Fix typo with grammalecte
Some checks are pending
continuous-integration/drone/push Build is running

This commit is contained in:
nemunaire 2022-05-12 03:14:29 +02:00
parent d6a776b2a2
commit c14757e3b3
11 changed files with 72 additions and 72 deletions

View File

@ -18,7 +18,7 @@ Introduction à Ansible
Ansible est une solution de gestion de configuration. Basé sur Ansible est une solution de gestion de configuration. Basé sur
[Python](https://www.python.org/) et [Python](https://www.python.org/) et
[YAML](http://www.yaml.org/spec/1.2/spec.html), sa principale particularité est [YAML](http://www.yaml.org/spec/1.2/spec.html), sa principale particularité est
de ne pas nécessité de daemon sur les machines qu'il va gérer : tout se fait de ne pas nécessiter de daemon sur les machines qu'il va gérer : tout se fait
exclusivement via SSH, à partir de la machine d'un administrateur, possédant exclusivement via SSH, à partir de la machine d'un administrateur, possédant
Ansible (ou bien d'un système de gestion de configuration tel qu'[Ansible Ansible (ou bien d'un système de gestion de configuration tel qu'[Ansible
Tower](https://www.ansible.com/products/tower) ou Tower](https://www.ansible.com/products/tower) ou
@ -65,8 +65,8 @@ Pour réaliser cela, vous êtes autorisé à faire usage du module
::::: :::::
Mon première commande Ma première commande
--------------------- --------------------
### Inventaire ### Inventaire
@ -175,7 +175,7 @@ ansible -i hosts all -m setup
``` ```
</div> </div>
Les informations récupérées (quelque soit le module), sont ensuite accessibles Les informations récupérées (quel que soit le module), sont ensuite accessibles
dans des variables afin de permettre de compléter des modèles ou pour faire de dans des variables afin de permettre de compléter des modèles ou pour faire de
l'exécution conditionnelle d'état (par exemple on pourra utiliser la variable l'exécution conditionnelle d'état (par exemple on pourra utiliser la variable
`ansible_facts.ansible_distribution` pour distinguer les gestionnaires de `ansible_facts.ansible_distribution` pour distinguer les gestionnaires de
@ -225,7 +225,7 @@ d'Ansible](http://docs.ansible.com/ansible/latest/playbooks.html).
### Exécution d'un *Playbook* ### Exécution d'un *Playbook*
Placer le contenu dans un fichier YAML, par exemple `playbook.yml`, non loin du Placer le contenu dans un fichier YAML, par exemple `playbook.yml`, non loin du
fichier `hosts` créé à la section précédentes, puis lancez : fichier `hosts` créé à la section précédente, puis lancez :
<div lang="en-US"> <div lang="en-US">
```bash ```bash
@ -263,7 +263,7 @@ La création de l'utilisateur se fait à l'aide du module
disposition](https://docs.ansible.com/ansible/latest/collections/index.html) disposition](https://docs.ansible.com/ansible/latest/collections/index.html)
de copier vos fichiers de configuration à leur place et avec les bons droits de copier vos fichiers de configuration à leur place et avec les bons droits
(`authorized_keys`, `.bashrc`, ...). Installez également les paquets que vous (`authorized_keys`, `.bashrc`, ...). Installez également les paquets que vous
aviez installé à la main (client DHCP, `htop`, ...). aviez installés à la main (client DHCP, `htop`, ...).
Les notifications Les notifications
@ -271,7 +271,7 @@ Les notifications
Au sein d'un *playbook*, il est possible de définir des tâches particulières Au sein d'un *playbook*, il est possible de définir des tâches particulières
(nommées *handlers* dans le vocabulaire Ansible), qui ne seront exécutées que (nommées *handlers* dans le vocabulaire Ansible), qui ne seront exécutées que
si un changement à eu lieu. Par exemple, nous pourrions déclarer une tâche de si un changement a eu lieu. Par exemple, nous pourrions déclarer une tâche de
redémarrage du serveur web, seulement lorsque sa configuration est mise à redémarrage du serveur web, seulement lorsque sa configuration est mise à
jour. jour.

