Actualiser scripts/server-postgres/create_pg_role.sh

passage par un script temporaire

scripts/.directories.txt

@@ -1,5 +1,7 @@
+all_inclusive
 common
 server-dhcp
 server-httpd
 server-mail
 server-mariadb
+server-postgres

scripts/all_inclusive/.list_files.txt

@@ -0,0 +1 @@
+lychee_install.sh

scripts/all_inclusive/lychee_install.sh

@@ -0,0 +1,159 @@
+#!/bin/bash
+
+# Vérifier que le script est lancé en root
+if [[ $EUID -ne 0 ]]; then
+  echo "Ce script doit être exécuté en tant que root." >&2
+  exit 1
+fi
+
+# Définir les variables
+DB_NAME="lychee"
+DB_USER="lycheeuser"
+LYCHEE_DIR="/var/www/lychee"
+APACHE_CONF="/etc/apache2/sites-available/lychee.conf"
+PHP_VERSION="8.3"
+
+PHP_INI_CLI="/etc/php/${PHP_VERSION}/cli/php.ini"
+PHP_INI_APACHE="/etc/php/${PHP_VERSION}/apache2/php.ini"
+
+TIMEZONE=$(timedatectl show --value --property=Timezone)
+
+# Générer un mot de passe alphanumérique sécurisé
+DB_PASSWORD=$(tr -dc 'A-Za-z0-9' </dev/urandom | head -c 16)
+echo "Mot de passe généré pour la base de données : ${DB_PASSWORD}"
+
+# Sauvegarde temporaire root-only
+echo "${DB_PASSWORD}" > /root/.lychee_db_password
+chmod 600 /root/.lychee_db_password
+
+# Mise à jour du système
+apt update && apt upgrade -y
+
+# Ajout du dépôt Sury pour PHP 8.3
+apt install -y apt-transport-https lsb-release ca-certificates wget gnupg2
+wget -qO - https://packages.sury.org/php/apt.gpg | gpg --dearmor -o /etc/apt/trusted.gpg.d/php.gpg
+echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list
+apt update
+
+# Installation des paquets nécessaires
+apt install -y apache2 mariadb-server php${PHP_VERSION} php${PHP_VERSION}-cli php${PHP_VERSION}-intl php${PHP_VERSION}-xmlrpc \
+php${PHP_VERSION}-soap php${PHP_VERSION}-mysql php${PHP_VERSION}-zip php${PHP_VERSION}-gd php${PHP_VERSION}-tidy \
+php${PHP_VERSION}-mbstring php${PHP_VERSION}-curl php${PHP_VERSION}-xml php${PHP_VERSION}-bcmath php${PHP_VERSION}-imagick \
+php${PHP_VERSION}-tokenizer libapache2-mod-php${PHP_VERSION} unzip
+
+# Définir la timezone PHP pour CLI et Apache
+sed -i "s|^;*date.timezone =.*|date.timezone = ${TIMEZONE}|" "${PHP_INI_CLI}"
+sed -i "s|^;*date.timezone =.*|date.timezone = ${TIMEZONE}|" "${PHP_INI_APACHE}"
+
+# Sécuriser MariaDB
+mysql_secure_installation <<EOF
+
+y
+n
+y
+y
+y
+y
+EOF
+
+# Créer la base et l'utilisateur avec droits restreints
+mysql <<EOF
+CREATE DATABASE ${DB_NAME} CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
+CREATE USER '${DB_USER}'@'localhost' IDENTIFIED BY '${DB_PASSWORD}';
+GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER ON ${DB_NAME}.* TO '${DB_USER}'@'localhost';
+FLUSH PRIVILEGES;
+EOF
+
+# Télécharger et installer Lychee proprement
+cd /tmp
+wget https://github.com/LycheeOrg/Lychee/releases/latest/download/Lychee.zip
+unzip Lychee.zip
+rm -rf ${LYCHEE_DIR}
+mv Lychee ${LYCHEE_DIR}
+rm Lychee.zip
+
+# Demander le nom de domaine ou l'IP publique
+read -p "Entrez le nom de domaine ou l'adresse IP d'accès à Lychee (ex: lychee.mondomaine.fr ou 192.168.1.100) : " LYCHEE_HOST
+
+# Forcer le protocole HTTP pour APP_URL
+APP_URL="http://${LYCHEE_HOST}"
+
+# Modification du .env
+cp ${LYCHEE_DIR}/.env.example ${LYCHEE_DIR}/.env
+
+sed -i "s|^APP_URL=.*|APP_URL=${APP_URL}|" ${LYCHEE_DIR}/.env
+sed -i "s|^DB_CONNECTION=.*|DB_CONNECTION=mysql|" ${LYCHEE_DIR}/.env
+sed -i "s|^DB_HOST=.*|DB_HOST=127.0.0.1|" ${LYCHEE_DIR}/.env
+sed -i "s|^DB_PORT=.*|DB_PORT=3306|" ${LYCHEE_DIR}/.env
+sed -i "s|^#*DB_DATABASE=.*|DB_DATABASE=${DB_NAME}|" ${LYCHEE_DIR}/.env
+sed -i "s|^#*DB_USERNAME=.*|DB_USERNAME=${DB_USER}|" ${LYCHEE_DIR}/.env
+sed -i "s|^#*DB_PASSWORD=.*|DB_PASSWORD=\"${DB_PASSWORD}\"|" ${LYCHEE_DIR}/.env
+
+# Définir le fuseau horaire
+echo "APP_TIMEZONE=Europe/Paris" >> ${LYCHEE_DIR}/.env
+
+# Propriétés et permissions
+chown -R www-data:www-data ${LYCHEE_DIR}
+chmod 640 ${LYCHEE_DIR}/.env
+find ${LYCHEE_DIR} -type f -exec chmod 640 {} \;
+find ${LYCHEE_DIR} -type d -exec chmod 750 {} \;
+
+# Permissions spécifiques pour data/upload
+chmod -R 750 ${LYCHEE_DIR}/uploads/ ${LYCHEE_DIR}/data/
+
+# Permissions spécifiques attendues par Lychee
+chmod -R g+s ${LYCHEE_DIR}/public/uploads
+chmod -R g+s ${LYCHEE_DIR}/public/sym
+chmod 2775 ${LYCHEE_DIR}/public/uploads
+chmod 2775 ${LYCHEE_DIR}/public/uploads/import
+chmod 2775 ${LYCHEE_DIR}/public/sym
+chmod 0664 ${LYCHEE_DIR}/public/uploads/import/index.html
+chmod 0664 ${LYCHEE_DIR}/public/sym/index.html
+chmod 2775 ${LYCHEE_DIR}/storage/tmp/jobs
+chmod 2775 ${LYCHEE_DIR}/storage/tmp/uploads
+chmod -R g+s ${LYCHEE_DIR}/storage/tmp/jobs
+chmod -R g+s ${LYCHEE_DIR}/storage/tmp/uploads
+
+# Protéger les fichiers sensibles via .htaccess
+cat > ${LYCHEE_DIR}/.htaccess <<EOF
+<FilesMatch "\.(env|env\.example|sql|log|conf)$">
+    Order allow,deny
+    Deny from all
+</FilesMatch>
+EOF
+
+# Configuration Apache
+cat > ${APACHE_CONF} <<EOF
+<VirtualHost *:80>
+    ServerAdmin webmaster@localhost
+    DocumentRoot ${LYCHEE_DIR}/public
+
+    <Directory ${LYCHEE_DIR}/public>
+        Options -Indexes +FollowSymLinks
+        AllowOverride All
+        Require all granted
+    </Directory>
+
+    ErrorLog \${APACHE_LOG_DIR}/lychee_error.log
+    CustomLog \${APACHE_LOG_DIR}/lychee_access.log combined
+
+    LimitRequestBody 10485760
+</VirtualHost>
+EOF
+
+# Désactiver modules inutiles
+a2dismod -f autoindex status cgi userdir
+
+# Activer Lychee et désactiver le site par défaut
+a2enmod rewrite
+a2ensite lychee.conf
+a2dissite 000-default.conf
+
+# Recharger Apache
+systemctl reload apache2
+
+# Déterminer l'IP locale
+IP=$(hostname -I | awk '{print $1}')
+
+echo "Installation de Lychee terminée."
+echo "Accédez à l’interface web pour finaliser la configuration : http://${IP}"

