Atelier SysRes SE4 2024/2025 E7
Aller à la navigation
Aller à la recherche
Création de la machine
Création des VMs avec XEN
Dans ce projet, nous avons créé deux machines de services et une machine mandataire à l'aide de l'outil Xen. Les commandes utilisées sont les suivantes :
xen-create-image --hostname=SE4.Vi --dhcp --bridge=ekko_caitlyn --dir=/usr/local/xen --size=10GB --dist=daedalus --memory=2048M --force
Par la suite pour les démarrer on utilise:
xen create /etc/xen/SE4.Vi.cfg
Et pour y rentrer:
xen console SE4.Vi
Configuration des partitions LVM
Assigner les partitions dans le fichier `/etc/xen/SE4.Vi` (disk) :
'phy:/dev/virtual/SE4.Vi-home,xvda3,w',
'phy:/dev/virtual/SE4.Vi-var,xvdb1,w',
Affichage des partitions avec lsblk
Modification du fichier fstab
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvdb1 /var ext4 defaults 0 2
Aperçu du fichier fstab
Configuration des partitions /var et /home
Formatage et montage de /var (partition critique)
mkfs -t ext4 /dev/xvdb1
mount /dev/xvdb1 /mnt
mv /var/* /mnt
umount /mnt
mount -a
Vérification du contenu de /var
Formatage et montage de /home
mkfs -t ext4 /dev/xvda3
mount -a
Vérification du montage des partitions
Réseau
Configuration de la machine mandataire et routeur Cisco
Création des clés et certificat pour les noms de domaines
openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8
Vérifier et copier la CSR
cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
… texte ….
-----END CERTIFICATE REQUEST-----
Problème de renouvellement du certificat et validation DNS
Résolution du problème
openssl req -new -newkey rsa:2048 -nodes -keyout caitlyn.key -out caitlyn.csr
Validation du domaine via DNS
_mznyn1dwqlil5cvfou9kcwr48c8cfku.caitlyn.eu. 10800 IN CNAME dcv.digicert.com. _mznyn1dwqlil5cvfou9kcwr48c8cfku.www.caitlyn.eu. 10800 IN CNAME dcv.digicert.com.
Vérification de la propagation DNS
Check effectué via dig / nslookup / outils en ligne.
Serveur SSH
iptables -t nat -A PREROUTING -p tcp --dport 2202 -j DNAT --to-destination 192.168.1.2:22
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
Serveur DNS
Configuration du fichier named.conf.options
key-directory "/etc/bind/keys"; dnssec-policy "dnspol"; inline-signing yes; dnssec-policy "dnspol" { keys { ksk key-directory lifetime unlimited algorithm 13; zsk key-directory lifetime unlimited algorithm 13; }; nsec3param; };
Création du fichier de zone
Configuration du serveur mandataire comme DNS secondaire
zone "caitlyn.eu" { type secondary; file "/etc/bind/caitlyn.eu"; primariest { 2001:660:4401:60a0:216:3eff:fe5b:8277; }; }
Activation de DNSSEC
sudo systemctl restart bind9
Ajout des enregistrements DNS chez Gandi
Conclusion
Apache
Configuration de l'accès IPv4
a2enmod proxy
a2enmod proxy_http
a2ensite ekko.my.conf
service apache2 reload
service apache2 restart