View File

@ -7,16 +7,16 @@ Très bien ! vous semblez avoir compris le fonctionnement de notre
gestionnaire de configuration. gestionnaire de configuration.
Après cet échauffement, vous devriez être prêt à créer un *playbook* Après cet échauffement, vous devriez être prêt à créer un *playbook*
dédié à l'installation d'un serveur [Matrix](https://matrix.org/) : dédié à l'installation d'un serveur [Matrix](https://matrix.org/) :
![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png) ![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png)
Vous connaissez et utilisez sans doute Discord ou Slack, un service de messagerie Vous connaissez et utilisez sans doute Discord ou Slack, un service de messagerie
instantannée qui a supplanté IRC, Jabber, ... Il vient avec le gros instantannée qui a supplanté IRC, Jabber, ... Il vient avec le gros
inconvénient qu'il est centralisé, qu'il ne permet pas de faire discuter des inconvénient qu'il est centralisé, qu'il ne permet pas de faire discuter des
personnes qui, bien qu'utilisant le même service, ne sont pas dans le même personnes qui, bien qu'utilisant le même service, ne sont pas dans le même
groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en
effet pas possible d'avoir de chiffrement de bout-en-bout, entre deux personnes effet pas possible d'avoir de chiffrement de bout-en-bout, entre deux personnes
ou un groupe, et les administrateurs des groupes, tout comme le gouvernement ou un groupe, et les administrateurs des groupes, tout comme le gouvernement
américian, ont accès à tout l'historique. Vous l'aurez compris, Matrix est donc américian, ont accès à tout l'historique. Vous l'aurez compris, Matrix est donc
@ -83,7 +83,7 @@ Vous devrez générer un certificat TLS afin de joindre les autres serveurs.\
::::: {.warning} ::::: {.warning}
À aucun moment la clef privée de votre certificat ne doit faire parti de votre À aucun moment la clef privée de votre certificat ne doit faire partie de votre
dépôt. Dans certaines circonstances, il peut être pratique d'avoir cette clef dépôt. Dans certaines circonstances, il peut être pratique d'avoir cette clef
dans un *vault*, mais ici ce que l'on attend c'est que le certificat soit dans un *vault*, mais ici ce que l'on attend c'est que le certificat soit
généré s'il n'existe pas déjà ou qu'il a expiré. Éventuellement, une solution généré s'il n'existe pas déjà ou qu'il a expiré. Éventuellement, une solution
@ -115,4 +115,4 @@ Pour valider l'installation de votre serveur, rejoignez le canal
`#adlin:nemunai.re` et envoyez un message « Ping ! » pour signaler votre `#adlin:nemunai.re` et envoyez un message « Ping ! » pour signaler votre
présence. présence.
Vous devriez également pouvoir tester en communiquant entre-vous. Vous devriez également pouvoir tester en communiquant entre vous.

View File

@ -11,13 +11,13 @@ d'accès à une plage d'IPv6 routable sur Internet.\
Ce service vous est proposé à titre éducatif. Vous savez Ce service vous est proposé à titre éducatif. Vous savez
combien Internet peut être un milieu hostile, il est donc de votre devoir de ne combien Internet peut être un milieu hostile, il est donc de votre devoir de ne
pas tenter le diable et de prendre toutes les mesures qui s'imposent pour vous pas tenter le diable et de prendre toutes les mesures qui s'imposent pour vous
protéger en conséquence. D'autre part, il va de soit que ce service vous est protéger en conséquence. D'autre part, il va de soi que ce service vous est
