====== Configuration des comptes utilisateurs ======

===== Configurer le compte debian =====
  * Se connecter au serveur depuis la machine dont la clé SSH a été enregistrée lors de la création de l'instance Public Cloud. Utiliser la commande : ''ssh debian@<ip-public>''
    * **Note** : si vous avez modifier votre fichier ///etc/hosts//, vous pouvez utiliser : '' ssh debian@web-<region>-sinp '' puis '' ssh debian@db-<region>-sinp ''
  * Modifier le fichier //.bashrc// de l'utilisateur //debian// : ''vi /home/debian/.bashrc''
      * Décommenter les lignes d'alias
      * Ajouter le prompt en couleur : <code bash>PS1='${debian_chroot:+($debian_chroot)}\[\033[1;33m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '</code> 
      * Ajouter le code suivant à la fin pour la prise en compte des dossier //bin/// de l'utilisateur :<code bash>
# Set PATH so it includes user's private bin if it exists and not already set
if [[ -d "${HOME}bin" && ":$PATH:" != *":${HOME}bin:"* ]] ; then
    PATH="${HOME}bin:${PATH}"
fi

# Set PATH so it includes user's private bin if it exists and not already set
if [[ -d "${HOME}.local/bin" && ":${PATH}:" != *":${HOME}.local/bin:"* ]] ; then
    PATH="${HOME}.local/bin:${PATH}"
fi
</code> 



===== Configurer le compte root =====
  * Pas d'accès direct //root// par SSH (=> sécurité !), se connecter en utilisant la commande : ''ssh debian@<ip-public>''
  * Depuis l'utilisateur //debian//, passer en root : ''sudo -i''
  * Définir un mot de passe pour root (stocker ses infos dans Keepass) : ''passwd''
  * Configuration du compte //root// :
    * Modifier le fichier //.bashrc// de root : ''vi /root/.bashrc''
      * Décommenter les lignes d'alias
      * Ajouter le prompt en couleur : <code bash>PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '</code> 
      * Ajouter la prise en charge du fichier //.bash_aliases// : <code bash>
# Charger les alias depuis le fichier .bash_aliases
if [ -f ~/.bash_aliases ]; then
    . ~/.bash_aliases
fi
</code>
  * Ajouter le fichier //.bash_aliases// : 
    * ''vi ~/.bash_aliases''
    * Y mettre le contenu suivant : 
      * Pour //web-srv// : <code bash>
alias nginx-reload='nginx -t && nginx -s reload'
</code>
      * Pour //db-srv// : <code bash>
alias pga='sudo -u postgres pg_activity -U postgres'
</code>

===== Création utilisateur geonat =====
  * L'utilisateur //debian// (= //admin//) est l'administrateur système du serveur. Il possède des droits //sudo// avancés.
  * Il est nécessaire de le créer sur les 2 instances principale (//web-srv// et //db-srv//) par défaut. Il sera également nécessaire sur l'instance //bkp-srv// en cas de mise en place d'un environnement de pré-production.
  * L'utilisateur //geonat// va servir d'utilisateur système permettant d'accéder à la base de données de GeoNature qui aura pour administrateur //geonatadmin// :
    * Créer un utilisateur //geonat// : ''adduser geonat''
      * **ATTENTION** : créer un mot de passe complexe pour cet utilisateur car l'accès via SSH par mot de passe va être autorisé pour celui-ci !
    * L'ajouter au groupe //sudo// : ''usermod -aG sudo geonat''
  * Activer la connexion par mot de passe avant d’appliquer la commande ''ssh-copy-id geonat@<server>''
    * Dans le serveur -> modification du fichier de config ssh :<code bash>
vi /etc/ssh/sshd_config
</code>
      * Ajouter à la fin du fichier : <code properties>
Match User geonat
   PasswordAuthentication yes 
</code>
  * Redémarrer ssh :<code bash>
systemctl restart sshd
</code>
  * Ajouter votre clé SSH public au fichier //~/.ssh/authorized_keys// pour pouvoir s'y connecter directement :
    * Depuis votre machine locale lancer la commander : ''ssh-copy-id geonat@<ip-public-instance>''
    * Vérifier que la connexion fonctionne et qu'aucun mot de passe n'est demandé : ''ssh geonat@<ip-public-instance>''


