technique:infrastructure:machines_virtuelles:reseau_ssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
Prochaine révisionLes deux révisions suivantes
infrastructure:configuration_vm [2020/01/01 16:55] – formatting qduchemitechnique:infrastructure:machines_virtuelles:reseau_ssh [2020/03/17 22:04] kyane
Ligne 3: Ligne 3:
 ==== Configuration réseau ==== ==== Configuration réseau ====
  
-1. Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet ''rdnssd'' qui fait du DNS discovery pour l'IPv6. Inutile, tant que nos infra ne supportent pas IPv6, et casse la configuration DNS statique :+Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet ''rdnssd'' qui fait du DNS discovery pour l'IPv6. Inutile, tant que nos infra ne supportent pas IPv6, et casse la configuration DNS statique :
 ``` ```
 apt-get purge rdnssd apt-get purge rdnssd
 ``` ```
  
-2. Modification du fichier ''/etc/resolv.conf'' pour ajouter les serveurs DNS de Tetaneutral :+Modification du fichier ''/etc/resolv.conf'' pour ajouter les serveurs DNS de Tetaneutral :
  
 ``` ```
Ligne 16: Ligne 16:
 ``` ```
  
-3. On édite le fichier ''/etc/network/interfaces'' :+On édite le fichier ''/etc/network/interfaces'' :
  
 ``` ```
Ligne 33: Ligne 33:
  
  
-4. Dans le fichier ''/etc/rc.local'' nous devons ajouter la configuration suivante (en veillant à bien remplacer ''<ip de la machine>'' par l'IP que l'on souhaite attribuer à la machine) :+Dans le fichier ''/etc/rc.local'' nous devons ajouter la configuration suivante (en veillant à bien remplacer ''<ip de la machine>'' par l'IP que l'on souhaite attribuer à la machine) :
  
 ``` ```
Ligne 87: Ligne 87:
 ``` ```
 GRUB_CMDLINE_LINUX_DEFAULT="quiet cgroup_enable=memory swapaccount=1" GRUB_CMDLINE_LINUX_DEFAULT="quiet cgroup_enable=memory swapaccount=1"
 +```
 +
 +==== Firewall ====
 +
 +Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. Cela permet par exemple de n'autoriser les accès aux sondes de monitoring que par le serveur de monitoring.  
 +Pour cela on utilise [ufw](https://doc.ubuntu-fr.org/ufw) qui est un firewall assez simple à utiliser. 
 +
 +On commence par l'installer:
 +```
 +apt-get install ufw
 +```
 +
 +On peut ensuite définir des règles d'accès. Par exemple ici des règles de bases que l'on a sur toutes les machines :
 +```
 +# Autorisation du SSH
 +ufw allow in 22
 +# Autorisation de HTTP/S
 +ufw allow in 80
 +ufw allow in 443
 +# Autorisation d'accès au serveur de monitoring sur le Prometheus node-exporter
 +ufw allow proto tcp from 91.224.148.61 to any port 9100
 +ufw allow proto tcp from 2a03:7220:8080:3d00::1 to any port 9100
 +```
 +
 +Enfin on définie une politique d'accès par défaut (fermé en entrée, ouvert en sortie) et on active ufw.
 +```
 +ufw default deny
 +ufw default allow outgoing
 +ufw enable
 ``` ```