Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
technique:infrastructure:machines_virtuelles:reseau_ssh [2020/03/17 22:04] – kyane | technique:infrastructure:machines_virtuelles:reseau_ssh [2021/11/22 22:49] – ↷ Liens modifiés en raison d'un déplacement. qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ===== Configuration réseau et du serveur SSH de la VM ===== | + | {{indexmenu_n> |
- | ==== Configuration réseau | + | # Configuration réseau |
- | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | + | < |
+ | |||
+ | ## Configuration réseau | ||
+ | |||
+ | Si jamais la configuration réseau semble être écrasée par une configuration IPv6, il est nécessaire de supprimer le paquet | ||
``` | ``` | ||
apt-get purge rdnssd | apt-get purge rdnssd | ||
``` | ``` | ||
- | Modification du fichier | + | On modifie le fichier |
``` | ``` | ||
Ligne 16: | Ligne 20: | ||
``` | ``` | ||
- | On édite le fichier | + | On édite le fichier |
- | ``` | + | ```bash |
source / | source / | ||
Ligne 28: | Ligne 32: | ||
auto eth0 | auto eth0 | ||
allow-hotplug eth0 | allow-hotplug eth0 | ||
- | # On dit au système que l'on souhaite configurer l' | ||
iface eth0 inet manual | iface eth0 inet manual | ||
``` | ``` | ||
+ | Pour rappel, dans cette configuration, | ||
+ | Sur Debian, il faudra éditer le fichier `/ | ||
- | Dans le fichier ''/ | + | ```bash |
- | + | ||
- | ``` | + | |
# On attend 3 secondes au boot pour être sûr d' | # On attend 3 secondes au boot pour être sûr d' | ||
sleep 3 | sleep 3 | ||
+ | |||
+ | # Désactiver l' | ||
+ | # l' | ||
+ | for i in / | ||
+ | for j in autoconf accept_ra; do echo 0 > $i/$j; done;done | ||
# On allume l' | # On allume l' | ||
ip link set eth0 up | ip link set eth0 up | ||
- | # On ajoute l'IP sur l' | + | # IPv4 publique |
- | ip addr add <ip de la machine> dev eth0 | + | ip addr add <IPv4> dev eth0 |
- | # On ajoute la route par défaut vers le routeur de Tetaneutral | + | # On ajoute la route par défaut vers le routeur de Tetaneutral |
ip route add default via 91.224.148.0 dev eth0 onlink | ip route add default via 91.224.148.0 dev eth0 onlink | ||
+ | # IPv6 publique | ||
+ | ip -6 addr add < | ||
+ | # Lien-local IPv6 : unique sur l' | ||
+ | ip -6 addr add fe80:: | ||
+ | # Passerelle IPv6 par défaut : lien-local statique du routeur Tetaneutral (à changer si autre FAI) | ||
+ | ip -6 route add default via fe80::31 dev eth0 | ||
exit 0 | exit 0 | ||
``` | ``` | ||
- | ==== Configuration SSH ==== | + | Sur Alpine, il faudra [activer les scripts `local.d·`](https:// |
- | 1. Création des répertoires/ | + | < |
- | ``` | + | On exécute le script : |
- | mkdir -p / | + | |
- | touch / | + | |
- | ``` | + | |
- | 2. Ajouter les clés SSH | + | ```bash |
- | + | chmod +x /etc/rc.local | |
- | Pour ajouter votre clé, exécutez: '' | + | ./etc/rc.local |
- | + | ||
- | __Remarque: | + | |
- | Afin de copier la clef SSH sur la machine, on active **temporairement** l' | + | |
- | ``` | + | |
- | PermitRootLogin without-password | + | |
- | ``` | + | |
- | par | + | |
- | ``` | + | |
- | PermitRootLogin yes | + | |
``` | ``` | ||
- | De manière à pouvoir effectuer nos '' | ||
- | De cette manière il est possible | + | À ce stade, on doit être en mesure |
- | ``` | + | |
- | PermitRootLogin without-password | + | |
- | ``` | + | |
- | ==== Patch pour les cgroups sous Debian ==== | + | ## Configuration SSH |
- | Une fois la configuration réseau et le serveur SSH configurés, | + | S' |
- | ``` | + | |
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | |
- | ``` | + | |
- | en | + | |
- | ``` | + | |
- | GRUB_CMDLINE_LINUX_DEFAULT=" | + | |
- | ``` | + | |
- | ==== Firewall ==== | + | Aujourd' |
- | Pour filtrer les accès au strict minimum sur les machines de Picasoft, on utilise un firewall. Cela permet par exemple de n'autoriser les accès aux sondes de monitoring que par le serveur de monitoring. | + | < |
- | Pour cela on utilise | + | |
- | On commence par l' | + | La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. |
- | ``` | + | |
- | apt-get install ufw | + | |
- | ``` | + | |
- | + | ||
- | On peut ensuite définir des règles d' | + | |
- | ``` | + | |
- | # Autorisation du SSH | + | |
- | ufw allow in 22 | + | |
- | # Autorisation de HTTP/S | + | |
- | ufw allow in 80 | + | |
- | ufw allow in 443 | + | |
- | # Autorisation d' | + | |
- | ufw allow proto tcp from 91.224.148.61 to any port 9100 | + | |
- | ufw allow proto tcp from 2a03: | + | |
- | ``` | + | |
- | + | ||
- | Enfin on définie une politique d' | + | |
- | ``` | + | |
- | ufw default deny | + | |
- | ufw default allow outgoing | + | |
- | ufw enable | + | |
- | ``` | + |