Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/09/30 17:28] – qduchemi | technique:infrastructure:machines_virtuelles:reseau_ssh [2021/11/22 23:49] (Version actuelle) – supprimée qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{indexmenu_n> | ||
- | # Configuration réseau et SSH | ||
- | |||
- | < | ||
- | |||
- | ## Configuration réseau | ||
- | |||
- | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet `rdnssd` qui fait du DNS discovery pour l' | ||
- | ``` | ||
- | apt-get purge rdnssd | ||
- | ``` | ||
- | |||
- | On modifie le fichier `/ | ||
- | |||
- | ``` | ||
- | search picasoft.net | ||
- | nameserver 91.224.148.10 | ||
- | nameserver 91.224.149.254 | ||
- | ``` | ||
- | |||
- | On édite le fichier `/ | ||
- | |||
- | ```bash | ||
- | source / | ||
- | |||
- | # The loopback network interface | ||
- | auto lo | ||
- | iface lo inet loopback | ||
- | |||
- | # The primary network interface | ||
- | auto eth0 | ||
- | allow-hotplug eth0 | ||
- | iface eth0 inet manual | ||
- | ``` | ||
- | |||
- | Pour rappel, dans cette configuration, | ||
- | Sur Debian, il faudra éditer le fichier `/ | ||
- | |||
- | ```bash | ||
- | # On attend 3 secondes au boot pour être sûr d' | ||
- | sleep 3 | ||
- | |||
- | # Désactiver l' | ||
- | # l' | ||
- | for i in / | ||
- | for j in autoconf accept_ra; do echo 0 > $i/$j; done;done | ||
- | |||
- | # On allume l' | ||
- | ip link set eth0 up | ||
- | # IPv4 publique | ||
- | ip addr add < | ||
- | # On ajoute la route par défaut vers le routeur de Tetaneutral (à changer si autre FAI) | ||
- | ip route add default via 91.224.148.0 dev eth0 onlink | ||
- | # IPv6 publique | ||
- | ip -6 addr add < | ||
- | # Lien-local IPv6 : unique sur l' | ||
- | ip -6 addr add fe80:: | ||
- | # Passerelle IPv6 par défaut : lien-local statique du routeur Tetaneutral (à changer si autre FAI) | ||
- | ip -6 route add default via fe80::31 dev eth0 | ||
- | |||
- | exit 0 | ||
- | ``` | ||
- | |||
- | Sur Alpine, il faudra [activer les scripts `local.d·`](https:// | ||
- | |||
- | Attention, il faut remplacer `< | ||
- | |||
- | On exécute le script : | ||
- | |||
- | ```bash | ||
- | chmod +x / | ||
- | ./ | ||
- | ``` | ||
- | |||
- | À ce stade, on doit être en mesure de contacter la machine depuis l' | ||
- | |||
- | ## Configuration SSH | ||
- | |||
- | S' | ||
- | |||
- | Aujourd' | ||
- | |||
- | ## Création d'un firewall basique | ||
- | |||
- | ==== Firewall ==== | ||
- | |||
- | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | ||
- | Pour cela on utilise [ufw](https:// | ||
- | |||
- | On commence par l' | ||
- | |||
- | ```bash | ||
- | apt-get install ufw | ||
- | ``` | ||
- | |||
- | Sur la plupart des machines, l' | ||
- | |||
- | Les règles de base seront donc : | ||
- | |||
- | ```bash | ||
- | # Autorisation du SSH | ||
- | ufw allow in 22 | ||
- | # Autorisation de HTTP/S | ||
- | ufw allow in 80 | ||
- | ufw allow in 443 | ||
- | # On ouvre la socket Docker sur le réseau | ||
- | ufw allow in 2376 | ||
- | ``` | ||
- | |||
- | Enfin on définie une politique d' | ||
- | |||
- | ```bash | ||
- | ufw default deny | ||
- | ufw default allow outgoing | ||
- | ufw enable | ||
- | ``` | ||
- | |||
- | La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. |