« Atelier SysRes SE4 2024/2025 E16 » : différence entre les versions

Conteneur

VM et bridge

On doit faire un conteneur pour commencer. Il doit respecter les critères suivants: 10GB d'espace disque, 1GB de mémoire RAM et doit tourner sous daedalus.

Pour ce faire, on va d'abord créer le bridge pour permettre au conteneur de communiquer avec l'extérieur. Pour cela, dans /etc/network/interfaces.d/ on crée un fichier au nom du bridge où l'on y écrit:

auto norman #Notre bridge s'appelle norman
iface norman inet manual
  bridge_ports none
  up ip link set $IFACE up
  down ip link set $IFACE down

Ensuite, on crée l'image comme ceci:

xen-create-image --hostname=SE4.ElMordjene --dir=/usr/local/xen --dist=daedalus --size=10GB --memory=1024M --bridge=norman --dhcp
xen-create /etc/xen/SE4.ElMordjene.cfg

Pour s'y connecter :

xen console SE4.ElMordjene

Machines de service

Partitions

Pour implémenter /var et /home dans les partitions LVM:dans la VM:

écrire dans /etc/fstab:

/dev/xvda3 /home ext4 defaults 0 2
/dev/xvdb1 /var ext4 defaults 0 2

Ensuite, formater les disques:

mkfs -t ext4 /dev/xvda3
mkfs -t ext4 /dev/xvdb1

monter les fichier à implémenter, en l'occurence, seulement le /var (qui est xvdb1), copier les données et démonter le fichier:

mount /dev/xvdb1 /mnt
mv /var/* /mnt
unmount /mnt
mount -a #appliquer les changements sans redémarrer la vm

Connexion à Internet

IPv4

dans /etc/network/interfaces remplacer "iface eth0 inet dhcp" par "iface eth0 inet static"

puis écrire en dessous " address <adresse IP privée avec le masque> ". On a pris 192.168.42.69/24 pour ElMordjene et .41 pour jeanluc.

Petit conseil pour la suite: modifier le nom d'hote de la machine pour savoir qui est qui (référence à who's who) car les machines s'appellent tous "SE4"

IPv6

Pour configurer l'IPv6 de la machine, on doit ajouter un deuxième VIF dans le fichier de configuration de la VM:

vif     =   ['mac=00:16:3E:7F:62:D2,bridge=norman',
            'mac=00:16:3E:7F:62:D3,bridge=SE4']

Ensuite, rajouter une nouvelle interface eth1 dans la VM et la configurer en IPv6 comme ceci:

auto eth1
iface eth1 inet6 auto

Certificat sur gandi:

Pour que les moteurs de recherches autorise la navigation sur notre site on a besoin d'un certificat qu'on va récuperer sur Gandi.

- Se connecter sur gandi.net

- Dans l'onglet SSL Certificates, en haut à droite cliquer sur Buy

- Next sans modifier

- Pour obtenir le CSR, taper dans la vm:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout NOM_DE_DOMAINE -out server.csr -utf8

- Remplir avec les infos suivantes:

Country: FR

State or Province: Nord

Locality: Lille

Organization: PolytechLille

Organizational Unit: SE

Common Name: NOM_DE_DOMAINE

Email Address: VOTRE_ADRESSE_MAIL_POLYTECH

Laisser les autres vides (appuyez sur entrée)

- ya 2 fichiers qui sont apparus dans votre dossier, copier TOUT le contenu du server.csr (y compris les BEGIN CERTIFICATE et END CERTIFICATE) et coller dans le CSR sur gandi.net

- Next, puis auto et faire le payement (normalement il est à 0€)

- Faut attendre un peu histoire de recevoir le certificat et c'est bon !

Le 2eme fichier contient votre clé PRIVEE, il faut donc la GARDER AU CHAUD et ne PAS LA DIVULGER.

Machines mandataire

Pendant que notre certificat est en train d'être généré par Gandi, on fait les mêmes interfaces que celles des machines de service.

SSH et redirection de ports

Il faut autoriser les autres machines du VLAN50 à se connecter via ssh sur notre machine mandataire. Pour ce faire il suffit de décommenter la ligne "#PermitRootLogin prohibit-password" et remplacer "prohibit-password" par "yes".

Pour la redirection de ports:

nft add table ip NAT
nft add chain NAT PREROUTING { type nat hook prerouting priority 0\; }
nft add rule NAT PREROUTING  tcp dport 2201 dnat to  192.168.42.41:22 //redirection de requete reçu sur le port 2201 vers le port 22 de SE4.jeanluc
nft add rule NAT PREROUTING  tcp dport 2202 dnat to  192.168.42.69:22 //redirection de requete reçu sur le port 2202 vers le port 22 de SE4.ElMordjene