fourni en échange de votre consentement à ne pas l'utiliser d'une manière fourni en échange de votre consentement à ne pas l'utiliser d'une manière
condamnable (mais libre à vous de tester la plate-forme en elle-même). condamnable (mais libre à vous de tester la plate-forme en elle-même).
::::: :::::
L'interface de Maatma est accessible à cette adresse : L'interface de Maatma est accessible à cette adresse :
<https://adlin.nemunai.re/maatma/>. Utilisez votre identifiant CRI pour vous y <https://adlin.nemunai.re/maatma/>. Utilisez votre identifiant CRI pour vous y
connecter. connecter.
@ -29,7 +29,7 @@ Le système d'information que vous allez avoir à gérer aujourd'hui est très
restreint, car il ne se compose que d'une seule machine ! restreint, car il ne se compose que d'une seule machine !
Cette semaine, nous allons installer et configurer plusieurs services sur cette Cette semaine, nous allons installer et configurer plusieurs services sur cette
machine. Pour rendre les choses un peu plus attrayante, une fois démarrée, machine. Pour rendre les choses un peu plus attrayantes, une fois démarrée,
votre machine est automatiquement accessible depuis Internet. votre machine est automatiquement accessible depuis Internet.
L'image ISO que vous avez récupérée met à votre disposition un système Debian L'image ISO que vous avez récupérée met à votre disposition un système Debian
@ -49,7 +49,7 @@ afin de mettre en place le tunnel IPv6.
Afin d'en obtenir un, rendez-vous sur la [page Afin d'en obtenir un, rendez-vous sur la [page
Tunnels](https://adlin.nemunai.re/maatma/tunnels) et créez un nouveau Tunnels](https://adlin.nemunai.re/maatma/tunnels) et créez un nouveau
tunnel. Un jeton de 10 caractères s'affichera alors, c'est celui que tunnel. Un jeton de 10 caractères s'affichera alors, c'est celui que
vous devrez recopier dans le terminal (attention à la casse !). vous devrez recopier dans le terminal (attention à la casse !).
### Test du tunnel ### Test du tunnel
@ -74,7 +74,7 @@ avoir à connaître son IP.
Dans un deuxième temps, nous verrons comment tirer parti de la délégation. Vous Dans un deuxième temps, nous verrons comment tirer parti de la délégation. Vous
pouvez l'ignorer pour le moment. pouvez l'ignorer pour le moment.
Notez que vous ne disposez pas d'IPv4 publique (c'est à dire routable sur Notez que vous ne disposez pas d'IPv4 publique (c'est-à-dire routable sur
Internet), vous disposez seulement d'une IPv6 publique. L'ensemble de vos Internet), vous disposez seulement d'une IPv6 publique. L'ensemble de vos
services sont cependant accessibles également en IPv4, car Maatma centralise services sont cependant accessibles également en IPv4, car Maatma centralise
les requêtes faites en IPv4 et les distribue entre vos IPv6, lorsque le les requêtes faites en IPv4 et les distribue entre vos IPv6, lorsque le
@ -82,7 +82,7 @@ protocole permet de faire cette distribution. Par exemple, HTTP et HTTPS le
permette, mais pas SSH. Vous ne pourrez donc pas vous connecter en SSH via permette, mais pas SSH. Vous ne pourrez donc pas vous connecter en SSH via
l'IPv4 de Maatma. l'IPv4 de Maatma.
Voici un schéma reprenant ces explications : Voici un schéma reprenant ces explications :
![Schéma du tunnel mis en place par Maatma](maatma-tun.png) ![Schéma du tunnel mis en place par Maatma](maatma-tun.png)

