Numenaute

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
doc:forgejo [2024/06/19 18:45] – [Pour les utilisateurs avancés] Zatalyzdoc:forgejo [2025/06/16 19:00] (Version actuelle) – [Installation] Deed
Ligne 112: Ligne 112:
 ==== Upgrade ==== ==== Upgrade ====
 Vérifier s'il y a les fichiers de configuration à changer avant tout. Vérifier s'il y a les fichiers de configuration à changer avant tout.
-== Upgrade simple ==+=== Upgrade simple ===
   wget https://codeberg.org/forgejo/forgejo/releases/download/v1.*.*-*/forgejo-1*.*-*-linux-amd64   wget https://codeberg.org/forgejo/forgejo/releases/download/v1.*.*-*/forgejo-1*.*-*-linux-amd64
   chmod +x forgejo-1.*.*-*-linux-amd64   chmod +x forgejo-1.*.*-*-linux-amd64
Ligne 120: Ligne 120:
   sudo service forgejo start   sudo service forgejo start
  
-== Upgrade complexe ==+=== Upgrade complexe ===
  
 page à check : https://forgejo.org/docs/latest/admin/upgrade/ page à check : https://forgejo.org/docs/latest/admin/upgrade/
 +
 +
 +==== Gestion des badbot ====
 +Y'a des bots malpolis sur le web... Sur Forgejo, leur impact peut être vraiment gênant.
 +
 +=== Remplissage des archives ===
 +Lorsque quelqu'un télécharge une archive d'un dépôt (en zip ou tar.gz), cela génère une "archive". Par défaut, elles ont juste stockées. Mais cela peut rapidement remplir l'espace disque. On va donc faire que ce soit purgé régulièrement. 
 +
 +<code ini /etc/forgejo/app.ini>[repository]
 +ARCHIVE_RETENTION_DAYS = 1</code>
 +
 +On peut évidement mettre plus si on a réglé le souci des badbots, parce que générer les archives prends aussi un peu de puissance sur le serveur (donc "moins" c'est parfois mieux). 
 +
 +Redémarrer le service : 
 +  sudo systemctl restart forgejo
 +
 +=== Bannir les vilains via nftables et Fail2ban ===
 +<WRAP center round tip 60%>
 +Si le proxy gère les accès, cela se paramètre sur le proxy.
 +</WRAP>
 +Configuration de nftables : 
 +<code bash /etc/nftables.conf>
 +table inet filter {
 +    # création du set où les vilaines ip seront notées
 +    set bad_ips {
 +        type ipv4_addr;
 +        flags dynamic;
 +        timeout 24h;
 +    }
 +
 +    chain input {
 +        type filter hook input priority 0; policy accept;
 +        # action sur ces vilaines ip : les balancer dans le vide
 +        ip saddr @bad_ips drop;
 +    }
 +}
 +</code> 
 +
 +Recharger nftables : 
 +  sudo nft -f /etc/nftables.conf
 +Pour bloquer une ip suspecte qu'on n'a pas encore "eu" via un filtre de fail2ban : 
 +  sudo nft add element inet filter bad_ips { xx.xxx.xxx.xxx }
 +
 +Voir les IPs bannies :
 +  sudo nft list set inet filter bad_ips
 +
 +Débloquer une IP :
 +  sudo nft delete element inet filter bad_ips { xx.xxx.xxx.xxx }
 +
 +
 +
 +Puis on installe Fail2Ban et on le paramètre avec ces deux fichiers 
 +<code bash /etc/fail2ban/filter.d/nginx-runner.conf>
 +[Definition]
 +failregex = ^<HOST> - .*"POST /api/actions/runner.* HTTP.*"
 +ignoreregex =
 +</code>
 +
 +
 +<code bash /etc/fail2ban/jail.d/custom.conf>
 +[DEFAULT]
 +maxRetry = 4
 +findtime = 3h
 +bantime = 3d
 +banaction = nftables-multiport
 +
 +[nginx-runner]
 +enabled = true
 +filter = nginx-runner
 +port = http,https
 +logpath = /var/log/nginx/forgejo.access.log
 +maxretry = 1
 +findtime = 600
 +bantime = 86400
 +banaction = nftables-multiport
 +</code>
 +
 +Et on active le service : 
 +  sudo systemctl enable fail2ban
