Que pensez vous de ce how-to ?

Voilà il y a quelques temps un membres à poster ( ça fait déjà quelques temps, désolé je retrouve pas le fil ) un lien personnel vers un article traitant de l’utilisation de xen pour un réseau domestique dont j’aimerai reprendre les grands thèmes.

Voici le lien vers cet article : http://linbox.free.fr/passerelle_secure/index.php

Il à repris ce tutoriel il y a pas longtemps et quelques zones d’ombres me turlupine.

Il décrit fort bien l’utilisation que je faisais des dom U chez moi mais je ne les avais pas réuni comme il le fait ( plusieurs machines virtuelles servaient à gérer mes services de façon autonome, d’où une multiplication de services qui n’était pas des plus simple à maintenir), maintenant j’entrevoie des choses à exploiter ( je l’en remercie d’ailleurs ).

D’après vous où pourrais bien se placer un serveur OpenLDAP permettant de gérer l’authentification des mes différents domaines web ( publique, privé, et la gestion de mes clés ).
Pour explication j’ai deux machines distinctes pour l’instant, l’une me sert de serveur mail + dépôts mercurial + serveur de back-up, l’autre me sert à héberger mes services web + un espace de stockage personnel.

Sachant qu’a terme je pense migrer la partie firewall sur une machines dédié en tête de réseau et que je compte sécurisé mon internet à la maison ( préventivement ) pour ma tête blonde qui pousse à la vitesse du son

Au vue de son explication j’aurai penser que mon annuaire LDAP serait à l’abri dans la zone privé mais je doit avouer ne pas réussir à imaginer son interconnexion avec mes différentes machines virtuelles et mon deuxième serveur ( dans le cas d’un unique annuaire pour gérer l’authentification de l’ensemble de mes services sur mon réseau domestique ).

Salut,
C’est de Raum: installation-passerelle-linux-avec-virtualisation-xen-t19412.html

J’ai essayé de suivre son tuto je n’y suis pas parvenu. C’est incomplet, et je n’ai pas les compétences pour finaliser.
J’ai finalement fait la même chose avec VirutalBox, c’est plus lourd, mais je suis parvenu à mon objectif.

Les données “sensibles” sont dans la machine “privée”, donc le ldap y a sa place.

En tout cas le sujet m’intéresse (et beaucoup d’autres j’en suis certain), si tu vas au bout, prends des notes et refais nous un Tuto qui aura sa place d’honneur sur le Wiki. Je suis prêt à être testeur!

[quote=“lol”]Salut,
C’est de Raum: installation-passerelle-linux-avec-virtualisation-xen-t19412.html

J’ai essayé de suivre son tuto je n’y suis pas parvenu. C’est incomplet, et je n’ai pas les compétences pour finaliser.
J’ai finalement fait la même chose avec VirutalBox, c’est plus lourd, mais je suis parvenu à mon objectif.

Les données “sensibles” sont dans la machine “privée”, donc le ldap y a sa place.

En tout cas le sujet m’intéresse (et beaucoup d’autres j’en suis certain), si tu vas au bout, prends des notes et refais nous un Tuto qui aura sa place d’honneur sur le Wiki. Je suis prêt à être testeur! [/quote]

J’y compte bien, j’attaquerai ce week-end le plan générale des travaux à la maison ( j’ai enfin réussi à gérer mon souci de montage de clé USB sur mon laptop, du coup il à toute mon attention pour l’instant ).

Par contre le firewall ne sera pas sous Debian sur mon projet de réseau mais sous OpenBSD ( j’ai même eu l’idée de gérer l’ensemble de la machine sous OpenBSD mais il me manque encore un peu d’assurance pour me risquer à tout faire dessus ).

Salut,

Clochette ,tu assure grave ,entre ton sujet sur les minis serveurs ,et celui là ;c’est du pain béni pour moi ,

Le miens dans la VM est une pfSense…

J’aimerais bien avoir une Xen plutôt que Squeeze + Vbox, je vais suivre ton travail avec intérêt. Note tout!

Le miens dans la VM est une pfSense…

J’aimerais bien avoir une Xen plutôt que Squeeze + Vbox, je vais suivre ton travail avec intérêt. Note tout! [/quote]

Je me suis déjà heurté à son tutoriel qui m’avait un poil décourager et du coup je passé par debootstrap pour installé les VM, là maintenant dès que je fignole mon portable j’attaquerai la réfection du serveur et prenant des notes et des captures dès que je pourrai ( scrott powaaaa ) mais je redoute mon choix ambitieux de openbsd et packetfilter pour gérer le firewall ( aucun recul sur comment l’installer dans un dom U ), et si jamais j’arrive à monter le serveur LDAP du premier coup je serai le roi du monde .

Rhââ, le bougre! Il a mis à jour depuis mon dernier essai…
Je suis en train de reprendre, et pour l’instant c’est du beurre!
J’en suis à la création de l’iso pour la réplication (c’est un peu long j’ai oublié de le faire passer par mon cache apt…).