===== Changer le nom du compte debian en admin =====
  * Par défaut, les instances public cloud sous Debian Buster, possède un utilisateur //debian//, nous allons lui changer son nom pour //admin//.
  * **ATTENTION PRÉ-REQUIS** : veiller à avoir préalablement :
    * ajouter votre clé SSH à l'utilisateur //geonat// afin de pouvoir vous connecter
    * créer un mot de passe pour //root// afin de pouvoir y accéder au choix depuis :
      * l'utilisateur //geonat// et la commande ''su -''
      * la console VNC disponible sur le Manager OVH et Horizon OpenStack. Attention, cette console est en quwerty par défaut !
  * Se connecter au serveur depuis votre machine locale, utiliser la commande : ''ssh geonat@<ip-public-instance>''
  * Passer en //root// : ''su -''
  * Changer le nom de l'utilisateur //debian// pour //admin// :
    * Vérifier qu'aucune console n'est connecté via SSH à l'utilisateur //debian// sinon les commandes suivantes sont refusées
    * Modifier le nom et le //home// : ''usermod -l admin -d /home/admin -m debian''
    * Modifier le groupe : ''groupmod -n admin debian''
  * Mettre à jour le fichier de config Cloud : ''vi /etc/cloud/cloud.cfg''
    * Remplacer //debian// par //admin// : ''system_info:'' > ''default_user:'' > ''name: admin''
  * Mettre à jour les fichiers sudoers :
    * Donner les droits d'écriture à root aux fichiers concernés : ''chmod -R 740 /etc/sudoers.d/*''
    * Remplacer //debian// par //admin// dans tous les fichiers présents dans le dossier ''/etc/sudoers.d/''
    * Remettre les droits par défaut : ''chmod -R 440 /etc/sudoers.d/*''
  * Redémarrer la machine : ''systemctl reboot''
  * Attendre le redémarrage de la machine : visible depuis l'interface VNC de l'instance sur le Manager OVH
  * Se connecter à la machine : ''ssh admin@<ip-public-instance>''
  * Vérifier que la possibilité de passer en root fonctionne avec : ''sudo -i''

===== Configurer les alertes de Sudo =====
  * En //root//, éditer le fichier de config sudo principal : ''visudo''
    * Vérifier que la ligne suivante à la fin du fichier existe :
      * Debian 11+ : ''@includedir /etc/sudoers.d''
      * Debian 10 : ''#includedir /etc/sudoers.d''
    * Vérifier aussi la présence du dossier ''/etc/sudoers.d''
  * Créer un fichier ///etc/sudoers.d/10-config-email// avec : ''visudo -f /etc/sudoers.d/10-config-email''
    * Ajouter le contenu suivant en adaptant //<domaine-sinp>// :<code>
# Name of this file do not end in '~' or contain a '.' character.
# This file should be mode 0440: `chmod 440 <this-file-name>`

Defaults mailto = "adminsys@<domaine-sinp>"
Defaults mailfrom = "mailer@<domaine-sinp>"
Defaults mail_badpass
Defaults mail_no_host
Defaults mail_no_perms
Defaults mail_no_user
# Disable "always" because it sends too many messages with geonat user !
#Defaults always
Defaults mailsub = "*** Command run via sudo on %h ***"
Defaults badpass_message = "Please Provide Correct Password"
Defaults !lecture,tty_tickets,!fqdn,!syslog
Defaults logfile=/var/log/sudo.log
</code>
  * Vérifier les droits du fichier : ''ls -al /etc/sudoers.d/''
    * S'ils ne sont pas //0440//,donner les bons droits au fichier : ''chmod 440 /etc/sudoers.d/10-config-email''