Yojik.net/site/Tutoriels/tutoraspi/Automatisation/index.html

<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  
  
  <link rel="shortcut icon" href="../../../img/favicon.ico">
  <title>Automatisation - Les Tutoriels du Yojik</title>
  <link rel="stylesheet" href="../../../css/theme.css" />
  <link rel="stylesheet" href="../../../css/theme_extra.css" />
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  
  <script>
    // Current page data
    var mkdocs_page_name = "Automatisation";
    var mkdocs_page_input_path = "Tutoriels/tutoraspi/Automatisation.md";
    var mkdocs_page_url = null;
  </script>
  
  <script src="../../../js/jquery-2.1.1.min.js" defer></script>
  <script src="../../../js/modernizr-2.8.3.min.js" defer></script>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  <script>hljs.initHighlightingOnLoad();</script> 
  
</head>

<body class="wy-body-for-nav" role="document">

  <div class="wy-grid-for-nav">

    
    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
    <div class="wy-side-scroll">
      <div class="wy-side-nav-search">
        <a href="../../.." class="icon icon-home"> Les Tutoriels du Yojik</a>
        <div role="search">
  <form id ="rtd-search-form" class="wy-form" action="../../../search.html" method="get">
    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  </form>
</div>
      </div>

      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
                <p class="caption"><span class="caption-text">Home</span></p>
                <ul>
                    <li class="toctree-l1"><a class="reference internal" href="../../..">Page d'accueil</a>
                    </li>
                </ul>
                <p class="caption"><span class="caption-text">Tutoriels</span></p>
                <ul>
                    <li class="toctree-l1"><a class="reference internal" href="../../tutos/">Introduction</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutostretch/tutostretch/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="#">Installation</a>
    <ul>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-de-base/">Installation du système de base</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Configuration-R%C3%A9seau/">Configuration du réseau</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Parre-Feu/">Installation d'un pare-feu</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-DNS/">Installation du serveur DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Web/">Installation d'un serveur web</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Webmail/">Installation d'un webmail (rainloop)</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
                </li>
    </ul>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/1-tutobuster/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/2-Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/4-Plan/">Plan d'ensemble</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../R%C3%A9sum%C3%A9/">Résumé</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../tutoraspi/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Premier-d%C3%A9marrage/">Premier démarrage</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Etat-des-lieux/">État des lieux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../S%C3%A9curisation-SSH/">Sécurisation SSH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../R%C3%A9seau/">Réseau (des IPs fixes)</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Knot/">Installation de Knot-resolver</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Firewall/">Installation d'un pare-feux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Fail2ban/">Contrer les attaques de force brute</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Logwatch/">Surveillance du serveur</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Exemple-d-utilisation-serveur-Web/">Exemple d'utilisation avec un serveur Web</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Annexe/">Annexe</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Domotique</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../Domotique/Introduction/">Introduction</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../Domotique/Le-mat%C3%A9riel/">Le matériel</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Tutoriel Anki</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Introduction/">Introduction</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Installation/">Installation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Les-fiches/">Les fiches</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Premi%C3%A8re-utilisation/">Premières utilisations et impressions</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Personnalisation/">Personnalisation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoanki/Cartes/">Les cartes</a>
                </li>
    </ul>
                    </li>
                </ul>
      </div>
    </div>
    </nav>

    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">

      
      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
        <a href="../../..">Les Tutoriels du Yojik</a>
      </nav>

      
      <div class="wy-nav-content">
        <div class="rst-content">
          <div role="navigation" aria-label="breadcrumbs navigation">
  <ul class="wy-breadcrumbs">
    <li><a href="../../..">Docs</a> &raquo;</li>
    
      
    