Rhââ, le bougre! Il a mis à jour depuis mon dernier essai…
Je suis en train de reprendre, et pour l’instant c’est du beurre!
J’en suis à la création de l’iso pour la réplication (c’est un peu long j’ai oublié de le faire passer par mon cache apt…).[/quote]

C’est bien ce que je disais avant c’était galère pour installé ces foutu VM

Re,

L’installation du système du réseau et de la première VM ne pose pas de soucis.
C’est à la seconde que ça bloque…

# cat /etc/xen/dom_priv name = "dom_priv" kernel = "/boot/vmlinuz-2.6.32-5-xen-amd64" ramdisk = "/boot/initrd.img-2.6.32-5-xen-amd64" root = "/dev/hda1 ro" cdrom='/dev/cdrom' disk = ['phy:/dev/vg/vmdiskpriv,hda1,w'] memory = 128 extra = 'xencons=tty' vif=[ 'mac=00:16:3e:70:01:07, bridge=br_priv' ]

Déjà il faut changer le vmlinuz et le initrd qui correspondent à Lenny dans le tuto,
ensuite…

[code]ALERT! /dev/hda1 does not exist. Dropping to a shell!

BusyBox v1.17.1 (Debian 1:1.17.1-8) built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

/bin/sh: can’t access tty; job control turned off
(initramfs)[/code]

J’ai bien essayé avec sda, xvda pas mieux…
J’ai comme l’impression qu’il n’a pas mis à jour cette partie.

[quote=“lol”]Re,

L’installation du système du réseau et de la première VM ne pose pas de soucis.
C’est à la seconde que ça bloque…

# cat /etc/xen/dom_priv name = "dom_priv" kernel = "/boot/vmlinuz-2.6.32-5-xen-amd64" ramdisk = "/boot/initrd.img-2.6.32-5-xen-amd64" root = "/dev/hda1 ro" cdrom='/dev/cdrom' disk = ['phy:/dev/vg/vmdiskpriv,hda1,w'] memory = 128 extra = 'xencons=tty' vif=[ 'mac=00:16:3e:70:01:07, bridge=br_priv' ]

Déjà il faut changer le vmlinuz et le initrd qui correspondent à Lenny dans le tuto,
ensuite…

[code]ALERT! /dev/hda1 does not exist. Dropping to a shell!

BusyBox v1.17.1 (Debian 1:1.17.1-8) built-in shell (ash)
Enter ‘help’ for a list of built-in commands.

/bin/sh: can’t access tty; job control turned off
(initramfs)[/code]

J’ai bien essayé avec sda, xvda pas mieux…
J’ai comme l’impression qu’il n’a pas mis à jour cette partie.[/quote]

Question conne, le vg et le lv existent, la partition c’est correctement créer avec mkfs ?( je vais regarder ça de plus près ce week-end, mais la dernière fois je m’était pas ennuyer comme ça j’avais créer à l’avance mes vg et avait dupliquer les fichiers depuis le dom 0 sur mes lv correctement préparer ).

pour le disque tu passe direct en xvda2 etc …

[quote=“Clochette”]Question conne, le vg et le lv existent, la partition c’est correctement créer avec mkfs ?( je vais regarder ça de plus près ce week-end, mais la dernière fois je m’était pas ennuyer comme ça j’avais créer à l’avance mes vg et avait dupliquer les fichiers depuis le dom 0 sur mes lv correctement préparer ).

pour le disque tu passe direct en xvda2 etc … [/quote]

Oui tout s’est bien passé. J’ai essayé avec sd… hd… xvd…
Un ls dans la console initramfs me montre bien xvda1 pourtant. Bizarre.

Je vais faire comme, toi, le tuto de Raum est bien pour comprendre l’architecture, mais la mise en application est… un peu… comment dire…

Re,
Je me pose quand même des question (avant de se lancer dans les installation, c’est mieux)…

xen_principe_archi.png498×612

Quels services et dans quelle machine ?

La passerelle:

• iptables évidemment
• fail2ban
• snort
• rootkithunter

Quid des autres services ?

• dhcp
• dns
• squid + squidguard
• http
• mysql
• postfix
• freeradius
• ejabberd
  …

Je pensais mettre squid dans la machine firewall pour éviter un aller/retour et ne pas ralentir les connexions. Tu en penses quoi ?
Les autres services dans la machine “publique”… Le serveur de mail dans la zone privé c’est mieux peut-être ?

Ton avis ? Et celui des autres aussi…

Alors pour ma part c’est un peut différent car j’aurai une installation un poil différente :

Premier serveur :

• Dom0 accessible uniquement en local ( bon okay il y aura un vpn bien planqué mais ).

