Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes | ||
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/03/17 22:04] – kyane | technique:infrastructure:machines_virtuelles:reseau_ssh [2020/09/29 20:07] – qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ===== Configuration réseau et du serveur SSH de la VM ===== | + | {{indexmenu_n> |
- | ==== Configuration réseau | + | # Configuration réseau |
- | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | + | Cette page suppose que vous avez accès à un shell sur une machine virtuelle nouvellement installée. |
+ | |||
+ | ## Configuration réseau | ||
+ | |||
+ | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | ||
``` | ``` | ||
apt-get purge rdnssd | apt-get purge rdnssd | ||
``` | ``` | ||
- | Modification du fichier | + | On modifie le fichier |
``` | ``` | ||
Ligne 16: | Ligne 20: | ||
``` | ``` | ||
- | On édite le fichier | + | On édite le fichier |
``` | ``` | ||
Ligne 28: | Ligne 32: | ||
auto eth0 | auto eth0 | ||
allow-hotplug eth0 | allow-hotplug eth0 | ||
- | # On dit au système que l'on souhaite configurer l' | ||
iface eth0 inet manual | iface eth0 inet manual | ||
``` | ``` | ||
- | + | Pour rappel, dans cette configuration, | |
- | Dans le fichier | + | Dans le fichier |
``` | ``` | ||
# On attend 3 secondes au boot pour être sûr d' | # On attend 3 secondes au boot pour être sûr d' | ||
sleep 3 | sleep 3 | ||
+ | |||
+ | # Désactiver l' | ||
+ | # l' | ||
+ | for i in / | ||
+ | for j in autoconf accept_ra; do echo 0 > $i/$j; done;done | ||
# On allume l' | # On allume l' | ||
ip link set eth0 up | ip link set eth0 up | ||
- | # On ajoute l'IP sur l' | + | # IPv4 publique |
- | ip addr add <ip de la machine> dev eth0 | + | ip addr add <IPv4> dev eth0 |
- | # On ajoute la route par défaut vers le routeur de Tetaneutral | + | # On ajoute la route par défaut vers le routeur de Tetaneutral |
ip route add default via 91.224.148.0 dev eth0 onlink | ip route add default via 91.224.148.0 dev eth0 onlink | ||
+ | # IPv6 publique | ||
+ | ip -6 addr add < | ||
+ | # Lien-local IPv6 : unique sur l' | ||
+ | ip -6 addr add fe80:: | ||
+ | # Passerelle IPv6 par défaut : lien-local statique du routeur Tetaneutral (à changer si autre FAI) | ||
+ | ip -6 route add default via fe80::31 dev eth0 | ||
exit 0 | exit 0 | ||
``` | ``` | ||
- | ==== Configuration SSH ==== | + | Attention, il faut remplacer `< |
- | 1. Création des répertoires/ | + | On exécute le script |
- | ``` | + | ```bash |
- | mkdir -p /root/.ssh/ | + | chmod +x /etc/rc.local |
- | touch /root/.ssh/ | + | ./etc/rc.local |
``` | ``` | ||
- | 2. Ajouter les clés SSH | + | À ce stade, on doit être en mesure de contacter la machine depuis l' |
- | Pour ajouter votre clé, exécutez: '' | + | ## Configuration SSH |
- | __Remarque: | + | S' |
- | Afin de copier la clef SSH sur la machine, on active **temporairement** l' | + | |
- | ``` | + | |
- | PermitRootLogin without-password | + | |
- | ``` | + | |
- | par | + | |
- | ``` | + | |
- | PermitRootLogin | + | |
- | ``` | + | |
- | De manière à pouvoir effectuer nos '' | + | |
- | De cette manière il est possible | + | Aujourd' |
- | ``` | + | |
- | PermitRootLogin without-password | + | |
- | ``` | + | |
- | ==== Patch pour les cgroups sous Debian ==== | + | ## Création d'un firewall basique |
- | + | ||
- | Une fois la configuration réseau et le serveur SSH configurés, | + | |
- | ``` | + | |
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | |
- | ``` | + | |
- | en | + | |
- | ``` | + | |
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | |
- | ``` | + | |
==== Firewall ==== | ==== Firewall ==== | ||
- | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. | + | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. |
Pour cela on utilise [ufw](https:// | Pour cela on utilise [ufw](https:// | ||
Ligne 99: | Ligne 92: | ||
``` | ``` | ||
- | On peut ensuite définir | + | Sur la plupart |
+ | |||
+ | Les règles de base seront donc : | ||
``` | ``` | ||
# Autorisation du SSH | # Autorisation du SSH | ||
Ligne 106: | Ligne 102: | ||
ufw allow in 80 | ufw allow in 80 | ||
ufw allow in 443 | ufw allow in 443 | ||
- | # Autorisation d' | + | # On ouvre la socket Docker |
- | ufw allow proto tcp from 91.224.148.61 to any port 9100 | + | ufw allow in 2376 |
- | ufw allow proto tcp from 2a03: | + | |
``` | ``` | ||
- | Enfin on définie une politique d' | + | Enfin on définie une politique d' |
``` | ``` | ||
ufw default deny | ufw default deny | ||
Ligne 117: | Ligne 113: | ||
ufw enable | ufw enable | ||
``` | ``` | ||
+ | |||
+ | La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. |