Atelier SysRes SE2a5 2023/2024 E4

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

TP système/réseau 2023 - Spécifications techniques

  • Connexion à capbreton : ssh root@capbreton.plil.info
  • Connexion en passant par arsenic : ssh wbecue@arsenic.polytech-lille.org
  • Connexion via p2202  : ssh root@193.48.57.167 -p2202
  • Si modification alors incrémentation du serial number sous : vim /etc/bind/db.bruxelles.lol
  • Accès machine mandataire : cd /etc/xen/
  • Historique du bash vi ~/.bash_history

Journal de bord

Séance 1 (14/09/2023)

Ce qui a été fait

  • Création de la VIM :
    xen-create-image --hostname=Bruxelles --ip=172.26.145.109 --bridge=bridgeStudents --dir=/usr/local/xen --password=glopglop
    Nous avons lancé la VM : xen create Bruxelles.cfg
    Puis, nous avons démarré notre VM : xen console Bruxelles

  • Création d'un conteneur sous Linux sous machine ZABETH13 :
    dd if=dev/zero of=toto bs=1024k count=10240 Nous avons créer la partition.
    su - Nous avons du passer en super utilisateur.
    mkfs /home/pifou/toto Nous avons imposé le format fichier.
    mkdir /tmp/mnt Nous avons créé un espace mémoire dans lequel sera créé notre conteneur.
    mount -oloop /home/pifou/toto /tmp/mnt Nous avons monté l'espace disque de notre partition.
    apt install debootstrap Nous avons installé deboostrap.
    debootstrap stable /tmp/mnt De cette manière nous avons obtenu une bonne syntaxe dans notre espace mémoire.
    echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab Puis nous avons paramétré notre fichier.
    unshare -p -f -m chroot rootfs /bin/sh -c "mount /proc ; /bin/bash"Enfin, nous avons rendu notre système indépendant.

  • Modification de l'ipv4 :
    nano /etc/network/interfaces
    Nous avons modifié # The primary network interface de cette manière :
    auto eth0
    iface eth0 inet static
    address 172.26.145.109/24
    gateway 172.26.145.254
    En effet, nous ne l'avions pas paramétré dans notre première commande xen-create-image

  • Mise en place de l'accessibilité SSH :
    nano /etc/ssh/sshd_config Nous avons modifié les permissions d'accès, afin que l'utilisation d'un autre mot de passe que "root" soit possible.
    Permission.PNG

    Depuis notre console nous avons lancé ip a  :
    Ssh.PNG

    Séance 1 (18/09/2023)

    Ce qui a été fait

    • Modification de l'adresse ip et de la gateway de la zabeth09
    • modification sous la zabeth09 du fichier en passant en su :
      cd /root/.ssh le fichier : vi /etc/ssh//sshd_config dans le but d'y modifier le PermitRootLogin yes de manière a pouvoir se connecter à la zabeth21 en ssh
    • Installation de la clé publique cat .ssh/id_rsa.pub | ssh 172.26.145.59 "cat >> /root/.ssh/authorized_key2"
    • Réalisation sous la zabeth 21 de ansible pour la zabeth09 : ansible-playbook -l zabeth09.plil.info /etc/ansible/plil.yml dans le but d'obtenir les dossiers et packages nécessaires
    • sous capbreton lvcreat ...
    • halt => relancer VM
    • lv create /etc/xen Bruxelles.cfg

      Séance 2 (02/10/2023)

      Ce qui a été fait

      • Installation de la machine annexe daedalus sous la zabeth15 : cat /etc/apt/sources.list ; apt update ; apt dist-upgrade
      • Création de 2 partitions LVM, sous capbreton :
        lvcreate -L10G -nBruxelles-home virtual
        lvcreate -L10G -nBruxelles-var virtual
      • Ajout sous la capbreton via cd /etc/xen ; vi Bruxelles.cfg ajout dans disk :
        'phy:/dev/virtual/Bruxelles-home,xvdb, w',
        'phy:/dev/virtual/Bruxelles-var,xvdc, w',
      • Vérification via lsblk
        Lsblk.PNG

        Séance 3 (04/10/2023)

        Ce qui a été fait

        • Sous la VM Bruxelles réalisation des commandes pour la partition et montage de la partition.
        • mkfs /dev/xvdc
        • mkfs /dev/xvdb
        • mkdir new-var
        • mount /dev/xvdc new-var/
        • cp -r /var/* new-var/
        • mkdir /mnt/new_home
          mount /dev/xvdb /mnt/new-home
          cp -r /home/* /mnt/new_home
          vi /etc/fstab
        • reboot A la fin ! Quand tout est fait !
        • umount new-car
          umount /mnt/new_home
          Fstab.PNG

        • Création de la machine mandataire virtuelle : cd /etc/xen/
          xen-create-image --hostname=badminton --ip=193.48.57.167 --netmask=255.255.255.240 --bridge=SE2a5 --dir=/usr/local/xen --password=glopglop --gateway=193.48.57.161
        • Création de la VM mandataire : xen create /etc/xen/badminton.cfg
          xen console badminton
        • Modification sous nano /etc/ssh/sshd_config
        • IPV6 de la machine mandataire badminton : 2001:660:4401:60a0:216:3eff:feed:6414
          Badminton.PNG

          Enable.PNG

        • Test ping 2001:660:4401:60a0:216:3eff:feed:6414 fonctionnel
        • Sous Capbreton modification de nano /etc/network/interfaces afin d'établir un commutateur commun entre le VM alger, Bruxelles et badminton
          Bridge.PNG