scripts/common/.list_files.txt

@@ -1,2 +1,3 @@
 common_utils.sh
 setup_debian.sh
+setup_mdns.sh

scripts/common/common_utils.sh

@@ -10,7 +10,7 @@ check_root() {
 }
 
 generate_token() {
-    tr -dc 'A-Za-z0-9@#%+=_-' < /dev/urandom | head -c "${1:-32}"
+    tr -dc 'A-Za-z0-9' < /dev/urandom | head -c "${1:-32}"
     echo
 }
 
@@ -67,10 +67,10 @@ get_fqdn_and_domain() {
 # Vérification de la résolution DNS
 check_dns() {
     local server_name=$1
-    
+
     # Récupération de l'adresse IP publique du serveur
     SERVER_IP=$(curl -4 -s ifconfig.me || hostname -I | awk '{print $1}')
-    
+
     # Récupération de l'adresse IP associée au FQDN
     FQDN_IP=$(dig +short A "$server_name" | tail -n1)
 
@@ -78,17 +78,18 @@ check_dns() {
     if [[ -z "$FQDN_IP" ]]; then
         echo "❌ Erreur : Impossible de récupérer l'adresse IP associée à $server_name via DIG."
         echo "➡️  Vérifie la configuration DNS et l'existence du domaine."
-        exit 1
+        return 1  # Erreur bloquante uniquement ici
     fi
 
-    # Comparaison des IPs
+    # Comparaison des IPs mais uniquement en Alerte non bloquante
     if [[ "$SERVER_IP" != "$FQDN_IP" ]]; then
         echo "⚠️  Alerte DNS : L'adresse IP résolue ($FQDN_IP) ne correspond pas à l'IP publique actuelle ($SERVER_IP)."
-        echo "➡️  Vérifie la configuration DNS et la propagation des enregistrements."
+        echo "➡️  Vérifie la configuration DNS et la propagation si nécessaire."
-        exit 1
+    else
+        echo "✅ Vérification réussie : $server_name pointe correctement vers $SERVER_IP."
     fi
 
-    echo "✅ Vérification réussie : $server_name pointe correctement vers $SERVER_IP."
+    return 0
 }
 
 

scripts/common/setup_debian.sh

@@ -138,6 +138,19 @@ configure_locales() {
     fi
 }
 
+configure_timezone() {
+    echo "Détection de la timezone via l'IP publique..."
+    TIMEZONE=$(curl -s https://ipinfo.io/timezone)
+
+    # Définir la timezone via timedatectl
+    echo "Définition de la timezone à : $TIMEZONE"
+    timedatectl set-timezone "$TIMEZONE"
+}
+
+install_paquets() {
+    apt install -y curl
+}
+
 ### SECTION PRINCIPALE : Activer/Désactiver les options ici
 update_system
 install_sudo
@@ -145,6 +158,8 @@ add_admin_user
 configure_ssh
 install_fail2ban
 configure_locales
+install_paquets
+configure_timezone
 
 echo "Installation et configuration de base terminées."
 echo "Vous pouvez maintenant vous connecter avec l'utilisateur : $NEW_USER"

