Fix typo with grammalecte
Some checks are pending
continuous-integration/drone/push Build is running
Some checks are pending
continuous-integration/drone/push Build is running
This commit is contained in:
parent
d6a776b2a2
commit
c14757e3b3
@ -18,7 +18,7 @@ Introduction à Ansible
|
||||
Ansible est une solution de gestion de configuration. Basé sur
|
||||
[Python](https://www.python.org/) et
|
||||
[YAML](http://www.yaml.org/spec/1.2/spec.html), sa principale particularité est
|
||||
de ne pas nécessité de daemon sur les machines qu'il va gérer : tout se fait
|
||||
de ne pas nécessiter de daemon sur les machines qu'il va gérer : tout se fait
|
||||
exclusivement via SSH, à partir de la machine d'un administrateur, possédant
|
||||
Ansible (ou bien d'un système de gestion de configuration tel qu'[Ansible
|
||||
Tower](https://www.ansible.com/products/tower) ou
|
||||
@ -65,8 +65,8 @@ Pour réaliser cela, vous êtes autorisé à faire usage du module
|
||||
:::::
|
||||
|
||||
|
||||
Mon première commande
|
||||
---------------------
|
||||
Ma première commande
|
||||
--------------------
|
||||
|
||||
### Inventaire
|
||||
|
||||
@ -175,7 +175,7 @@ ansible -i hosts all -m setup
|
||||
```
|
||||
</div>
|
||||
|
||||
Les informations récupérées (quelque soit le module), sont ensuite accessibles
|
||||
Les informations récupérées (quel que soit le module), sont ensuite accessibles
|
||||
dans des variables afin de permettre de compléter des modèles ou pour faire de
|
||||
l'exécution conditionnelle d'état (par exemple on pourra utiliser la variable
|
||||
`ansible_facts.ansible_distribution` pour distinguer les gestionnaires de
|
||||
@ -225,7 +225,7 @@ d'Ansible](http://docs.ansible.com/ansible/latest/playbooks.html).
|
||||
### Exécution d'un *Playbook*
|
||||
|
||||
Placer le contenu dans un fichier YAML, par exemple `playbook.yml`, non loin du
|
||||
fichier `hosts` créé à la section précédentes, puis lancez :
|
||||
fichier `hosts` créé à la section précédente, puis lancez :
|
||||
|
||||
<div lang="en-US">
|
||||
```bash
|
||||
@ -263,7 +263,7 @@ La création de l'utilisateur se fait à l'aide du module
|
||||
disposition](https://docs.ansible.com/ansible/latest/collections/index.html)
|
||||
de copier vos fichiers de configuration à leur place et avec les bons droits
|
||||
(`authorized_keys`, `.bashrc`, ...). Installez également les paquets que vous
|
||||
aviez installé à la main (client DHCP, `htop`, ...).
|
||||
aviez installés à la main (client DHCP, `htop`, ...).
|
||||
|
||||
|
||||
Les notifications
|
||||
@ -271,7 +271,7 @@ Les notifications
|
||||
|
||||
Au sein d'un *playbook*, il est possible de définir des tâches particulières
|
||||
(nommées *handlers* dans le vocabulaire Ansible), qui ne seront exécutées que
|
||||
si un changement à eu lieu. Par exemple, nous pourrions déclarer une tâche de
|
||||
si un changement a eu lieu. Par exemple, nous pourrions déclarer une tâche de
|
||||
redémarrage du serveur web, seulement lorsque sa configuration est mise à
|
||||
jour.
|
||||
|
||||
|
@ -7,16 +7,16 @@ Très bien ! vous semblez avoir compris le fonctionnement de notre
|
||||
gestionnaire de configuration.
