TP sysres IMA5 2022/2023 G1 : Différence entre versions
(→Configuration DNS) |
(→Chiffrage) |
||
(9 révisions intermédiaires par le même utilisateur non affichées) | |||
Ligne 88 : | Ligne 88 : | ||
db.raclette | db.raclette | ||
− | + | $TTL 60480 | |
− | $TTL 60480 | + | @ IN SOA raclette.site. root.raclette.site. ( |
− | @ IN SOA raclette.site. root.raclette.site. ( | + | 5 ; Serial |
+ | 604800 ; Refresh | ||
+ | 86400 ; Retry | ||
+ | 2419200 ; Expire | ||
+ | 604800 ) ; Negative Cache TTL | ||
+ | ; | ||
+ | @ IN NS ns.raclette.site. | ||
+ | @ IN NS ns6.gandi.net. | ||
+ | ns IN A 193.48.57.186 | ||
+ | ns IN AAAA 2001:660:4401:60b0:216:3eff:fef7:a359 | ||
+ | www IN CNAME ns | ||
− | + | et la zone inverse : | |
− | + | $TTL 604800 | |
+ | @ IN SOA raclette.site. root.raclette.site. ( | ||
+ | 2 ; Serial | ||
+ | 604800 ; Refresh | ||
+ | 86400 ; Retry | ||
+ | 2419200 ; Expire | ||
+ | 604800 ) ; Negative Cache TTL | ||
+ | ; | ||
+ | @ IN NS ns.raclette.site. | ||
+ | @ IN NS ns6.gandi.net. | ||
+ | ns IN PTR raclette.site. | ||
− | + | Dans les options on active la récursion et le transfert : | |
− | + | options { | |
+ | allow-query-cache { any; }; | ||
+ | allow-recursion { "trusted"; }; | ||
+ | dnssec-enable yes; | ||
+ | allow-transfer { "allowed_to_transfer"; }; | ||
+ | rate-limit { responses-per-second 10; }; | ||
+ | }; | ||
+ | acl "allowed_to_transfer" { | ||
+ | 217.70.177.40; | ||
+ | 2001:4b98:d:1::40; | ||
+ | }; | ||
+ | acl "trusted" { | ||
+ | 193.48.57.186; | ||
+ | 217.70.177.40; | ||
+ | }; | ||
− | + | On a également limité le nombre de réponses par seconde à 10. | |
− | + | = Configuration fail2ban = | |
− | + | On a ici une configuration simple qui ban les ip qui font 3 erreurs consécutives pour se connecter en ssh : | |
− | + | [DEFAULT] | |
+ | ignoreip = 127.0.0.1 193.48.57.186 | ||
+ | findtime = 10m | ||
+ | bantime = 24h | ||
+ | maxretry = 3 | ||
+ | [sshd] | ||
+ | enabled = true | ||
− | + | = Serveur Minecraft = | |
− | + | On utilise un docker | |
− | + | <code>docker run -e EULA=TRUE -d -p 25565:25565 --name mc itzg/minecraft-server</code> | |
− | </code> | + | on a ajouté <code>-e EULA=TRUE</code> afin de laisser le serveur démarrer normalement (indication de la console docker obtenue en mode intéractif <code>docker start -i</code>) |
+ | |||
+ | Manquant de place sur notre volume /var (docker stock les containers dans <code>/var/lib/docker</code>) on a déplacé les fichiers de docker sur notre array /home en liant <code>/var/lib/docker</code> à <code>/home/docker</code> : | ||
+ | |||
+ | cp -r /var/lib/docker/* /home/docker | ||
+ | mount --rbind /home/docker /var/lib/docker | ||
+ | |||
+ | = Raid5 = | ||
+ | |||
+ | On a ajouté à notre VM deux volumes identiques à celui utilisé pour /home. | ||
+ | |||
+ | On a créé l'array avec mdadm: | ||
+ | |||
+ | mdadm --create /dev/md0 --level=5 \ | ||
+ | --raid-devices 3 /dev/xvda3 /dev/xvda5 /dev/xvda6 | ||
+ | mkfs /dev/md0 | ||
+ | mount /dev/md0 /home | ||
+ | |||
+ | En modifiant également <code>/etc/fstab</code> pour laisser la VM monter correctement /home au démarrage | ||
+ | |||
+ | = Chiffrage = | ||
+ | |||
+ | On a créé un dernier volume (<code>/dev/storage/dio1_chiffrage</code>) qu'on a affecté à notre VM. On a ensuite utilisé cryptsetup pour l'encrypter (avec le code <code>glopglop</code>) : | ||
+ | |||
+ | cryptsetup luksFormat /dev/xvda7 | ||
+ | cryptsetup luksOpen /dev/xvda7 disk | ||
+ | mkfs /dev/mapper/disk | ||
+ | mkdir /mnt/disk & mount /dev/mapper/disk /mnt/disk | ||
+ | |||
+ | On a ensuite copié notre index.html dans <code>/mnt/disk</code> avant de refermer le volume | ||
+ | |||
+ | umount /mnt/disk | ||
+ | cryptsetup luksClose disk |
Version actuelle datée du 30 novembre 2022 à 12:57
Sommaire
Groupe 1
Zabeth n°13 et n°12.
