3 years ago · 93c4513bec
--- a/docs/Première-Etape-Sécurisation.md
+++ b/docs/Première-Etape-Sécurisation.md
@@ -23,8 +23,6 @@ Nous allons utiliser les recommandations de Mozilla: [Mozilla recommendations](h
 
				 
			
 
				 Nous allons créer un répertoire dans notre home qui contiendra nos ""playbook"". J'ai vu qu'il existait un programme appelé **ansible-galaxy** qui permet de gérer la structure de ce répertoire et de charger des roles tout prêts à partir du hub.
			
 
				 
			
 
				-Dans un premier temps, nous allons utiliser notre répertoire naïvement. Il sera toujours temps de passer à ansible-galaxy ensuite.
			
 
				-
			
 
				 ### Méthode manuelle
			
 
				 
			
 
				 Nous allons commencer par exécuter toutes les étapes manuellement; il sera plus facile ensuite de les automatiser.
			
@@ -39,9 +37,7 @@ J'installe aussi **vim**, pour remplacer l'éditeur **vi** ou **nano** installé
 
				 
			
 
				     sudo apt install vim
			
 
				 
			
 
				-Installation des utilitaires système comme **netstat**  etc.
			
 
				-
			
 
				-    sudo apt install net-tools
			
 
				+Dans le tutoriel précédent, j'utilisais **netstat** comme outillage réseau. Il a été remplacé par **ss** dont nous verrons le fonctionnement plus tard. Il est disponible automatiquement apèrs installation.
			
 
				 
			
 
				 Ajoute des dépots contrib et non-free:
			
 
				 
			
@@ -72,6 +68,10 @@ Mise à jour des dépôts de paquets, et mise à jour du système:
 
				 
			
 
				 Nous allons donc réaliser exactement la même chose, mais avec **ansible**:
			
 
				 
			
 
				+1. Création de la structure de répertoires
			
 
				+2. Playbook de modification de **/etc/apt/sources.list** et mise à jour du catalogue de paquets
			
 
				+3. Playbook d'installation de **vim** et **mc**
			
 
				+
			
 
				 ## Récupération de l'IP du serveur
			
 
				 
			
 
				 Il nous faut connaître l'adresse IP de notre serveur qui est allouée dynamiquement par **dhcp**.
			
--- a/docs/ovh.md
+++ b/docs/ovh.md
@@ -1,5 +1,5 @@
 
				 
			
 
				-# Boot en mode root avec slef ssh
			
 
				+# Boot en mode root avec clef ssh
			
 
				 
			
 
				 Lors du choix du système d'exploitation et des paramètres de l'installation, vous avez le choix entre *se faire envoyer par émail les identifiants/mots de passe* ou fournir votre clef *SSH* publique. Choisissez cette dernière option si vous le pouvez.
			
 
				 
			
@@ -7,11 +7,11 @@ Il suffit de copier/coller cette clef dans l'emplacement prévu dans les paramè
 
				 
			
 
				 Il est toujours possible de procéder à cet ajout ultérieurement.
			
 
				 
			
 
				-    eric@aldebaran:~$ ssh root@91.121.72.10
			
 
				-    The authenticity of host '91.121.72.10 (91.121.72.10)' can't be established.
			
 
				+    eric@aldebaran:~$ ssh root@91.127.72.12
			
 
				+    The authenticity of host '91.127.72.12 (91.127.72.12)' can't be established.
			
 
				     ECDSA key fingerprint is SHA256:eBYgeGPntU9stGkYe5GLltv46hCeVDRIu8xic3MDLbE.
			
 
				     Are you sure you want to continue connecting (yes/no)? yes
			
 
				-    Warning: Permanently added '91.121.72.10' (ECDSA) to the list of known hosts.
			
 
				+    Warning: Permanently added '91.127.72.12' (ECDSA) to the list of known hosts.
			
 
				     Linux adara 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64
			
 
				 
			
 
				         Debian GNU/Linux 9 (stretch)
			
@@ -19,20 +19,20 @@ Il est toujours possible de procéder à cet ajout ultérieurement.
 
				         Linux adara.yojik.eu 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64 GNU/Linux
			
 
				 
			
 
				 
			
 
				-        Server	: 141519
			
 
				-        IPv4		: 91.121.72.10
			
 
				-        IPv6		: 2001:41d0:1:7d0a::1
			
 
				-        Hostname	: adara.yojik.eu
			
 
				+        Server      : 141519
			
 
				+        IPv4        : 91.127.72.12
			
 
				+        IPv6        : 2001:41d0:f:7d0d::1
			
 
				+        Hostname    : adara.yojik.eu
			
 
				 
			
 
				         Last login: Sun Jun 24 12:31:50 2018 from 217.182.145.216
			
 
				 
			
 
				 Booter sur le serveur:
			
 
				 
			
 
				-    eric@aldebaran:~$ ssh root@91.121.72.10
			
 
				-    The authenticity of host '91.121.72.10 (91.121.72.10)' can't be established.
			
