Version du 30 novembre 2022 à 12:16

Groupe 1

Zabeth n°13 et n°12.

Configuration réseau :

- ip: 172.26.145.{50+n}/24 avec n le numéro de la zabeth
- gateway: 172.26.145.254
- dns (de l'école): 193.48.57.48
- proxy: http://proxy.polytech-lille.fr:3128

Packages par défauts :

- XFCE
- web server
- ssh server

Autres packages :

- Python pour ansible

Séance 1:

Propagation des clefs par ansible:

• ansible-playbook:
  • Configuration sur le host:

dans 
/etc/ssh/sshd_config -> PermitRootLogin yes 
et 
service ssh restart pour appliquer les changements

• pour propager la clef:

ansible-playbook -i hosts clef.yml --ask-pass --extra-vars='pubkey="{contenu de id_rsa.pub}"'

Configuration Ansible

- main playbook
- tests des roles

Séance 2:

• Configuration de la VM:
  • LVM:

On utilise le groupe de volumes `storage`

On crée les partitions logiques home et var :

$ lvcreate -L1G -ndio1_home storage ; mke2fs /dev/storage/dio1_home

$ lvcreate -L500M -ndio1_var storage ; mke2fs /dev/storage/dio1_var

Puis on créer une config de partitions dans /etc/xen-tools/partitions.d pour définir notre config.

commande de création: $ xen-create-image --hostname=dio{n} --ip=172.26.145.{100+n} --nameserver=193.48.57.48 --gateway=172.26.145.254 --netmask=255.255.255.0 --dist=chimaera --dir=/usr/local/xen

On se connecte sur root avec le rootpassword donné par xen-create-image à la fin de l'éxecution

Séance 3:

Pour séparer les partitions home et var, on crée les volumes avec :

$ lvcreate dio1_home storage; mke2fs /dev/storage/dio1_home

et sur la VM, on

$ mount /dev/xvda3 /home $ mount /dev/xvda4 /mnt; mv /var/* /mnt $ umount /mnt; mount /dev/xvda4 /var

Puis on propage les changements dans /etc/fstab et on halt.

Password manager v0

Configuration DNS

Configuration des zones :

named.conf.local :

   zone "raclette.site" {
           type master;
           file "/etc/bind/db.raclette.signed";
   };
   
   zone "186.57.48.193.in-addr.arpa" {
           type master;
           file "/etc/bind/db.raclette.reverse";
   };

avec la zone directe : db.raclette

   $TTL	60480
   @   	IN	SOA	raclette.site. root.raclette.site. (
   	    		      5		; Serial
   	    		 604800		; Refresh
   		    	  86400		; Retry
   		    	2419200		; Expire
   			 604800 )	; Negative Cache TTL
   ;
   @   	IN	NS	ns.raclette.site.
   @   	IN	NS 	ns6.gandi.net.
   ns  	IN 	A	193.48.57.186
   ns  	IN	AAAA	2001:660:4401:60b0:216:3eff:fef7:a359
   www 	IN	CNAME	ns

et la zone inverse :

   $TTL	604800
   @   	IN	SOA	raclette.site. root.raclette.site. (
   			      2		; Serial
   			 604800		; Refresh
   			  86400		; Retry
   			2419200		; Expire
   			 604800 )	; Negative Cache TTL
   ;
   @   	IN	NS	ns.raclette.site.
   @   	IN	NS	ns6.gandi.net.
   ns  	IN	PTR	raclette.site.

Dans les options on active la récursion et le transfert :

   options {
   	allow-query-cache { any; };
   	allow-recursion { "trusted"; };
   	dnssec-enable yes;
   	allow-transfer { "allowed_to_transfer"; };
   	rate-limit { responses-per-second 10; };
   };
   acl "allowed_to_transfer" {
   	217.70.177.40;
   	2001:4b98:d:1::40;
   };
   acl "trusted" {
   	193.48.57.186;
   	217.70.177.40;
   };

On a également limité le nombre de réponses par seconde à 10.

Configuration fail2ban

On a ici une configuration simple qui ban les ip qui font 3 erreurs consécutives pour se connecter en ssh :

   [DEFAULT]
   ignoreip = 127.0.0.1 193.48.57.186
   findtime = 10m
   bantime = 24h
   maxretry = 3
   [sshd]
   enabled = true