    <li>Automatisation</li>
    <li class="wy-breadcrumbs-aside">
      
    </li>
  </ul>
  
  <hr/>
</div>
          <div role="main">
            <div class="section">
              
                <h1 id="automatisation">Automatisation</h1>
<p>jeton smartthings: f9f05f67-0e9c-4c99-883e-5cf249eaa2a2</p>
<p>Maintenant que nous avons fait toutes ces manipulations à la main, nous allons pouvoir automatiser la configuration de notre raspi d'une façon automatique avec <strong>ansible</strong>.</p>
<p>En fait, le but est de pouvoir déployer notre serveur en un minimum de temps. Nous ajouterons une partie variable, appelée les <strong>facts</strong>, ce qui nous permettra d'installer différents serveurs avec des options différentes ainsi que des services parfois dictintcs.</p>
<p>Nous allons reprendre toutes les étapes et les <strong>scripter</strong> dans un <strong>playbook ansible</strong>.</p>
<h2 id="principe">Principe</h2>
<h3 id="creation-dun-utilisateur-dedie-sur-le-poste-client">Création d'un utilisateur dédié sur le poste client</h3>
<p>Il est parfaitement possible d'utiliser un <strong>role</strong> ansible tout prêt de création d'un nouvel utilisateur sur notre poste client, mais pour ça, il faut que <strong>ansible</strong> soit déjà installé.</p>
<p>Nous allons donc créer un utilisateur <strong>deborah</strong> de façon classique avec la commande adduser:</p>
<pre><code>eric@aldebaran:~$ sudo adduser deborah
[sudo] Mot de passe de eric : 
Ajout de l'utilisateur « deborah » ...
Ajout du nouveau groupe « deborah » (1002) ...
Ajout du nouvel utilisateur « deborah » (1002) avec le groupe « deborah » ...
Création du répertoire personnel « /home/deborah »...
Copie des fichiers depuis « /etc/skel »...
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd: password updated successfully
Changing the user information for deborah
Enter the new value, or press ENTER for the default
    Full Name []: Déborah
    Room Number []: 
    Work Phone []: 
    Home Phone []: 
    Other []: 
chfn: name with non-ASCII characters: 'Déborah'
Cette information est-elle correcte ? [O/n]
eric@aldebaran:~$
</code></pre>
<h3 id="installation-de-ansible-sur-le-compte-du-nouvel-utilisateur">Installation de <strong>ansible</strong> sur le compte du nouvel utilisateur</h3>
<p>Nous allons assumer que <strong>python</strong> est déjà installé, ce qui est le cas pour une installation desktop Debian normale.</p>
<p>Passons à l'utilisateur <strong>deborah</strong> juste créé:</p>
<pre><code>eric@aldebaran:~$ su - deborah
Mot de passe : 
deborah@aldebaran:~$
</code></pre>
<ul>
<li>
<p>vérification de notre installation python</p>
<p>deborah@aldebaran:~$ python3 --version
Python 3.9.1
deborah@aldebaran:~$</p>
</li>
<li>
<p>installation de ansible</p>
</li>
</ul>
<p>Nous installons ansible avec <strong>pip3</strong>; nous aurions pu utiliser la paquet ansible tout prêt, mais il n'aurait pas été aussi à jour. Une autre solution aurait été d'utiliser <strong>virtualenv</strong>. Je rajouterai éventuellement un paragraphe pour expliquer le fonctionnement de virtualenv.</p>
<p><strong>ansible</strong> ainsi que les autres binaires sont installés dans le répertoire utilisateur <strong>~/.local/bin</strong>. Ce chemin est déjà programmé dans le fichier <strong>.profile</strong> et pour que ce chemin soit pris en compte, il suffit de "<strong>sourcer</strong>" le fichier <strong>.profile</strong></p>
<pre><code>deborah@aldebaran:~$ source .profile
</code></pre>
<p>Le résultat est le suivant:</p>
<pre><code>deborah@aldebaran:~$ ansible --version
ansible 2.10.4
config file = /etc/ansible/ansible.cfg
configured module search path = ['/home/deborah/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /home/deborah/.local/lib/python3.9/site-packages/ansible
executable location = /home/deborah/.local/bin/ansible
python version = 3.9.1 (default, Dec  8 2020, 07:51:42) [GCC 10.2.0]
deborah@aldebaran:~$
</code></pre>
<p>Voilà, <strong>ansible</strong> est installé, en version 2.10.4.</p>
<h3 id="configuration-ssh">Configuration <strong>ssh</strong></h3>
<p>Nous allons suivre la méthode décrite dans un chapitre précédent:</p>
<pre><code>deborah@aldebaran:~$ ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "eric@yojik.eu"
...
deborah@aldebaran:~$
</code></pre>
<h3 id="recuperation-adresse-ip">Récupération adresse IP</h3>
<p>L'adresse ip par défaut est attribuée par le serveur dhcp de notre box, et donc, est sujet à variation suivant le nombre des autres dispositifs connectés.</p>
<p>Même méthode que précédemment avec nmap:</p>
<ul>
<li>
<p>L'adresse dynamique récupérée est : 192.168.111.33</p>
</li>
<li>
<p>L'utilisateur (avec droits sudo) est par défaut: pi</p>
</li>
<li>
<p>Le mot de passe par défaut est : raspberry</p>
</li>
</ul>
<h3 id="copie-de-notre-clef-publique-sur-le-raspi-et-connexion">Copie de notre clef publique sur le raspi et connexion</h3>
<pre><code>deborah@aldebaran:~$ ssh-copy-id -i ~/.ssh/piras_ed25519.pub pi@192.168.111.33
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/deborah/.ssh/piras_ed25519.pub"
The authenticity of host '192.168.111.33 (192.168.111.33)' can't be established.
ECDSA key fingerprint is SHA256:JA3Eb2suh7qz7iwkoKL0yzbO698fj3EF4/vrhW7LTds.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
pi@192.168.111.33's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'pi@192.168.111.33'"
and check to make sure that only the key(s) you wanted were added.

