TP sysres IMA5 2022/2023 G5

De Wiki d'activités IMA
Révision datée du 2 décembre 2022 à 17:11 par Akhalaf (discussion | contributions) (Sécurisation du DNS par DNSSEC)

Installation de l'OS

Devuan Chimaera (netinstall) sur les zabeth 17 et 11

Configuration réseau


  • mdp dio5 : XXXXXX

Ansible

Prérequis:

  • python
  • pip
  • ansible

Rédaction du script ansible pour le Screen Saver (.yml)

Tâches accomplies :

  • Suppression des animations de veille d'écran

Tâches restantes :

  • Fixer une animation lente pour la veille
  • Eteindre complétement l'écran au bout d'un certain temps (1 heure)

Réalisation

Installation de la machine virtuelle XEN (séance 2)

Connexion au serveur hébergeant les VM :

  ssh root@capbreton.plil.info

Création de l'image de conifguration de la VM :

  xen-create-image --ip=193.48.57.105 --gateway=193.48.57.161 --netmask=255.255.255.0 --hostname=dio5 --dist=chimaera --dir=/usr/local/xen/

/!\ Adresse ip provisoire car réseau 193.48.57.160/27 non créé pour le moment. Actuellement ip : 172.26.145.105 /!\

Modification du fichier de config (image):

  /etc/xen/dio5.cfg --> 

Création de la VM à partir de l'image précédemment créée :

  xen create dio5.cfg (en étant dans le dir /etc/xen/ évidemment)

Lancement de la VM :

  xen console dio5

login: root password: XXXXXX Vérifier avant que la machine a bien été lancée avec xen create dio5.cfg par la commande xen list

Séance 3

Amélioration du coffre fort

Un dossier compressé est en bas de page

Création des volumes virtuels

Sur Capbreton, on créé les LVM /home /var avec leurs systèmes de fichiers :

lvcreate -L10G -ndio5_home storage

mkfs /dev/storage/dio5_home

lvcreate -L5G -ndio5_var storage

mkfs /dev/storage/dio5_var

Il faut changer le fichier de configuration (situé dans /etc/xen) et y ajouter ces deux lignes dans la partie disk =

  'phy:/dev/storage/dio5_home,xvdb1,w',
  'phy:/dev/storage/dio5_var,xvdb2,w',

Ainsi que modifier la ligne vif comme suit :

  vif         = [ 'mac=00:16:3E:7B:4D:A4,bridge=IMA5sc' ]

On relance ensuite la machine avec xen create. Pour monter les deux partitions, il faut ensuite modifier le fichier /etc/fstab comme suit :

   /dev/xvdb1 /home ext4 defaults 0 2
   /dev/xvdb2 /var ext4 defaults 0 2

Pour que ces modificcations soient prises en compte :

  mount -a
  reboot

Séance 4

Sécurisation par certificat TLS

Nous avons commencé par lancer la machine virtuelle qui était créée et configurée lors des séances précédentes.
Ensuite nous avons acheté le nom de domaine blanquette.site via le fournisseur de nom de domaine GANDI. Ce nom de domaine servira par la suite pour héberger notre site web Apache.
Pour sécuriser la connexion HTTPS sur Apache, il est nécessaire de créer une clé et un CSR. On utilise pour cela l'utilitaire OpenSSL et on exécute les commandes :

  apt install openssl
  openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8

Pour valider cette demande de certificat et obtenir notre certificat TSL, nous avons également utilisé GANDI.

Configuration du routeur de secours (Cisco 9200????)