|
||||
|
||||
Après cet échauffement, vous devriez être prêt à créer un *playbook*
|
||||
dédié à l'installation d'un serveur [Matrix](https://matrix.org/) :
|
||||
dédié à l'installation d'un serveur [Matrix](https://matrix.org/) :
|
||||
|
||||
![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png)
|
||||
![Element : un des clients utilisable pour joindre son serveur Matrix](riot.png)
|
||||
|
||||
|
||||
Vous connaissez et utilisez sans doute Discord ou Slack, un service de messagerie
|
||||
instantannée qui a supplanté IRC, Jabber, ... Il vient avec le gros
|
||||
inconvénient qu'il est centralisé, qu'il ne permet pas de faire discuter des
|
||||
personnes qui, bien qu'utilisant le même service, ne sont pas dans le même
|
||||
groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en
|
||||
groupe ; mais surtout, il vient avec aucun élément de sécurité : il n'est en
|
||||
effet pas possible d'avoir de chiffrement de bout-en-bout, entre deux personnes
|
||||
ou un groupe, et les administrateurs des groupes, tout comme le gouvernement
|
||||
américian, ont accès à tout l'historique. Vous l'aurez compris, Matrix est donc
|
||||
@ -83,7 +83,7 @@ Vous devrez générer un certificat TLS afin de joindre les autres serveurs.\
|
||||
|
||||
::::: {.warning}
|
||||
|
||||
À aucun moment la clef privée de votre certificat ne doit faire parti de votre
|
||||
À aucun moment la clef privée de votre certificat ne doit faire partie de votre
|
||||
dépôt. Dans certaines circonstances, il peut être pratique d'avoir cette clef
|
||||
dans un *vault*, mais ici ce que l'on attend c'est que le certificat soit
|
||||
généré s'il n'existe pas déjà ou qu'il a expiré. Éventuellement, une solution
|
||||
@ -115,4 +115,4 @@ Pour valider l'installation de votre serveur, rejoignez le canal
|
||||
`#adlin:nemunai.re` et envoyez un message « Ping ! » pour signaler votre
|
||||
présence.
|
||||
|
||||
Vous devriez également pouvoir tester en communiquant entre-vous.
|
||||
Vous devriez également pouvoir tester en communiquant entre vous.
|
||||
|
@ -11,13 +11,13 @@ d'accès à une plage d'IPv6 routable sur Internet.\
|
||||
Ce service vous est proposé à titre éducatif. Vous savez
|
||||
combien Internet peut être un milieu hostile, il est donc de votre devoir de ne
|
||||
pas tenter le diable et de prendre toutes les mesures qui s'imposent pour vous
|
||||
protéger en conséquence. D'autre part, il va de soit que ce service vous est
|
||||
protéger en conséquence. D'autre part, il va de soi que ce service vous est
|
||||
fourni en échange de votre consentement à ne pas l'utiliser d'une manière
|
||||
condamnable (mais libre à vous de tester la plate-forme en elle-même).
|
||||
|
||||
:::::
|
||||
|
||||
L'interface de Maatma est accessible à cette adresse :
|
||||
L'interface de Maatma est accessible à cette adresse :
|
||||
<https://adlin.nemunai.re/maatma/>. Utilisez votre identifiant CRI pour vous y
|
||||
connecter.
|
||||
|
||||
@ -29,7 +29,7 @@ Le système d'information que vous allez avoir à gérer aujourd'hui est très
|
||||
restreint, car il ne se compose que d'une seule machine !
|
||||
|
||||
Cette semaine, nous allons installer et configurer plusieurs services sur cette
|
||||
machine. Pour rendre les choses un peu plus attrayante, une fois démarrée,
|
||||
machine. Pour rendre les choses un peu plus attrayantes, une fois démarrée,
|
||||
votre machine est automatiquement accessible depuis Internet.
|
||||
|
||||
L'image ISO que vous avez récupérée met à votre disposition un système Debian
|
||||
@ -49,7 +49,7 @@ afin de mettre en place le tunnel IPv6.
|
||||
Afin d'en obtenir un, rendez-vous sur la [page
|
||||
Tunnels](https://adlin.nemunai.re/maatma/tunnels) et créez un nouveau
|
||||
tunnel. Un jeton de 10 caractères s'affichera alors, c'est celui que
|
||||
vous devrez recopier dans le terminal (attention à la casse !).