deborah@aldebaran:~$
</code></pre>
<p>Connexion:</p>
<pre><code>deborah@aldebaran:~$ ssh -i ./.ssh/piras_ed25519 pi@192.168.111.33
Enter passphrase for key './.ssh/piras_ed25519': 
Linux raspberrypi 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Dec 27 17:31:01 2020 from 192.168.111.150
pi@raspberrypi:~ $
</code></pre>
<p>Tout fonctionne.</p>
<h3 id="lancement-de-raspi-config">Lancement de raspi-config</h3>
<p>Configurez votre raspi avec la commande:</p>
<pre><code>sudo raspi-config
</code></pre>
<p>Retaillez la partition root pour occuper toute la place disponible. Changez les locales ainsi que le mappage clavier. (pas très butile si vous ne vous connectez pas directement sur le raspi avec un clavier, mais bon, faites-le par précaution si vous devez vous connecter un jour directement)</p>
<h3 id="changement-du-mot-de-passe">Changement du mot de passe</h3>
<p>Après avoir généré un mot de passe aléatoire avec pwgen, tapez la commande suivante (il était aussi possible de le changer avec l'utilitaire <strong>raspi-config</strong> vu au paragraphe précédent):</p>
<pre><code>pi@raspberrypi:~ $ passwd
Changement du mot de passe pour pi.
Current password: 
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd: password updated successfully
pi@raspberrypi:~ $
</code></pre>
<p>Le reste se fera avec <strong>ansible</strong>. On sort avec "Ctrl D".</p>
<h3 id="nos-serveurs">Nos serveurs</h3>
<p>L'identité de nos serveurs comme les caractéristiques de connexion, port SSH, adresse IP sont conservées dans un fichier inventaire appelé <strong>inventory</strong> dans le jargon ansible.</p>
<p>Il peut porter n'importe quel nom mais habituellement il est appelé <strong>inventory</strong>.</p>
<ul>
<li>
<p>Création de la structure de répertoires/fichiers</p>
<p>Nous allons aussi respecter la structure conseillée des répertoires de déploiement des playbooks ansible. Pour cela nous allons utiliser <strong>ansible-galaxy</strong> avec la commande suivante:</p>
<pre><code>deborah@aldebaran:~$ ansible-galaxy init piras
- Role piras was created successfully
deborah@aldebaran:~$
</code></pre>
<p>La structure de répertoires a été créée pour nous.</p>
<pre><code>deborah@aldebaran:~$ tree piras
piras
├── defaults
│   └── main.yml
├── files
├── handlers
│   └── main.yml
├── meta
│   └── main.yml
├── README.md
├── tasks
│   └── main.yml
├── templates
├── tests
│   ├── inventory
│   └── test.yml
└── vars
    └── main.yml

8 directories, 8 files
deborah@aldebaran:~$
</code></pre>
<p>Les actions à accomplir sont saisies dans des fichiers au format YAML. Le fichier inventaire qui contient les machines à configurer, les <strong>hosts</strong> peut être en format YAML ou INI (format des fichiers de configuration Windows).</p>
</li>
<li>
<p>Création du fichier inventaire</p>
<p>2 formats pour ça:</p>
<ol>
<li>
<p>Format INI</p>
<pre><code>[vps]
ns1 ansible_port=22 ansible_host=ns1.yojik.eu
ns2 ansible_port=22 ansible_host=ns2.yojik.eu