Pendant que d'autres binômes s'occupaient de la configuration physique des routeurs (câblage), nous nous sommes occupés de configurer le routeur en E304. Pour cela, on accède à l'interface de configuration Cisco du routeur par port série, via minicom :

  minicom -os   """device:/dev/ttyUSB0, baudrate:9600, pas de contrôle de flux"""

Depuis cette interface, création de 3 vlan et configuration des ports physiques associés pour répondre à l'architecture réseau demandée pour le TP :

  • Connexion entre le routeur et Capbreton sur le VLAN 2 :
  enable
  routeur#conf t
  routeur#vlan 2
  routeur(vlan)#name Capb-E304
  routeur#exit
  routeur#int Te5/4
  routeur(if)#switchport
  routeur(if)#switchport access vlan 2

Il restera ensuite à configurer ce vlan sur le réseau 193.48.57.176/28

  • Connexion de redondance entre les deux routeurs :
  enable
  routeur#conf t
  routeur#vlan 64
  routeur(vlan)#name INTERCO-E306/304

Après le choix du port à connecter sur le routeur, il restera à attribuer ce port au vlan 64 en mode trunk.

  • Connexion entre le routeur et le SR2
  enable
  routeur#conf t
  routeur#vlan 531
  routeur(vlan)#name INTERCO-5A
  routeur#exit
  routeur#int Te5/5
  routeur(if)#switchport
  routeur(if)#switchport access vlan 531

Il restera ensuite à configurer ce vlan sur le réseau 192.168.222.72/29

PHOTO A METTRE !!!
Pour checker la configuration des vlan du routeur :

  routeur#show interfaces status

ou :

  routeur#show interface vlan X


Séance 5

Tout d'abord nous avons commencé à vérifer le fonctionnement de notre service SSH sur la machine Xen. Pour cela nous avons modifié en premier temps après avoir être connecté sur la machine virtuelle le fichier sshd_config situé dans :

  /etc/ssh

comme suit :

  # Authentication:
  #LoginGraceTime 2m
  PermitRootLogin yes
  #StrictModes yes
  #MaxAuthTries 6
  #MaxSessions 10

d'où nous avons décommenté la ligne de qui nous permet de se connecter en tant que root, ensuite nous avons lui donné cette permission par l'expression yes.

Une fois que cette étape est faite, nous avons lancé dans le shell la commande suivante :

  root@dio5:~# service ssh restart

Dans le but de prendre en compte les modifications faites.

Pour vérfier la connexion en ssh, nous lançons depuis notre machine zabeth17 la commande suivante :

  root@zabeth17:~# ssh root@172.26.145.105

Attribution de l'adresse IP à VLAN2:

  • voici les commandes faites sous minicom pour cette attribution:
 enable
 routeur#conf 
 routeur#int vlan 2
 routeur#ip address 193.48.57.178 255.255.255.240
 routeur#do show run | include interface vlan | ip address

Attribution de l'adresse IP à VLAN531:

  • voici les commandes faites sous minicom pour cette attribution:
 enable
 routeur#conf 
 routeur#int vlan 531
 routeur#ip address 192.168.222.75 255.255.255.248
 routeur#do show run | include interface vlan | ip address

Configuration et interconnection du port trunk

  • voici les commandes faites sous minicom pour cette attribution:
  conf t
  int Te6/5
  switchport
  switchport trunk encapsulation dot1q
  switchport mode trunk
  end
  • Afin de sauvegarder ces configurations; on oublie pas de les écrire par la commande :
  write

Changement de l'addresse IP de la machine Xen

  • Changement du Bridge de la machine :

Dans la machine Xen, nous allons modifié le fichier de configuration de notre machine dio5 (situé à /etc/xen/dio5.cfg). Il est devenu comme suivant :

  vif         = [ 'mac=00:16:3E:2B:B5:60,bridge=IMA5sc' ]

