Cahier 2017 groupe n°4 : Différence entre versions

De Wiki de Projets IMA
(Conclusion)
(Sécurisation avec DNSSEC)
 
(10 révisions intermédiaires par le même utilisateur non affichées)
Ligne 4 : Ligne 4 :
 
*Il faudra ensuite proposé un système de fichiers incrémental permettant de forcer le système à l'état n-1 voire à l'état initial.
 
*Il faudra ensuite proposé un système de fichiers incrémental permettant de forcer le système à l'état n-1 voire à l'état initial.
  
==Réalisation==
+
==Réinstallation rapide==
 
*Pour la première partie de ce sujet, nous avons réalisé deux script shell ayant plusieurs fonctions.
 
*Pour la première partie de ce sujet, nous avons réalisé deux script shell ayant plusieurs fonctions.
 
*Le premier script récupère la configuration d'un système linux :
 
*Le premier script récupère la configuration d'un système linux :
Ligne 47 : Ligne 47 :
 
         dpkg --get-selections > packages
 
         dpkg --get-selections > packages
 
         echo "Packages list saved"
 
         echo "Packages list saved"
         cp -r /etc/alternatives .
+
         cp -a /etc/alternatives .
         cp -r /etc/default .
+
         cp -a /etc/default .
 
         echo "Other important files saved"
 
         echo "Other important files saved"
 
         echo "Basic configuration successfully saved"
 
         echo "Basic configuration successfully saved"
Ligne 66 : Ligne 66 :
 
         dpkg --get-selections > packages
 
         dpkg --get-selections > packages
 
         echo "Packages list saved"
 
         echo "Packages list saved"
         cp -r /etc/alternatives .
+
         cp -a /etc/alternatives .
         cp -r /etc/default .
+
         cp -a /etc/default .
 
         echo "Other important files saved"
 
         echo "Other important files saved"
 
         echo "Basic configuration successfully saved"
 
         echo "Basic configuration successfully saved"
Ligne 118 : Ligne 118 :
 
           echo "Packages installed"
 
           echo "Packages installed"
 
           rm -r /etc/alternatives
 
           rm -r /etc/alternatives
           cp -r backup/alternatives /etc/
+
           cp -a backup/alternatives /etc/
 
           rm -r /etc/defaultreboot
 
           rm -r /etc/defaultreboot
           cp -r backup/default /etc/
+
           cp -a backup/default /etc/
 
         echo "done"
 
         echo "done"
 
         echo "The system needs to reboot"
 
         echo "The system needs to reboot"
Ligne 142 : Ligne 142 :
 
     exit
 
     exit
 
  fi
 
  fi
 +
 +
 +
*La récupération et l’installation du réseau, des configurations du miroir des archives, et des répertoire alternatives et default se fait simplement par la commande cp. L'option -a permet de copier les liens symboliques ainsi que l'arborescence tels qu'ils sont. Cependant la copie des liens symbolique semble ne pas fonctionner sur certains type de formatage de clé usb.
 +
*Pour réinstaller les packages, il suffit de récupérer la liste des packages installés grâce à la commande dpkg --get-selections dont la sortie et redirigée vers un fichier texte. Ensuite il faut mettre à jour la liste des packages sur le nouveau système avec dpkg --set-selections qui prend en entrée le fichier texte précédent. Enfin il suffit d'upgrade les packages (apt-get dselect-upgrade) afin de tous les installer.
 +
==Système de fichiers incrémental (overlay fs)==
  