scripts/common/setup_mdns.sh

@@ -0,0 +1,133 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+set -e
+
+echo "=== Détection des interfaces réseau actives ==="
+INTERFACES=$(ip -o link show | awk -F': ' '{print $2}' | grep -Ev 'lo|docker|veth|br|vmnet|virbr')
+echo "Interfaces détectées : $INTERFACES"
+ALLOWED_INTERFACES=$(echo "$INTERFACES" | paste -sd "," -)
+
+echo "=== Installation d'Avahi (mDNS) et des dépendances ==="
+apt update
+apt install -y avahi-daemon avahi-utils libnss-mdns nscd systemd-resolved
+
+echo "=== Vérification de la présence de libnss_mdns.so.2 ==="
+if [[ ! -f /lib/x86_64-linux-gnu/libnss_mdns.so.2 ]]; then
+    echo "❌ libnss_mdns.so.2 manquante, tentative de réinstallation"
+    apt install --reinstall -y libnss-mdns
+fi
+
+echo "=== Configuration de /etc/nsswitch.conf ==="
+if grep -q '^hosts:' /etc/nsswitch.conf; then
+    sed -i 's/^hosts:.*/hosts: files mdns4 dns/' /etc/nsswitch.conf
+else
+    echo "hosts: files mdns4 dns" >> /etc/nsswitch.conf
+fi
+grep hosts /etc/nsswitch.conf
+
+echo "=== Redémarrage des caches DNS si présents ==="
+systemctl restart nscd || echo "nscd non utilisé"
+systemctl restart systemd-resolved || echo "systemd-resolved non utilisé"
+
+echo "=== Vérification d'un éventuel service sur le port 80 ==="
+if ss -tuln | grep -q ':80 '; then
+    echo "❌ Un service écoute déjà sur le port 80. Abandon de la publication HTTP de test."
+    PUBLISH_HTTP=false
+else
+    PUBLISH_HTTP=true
+fi
+
+echo "=== Sauvegarde de la conf avahi ==="
+cp /etc/avahi/avahi-daemon.conf /etc/avahi/avahi-daemon.conf.bak.$(date +%F-%H%M)
+
+echo "=== Génération de la configuration avahi-daemon.conf ==="
+cat > /etc/avahi/avahi-daemon.conf <<EOF
+[server]
+host-name=$(hostname)
+use-ipv4=yes
+use-ipv6=no
+allow-interfaces=$ALLOWED_INTERFACES
+ratelimit-interval-usec=1000000
+ratelimit-burst=10
+
+[wide-area]
+enable-wide-area=no
+
+[publish]
+publish-addresses=yes
+publish-hinfo=yes
+publish-workstation=yes
+publish-domain=yes
+
+[reflector]
+enable-reflector=no
+
+[rlimits]
+rlimit-as=0
+rlimit-core=0
+rlimit-data=4194304
+rlimit-fsize=0
+rlimit-nofile=300
+rlimit-stack=4194304
+EOF
+
+if $PUBLISH_HTTP; then
+    echo "=== Publication temporaire d'un service HTTP de test ==="
+    mkdir -p /etc/avahi/services
+    cat > /etc/avahi/services/test-http.service <<EOF
+<?xml version="1.0" standalone='no'?>
+<!DOCTYPE service-group SYSTEM "avahi-service.dtd">
+<service-group>
+  <name replace-wildcards="yes">Test HTTP on %h</name>
+  <service>
+    <type>_http._tcp</type>
+    <port>80</port>
+  </service>
+</service-group>
+EOF
+fi
+
+echo "=== Activation et redémarrage du service Avahi ==="
+systemctl enable avahi-daemon
+systemctl restart avahi-daemon
+
+echo "=== Vérification du statut du service ==="
+systemctl status avahi-daemon --no-pager || { echo "❌ Avahi ne fonctionne pas."; exit 1; }
+
+echo "=== Vérification du multicast sur l'interface ==="
+ip a | grep MULTICAST || echo "⚠️ Aucune interface multicast détectée"
+
+echo "=== Vérification de l'écoute sur le port UDP 5353 ==="
+ss -uln | grep 5353 || echo "⚠️ Aucun service écoutant sur UDP/5353"
+
+echo "=== Test de la résolution mDNS avec getent (NSS) ==="
+LOCAL_HOST="$(hostname).local"
+if getent hosts "$LOCAL_HOST"; then
+    echo "✅ Résolution mDNS de $LOCAL_HOST réussie via getent"
+else
+    echo "❌ La résolution mDNS de $LOCAL_HOST a échoué via getent"
+    exit 1
+fi
+
+echo "=== Scan des services mDNS disponibles ==="
+avahi-browse -a -t || echo "⚠️ Aucun service mDNS visible (normal si peu de services publiés)"
+
+echo "✅ mDNS opérationnel sur : $ALLOWED_INTERFACES"
+echo "$INTERFACES" > /var/log/mdns_interfaces.log
+echo "Interfaces enregistrées dans /var/log/mdns_interfaces.log"
+
+if $PUBLISH_HTTP; then
+    echo "=== Suppression du service HTTP de test ==="
+    rm -f /etc/avahi/services/test-http.service
+    systemctl restart avahi-daemon
+    echo "✅ Service HTTP de test retiré proprement"
+fi
+
+echo "✅ Script terminé avec succès"

scripts/server-dhcp/add_dns_entry.sh

@@ -89,11 +89,11 @@ for HOSTNAME in "${HOSTNAMES[@]}"; do
     if is_hostname_registered "$FQDN"; then
         echo "L'association $FQDN -> $IP existe déjà."
     else
-        read -t 5 -p "Le FQDN $FQDN n'est pas dans la liste. Voulez-vous l'ajouter ? (o/N) 5s " REPLY
+        read -p "Le FQDN $FQDN n'est pas dans la liste. Voulez-vous l'ajouter ? (o/N) " REPLY
         # Si aucune entrée n'est faite dans le délai imparti, on met "n" par défaut
         if [[ -z "$REPLY" ]]; then
             REPLY="n"
-            echo -e "\nTemps écoulé. Réponse par défaut : n"
+            echo -e "\nRéponse par défaut : n"
         fi
         if [[ "$REPLY" =~ ^[Oo]$ ]]; then
             echo "address=/$FQDN/$IP" >> "$DNSMASQ_CONF"
@@ -140,10 +140,10 @@ for HOSTNAME in "${HOSTNAMES[@]}"; do
         if [[ "$(get_actual_fqdn "$IP")" != "$ACTUAL_FQDN" ]]; then
             if [[ -n "$EXISTING_PTR" ]]; then
                 if [[ "$EXISTING_PTR" != "ptr-record=$PTR_RECORD,$ACTUAL_FQDN" ]]; then
-                    read -t 5 -p "Voulez-vous le remplacer ? (o/N) 5s " REPLY
+                    read -p "Voulez-vous le remplacer ? (o/N) " REPLY
                     if [[ -z "$REPLY" ]]; then
                         REPLY="n"
-                        echo -e "\nTemps écoulé. Réponse par défaut : n"
+                        echo -e "\nRéponse par défaut : n"
                     fi
                     if [[ "$REPLY" =~ ^[Oo]$ ]]; then
                         sed -i "/ptr-record=$PTR_RECORD/d" "$DNSMASQ_CONF"

scripts/server-httpd/add_domain.sh

@@ -9,16 +9,15 @@ source "$(dirname "$0")/../common/common_utils.sh"
 # Vérifier si le script est exécuté en root
 check_root
 