View File

@ -4,7 +4,7 @@ Délégation de nom de domaine
============================ ============================
La deuxième solution proposée par Maatma est une délégation de nom de domaine. La deuxième solution proposée par Maatma est une délégation de nom de domaine.
Alors que jusque là, c'était les serveurs DNS de Maatma qui répondaient aux Alors que jusque-là, c'était les serveurs DNS de Maatma qui répondaient aux
requêtes DNS, avec la délégation, ce sera à vous, dans votre VM, de répondre requêtes DNS, avec la délégation, ce sera à vous, dans votre VM, de répondre
aux requêtes venues tout droit d'Internet. aux requêtes venues tout droit d'Internet.
@ -15,7 +15,7 @@ Voici les grandes étapes :
* configurer ce serveur pour qu'il réponde effectivement aux requêtes de votre zone ; * configurer ce serveur pour qu'il réponde effectivement aux requêtes de votre zone ;
* tester avec `dig @votreIPv4locale ANY login-x.srs.example.tld` que votre serveur réagit bien correctement ; * tester avec `dig @votreIPv4locale ANY login-x.srs.example.tld` que votre serveur réagit bien correctement ;
* publier sur Maatma le nom de domaine où votre serveur de nom est joignable (généralement `ns.login-x.srs.example.tld`), il s'agit d'un enregistrement `NS` ; * publier sur Maatma le nom de domaine où votre serveur de nom est joignable (généralement `ns.login-x.srs.example.tld`), il s'agit d'un enregistrement `NS` ;
* publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est sensé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ; * publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est censé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ;
* tester avec `dig @9.9.9.9 AAAA login-x.srs.example.tld` que votre serveur est bien joignable. * tester avec `dig @9.9.9.9 AAAA login-x.srs.example.tld` que votre serveur est bien joignable.
Un ouvrage de référence, qui répondra à l'intégralité de vos questions et manières d'utiliser votre serveur DNS se trouve à <http://www.zytrax.com/books/dns/>. Un ouvrage de référence, qui répondra à l'intégralité de vos questions et manières d'utiliser votre serveur DNS se trouve à <http://www.zytrax.com/books/dns/>.
@ -23,9 +23,9 @@ Un ouvrage de référence, qui répondra à l'intégralité de vos questions et
## Coller aux spécifications ## Coller aux spécifications
Pourquoi une telle complexité apparente pour déléguer une zone DNS ? Pourquoi une telle complexité apparente pour déléguer une zone DNS ?
Vous êtes sur le point d'obtenir le contrôle total d'un domaine : Vous êtes sur le point d'obtenir le contrôle total d'un domaine :
`login-x.srs.example.tld.`. Cela signifie que vous allez pouvoir décider, `login-x.srs.example.tld.`. Cela signifie que vous allez pouvoir décider,
depuis votre propre serveur de noms (respectueux des depuis votre propre serveur de noms (respectueux des
[standards](https://www.ietf.org/rfc/rfc1034.txt)), comment vous allez [standards](https://www.ietf.org/rfc/rfc1034.txt)), comment vous allez
@ -34,7 +34,7 @@ répondre aux serveurs résolveurs des utilisateurs.
Le protocole DNS étant décentralisé, mais basé sur une arborescence Le protocole DNS étant décentralisé, mais basé sur une arborescence
unique, il est nécessaire que les serveurs faisant autorité sur une unique, il est nécessaire que les serveurs faisant autorité sur une
zone (`fr.`, `srs.example.tld.`, ...) fournissent toutes les informations zone (`fr.`, `srs.example.tld.`, ...) fournissent toutes les informations
nécessaire pour que cette délégation fonctionne. nécessaires pour que cette délégation fonctionne.
À cet instant, vous connaissez l'adresse IPv6 routable sur Internet de votre À cet instant, vous connaissez l'adresse IPv6 routable sur Internet de votre
serveur de noms (comme vous n'avez aujourd'hui qu'une seule machine, c'est serveur de noms (comme vous n'avez aujourd'hui qu'une seule machine, c'est
@ -50,7 +50,7 @@ faire.
Dans le cas basique, on va utiliser les serveurs de quelqu'un d'autre (d'un Dans le cas basique, on va utiliser les serveurs de quelqu'un d'autre (d'un
hébergement spécialisé par exemple, ou celui de son bureau d'enregistrement hébergement spécialisé par exemple, ou celui de son bureau d'enregistrement
s'ils proposent ce service). Auquel cas, on fera figurer ce genre s'ils proposent ce service). Auquel cas, on fera figurer ce genre
d'informations : d'informations :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -79,7 +79,7 @@ autorité.
Mais dans votre cas, vous hébergez vous-même votre propre serveur au sein de Mais dans votre cas, vous hébergez vous-même votre propre serveur au sein de
votre zone, vous n'avez pas d'autre domaine à votre disposition. C'est votre zone, vous n'avez pas d'autre domaine à votre disposition. C'est
également le cas de Wikipédia : également le cas de Wikipédia :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -103,9 +103,9 @@ On voit ici que pour résoudre les sous-domaines de `wikipedia.org.`, il faut
demander à `nsX.wikimedia.org.`. Mais comment obtenir alors, l'adresse de ces demander à `nsX.wikimedia.org.`. Mais comment obtenir alors, l'adresse de ces
serveurs de noms, puisque l'on ne sait pas où les contacter ...! serveurs de noms, puisque l'on ne sait pas où les contacter ...!
C'est là que les *GLUE records* entrent en jeu ! C'est là que les *GLUE records* entrent en jeu !
J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est : J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -149,7 +149,7 @@ domaine votre serveur de noms, ainsi que le *GLUE record* qui lui correspond.
Maatma met à votre disposition une plage d'IPv6 publique, directement Maatma met à votre disposition une plage d'IPv6 publique, directement
routable sur Internet. Mais aujourd'hui encore, de nombreuses routable sur Internet. Mais aujourd'hui encore, de nombreuses
installation ne disposent pas de ce protocole de communication et ne installations ne disposent pas de ce protocole de communication et ne
peuvent accéder aux machines connectées en IPv4 seulement. peuvent accéder aux machines connectées en IPv4 seulement.
Pour palier cela, Maatma met à votre disposition une IPv4 mutualisée Pour palier cela, Maatma met à votre disposition une IPv4 mutualisée
@ -173,4 +173,4 @@ permettant d'indiquer vos clefs publiques.
De nombreux articles sont disponibles sur Internet pour vous permettre de De nombreux articles sont disponibles sur Internet pour vous permettre de
configurer DNSSEC en fonction du serveur autoritaire que vous aurez choisi. À configurer DNSSEC en fonction du serveur autoritaire que vous aurez choisi. À
vous de jouer ! vous de jouer !

