TP sysres IMA5 2022/2023 G1 : Différence entre versions

De Wiki d'activités IMA
(Configuration DNS)
(Configuration DNS)
Ligne 101 : Ligne 101 :
 
     ns  IN AAAA 2001:660:4401:60b0:216:3eff:fef7:a359
 
     ns  IN AAAA 2001:660:4401:60b0:216:3eff:fef7:a359
 
     www IN CNAME ns
 
     www IN CNAME ns
 +
 +
et la zone inverse :
 +
 +
    $TTL 604800
 +
    @  IN SOA raclette.site. root.raclette.site. (
 +
          2 ; Serial
 +
    604800 ; Refresh
 +
      86400 ; Retry
 +
    2419200 ; Expire
 +
    604800 ) ; Negative Cache TTL
 +
    ;
 +
    @  IN NS ns.raclette.site.
 +
    @  IN NS ns6.gandi.net.
 +
    ns  IN PTR raclette.site.
 +
 +
Dans les options on active la récursion et le transfert :
 +
 +
    options {
 +
    allow-query-cache { any; };
 +
    allow-recursion { "trusted"; };
 +
    dnssec-enable yes;
 +
    allow-transfer { "allowed_to_transfer"; };
 +
    rate-limit { responses-per-second 10; };
 +
    };
 +
    acl "allowed_to_transfer" {
 +
    217.70.177.40;
 +
    2001:4b98:d:1::40;
 +
    };
 +
    acl "trusted" {
 +
    193.48.57.186;
 +
    217.70.177.40;
 +
    };
 +
 +
On a également limité le nombre de réponses par seconde à 10.
 +
 +
= Configuration fail2ban =
 +
 +
On a ici une configuration simple qui ban les ip qui font 3 erreurs consécutives pour se connecter en ssh :
 +
 +
    [DEFAULT]
 +
    ignoreip = 127.0.0.1 193.48.57.186
 +
    findtime = 10m
 +
    bantime = 24h
 +
    maxretry = 3
 +
    [sshd]
 +
    enabled = true

Version du 30 novembre 2022 à 12:16

Groupe 1

Zabeth n°13 et n°12.

Configuration réseau :

- ip: 172.26.145.{50+n}/24 avec n le numéro de la zabeth
- gateway: 172.26.145.254
- dns (de l'école): 193.48.57.48
- proxy: http://proxy.polytech-lille.fr:3128

Packages par défauts :

- XFCE
- web server
- ssh server

Autres packages :

- Python pour ansible

Séance 1:

Propagation des clefs par ansible:

  • ansible-playbook:
    • Configuration sur le host:
dans 
/etc/ssh/sshd_config -> PermitRootLogin yes 
et 
service ssh restart pour appliquer les changements
  • pour propager la clef:
ansible-playbook -i hosts clef.yml --ask-pass --extra-vars='pubkey="{contenu de id_rsa.pub}"'

Configuration Ansible

- main playbook
- tests des roles

Séance 2:

  • Configuration de la VM:
    • LVM:

On utilise le groupe de volumes `storage`

On crée les partitions logiques home et var :

$ lvcreate -L1G -ndio1_home storage ; mke2fs /dev/storage/dio1_home

$ lvcreate -L500M -ndio1_var storage ; mke2fs /dev/storage/dio1_var

Puis on créer une config de partitions dans /etc/xen-tools/partitions.d pour définir notre config.


commande de création: $ xen-create-image --hostname=dio{n} --ip=172.26.145.{100+n} --nameserver=193.48.57.48 --gateway=172.26.145.254 --netmask=255.255.255.0 --dist=chimaera --dir=/usr/local/xen

On se connecte sur root avec le rootpassword donné par xen-create-image à la fin de l'éxecution

Séance 3:

Pour séparer les partitions home et var, on crée les volumes avec :

$ lvcreate dio1_home storage; mke2fs /dev/storage/dio1_home

et sur la VM, on

$ mount /dev/xvda3 /home $ mount /dev/xvda4 /mnt; mv /var/* /mnt $ umount /mnt; mount /dev/xvda4 /var

Puis on propage les changements dans /etc/fstab et on halt.

Password manager v0


Configuration DNS

Configuration des zones :

named.conf.local :

   zone "raclette.site" {
           type master;
           file "/etc/bind/db.raclette.signed";
   };
   
   zone "186.57.48.193.in-addr.arpa" {
           type master;
           file "/etc/bind/db.raclette.reverse";
   };

avec la zone directe : db.raclette

   $TTL	60480
   @   	IN	SOA	raclette.site. root.raclette.site. (
   	    		      5		; Serial
   	    		 604800		; Refresh
   		    	  86400		; Retry
   		    	2419200		; Expire
   			 604800 )	; Negative Cache TTL
   ;
   @   	IN	NS	ns.raclette.site.
   @   	IN	NS 	ns6.gandi.net.
   ns  	IN 	A	193.48.57.186
   ns  	IN	AAAA	2001:660:4401:60b0:216:3eff:fef7:a359
   www 	IN	CNAME	ns

et la zone inverse :

   $TTL	604800
   @   	IN	SOA	raclette.site. root.raclette.site. (
   			      2		; Serial
   			 604800		; Refresh
   			  86400		; Retry
   			2419200		; Expire
   			 604800 )	; Negative Cache TTL
   ;
   @   	IN	NS	ns.raclette.site.
   @   	IN	NS	ns6.gandi.net.
   ns  	IN	PTR	raclette.site.

Dans les options on active la récursion et le transfert :

   options {
   	allow-query-cache { any; };
   	allow-recursion { "trusted"; };
   	dnssec-enable yes;
   	allow-transfer { "allowed_to_transfer"; };
   	rate-limit { responses-per-second 10; };
   };
   acl "allowed_to_transfer" {
   	217.70.177.40;
   	2001:4b98:d:1::40;
   };
   acl "trusted" {
   	193.48.57.186;
   	217.70.177.40;
   };

On a également limité le nombre de réponses par seconde à 10.

Configuration fail2ban

On a ici une configuration simple qui ban les ip qui font 3 erreurs consécutives pour se connecter en ssh :

   [DEFAULT]
   ignoreip = 127.0.0.1 193.48.57.186
   findtime = 10m
   bantime = 24h
   maxretry = 3
   [sshd]
   enabled = true