          Séance 4 (05/10/2023)

          Ce qui a été fait

          • Installation des règles de iptables : apt install iptables-persistent
          • Etablissement lien privée avec les VM alger et Bruxelles
            Liens Bruxelles.PNG

          • Etablissement commutateur pour la VM madantaire
            Liens badminton.PNG

          • Etablissement de la mascarade :
          • Sous Bruxelles.cfg ajout vif = ['SE2a5']
            Bridge brux.cfg.PNG

          • Sous VM mandataire badminton.cfg ajout :
            Bad.cfg.PNG

          • Etablissement de la mascarade :
            iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.10.0/24
            iptables-save
            iptables-save >> /etc/iptables/rules.v4
          • Test ping google.com sous VM mandataire et VM Bruxelles fonctionnel
          • Suppression de l'iPV4 sous Bruxelles puis reboot.
            Auto.PNG
            Connexion à Bruxelles désormais uniquement via capbreton : ssh -J root@193.48.57.167 root@192.168.10.13

            et du réseau polytech : ssh root@193.48.57.167 -p2202

            Séance 5 (05/10/2023)

            Ce qui a été fait

            • Sous la machine mandataire badminton :
            • Autorisation de la redirection d'ip : sysctl net.ipv4.ip_forward=1
            • Mise en place accès via commande ssh port 22 à la VM en passant par la VM mandataire :
              iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2202 -j DNAT --to-destination 192.168.10.13:22 pour la VM Bruxelles
              iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2201 -j DNAT --to-destination 192.168.10.11:22 pour la VM alger
            • Sauvegarde de la masquerade iptables-save > /etc/iptables/rules.v4
            • Test commande : ssh -p2202 root@193.48.57.167
            • Enlever mot de passe depuis accès VM mandataire (sous badminton) : ssh-keygen
              cat ~/.ssh/id_rsa.pub | ssh 192.168.10.13 "cat >> /root/.ssh/authorized_keys"
              rm .ssh/authorized_key Après avoir créer un mauvais fichier
            • Installation du dns, sous gandi.net, nameserver, sous zabeth09 => add puis apt install dnsutils puis dig 193.48.57.167 bruxelles.lol

              Séance 6 (06/10/2023)

              Ce qui a été fait

              • Création du serveur DNS sous le site Gandi, hébergeur de DNS, nano /etc/bind/db.bruxelles.lol : ns1.bruxelles.lol.
              • Dnsb.PNG

              • installation de apache2 : apt install apache2 après avoir réalisé un apt update
              • Test d'une requête DNS après l'installation de la commande dig apt install dnsutils puis dig @localhost bruxelles.lol
                Réponse :
                Dig.PNG

                Surtout ne pas oublier d'incrémenter le Serial number avec lorsque l'on fait une modification sous vim /etc/bind/db.bruxelles.lol pour ensuite faire : service bind9 restart
              • Sous la VM Mandataire badminton :cat /etc/bind/named.conf.local , de manière à ce que nos VM de service soit définis en tant que "esclave" de notre VM mandataire badminton. Afin de bien refaire la redirection de service, lors d'une requête dns à via notre VM de service en passant par la VM mandataire (addresse IPV4 non routé sur machine de service passage via machine mandataire obligatoire pour requête dns):
                Conf.PNG

                Séance 7 (10/11/2023)

                Ce qui a été fait

                • Demande de certificat sous gandi.net
                • Commande pour générer le CSR : openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8
                • Sous vim /etc/bind/db.bruxelles.lol modification pour lier au dns disponible sous gandi.net :
                  CSRbis.PNG

                • Accès à www.bruxelles.lol
                • Problème de redirection http de la machine mandataire vers la machine de service
                • Génération de clé sous /etc/bind/keys via la commande cd /etc/bind/keys dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE bruxelles.lol
                • Envoi du certificat CSR, la clé de la machine de service, sous la machine mandataire pour. scp myserver.key root@192.168.10.12:/etc/ssl/private/bruxellesServer.key

                  Pour la prochaine séance

                • Mise en place du certificat SSL sous cat /etc/apache2/sites-available/vhost-https.conf , finalisation en attente du certificat sous gandi.net :
                  Vhost.PNG
                • Commande pour identifier les erreurs : cat /var/log/daemon.log
                • Attente de la propagation, suite à la demande sous gandi.net de certificat SSL
                • HTTPS sécurisé et attente du TTL
                • Sécurisation du dns
                • note perso : ls /etc/ssl/certs/ | grep key

                  Séance 8 (23/11/2023)

                  Ce qui a été fait

                • Suite commande /var/log/auth.log sur la machine mandataire badminton :
                  Test.PNG
                • Pour bannir les tentatives ssh infructueuses, installation du failban2.
                  Ipban.PNG
                  • Modification sous capbreton de vi /etc/xen/badminton.cfg .
                  Badcfg.PNG
                  • Modification de /etc/bind/db.bruxelles.lol . Ajouter IPV4 et IPV6 de ns6.gandi.net commande à la racine : host ns6.gandi.net
                  Conflocal.PNG
                  • Modification de /etc/bind/named.conf.local . Changer les addresses IPV6 avec celle de la machine de service et ajout de ns6.gandi.net.
                  Lolmaj.PNG
                  • Modification des droits de bind via : cd /etc; ls -ld bind; chown -R bind bind
                  • Suite commande nmcli device wifi list
                  Mac.PNG