« Atelier SysRes SE2a5 2023/2024 E7 » : différence entre les versions

Aide MEMO :

Connexion capbreton = ssh root@capbreton.plil.info

Nom de domaine : oslo666.lol

Connexion Oslo.cfg = xen console Oslo

Connexion aquaponey.cfg = xen console aquaponey

IP Machine de service Oslo : 192.168.66.10

IP Machine de mandataire aquaponey : 193.48.57.166

Connexion via root avec mascarade = ssh root@IPmandataire -p2202

Séance 1:

-> Création de la VM "Oslo" sur capbreton

• xen-create-image --hostname='NomVille' --ip='IP' --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop

-> Modification fichier de configaration /etc/network/interfaces" de la VM Oslo:

• ajout address + IP/24
• ajout gateway + IP
• ajout netcast + MASK

-> Création du conteneur sous Linux

-> Installation docker

Séance 2 & 3 :

Configuration d'un nouveau PC

Séance 4, :

Finitions paramétrage du nouveau PC et de Firefox sur nouvelle machine

Séance 5, 5/10/2023:

->Sous Oslo, modification /etc/network/interfaces (correction erreurs de frappes)

-> Capbreton : création de deux partitions de 10G pour la VM Oslo

• lvcreate -L10G -nOslo-home virtual
• lvcreate -L10G -nOslo-var virtual

->NOTE : montage des partitions non terminées, à résoudre pour le prochain cours

Séance 6 :

-> Suite montage des partitions :

• Sous Capbreton, ajout dans /etc/xen/Oslo.cfg:

'phy:/dev/virtual/Oslo-home,xvdb, w',

'phy:/dev/virtual/Oslo-var,xvdc, w',

• Puis implémentation des répertoires dans la MV:

mkfs /dev/xvdc

mkfs /dev/xvdb

mkdir new-var

mount /dev/xvdc new-var/

cp -r /var/* new-var/

mkdir /mnt/new-home

mount /dev/xvdb /mnt/new-home/

cp -r /home/* /mnt/new-home/

• reboot de la MV
• unmount new-var & /mnt/new-home
• lsblk pour vérifier si les partitions ont bien été implémentées

-> Création de la machine mandataire

• xen-create-image --hostname='NomSport' --ip=193.48.57.166 --netmask=255.255.255.240 --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop --gateway=193.48.57.161
• xen create aquaponey.cfg
• xen console aquaponey

-> Lien privé entre oslo et aquaponey

• pour oslo, dans /etc/network/interface (eth1)

• pour aquaponey, dans /etc/network/interface

• Pour créer la mascarade :

1. Sous capbreton, dans Oslo.cfg, ajout :

1. Dans aquaponey.cfg, ajout :

• Installation iptables : apt install iptables-persistent
• On créer la mascarade:
• iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.66.0/24
• iptables-save
• iptables-save >> /etc/iptables/rules.v4

->problème si on se connecte en ssh, à résoudre...

Séance 7 :

Résolution problème mascarade :

-> fichier /etc/network/interface de aquaponey mal configué: correction

-> Redirection d'IP sous aquaponey : sysctl net.ipv4.ip_forward=1

-> Pour se connecter via la commande ssh sur le port 22 : iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2202 -j DNAT --to-destination 192.168.66.10:22

-> Suavegarde avec iptables-save >> /etc/iptables/rules.v4

Création et configaration du DNS :

• Pour DNS Principal -> machine de service : nous allons utiliser l'IPV6
• Pour DNS Secondaire -> machine mandataire : nous allons utiliser l'IPV4
• Apt install bind9

Sur le Site gandi.net, renseigner les IPs et le nom 'record' du DNS dans glue record. Puis le renseigner en externe (External nameservers)

-> Sous MV Oslo : renseigner le DNS de google ('namerserver 8.8.8.8')

-> Ajout de la zone DNS sous oslo dans : /etc/bind/named.conf.local :

-> Renseigner dans /etc/bind/named.conf.options :

-> fichier db.oslo666.lol : modification pour les enregistrements DNS (voir prochain screen pour fichier complété)-> Erreur lorsqu'on vérifie la configuration DNS et non fait sur mandataire, à résoudre pour le prochaine cours ...

Séance 8 :

-> Installation de bind sur MV aquaponey

-> Création de la zone dans /etc/bind/named.conf.local ()

-> Modification du fichier db.oslo666.lol (!attention, il faut toujours incrémenter le serial number avant de faire un restart lorsqu'on modifie ce fichier!)

• Si on vérifie les fichiers avec les commandes named-checkconf named.conf."..."; named-checkzone oslo666.lol db.oslo666.lolet on fait un dig @localhost oslo666.lol = le DNS fonctionne correctement

->HTTPS (certificat reçu le soir après le cours) et DNSSEC (modification de /etc/apt/sources.list pour renseigner chimaera) commencés, à finir pour le prochain cours

Séance 9 :

-> HTTPS (commencé durant la dernière séance, expliquée dans cette rubrique car finalisation):

Création de la clef manuellement : openssl req -nodes -newkey rsa:2048 -sha256 -keyout oslo666.lol.key -out oslo666.lol.csr

Ranger la clé dans la direction private de ssl (/etc/ssl/private)

Clef .csr à copier dans gandi.net : on peut télécharger le certificat crt

Modification db.oslo666.lol :

Créer le ficher virtual host -> vhost-https.conf dans /etc/apache2/sites-available/ :

Activer le virtual host, relaod et restart apache2. Résultat, on arrive bien à se connecter en https :

-> DNSSEC (de même que pour HTTPS : commencé durant la dernière séance, expliquée dans cette rubrique car finalisation):

renseigner chimeara dans le fichier :

dans db.oslo666.lol -> dnssec-policy pour une gestion automatique

Création du dossier keys pour la génération des clés

service named restart

Renseigner la clé sous gandi

En attente de propagation...

Début craquage clef wifi...