Configuration réseau :
- ip: 172.26.145.{50+n}/24 avec n le numéro de la zabeth - gateway: 172.26.145.254 - dns (de l'école): 193.48.57.48 - proxy: http://proxy.polytech-lille.fr:3128
Packages par défauts :
- XFCE - web server - ssh server
Autres packages :
- Python pour ansible
Séance 1:
Propagation des clefs par ansible:
- ansible-playbook:
- Configuration sur le host:
dans /etc/ssh/sshd_config -> PermitRootLogin yes et service ssh restart pour appliquer les changements
- pour propager la clef:
ansible-playbook -i hosts clef.yml --ask-pass --extra-vars='pubkey="{contenu de id_rsa.pub}"'
Configuration Ansible
- main playbook - tests des roles
Séance 2:
- Configuration de la VM:
- LVM:
On utilise le groupe de volumes `storage`
On crée les partitions logiques home et var :
$ lvcreate -L1G -ndio1_home storage ; mke2fs /dev/storage/dio1_home
$ lvcreate -L500M -ndio1_var storage ; mke2fs /dev/storage/dio1_var
Puis on créer une config de partitions dans /etc/xen-tools/partitions.d pour définir notre config.
commande de création:
$ xen-create-image --hostname=dio{n} --ip=172.26.145.{100+n} --nameserver=193.48.57.48 --gateway=172.26.145.254 --netmask=255.255.255.0 --dist=chimaera --dir=/usr/local/xen
On se connecte sur root avec le rootpassword donné par xen-create-image à la fin de l'éxecution
Séance 3:
Pour séparer les partitions home et var, on crée les volumes avec :
$ lvcreate dio1_home storage; mke2fs /dev/storage/dio1_home
et sur la VM, on
$ mount /dev/xvda3 /home $ mount /dev/xvda4 /mnt; mv /var/* /mnt $ umount /mnt; mount /dev/xvda4 /var
Puis on propage les changements dans /etc/fstab et on halt.
Configuration DNS
Configuration des zones :
named.conf.local :
zone "raclette.site" { type master; file "/etc/bind/db.raclette.signed"; }; zone "186.57.48.193.in-addr.arpa" { type master; file "/etc/bind/db.raclette.reverse"; };
avec la zone directe : db.raclette
$TTL 60480 @ IN SOA raclette.site. root.raclette.site. ( 5 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS ns.raclette.site. @ IN NS ns6.gandi.net. ns IN A 193.48.57.186 ns IN AAAA 2001:660:4401:60b0:216:3eff:fef7:a359 www IN CNAME ns
et la zone inverse :
$TTL 604800 @ IN SOA raclette.site. root.raclette.site. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS ns.raclette.site. @ IN NS ns6.gandi.net. ns IN PTR raclette.site.
Dans les options on active la récursion et le transfert :
options { allow-query-cache { any; }; allow-recursion { "trusted"; }; dnssec-enable yes; allow-transfer { "allowed_to_transfer"; }; rate-limit { responses-per-second 10; }; }; acl "allowed_to_transfer" { 217.70.177.40; 2001:4b98:d:1::40; }; acl "trusted" { 193.48.57.186; 217.70.177.40; };
On a également limité le nombre de réponses par seconde à 10.
Configuration fail2ban
On a ici une configuration simple qui ban les ip qui font 3 erreurs consécutives pour se connecter en ssh :
[DEFAULT] ignoreip = 127.0.0.1 193.48.57.186 findtime = 10m bantime = 24h maxretry = 3 [sshd] enabled = true
Serveur Minecraft
On utilise un docker
docker run -e EULA=TRUE -d -p 25565:25565 --name mc itzg/minecraft-server
on a ajouté -e EULA=TRUE
afin de laisser le serveur démarrer normalement (indication de la console docker obtenue en mode intéractif docker start -i
)
Manquant de place sur notre volume /var (docker stock les containers dans /var/lib/docker
) on a déplacé les fichiers de docker sur notre array /home en liant /var/lib/docker
à /home/docker
:
cp -r /var/lib/docker/* /home/docker mount --rbind /home/docker /var/lib/docker
Raid5
On a ajouté à notre VM deux volumes identiques à celui utilisé pour /home.
On a créé l'array avec mdadm:
mdadm --create /dev/md0 --level=5 \ --raid-devices 3 /dev/xvda3 /dev/xvda5 /dev/xvda6 mkfs /dev/md0 mount /dev/md0 /home
En modifiant également /etc/fstab
pour laisser la VM monter correctement /home au démarrage
Chiffrage
On a créé un dernier volume (/dev/storage/dio1_chiffrage
) qu'on a affecté à notre VM. On a ensuite utilisé cryptsetup pour l'encrypter (avec le code glopglop
) :
cryptsetup luksFormat /dev/xvda7 cryptsetup luksOpen /dev/xvda7 disk mkfs /dev/mapper/disk mkdir /mnt/disk & mount /dev/mapper/disk /mnt/disk
On a ensuite copié notre index.html dans /mnt/disk
avant de refermer le volume
umount /mnt/disk cryptsetup luksClose disk