Atelier SysRes SE2a5 2023/2024 E7
Aide MEMO :
Connexion capbreton = ssh root@capbreton.plil.info
Nom de domaine : oslo666.lol
Connexion Oslo.cfg = xen console Oslo
Connexion aquaponey.cfg = xen console aquaponey
IP Machine de service Oslo : 192.168.66.10
IP Machine de mandataire aquaponey : 193.48.57.166
Connexion via root avec mascarade = ssh root@IPmandataire -p2202
Séance 1:
-> Création de la VM "Oslo" sur capbreton
xen-create-image --hostname='NomVille' --ip='IP' --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop
-> Modification fichier de configaration /etc/network/interfaces" de la VM Oslo:
- ajout address + IP/24
- ajout gateway + IP
- ajout netcast + MASK
-> Création du conteneur sous Linux
-> Installation docker
Séance 2 & 3 :
Configuration d'un nouveau PC
Séance 4, :
Finitions paramétrage du nouveau PC et de Firefox sur nouvelle machine
Séance 5, 5/10/2023:
->Sous Oslo, modification /etc/network/interfaces (correction erreurs de frappes)
-> Capbreton : création de deux partitions de 10G pour la VM Oslo
lvcreate -L10G -nOslo-home virtual
lvcreate -L10G -nOslo-var virtual
->NOTE : montage des partitions non terminées, à résoudre pour le prochain cours
Séance 6 :
-> Suite montage des partitions :
- Sous Capbreton, ajout dans /etc/xen/Oslo.cfg:
'phy:/dev/virtual/Oslo-home,xvdb, w',
'phy:/dev/virtual/Oslo-var,xvdc, w',
- Puis implémentation des répertoires dans la MV:
mkfs /dev/xvdc
mkfs /dev/xvdb
mkdir new-var
mount /dev/xvdc new-var/
cp -r /var/* new-var/
mkdir /mnt/new-home
mount /dev/xvdb /mnt/new-home/
cp -r /home/* /mnt/new-home/
- reboot de la MV
- unmount new-var & /mnt/new-home
- lsblk pour vérifier si les partitions ont bien été implémentées
-> Création de la machine mandataire
xen-create-image --hostname='NomSport' --ip=193.48.57.166 --netmask=255.255.255.240 --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop --gateway=193.48.57.161
xen create aquaponey.cfg
xen console aquaponey
-> Lien privé entre oslo et aquaponey
- pour oslo, dans /etc/network/interface (eth1)
- pour aquaponey, dans /etc/network/interface
- Pour créer la mascarade :
- Sous capbreton, dans Oslo.cfg, ajout :
- Dans aquaponey.cfg, ajout :
- Installation iptables :
apt install iptables-persistent
- On créer la mascarade:
iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.66.0/24
iptables-save
iptables-save >> /etc/iptables/rules.v4
->problème si on se connecte en ssh, à résoudre...
Séance 7 :
Résolution problème mascarade :
-> fichier /etc/network/interface de aquaponey mal configué: correction
-> Redirection d'IP sous aquaponey : sysctl net.ipv4.ip_forward=1
-> Pour se connecter via la commande ssh sur le port 22 : iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2202 -j DNAT --to-destination 192.168.66.10:22
-> Suavegarde avec iptables-save >> /etc/iptables/rules.v4
Création et configaration du DNS :
- Pour DNS Principal -> machine de service : nous allons utiliser l'IPV6
- Pour DNS Secondaire -> machine mandataire : nous allons utiliser l'IPV4
- Apt install bind9
Sur le Site gandi.net, renseigner les IPs et le nom 'record' du DNS dans glue record. Puis le renseigner en externe (External nameservers)
-> Sous MV Oslo : renseigner le DNS de google ('namerserver 8.8.8.8')
-> Ajout de la zone DNS sous oslo dans : /etc/bind/named.conf.local :
-> Renseigner dans /etc/bind/named.conf.options :
-> fichier db.oslo666.lol : modification pour les enregistrements DNS (voir prochain screen pour fichier complété)-> Erreur lorsqu'on vérifie la configuration DNS et non fait sur mandataire, à résoudre pour le prochaine cours ...
Séance 8 :
-> Installation de bind sur MV aquaponey
-> Création de la zone dans /etc/bind/named.conf.local ()
-> Modification du fichier db.oslo666.lol (!attention, il faut toujours incrémenter le serial number avant de faire un restart lorsqu'on modifie ce fichier!)
- Si on vérifie les fichiers avec les commandes
named-checkconf named.conf."..."
;named-checkzone oslo666.lol db.oslo666.lol
et on fait un dig @localhost oslo666.lol = le DNS fonctionne correctement
->HTTPS (certificat reçu le soir après le cours) et DNSSEC (modification de /etc/apt/sources.list pour renseigner chimaera) commencés, à finir pour le prochain cours
Séance 9 :
-> HTTPS (commencé durant la dernière séance, expliquée dans cette rubrique car finalisation):
Création de la clef manuellement : openssl req -nodes -newkey rsa:2048 -sha256 -keyout oslo666.lol.key -out oslo666.lol.csr
Ranger la clé dans la direction private de ssl (/etc/ssl/private)
Clef .csr à copier dans gandi.net : on peut télécharger le certificat crt
Modification db.oslo666.lol :
Créer le ficher virtual host -> vhost-https.conf dans /etc/apache2/sites-available/ :
Activer le virtual host, relaod et restart apache2. Résultat, on arrive bien à se connecter en https :
-> DNSSEC (de même que pour HTTPS : commencé durant la dernière séance, expliquée dans cette rubrique car finalisation):
renseigner chimeara dans le fichier :
dans db.oslo666.lol -> dnssec-policy pour une gestion automatique
Création du dossier keys pour la génération des clés
service named restart
Renseigner la clé sous gandi
En attente de propagation...
Début craquage clef wifi...