-# Vérification DNS
+# Vérification DNS (alerte non bloquante)
-check_dns "$DOMAIN"
+if ! check_dns "$DOMAIN"; then
+    echo "⚠️  Attention : Résolution DNS impossible pour $DOMAIN. Vérifie si c'est bien ce que tu veux."
+fi
 
 REVERSED_DOMAIN=$(echo "$DOMAIN" | awk -F. '{for(i=NF; i>0; i--) printf "%s%s", $i, (i>1 ? "." : "")}')
 VHOST_CONF="/etc/apache2/sites-available/$REVERSED_DOMAIN.conf"
 
-# Créer les dossiers nécessaires
+# Préparer le dossier du VirtualHost
-mkdir -p "$BACKUP_DIR" "$TEMPLATE_DIR" "$CHALLENGE_DIR"
-chown -R www-data:www-data "$CHALLENGE_DIR"
-
 mkdir -p "/var/www/$REVERSED_DOMAIN"
 chown -R www-data:www-data "/var/www/$REVERSED_DOMAIN"
 chmod -R 755 "/var/www/$REVERSED_DOMAIN"

scripts/server-httpd/install-php8-3.sh

@@ -20,6 +20,8 @@ apt update && apt upgrade -y || { echo -e "${RED}Échec de la mise à jour des p
 VERSION=$(lsb_release -sc)
 SUPPORTED_VERSIONS=("buster" "bullseye" "bookworm")
 
+TIMEZONE=$(timedatectl show --value --property=Timezone)
+
 if [[ ! " ${SUPPORTED_VERSIONS[@]} " =~ " ${VERSION} " ]]; then
     echo -e "${RED}Version de Debian non supportée : $VERSION${RESET}"
     exit 1
@@ -41,13 +43,53 @@ fi
 # Définition de la version PHP souhaitée
 PHP_VERSION="8.3"
 
+PHP_INI_CLI="/etc/php/${PHP_VERSION}/cli/php.ini"
+PHP_INI_APACHE="/etc/php/${PHP_VERSION}/apache2/php.ini"
+
 # Vérification de l'installation de PHP
 echo -e "${YELLOW}Installation de PHP $PHP_VERSION et des modules courants...${RESET}"
-apt install -y php$PHP_VERSION php$PHP_VERSION-cli php$PHP_VERSION-fpm \
+
-    php$PHP_VERSION-mysql php$PHP_VERSION-curl php$PHP_VERSION-gd \
+# Base des modules PHP à installer
-    php$PHP_VERSION-mbstring php$PHP_VERSION-xml php$PHP_VERSION-zip \
+PHP_MODULES=(
-    php$PHP_VERSION-bcmath php$PHP_VERSION-soap php$PHP_VERSION-intl \
+    php${PHP_VERSION}
-    php$PHP_VERSION-readline php$PHP_VERSION-ldap php$PHP_VERSION-imagick || { echo -e "${RED}Échec de l'installation de PHP${RESET}"; exit 1; }
+    php${PHP_VERSION}-cli
+    php${PHP_VERSION}-fpm
+    php${PHP_VERSION}-curl
+    php${PHP_VERSION}-gd
+    php${PHP_VERSION}-mbstring
+    php${PHP_VERSION}-xml
+    php${PHP_VERSION}-zip
+    php${PHP_VERSION}-bcmath
+    php${PHP_VERSION}-soap
+    php${PHP_VERSION}-intl
+    php${PHP_VERSION}-readline
+    php${PHP_VERSION}-ldap
+    php${PHP_VERSION}-imagick
+    php${PHP_VERSION}-exif
+    php${PHP_VERSION}-gmp
+    php${PHP_VERSION}-apcu
+    php${PHP_VERSION}-opcache
+    php${PHP_VERSION}-sqlite3
+)
+
+# Vérification MySQL / MariaDB
+if dpkg -l | grep -qE 'mysql-server|mariadb-server'; then
+    echo -e "${GREEN}MySQL/MariaDB détecté. Ajout du module php-mysql.${RESET}"
+    PHP_MODULES+=(php${PHP_VERSION}-mysql)
+fi
+
+# Vérification PostgreSQL
+if dpkg -l | grep -q postgresql; then
+    echo -e "${GREEN}PostgreSQL détecté. Ajout du module php-pgsql.${RESET}"
+    PHP_MODULES+=(php${PHP_VERSION}-pgsql)
+fi
+
+# Installation des modules PHP
+echo -e "${GREEN}Installation des modules PHP...${RESET}"
+apt install -y "${PHP_MODULES[@]}" || { 
+    echo -e "${RED}❌ Échec de l'installation de PHP ou des modules.${RESET}"
+    exit 1
+}
 
 # Vérification si Apache est installé et installation du module PHP si nécessaire
 if systemctl list-units --type=service --all | grep -q "apache2.service"; then
@@ -60,6 +102,7 @@ fi
 
 # Configuration de PHP-FPM si ce n'est pas déjà fait
 PHP_INI="/etc/php/$PHP_VERSION/fpm/php.ini"
+PHP_INI_DIR="/etc/php/${PHP_VERSION}/fpm/conf.d"
 
 if grep -q "memory_limit = 512M" "$PHP_INI"; then
     echo -e "${GREEN}Configuration de PHP-FPM déjà optimisée.${RESET}"
@@ -74,17 +117,49 @@ else
     systemctl restart php$PHP_VERSION-fpm || { echo -e "${RED}Échec du redémarrage de PHP-FPM${RESET}"; exit 1; }
 fi
 
-# Vérification des modules PHP installés
+# Configuration OPCache
-echo -e "${GREEN}Modules PHP installés :${RESET}"
+OPCACHE_INI="${PHP_INI_DIR}/10-opcache.ini"
-php -m
+cat > "$OPCACHE_INI" <<EOF
+; Configuration OPcache optimisée
+opcache.enable=1
+opcache.memory_consumption=128
+opcache.interned_strings_buffer=16
+opcache.max_accelerated_files=10000
+opcache.revalidate_freq=60
+opcache.fast_shutdown=1
+opcache.enable_cli=1
+EOF
+echo "==> Fichier $OPCACHE_INI mis à jour."
+
+# Configuration APCu
+APCU_INI="${PHP_INI_DIR}/20-apcu.ini"
+cat > "$APCU_INI" <<EOF
+; Configuration APCu optimisée
+apc.enabled=1
+apc.shm_size=64M
+apc.ttl=7200
+apc.enable_cli=0
+EOF
+echo "==> Fichier $APCU_INI mis à jour."
+
+# Définir la timezone PHP pour CLI et Apache
+sed -i "s|^;*date.timezone =.*|date.timezone = ${TIMEZONE}|" "${PHP_INI_CLI}"
+sed -i "s|^;*date.timezone =.*|date.timezone = ${TIMEZONE}|" "${PHP_INI_APACHE}"
 