[home]
piras ansible_port=22 ansible_host=piras.yojik.net ansible_user=pi ansible_ssh_private_key_file=.ssh/piras_ed25519
</code></pre>
</li>
<li>
<p>Format YAML</p>
<pre><code>  ---
  # my hosts
  all:
  hosts:
      ns1:
          ansible_host: ns1.yojik.eu
      ns2:
          ansible_host: ns2.yojik.eu
      piras:
          ansible_host: piras.yojik.net
          ansible_user: pi
          ansible_ssh_private_key_file: .ssh/piras_ed25519
  ...
</code></pre>
<p>3 hosts sont configurés dans ce fichier inventaire: <strong>ns1</strong> et <strong>ns2</strong> sont deux VPS loués chez OVH qui servent de serveurs DNS. Et <strong>piras</strong> qui est l'objet de ce tutoriel.</p>
<p>Vous noterez que j'ai mis les noms des machines (<strong>fqdn</strong>) et qu'il faut bien sûr renseigner les IPs de ces machines, soit dans le fichier <strong>/etc/hosts</strong> soit dans les zones du serveur DNS.</p>
</li>
</ol>
</li>
<li>
<p>Test avec commandes ad-hoc</p>
<p>On va envoyer une commande <strong>ping</strong> au raspi:</p>
<pre><code>deborah@aldebaran:~$ ansible -i inventory piras -m ping
Enter passphrase for key '.ssh/piras_ed25519': 
piras | SUCCESS =&gt; {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}
deborah@aldebaran:~$
</code></pre>
<p>Ca marche ;)</p>
<p>On va envoyer une commande <strong>echo</strong> au raspi:</p>
<pre><code>deborah@aldebaran:~$ ansible piras -i inventory -m command -a "echo 'salut'" 
Enter passphrase for key '.ssh/piras_ed25519': 
piras | CHANGED | rc=0 &gt;&gt;
salut
deborah@aldebaran:~$
</code></pre>
<p>Ca fonctionne.</p>
</li>
<li>
<p>Test avec playbook</p>
<p>Les playbook(s) sont des fichiers au format YAML qui décrivent les actions à accomplir. Varibales, boucles, tests sont disponibles pour assurer les fonctions nécessaires.</p>
<ol>
<li>
<p>Exemple de playbook (nom: piras.yml)</p>
<pre><code>-
  name: play-1
  hosts: piras
  tasks:
    - name: test de la connectivité
      action: ping
</code></pre>
</li>
<li>
<p>Test du playbook</p>
<pre><code>deborah@aldebaran:~$ ansible-playbook piras.yml -i inventory

PLAY [play-1] *************************************************************************************************************

TASK [Gathering Facts] ****************************************************************************************************
Enter passphrase for key '.ssh/piras_ed25519': 
ok: [piras]

TASK [test de la connectivité] ********************************************************************************************
ok: [piras]

PLAY RECAP ****************************************************************************************************************
piras                      : ok=2    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

deborah@aldebaran:~$
</code></pre>
<p>Ca marche (ok=2.)</p>
</li>
</ol>
</li>
</ul>
<h2 id="etat-des-lieux">État des lieux</h2>
<p>Nous avons les données suivantes:</p>
<ul>
<li>adresse IP DHCP: <strong>192.168.111.33</strong>.</li>
<li>adresse IPV4 fixe: <strong>192.168.111.171</strong> : à configurer.</li>
<li>adresse IPV6 fixe: <strong>2a01:e0a:d0:3c20::171</strong> : à configurer.</li>
<li>nom du user: <strong>pi</strong> (user prédéfini avec droits sudo)</li>
<li>nom de la machine: <strong>raspberrypi</strong>: à configurer.</li>
<li>
<p>domaine de la machine: <strong>yojik.net</strong> (c'est le domaine de mon réseau local): à configurer.</p>
<p>Le non complet sera donc: <strong>piras.yojik.net</strong></p>
</li>
</ul>
<p>Un des premiers problèmes à résoudre est que l'adresse IP par défaut est donnée par DHCP, donc variable. Il faudra redémarrer le raspi une fois la modification de la configuration réseau faite et re-tester la connectivité.</p>
<h3 id="tache-1">Tâche 1</h3>
<p>Tester la connectivité:</p>
<ul>
<li>
<p>Ajout de l'adresse du serveur toto à <strong>/etc/hosts</strong> du poste client.</p>
<p>Nous pouvons le faire manuellement, ou avec un script shell, ou avec un playbook ansible.</p>
<ol>
<li>
<p>à la main</p>
<p>Utilisez votre éditeur préféré, et ajoutez/modifiez la ligne suivante à /etc/hosts:</p>
<p>192.168.111.171 toto.yojik.net toto</p>
</li>
<li>
<p>script shell</p>
<pre><code>eric@aldebaran:~/ansible-toto$ cat play1.sh 
#!/bin/sh

echo "192.168.111.171 toto.yojik.net toto" &gt;&gt; /etc/hosts
cat /etc/hosts
eric@aldebaran:~/ansible-toto$

eric@aldebaran:~/ansible-toto$ chmod +x play1.sh
eric@aldebaran:~/ansible-toto$  sudo ./play1.sh
127.0.0.1              localhost

