ProxmoxV6 Debian 10

De Hegyd Doc.

Version du 1 septembre 2020 à 07:55 (modifier) Pentasonic (discuter | contributions) (→Sauvegarde) ← Modification précédente		Version du 4 février 2022 à 15:53 (modifier) (défaire) Pentasonic (discuter | contributions) (→Comptes utilisateurs) Modification suivante →
Ligne 268 :		Ligne 268 :
	[[Catégorie:Administration serveurs]]		[[Catégorie:Administration serveurs]]
		+
		+	== ATTENTION Specificité network pour les Proxmox sur SCALE ( OVH ) ==
		+
		+
		+
		+	Pour info, problème rencontré avec les interfaces réseau du serveur de type SCALE chez OVH ( 2 carte rzo publiques et 2 cartes rzo privées ).
		+	Obligé de faire 2 "bonds" et "un bridge" sur le bond de l'IP vrack.
		+	ci-dessous configuration réseau fonctionnelle :
		+	root@vapps11:~# cat /etc/network/interfaces
		+	# network interface settings; autogenerated
		+	# Please do NOT modify this file directly, unless you know what
		+	# you're doing.
		+	#
		+	# If you want to manage parts of the network configuration manually,
		+	# please utilize the 'source' or 'source-directory' directives to do
		+	# so.
		+	# PVE will preserve these directives, but will NOT read its network
		+	# configuration from sourced files, so do not attempt to move any of
		+	# the PVE managed interfaces into external files!
		+
		+	auto lo
		+	iface lo inet loopback
		+
		+	# interface publique 1
		+	auto ens3f0
		+	iface ens3f0 inet manual
		+
		+	# interface publique 2
		+	auto ens3f1
		+	iface ens3f1 inet manual
		+
		+	# interface privée 1
		+	auto ens13f0
		+	iface ens13f0 inet manual
		+
		+	# interface privée 2
		+	auto ens13f1
		+	iface ens13f1 inet manual
		+
		+	auto bond0
		+	iface bond0 inet static
		+	address 141.94.202.138/24
		+	gateway 141.94.202.254
		+	bond-slaves ens3f0 ens3f1
		+	bond-miimon 100
		+	bond-mode 802.3ad
		+	post-up echo 1 > /proc/sys/net/ipv4/conf/bond0/proxy_arp
		+	post-up echo 1 > /proc/sys/net/ipv4/ip_forward
		+
		+	# Agrégat LACP sur les interfaces privées
		+	auto bond1
		+	iface bond1 inet dhcp
		+	bond-slaves ens13f0 ens13f1
		+	bond-miimon 100
		+	bond-mode 802.3ad
		+
		+	# Private
		+	auto vmbr1
		+	## Bridge raccordé sur l'agrégat bond1
		+	iface vmbr1 inet static
		+	address 172.16.0.167/12
		+	netmask 255.240.0.0
		+	bridge-ports bond1
		+	bridge-stp off
		+	bridge-fd 0
		+
		+	## voir doc https://docs.ovh.com/fr/dedicated/proxmox-network-hg-scale/
		+
		+	==

---

Version du 4 février 2022 à 15:53

Sommaire 1 Proxmox V6 / Debian 10 ( Buster ) 2 Pare feu 3 Serveur de cache DNS local 4 Monitoring / Supervision 5 Sauvegarde 6 Comptes utilisateurs 7 ATTENTION Specificité network pour les Proxmox sur SCALE ( OVH )

Proxmox V6 / Debian 10 ( Buster )

( doc install Proxmox sur manager OVH à faire )

• Si on arrive ici après l'installation d'un Proxmox OVH, l'accès ROOT est ouvert ( envoyé par mail ) :

• Modification du mot de passe root si nécessaire, et selon la règle de nommage usuelle.

passwd

• Installer les paquets de base :

apt update && apt upgrade -y
apt -y install bash-completion ntp sudo htop telnet sysstat subversion git less vim-nox cscope exuberant-ctags

• Paramétrer les locales :

echo -n > /etc/environment
echo -n > /etc/default/locale

• Paramétrer debconf :

apt-get install dialog &&
echo "debconf debconf/priority        select high" | debconf-set-selections &&
echo "debconf debconf/frontend        select Dialog" | debconf-set-selections