 
=Partie commune=
 
=Partie commune=
 +
==Installation d'une machine virtuelle sur le serveur Cordouan==
 +
*Nous avons installé une machine virtuel xen à l'aide la commande :
 +
xen-create-image --hostname=ima5-tomate --dir=/usr/local/xen --ip=172.26.76.106 --netmask=255.255.255.224 --gateway=172.26.79.254
 +
L'adresse ip est temporaire et sera remplacé par la suite par 193.48.57.184 (réseau de TP ima5)
 +
*L'interface ethernet est montée sur le pont insecure en modifiant le fichier de configuration (/etc/xen/ima5-tomate.cfg) :
 +
vif        = [ 'mac=00:16:3E:5C:6B:A2, bridge=INSECURE' ]
 +
Encore une fois, ceci est temporaire et nous utiliserons le pont IMA5sc par la suite.
 +
*La machine virtuelle peut être lancée et stoppée avec les commandes suivantes :
 +
xl create /etc/xen/ima5-tomate.cfg
 +
xl destroy /etc/xen/ima5-tomate.cfg
 +
*Pour accéder à la console de la machine virtuelle, on utilise :
 +
xl console ima5-tomate
 +
==Création d'une partition LVM==
 +
*On veut placer les /var et /home de la machine virtuelle sur un disque partitionné de cordouan.
 +
*On créer d'abord deux partitions de 10Go sur cordouan :
 +
lvcreate -L10G -ima5-tomate_home
 +
lvcreate -L10G -ima5-tomate_var
 +
*Il faut ensuite modifier le fichier de configuration de la machine virtuelle (/etc/xen/ima-tomate) pour ajouter les disques :
 +
disk        = [
 +
                  'file:/usr/local/xen/domains/ima5-tomate/disk.img,xvda2,w',
 +
                  'file:/usr/local/xen/domains/ima5-tomate/swap.img,xvda1,w',
 +
                  'phy:/dev/virtual/ima5-tomate_var,xvda3,w',
 +
                  'phy:/dev/virtual/ima5-tomate_home,xvda4,w'
 +
              ]
 +
*Puis on formate ces deux nouveau disques :
 +
mkfs -t ext4 /dev/xvda3
 +
mkfs -t ext4 /dev/xvda4
 +
*Enfin on monte les partitions dans la VM :
 +
**On ajoute la ligne suivante dans le fichier /etc/fstab de la VM afin que le /home soit monté au lancement :
 +
/dev/xvda4 /home ext4 defaults 0 2
 +
**Le /var doit d'abord être monté sur un fichier temporaire :
 +
mount /dev/xvda3 /mnt
 +
Puis on déplace le /var actuel dans ce nouveau fichier :
 +
mv /var/* /mnt
 +
Enfin on ajoute la ligne suivante dans le fichier /etc/fstab de la VM :
 +
/dev/xvda3 /home ext4 defaults 0 2
 +
 +
==Création du serveur SSH==
 +
*L’installation du serveur ssh se fait tout simplement grâce à :
 +
apt-get install ssh
 +
*Il suffit ensuite de modifier le fichier /etc/ssh/sshd_config pour pouvoir accéder à la machine en root :
 +
PermitRootLogin yes
 +
Cette ligne est déjà écrite dans le fichier, il faut juste changer l'option par "yes".
 +
 +
==Configuration du serveur DNS==
 +
*Il faut d'abord installer bind pour la configuration du DNS ainsi qu'un serveur apache2 :
 +
apt-get install bind9 apache2
 +
*Nous avons aussi réserver le nom de domaine tomatecomsique.space sur gandi.net.
 +
*Nous créons le dossier du site web :
 +
mkdir /var/www/www.tomatecosmique.space
 +
*Enfin nous configurons le bind :
 +
**On commence par créer le fichier de zone db.tomatecosmique.space dans /etc/bind/, son contenu est :
 +
;
 +
; BIND data file for local loopback interface
 +
;
 +
$TTL    604800
 +
@      IN      SOA    dns1.tomatecosmique.space. root.tomatecomsique.space. (
 +
                              2        ; Serial
 +
                          604800        ; Refresh
 +
                          86400        ; Retry
 +
                        2419200        ; Expire
 +
                          604800        ; Negative Cache TTL