|
||||
vous devrez recopier dans le terminal (attention à la casse !).
|
||||
|
||||
|
||||
### Test du tunnel
|
||||
@ -74,7 +74,7 @@ avoir à connaître son IP.
|
||||
Dans un deuxième temps, nous verrons comment tirer parti de la délégation. Vous
|
||||
pouvez l'ignorer pour le moment.
|
||||
|
||||
Notez que vous ne disposez pas d'IPv4 publique (c'est à dire routable sur
|
||||
Notez que vous ne disposez pas d'IPv4 publique (c'est-à-dire routable sur
|
||||
Internet), vous disposez seulement d'une IPv6 publique. L'ensemble de vos
|
||||
services sont cependant accessibles également en IPv4, car Maatma centralise
|
||||
les requêtes faites en IPv4 et les distribue entre vos IPv6, lorsque le
|
||||
@ -82,7 +82,7 @@ protocole permet de faire cette distribution. Par exemple, HTTP et HTTPS le
|
||||
permette, mais pas SSH. Vous ne pourrez donc pas vous connecter en SSH via
|
||||
l'IPv4 de Maatma.
|
||||
|
||||
Voici un schéma reprenant ces explications :
|
||||
Voici un schéma reprenant ces explications :
|
||||
|
||||
![Schéma du tunnel mis en place par Maatma](maatma-tun.png)
|
||||
|
||||
|
@ -4,7 +4,7 @@ Délégation de nom de domaine
|
||||
============================
|
||||
|
||||
La deuxième solution proposée par Maatma est une délégation de nom de domaine.
|
||||
Alors que jusque là, c'était les serveurs DNS de Maatma qui répondaient aux
|
||||
Alors que jusque-là, c'était les serveurs DNS de Maatma qui répondaient aux
|
||||
requêtes DNS, avec la délégation, ce sera à vous, dans votre VM, de répondre
|
||||
aux requêtes venues tout droit d'Internet.
|
||||
|
||||
@ -15,7 +15,7 @@ Voici les grandes étapes :
|
||||
* configurer ce serveur pour qu'il réponde effectivement aux requêtes de votre zone ;
|
||||
* tester avec `dig @votreIPv4locale ANY login-x.srs.example.tld` que votre serveur réagit bien correctement ;
|
||||
* publier sur Maatma le nom de domaine où votre serveur de nom est joignable (généralement `ns.login-x.srs.example.tld`), il s'agit d'un enregistrement `NS` ;
|
||||
* publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est sensé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ;
|
||||
* publier également sa *GLUE*, afin de résoudre le problème de poule et d'œuf (le domaine de votre serveur de noms étant dans la zone qu'il est censé servir, le bureau d'enregistrement enverra également l'IP correspondant au domaine) ;
|
||||
* tester avec `dig @9.9.9.9 AAAA login-x.srs.example.tld` que votre serveur est bien joignable.
|
||||
|
||||
Un ouvrage de référence, qui répondra à l'intégralité de vos questions et manières d'utiliser votre serveur DNS se trouve à <http://www.zytrax.com/books/dns/>.
|
||||
@ -23,9 +23,9 @@ Un ouvrage de référence, qui répondra à l'intégralité de vos questions et
|
||||
|
||||
## Coller aux spécifications
|
||||
|
||||
Pourquoi une telle complexité apparente pour déléguer une zone DNS ?
|
||||
Pourquoi une telle complexité apparente pour déléguer une zone DNS ?
|
||||
|
||||
Vous êtes sur le point d'obtenir le contrôle total d'un domaine :
|
||||
Vous êtes sur le point d'obtenir le contrôle total d'un domaine :
|
||||
`login-x.srs.example.tld.`. Cela signifie que vous allez pouvoir décider,
|
||||
depuis votre propre serveur de noms (respectueux des
|
||||
[standards](https://www.ietf.org/rfc/rfc1034.txt)), comment vous allez
|
||||
@ -34,7 +34,7 @@ répondre aux serveurs résolveurs des utilisateurs.