View File

@ -146,7 +146,7 @@ contrôleurs de disques.
### Pont réseau // switch virtuel ### Pont réseau // switch virtuel
Un pont réseau va nous permettre de faire communiquer entre-elles plusieurs Un pont réseau va nous permettre de faire communiquer entre elles plusieurs
interfaces (qu'elles soient physiques ou virtuelles). interfaces (qu'elles soient physiques ou virtuelles).
Pour créer un nouveau pont, on utilise la commande `ip` comme suit : Pour créer un nouveau pont, on utilise la commande `ip` comme suit :
@ -189,7 +189,7 @@ machine hôte sur ce réseau virtuel.
Il est tout à fait possible d'ajouter une interface réseau physique à un pont, Il est tout à fait possible d'ajouter une interface réseau physique à un pont,
et c'est sans doute la méthode la plus simple pour que les machines virtuelles et c'est sans doute la méthode la plus simple pour que les machines virtuelles
puissent accéder à internet : si le réseau local de la machine hôte fourni des puissent accéder à internet : si le réseau local de la machine hôte fournie des
adresses IP par DHCP à toute machine rejoignant le réseau. adresses IP par DHCP à toute machine rejoignant le réseau.
@ -214,7 +214,7 @@ de réaliser cette authentification dans chaque machine virtuelle.
Il convient alors ici d'avoir un pont *host-only networking*. Dans cette Il convient alors ici d'avoir un pont *host-only networking*. Dans cette
configuration, les machines virtuelles obtiendront une IP via un serveur DHCP configuration, les machines virtuelles obtiendront une IP via un serveur DHCP
lancé sur l'hôte et pourront donc communiquer entre-elles et avec l'hôte, sur lancé sur l'hôte et pourront donc communiquer entre elles et avec l'hôte, sur
un réseau privé. un réseau privé.
<div lang="en-US"> <div lang="en-US">
@ -241,7 +241,7 @@ Démarrer la machine virtuelle
::::: {.more} ::::: {.more}
Comme pour la section précédentes, les exemples sont donnés pour `qemu`. Ils Comme pour la section précédente, les exemples sont donnés pour `qemu`. Ils
sont à adapter en fonction de votre hyperviseur. Avec `qemu`, les exemples sont sont à adapter en fonction de votre hyperviseur. Avec `qemu`, les exemples sont
à combiner avec la ligne de commande établie précédemment, il faut accumuler à combiner avec la ligne de commande établie précédemment, il faut accumuler
les arguments avant de lancer la machine virtuelle. les arguments avant de lancer la machine virtuelle.

View File

@ -3,7 +3,7 @@
Vitrine Vitrine
======= =======
Vitrine sécurisée ? Vitrine sécurisée ?
------------------- -------------------
Avant de commencer votre travail, il est important de mettre en place Avant de commencer votre travail, il est important de mettre en place
@ -17,7 +17,7 @@ suffisamment durcies. Pensez à noter vos changements, vous devrez les
reporter dans un fichiers au chapitre suivant ! reporter dans un fichiers au chapitre suivant !
À ce stade, vous devez suivre les recommandations de l'ANSSI que vous À ce stade, vous devez suivre les recommandations de l'ANSSI que vous
jugez adaptées à votre déploiement : jugez adaptées à votre déploiement :
<https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/> <https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/>
@ -40,7 +40,7 @@ Compte tenu [des limitations
imposées](https://letsencrypt.org/docs/rate-limits/), vous ne pourrez pas tous imposées](https://letsencrypt.org/docs/rate-limits/), vous ne pourrez pas tous
en créer un aujourd'hui, mais n'hésitez pas à retenter un peu plus tard dans la en créer un aujourd'hui, mais n'hésitez pas à retenter un peu plus tard dans la
semaine. Vous pouvez également obtenir vos certificats depuis de nombreux semaine. Vous pouvez également obtenir vos certificats depuis de nombreux
autres services gratuits similaire : [ZeroSSL](https://zerossl.com/), autres services gratuits similaire : [ZeroSSL](https://zerossl.com/),
[buypass](https://www.buypass.com/), ...\ [buypass](https://www.buypass.com/), ...\
D'ailleurs, si vous disposez de votre propre nom de domaine et que vous D'ailleurs, si vous disposez de votre propre nom de domaine et que vous

View File

@ -45,7 +45,7 @@ fichier `authorized_keys` n'existe pas.
### Création d'un utilisateur ### Création d'un utilisateur
Une règle primordiale dans l'administration, c'est de ne jamais ~~trop Une règle primordiale dans l'administration, c'est de ne jamais ~~trop
travailler~~ utiliser le compte `root` directement ! quelque soit le sytème travailler~~ utiliser le compte `root` directement ! quel que soit le sytème
d'exploitation. d'exploitation.
Sur chaque machine, on crée donc autant de comptes utilisateurs, qu'il y aura Sur chaque machine, on crée donc autant de comptes utilisateurs, qu'il y aura