• DomU1 ( firewall ) une OpenBSD
  [ul]juste packet filter ( j’ai rien d’autre à lui demander en fait ^^ )[/ul]

• DomU2 ( publique ) une Debian
  [ul]serveur web complet ( apache2 + php + postgresql + phppgadmin )
  serveur ftp ( proftpd ou pureftpd )
  serveur ejjaberd
  serveur mumble
  proxy ( le couple squid + squidguard à mon avis )
  serveur de nom ( bind9 )[/ul]

• DomU3 ( privé ) une Debian
  [ul]serveur de nom ( bind9 )
  un annuaire d’authentification
  quelques outils de stats et de sécurité ( awstats, rkhunter, etc … )
  serveur web très léger ( lighthttpd ou tornado + php )
  un pont vers le serveur 2 à prévoir[/ul]

• DomU4 ( LAN ) une Debian
  [ul]un serveur nfs[/ul]

Deuxième serveur :

[ul]un serveur mail ( sans doute exim4 vu qu’il y est d’origine )
un dépôts mercurial personnel ( et sans doute pas accessible de puis l’extérieur )
un espace de stockage relié à des scripts pour automatisé les sauvegardes de toutes les machines[/ul]

Voilà un premier jet, pour se qui est du restant sur chaque machine il faut Openssl, OpenSSH, fail to ban.
Par contre comme tu peut le voir je vais en baver sérieusement pour mettre en place le firewall vus toutes les règles.

J’avais bien regardé du côté de nginx mais bon il me manque cruellement de la documentation pour le mettre en place de manière fonctionnel et de recul ( par contre j’ai eu vent que c’était franchement la merdouille à mettre en place sur de gros domaine ) du coup je reste fidèle à apache

Un WE chargé…

Mouais… J’ai pas encore décidé dans quelles VM mettre les services…
Je vais commencer par le pare-feu, c’est le plus “évident”, et ça me laissera la temps de réfléchir…

[quote=“lol”]Un WE chargé…

Mouais… J’ai pas encore décidé dans quelles VM mettre les services…
Je vais commencer par le pare-feu, c’est le plus “évident”, et ça me laissera la temps de réfléchir…[/quote]

Bah je doit avouer oui très charger, jusqu’à hier 22H ou j’ai appris qu’un ami passera pour ces trente ans à la maison, du coup c’est quasiment foutu pour faire tous ça ce week-end

Mais j’ai commencé tous de même à bosser dessus au moins le temps des siestes du petit monsieur ( c’est à dire pas très longtemps malheureusement ).

Qui à dit qu’un enfant ça ne changé rien

Re,
J’ai pas fait ma feignasse…

# xm list Name ID Mem VCPUs State Time(s) Domain-0 0 1732 2 r----- 20.5 dom_pf 1 96 1 -b---- 0.2 dom_pr 2 96 1 -b---- 0.1 dom_pu 3 96 1 -b---- 0.1

Le tuto est un peu décousu, certains truc sont à jour, d’autres pas…
J’ai pris des notes, mais c’est le foutoir car j’ai du recommencer, essayer, modifier, bidouiller un peu…

Je me suis emmêlé les pédales dans les bridges les Ip et les “dom”, mais c’est normal, j’ai pas fait de schéma avant (bien fait pour moi…).
Dans l’ensemble c’est presque fonctionnel. Cool!

[quote=“lol”]Re,
J’ai pas fait ma feignasse… [/quote]

Voyou la vodka coule pour l’instant

[quote=“lol”]
Le tuto est un peu décousu, certains truc sont à jour, d’autres pas…
J’ai pris des notes, mais c’est le foutoir car j’ai du recommencer, essayer, modifier, bidouiller un peu…

Je me suis emmêlé les pédales dans les bridges les Ip et les “dom”, mais c’est normal, j’ai pas fait de schéma avant (bien fait pour moi…).
Dans l’ensemble c’est presque fonctionnel. Cool![/quote]

C’est pour ça que pour l’instant j’ai seulement préparé la base, les bridge et le firewall je ferai ça dans un état sain en m’appuyant de mes petits croquis

@ lol : J’ai pas bien compris pourquoi tu veut absolument avoir iptable sur ton noyau XEN, c’est ta “VM” qui le gère et non ton dom0 qui lui ne doit surtout pas être accessible depuis l’extérieur ( hormis une petite porte discrète avec un VPN si tu le désire ).

A moins que je n’ai pas tous compris et que tu parle des noyau aménagé dans les “VM” .

[quote=“Clochette”]@ lol : J’ai pas bien compris pourquoi tu veut absolument avoir iptable sur ton noyau XEN, c’est ta “VM” qui le gère et non ton dom0 qui lui ne doit surtout pas être accessible depuis l’extérieur ( hormis une petite porte discrète avec un VPN si tu le désire ).

A moins que je n’ai pas tous compris et que tu parle des noyau aménagé dans les “VM” .[/quote]

Salut,
Oui et je dois me planter au moins sur ce point: inutile de charger un noyau Xen dans les VM, le noyau “classique” suffit…
Mon erreur est là…
Ceci dit, sur le (la ?) dom0, iptables ne fait pas de mal, chez moi le lan est ouvert à des “passants”, il faut que je me méfie aussi de ce côté…

devant et derrière!

Alors… je suis un peu paumé…

J’ai choisi le noyau classique pour une domX (2.6.32-5-amd64)

FATAL: Could not load /lib/modules/2.6.32-5-amd64/modules.dep: No such file or directory iptables v1.4.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.

Il manque encore les modules… Et pourtant, évidemment, ils sont sur la dom0.