|
||||
Le protocole DNS étant décentralisé, mais basé sur une arborescence
|
||||
unique, il est nécessaire que les serveurs faisant autorité sur une
|
||||
zone (`fr.`, `srs.example.tld.`, ...) fournissent toutes les informations
|
||||
nécessaire pour que cette délégation fonctionne.
|
||||
nécessaires pour que cette délégation fonctionne.
|
||||
|
||||
À cet instant, vous connaissez l'adresse IPv6 routable sur Internet de votre
|
||||
serveur de noms (comme vous n'avez aujourd'hui qu'une seule machine, c'est
|
||||
@ -50,7 +50,7 @@ faire.
|
||||
Dans le cas basique, on va utiliser les serveurs de quelqu'un d'autre (d'un
|
||||
hébergement spécialisé par exemple, ou celui de son bureau d'enregistrement
|
||||
s'ils proposent ce service). Auquel cas, on fera figurer ce genre
|
||||
d'informations :
|
||||
d'informations :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -79,7 +79,7 @@ autorité.
|
||||
|
||||
Mais dans votre cas, vous hébergez vous-même votre propre serveur au sein de
|
||||
votre zone, vous n'avez pas d'autre domaine à votre disposition. C'est
|
||||
également le cas de Wikipédia :
|
||||
également le cas de Wikipédia :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -103,9 +103,9 @@ On voit ici que pour résoudre les sous-domaines de `wikipedia.org.`, il faut
|
||||
demander à `nsX.wikimedia.org.`. Mais comment obtenir alors, l'adresse de ces
|
||||
serveurs de noms, puisque l'on ne sait pas où les contacter ...!
|
||||
|
||||
C'est là que les *GLUE records* entrent en jeu !
|
||||
C'est là que les *GLUE records* entrent en jeu !
|
||||
|
||||
J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est :
|
||||
J'ai volontairement tronqué la sortie de la commande précédente, en entier, c'est :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -149,7 +149,7 @@ domaine votre serveur de noms, ainsi que le *GLUE record* qui lui correspond.
|
||||
|
||||
Maatma met à votre disposition une plage d'IPv6 publique, directement
|
||||
routable sur Internet. Mais aujourd'hui encore, de nombreuses
|
||||
installation ne disposent pas de ce protocole de communication et ne
|
||||
installations ne disposent pas de ce protocole de communication et ne
|
||||
peuvent accéder aux machines connectées en IPv4 seulement.
|
||||
|
||||
Pour palier cela, Maatma met à votre disposition une IPv4 mutualisée
|
||||
@ -173,4 +173,4 @@ permettant d'indiquer vos clefs publiques.
|
||||
|
||||
De nombreux articles sont disponibles sur Internet pour vous permettre de
|
||||
configurer DNSSEC en fonction du serveur autoritaire que vous aurez choisi. À
|
||||
vous de jouer !
|
||||
vous de jouer !
|
||||
|
@ -146,7 +146,7 @@ contrôleurs de disques.
|
||||
|
||||
### Pont réseau // switch virtuel
|
||||
|
||||
Un pont réseau va nous permettre de faire communiquer entre-elles plusieurs
|
||||
Un pont réseau va nous permettre de faire communiquer entre elles plusieurs
|
||||
interfaces (qu'elles soient physiques ou virtuelles).
|
||||
|
||||
Pour créer un nouveau pont, on utilise la commande `ip` comme suit :
|
||||
@ -189,7 +189,7 @@ machine hôte sur ce réseau virtuel.
|
||||
|
||||
Il est tout à fait possible d'ajouter une interface réseau physique à un pont,
|
||||
et c'est sans doute la méthode la plus simple pour que les machines virtuelles
|
||||
puissent accéder à internet : si le réseau local de la machine hôte fourni des
|
||||
puissent accéder à internet : si le réseau local de la machine hôte fournie des
|
||||
adresses IP par DHCP à toute machine rejoignant le réseau.
|
||||
|
||||
|
||||
@ -214,7 +214,7 @@ de réaliser cette authentification dans chaque machine virtuelle.