Pour prendre les modifications en compte, nous avons arreté la machine xen puis nous l'avons redemaré depuis capbreton étant bien sur dans le repretoire /etc/xen:

  xen shutdown dio5
  xen create dio5.cfg 


Ensuite nous avons modifié l'addresse IP de la machine dans le fichier /etc/network/interfaces avec l'addresse IP suivante et la gateway qui correspond :

 address 193.48.57.182
 gateway 193.48.57.176

Pour que les modifications réseaux seront prises en compte, nous exectutons les commandes suivantes dans la machine Xen:

  ifdown -a
  ifup -a


HTTP Pour que notre VM soit accessible en HTTP, il lui faut un serveur HTPP installé. Dans la machine Xen :

  apt install apache2

HTTPS L'achat du certificat SSL nous permet de sécuriser la connexion à notre serveur Apache en HTTPS. Pour cela :

  a2enmod ssl
  a2ensite default-ssl.conf
  service apache2 restart

On modifie ensuite le fichier /etc/apache2/sites-enabled/default-ssl.conf de telle sorte à y renseigner le certificat SSL, le certificat intermédiaire et notre clé privée. Les certificats sont à télécharger sur Gandi et à transférer sur notre VM en scp.

Séance 6

Serveur DNS

Tout d'abord, sur le site gandi, dans la section Glue record, nous avons renseigné un nom de domaine ns.bolognaise.site, et nous avons ajouté les adresses IPv4 et IPv6 associé à notre machine xen.

  IPv4 : 193.48.57.182
  IPv6 : 2001:660:4401:60b0:216:3eff:fe7b:4da4

Ensuite dans la section NameServer nous avons ajouté un DNS secondaire ns6.gandi.net dont son adresse IPv4 est la suivante : 217.70.177.40.

Nous avons installé bind9 par apt install bind9.

Configuration du fichier d'option pour bind
Modification du fichier /etc/bind/named.conf.options


  options {
     directory "/var/cache/bind";
     forwarders {
        8.8.8.8;
        4.4.2.2; //ou 8.8.4.4		
     };
     dnssec-validation auto;
     recursion yes;
     listen-on-v6 { any; };
     listen-on {any;};
     allow-recursion{trusted;};
     //allow-transfer{none;};
  };
  listen-on-v6 { any;}
  acl trusted{
      193.48.57.182;  //ns.bolognaise.net 
      217.70.177.40;  //ns6.gandi.net
  };
  

Paramétrage OSBF et RiPv6 du routeur en E304

A compléter

Séance 7 (dernière séance)

Fin de la configuration des fichiers DNS /etc/bind/named.conf.options , /etc/bind/named.conf.options.local et

Sécurisation du DNS par DNSSEC

Génération des clés dnssec dans un répertoire /etc/bind/bolognaise.site.dnssec

Une fois que le fichier /etc/bind/named.conf.options est rempli d'une manière à configurer notre DNS, nous avons mis en place une configuration des forward et des zones comme suit :

Dans le fichier /etc/bind/named.conf.local :

  zone "57.48.193.in-addr.arpa"{
          type master;
          file "/etc/bind/db.193.48.57";
          allow-transfer{217.70.177.40;};
          notify yes;
  };
  
  zone "bolognaise.site"{
          type master;
          file "/etc/bind/db.bolognaise.site.signed";
          allow-transfer{217.70.177.40;};
          notify yes;
  };

Une fois que les paramètres sont ajoutés dans le fichier de configurations, nous avons créé ensuite les fichiers de zones comme suit:

  cp /etc/bind/db.local /etc/bind/db.bolognaise.site

Cette commande va nous permettre de copier le contenu du fichier db.local dans le fichier db.bolognaise.site et qui sera créé en même temps. voici le contenu des fichiers /etc/bind/db.local et /etc/bind/db.bolognaise.site avant la configuration :

  ;
  ; BIND data file for local loopback interface
  ;
  $TTL    604800
  @       IN      SOA     localhost. root.localhost. (
                                2         ; Serial
                           604800         ; Refresh
                            86400         ; Retry
                          2419200         ; Expire
                           604800 )       ; Negative Cache TTL
  ;
  @       IN      NS      localhost.
  @       IN      A       127.0.0.1
  @       IN      AAAA    ::1

Maintenant nous allons modifié le fichier /etc/bind/db.bolognaise.site

Modification du html de notre serveur pour ajouter une photo de BOLOGNAISE

Gestion de fail2ban

Coffre Fort

Fichier:Coffre secret2.zip