 # Test de la configuration Apache
 if systemctl is-active --quiet apache2; then
-    echo -e "${YELLOW}Vérification du support de PHP par Apache...${RESET}"
+    read -rp "Voulez-vous tester le support de PHP par Apache ? (o/n) : " test_php
-    echo "<?php phpinfo(); ?>" > /var/www/html/info.php
+    if [[ "$test_php" =~ ^[oOyY]$ ]]; then
-    chown www-data:www-data /var/www/html/info.php
+        echo -e "${YELLOW}Vérification du support de PHP par Apache...${RESET}"
-    chmod 644 /var/www/html/info.php
+        echo "<?php phpinfo(); ?>" > /var/www/html/info.php
-    echo -e "${GREEN}Vous pouvez tester PHP en accédant à : http://<IP_SERVEUR>/info.php${RESET}"
+        chown www-data:www-data /var/www/html/info.php
+        chmod 644 /var/www/html/info.php
+        echo -e "${GREEN}Vous pouvez tester PHP en accédant à : http://<IP_SERVEUR>/info.php${RESET}"
+    else
+        echo -e "${YELLOW}Test PHP annulé.${RESET}"
+    fi
+else
+    echo -e "${RED}Le service Apache n'est pas actif.${RESET}"
 fi
 
 echo -e "${GREEN}Installation terminée avec succès ! 🚀${RESET}"

scripts/server-mariadb/.list_files.txt

@@ -1,2 +1,4 @@
+check_mysql_secure.sh
 create_db.sh
+set_root_password.sh
 setup_mariadb.sh