|
||||
|
||||
Il convient alors ici d'avoir un pont *host-only networking*. Dans cette
|
||||
configuration, les machines virtuelles obtiendront une IP via un serveur DHCP
|
||||
lancé sur l'hôte et pourront donc communiquer entre-elles et avec l'hôte, sur
|
||||
lancé sur l'hôte et pourront donc communiquer entre elles et avec l'hôte, sur
|
||||
un réseau privé.
|
||||
|
||||
<div lang="en-US">
|
||||
@ -241,7 +241,7 @@ Démarrer la machine virtuelle
|
||||
|
||||
::::: {.more}
|
||||
|
||||
Comme pour la section précédentes, les exemples sont donnés pour `qemu`. Ils
|
||||
Comme pour la section précédente, les exemples sont donnés pour `qemu`. Ils
|
||||
sont à adapter en fonction de votre hyperviseur. Avec `qemu`, les exemples sont
|
||||
à combiner avec la ligne de commande établie précédemment, il faut accumuler
|
||||
les arguments avant de lancer la machine virtuelle.
|
||||
|
@ -3,7 +3,7 @@
|
||||
Vitrine
|
||||
=======
|
||||
|
||||
Vitrine sécurisée ?
|
||||
Vitrine sécurisée ?
|
||||
-------------------
|
||||
|
||||
Avant de commencer votre travail, il est important de mettre en place
|
||||
@ -17,7 +17,7 @@ suffisamment durcies. Pensez à noter vos changements, vous devrez les
|
||||
reporter dans un fichiers au chapitre suivant !
|
||||
|
||||
À ce stade, vous devez suivre les recommandations de l'ANSSI que vous
|
||||
jugez adaptées à votre déploiement :
|
||||
jugez adaptées à votre déploiement :
|
||||
<https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/>
|
||||
|
||||
|
||||
@ -40,7 +40,7 @@ Compte tenu [des limitations
|
||||
imposées](https://letsencrypt.org/docs/rate-limits/), vous ne pourrez pas tous
|
||||
en créer un aujourd'hui, mais n'hésitez pas à retenter un peu plus tard dans la
|
||||
semaine. Vous pouvez également obtenir vos certificats depuis de nombreux
|
||||
autres services gratuits similaire : [ZeroSSL](https://zerossl.com/),
|
||||
autres services gratuits similaire : [ZeroSSL](https://zerossl.com/),
|
||||
[buypass](https://www.buypass.com/), ...\
|
||||
|
||||
D'ailleurs, si vous disposez de votre propre nom de domaine et que vous
|
||||
|
@ -45,7 +45,7 @@ fichier `authorized_keys` n'existe pas.
|
||||
### Création d'un utilisateur
|
||||
|
||||
Une règle primordiale dans l'administration, c'est de ne jamais ~~trop
|
||||
travailler~~ utiliser le compte `root` directement ! quelque soit le sytème
|
||||
travailler~~ utiliser le compte `root` directement ! quel que soit le sytème
|
||||
d'exploitation.
|
||||
|
||||
Sur chaque machine, on crée donc autant de comptes utilisateurs, qu'il y aura
|
||||
|
@ -11,7 +11,7 @@ facilement[^facilement].
|
||||
[^facilement]: Si vous préférez, ce TP existe aussi en utilisant une simple
|
||||
distribution Debian comme routeur. C'est tout aussi efficace et les mêmes
|
||||
technologies sont en jeu. Demandez à votre professeur l'ISO si vous êtes
|
||||
intéressés !
|
||||
intéressés !
|
||||
|
||||
Au sein du noyau Linux, le [projet `netfilter`](https://netfilter.org/) est
|
||||
l'implémentation de pare-feu standard. Il s'agit d'un mécanisme de filtrage des
|
||||
@ -21,7 +21,7 @@ manière historique `iptables`.
|
||||
|
||||
Les deux projets ont une manière de fonctionner très similaire, mais il est
|
||||
important de ne pas les utiliser en même temps, sous peine de voir apparaître
|
||||
des problèmes incompréhensible à déboguer, plus ou moins aléatoirement.
