TP sysres IMA5 2022/2023 G6

De Wiki d'activités IMA

Coffre fort

Fichier:Coffre fort.zip

Journal d'activités

- 30/08/2022 :

  • Installation de la distribution Linux Devuan Chimaera sur la zabeth18.
  • Réalisation du rôle ansible permettant d'installer ou de désinstaller les packages et inclusion dans l'arborescence des rôles. Testé et fonctionnel.
  • Installation de la distribution Linux Devuan Chimaera sur la zabeth20.

- 13/09/2022 :

  • Installation de la distribution Linux Devuan Chimaera sur la zabeth07.

- 28/09/2022 :

  • Creation de l'image de la machine virtuelle xen dio6.
xen-create-image --ip=193.48.57.106 --gateway=193.48.57.161 --netmask=255.255.255.0 --hostname=dio6 --dist=chimaera --dir=/usr/local/xen/
  • Modification du ficher de configuration /etc/xen/dio6.cfg (ajout du bridgeStudents dans le vif de la partie Networking)
  • Creation de la machine virtuelle
xen create dio6.cfg
  • Démarrage de la machine virtuelle
xen console dio6

avec le login root et le mdp donné à la création de l'image (mdp : xVRXmcNJSACJrKWNFLcmsRL)

  • Programmation de la première version du coffre fort

- 25/10/2022 :

  • Modification /etc/network/interfaces pour modifier l'adresse IPv4 (172.26.145.106)
  • Achat du nom de domaine ratatouille.site sur Gandi
  • Installation de openssl sur la VM dio6
  • Achat du certificat SA pour ratatouille.site
  • Avec Julien,Thibault,Logan,Quentin,Tom : Configuration en SR52
    • Connection vers l'interface Te1/1/2 vers port6 armoire de brassage E304
    • Connection vers l'interface Te1/1/5 vers port5 armoire de brassage E304
    • Configuration des interface en Vlan 531

Configuration réseau SR32

- Création vlan 531

seulement si n'existe pas (faire (config)#show vlan

  #enable
  #config t
  (config)#vlan 531
  (config-vlan)#name INTERCO-4B
  (config-vlan)#exit
  (config)#do write

- Configuration interface

  (config)#interface Te1/1/2
  (config-if)#switchport
  (config-if)#switchport mode access
  (config-if)#switchport access vlan 531
  (config-if)#exit
  (config)#interface Te1/1/5
  (config-if)#switchport
  (config-if)#switchport mode access
  (config-if)#switchport access vlan 531
  (config-if)#exit
  (config)#exit
  #write

- 15/11/2022 :

  • Sur la vm, modification du fichier /etc/ssh/sshd_config pour autoriser la connexion ssh
PermitRootLogin yes
  • Télechargement de apache2
  • Réalisation matérielle du réseau et configuration des appareils
  • modification du fichier /etc/network/interfaces pour modifier l'adresse IPv4 (193.48.57.183/28) et modification du fichier de configuration /etc/xen/dio6.cfg afin de changer le bridge (bridge=IMA5sc)
  • vérification de l'accès internet (ping google.com)
  • Suivi du tutoriel afin de configurer le serveur apache2 pour accepter les requètes https. Message d'erreur au moment de restart le service apache :
root@dio6:/etc/apache2# service apache2 restart
Restarting Apache httpd web server: apache2AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 193.48.57.106. Set the 'ServerName' directive globally to suppress this message
Action 'start' failed.
The Apache error log may have more information.
 failed!

- 18/11/2022

  • Remontage de la VM dio6 (nouveau mdp : mgHitDVQUrHzj2LxP2q3iUy)
  • SSH fait

- 30/11/2022

  • Montage des partitions

-creation des volumes

lvcreate -L10G -ndio6_home storage
mkfs /dev/storage/dio6_home
lvcreate -L5G -ndio6_var storage
mkfs /dev/storage/dio6_var

-modification du fichier de configuration de dio6 (dans la partie disk)

'phy:/dev/storage/dio2_home,xvdb1,w',
'phy:/dev/storage/dio2_var,xvdb2,w',

- On redemarre la Dio6 - montage du LV dio6_home

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt

-ajout des lignes dans le fichier /etc/fstab

/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

- mount -a et on redemarre la Dio6 - on vérifie le montage avec les commandes df et lsblk

  • Installations de Apache2 et bind9
  • Configuration du service Apache pour permettre la connexion HTTPS

