|
|
@@ -16,55 +16,55 @@ Notre réseau local sera également connecté à la box, soit par câble (filair
|
|
|
|
|
|
## Prérequis
|
|
|
|
|
|
-1. Un serveur
|
|
|
+1. Un serveur
|
|
|
|
|
|
- Il vous faut un serveur, accessible chez vous (je décris ici l'installation d'un "home" serveur, même si la plupart des explications seront également valables pour un serveur hébergé ou dédié.
|
|
|
+ Il vous faut un serveur, accessible chez vous (je décris ici l'installation d'un "home" serveur, même si la plupart des explications seront également valables pour un serveur hébergé ou dédié.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
- Mon serveur est motorisé par un vieux microprocesseur Atom à 1,6Ghz, appuyé par 2 Go de RAM et un disque SSD de 240 Go. Il sera relié à un clavier et un écran pendant la phase d'installation.
|
|
|
+ Mon serveur est motorisé par un vieux microprocesseur Atom à 1,6Ghz, appuyé par 2 Go de RAM et un disque SSD de 240 Go. Il sera relié à un clavier et un écran pendant la phase d'installation.
|
|
|
|
|
|
- Ce serveur est assez ancien (2007) et l'amorçage n'est pas basé sur UEFI, mais un bios standard. Je rajouterai une partie dédiée à l'amorçage UEFI dès que j'aurai un serveur/machine de bureau supportant ce mécanisme. (oui, mon matériel est ancien ....)
|
|
|
+ Ce serveur est assez ancien (2007) et l'amorçage n'est pas basé sur UEFI, mais un bios standard. Je rajouterai une partie dédiée à l'amorçage UEFI dès que j'aurai un serveur/machine de bureau supportant ce mécanisme. (oui, mon matériel est ancien ....)
|
|
|
|
|
|
-2. Un nom de domaine
|
|
|
+2. Un nom de domaine
|
|
|
|
|
|
- Un nom de domaine est indispensable si vous voulez que votre serveur soit accessible de l'extérieur. Il vous faudra choisir un nom, enregistré chez un “registrar” comme OVH, Gandi ou autre.
|
|
|
- Mon domaine réservé est **yojik.net**.
|
|
|
+ Un nom de domaine est indispensable si vous voulez que votre serveur soit accessible de l'extérieur. Il vous faudra choisir un nom, enregistré chez un “registrar” comme OVH, Gandi ou autre.
|
|
|
+ Mon domaine réservé est **yojik.net**.
|
|
|
|
|
|
- > **example.com** est un nom de domaine couramment utilisé dans les tutoriels.
|
|
|
+ > **example.com** est un nom de domaine couramment utilisé dans les tutoriels.
|
|
|
|
|
|
-3. Un nom de machine
|
|
|
+3. Un nom de machine
|
|
|
|
|
|
- Déterminez le nom de votre machine: le mien sera **atom**.
|
|
|
+ Déterminez le nom de votre machine: le mien sera **atom**.
|
|
|
|
|
|
- > Le nom complet de ma machine serait donc: **atom.yojik.net**
|
|
|
+ > Le nom complet de ma machine serait donc: **atom.yojik.net**
|
|
|
|
|
|
-4. Une adresse IP fixe
|
|
|
+4. Une adresse IP fixe
|
|
|
|
|
|
- Une adresse IP fixe est nécessaire même s'il est possible de travailler avec des adresses dynamiques. Des FAIs comme Free, OVH proposent des IPs fixes (IPV4) et un pool d'adresses IPV6. D'autres fournisseurs d'accès proposent ces adresses fixes / IPV6 avec un supplément d'abonnement.
|
|
|
+ Une adresse IP fixe est nécessaire même s'il est possible de travailler avec des adresses dynamiques. Des FAIs comme Free, OVH proposent des IPs fixes (IPV4) et un pool d'adresses IPV6. D'autres fournisseurs d'accès proposent ces adresses fixes / IPV6 avec un supplément d'abonnement.
|
|
|
|
|
|
-5. Un compte utilisateur
|
|
|
+5. Un compte utilisateur
|
|
|
|
|
|
- L'installateur Debian vous demandera un mot de passe pour le compte root (super-utilisteur): notez le bien. Nous le changerons ensuite, après l'installation de base. Nous utiliserons un générateur de mots de passe; il y en a pléthore.
|
|
|
+ L'installateur Debian vous demandera un mot de passe pour le compte root (super-utilisteur): notez le bien. Nous le changerons ensuite, après l'installation de base. Nous utiliserons un générateur de mots de passe; il y en a pléthore.
