Ceci est une ancienne révision du document !
système
guide suivi pour l'installation initiale (avec serveur en rescue) : https://www.debian.org/releases/stretch/amd64/apds03.html.fr
Ne pas hésiter à lire https://www.debian.org/releases/stretch/amd64/release-notes/ pour les notes de versions. En particulier, pour la configuration réseau, attention au nom des interfaces réseaux :
udevadm test-builtin net_id /sys/class/net/eth0 2> /dev/null
Cette commande permet de récupérer le nom de l'interface dans le nouveau format ( https://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/ )
/!\ ne pas oublier d'installer mdadm + lvm2 avant grub
sur chaque disque, activer le “mode grub”
# parted /dev/sda > set 1 bios_grub on > quit # grub-install /dev/sda
libvirt
Rappel : virt-manager à besoin de netcat-openbsd (enfin d'un netcat avec -U)
Sur Coon :
On édite le réseau defautl : virsh net-edit default ; virsh net-destroy default ; virsh net-start default
Le bridge est à 192.168.1.4 sur coon et le range dhcp est de 192.168.1.10-99
On ajoute enp1s0 dans le bridge : brctl addif enp1s0 virbr0
On relance l'interface enp1s0 : ifup enp1s0
systemctl disable libvirt-guests pour éviter que les machines démarrent toutes seules sans action explicite d'un admin (ce qui ne devrait pas être possible, car le point de montage de la partition des qcow ne peut pas être monté automatiquement
Firewall
On utilisera firehol. Pour les détails quant à l'usage, se référer à Un firewall simple pour le chaton.
Sur coon
<conf bash /etc/default/firehol> ## IPv6 ipv6 interface any v6interop proto icmpv6
client ipv6neigh accept server ipv6neigh accept policy return
# EXT→ME # The purpose of this interface is to control the traffic # on the enp0s31f6 interface with IP 94.130.8.3. interface enp0s31f6 external_trafic dst4 94.130.8.3 dst6 2a01:4f8:10b:c42::/64
# The default policy is DROP. policy drop
# Protection anti flood protection strong
# Services acceptés server ICMP accept server ssh accept
# The following means that this machine can REQUEST anything via enp0s31f6. client all accept
# LAN→ME # The purpose of this interface is to control the traffic # on the enp1s0+virbr0 interface with IP 192.168.1.{3,5} (net: “192.168.1.0/24 ”). interface “enp1s0 virbr0” internal_trafic src4 “192.168.1.0/24” dst4 “192.168.1.3 192.168.1.5” src6 “2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64” dst6 2a01:4f8:10b:c42::/64
# On est entre amis # The default policy is REJECT. policy reject
# Here are the services listening on enp1s0. server ICMP accept server dns accept server ssh accept
# The following means that this machine can REQUEST anything via enp1s0. client all accept
# Clients on enp0s31f6 (Internet) accessing servers on {enp1s0,virbr0} (LAN). router ext2me inface enp0s31f6 outface “enp1s0 virbr0”
protection strong
# Clients on {enp1s0,virbr0} (LAN) accessing servers on enp0s31f6 (Internet). router me2ext inface “enp1s0 virbr0” outface enp0s31f6
masquerade # If you remove it, no REQUEST will pass matching this traffic. route all accept
# Clients on {enp1s0,virbr0} (LAN) accessing servers on {enp1s0,virbr0} (LAN). router me2me inface “enp1s0 virbr0” outface “enp1s0 virbr0”
# If you remove it, no REQUEST will pass matching this traffic. route all accept
</conf>