 +
;
 +
@      IN      NS      dns1.tomatecosmique.space.
 +
dns1    IN      A      193.48.57.184
 +
**Ensuite on configure /etc/bind/named.conf.local :
 +
zone "tomatecosmique.space" {
 +
        type master;
 +
        file "/etc/bind/db.tomatecosmique.space";
 +
        allow-transfer { 217.70.177.40; };
 +
};
 +
**Et /etc/bind/named.conf.options :
 +
options {
 +
        directory "/var/cache/bind";
 +
        dnssec-validation auto;
 +
        auth-nxdomain no;
 +
        listen-on-v6 { any; };
 +
};
 +
**Enfin on relance le service bind :
 +
service bind9 restart
 +
*Il y a aussi une configuration à effectuer sur le site gandi :
 +
**Dans l'onglet "Gérer les 'glues records'" :
 +
Nom du serveur : dns1.tomatecosmique.space
 +
IP : 193.48.57.184
 +
**Dans l'onglet "Modifier les serveurs DNS" :
 +
DNS1 : dns1.tomatecosmique.space
 +
DNS2 : ns6.gandi.net
 +
 +
==Sécurisation du site via certificat SSL==
 +
*Obtention du certificat :
 +
openssl req -nodes -newkey rsa:2048 -sha1 -keyout tomatecosmique.space.key -out tomatecosmique.space.csr
 +
*On copie les clés dans les dossiers appropriés :
 +
cp certificat.crt /etc/ssl/certs/tomatecosmique.space.crt
 +
cp serveur.key /etc/ssl/private/tomatecosmique.space.key
 +
cp GandiStandardSSLCA.pem /etc/ssl/certs/GandiStandardSSLCA.pem
 +
Le fichier GandiStandardSSLCA.pem est généré une fois le certificat validé par gandi
 +
*On peut ensuite faire un hashage pour prendre en compte le certificat :
 +
c_rehash /etc/ssl/certs
 +
*Ensuite on configure apache2 :
 +
**On crée d'abord le fichier 000-tomatecosmique.space-ssl.conf dans /etc/apache2/sites-available/ :
 +
#NameVirtualHost *:443
 +
  <VirtualHost 193.48.57.184:443>
 +
 +
        ServerName www.tomatecosmique.space
 +
        ServerAlias tomatecosmique.space
 +
        DocumentRoot /var/www/www.tomatecosmique.space/
 +
        CustomLog /var/log/apache2/secure_access.log combined
 +
 +
        SSLEngine on
 +
        SSLCerticateFile /etc/ssl/certs/tomatecosmique.space.crt
 +
        SSLCerticateKeyFile /etc/ssl/private/tomatecosmique.space.key
 +
        SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA.pem
 +
        SSLVerifyClient None
 +
  </VirtualHost>
 +
**On modifie ensuite /etc/apache2/ports.conf :
 +
Listen 80 443
 +
 +
<IfModule ssl_module>
 +
        Listen 443
 +
</IfModule>
 +
 +
<IfModule mod_gnutls.c>
 +
        Listen 443
 +
</IfModule>
 +
**Enfin on exécute les commandes suivantes pour finir la configuration d'apache :
 +
a2enmod ssl
 +
a2ensite 000-piscinemorte.net-ssl.conf
 +
service apache2 reload
 +
 +
==Sécurisation avec DNSSEC==
 +
*On commence par modifier /etc/bind/named.conf.options :
 +
options {
 +
        directory "/var/cache/bind";
 +
        dnssec-enable yes;
 +
        dnssec-validation yes;
 +
        dnssec-lookaside auto;
 +
        auth-nxdomain no;
 +
        listen-on-v6 { any; };
 +
};
 +
*On génère ensuite les clés KSK et ZSK dans /etc/bind/ :
 +
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE tomatecosmique.space
 +
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE tomatecosmique.space
 +
*On rajoute les lignes suivantes à la fin du fichier /etc/bind/db.tomatecosmique.space :
 +
$INCLUDE Ktomatecosmique.space.+007+22620.key
 +
$INCLUDE Ktomatecosmique.space.+007+23885.key
 +
*On peut enfin signer la zone :
 +
dnssec-signzone -o papaye.space -k Ktomatecosmique.space.+007+22620 db.tomatecosmique.space Ktomatecosmique.space.+007+23885
 +
 +
==RAID5 et cryptage des données==