• Définir vim comme éditeur par défaut

update-alternatives --set editor /usr/bin/vim.nox

• Paramétrer l'environnement utilisateur

sed -i '32,38s/^#//' /etc/bash.bashrc
cat >> /etc/bash.bashrc <<EOF

export LS_OPTIONS='--color=auto'
eval "\`dircolors\`"
alias ls='ls \$LS_OPTIONS'
alias ll='ls \$LS_OPTIONS -l'
alias grep='grep --color=auto'
EOF

• Modifier le shell par défaut des utilisateurs en éditant la lignes suivante du fichier "/etc/default/useradd" :

sed -i 's/^SHELL=\/bin\/sh/SHELL=\/bin\/bash/' /etc/default/useradd

• Gestion du Umask

sed -i 's/^UMASK\s\+022/UMASK    002/' /etc/login.defs
echo "session optional pam_umask.so" >> /etc/pam.d/common-session
echo "session optional pam_umask.so" >> /etc/pam.d/common-session-noninteractive

• Création des groupes par défaut

userdel -r user1 #user créé pendant l'installation
groupadd -g 1000 dev
groupadd -g 1001 grsec
groupadd -g 1002 fwadmin
groupadd -g 1003 adm-projects
groupadd -g 1004 wheel

• Ajouter les utilisateurs opérateurs

mkdir /root/.ssh
echo "ssh-dss AAAAB3NzaC1kc3MAAACBAM0TYqkYRN8FKBSRwAwgeUcoyjkW3Bw07QqGfJcNA90b6/id0riHYd6WJBCeQKsUqT+CxIPAhUA9dVqON9kfO8LtBPllMwqoTWtUth2tqRV35c8ANqv3x/RoPGZlOIiRplH6+uUuVElOBRIKmhzwBUVnVG5Ri6P06pjrc1D9emN5AAAAFQDiPCxtR+Pq1yDeg483IEdyWoepeQAAAIBE9RS1C/fR83HUzO3f1mmBgL8ipKx8+lFBcsEU9odOZuWsXkIdZAIjrgpzAzTEGD+4bWUiXhS0kwQqDp9bSBliw2atEXrTsgbHOV/gLFPAwoyv3IpSuFRMIwGYXQc6PJcZaAhtJ9FNEcCcvkuMC23eeO8XnV0Fl+3m25QIo9+SCgAAAIBB3EAkSlZqj5igXarzP5YaBDOwPSnasBHcxymtLuQwrjEqR/qa9qcGBSBOKMDfgB9IlLei9Ug668Q0WXEy8/ovV2P+tx6juETi0l2yt3Nm1S6IIYHbXR5BkMM4CAV6U2bR3yCg+sx4encqCJOAIf+xlZzzFJBMbgTQhpJXIfcwOw== admin@backup.hegyd.com
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue
ssh-dss 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 admin@SRV-ADMIN-HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD
ssh-rsa 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 enzo@dri" >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh
chmod 600 /root/.ssh/authorized_keys

useradd -m -u 1020 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash mike
mkdir /home/mike/.ssh
chmod 700 /home/mike/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrFOIGcDPe+LfoPc11vtv2EOVG63zBndLVnf48mC+krw2vXomDLXG+KnhIAx1yFhCh6B/8R9C3wMxwhghemE3succS+Q7Truu2pd7zDmDNn6cd8Iw02qe8dl3nZhVk5XtGMgeV3JRA7u8q32i4tadbONRICExjcm9pVL5wx5aLzNBtu1opyMdvHc0dBelghVa9kkg6bRri8AF38M16NTEqQNA7crwHHa9ZLBE+8xFWmkJdBJ7zRoR6XEwbOr020VEM+sKzCPl0sy606aW3bi59tYobqAGBjTglIOJWXKMxu1cPJnSCx6Xom9F6AeF1C4CghVrZpfu++XSmJQtXoId m.reault@hegyd.com" > /home/mike/.ssh/authorized_keys
chmod 600 /home/mike/.ssh/authorized_keys
chown -R mike:mike /home/mike/.ssh