 +  sudo systemctl restart fail2ban
 +
 +Pour voir quelles ips sont dans la jail : 
 +  sudo fail2ban-client status nginx-runner
 +
 +=====RUNNER=====
 +====Installation====
 +Source: https://forgejo.org/docs/latest/admin/runner-installation
 +===Dépendance===
 +  apt install wget 
 +
 +Installation de Docker:
 +
 +Source: https://docs.docker.com/engine/install
 +
 +Ajoute la Clé GPG:
 +  sudo apt update
 +  sudo apt install ca-certificates curl
 +  sudo install -m 0755 -d /etc/apt/keyrings
 +  sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
 +  sudo chmod a+r /etc/apt/keyrings/docker.asc
 +
 +Ajouter les sources:
 +  echo \
 +    "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian \
 +    $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
 +    sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
 +
 +Installer Docker:
 +  sudo apt update
 +  sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
 +===Config Daemon===
 +
 +Fichier Daemon:
 +  [Unit]
 +  Description=Forgejo Runner
 +  Documentation=https://forgejo.org/docs/latest/admin/actions/
 +  After=docker.service
 +  
 +  [Service]
 +  ExecStart=forgejo-runner daemon --config /home/runner/config.yml
 +  ExecReload=/bin/kill -s HUP $MAINPID
 +  
 +  # This user and working directory must already exist
 +  User=runner
 +  WorkingDirectory=/home/runner
 +  Restart=on-failure
 +  TimeoutSec=0
 +  RestartSec=10
 +  
 +  [Install]
 +
 +Reload le systemd:
 +  sudo systemctl daemon-reload
 +
 +===Télécharger et Installer===
 +Télécharger:
 +  export RUNNER_VERSION=$(curl -X 'GET' https://data.forgejo.org/api/v1/repos/forgejo/runner/releases/latest | jq .name -r | cut -c 2-)
 +  wget -O forgejo-runner https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64
 +  chmod +x forgejo-runner
 +  wget -O forgejo-runner.asc https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64.asc
 +  gpg --keyserver keys.openpgp.org --recv EB114F5E6C0DC2BCDD183550A4B61A2DC5923710
 +  gpg --verify forgejo-runner.asc forgejo-runner
 +
 +Installer:
 +   sudo cp forgejo-runner /usr/local/bin/forgejo-runner
 +
 +Configurer le Home:
 +  useradd --create-home runner
 +  usermod -aG docker runner
 +
 +Configurer les dossiers dans le home:
 +  sudo su - runner
 +
 +  mkdir -p data
 +  touch data/.runner
 +  mkdir -p data/.cache
 +
 +  chown -R 1001:1001 data/.runner
 +  chown -R 1001:1001 data/.cache
 +  chmod 775 data/.runner
 +  chmod 775 data/.cache
 +  chmod g+s data/.runner
 +  chmod g+s data/.cache
 +
 +Enregistrer le Runner:
 +  sudo -u runner forgejo-runner register
 +
 +
 +Démarrer le Runner:
 +  sudo service forgejo-runner start
 +====Update====
 +
 +  export RUNNER_VERSION=$(curl -X 'GET' https://data.forgejo.org/api/v1/repos/forgejo/runner/releases/latest | jq .name -r | cut -c 2-)
 +  wget -O forgejo-runner https://code.forgejo.org/forgejo/runner/releases/download/v${RUNNER_VERSION}/forgejo-runner-${RUNNER_VERSION}-linux-amd64
 +  sudo service forgejo-runner stop
 +  sudo chmod +x forgejo-runner
 +  sudo cp forgejo-runner /usr/local/bin/forgejo-runner
 +  sudo service forgejo-runner start
 +
 +
  
 {{tag>Brouillon Documentation}} {{tag>Brouillon Documentation}}
  
CC Attribution-Share Alike 4.0 International Driven by DokuWiki 🏳️‍🌈 Symboles inclusifs et politiques
doc/forgejo.1718822754.txt.gz · Dernière modification : 2024/06/19 18:45 de Zatalyz