Version actuelle datée du 12 novembre 2017 à 15:20

Système pour réinstallation rapide d'un système linux

Objectifs

  • L'objectif principal de notre tache est de créer un programme permettant de récupérer la configuration d'un système linux (configuration réseau, packages, et dossiers importants) afin de l'utiliser pour configurer un système linux fraîchement installé.
  • Il faudra ensuite proposé un système de fichiers incrémental permettant de forcer le système à l'état n-1 voire à l'état initial.

Réinstallation rapide

  • Pour la première partie de ce sujet, nous avons réalisé deux script shell ayant plusieurs fonctions.
  • Le premier script récupère la configuration d'un système linux :
    • crée un répertoire pour y enregistrer la configuration
    • récupère le dossier de configuration réseau /etc/network
    • récupère la liste des miroirs des archives debian
    • récupère la liste des packages installés
    • récupère les dossiers /etc/default et /etc/alternatives

getconf.sh

#!/bin/bash
#get the current network and packages config of a linux system for further recover

if [ "$(id -u)" != "0" ] ; then
   echo "error : This script must be run as root"
   exit
fi

echo "Trying to get the current configuration of the system"
if [ -e backup -a -d backup ] ; then
    answer="\0"
    echo "A backup directory is already existing"
    while [ $answer != "n" -a $answer != "y" ] ; do
        echo "Do you want to overwrite this backup ? [y/n] :"
        read answer
    done
    
    if [ $answer = "n" ] ; then
        echo "Overwriting refused"
        echo "done"
        exit
    else
        rm -r backup
        mkdir backup
        cd backup
        cp -r /etc/network .
        echo "Network configuration saved"
        cp -r /var/cache/debconf .
        cp /etc/apt/sources.list .
        cp -r /etc/apt/sources.list.d .
        echo "Mirror configuraiton saved"
        touch packages
        dpkg --get-selections > packages
        echo "Packages list saved"
        cp -a /etc/alternatives .
        cp -a /etc/default .
        echo "Other important files saved"
        echo "Basic configuration successfully saved"
        echo "done"
        exit
    fi
    else
        mkdir backup
        cd backup
        cp -r /etc/network .
        echo "Network configuration saved"
        cp -r /var/cache/debconf .
        cp /etc/apt/sources.list .
        cp -r /etc/apt/sources.list.d .
        echo "Mirror configuraiton saved"
        touch packages
        dpkg --get-selections > packages
        echo "Packages list saved"
        cp -a /etc/alternatives .
        cp -a /etc/default .
        echo "Other important files saved"
        echo "Basic configuration successfully saved"
        echo "done"
        exit
    fi
fi
  • Le deuxième script effectue l'opposé du premier, supprimant la configuration actuelle d'un nouveau système linux pour y coller celle que l'on a sauvegardée précédemment :

setconf.sh

#!/bin/bash
#set an old network and packages config of a linux system on a freshly installed linux system 

if [ "$(id -u)" != "0" ] ; then
   echo "error : This script must be run as root"
   exit
fi

echo "Trying to set the old configuration on the system"
if [ -e backup -a -d backup ] ; then
    answer="\0"
    while [ $answer != "n" -a $answer != "y" ] ; do
        echo "Do you want to configure the network and the packages on this system ? [y/n] :"
        read answer
    done
    
    if [ $answer = "n" ] ; then
        echo "Configuration aborted"
        echo "done"
        exit
    else
         rm -r /etc/network
         cp -r backup/network /etc/
         echo "Network reconfigured, going to restart..."
         /etc/init.d/networking restart
         echo "Network has been restarted"
         rm -r /var/cache/debconf
         cp -r backup/debconf /var/cache/
         dpkg-reconfigure debconf
         rm /etc/apt/sources.list 
         cp backup/sources.list /etc/apt/
         rm -r /etc/apt/sources.list.d
         cp -r backup/sources.list.d /etc/apt/
         echo "Mirror configured, updating packages list..."
         apt-get update
         echo "Packages list updated"
         echo "Installing all packages..."
         dpkg --set-selections < backup/packages
         apt-get dselect-upgrade
         echo "Packages installed"
         rm -r /etc/alternatives
         cp -a backup/alternatives /etc/
         rm -r /etc/defaultreboot
         cp -a backup/default /etc/
        echo "done"
        echo "The system needs to reboot"
        answer="\0"
        while [ $answer != "n" -a $answer != "y" ] ; do
            echo "Do you want to reboot now ? [y/n] :"
            read answer
        done
        if [ $answer = "n" ] ; then
            echo "Reboot refused"
            echo "done"
            exit
        else
            echo "System is going to reboot"
             reboot
            exit
        fi
    fi
else
    echo "error : There is no backup directory here, execute getconf.sh on the system you want to recover first"
    exit
fi