useradd -m -u 1021 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p paCtx8rsjkGhQ admin
mkdir /home/admin/.ssh
chmod 700 /home/admin/.ssh
echo "ssh-dss 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 admin@backup.hegyd.com
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue
ssh-dss AAAAB3NzaC1kc3MAAACBAPoQ6wRywMMkQ0npdVnRdlIclapxF0n3kK7iljksiwfi5p8VzGgbF6KxYiroJaKu7Q3gf4EgPlTyWJ8TgCI/bji/bCTqdPfMjQpp621l6p244WSMQEWipExnCkI6oBTuEK1Hr/T435ygwscwl2vcGnXQcGA6K7p16LpsLHykKPKtAAAAFQC1B/WkyCWjVSubUZgMBNfCeE2DaQAAAIBLmHlw2IrhZEhuz1m3k1H+ssH1JiPTcN1I6Z+M/n3OTYrdMIBuPLEtr3P+SZrnmZVLlwIzWtlw2dtwv+5G0UpzgNKmUQf27o2sgrKnSap2FP3cqBbDuUrsaZLexVawCualQPxTcXqufanrwPPYht3rtM5J3VmkW/jqpATxXJnO5wAAAIB+u9M9bObM7YzB7CZ4jmr4wXAo2HocqvBygmSX4dj3qgsqJoJ7bOATCYVSps6kqVcvWvztZ58duC1gvomDB+56CAPkin3S52Wtq6J/Qz3q+SEJNqcZ5+qiGn9mORaTsEx+iaA4pNbRjuKMp7rmWJ1gQ4e/OxQwmJXpTARsZIkBOw== admin@SRV-ADMIN-HEGYD
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD
ssh-rsa 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 enzo@dri
" > /home/admin/.ssh/authorized_keys
chmod 600 /home/admin/.ssh/authorized_keys
chown -R admin:admin /home/admin/.ssh

useradd -m -u 1022 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p pa2TnhUhhBRfU support
mkdir /home/support/.ssh
chmod 700 /home/support/.ssh
touch /home/support/.ssh/authorized_keys
chmod 600 /home/support/.ssh/authorized_keys
chown -R support:support /home/support/.ssh

chmod 750 /home/*

• Configurer openssh-server

echo "alias root=\"ssh -AX root@localhost\"" >>/home/admin/.bashrc
sed -i 's/^PermitRootLogin yes/PermitRootLogin without-password/' /etc/ssh/sshd_config
cat >> /etc/ssh/sshd_config <<EOF

UseDns no
AllowUsers root mike admin support
EOF
service ssh reload

• Installer le serveur de mail local

debconf-set-selections <<EOF
postfix postfix/root_address    string
postfix postfix/rfc1035_violation       boolean false
postfix postfix/mydomain_warning        boolean
postfix postfix/mynetworks      string  127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
postfix postfix/mailname        string  $(hostname -f)
postfix postfix/tlsmgr_upgrade_warning  boolean
postfix postfix/recipient_delim string  +
postfix postfix/main_mailer_type        select  Internet Site
postfix postfix/destinations    string  $(hostname -f), localhost.$(hostname -f | sed -e 's/^[^.]\+\.\(.*\)$/\1/'), localhost
postfix postfix/retry_upgrade_warning   boolean
# Faut-il installer postfix malgré l'incompatibilité du noyau ?
postfix postfix/kernel_version_warning  boolean
postfix postfix/not_configured  error
postfix postfix/mailbox_limit   string  0
postfix postfix/relayhost       string
postfix postfix/procmail        boolean false
postfix postfix/bad_recipient_delimiter error
postfix postfix/protocols       select  ipv4
postfix postfix/chattr  boolean false
EOF

NB : les erreurs sur le ligne 13 et 17 sont normales.

heirloom-mailx est déprécié mais présent dans le paquet s-nail

apt-get -y install postfix s-nail

sed -i -e '/^\/var\/log\/mail.log$/d' -e '/\/var\/log\/mail.info/i \
/var/log/mail.log\
{\
    rotate 4\
    weekly\
    missingok\
    notifempty\
    compress\
    delaycompress\
    create 640 root dev\
    sharedscripts\
    postrotate\
        invoke-rc.d rsyslog rotate > /dev/null\
    endscript\
}' /etc/logrotate.d/rsyslog

chgrp dev /var/log/mail.log

cat >> /etc/aliases <<EOF
root: tech@hegyd.com
mike: m.reault@netprestation.com
EOF
newaliases
service postfix reload

