Atelier SysRes SE2a5 2023/2024 E4
Aller à la navigation
Aller à la recherche
TP système/réseau 2023 - Spécifications techniques
- Connexion à capbreton :
ssh root@capbreton.plil.info
- Connexion en passant par arsenic :
ssh wbecue@arsenic.polytech-lille.org
- Connexion via p2202 ssh :
root@193.48.57.167 -p2202
- Si modification alors incrémentation du serial number sous :
vim /etc/bind/db.bruxelles.lol
Journal de bord
Séance 1 (14/09/2023)
Ce qui a été fait
- Création de la VIM :
xen-create-image --hostname=Bruxelles --ip=172.26.145.109 --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop
Nous avons lancé la VM :xen create Bruxelles.cfg
Puis, nous avons démarré notre VM :xen console Bruxelles
- Création d'un conteneur sous Linux sous machine ZABETH13 :
dd if=dev/zero of=toto bs=1024k count=10240
Nous avons créer la partition.
su -
Nous avons du passer en super utilisateur.
mkfs /home/pifou/toto
Nous avons imposé le format fichier.
mkdir /tmp/mnt
Nous avons créé un espace mémoire dans lequel sera créé notre conteneur.
mount -oloop /home/pifou/toto /tmp/mnt
Nous avons monté l'espace disque de notre partition.
apt install debootstrap
Nous avons installé deboostrap.
debootstrap stable /tmp/mnt
De cette manière nous avons obtenu une bonne syntaxe dans notre espace mémoire.
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab
Puis nous avons paramétré notre fichier.
unshare -p -f -m chroot rootfs /bin/sh -c "mount /proc ; /bin/bash"
Enfin, nous avons rendu notre système indépendant.
- Modification de l'ipv4 :
nano /etc/network/interfaces
Nous avons modifié# The primary network interface
de cette manière :
auto eth0
iface eth0 inet static
address 172.26.145.109/24
gateway 172.26.145.254
En effet, nous ne l'avions pas paramétré dans notre première commandexen-create-image
- Mise en place de l'accessibilité SSH :
nano /etc/ssh/sshd_config
Nous avons modifié les permissions d'accès, afin que l'utilisation d'un autre mot de passe que "root" soit possible.
Depuis notre console nous avons lancéip a
:
Séance 1 (18/09/2023)
Ce qui a été fait
- Modification de l'adresse ip et de la gateway de la zabeth09
- modification sous la zabeth09 du fichier en passant en su :
cd /root/.ssh
le fichier :vi /etc/ssh//sshd_config
dans le but d'y modifier lePermitRootLogin yes
de manière a pouvoir se connecter à la zabeth21 en ssh
- Installation de la clé publique
cat .ssh/id_rsa.pub | ssh 172.26.145.59 "cat >> /root/.ssh/authorized_key2"
- Réalisation sous la zabeth 21 de ansible pour la zabeth09 :
ansible-playbook -l zabeth09.plil.info /etc/ansible/plil.yml
dans le but d'obtenir les dossiers et packages nécessaires
- sous capbreton lvcreat ...
- halt => relancer VM
- lv create /etc/xen Bruxelles.cfg
Séance 2 (02/10/2023)
Ce qui a été fait
- Installation de la machine annexe daedalus sous la zabeth15 :
cat /etc/apt/sources.list ; apt update ; apt dist-upgrade
- Création de 2 partitions LVM, sous capbreton :
lvcreate -L10G -nBruxelles-home virtual
lvcreate -L10G -nBruxelles-var virtual
- Ajout sous la capbreton via
cd /etc/xen ; vi Bruxelles.cfg
ajout dans disk :
'phy:/dev/virtual/Bruxelles-home,xvdb, w',
'phy:/dev/virtual/Bruxelles-var,xvdc, w',
- Vérification via
lsblk
Séance 3 (04/10/2023)
Ce qui a été fait
- Sous la VM Bruxelles réalisation des commandes pour la partition et montage de la partition.
mkfs /dev/xvdc
mkfs /dev/xvdb
mkdir new-var
mount /dev/xvdc new-var/
cp -r /var/* new-var/
-
mkdir /mnt/new_home
mount /dev/xvdb /mnt/new-home
cp -r /home/* /mnt/new_home
vi /etc/fstab
-
reboot
A la fin ! Quand tout est fait !