|
||||
des problèmes incompréhensibles à déboguer, plus ou moins aléatoirement.
|
||||
|
||||
|
||||
## Réseau fonctionnel ?
|
||||
@ -66,7 +66,7 @@ Test à passer :
|
||||
</div>
|
||||
|
||||
Vous pouvez utiliser, par exemple `tcpdump`, pour comprendre ce qu'il se passe
|
||||
sur votre routeur :
|
||||
sur votre routeur :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -83,7 +83,7 @@ configuration, afin qu'il tente à nouveau de contacter un serveur de noms pour
|
||||
faire une résolution. C'est un comportement normal.\
|
||||
|
||||
Si vous êtes impatient, vous pouvez aussi vous connecter sur la machine
|
||||
hébergeant le résolveur afin de le redémarrer manuellement :
|
||||
hébergeant le résolveur afin de le redémarrer manuellement :
|
||||
|
||||
```sh
|
||||
router$ ssh root@ns
|
||||
@ -95,7 +95,7 @@ resolvsrv$ service unbound restart
|
||||
## Accéder aux autres serveurs du parc
|
||||
|
||||
Depuis le routeur, vous pouvez vous SSH en utilisant le nom d'hôte attribué aux
|
||||
machines :
|
||||
machines :
|
||||
|
||||
<div lang="en-US">
|
||||
- `ssh root@matrix`
|
||||
@ -106,7 +106,7 @@ machines :
|
||||
|
||||
Depuis l'extérieur, vous devez utiliser le routeur comme *bastion*. Avec SSH,
|
||||
utilisez l'option `-J` pour désigner une machine intermédiaire qui servira à
|
||||
accéder à la machine cible :
|
||||
accéder à la machine cible :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -126,12 +126,12 @@ accessibles sur Internet.
|
||||
|
||||
En utilisant une règle de `netfilter`, rendez vos trois serveurs web accessibles
|
||||
depuis l'interface externe du routeur. Après configuration, depuis un
|
||||
navigateur sur votre poste, vous devriez pouvoir accéder à :
|
||||
navigateur sur votre poste, vous devriez pouvoir accéder à :
|
||||
|
||||
<div lang="en-US">
|
||||
* `http://$EXT_ROUTER_IP:8000/` : Vitrine
|
||||
* `http://$EXT_ROUTER_IP:8080/` : Miniflux
|
||||
* `http://$EXT_ROUTER_IP:8008/` : Matrix
|
||||
* `http://$EXT_ROUTER_IP:8000/` : Vitrine
|
||||
* `http://$EXT_ROUTER_IP:8080/` : Miniflux
|
||||
* `http://$EXT_ROUTER_IP:8008/` : Matrix
|
||||
</div>
|
||||
|
||||
::::: {.warning}
|
||||
@ -148,8 +148,8 @@ votre propre installation, avec l'IPv4 donné par l'interface `eth0`.
|
||||
|
||||
Utilisez le nom d'utilisateur `adeline` pour vous connecter à
|
||||
miniflux. N'oubliez pas de changer le mot de passe avant que quelqu'un
|
||||
d'autre s'en charge à votre place !
|
||||
d'autre s'en charge à votre place !
|
||||
|
||||
Si vos serveurs ont bien accès à Internet, vous pourrez mettre à jour
|
||||
la liste des flux pré-enregistrés dans miniflux, afin de faire un peu
|
||||
de veille !
|
||||
de veille !
|
||||
|
@ -6,7 +6,7 @@ Reverse-proxy
|
||||
Plusieurs services sur un port ?
|
||||
--------------------------------
|
||||
|
||||
Sur Internet, rare sont les IP qui n'hébergent qu'un seul service. Très
|
||||
Sur Internet, rares sont les IP qui n'hébergent qu'un seul service. Très
|
||||
souvent, une armée de serveurs est placée derrière, comme ici, et permet de
|
||||
distribuer plusieurs services sur la même IP, sans que les utilisateurs n'aient
|
||||
à changer leur port de connexion.