View File

@ -11,7 +11,7 @@ facilement[^facilement].
[^facilement]: Si vous préférez, ce TP existe aussi en utilisant une simple [^facilement]: Si vous préférez, ce TP existe aussi en utilisant une simple
distribution Debian comme routeur. C'est tout aussi efficace et les mêmes distribution Debian comme routeur. C'est tout aussi efficace et les mêmes
technologies sont en jeu. Demandez à votre professeur l'ISO si vous êtes technologies sont en jeu. Demandez à votre professeur l'ISO si vous êtes
intéressés ! intéressés !
Au sein du noyau Linux, le [projet `netfilter`](https://netfilter.org/) est Au sein du noyau Linux, le [projet `netfilter`](https://netfilter.org/) est
l'implémentation de pare-feu standard. Il s'agit d'un mécanisme de filtrage des l'implémentation de pare-feu standard. Il s'agit d'un mécanisme de filtrage des
@ -21,7 +21,7 @@ manière historique `iptables`.
Les deux projets ont une manière de fonctionner très similaire, mais il est Les deux projets ont une manière de fonctionner très similaire, mais il est
important de ne pas les utiliser en même temps, sous peine de voir apparaître important de ne pas les utiliser en même temps, sous peine de voir apparaître
des problèmes incompréhensible à déboguer, plus ou moins aléatoirement. des problèmes incompréhensibles à déboguer, plus ou moins aléatoirement.
## Réseau fonctionnel ? ## Réseau fonctionnel ?
@ -66,7 +66,7 @@ Test à passer :
</div> </div>
Vous pouvez utiliser, par exemple `tcpdump`, pour comprendre ce qu'il se passe Vous pouvez utiliser, par exemple `tcpdump`, pour comprendre ce qu'il se passe
sur votre routeur : sur votre routeur :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -83,7 +83,7 @@ configuration, afin qu'il tente à nouveau de contacter un serveur de noms pour
faire une résolution. C'est un comportement normal.\ faire une résolution. C'est un comportement normal.\
Si vous êtes impatient, vous pouvez aussi vous connecter sur la machine Si vous êtes impatient, vous pouvez aussi vous connecter sur la machine
hébergeant le résolveur afin de le redémarrer manuellement : hébergeant le résolveur afin de le redémarrer manuellement :
```sh ```sh
router$ ssh root@ns router$ ssh root@ns
@ -95,7 +95,7 @@ resolvsrv$ service unbound restart
## Accéder aux autres serveurs du parc ## Accéder aux autres serveurs du parc
Depuis le routeur, vous pouvez vous SSH en utilisant le nom d'hôte attribué aux Depuis le routeur, vous pouvez vous SSH en utilisant le nom d'hôte attribué aux
machines : machines :
<div lang="en-US"> <div lang="en-US">
- `ssh root@matrix` - `ssh root@matrix`
@ -106,7 +106,7 @@ machines :
Depuis l'extérieur, vous devez utiliser le routeur comme *bastion*. Avec SSH, Depuis l'extérieur, vous devez utiliser le routeur comme *bastion*. Avec SSH,
utilisez l'option `-J` pour désigner une machine intermédiaire qui servira à utilisez l'option `-J` pour désigner une machine intermédiaire qui servira à
accéder à la machine cible : accéder à la machine cible :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -126,12 +126,12 @@ accessibles sur Internet.
En utilisant une règle de `netfilter`, rendez vos trois serveurs web accessibles En utilisant une règle de `netfilter`, rendez vos trois serveurs web accessibles
depuis l'interface externe du routeur. Après configuration, depuis un depuis l'interface externe du routeur. Après configuration, depuis un
navigateur sur votre poste, vous devriez pouvoir accéder à : navigateur sur votre poste, vous devriez pouvoir accéder à :
<div lang="en-US"> <div lang="en-US">
* `http://$EXT_ROUTER_IP:8000/` : Vitrine * `http://$EXT_ROUTER_IP:8000/` : Vitrine
* `http://$EXT_ROUTER_IP:8080/` : Miniflux * `http://$EXT_ROUTER_IP:8080/` : Miniflux