-
umount new-car
umount /mnt/new_home
- Création de la machine mandataire virtuelle :
cd /etc/xen/
xen-create-image --hostname=badminton --ip=193.48.57.167 --netmask=255.255.255.240 --bridge=SE2a5 --dir=/usr/local/xen --password=glopglop --gateway=193.48.57.161
- Création de la VM mandataire :
xen create /etc/xen/badminton.cfg
xen console badminton
- Modification sous
nano /etc/ssh/sshd_config
- IPV6 de la machine mandataire badminton :
2001:660:4401:60a0:216:3eff:feed:6414
- Test
ping 2001:660:4401:60a0:216:3eff:feed:6414
fonctionnel
- Sous Capbreton modification de
nano /etc/network/interfaces
afin d'établir un commutateur commun entre le VM alger, Bruxelles et badminton
Séance 4 (05/10/2023)
Ce qui a été fait
- Installation des règles de iptables :
apt install iptables-persistent
- Etablissement lien privée avec les VM alger et Bruxelles
- Etablissement commutateur pour la VM madantaire
- Etablissement de la mascarade :
- Sous Bruxelles.cfg ajout
vif = ['SE2a5']
- Sous VM mandataire badminton.cfg ajout :
- Etablissement de la mascarade :
iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.10.0/24
iptables-save
iptables-save >> /etc/iptables/rules.v4
- Test ping google.com sous VM mandataire et VM Bruxelles fonctionnel
- Suppression de l'iPV4 sous Bruxelles puis reboot. Connexion à Bruxelles désormais uniquement via capbreton :
ssh -J root@193.48.57.167 root@192.168.10.13
et du réseau polytech :
ssh root@193.48.57.167 -p2202
Séance 5 (05/10/2023)
Ce qui a été fait
- Sous la machine mandataire badminton :
- Autorisation de la redirection d'ip :
sysctl net.ipv4.ip_forward=1
- Mise en place accès via commande ssh port 22 à la VM en passant par la VM mandataire :
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2202 -j DNAT --to-destination 192.168.10.13:22
pour la VM Bruxelles
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2201 -j DNAT --to-destination 192.168.10.11:22
pour la VM alger
- Sauvegarde de la masquerade
iptables-save > /etc/iptables/rules.v4
- Test commande :
ssh -p2202 root@193.48.57.167
- Enlever mot de passe depuis accès VM mandataire (sous badminton) :
ssh-keygen
cat ~/.ssh/id_rsa.pub | ssh 192.168.10.13 "cat >> /root/.ssh/authorized_keys"
rm .ssh/authorized_key
Après avoir créer un mauvais fichier - Installation du dns, sous gandi.net, nameserver, sous zabeth09 => add puis
apt install dnsutils
puisdig 193.48.57.167 bruxelles.lol
Séance 6 (06/10/2023)
Ce qui a été fait
- Création du serveur DNS sous le site Gandi, hébergeur de DNS,
nano /etc/bind/db.bruxelles.lol
:ns1.bruxelles.lol.
-
- installation de apache2 :
apt install apache2
après avoir réalisé unapt update
- Test d'une requête DNS après l'installation de la commande dig
apt install dnsutils
puisdig @localhost bruxelles.lol
Réponse :
Surtout ne pas oublier d'incrémenter le Serial number avec lorsque l'on fait une modification sousvim /etc/bind/db.bruxelles.lol
pour ensuite faire :service bind9 restart
- Sous la VM Mandataire badminton :
cat /etc/bind/named.conf.local
, de manière à ce que nos VM de service soit définis en tant que "esclave" de notre VM mandataire badminton. Afin de bien refaire la redirection de service, lors d'une requête dns à via notre VM de service en passant par la VM mandataire (addresse IPV4 non routé sur machine de service passage via machine mandataire obligatoire pour requête dns):
Séance 7 (10/11/2023)
Ce qui a été fait
- Demande de certificat sous gandi.net
- Commande pour générer le CSR :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8
- Sous
vim /etc/bind/db.bruxelles.lol
modification pour lier au dns disponible sous gandi.net :
- Accès à www.bruxelles.lol
- Problème de redirection http de la machine mandataire vers la machine de service
- Génération de clé sous
/etc/bind/keys
via la commandecd /etc/bind/keys dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE bruxelles.lol
- Envoi du certificat CSR, la clé de la machine de service, sous la machine mandataire pour.
scp myserver.key root@192.168.10.12:/etc/ssl/private/bruxellesServer.key
Pour la prochaine séance
- Mise en place du certificat SSL sous
cat /etc/apache2/sites-available/vhost-https.conf
, finalisation en attente du certificat sous gandi.net : - Commande pour identifier les erreurs :
cat /var/log/daemon.log
- Attente de la propagation, suite à la demande sous gandi.net de certificat SSL
- HTTPS sécurisé et attente du TTL
- Sécurisation du dns
- note perso :
ls /etc/ssl/certs/ | grep key
Séance 8 (23/11/2023)
Ce qui a été fait
- Suite commande
/var/log/auth.log
sur la machine mandataire badminton : - Pour bannir les tentatives ssh infructueuses, installation du failban2.
- Demande de certificat sous gandi.net
- Création du serveur DNS sous le site Gandi, hébergeur de DNS,
- Sous la machine mandataire badminton :
- Installation des règles de iptables :
- Installation de la machine annexe daedalus sous la zabeth15 :