- Télechargement du certificat sur Gandi.net - Modification du fichier /etc/apache2/sites-available/000-default.conf

<VirtualHost *:443>
     ServerName ratatouille.site
     ServerAlias www.ratatouille.site
     ServerAdmin webmaster@ratatouille.site
     DocumentRoot /var/www/html
        # directives obligatoires pour TLS
         SSLEngine on
         SSLCertificateFile       /root/ratatouille.site.crt
         SSLCertificateKeyFile    /root/myserver.key
         SSLCertificateChainFile  /root/GandiStandardSSLCA2.pem
 
         ErrorLog /var/log/apache2/error.log
         CustomLog /var/log/apache2/access.log combined
</VirtualHost>

- On démarre le service SSL

a2enmod ssl
a2ensite default-ssl.conf

- On redémarre le service Apache

Le site est accessible avec https://ratatouille.site et aussi http://ratatouille.site qui est automatiquement redirigé sur https

  • Customisation du site internet
  • serveur DNS bind

- Modification du fichier /etc/bind/named.conf.options

forwarders {
                 8.8.8.8;
                 4.4.2.2;
         };
//========================================================================
         dnssec-validation auto;
         recursion yes;
         listen-on-v6 { any; };
         listen-on { any; };
         allow-recursion { trusted; };
         allow-transfer{ none; };
 };
 acl "trusted" {
         193.48.57.183;  //ns1.ratatouille.site
         217.70.177.40;  //ns6.gandi.net
 };
 mkdir /var/log/named
 touch /var/log/named/security.log
 cd /var/log
 chown bind -R named/
 chown bind named/security.log 

- Modification du fichier /etc/bind/named.conf.local

 zone "ratatouille.site" {
         type master;
         file "/etc/bind/db.ratatouille.site";
         allow-transfer{ 217.70.177.40; }; //ns6.gandi.net
         notify yes;
 };
 zone "57.48.193.in-addr.arpa" {
         type master;
         file "/etc/bind/db.193.48.57"; 
         allow-transfer {217.70.177.40; }; //ns6.gandi.net
         notify yes;
 };

- Création des zones

cp /etc/bind/db.local /etc/bind/db.ratatouille.site
cp /etc/bind/db.127 /etc/bind/db.193.48.57.site

Modification du fichier db.ratatouille.site :

;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     ns1.ratatouille.site. root.ratatouille.site. (
                              3         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.ratatouille.site.
@       IN      NS      ns6.gandi.net.
@       IN      A       193.48.57.183
@       IN      AAAA    2001:660:4401:60b0:216:3eff:fe4b:6b1f
ns      IN      A       193.48.57.183
ns      IN      AAAA    2001:660:4401:60b0:216:3eff:fe4b:6b1f
www     IN      A       193.48.57.183
www     IN      AAAA    2001:660:4401:60b0:216:3eff:fe4b:6b1f

Modification du fichier db.193.48.57 :

;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     ns1.rataouille.site. root.ratatouille.site. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                        604800 )       ; Negative Cache TTL
;NS records

@       IN      NS      ns1.ratatouille.site. 

;PTR records 

183     IN      PTR     ns1.ratatouille.site. ;193.48.57.183
  • fail2ban

- on installe les paquets iptables et fail2ban - Dans le fichier /etc/fail2ban/jail.d/defaults-debian.conf on ajoute les lignes

 [named-refused]
 enabled = true

- Dans le fichier /etc/bind/named.conf.options on ajoute les lignes

 logging {
         channel security_file {
            	file "/var/log/named/security.log" versions 3 size 30m;
       	severity dynamic;
       	print-time yes;
   	   };
   	   category security {
       	security_file;
   	   };
 };

- On crée le fichier /var/log/named/security.log

 mkdir /var/log/named
 touch /var/log/named/security.log
 cd /var/log
 chown bind -R named/
 chown bind named/security.log 

- On restart le service fail2ban et on observe 2 adresses IP bannies.

  • Serveur Minecraft

-On télecharge le serveur dans le dossier /etc/minecraft

wget https://piston-data.mojang.com/v1/objects/f69c284232d7c7580bd89a5a4931c3581eae1378/server.jar

-On installe openjdk

-On modifie le fichier de configuration pour réduire la taille du monde et annuler l'apparition de monstre et d'animaux. Nous avons dû augmenter la RAM de la Dio6 pour pouvoir faire tourner le serveur.

-On démare le serveur en lancant le fichier .jar

java -Xmx500M -Xms500M -jar server.jar nogui