|
|
|
|
|
|
- Ensuite, il vous demandera de définir un compte utilisateur, ici, un compte d'administration. Nous ne nous connecterons qu'avec ce compte (SSH) et interdirons l'accès au compte super-utilisateur (root) par SSH.
|
|
|
+ Ensuite, il vous demandera de définir un compte utilisateur, ici, un compte d'administration. Nous ne nous connecterons qu'avec ce compte (SSH) et interdirons l'accès au compte super-utilisateur (root) par SSH.
|
|
|
|
|
|
- Définissez votre nom d'administrateur ainsi que son mot de passe. Il ne sera utile que dans les premières étapes. Nous sécuriserons l'accès SSH en n'utilisant que des connexions par clef, et uniquement pour le compte administrateur. L'accès SSH pour le compte super-utilisateur sera bloqué.
|
|
|
+ Définissez votre nom d'administrateur ainsi que son mot de passe. Il ne sera utile que dans les premières étapes. Nous sécuriserons l'accès SSH en n'utilisant que des connexions par clef, et uniquement pour le compte administrateur. L'accès SSH pour le compte super-utilisateur sera bloqué.
|
|
|
|
|
|
- Nous modifierons également les mots de passe administrateur et super-utilisateur par la suite.
|
|
|
+ Nous modifierons également les mots de passe administrateur et super-utilisateur par la suite.
|
|
|
|
|
|
## Récapitulatif
|
|
|
|
|
|
-| Nom de la machine | Domaine | Adresse IPV4 | Comptes | Mot de passe |
|
|
|
-| ----------------- | --------- | --------------- | ------------------ | ------------ |
|
|
|
-| atom | yojik.net | 192.168.111.160 | ericadmin | \*\*\* |
|
|
|
-| | | | root | \*\*\* |
|
|
|
+| Nom de la machine | Domaine | Adresse IPV4 | Comptes | Mot de passe |
|
|
|
+|-------------------|-----------|-----------------|-----------|--------------|
|
|
|
+| atom | yojik.net | 192.168.111.160 | ericadmin | \*\*\* |
|
|
|
+| | | | root | \*\*\* |
|
|
|
|
|
|
## Préparation de l'installation
|
|
|
|
|
|
### Téléchargement de l'image ISO netinstall
|
|
|
|
|
|
-( ISO de taille minimale, récupération des éléments suivants sur Debian.org par le réseau)
|
|
|
+(ISO de taille minimale, récupération des éléments suivants sur Debian.org par le réseau)
|
|
|
|
|
|
Rendez-vous à l'adresse suivante [Debian.org](https://www.debian.org/CD/netinst/) et choisissez l'image amd64 ou I386 ou autre suivant l'architecture de votre serveur. Mon serveur utilisera l'image i386.
|
|
|
Il existe des images “non-officielles” comprenant les firmwares de périphériques. (partie software des périphériques).
|
|
|
@@ -101,7 +101,7 @@ usb 4-7: new high-speed USB device number 2 using ehci-pci
|
|
|
```
|
|
|
|
|
|
Le périphérique utilisé sera donc (dans mon cas): **/dev/sdd**.
|
|
|
-Procédons maintenant à la copie de notre fichier ISO sur la clef. Il y a plusieurs possibilités, suivant votre OS (Linux, Mac, Windows) ou votre distribution (Fedora, Debian, etc. )
|
|
|
+Procédons maintenant à la copie de notre fichier ISO sur la clef. Il y a plusieurs possibilités, suivant votre OS (Linux, Mac, Windows) ou votre distribution (Fedora, Debian, etc.)
|
|
|
|
|
|
* Copie avec un logiciel “spécialisé” comme unetbootin
|
|
|
* Copie avec la commande **dd**
|
|
|
@@ -127,37 +127,36 @@ Insérez votre clef et modifiez l'ordre de Boot (quel périphérique sera utilis
|
|
|
|
|
|
Nous utiliserons le mode texte, mais vous pouvez utiliser le mode graphique si vous voulez. Les écrans sont identiques.
|
|
|
|
|
|
-1. Démarrage
|
|
|
+1. Démarrage
|
|
|
|
|
|
|
|
|
|
|
|
-2. Choix du mode d'installation
|
|
|
+2. Choix du mode d'installation
|
|
|
|
|
|
- **Texte** pour moi.
|
|
|
+ **Texte** pour moi.
