvoir générer et renouveler facilement des certificats TLS Let's Encrypt pour chacune de nos applications web. 
  
 +Le fichier est agrémenté de directives de sécurité recommandées pour la plupart des applications (certaines modifient ces directives via leur propre configuration évidemment) :
  
-=== CryptPad === +<code bash> 
-=== Etherpad-Lite === +# cat /etc/nginx/letsencrypt_security.conf  
-=== Funkwhale === +# Security headers 
-=== Castopod === +add_header X-XSS-Protection          "1; mode=block" always; 
-=== Castopod === +add_header X-Content-Type-Options    "nosniff" always; 
-=== Castopod ===+add_header Referrer-Policy           "no-referrer-when-downgrade" always; 
 +add_header Content-Security-Policy   "default-src 'self' http: https: ws: wss: data: blob: 'unsafe-inline'; frame-ancestors 'self';" always; 
 +add_header Permissions-Policy        "interest-cohort=()" always; 
 +add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; 
 + 
 +# Dotfiles 
 +location ~ /\.(?!well-known) { 
 + deny all; 
 +
 + 
 +# ACME-challenge 
 +location ^~ /.well-known/acme-challenge/
 + root /var/www/_letsencrypt; 
 +
 +</code> 
 + 
 + 
 +=== Liberta (Site principal)=== 
 + 
 +Le site de Liberta est en pur HTML et CSS. Il **était**, il est passé sur [[https://ghost.org/|Ghost]] en septembre 2025. Néanmoins nous laissons ici la doc originelle pour totu besoin pédagogique. 
 + 
 +Ce fichier contient la gestion globale du HTTP, lequel redirige tous les domaines vers HTTPS, notamment le site de Liberta qui est sur le sous-domaine ''www.''.  
 + 
 +Nous listons volontairement notre répertoire ''img/'' pour exposer nos images et pouvoir les utiliser facilement pour les includre sur nos pages ; c'est notamment utile pour insérer des images sur notre blog (WriteFreely ne le permet pas dans sa version communautaire malheureusement) : 
 + 
 +<code bash> 
 +# Configuration globale : 
 +# HTTP + redirect 
 +server { 
 + server_name _; 
 + listen      80; 
 + listen      [::]:80; 
 +  
 + include letsencrypt_security.conf; 
 +  
 + location / { 
 + return 301 https://$host$request_uri; 
 +
 +
 + 
 +# Domaine liberta.vip sans sous-domaine : 
 +# HTTP + redirect 
 +server { 
 + server_name liberta.vip; 
 + listen      80; 
 + listen      [::]:80; 
 +  
 + include letsencrypt_security.conf; 
 +  
 + location / { 
 + return 301 https://www.$host$request_uri; 
 +
 +
 +server { 
 +        server_name liberta.vip; 
 +        listen 443 ssl http2; 
 +        listen [::]:443 ssl http2; 
 +        ssl_certificate /etc/letsencrypt/live/liberta.vip-0001/fullchain.pem; 
 +        ssl_certificate_key /etc/letsencrypt/live/liberta.vip-0001/privkey.pem; 
 +        return 301 https://www.liberta.vip; 
 +
 +# Liberta (Pur HTML / CSS) 
 +# HTTP + redirect 
 +server { 
 +        server_name www.liberta.vip; 
 +        listen      80; 
 +        listen      [::]:80; 
 +  
 + include letsencrypt_security.conf; 
 + 
 +        location / { 
 +                return 301 https://$host$request_uri; 
 +        } 
 +
 +server { 
 +        server_name www.liberta.vip; 
 +        listen 443 ssl http2; 
 +        listen [::]:443 ssl http2; 
 +        ssl_certificate /etc/letsencrypt/live/liberta.vip-0001/fullchain.pem; 
 +        ssl_certificate_key /etc/letsencrypt/live/liberta.vip-0001/privkey.pem; 
 + 
 +        # Secure headers 
 +        add_header X-Frame-Options "SAMEORIGIN" always; 
 +        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; 
 +        add_header X-Xss-Protection "1; mode=block" always; 
 +        add_header Content-Security-Policy "default-src 'self' 'unsafe-inline'; script-src www.liberta.vip; img-src *;"; 
 +        add_header X-Content-Type-Options "nosniff" always; 
 + 
 + 
 +        root /var/www/www.liberta.vip; 
 +        access_log /var/log/nginx/www.liberta.vip_access.log; 
 +        error_log /var/log/nginx/www.liberta.vip_error.log warn; 
 +        index index.html; 
 + 
 +        location /favicon.ico { 
 +                log_not_found off; 
 +                access_log off; 
 +        } 
 + 
 +        location /robots.txt { 
 +                allow all; 
 +                log_not_found off; 
 +                access_log off; 
 +        } 
 +         
 + location /img/ { 
 +                allow all; 
 +                log_not_found off; 
 +                access_log off; 
 + autoindex on; 
 +        } 
 + 
 +        location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ { 
 +                expires max; 
 +                log_not_found off; 
 +        } 
 +
 +</code> 
 + 
 +Nous ne fournirons pas tous les détails des configurations pour chaque application, lesquelles sont souvent appelées à changer lors des mises à jour et rendraient la maintenance de cette documentation fort fastidieuse.  
 + 
 +À terme, nous prévoyons de publier notre configuration complète sur [[https://framagit.org/appzer0/liberta/|notre dépôt git]], d'autant plus que nous désirons l'industrialiser / l'automatiser via ''ansible''
 + 
 +EN COURS DE RÉDACTION... 
 +=== Castopod (Liberta Podcasts) === 
 + 
 +=== CryptPad (Liberta Docs) === 
 +=== Etherpad-Lite (Liberta Pad) === 
 + 
 +=== Nextcloud (Liberta Cloud) === 
 +=== Peertube (Liberta Vidéo) === 
 +=== WriteFreely (Liberta Blogs) ===
  
  
tech/web-01.1758147160.txt.gz · Dernière modification : de LibertAdmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International


  • Afficher la page
  • Anciennes révisions
  • Liens de retour
  • Exporter en PDF
  • Exportation ODT
  • Import Word Document
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site