 
				+    eric@aldebaran:~$ ssh root@91.127.72.12
			
 
				+    The authenticity of host '91.127.72.12 (91.127.72.12)' can't be established.
			
 
				     ECDSA key fingerprint is SHA256:BT4r+uaJ8qAVUKgquJ557W4wyFJ3cfqOy/qC838RKMw.
			
 
				     Are you sure you want to continue connecting (yes/no)? yes
			
 
				-    Warning: Permanently added '91.121.72.10' (ECDSA) to the list of known hosts.
			
 
				+    Warning: Permanently added '91.127.72.12' (ECDSA) to the list of known hosts.
			
 
				     Linux adara 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64
			
 
				 
			
 
				       Debian GNU/Linux 9 (stretch)
			
@@ -40,14 +40,13 @@ Booter sur le serveur:
 
				       Linux adara.yojik.eu 4.9.103-xxxx-std-ipv6-64 #222672 SMP Mon Jun 4 15:16:03 UTC 2018 x86_64 GNU/Linux
			
 
				 
			
 
				 
			
 
				-      Server	: 141519
			
 
				-      IPv4		: 91.121.72.10
			
 
				-      IPv6		: 2001:41d0:1:7d0a::1
			
 
				-      Hostname	: adara.yojik.eu
			
 
				+      Server    : 141519
			
 
				+      IPv4      : 91.127.72.12
			
 
				+      IPv6      : 2001:41d0:f:7d0d::1
			
 
				+      Hostname  : adara.yojik.eu
			
 
				 
			
 
				     Last login: Sun Jun 24 13:00:53 2018 from 217.182.145.216
			
 
				 
			
 
				-
			
 
				 Date et heure: il faut reconfigurer tzdata
			
 
				 
			
 
				     root@adara:~# date
			
@@ -67,7 +66,7 @@ Redémarrage et vérification de l'heure:
 
				 
			
 
				 C'est bon.
			
 
				 
			
 
				-Modification du mot d epasse root password de root!!!!!!!!!!!!!!
			
 
				+Modification du mot de passe root password de root!
			
 
				 
			
 
				 Ajout d'un utilisateur.
			
 
				 
			
@@ -80,20 +79,20 @@ Configuration du réseau:  elle est pré-réglée dans l'installation de OVH.
 
				 Ajout de l'adresse **IPV6** et de l'adresse du serveur de sauvegarde.
			
 
				 
			
 
				     root@adara:/home/ericadmin/bin# cat /etc/hosts
			
 
				-    127.0.0.1	localhost
			
 
				-    127.0.1.1	adara.yojik.eu	adara
			
 
				+    127.0.0.1   localhost
			
 
				+    127.0.1.1   adara.yojik.eu  adara
			
 
				 
			
 
				     # The following lines are desirable for IPv6 capable hosts
			
 
				-    ::1	localhost	ip6-localhost ip6-loopback
			
 
				-    ff02::1	ip6-allnodes
			
 
				-    ff02::2	ip6-allrouters
			
 
				+    ::1  localhost   ip6-localhost ip6-loopback
			
 
				+    ff02::1  ip6-allnodes
			
 
				+    ff02::2  ip6-allrouters
			
 
				 
			
 
				-    91.121.72.10		adara.yojik.eu	adara
			
 
				-    2001:41d0:1:7d0a::1 	adara.yojik.eu	adara
			
 
				+    91.127.72.12            adara.yojik.eu  adara
			
 
				+    2001:41d0:f:7d0d::1     adara.yojik.eu  adara
			
 
				 
			
 
				     # adresse du serveur de sauvegarde
			
 
				-    37.187.3.182		polis.yojik.eu	polis
			
 
				-    2001:41d0:a:3b6::1		polis.yojik.eu	polis
			
 
				+    37.187.3.18             polis.yojik.eu  polis
			
 
				+    2001:42d0:c:3b6::1      polis.yojik.eu  polis
			
 
				 
			
 
				 L'étape de configuration de netfilter-persistent echoue à cause du kernel de OVH :(:(
			
 
				 
			
@@ -103,3 +102,9 @@ IL faudra le faire à la main avec:
 
				     ip6tables-save > /etc/iptables/rules.v6
			
 
				 
			
 
				 Pour fail2ban, il n'a rien à configurer pour l'instant. Seul ssh est surveillé.
			
 
				+
			
 
				+# Installation sur serveur VPS de chez OVH
			
 
				+
			
 
				+J'ai loué 2 serveurs VPS minimum pour installer mes serveurs DNS. La procédure est en tous points identique.
			
 
				+
			
 
				+La seule différence est l'attribution d'un **user** **debian** avec les droits **sudo** d'administration.