Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes | ||
technique:infrastructure:vm:reseau_ssh [2020/02/06 16:28] – ↷ Page déplacée de infrastructure:vm:reseau_ssh à technique:infrastructure:vm:reseau_ssh qduchemi | technique:infrastructure:machines_virtuelles:reseau_ssh [2020/09/29 20:07] – qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ===== Configuration réseau et du serveur SSH de la VM ===== | + | {{indexmenu_n> |
- | ==== Configuration réseau | + | # Configuration réseau |
- | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | + | Cette page suppose que vous avez accès à un shell sur une machine virtuelle nouvellement installée. |
+ | |||
+ | ## Configuration réseau | ||
+ | |||
+ | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | ||
``` | ``` | ||
apt-get purge rdnssd | apt-get purge rdnssd | ||
``` | ``` | ||
- | Modification du fichier | + | On modifie le fichier |
``` | ``` | ||
Ligne 16: | Ligne 20: | ||
``` | ``` | ||
- | On édite le fichier | + | On édite le fichier |
``` | ``` | ||
Ligne 28: | Ligne 32: | ||
auto eth0 | auto eth0 | ||
allow-hotplug eth0 | allow-hotplug eth0 | ||
- | # On dit au système que l'on souhaite configurer l' | ||
iface eth0 inet manual | iface eth0 inet manual | ||
``` | ``` | ||
- | + | Pour rappel, dans cette configuration, | |
- | Dans le fichier | + | Dans le fichier |
``` | ``` | ||
# On attend 3 secondes au boot pour être sûr d' | # On attend 3 secondes au boot pour être sûr d' | ||
sleep 3 | sleep 3 | ||
+ | |||
+ | # Désactiver l' | ||
+ | # l' | ||
+ | for i in / | ||
+ | for j in autoconf accept_ra; do echo 0 > $i/$j; done;done | ||
# On allume l' | # On allume l' | ||
ip link set eth0 up | ip link set eth0 up | ||
- | # On ajoute l'IP sur l' | + | # IPv4 publique |
- | ip addr add <ip de la machine> dev eth0 | + | ip addr add <IPv4> dev eth0 |
- | # On ajoute la route par défaut vers le routeur de Tetaneutral | + | # On ajoute la route par défaut vers le routeur de Tetaneutral |
ip route add default via 91.224.148.0 dev eth0 onlink | ip route add default via 91.224.148.0 dev eth0 onlink | ||
+ | # IPv6 publique | ||
+ | ip -6 addr add < | ||
+ | # Lien-local IPv6 : unique sur l' | ||
+ | ip -6 addr add fe80:: | ||
+ | # Passerelle IPv6 par défaut : lien-local statique du routeur Tetaneutral (à changer si autre FAI) | ||
+ | ip -6 route add default via fe80::31 dev eth0 | ||
exit 0 | exit 0 | ||
``` | ``` | ||
- | ==== Configuration SSH ==== | + | Attention, il faut remplacer `< |
- | 1. Création des répertoires/ | + | On exécute le script |
- | ``` | + | ```bash |
- | mkdir -p /root/.ssh/ | + | chmod +x /etc/rc.local |
- | touch /root/.ssh/ | + | ./etc/rc.local |
``` | ``` | ||
- | 2. Ajouter les clés SSH | + | À ce stade, on doit être en mesure de contacter la machine depuis l' |
- | Pour ajouter votre clé, exécutez: '' | + | ## Configuration SSH |
- | __Remarque: | + | S' |
- | Afin de copier la clef SSH sur la machine, on active | + | |
+ | Aujourd' | ||
+ | |||
+ | ## Création d'un firewall basique | ||
+ | |||
+ | ==== Firewall ==== | ||
+ | |||
+ | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | ||
+ | Pour cela on utilise [ufw](https: | ||
+ | |||
+ | On commence par l'installer: | ||
``` | ``` | ||
- | PermitRootLogin without-password | + | apt-get install ufw |
``` | ``` | ||
- | par | ||
- | ``` | ||
- | PermitRootLogin yes | ||
- | ``` | ||
- | De manière à pouvoir effectuer nos '' | ||
- | De cette manière il est possible de faire la copie de clef SSH via SSH. Une fois que l' | + | Sur la plupart des machines, |
+ | |||
+ | Les règles | ||
``` | ``` | ||
- | PermitRootLogin without-password | + | # Autorisation du SSH |
+ | ufw allow in 22 | ||
+ | # Autorisation de HTTP/S | ||
+ | ufw allow in 80 | ||
+ | ufw allow in 443 | ||
+ | # On ouvre la socket Docker sur le réseau | ||
+ | ufw allow in 2376 | ||
``` | ``` | ||
- | ==== Patch pour les cgroups sous Debian ==== | + | Enfin on définie une politique d' |
- | Une fois la configuration réseau et le serveur SSH configurés, | ||
``` | ``` | ||
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | ufw default deny |
- | ``` | + | ufw default allow outgoing |
- | en | + | ufw enable |
- | ``` | + | |
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | |
``` | ``` | ||
+ | |||
+ | La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. |