Bootstrap · Hardening · Multi-domaines
Debian 13 (Trixie) — OVH
Un script. Un serveur. De zero a production.
Decouvrir ↓Tout ce qu'il faut pour un serveur de production securise, en une seule commande.
36 etapes d'installation orchestrees avec checkpoint/resume. Chaque composant est configure, durci et verifie.
65222), cle uniquement, PermitRootLogin=no, 3 essais maxsntrup761x25519-sha512, chiffrement ChaCha20-Poly1305 + AES-256-GCMipset kernel, MAJ hebdo atomique (zero downtime)expose_php=Off, 10 fonctions dangereuses desactivees (exec, shell_exec, system…)/dbadmin_<hex>, cookie 30 min, AllowArbitraryServer=false, syslog*.domain via OVH API--check-dns resout chaque record, --check-dns --fix auto-corrige via APIinet_interfaces=loopback-only, TLS opportuniste, pas de relayv=spf1 a mx ip4:{IP} include:mx.ovh.com ~allp=quarantine, rapports a l'admin, alignement SPF+DKIM--dkim-rotate cree un selecteur horodate mail{YYYYMMDD}, conserve l'ancienauid>=1000kptr_restrict, IP forwarding off, Magic SysRq offnoexec,nosuid,nodev (tmpfs 1 Go) — bloque payload staging/var/log/sudo.log/etc/modsecurity/rules.d//var/log/bootstrap_structured.jsonl — pret pour Loki/ELK--audit-html) : OK/WARN/FAIL par section--rollback instantane--clone <ip> : rsync SSH des scripts, DKIM, VHosts, certs, logrotatefleet.conf), exec distribue, sync config, status--fresh pour repartir de zerohooks.d/ : pre/post install, domain-add, domain-remove, backupChaque domaine ajoute obtient automatiquement l'integralite de la stack.
| # | Fonction | Resultat |
|---|---|---|
| 1 | dm_register_domain | domains.conf — domaine:selecteur |
| 2 | dm_generate_dkim_key | /etc/opendkim/keys/{domain}/{sel}.private |
| 3 | dm_rebuild_opendkim | keytable + signingtable + trustedhosts |
| 4 | dm_deploy_parking | Page WebGL Three.js 3D + robots.txt |
| 5 | dm_setup_dns | API OVH : A, AAAA, www, SPF, DKIM, DMARC, CAA |
| 6 | dm_obtain_ssl | Certbot DNS-01 wildcard ou HTTP-01 |
| 7 | dm_deploy_vhosts | 000-redirect + 010-https + 020-wildcard |
| 8 | dm_deploy_logrotate | /etc/logrotate.d/apache-vhost-{domain} |
--check-dns --fix
9 couches de securite entre Internet et vos donnees.
Tout se fait via le meme point d'entree.
# Installation complete $ sudo ./debian13-server.sh # Mode silencieux $ sudo ./debian13-server.sh --noninteractive # Reprendre apres interruption $ sudo ./debian13-server.sh # Repartir de zero $ sudo ./debian13-server.sh --fresh # Simulation / Audit $ sudo ./debian13-server.sh --dry-run $ sudo ./debian13-server.sh --audit
# Ajouter un domaine $ sudo ./debian13-server.sh --domain-add example.com # Lister / verifier $ sudo ./debian13-server.sh --domain-list $ sudo ./debian13-server.sh --domain-check # DNS auto-correction $ sudo ./debian13-server.sh --check-dns --fix
# Backup $ sudo ./debian13-server.sh --backup # Clonage serveur $ sudo ./debian13-server.sh --clone 10.0.0.2 # Fleet multi-serveurs $ sudo ./debian13-server.sh --fleet-status $ sudo ./debian13-server.sh --fleet-exec "apt update"
$ make test # 465 tests bats-core $ make lint # shellcheck $ make check-syntax # bash -n $ make docker-test # Docker isole