  • La récupération et l’installation du réseau, des configurations du miroir des archives, et des répertoire alternatives et default se fait simplement par la commande cp. L'option -a permet de copier les liens symboliques ainsi que l'arborescence tels qu'ils sont. Cependant la copie des liens symbolique semble ne pas fonctionner sur certains type de formatage de clé usb.
  • Pour réinstaller les packages, il suffit de récupérer la liste des packages installés grâce à la commande dpkg --get-selections dont la sortie et redirigée vers un fichier texte. Ensuite il faut mettre à jour la liste des packages sur le nouveau système avec dpkg --set-selections qui prend en entrée le fichier texte précédent. Enfin il suffit d'upgrade les packages (apt-get dselect-upgrade) afin de tous les installer.

Système de fichiers incrémental (overlay fs)

Partie commune

Installation d'une machine virtuelle sur le serveur Cordouan

  • Nous avons installé une machine virtuel xen à l'aide la commande :
xen-create-image --hostname=ima5-tomate --dir=/usr/local/xen --ip=172.26.76.106 --netmask=255.255.255.224 --gateway=172.26.79.254

L'adresse ip est temporaire et sera remplacé par la suite par 193.48.57.184 (réseau de TP ima5)

  • L'interface ethernet est montée sur le pont insecure en modifiant le fichier de configuration (/etc/xen/ima5-tomate.cfg) :
vif         = [ 'mac=00:16:3E:5C:6B:A2, bridge=INSECURE' ]

Encore une fois, ceci est temporaire et nous utiliserons le pont IMA5sc par la suite.

  • La machine virtuelle peut être lancée et stoppée avec les commandes suivantes :
xl create /etc/xen/ima5-tomate.cfg
xl destroy /etc/xen/ima5-tomate.cfg
  • Pour accéder à la console de la machine virtuelle, on utilise :
xl console ima5-tomate

Création d'une partition LVM

  • On veut placer les /var et /home de la machine virtuelle sur un disque partitionné de cordouan.
  • On créer d'abord deux partitions de 10Go sur cordouan :
lvcreate -L10G -ima5-tomate_home
lvcreate -L10G -ima5-tomate_var
  • Il faut ensuite modifier le fichier de configuration de la machine virtuelle (/etc/xen/ima-tomate) pour ajouter les disques :
disk        = [
                 'file:/usr/local/xen/domains/ima5-tomate/disk.img,xvda2,w',
                 'file:/usr/local/xen/domains/ima5-tomate/swap.img,xvda1,w',
                 'phy:/dev/virtual/ima5-tomate_var,xvda3,w',
                 'phy:/dev/virtual/ima5-tomate_home,xvda4,w'
              ]
  • Puis on formate ces deux nouveau disques :
mkfs -t ext4 /dev/xvda3
mkfs -t ext4 /dev/xvda4
  • Enfin on monte les partitions dans la VM :
    • On ajoute la ligne suivante dans le fichier /etc/fstab de la VM afin que le /home soit monté au lancement :
/dev/xvda4 /home ext4 defaults 0 2 
    • Le /var doit d'abord être monté sur un fichier temporaire :
mount /dev/xvda3 /mnt

Puis on déplace le /var actuel dans ce nouveau fichier :

mv /var/* /mnt

Enfin on ajoute la ligne suivante dans le fichier /etc/fstab de la VM :

/dev/xvda3 /home ext4 defaults 0 2

Création du serveur SSH

  • L’installation du serveur ssh se fait tout simplement grâce à :
apt-get install ssh
  • Il suffit ensuite de modifier le fichier /etc/ssh/sshd_config pour pouvoir accéder à la machine en root :
PermitRootLogin yes

Cette ligne est déjà écrite dans le fichier, il faut juste changer l'option par "yes".

