Ejemplo de configuración:

<VirtualHost *:80>
        ServerName <IP-DEL-SERVIDOR>
        Redirect 403 /
        ErrorDocument 403 “Sorry, direct IP access not allowed.”
        DocumentRoot /dev/null/
        UseCanonicalName Off
</VirtualHost>

Estudiar redirección a página con explicación.

Ante todo, NO se debe mostrar un sitio en el acceso por IP.
Favorable si además todo es tráfico cifrado.

Para evitar que se creen usuarios con mismo nombre, valorar la posibilidad de añadir una cadena aleatoria a los nombres.

Esto también ayudará a aumentar la seguridad en la base de datos, al ser más difícil conocer la mitad del par de autencicación.

Se valora añadir los citados caracteres aleatorios a:

• El nombre de usuario UNIX
• El nombre de usuario de la BDD
• La base de datos creada para el usuario.

Bajo ningún concepto se añadirán estos caracteres a los dominios de la web.

Dentro del script correr:

certbot --apache -d $dominio -d d-$dominio

Habría que cambiar la estructura de dominios para ser:
.blog.villablanca.me
De esta manera, se podría ordenar un certificado para *.blog.villablanca.me
Coste de $10/mes

Hacer plantilla con SIB o MC.

Alojar en GH el HTML y hacer seds

https://github.com/gonzaleztroyano/ASIR2-IAW-SCRIPT/blob/c95fb4bb958a40251e8017ae2d3564f42e3b7bb6/crear_apache.sh#L20

Es necesario configurar cómo se configurará el FTP para el usuario que se está creando en ese momento.

Puede hacerse mediante sed y agrupaciones, para añadir el usuario al include o similares.

CHECK: chown de los datos de WP. ¿www-data o user?

Tal y como se puede ver aquí:

Solo se reciben los del {job="villablancame_apachelogs_general"}

https://developers.cloudflare.com/cloudflare-one/tutorials/ssh-browser

De acuerdo a las limitaciones del servidor.

Por usuario, tanto inodos como capacidad.

Crear una función que permita, al menos, definir variables para:

• $cf_email
• $cf_zone
• $cf_token
• $base_domain
• $sib_api_key

Utilizando la siguiente llamada a la API:

curl -X POST "https://api.cloudflare.com/client/v4/zones/$cf_zone/dns_records" \
     -H "X-Auth-Email: $cf_email" \
     -H "Authorization: Bearer $cf_token " \
     -H "Content-Type: application/json" \
     --data '{"type":"A","name":"'$record'","content":"127.0.0.1","ttl":3600,"proxied":false}'

Siendo:

• $cf_zone: el ID de la zona. Se puede conseguir desde la GUI web (abajo derecha)
• $cf_email: el email de la cuenta en CloudFlare
• cf_token: el token generado en exclusiva para la zona. Importante: ajustar TTL y rolling
• $record: el registro a añadir, incluyendo la zona raíz.

Encontrar una forma de guardarlas "¿encriptadas?"

No se deberá permitir el inicio SSH a los usuarios estándar (shell --> /bin/false).

Se usará, si es posible el propio subsistema SFTP de SSH; previniendo así problemas con software tercero.

En el archivo /etc/ssh/sshd_config:

Subsystem sftp internal-sftp

Match para los usuarios web:

    ChrootDirectory %h
    ForceCommand internal-sftp -u 0027
    PasswordAuthentication yes

Se deberán instalar los siguientes paquetes:

apt update -y
apt install -i apache2 php7.4 libapache2-mod-php libapache2-mod-php php-mysql php-cli mariadb-server mariadb-client php-curl php-gd php-mbstring php-xml php-xmlrpc php-soap php-intl php-zip libapache2-mpm-itk

Activar algunos complementos de Apache:

a2enmod rewrite

⚠️ envio_email no puede publicarse.

Acciones previas a hacer público el repositorio:

• Eliminar la clave API xsmtpsib-ed [...] bOxtk3
• Generar otra y no publicar en Gitub
• Almacenar de forma segura y revisar logs

Permitir creación solo de un WP, sin sitio básico de Apache.

Instalar el agente Grafana Cloud para Prometheus y Loki.

Ejemplo de configuración:

    scrape_configs:
      - job_name: varlogs
        static_configs:
          - targets: [localhost]
            labels:
              job: varlogs
              __path__: /var/log/*log
      - job_name: apachelogs
        static_configs:
          - targets: [localhost]
            labels:
              job: apachelogs
              __path__: /var/log/apache2/*log

Importante: designar jobnames distintos para cada sitio. Exclusivos, para facilitar la búsqueda. ¿Esto dará problemas? ¿Uso de labels?

Synthetic Monitoring
¿Cómo supervisar sin cargar el servidor?

https://www.phpmyadmin.net/

Te comparto mi script para pruebas. Funciona aparentemente como debería.

IMPORTANTE: ojo con los dominios de más de 3 caracteres.

#!/bin/bash

read -p "Dame el mail " mail

if [[ $mail =~ ^[a-zA-Z0-9_]+@[a-zA-Z_]+?\.[a-zA-Z]{2,3}$ ]]; then
    echo "mail válido"
else 
    echo "Como clarita, tu mail es inválido"
fi

Originally posted by @gonzaleztroyano in angelocho/script#1 (comment)

id $usuario

Es necesario:

• Eliminar tienda_${usuario}-le-ssl.conf
• Eliminar tienda_${usuario}.conf
• Quitar permisos mysql tienda_${usuario}.*
• Add Drop Database PS

printf "$usuario_a_modificar:$password_nueva_1" | chpasswd
Seguramente de menos problemas.

https://docs.ovh.com/es/vps/configurar-ipv6/