|
|
|
|
|
|
-3. Choix de la langue (clavier, interface)
|
|
|
+3. Choix de la langue (clavier, interface)
|
|
|
|
|
|
- Langue d'installation: **Français**
|
|
|
+ Langue d'installation: **Français**
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
- Situation géographique: **France**
|
|
|
+ Situation géographique: **France**
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
- Configuration du clavier: **français**
|
|
|
+ Configuration du clavier: **français**
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
+4. Choix du nom de la machine
|
|
|
|
|
|
-4. Choix du nom de la machine
|
|
|
+ Sans le nom de domaine: ici, **atom**
|
|
|
|
|
|
- Sans le nom de domaine: ici, **atom**
|
|
|
+ Le nom complet de la machine Debian est défini dans 2 fichiers:
|
|
|
|
|
|
- Le nom complet de la machine Debian est défini dans 2 fichiers:
|
|
|
-
|
|
|
- * /etc/hostname: ce fichier contient le nom du serveur, **SANS** le nom de domaine. Ce fichier ne contient qu'une seule ligne (un mot): le nom de votre machine.
|
|
|
- * /etc/hosts: ce fichier contient le nom complet de la machine. Il se présente ainsi:
|
|
|
+ * /etc/hostname: ce fichier contient le nom du serveur, **SANS** le nom de domaine. Ce fichier ne contient qu'une seule ligne (un mot): le nom de votre machine.
|
|
|
+ * /etc/hosts: ce fichier contient le nom complet de la machine. Il se présente ainsi:
|
|
|
|
|
|
```shell
|
|
|
127.0.0.1 localhost
|
|
|
@@ -172,39 +171,39 @@ ff02::1 ip6-allnodes
|
|
|
ff02::2 ip6-allrouters
|
|
|
```
|
|
|
|
|
|
-Vous voyez ici la correspondance entre le nom complet du serveur, son nom comme il est écrit dans /etc/hostname ainsi que son adresse IP (ici, IPV4). Nous rajouterons l'adresse IPV6 ensuite, après l'installation.
|
|
|
+ Vous voyez ici la correspondance entre le nom complet du serveur, son nom comme il est écrit dans /etc/hostname ainsi que son adresse IP (ici, IPV4). Nous rajouterons l'adresse IPV6 ensuite, après l'installation.
|
|
|
|
|
|
-
|
|
|
+ 
|
|
|
|
|
|
-5. Choix du nom de domaine
|
|
|
+5. Choix du nom de domaine
|
|
|
|
|
|
- **yojik.net** (mettez le votre!)
|
|
|
+ **yojik.net** (mettez le votre!)
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-6. Saisie du mot de passe root (super-utilisateur)
|
|
|
+6. Saisie du mot de passe root (super-utilisateur)
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
- Confirmation du mot de passe super-utilisateur.
|
|
|
+ Confirmation du mot de passe super-utilisateur.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-7. Saisie du compte utilisateur
|
|
|
+7. Saisie du compte utilisateur
|
|
|
|
|
|
- Ici, notre compte d'administrateur (admin ou celui de votre choix); en effet, nous ne nous connecterons jamais avec le compte **root**, uniquement avec le compte d'administration. L'accès **root** sera bloqué dans le fichier de configuration de **ssh**.
|
|
|
+ Ici, notre compte d'administrateur (admin ou celui de votre choix); en effet, nous ne nous connecterons jamais avec le compte **root**, uniquement avec le compte d'administration. L'accès **root** sera bloqué dans le fichier de configuration de **ssh**.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-8. Saisie du mot de passe utilisateur.
|
|
|
+8. Saisie du mot de passe utilisateur.
|
|
|
|
|
|
- 1. Mot de passe
|
|
|
+ 1. Mot de passe
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
- 2. Confirmation de ce mot de passe.
|
|
|
+ 2. Confirmation de ce mot de passe.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
9. Partitionnement du disque
|
|
|
|
|
|
@@ -357,15 +356,15 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
- la première partition est la partition /boot, non chiffrée
|
|
|
- la partition suivante est la partition swap, chiffrée
|
|
|
- la dernière est la partition root "/" chiffrée.
|
|
|
-
|
|
|
+
|
|
|
|
|
|
|
|
|
18. Nous allons utiliser la méthode manuelle pour pouvoir fixer nous-mêmes la taille de nos partitions:
|
|
|
-
|
|
|
+
|
|
|
|
|
|
|
|
|
19. Choix du disque à partitionner
|
|
|
-
|
|
|
+
|
|
|
|
|
|
|
|
|
20. Création de la table de partition
|
|
|
@@ -444,7 +443,7 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
|
|
|
Vous noterez que j'ai choisi de ne PAS effacer les données du disque. En production, il faudra choisir OUI. Cette procédure permet de remplir les partitions avec des données aléatoires et donne une meilleure sécurité. Cette procédure est longue ...