Configuration du serveur DNS

  • Il faut d'abord installer bind pour la configuration du DNS ainsi qu'un serveur apache2 :
apt-get install bind9 apache2
  • Nous avons aussi réserver le nom de domaine tomatecomsique.space sur gandi.net.
  • Nous créons le dossier du site web :
mkdir /var/www/www.tomatecosmique.space
  • Enfin nous configurons le bind :
    • On commence par créer le fichier de zone db.tomatecosmique.space dans /etc/bind/, son contenu est :
;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     dns1.tomatecosmique.space. root.tomatecomsique.space. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800         ; Negative Cache TTL
;
@       IN      NS      dns1.tomatecosmique.space.
dns1    IN      A       193.48.57.184
    • Ensuite on configure /etc/bind/named.conf.local :
zone "tomatecosmique.space" {
        type master;
        file "/etc/bind/db.tomatecosmique.space";
        allow-transfer { 217.70.177.40; };
};
    • Et /etc/bind/named.conf.options :
options {
        directory "/var/cache/bind";
        dnssec-validation auto;
        auth-nxdomain no;
        listen-on-v6 { any; };
};
    • Enfin on relance le service bind :
service bind9 restart
  • Il y a aussi une configuration à effectuer sur le site gandi :
    • Dans l'onglet "Gérer les 'glues records'" :
Nom du serveur : dns1.tomatecosmique.space
IP : 193.48.57.184
    • Dans l'onglet "Modifier les serveurs DNS" :
DNS1 : dns1.tomatecosmique.space
DNS2 : ns6.gandi.net

Sécurisation du site via certificat SSL

  • Obtention du certificat :
openssl req -nodes -newkey rsa:2048 -sha1 -keyout tomatecosmique.space.key -out tomatecosmique.space.csr 
  • On copie les clés dans les dossiers appropriés :
cp certificat.crt /etc/ssl/certs/tomatecosmique.space.crt
cp serveur.key /etc/ssl/private/tomatecosmique.space.key
cp GandiStandardSSLCA.pem /etc/ssl/certs/GandiStandardSSLCA.pem

Le fichier GandiStandardSSLCA.pem est généré une fois le certificat validé par gandi

  • On peut ensuite faire un hashage pour prendre en compte le certificat :
c_rehash /etc/ssl/certs
  • Ensuite on configure apache2 :
    • On crée d'abord le fichier 000-tomatecosmique.space-ssl.conf dans /etc/apache2/sites-available/ :
#NameVirtualHost *:443
  <VirtualHost 193.48.57.184:443>

        ServerName www.tomatecosmique.space
        ServerAlias tomatecosmique.space
        DocumentRoot /var/www/www.tomatecosmique.space/
        CustomLog /var/log/apache2/secure_access.log combined

        SSLEngine on
        SSLCerticateFile /etc/ssl/certs/tomatecosmique.space.crt
        SSLCerticateKeyFile /etc/ssl/private/tomatecosmique.space.key
        SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA.pem
        SSLVerifyClient None
  </VirtualHost>
    • On modifie ensuite /etc/apache2/ports.conf :
Listen 80 443

<IfModule ssl_module>
        Listen 443
</IfModule>

<IfModule mod_gnutls.c>
        Listen 443
</IfModule>
    • Enfin on exécute les commandes suivantes pour finir la configuration d'apache :
a2enmod ssl 
a2ensite 000-piscinemorte.net-ssl.conf
service apache2 reload

Sécurisation avec DNSSEC

  • On commence par modifier /etc/bind/named.conf.options :
options {
       directory "/var/cache/bind";
       dnssec-enable yes;
       dnssec-validation yes;
       dnssec-lookaside auto;
       auth-nxdomain no;
       listen-on-v6 { any; };
};
  • On génère ensuite les clés KSK et ZSK dans /etc/bind/ :
dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE tomatecosmique.space
dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE tomatecosmique.space
  • On rajoute les lignes suivantes à la fin du fichier /etc/bind/db.tomatecosmique.space :
$INCLUDE Ktomatecosmique.space.+007+22620.key
$INCLUDE Ktomatecosmique.space.+007+23885.key
  • On peut enfin signer la zone :
dnssec-signzone -o papaye.space -k Ktomatecosmique.space.+007+22620 db.tomatecosmique.space Ktomatecosmique.space.+007+23885

RAID5 et cryptage des données