|
||||
@ -16,7 +16,7 @@ accédé. Cependant, les protocoles IP, TCP ou UDP ne transportent pas cette
|
||||
information. C'est donc dans la couche applicative que le nom de domaine est
|
||||
passé.
|
||||
|
||||
Par exemple, vous pouvez observer ce comportement facilement avec `curl` :
|
||||
Par exemple, vous pouvez observer ce comportement facilement avec `curl` :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -38,7 +38,7 @@ serveur web (généralement ici utilisé comme proxy inverse) oriente la
|
||||
distribution de son contenu en fonction de cet en-tête.
|
||||
|
||||
[^https]: En HTTPS, le certificat est distribué avant que le client n'ait pu
|
||||
envoyé de contenu. Le nom est alors passé dans un champ d'extension de
|
||||
envoyer de contenu. Le nom est alors passé dans un champ d'extension de
|
||||
TLS. Voir le [RFC 6066](https://tools.ietf.org/html/rfc6066) à propos de
|
||||
SNI.
|
||||
|
||||
@ -47,7 +47,7 @@ permettre d'accéder aux différents services, sur le port 80.
|
||||
|
||||
En utilisant le résolveur local, vous pouvez vérifier le fonctionnement de
|
||||
votre reverse-proxy avec (soit sur une station de travail, soit sur le routeur
|
||||
directement) :
|
||||
directement) :
|
||||
|
||||
<div lang="en-US">
|
||||
```sh
|
||||
@ -74,7 +74,7 @@ Maintenant que vos services écoutent en HTTP, il est temps de leur
|
||||
ajouter un certificat, afin que toutes les connexions soient
|
||||
sécurisées.
|
||||
|
||||
Plusieurs solutions s'offrent à vous dans ce genre de situation :
|
||||
Plusieurs solutions s'offrent à vous dans ce genre de situation :
|
||||
|
||||
- laisser le reverse-proxy établir les connexions TLS (en envoyant
|
||||
notamment le certificat), puis transmettre les paquets reçus et
|
||||
|
@ -7,7 +7,7 @@ Présentation du système d'information
|
||||
-------------------------------------
|
||||
|
||||
Le système d'information que vous allez avoir à gérer aujourd'hui est de taille
|
||||
moyenne. Vous aurez en votre possession :
|
||||
moyenne. Vous aurez en votre possession :
|
||||
|
||||
- un serveur DNS résolveur,
|
||||
- un serveur DNS faisant autorité,
|
||||
@ -41,8 +41,8 @@ routeur et le contenu de la base de données persistent.
|
||||
Accéder à la machine virtuelle
|
||||
------------------------------
|
||||
|
||||
Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'à
|
||||
obtenue la machine sur votre réseau :
|
||||
Une fois la machine virtuelle démarrée, vous devriez voir apparaître l'IP qu'a
|
||||
obtenu la machine sur votre réseau :
|
||||
|
||||
```
|
||||
You didn't define your token to connect the network. Please run here `join-maatma` and then reboot.
|
||||
@ -71,7 +71,7 @@ avec celle-ci.
|
||||
Pour retrouver votre tunnel sur Internet, vous devez, dans la console de la
|
||||
machine virtuelle, utiliser la commande `join-maatma`.
|
||||
|
||||
Vous pouvez aussi écrire directement dans le fichier persistant :
|
||||
Vous pouvez aussi écrire directement dans le fichier persistant :
|
||||
|
||||
<div lang="en-US">
|
||||
```
|
||||
@ -100,12 +100,12 @@ Objectif du TP
|
||||
Toutes les IP notées sur le schéma ont déjà été configurées par votre
|
||||
administrateur système en suivant vos instructions. Votre tâche est de rendre
|
||||
accessible les services web sur internet ainsi qu'aux stations de
|
||||
travails. Tout le monde doit avoir accès à internet et utiliser le serveur de
|
||||
travail. Tout le monde doit avoir accès à internet et utiliser le serveur de
|
||||
noms local (les serveurs ayant déjà été configurés ainsi, il faudra simplement
|
||||
s'assurer que ce soit également le cas des stations de travail).
