Garradin

Installation_OVH

Comment installer Garradin sur hébergement mutualisé OVH

Bonjour, voici le descriptif de l’installation sur ovh mutualisé pro remis à jour par Philippe35 en octobre 2014 avec :

* garradin v 0.6.2 ( tar.bz2 que vous aurez téléchargé http://dev.kd2.org/garradin/?download )

* hébergement mutualisé ovh pro (version2012, j'ai raté le basculement sur pro 2014, mais à ma connaissance, cela ne changera pas la procédure d'installation)

Dans le cas de notre association, nous avons déjà notre site www. Nous sommes intéressés par garradin pour permettre aux membres du bureau de gérer les comptes, et le fichier des membres. Nous ne sommes pas intéressés par la fonctionnalité wiki et site web.

1) Création d'un sous-domaine

Avec le manager ovh v3 https://www.ovh.com/managerv3 , dans le menu : domaine.tld / hébergement / Sous-domaine

Créer un sous domaine :

  • Nom du sous domaine : compta.mondomaine.tld
  • Dossier cible : /compta-garradin/www
  • Pays : IP française
  • Sousdomaine www : non
  • Ipv6 : ( non )

La création du sous-domaine prend du temps à se propager dans les DNS ( jusqu'à 24h dit le message ). J'ai constaté une nuit. Tant que la propagation n'est pas faite, on peut avoir soit une page webmail ovh qui s'affiche, soit un message d'erreur de résolution de domaine. Patience.

L’installation sous forme de sous-domaine « compta » permet de compartimenter et sécuriser les applications. Seul, le répertoire www de garradin est exposé sur le web.

2) Installation des fichiers

Avec puty (ou ftp), à la racine de votre arborescence user ( au-dessus de www ), créer un répertoire compta-garradin, et y transférer le contenu de l’archive garradin

Sur le répertoire compta-garradin, avec puty (ou ftp), modifier les droits des fichiers avec la valeur 604 ( +X pour les répertoires ) en propageant sur les sous-répertoires.

Si vous vous connectez en ssh, vous verrez que du point de vue unix, le fichier appartient à votre compte(login), et au group « users » ( c'est à dire que votre compte est membre du groupe de tous les utilisateurs d'ovh mutualisé). Il est donc logique que les droits pour le groupe soient nuls (les autres comptes mutualisés n'ont pas à voir vos fichiers, même pas en lecture seule). Dans cette logique, le serveur apache d'OVH est configuré pour générer une « erreur interne » 5xx s'il lui est demandé de servir des fichiers avec des droits groupes non nuls.

3) Configuration fichier .htaccess

La version 0.6.2 contient un fichier .htaccess dans le répertoire "*/user/compta-garradin/www"

<IfModule mod_alias.c>
RedirectMatch 403 /include/
RedirectMatch 403 /cache/
RedirectMatch 403 /plugins/
RedirectMatch 403 /templates/
RedirectMatch 403 /*.sqlite
</IfModule>

Cela interdit à un curieux malveillant d'essayer d'explorer des répertoires internes de garradin.

Vous pouvez également compléter avec des directives générales de sécurités :

# .htaccess compta

Options -Indexes
DirectoryIndex index.php index.html index.htm

# rediriger systématiquement http:// vers https://*
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://compta.mondomaine.tld/$1 [NC,L,R=301]

# en cas d'erreur 404, renvoyer sur l'index
ErrorDocument 404 /index.php

Ce fichier .htaccess permet :

  • d’interdire de lister le contenu des répertoires
  • de rediriger vers index.php par défaut toute url visant un répertoire
  • de rediriger les requêtes http en https ( voir remarque ci-dessous )
  • de rediriger les erreurs 404 vers la page garradin.
Remarque : alerte sécurité sur https

L’hébergement mutualisé ne permet pas d’avoir un certificat ssl pour mondomaine.tld. Au premier accès, une alerte de sécurité est générée. Il faut accepter et pérenniser cette acceptation. L’avantage d’accéder en https permet de garantir la confidentialité entre le serveur et votre PC.

4) Configuration fichier .ovhconfig

Depuis 2014, OVH permet de configurer des fonctionnalités propres à OVH :

* choisir une version php ( actuellement, Garradin demande une version PHP 5,4 ou supérieure )

* d'activer le firewall applicatif ( si j'ai bien compris, OVH analyse les requêtes qui arrivent à votre site, et les filtre si il détecte des tentatives d'attaques, comme des injections SQL, ou autres. Je n'ai pas trop trouvé de documentation ovh sur le sujet. OVH doit enrichir les filtres dans le temps selon l'évolution des types d'attaque. )

* mode production ou development ( en mode développement, les éventuels messages d'erreurs apparaissent directement dans le bowser, sinon, il faut consulter les fichiers logs d'erreur dans l'ihm OVH ) : donc mettre en mode development, le temps de l'installation.

Exemple et documentation : https://www.ovh.com/fr/g1207.configurer-php-web

app.engine=php
app.engine.version=5.5
http.firewall=security
environment=development

5) Configuration fichier robot.txt

Comme nous sommes dans une optique d'utilisation "privée" des fonctionnalités comptabilité et gestion des membres, et que nous ne comptons pas utiliser de manière publique les fonctionnalités wiki et CMS, nous mettons à la racine de notre sous-domaine, (dans le répertoire "*/user/compta-garradin/www"), un fichier "robot.txt" dissuadant tous les robots respectueux d'indexer notre comptabilité !

User-agent: *
Disallow:/

6) Test

Si vous avez attendu assez longtemps la propagation du nom de domaine, en tapant dans votre navigateur "http://compta.mondomaine.tld", vous devez être redirigé vers "https://compta.mondomaine.tld" et voire s'afficher la page d'installation de garradin.