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
|
|
|
|
|
|
@@ -468,7 +467,7 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
|
|
|
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
|
|
|
|
|
|
@@ -486,7 +485,7 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
|
|
|
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
La fin de l'installation est identique à la version non-chiffrée.
|
|
|
|
|
|
@@ -496,113 +495,113 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
|
|
|
1. 
|
|
|
|
|
|
-2. 
|
|
|
+2. 
|
|
|
|
|
|
-3. 
|
|
|
+3. 
|
|
|
|
|
|
4. 
|
|
|
|
|
|
-5. 
|
|
|
+5. 
|
|
|
|
|
|
-6. 
|
|
|
+6. 
|
|
|
|
|
|
-7. 
|
|
|
+7. 
|
|
|
|
|
|
-8. 
|
|
|
+8. 
|
|
|
|
|
|
-9. 
|
|
|
+9. 
|
|
|
|
|
|
-10. 
|
|
|
+10. 
|
|
|
|
|
|
-11. 
|
|
|
+11. 
|
|
|
|
|
|
12. Partitionnement en mode lvm chiffré
|
|
|
-
|
|
|
+
|
|
|
On suit ce qui est indiqué sur les captures d'écran.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-13. Choix du disque à partitionner
|
|
|
+13. Choix du disque à partitionner
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
14. Choisissez le mode que vous voulez: tout dans une partition ou des partitions séparées.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
15. On modifie les partitions
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
16. Partitionnement en cours
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
17. Effacement des données (écriture de données aléatoires sur le disque)
|
|
|
-
|
|
|
- 
|
|
|
+
|
|
|
+ 
|
|
|
|
|
|
18. Saisie de la phrase de passe
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
19. Suite
|
|
|
-
|
|
|
- 
|
|
|
+
|
|
|
+ 
|
|
|
|
|
|
20. Affichage de vos choix
|
|
|
-
|
|
|
- 
|
|
|
+
|
|
|
+ 
|
|
|
|
|
|
21. Confirmation de vos choix
|
|
|
-
|
|
|
- 
|
|
|
+
|
|
|
+ 
|
|
|
|
|
|
22. Installation du système (comme précédemment)
|
|
|
-
|
|
|
- 
|
|
|
|
|
|
-23.
|
|
|
+ 
|
|
|
|
|
|
- 
|
|
|
+23.
|
|
|
|
|
|
-24.
|
|
|
-
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-25.
|
|
|
+24.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-26.
|
|
|
+25.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-27.
|
|
|
+26.
|
|
|
|
|
|
- 
|
|
|
+ 
|
|
|
|
|
|
-28.
|
|
|
+27.
|
|
|
+
|
|
|
+ 
|
|
|
+
|
|
|
+28.
|
|
|
|
|
|
|
|
|
|
|
|
-29.
|
|
|
+29.
|
|
|
|
|
|
|
|
|
|
|
|
-30.
|
|
|
+30.
|
|
|
|
|
|
|
|
|
|
|
|
-31.
|
|
|
+31.
|
|
|
|
|
|
|
|
|
|
|
|
-32.
|
|
|
+32.
|
|
|
|
|
|
|
|
|
|
|
|
-33.
|
|
|
+33.
|
|
|
|
|
|
|
|
|
|
|
|
@@ -622,7 +621,7 @@ Les première étapes sont identiques à la version non-chiffrée. Le chiffremen
|
|
|
## Installation de serveur avec chiffrage des partitions et clef de chiffrage sur support amovible
|
|
|
|
|
|
Nous allons voir ici une méthode pour éviter d'avoir à saisir la phrase de passe à chaque redémarrage. Nous allons ajouter une clef (en plus de celle que vous avez déjà). Cette clef sera composée par des données aléatoires d'un support amovible (clef usb, carte sdx, etc ... )
|
|
|
-
|
|
|
+
|
|
|
Nous allons remplir le contenu de ce support avec des données aléatoires, et définir une portion de celle-ci comme clef. Il reste évident qu'il faut avoir un accès physique àa la machine ...
|
|
|
|
|
|
### Écriture de données aléatoires sur le support amovible.
|