|
||||
|
||||
Étant donné le caractère éphémère de vos actions, la réalisation d'un
|
||||
*Playbook* Ansible semble plutôt adaptée !
|
||||
*Playbook* Ansible semble plutôt adaptée !
|
||||
|
||||
|
||||
### Mots de passes
|
||||
@ -113,7 +113,7 @@ s'assurer que ce soit également le cas des stations de travail).
|
||||
Tous les mots de passes initiaux sont `adlin2023`, pour tous les services.
|
||||
|
||||
3 bases de données Postgres sont à votre disposition pour vos différents
|
||||
services :
|
||||
services :
|
||||
|
||||
- `matrix`
|
||||
- `miniflux`
|
||||
@ -122,10 +122,10 @@ services :
|
||||
Pour chacune, un utilisateur du même nom existe pour s'y connecter à distance.
|
||||
|
||||
|
||||
Au secours ça ne marche pas !
|
||||
Au secours ça ne marche pas !
|
||||
-----------------------------
|
||||
|
||||
Pas de panique !
|
||||
Pas de panique !
|
||||
|
||||
Quelques commandes sont à votre disposition dans le shell de la machine
|
||||
virtuelle afin de vérifier que tout fonctionne correctement.
|
||||
@ -133,12 +133,12 @@ virtuelle afin de vérifier que tout fonctionne correctement.
|
||||
|
||||
### Monitoring
|
||||
|
||||
Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des éventuel
|
||||
problèmes.
|
||||
Utilisez la commande `diagnostic` afin d'avoir une vue d'ensemble des
|
||||
éventuels problèmes.
|
||||
|
||||
Tout est vert ? Toutes les machines sont opérationnelles !
|
||||
Tout est vert ? Toutes les machines sont opérationnelles !
|
||||
|
||||
Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec
|
||||
Une ou plusieurs machines sont rouges ? il y a effectivement un problème avec
|
||||
les machines concernées. Tentez de redémarrer une fois.
|
||||
|
||||
Si le problème persiste, vous pouvez formater votre disque en utilisant la
|
||||
|
@ -9,7 +9,7 @@ une IP.
|
||||
|
||||
Pour vous simplifier les opérations de débug, vous pouvez ajouter une carte
|
||||
ethernet à la machine virtuelle afin d'avoir accès en SSH à l'un des
|
||||
postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit
|
||||
postes. L'IP sera alors indiquée sur l'écran de la VM, au démarrage : il s'agit
|
||||
de l'interface `eth1`.
|
||||
|
||||
Vous pouvez également ajouter une troisième carte réseau pour la brancher à
|
||||
@ -20,7 +20,7 @@ votre *entreprise*.
|
||||
DHCP
|
||||
----
|
||||
|
||||
N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en
|
||||
N'ayant pas, pour le moment, d'IPv6 sur votre réseau ; vous devez mettre en
|
||||
place un serveur DHCP sur votre réseau afin que vos collaborateurs puissent
|
||||
utiliser facilement le réseau.
|
||||
|
||||
@ -33,9 +33,9 @@ Zone démilitarisée et filtrage
|
||||
|
||||
Il est risqué d'exposer des ports d'administration sur Internet ou de permettre
|
||||
à des zones sensibles d'être accédées par rebond. Définissez quelques règles de
|
||||
filtrage sur le routeur afin notamment :
|
||||
filtrage sur le routeur afin notamment :
|
||||
|
||||
* d'empêcher les connexions au serveur de base de données, seule les connexions
|
||||
réalisées depuis le réseau des serveurs resteront disponibles ;
|
||||
* d'empêcher les connexions au serveur de base de données, seules les connexions
|
||||
réalisées depuis le réseau des serveurs resteront disponibles ;
|
||||
* de n'exposer le port SSH que depuis le réseau interne (pas depuis l'interface
|
||||
connectée à Internet).
|
||||
|
Reference in New Issue
Block a user