* `http://$EXT_ROUTER_IP:8008/` : Matrix * `http://$EXT_ROUTER_IP:8008/` : Matrix
</div> </div>
::::: {.warning} ::::: {.warning}
@ -148,8 +148,8 @@ votre propre installation, avec l'IPv4 donné par l'interface `eth0`.
Utilisez le nom d'utilisateur `adeline` pour vous connecter à Utilisez le nom d'utilisateur `adeline` pour vous connecter à
miniflux. N'oubliez pas de changer le mot de passe avant que quelqu'un miniflux. N'oubliez pas de changer le mot de passe avant que quelqu'un
d'autre s'en charge à votre place ! d'autre s'en charge à votre place !
Si vos serveurs ont bien accès à Internet, vous pourrez mettre à jour Si vos serveurs ont bien accès à Internet, vous pourrez mettre à jour
la liste des flux pré-enregistrés dans miniflux, afin de faire un peu la liste des flux pré-enregistrés dans miniflux, afin de faire un peu
de veille ! de veille !

View File

@ -6,7 +6,7 @@ Reverse-proxy
Plusieurs services sur un port ? Plusieurs services sur un port ?
-------------------------------- --------------------------------
Sur Internet, rare sont les IP qui n'hébergent qu'un seul service. Très Sur Internet, rares sont les IP qui n'hébergent qu'un seul service. Très
souvent, une armée de serveurs est placée derrière, comme ici, et permet de souvent, une armée de serveurs est placée derrière, comme ici, et permet de
distribuer plusieurs services sur la même IP, sans que les utilisateurs n'aient distribuer plusieurs services sur la même IP, sans que les utilisateurs n'aient
à changer leur port de connexion. à changer leur port de connexion.
@ -16,7 +16,7 @@ accédé. Cependant, les protocoles IP, TCP ou UDP ne transportent pas cette
information. C'est donc dans la couche applicative que le nom de domaine est information. C'est donc dans la couche applicative que le nom de domaine est
passé. passé.
Par exemple, vous pouvez observer ce comportement facilement avec `curl` : Par exemple, vous pouvez observer ce comportement facilement avec `curl` :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -38,7 +38,7 @@ serveur web (généralement ici utilisé comme proxy inverse) oriente la
distribution de son contenu en fonction de cet en-tête. distribution de son contenu en fonction de cet en-tête.
[^https]: En HTTPS, le certificat est distribué avant que le client n'ait pu [^https]: En HTTPS, le certificat est distribué avant que le client n'ait pu
envoyé de contenu. Le nom est alors passé dans un champ d'extension de envoyer de contenu. Le nom est alors passé dans un champ d'extension de
TLS. Voir le [RFC 6066](https://tools.ietf.org/html/rfc6066) à propos de TLS. Voir le [RFC 6066](https://tools.ietf.org/html/rfc6066) à propos de
SNI. SNI.
@ -47,7 +47,7 @@ permettre d'accéder aux différents services, sur le port 80.
En utilisant le résolveur local, vous pouvez vérifier le fonctionnement de En utilisant le résolveur local, vous pouvez vérifier le fonctionnement de
votre reverse-proxy avec (soit sur une station de travail, soit sur le routeur votre reverse-proxy avec (soit sur une station de travail, soit sur le routeur
directement) : directement) :
<div lang="en-US"> <div lang="en-US">
```sh ```sh
@ -74,7 +74,7 @@ Maintenant que vos services écoutent en HTTP, il est temps de leur
ajouter un certificat, afin que toutes les connexions soient ajouter un certificat, afin que toutes les connexions soient
sécurisées. sécurisées.
Plusieurs solutions s'offrent à vous dans ce genre de situation : Plusieurs solutions s'offrent à vous dans ce genre de situation :
- laisser le reverse-proxy établir les connexions TLS (en envoyant - laisser le reverse-proxy établir les connexions TLS (en envoyant
notamment le certificat), puis transmettre les paquets reçus et notamment le certificat), puis transmettre les paquets reçus et

