Atelier SysRes SE4 2024/2025 E7

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

Création de la machine

Création des VMs avec XEN

Dans ce projet, nous avons créé deux machines de services et une machine mandataire à l'aide de l'outil Xen. Les commandes utilisées sont les suivantes :

xen-create-image --hostname=SE4.Vi --dhcp --bridge=ekko_caitlyn --dir=/usr/local/xen --size=10GB --dist=daedalus --memory=2048M --force

Par la suite pour les démarrer on utilise:

xen create /etc/xen/SE4.Vi.cfg

Et pour y rentrer:

xen console SE4.Vi

Configuration des partitions LVM

Assigner les partitions dans le fichier `/etc/xen/SE4.Vi` (disk) :

'phy:/dev/virtual/SE4.Vi-home,xvda3,w',
'phy:/dev/virtual/SE4.Vi-var,xvdb1,w',

Affichage des partitions avec lsblk

Affichage de lsblk
Résultat de la commande lsblk


Modification du fichier fstab

/dev/xvda3  /home  ext4  defaults  0  2
/dev/xvdb1  /var   ext4  defaults  0  2

Aperçu du fichier fstab

Affichage de fstab
Contenu du fichier /etc/fstab


Configuration des partitions /var et /home

Formatage et montage de /var (partition critique)

mkfs -t ext4 /dev/xvdb1
mount /dev/xvdb1 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Vérification du contenu de /var

Affichage du contenu de /var
Résultat des commandes


Formatage et montage de /home

mkfs -t ext4 /dev/xvda3
mount -a

Vérification du montage des partitions

Vérification df
On vérifie le montage des disques avec df


Réseau

Vérification interface réseau
Interface réseau de Vi ETH0
Vérification des adresses IPV4 et V6
Vérification des adresses IPV4 et V6
Vérification ET1
Interface réseau de Vi ETH1
Vérification de l'adresses V6
Vérification de l'adresses V6

Configuration de la machine mandataire et routeur Cisco

Voir ce Lien

Création des clés et certificat pour les noms de domaines

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8

Vérifier et copier la CSR

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
… texte ….
-----END CERTIFICATE REQUEST-----

Problème de renouvellement du certificat et validation DNS

Résolution du problème

openssl req -new -newkey rsa:2048 -nodes -keyout caitlyn.key -out caitlyn.csr

Validation du domaine via DNS

_mznyn1dwqlil5cvfou9kcwr48c8cfku.caitlyn.eu. 10800 IN CNAME dcv.digicert.com.
_mznyn1dwqlil5cvfou9kcwr48c8cfku.www.caitlyn.eu. 10800 IN CNAME dcv.digicert.com.

Vérification de la propagation DNS

Check effectué via dig / nslookup / outils en ligne.

Serveur SSH

PermitRootLogin yes.png
iptables -t nat -A PREROUTING -p tcp --dport 2202 -j DNAT --to-destination 192.168.1.2:22
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
Ssh reussi.png

Serveur DNS

Configuration du fichier named.conf.options

key-directory "/etc/bind/keys"; 
dnssec-policy "dnspol";
inline-signing yes;

dnssec-policy "dnspol" {
   keys {
       ksk key-directory lifetime unlimited algorithm 13;
       zsk key-directory lifetime unlimited algorithm 13;
   };
   nsec3param;
};
Named.conf.local vi.png
Named ekko.png

Création du fichier de zone

Création du fichier de zone

Configuration du serveur mandataire comme DNS secondaire

zone "caitlyn.eu" {
  type secondary;
  file "/etc/bind/caitlyn.eu";
  primariest { 2001:660:4401:60a0:216:3eff:fe5b:8277; };
}
Named.local.conf vander.png

Activation de DNSSEC

sudo systemctl restart bind9

Ajout des enregistrements DNS chez Gandi

Capture d’écran 2025-03-17 à 15.13.04.png
Capture d’écran 2025-03-17 à 15.12.55.png
Capture d’écran 2025-03-17 à 15.12.41.png


Conclusion

Serveur DNS opérationnel

Apache

apache2
Configuration Apache


Configuration de l'accès IPv4

Vander apache2
Configuration Vander Apache2


a2enmod proxy
a2enmod proxy_http
a2ensite ekko.my.conf
service apache2 reload
service apache2 restart