scripts/server-mariadb/check_mysql_secure.sh

@@ -0,0 +1,220 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+set -euo pipefail
+
+echo "=== Audit Sécurité MariaDB sur $(hostname) ($(date)) ==="
+
+CONFIG_FILE="/etc/mysql/mariadb.conf.d/50-server.cnf"
+ISSUES_FOUND=0
+RESTART_REQUIRED=0
+
+# Vérifier la présence de la commande mysql
+if ! command -v mysql >/dev/null 2>&1; then
+    echo "❌ La commande 'mysql' est introuvable. Veuillez l'installer."
+    exit 1
+fi
+
+get_password_from_cnf() {
+    local file=$1
+    sed -n '/\[client\]/,/^\[/p' "$file" | grep -m1 'password' | sed -E 's/^[ \t]*password[ \t]*=[ \t]*//'
+}
+
+if [[ -f /etc/mysql/debian.cnf ]]; then
+    DB_USER=$(grep -A5 '\[client\]' /etc/mysql/debian.cnf | grep -m1 'user' | awk -F= '{gsub(/ /,"",$2); print $2}')
+    DB_ROOT_PASSWORD=$(get_password_from_cnf "/etc/mysql/debian.cnf" || echo "")
+    DB_ROOT_PASSWORD=$(echo "$DB_ROOT_PASSWORD" | tr -d '\r\n')
+else
+    DB_USER="root"
+    read -rp "🔐 Entrez le mot de passe root pour MariaDB : " -s DB_ROOT_PASSWORD
+    echo
+fi
+
+TEMP_CNF=$(mktemp)
+chmod 600 "$TEMP_CNF"
+cat > "$TEMP_CNF" <<EOF
+[client]
+user=$DB_USER
+password=$DB_ROOT_PASSWORD
+EOF
+
+MYSQL_CMD="mysql --defaults-extra-file=$TEMP_CNF"
+
+echo "🔎 Test de connexion..."
+if ! $MYSQL_CMD -e "SELECT 1;" >/dev/null 2>&1; then
+    echo "❌ Échec de connexion ($DB_USER)"
+    exit 1
+fi
+echo "✅ Connexion $DB_USER réussie"
+
+echo
+
+check_permissions() {
+    echo "Vérification des permissions systèmes..."
+    if [[ $(stat -c "%U %G" /var/lib/mysql) != "mysql mysql" ]]; then
+        echo "❌ /var/lib/mysql n'appartient pas à mysql:mysql"
+        ISSUE=1
+    else
+        echo "✔️ Permissions /var/lib/mysql OK"
+    fi
+
+    if [[ $(stat -c "%U %G" $CONFIG_FILE) != "root root" ]]; then
+        echo "❌ $CONFIG_FILE n'appartient pas à root:root"
+        ISSUE=1
+    else
+        echo "✔️ Permissions du fichier de conf OK"
+    fi
+    echo
+}
+
+check_storage_engines() {
+    echo "🛠 Vérification des moteurs de stockage..."
+    ENABLED=$($MYSQL_CMD -e "SHOW ENGINES;" | awk '$2 ~ /YES|DEFAULT/ {print $1}')
+    for ENGINE in ARCHIVE BLACKHOLE FEDERATED; do
+        if grep -q "$ENGINE" <<< "$ENABLED"; then
+            echo "❌ $ENGINE actif"
+            read -rp "Désactiver $ENGINE (ajout dans disabled_storage_engines) ? (y/n) " choice
+            if [[ $choice == "y" ]]; then
+                if ! grep -q "disabled_storage_engines" "$CONFIG_FILE"; then
+                    echo "disabled_storage_engines=$ENGINE" >> "$CONFIG_FILE"
+                else
+                    sed -i "/^disabled_storage_engines/s/$/,$ENGINE/" "$CONFIG_FILE"
+                fi
+                RESTART_REQUIRED=1
+                ISSUES_FOUND=1
+                echo "✔️ $ENGINE désactivé (redémarrage requis)"
+            fi
+        else
+            echo "✔️ $ENGINE non actif"
+        fi
+    done
+    echo
+}
+
+check_bind() {
+    echo "🌐 Vérification du bind-address..."
+    BIND_ADDRESS=$(grep -E "^bind-address" "$CONFIG_FILE" | cut -d= -f2 | tr -d ' ')
+    if [[ "$BIND_ADDRESS" != "127.0.0.1" ]]; then
+        echo "❌ MariaDB écoute sur $BIND_ADDRESS"
+        read -rp "Forcer 127.0.0.1 ? (y/n) " choice
+        if [[ $choice == "y" ]]; then
+            sed -i 's/^bind-address.*/bind-address = 127.0.0.1/' "$CONFIG_FILE"
+            RESTART_REQUIRED=1
+            echo "✔️ bind-address corrigé"
+        fi
+    else
+        echo "✔️ bind-address sécurisé"
+    fi
+    echo
+}
+
+check_anonymous_users() {
+    echo "👤 Vérification des utilisateurs anonymes..."
+    if [[ $($MYSQL_CMD -N -e "SELECT COUNT(*) FROM mysql.user WHERE User='';") -gt 0 ]]; then
+        echo "❌ Utilisateurs anonymes trouvés"
+        read -rp "Supprimer ? (y/n) " choice
+        [[ $choice == "y" ]] && $MYSQL_CMD -e "DELETE FROM mysql.user WHERE User=''; FLUSH PRIVILEGES;" && echo "✔️ Anonymes supprimés"
+    else
+        echo "✔️ Aucun utilisateur anonyme"
+    fi
+    echo
+}
+
+check_remote_root() {
+    echo "🔑 Vérification des accès root distants..."
+    if [[ $($MYSQL_CMD -N -e "SELECT COUNT(*) FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');") -gt 0 ]]; then
+        echo "❌ Accès root distant détecté"
+        read -rp "Supprimer ces accès ? (y/n) " choice
+        [[ $choice == "y" ]] && $MYSQL_CMD -e "DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1'); FLUSH PRIVILEGES;" && echo "✔️ Accès root externe supprimé"
+    else
+        echo "✔️ Aucun accès root distant"
+    fi
+    echo
+}
+
+check_test_db() {
+    echo "🧪 Vérification de la base 'test'..."
+    if $MYSQL_CMD -e "SHOW DATABASES LIKE 'test';" | grep -q "test"; then
+        echo "❌ Base 'test' présente"
+        read -rp "Supprimer ? (y/n) " choice
+        [[ $choice == "y" ]] && $MYSQL_CMD -e "DROP DATABASE test;" && echo "✔️ Base test supprimée"
+    else
+        echo "✔️ Base 'test' absente"
+    fi
+    echo
+}
+
+check_file_priv() {
+    echo "📂 Vérification des FILE PRIV..."
+    USERS=$($MYSQL_CMD -N -e "SELECT CONCAT(User, '@', Host) FROM mysql.user WHERE File_priv='Y';")
+    if [[ -n "$USERS" ]]; then
+        echo "❌ Utilisateurs avec FILE PRIV détectés:"
+        echo "$USERS"
+        read -rp "Retirer le droit FILE ? (y/n) " choice
+        if [[ $choice == "y" ]]; then
+            while read -r user; do
+                $MYSQL_CMD -e "REVOKE FILE ON *.* FROM '$user';"
+            done <<< "$USERS"
+            $MYSQL_CMD -e "FLUSH PRIVILEGES;"
+            echo "✔️ FILE révoqué"
+        fi
+    else
+        echo "✔️ Aucun droit FILE abusif"
+    fi
+    echo
+}
+
+check_slow_log() {
+    echo "🐌 Vérification du slow query log..."
+    ACTIVE=$($MYSQL_CMD -N -e "SHOW VARIABLES LIKE 'slow_query_log';" | awk '{print $2}')
+    if [[ "$ACTIVE" != "ON" ]]; then
+        echo "⚠️ Slow query log désactivé"
+        read -rp "Activer dans la conf ? (y/n) " choice
+        if [[ $choice == "y" ]]; then
+            cat >> "$CONFIG_FILE" <<EOL
+
+slow_query_log = 1
+slow_query_log_file = /var/log/mysql/mariadb-slow.log
+long_query_time = 2
+EOL
+            touch /var/log/mysql/mariadb-slow.log
+            chown mysql:mysql /var/log/mysql/mariadb-slow.log
+            RESTART_REQUIRED=1
+            echo "✔️ Slow query log activé"
+        fi
+    else
+        echo "✔️ Slow query log actif"
+    fi
+    echo
+}
+
+echo "===> Démarrage de l'audit..."
+echo
+
+# Lancer les contrôles
+check_permissions
+check_storage_engines
+check_bind
+check_anonymous_users
+check_remote_root
+check_test_db
+check_file_priv
+check_slow_log
+
+if [[ $RESTART_REQUIRED -eq 1 ]]; then
+    echo "♻️ Redémarrage de MariaDB requis"
+    systemctl restart mariadb
+    echo
+fi
+
+if [[ $ISSUES_FOUND -eq 1 ]]; then
+    echo "⚠️ Audit terminé avec des recommandations ou actions effectuées."
+else
+    echo "✅ Audit terminé - Aucun problème majeur détecté."
+fi

scripts/server-mariadb/create_db.sh

@@ -69,6 +69,12 @@ if ! mysql --defaults-extra-file="$TEMP_CNF" -e "SELECT 1;" 2>/dev/null; then
 fi
 echo "✅ Connexion root réussie."
 
+# Définir la variable MYSQL_CMD pour le reste du script
+MYSQL_CMD="mysql --defaults-extra-file=$TEMP_CNF"
+
+# N'oublie pas de prévoir un nettoyage à la fin :
+trap 'rm -f "$TEMP_CNF"' EXIT
+
 echo "=== Création d'une nouvelle base de données MariaDB ==="
 