View File

@ -7,7 +7,7 @@ Présentation du système d'information
------------------------------------- -------------------------------------
Le système d'information que vous allez avoir à gérer aujourd'hui est de taille Le système d'information que vous allez avoir à gérer aujourd'hui est de taille
moyenne. Vous aurez en votre possession : moyenne. Vous aurez en votre possession :
- un serveur DNS résolveur, - un serveur DNS résolveur,
- un serveur DNS faisant autorité, - un serveur DNS faisant autorité,
@ -41,8 +41,8 @@ routeur et le contenu de la base de données persistent.
Accéder à la machine virtuelle Accéder à la machine virtuelle
------------------------------ ------------------------------
Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'à Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'a
obtenue la machine sur votre réseau : obtenu la machine sur votre réseau :
``` ```
You didn't define your token to connect the network. Please run here `join-maatma` and then reboot. You didn't define your token to connect the network. Please run here `join-maatma` and then reboot.
@ -71,7 +71,7 @@ avec celle-ci.
Pour retrouver votre tunnel sur Internet, vous devez, dans la console de la Pour retrouver votre tunnel sur Internet, vous devez, dans la console de la
machine virtuelle, utiliser la commande `join-maatma`. machine virtuelle, utiliser la commande `join-maatma`.
Vous pouvez aussi écrire directement dans le fichier persistant : Vous pouvez aussi écrire directement dans le fichier persistant :
<div lang="en-US"> <div lang="en-US">
``` ```
@ -100,12 +100,12 @@ Objectif du TP
Toutes les IP notées sur le schéma ont déjà été configurées par votre Toutes les IP notées sur le schéma ont déjà été configurées par votre
administrateur système en suivant vos instructions. Votre tâche est de rendre administrateur système en suivant vos instructions. Votre tâche est de rendre
accessible les services web sur internet ainsi qu'aux stations de accessible les services web sur internet ainsi qu'aux stations de
travails. Tout le monde doit avoir accès à internet et utiliser le serveur de travail. Tout le monde doit avoir accès à internet et utiliser le serveur de
noms local (les serveurs ayant déjà été configurés ainsi, il faudra simplement noms local (les serveurs ayant déjà été configurés ainsi, il faudra simplement
s'assurer que ce soit également le cas des stations de travail). s'assurer que ce soit également le cas des stations de travail).
Étant donné le caractère éphémère de vos actions, la réalisation d'un Étant donné le caractère éphémère de vos actions, la réalisation d'un
*Playbook* Ansible semble plutôt adaptée ! *Playbook* Ansible semble plutôt adaptée !
### Mots de passes ### Mots de passes
@ -113,7 +113,7 @@ s'assurer que ce soit également le cas des stations de travail).
Tous les mots de passes initiaux sont `adlin2023`, pour tous les services. Tous les mots de passes initiaux sont `adlin2023`, pour tous les services.
3 bases de données Postgres sont à votre disposition pour vos différents 3 bases de données Postgres sont à votre disposition pour vos différents
services : services :
- `matrix` - `matrix`
- `miniflux` - `miniflux`
@ -122,10 +122,10 @@ services :
Pour chacune, un utilisateur du même nom existe pour s'y connecter à distance. Pour chacune, un utilisateur du même nom existe pour s'y connecter à distance.
Au secours ça ne marche pas ! Au secours ça ne marche pas !
----------------------------- -----------------------------
Pas de panique ! Pas de panique !
Quelques commandes sont à votre disposition dans le shell de la machine Quelques commandes sont à votre disposition dans le shell de la machine
virtuelle afin de vérifier que tout fonctionne correctement. virtuelle afin de vérifier que tout fonctionne correctement.
@ -133,12 +133,12 @@ virtuelle afin de vérifier que tout fonctionne correctement.
### Monitoring ### Monitoring
Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des éventuel Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des
problèmes. éventuels problèmes.
Tout est vert ? Toutes les machines sont opérationnelles ! Tout est vert ? Toutes les machines sont opérationnelles !
Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec
les machines concernées. Tentez de redémarrer une fois. les machines concernées. Tentez de redémarrer une fois.
Si le problème persiste, vous pouvez formater votre disque en utilisant la Si le problème persiste, vous pouvez formater votre disque en utilisant la

View File

@ -9,7 +9,7 @@ une IP.
Pour vous simplifier les opérations de débug, vous pouvez ajouter une carte Pour vous simplifier les opérations de débug, vous pouvez ajouter une carte
ethernet à la machine virtuelle afin d'avoir accès en SSH à l'un des ethernet à la machine virtuelle afin d'avoir accès en SSH à l'un des
postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit
de l'interface `eth1`. de l'interface `eth1`.
Vous pouvez également ajouter une troisième carte réseau pour la brancher à Vous pouvez également ajouter une troisième carte réseau pour la brancher à
@ -20,7 +20,7 @@ votre *entreprise*.
DHCP DHCP
---- ----
N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en
place un serveur DHCP sur votre réseau afin que vos collaborateurs puissent place un serveur DHCP sur votre réseau afin que vos collaborateurs puissent
utiliser facilement le réseau. utiliser facilement le réseau.
@ -33,9 +33,9 @@ Zone démilitarisée et filtrage
Il est risqué d'exposer des ports d'administration sur Internet ou de permettre Il est risqué d'exposer des ports d'administration sur Internet ou de permettre
à des zones sensibles d'être accédées par rebond. Définissez quelques règles de à des zones sensibles d'être accédées par rebond. Définissez quelques règles de
filtrage sur le routeur afin notamment : filtrage sur le routeur afin notamment :
* d'empêcher les connexions au serveur de base de données, seule les connexions * d'empêcher les connexions au serveur de base de données, seules les connexions
réalisées depuis le réseau des serveurs resteront disponibles ; réalisées depuis le réseau des serveurs resteront disponibles ;
* de n'exposer le port SSH que depuis le réseau interne (pas depuis l'interface * de n'exposer le port SSH que depuis le réseau interne (pas depuis l'interface
connectée à Internet). connectée à Internet).