192.168.111.150         aldebaran.yojik.net        aldebaran

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.111.171 toto.yojik.net toto
eric@aldebaran:~/ansible-toto$
</code></pre>
<p>La ligne a bien été ajoutée à la fin du fichier.</p>
</li>
<li>
<p>playbook ansible</p>
<p>La playbook que nous verrons à l'étape suivante va mettre à jour le fichier /etc/hosts automatiquement avec les informations saisies dans le fichier <strong>variables</strong> de notre projet ansible.</p>
</li>
</ol>
</li>
<li>
<p>test</p>
</li>
</ul>
<h3 id="tache-2">Tâche 2</h3>
<p>Nous allons mettre à jour notre hostname ainsi que le fichier <strong>/etc/hosts</strong>.
Pour cela nous allons utiliser un role <strong>tout prêt</strong> disponible sur <strong>galaxy-ansible</strong>.</p>
<p>Ce role s'appelle <strong>hostname</strong> et l'auteur en est: Mischa ter Smitten</p>
<p>Pour installer ce role, tapez:</p>
<pre><code>eric@aldebaran:~$ ansible-galaxy install oefenweb.hostname
Starting galaxy role install process
- downloading role 'hostname', owned by oefenweb
- downloading role from https://github.com/Oefenweb/ansible-hostname/archive/v2.0.17.tar.gz
- extracting oefenweb.hostname to /home/eric/.ansible/roles/oefenweb.hostname
- oefenweb.hostname (v2.0.17) was installed successfully
eric@aldebaran:~$
</code></pre>
<p>La documentation est disponible dans le répertoire:</p>
<pre><code>~/.ansible/roles/oefenweb.hostname
</code></pre>
<p>Il nous faut entrer le <strong>fqdn</strong> dans le fichier inventaire, et créer des fichiers de variables dans le répertoire adéquat, avec un nom bien précis (en rapport avec le fqdn).</p>
<ul>
<li>mise à jour du nom d'hôte (hostname)</li>
<li>test</li>
</ul>
<h3 id="tache-3">Tâche 3</h3>
<ul>
<li>création de l'une clef <strong>ssh</strong> sur le desktop</li>
<li>ajout d'un enregistrement à <strong>./.ssh/config</strong> pour intégrer le nouveau serveur</li>
<li>modification de <strong>/etc/hosts</strong> pour intégrer le fqdn de ce nouveau serveur</li>
<li>test</li>
</ul>
<h3 id="tache-4">Tâche 4</h3>
<ul>
<li>copie de cette clef sur le raspi</li>
<li>test de connexion avec cette clef</li>
</ul>
<h3 id="tache-5">Tâche 5</h3>
<p>Sécurisation <strong>ssh</strong></p>
<ul>
<li>test d'audit du serveur</li>
<li>création de nouvelles clefs sur le serveur</li>
<li>copie d'un fichier <strong>sshd_config</strong> sur le serveur</li>
<li>relance du daemon <strong>sshd</strong></li>
<li>test de connexion</li>
<li>test d'audit</li>
</ul>
<h3 id="tache-6">Tâche 6</h3>
<p>Création d'adresse IPV4 et IPV6 fixes.</p>
<ul>
<li>modification de <strong>/etc/dhcpd/dhcpd.conf</strong></li>
<li>reboot</li>
</ul>
              
            </div>
          </div>
          <footer>
  

  <hr/>

  <div role="contentinfo">
    <!-- Copyright etc -->
    
  </div>

  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
      
        </div>
      </div>

    </section>

  </div>

  <div class="rst-versions" role="note" aria-label="versions">
    <span class="rst-current-version" data-toggle="rst-current-version">
      
      
      
    </span>
</div>
    <script>var base_url = '../../..';</script>
    <script src="../../../js/theme.js" defer></script>
      <script src="../../../search/main.js" defer></script>
    <script defer>
        window.onload = function () {
            SphinxRtdTheme.Navigation.enable(true);
        };
    </script>

</body>
</html>