 # Lecture du nom de la base de données

scripts/server-mariadb/set_root_password.sh

@@ -0,0 +1,112 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+# Variables
+NEW_PASS=$(generate_token 20)
+DB_SERVICE="mariadb"  # Adapter si besoin
+MYSQL_SOCK="/var/run/mysqld/mysqld.sock"
+CNF_FILES=("/etc/mysql/debian.cnf" "/root/.my.cnf")
+MYSQLD_SAFE_LOG="/tmp/mysqld_safe.log"
+
+echo "[+] Nouveau mot de passe root généré."
+
+# Arrêt du service MySQL/MariaDB
+echo "[+] Arrêt du service $DB_SERVICE..."
+systemctl stop "$DB_SERVICE"
+
+echo "[+] Attente de l'arrêt complet du service..."
+while systemctl is-active --quiet "$DB_SERVICE"; do
+    sleep 1
+done
+echo "[+] Service arrêté."
+
+# Nettoyage des éventuels sockets ou PID bloquants
+echo "[+] Nettoyage des sockets et PID..."
+rm -f /var/run/mysqld/mysqld.pid /var/run/mysqld/mysqld.sock
+
+# Démarrage en mode sans échec
+echo "[+] Démarrage de MySQL en mode sans échec..."
+mysqld_safe --skip-grant-tables --skip-networking > "$MYSQLD_SAFE_LOG" 2>&1 &
+SAFE_PID=$!
+
+# Attente que mysqld_safe soit vraiment prêt
+echo "[+] Attente de la disponibilité de mysqld_safe..."
+for i in {1..10}; do
+    if mysqladmin ping --socket="$MYSQL_SOCK" >/dev/null 2>&1; then
+        echo "[+] mysqld_safe est prêt."
+        break
+    fi
+    sleep 1
+done
+
+if ! mysqladmin ping --socket="$MYSQL_SOCK" >/dev/null 2>&1; then
+    echo "[❌] Échec du démarrage de mysqld_safe. Voir $MYSQLD_SAFE_LOG"
+    kill -9 $SAFE_PID 2>/dev/null
+    exit 1
+fi
+
+# Réinitialisation du mot de passe root
+echo "[+] Réinitialisation du mot de passe root..."
+mysql --socket="$MYSQL_SOCK" <<EOF
+FLUSH PRIVILEGES;
+ALTER USER 'root'@'localhost' IDENTIFIED BY '$NEW_PASS';
+FLUSH PRIVILEGES;
+EOF
+
+# Nettoyage complet du mode sans échec
+echo "[+] Arrêt complet du mode sans échec et des processus MySQL/MariaDB..."
+kill -9 $SAFE_PID
+killall -9 mysqld_safe mariadbd mysqld || true
+sleep 5
+
+# Redémarrage du service
+echo "[+] Redémarrage du service $DB_SERVICE..."
+systemctl start "$DB_SERVICE"
+
+# Vérification du bon démarrage
+echo "[+] Attente du démarrage complet de MariaDB..."
+for i in {1..10}; do
+    if systemctl is-active --quiet "$DB_SERVICE"; then
+        echo "[+] MariaDB est démarré."
+        break
+    fi
+    sleep 1
+done
+
+if ! systemctl is-active --quiet "$DB_SERVICE"; then
+    echo "[❌] MariaDB ne démarre pas. Voir journalctl -xeu $DB_SERVICE"
+    systemctl status "$DB_SERVICE"
+    exit 1
+fi
+
+# Test de connexion avec le nouveau mot de passe
+echo "[+] Test de connexion réel avec le nouveau mot de passe root..."
+if mysql -uroot -p"$NEW_PASS" -e "SELECT 'Connexion réussie' AS Status;" >/dev/null 2>&1; then
+    echo "[✔] Connexion root réussie."
+
+    # Mise à jour des fichiers .cnf si user = root
+    for file in "${CNF_FILES[@]}"; do
+        if [[ -f "$file" ]]; then
+            if grep -q "^\s*user\s*=\s*root" "$file"; then
+                echo "[+] Mise à jour du fichier $file (user=root détecté)."
+                sed -i -E "s/(password\s*=\s*).*/\1$NEW_PASS/" "$file"
+            else
+                echo "[!] Pas de user=root dans $file, aucune modification."
+            fi
+        fi
+    done
+
+    echo "---------------------------------------------"
+    echo "[✔] Mot de passe root MySQL/MariaDB réinitialisé avec succès."
+    echo "[✔] Nouveau mot de passe root : $NEW_PASS"
+    echo "---------------------------------------------"
+else
+    echo "[❌] Échec de la connexion root après redémarrage de MariaDB."
+    exit 1
+fi

scripts/server-postgres/.list_files.txt

@@ -0,0 +1,3 @@
+create_pg_db.sh
+create_pg_role.sh
+setup-postgres.sh

scripts/server-postgres/create_pg_db.sh

@@ -0,0 +1,52 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+set -e
+
+echo "👉 Nom de la base de données à créer : "
+read DB_NAME
+
+echo "👉 Nom de l'utilisateur PostgreSQL propriétaire : "
+read DB_USER
+
+# Lecture du mot de passe en mode sécurisé
+read -s -p "🔑 Mot de passe PostgreSQL de l'utilisateur 'postgres' : " DB_PASS
+echo ""
+
+# Exporter le mot de passe temporairement
+export PGPASSWORD="$DB_PASS"
+
+echo "🔎 Vérification de l'existence de l'utilisateur PostgreSQL '$DB_USER'..."
+USER_EXISTS=$(sudo -u postgres psql -tAc "SELECT 1 FROM pg_roles WHERE rolname='${DB_USER}'")
+
+
+if [[ "$USER_EXISTS" != "1" ]]; then
+  echo "❌ L'utilisateur '$DB_USER' n'existe pas dans PostgreSQL."
+  unset PGPASSWORD
+  exit 2
+else
+  echo "✅ L'utilisateur '$DB_USER' existe."
+fi
+
+echo "🔎 Vérification de l'existence de la base de données '$DB_NAME'..."
+DB_EXISTS=$(sudo -u postgres psql -tAc "SELECT 1 FROM pg_database WHERE datname='${DB_NAME}'")
+
+
+if [[ "$DB_EXISTS" == "1" ]]; then
+  echo "⚠️ La base de données '$DB_NAME' existe déjà."
+else
+  echo "🛠 Création de la base de données '$DB_NAME' avec le propriétaire '$DB_USER'..."
+  sudo -u postgres createdb -O "$DB_USER" "$DB_NAME"
+  echo "✅ Base de données '$DB_NAME' créée avec succès."
+fi
+
+# Nettoyage de la variable d'environnement
+unset PGPASSWORD
+
+echo "🎉 Opération terminée."

