Outils pour utilisateurs

Outils du site


machines:grifon:lg

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Dernière révision Les deux révisions suivantes
machines:grifon:lg [2019/03/18 11:45]
petrus création bis
machines:grifon:lg [2019/03/18 14:33]
petrus on continue la création
Ligne 66: Ligne 66:
 Deux daemons ssh tournent sur la machine : un sur em0 dans le rdomain/rtable 1 qui permet l'administration de la machine, et l'autre sur em1 / rdomain 0 (oui je sais...) qui permet de se connecter avec l'utilisateur rviews pour consulter le looking-glass.  Deux daemons ssh tournent sur la machine : un sur em0 dans le rdomain/rtable 1 qui permet l'administration de la machine, et l'autre sur em1 / rdomain 0 (oui je sais...) qui permet de se connecter avec l'utilisateur rviews pour consulter le looking-glass. 
  
 +  * sshd coté privé (em0) :
 <code> <code>
 lg$ doas cp /etc/ssh/sshd_config /etc/ssh/sshd_config_private lg$ doas cp /etc/ssh/sshd_config /etc/ssh/sshd_config_private
Ligne 96: Ligne 97:
  
 lg$ doas rcctl start sshd_private lg$ doas rcctl start sshd_private
 +</code>
 +
 +  * sshd coté public (em1) :
 +<code>
 +lg$ doas mv /etc/rc.d/sshd /etc/rc.d/sshd_private   # pour ne pas se tromper
 +lg$ doas rcctl enable sshd_public
 +lg$ doas rcctl disable sshd
 +
 +lg$ diff -u /etc/ssh/sshd_config.orig  /etc/ssh/sshd_config 
 +--- /etc/ssh/sshd_config.orig   Mon Mar 18 11:37:47 2019
 ++++ /etc/ssh/sshd_config        Mon Mar 18 13:17:51 2019
 +@@ -10,8 +10,8 @@
 + 
 + #Port 22
 + #AddressFamily any
 +-#ListenAddress 0.0.0.0
 +-#ListenAddress ::
 ++ListenAddress 89.234.186.9
 ++ListenAddress 2a00:5884::a
 + 
 + #HostKey /etc/ssh/ssh_host_rsa_key
 + #HostKey /etc/ssh/ssh_host_ecdsa_key
 +@@ -27,7 +27,7 @@
 + # Authentication:
 + 
 + #LoginGraceTime 2m
 +-PermitRootLogin prohibit-password
 ++PermitRootLogin no
 + #StrictModes yes
 + #MaxAuthTries 6
 + #MaxSessions 10
 +@@ -91,3 +91,5 @@
 + #      AllowTcpForwarding no
 + #      PermitTTY no
 + #      ForceCommand cvs server
 ++
 ++AllowUsers rviews
 +
 +lg$ doas rcctl start sshd_public
 </code> </code>
  
Ligne 167: Ligne 207:
  
 ==== httpd ==== ==== httpd ====
 +
 +Cf principalement [[https://man.openbsd.org/bgplg | la page de man de bgplg]]. Ne pas oublier d'activer et démarrer httpd(8) et slowcgi(8). 
 +
 +<code>
 +lg$ doas chmod 0555 /var/www/cgi-bin/bgplg
 +lg$ doas chmod 0555 /var/www/bin/bgpctl
 +
 +lg$ doas mkdir /var/www/etc
 +lg$ doas cp /etc/resolv.conf /var/www/etc
 +</code>
  
 <file | /etc/httpd.conf> <file | /etc/httpd.conf>
Ligne 205: Ligne 255:
 } }
 </file> </file>
 +
 +
 +==== let's encrypt - acme-client ====
 +
 +Pour l'obtention gratuite et le renouvellement des certificats, [[https://man.openbsd.org/acme-client.1|acme-client(1)]] permet de causer à let's encrypt. 
 +
 +<file | /etc/acme-client.conf>
 +lg$ cat /etc/acme-client.conf                                                                                                                                                                            
 +authority letsencrypt {
 +        api url "https://acme-v01.api.letsencrypt.org/directory"
 +        account key "/etc/acme/letsencrypt-privkey.pem"
 +}
 +authority letsencrypt-staging {
 +        api url "https://acme-staging.api.letsencrypt.org/directory"
 +        account key "/etc/acme/letsencrypt-staging-privkey.pem"
 +}
 +domain lg.grifon.fr {
 +        domain key "/etc/ssl/httpd/lg.grifon.fr.key"
 +        domain certificate "/etc/ssl/httpd/lg.grifon.fr.crt"
 +        domain full chain certificate "/etc/ssl/httpd/lg.grifon.fr.chained.crt"
 +        sign with letsencrypt
 +}
 +</file>
 +
 +Lors de la première utilisation il faut générer une clé de compte : 
 +
 +<code>
 +lg$ doas acme-client -ADv lg.grifon.fr
 +</code>
 +
 +Ensuite pour le renouvellement automatique, on invoque acme-client tous les jours, et s'il y a renouvellement on redémarre httpd : 
 +
 +<file | /etc/daily.local>
 +for domain in $(awk '/^domain/ {print $2}' /etc/acme-client.conf); do \
 +  acme-client -D $domain && \
 +  rcctl reload httpd; \
 +done
 +</file>
 +
 +Un peu de customisation pour que ça soit plus joli :
 +<file | /var/www/conf/bgplg.head>
 +</head>
 +<body style="text-align: center">
 +<div style="margin: 0px auto; text-align: left; width: 800px;">
 +<a href="https://grifon.fr/">
 +<img style="width: 200px; margin: 0 auto;" src="/bgplg/grifon_resize.png" alt="Grifon"/>
 +</a>
 +</file>
 +
 +==== bgplg ====
 +
 +Une fois le looking-glass fonctionnel en web, on passer à la partie purement route-server / cli. 
 +
 +Ici c'est [[https://man.openbsd.org/bgplgsh|bgplgsh]] qui nous intéresse. Par convention purement personnelle l'utilisateur public sera 'rviews' avec un mot de passe 'Rviews'
 +
 +<code>
  
machines/grifon/lg.txt · Dernière modification: 2019/03/18 20:51 de petrus