• Cloner le depot sys-common

Au préalable, pour autoriser le git, se connecter sur srv-admin ( bastion ) et faire :

eval $(ssh-agent)
ssh-add
ssh root@nouvelle_vm 
ou ssh nouvelle_vm puis su - root

mkdir /usr/local/share/hegyd
echo -e "Host git.hegyd.net\n\tStrictHostKeyChecking no\n" >> ~/.ssh/config
git clone -q git@git.hegyd.net:sys-common /usr/local/share/hegyd/sys-common
chmod -R g+rw /usr/local/share/hegyd

• Ajouter une version prédéfinie de VimRC

ln -s /usr/local/share/hegyd/sys-common/vim/vimrc_hegyd /etc/vim/vimrc.local
sed -i '78,80s/^/"/' /usr/share/vim/vim81/defaults.vim

• Ajouter le script d'alerte des reboot

cat <<EOF >/etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

exit 0
EOF
chmod +x /etc/rc.local
systemctl start rc-local
systemctl status rc-local
sed -i '/^exit 0/i\/usr\/local\/share\/hegyd\/sys-common\/bin\/alert-reboot' /etc/rc.local

Pare feu

apt install iptables
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

• Configurer le système

mkdir /etc/firewall
chgrp fwadmin /etc/firewall
chmod 2770 /etc/firewall
sed  -i -e '/^Defaults\s\+env_reset\s*$/aDefaults:%fwadmin   !lecture , passwd_timeout=1 , timestamp_timeout=1' -e "/^root\s\+ALL=(ALL:ALL)\s\+ALL\s*$/a%fwadmin  ALL = NOPASSWD: /etc/firewall/$(hostname -f).fw , /usr/bin/pkill" /etc/sudoers
sed -i "/^exit 0/i\/etc\/firewall\/$(hostname -f).fw" /etc/rc.local

• Créer et déployer le par feu

Créer le firewall sur firewall-builder puis le déployer

• Ajouter les vm dans le groupe "Virtual Machine" de firewall builder
• Ajouter les serveurs dans le groupe "Servers Applicatifs" de firewall builder

Serveur de cache DNS local

• Suivre la procédure Bind

Monitoring / Supervision

• Installer et configurer Snmp
• Installer et configurer le client NRPE pour Debian

Sauvegarde

• à déterminer pour les serveur Proxmox : rsnapshot ou sauvegarde sur les vm ? proxmox intègre ses propres sauvegardes.

Comptes utilisateurs

• Créer les comptes utilisateurs pour les accès du client (voir clés SSH publiques sur serveur Penta)

ATTENTION Specificité network pour les Proxmox sur SCALE ( OVH )

Pour info, problème rencontré avec les interfaces réseau du serveur de type SCALE chez OVH ( 2 carte rzo publiques et 2 cartes rzo privées ). Obligé de faire 2 "bonds" et "un bridge" sur le bond de l'IP vrack. ci-dessous configuration réseau fonctionnelle : root@vapps11:~# cat /etc/network/interfaces

1. network interface settings; autogenerated
2. Please do NOT modify this file directly, unless you know what
3. you're doing.
5. If you want to manage parts of the network configuration manually,
6. please utilize the 'source' or 'source-directory' directives to do
7. so.
8. PVE will preserve these directives, but will NOT read its network
9. configuration from sourced files, so do not attempt to move any of
10. the PVE managed interfaces into external files!

auto lo iface lo inet loopback

1. interface publique 1

auto ens3f0 iface ens3f0 inet manual

1. interface publique 2

auto ens3f1 iface ens3f1 inet manual

1. interface privée 1

auto ens13f0 iface ens13f0 inet manual

1. interface privée 2

auto ens13f1 iface ens13f1 inet manual

auto bond0 iface bond0 inet static address 141.94.202.138/24 gateway 141.94.202.254 bond-slaves ens3f0 ens3f1 bond-miimon 100 bond-mode 802.3ad post-up echo 1 > /proc/sys/net/ipv4/conf/bond0/proxy_arp post-up echo 1 > /proc/sys/net/ipv4/ip_forward

1. Agrégat LACP sur les interfaces privées

auto bond1 iface bond1 inet dhcp bond-slaves ens13f0 ens13f1 bond-miimon 100 bond-mode 802.3ad

1. Private

auto vmbr1

1. 1. Bridge raccordé sur l'agrégat bond1

iface vmbr1 inet static address 172.16.0.167/12 netmask 255.240.0.0 bridge-ports bond1 bridge-stp off bridge-fd 0

1. 1. voir doc https://docs.ovh.com/fr/dedicated/proxmox-network-hg-scale/

==