scripts/server-postgres/create_pg_role.sh

@@ -0,0 +1,73 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+set -e
+
+# Demande interactive si le rôle n’est pas passé en paramètre
+if [[ -n "$1" ]]; then
+  ROLE_NAME="$1"
+else
+  read -p "👤 Entrez le nom du rôle PostgreSQL à créer : " ROLE_NAME
+fi
+
+if [[ -z "$ROLE_NAME" ]]; then
+  echo "❌ Le nom du rôle est obligatoire."
+  exit 1
+fi
+
+# Demander le mot de passe de l'utilisateur 'postgres'
+read -s -p "🔑 Entrez le mot de passe de l'utilisateur 'postgres' : " POSTGRES_PASSWORD
+echo ""
+
+# Générer le mot de passe du rôle
+echo "🔐 Génération d'un mot de passe fort pour le rôle '$ROLE_NAME'..."
+ROLE_PASSWORD=$(generate_token 20)
+
+# Générer un fichier SQL temporaire pour la vérification + création
+SQL_FILE=$(mktemp)
+
+cat <<EOF > "$SQL_FILE"
+DO \$\$
+BEGIN
+  IF NOT EXISTS (SELECT FROM pg_roles WHERE rolname = '${ROLE_NAME}') THEN
+    RAISE NOTICE '🛠 Création du rôle "${ROLE_NAME}"...';
+    CREATE ROLE ${ROLE_NAME} WITH LOGIN PASSWORD '${ROLE_PASSWORD}';
+  ELSE
+    RAISE NOTICE '⚠️ Le rôle "${ROLE_NAME}" existe déjà.';
+  END IF;
+END
+\$\$;
+EOF
+
+chmod 644 "$SQL_FILE" 
+
+# Une seule exécution de psql via sudo avec mot de passe PostgreSQL exporté
+echo "🔎 Exécution des commandes SQL avec sudo..."
+sudo -u postgres bash -c "PGPASSWORD='${POSTGRES_PASSWORD}' psql -v ON_ERROR_STOP=1 -f '${SQL_FILE}'"
+
+rm -f "$SQL_FILE"
+
+# Affichage des identifiants si création
+echo ""
+echo "-------------------------------------------"
+echo " Nom du rôle : ${ROLE_NAME}"
+echo " Mot de passe : ${ROLE_PASSWORD}"
+echo "-------------------------------------------"
+
+# Proposer d’enregistrer dans ~/.pgpass
+read -p "💾 Voulez-vous enregistrer ces identifiants dans ~/.pgpass ? (y/n) " SAVE_PASS
+if [[ "$SAVE_PASS" =~ ^[Yy]$ ]]; then
+  PGPASS_FILE="${HOME}/.pgpass"
+  echo "*:*:*:${ROLE_NAME}:${ROLE_PASSWORD}" >> "$PGPASS_FILE"
+  chmod 600 "$PGPASS_FILE"
+  echo "✅ Identifiants sauvegardés dans $PGPASS_FILE"
+fi
+
+echo "⚠️ Pensez à sauvegarder ces informations si vous ne les enregistrez pas."
+echo "🎉 Opération terminée."

scripts/server-postgres/setup-postgres.sh

@@ -0,0 +1,77 @@
+#!/bin/bash
+# Basé sur un travail de Cédric Abonnel / Cédrix sous licence CC BY-NC 4.0
+
+# Importer les fonctions communes
+source "$(dirname "$0")/../common/common_utils.sh"
+
+# Vérifier si le script est exécuté en root
+check_root
+
+set -e
+
+echo "📦 Mise à jour des paquets..."
+apt update -y
+
+echo "📚 Installation de postgresql-common (pour script de dépôt officiel)..."
+apt install -y postgresql-common
+
+echo "➕ Ajout automatique du dépôt officiel PostgreSQL (via pgdg script)..."
+/usr/share/postgresql-common/pgdg/apt.postgresql.org.sh -y
+
+echo ""
+echo "🧩 Versions disponibles dans le dépôt :"
+AVAILABLE_VERSIONS=$(apt-cache search "^postgresql-[0-9][0-9]$" | awk '{print $1}' | cut -d'-' -f2 | sort -nr)
+echo "$AVAILABLE_VERSIONS"
+
+read -p "➡️  Entrez la version PostgreSQL à installer (ex: 17) : " PG_VERSION
+
+if ! echo "$AVAILABLE_VERSIONS" | grep -q "^${PG_VERSION}$"; then
+    echo "❌ Version PostgreSQL invalide ou non disponible : ${PG_VERSION}"
+    exit 1
+fi
+
+echo "📦 Installation de PostgreSQL $PG_VERSION..."
+apt update -y
+apt install -y "postgresql-${PG_VERSION}"
+
+echo "🚀 Activation et démarrage du service PostgreSQL..."
+systemctl enable postgresql
+systemctl start postgresql
+
+echo "⏳ Attente du démarrage du service PostgreSQL..."
+sleep 3
+
+echo "✅ Vérification du service..."
+if ! systemctl is-active --quiet postgresql; then
+    echo "❌ Le service PostgreSQL ne fonctionne pas correctement."
+    journalctl -xeu postgresql --no-pager | tail -n 20
+    exit 1
+fi
+
+echo "🧪 Test de connexion à PostgreSQL..."
+if ! sudo -u postgres psql -c '\q' 2>/dev/null; then
+    echo "❌ Échec de la connexion à PostgreSQL. Vérifiez que le socket est disponible."
+    echo "   Astuce : systemctl status postgresql"
+    exit 1
+fi
+
+echo "🔐 Génération d'un mot de passe fort pour l'utilisateur postgres..."
+POSTGRES_PASSWORD=$(generate_token 20)
+
+echo "🔧 Configuration du mot de passe de l'utilisateur postgres..."
+sudo -u postgres psql -c "ALTER USER postgres WITH PASSWORD '${POSTGRES_PASSWORD}';"
+
+echo "🔧 Configuration de l'accès local en md5..."
+PG_HBA="/etc/postgresql/${PG_VERSION}/main/pg_hba.conf"
+sed -i "s/^\(local\s\+all\s\+postgres\s\+\)peer/\1md5/" "$PG_HBA"
+
+echo "♻️ Redémarrage de PostgreSQL pour appliquer les changements..."
+systemctl restart postgresql
+
+echo ""
+echo "✅ Installation de PostgreSQL ${PG_VERSION} terminée."
+echo "-------------------------------------------"
+echo " Mot de passe de l'utilisateur postgres :"
+echo " ${POSTGRES_PASSWORD}"
+echo "-------------------------------------------"
+echo " Pensez à le sauvegarder en lieu sûr."