FranceMicro
Actus et Aide Informatique

pfsense

Hetzner, Proxmox HA / Ceph + PfSense

Publié le 23 novembre 2020 | Par sinox

Tuto qui sert surtout de pense bête pour la mise en place d’un système de stockage redondant ( Cloud ) en utilisant un ensemble de logiciels Open Source afin d’avoir un meilleur contrôle des coûts… et en même temps si ça peut servir à quelqu’un d’autre pour faire joujou tant mieux ^^

Prérequis:

  • 3 serveurs
  • 2 disques par serveur
  • 1 carte réseau physique / serveur
  • 1 adresse IP fixe / serveur

Pourquoi Hetzner ?

Après avoir fait un certain temps sur des serveurs Kimsufi puis avec Oneprovider, il est temps de passer chez Hetzner. La principale fonctionnalité recherchée est la possibilité de trafic interne entre serveur. Les prix eux restent dans le même d’idée que les 2 autres. Bien qu’ici les serveurs se situeront en Allemagne au lieu de la France ( pour ceux qui souhaitent y installer des sites, niveau référencement ce ne sera pas forcèment la meilleure solution ).

Installation de Proxmox VE

Hetzner ne propose pas d’image d’installation Pré configuré pour Proxmox, on va donc le faire avec nos petites mains, en démarrant à partir de l’interface Robot d’Hetzner et choisir le mode Rescue.

Connexion en ssh

Vérifier que votre nom d’hôte est résolvable, hostname –ip-address, si ce n’est pas le cas faire la modif dans /etc/hosts

On tape installimage

Choisir Debian 10 ( Buster ).

On monte les 2 disques durs /dev/sda, dev/sdb

on mets le RAID à 0 ( SWRAID 0 ), on ne veut pas de RAID car un disque sera utilisé pour le Système, VM, ISO et l’autre pour Ceph

Hostname ( votreserveur.votredomaine.com )

Création de partition

  • swap swap 16G ( il est recommandé d’avoir un swap d’une taille égale à votre mémoire vive )
  • /boot ext3 512M
  • /home ext3 all

On sauvegarde la configuration et après que l’installation soit complète, on redémarre, reboot

La prochaine étape sera d’adapter les souces APT:

echo « deb http://download.proxmox.com/debian/pve buster pve-no-subscription » > /etc/apt/sources.list.d/pve-install-repo.list

Ajouter la clé:

wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-6.x.gpg

On va mettre à jour les listes de Paquet, garder les dernières versions de tout les paquets et le noyau Debian.

apt-get update

apt-get upgrade

apt-get dist-upgrade

Puisque Proxmox apporte ses propres firmware, ceux existant doivent être supprimé en premier.

aptitude -q -y purge firmware-bnx2x firmware-realtek firmware-linux firmware-linux-free firmware-linux-nonfree

Après ça, on peut commencer à installer Proxmox.

apt-get install proxmox-ve postfix open-iscsi

Lors de la config Postfix

choisir Internet

system mail name = proxmox.votredomaine.com

postmaster mail recipient = votrenom

le reste par défaut

Mailbox size limit = 0

Internet Protocols = all

La paquet os-prober scans toutes les partitions de votre hôte incluant celle de vos VMs pour créer des entrées dual-boot GRUB. Si vous n’avez pas installé Proxmox VE en dual boot dernière un autre OS vous pouvez supprimer en toute sécurité os-prober, ce qui est notre cas.

apt remove os-prober

Maintenant que l’installation est finis, vous pouvez maintenant vous connecter à l’interface Web Admin ( https://votreadresseip:8006 ), en utilisant le compte root et le mot de passe Linux root en sélectionnant  » PAM Authentication ) lors de la connexion.

Nous allons sécurisé un peu notre serveur.

Sécurisé SSH

  • adduser tonnom
  • usermod -aG sudo tonnom
  • nano /etc/ssh/sshd_config
  • Port 11234 ( on change le port SSH )
  • PermitRootLogin no
  • /etc/init.d/ssh restart
  • install fail2ban
  • nano /etc/fail2ban/jail.local

[DEFAULT]

bantime = 84600

findtime = 600

maxretry = 3

destemail = tomtom@example.com

sendername = Fail2ban

action = %(action_mwl)s

[sshd]

enabled = true

port = 21153

puis systemctl restart fail2ban

Désactivation de Rpcbind

Les services ouverts Portmapper peuvent être abusé pour des attaques de type DDoS contre des systèmes tierces et donc pour des raisons de sécurité / abus, nous allons désactiver Rpcbind, nullement nécessaire dans notre cas. Attention tout de même si vous souhaitez monter une partition réseau NFS, vous en aurez besoin. Chez Hetzner vous serez automatiquement contacté dans les 24 heures par le Bureau Fédéral Allemand pour la Sécurité de l’Information ( BSI ) si Portmapper reste accessible à tous. Donc on le désinstalle.

systemctl disable rpcbind.target

systemctl disable rpcbind.socket

systemctl disable rpcbind.service

systemctl stop rpcbind.target

systemctl stop rpcbind.socket

systemctl stop rpcbind.service

puis reboot. Vérifier que le service à bien était désactivé en vous connectant en SSH à partir d’une autre machine, puis effectué la commande suivante:

rpcinfo -T udp -p 1.1.1.1 ( l’adresse ip du serveur dont vous souhaitez effectuer les tests de port )

Configuration Réseau

Configurer PfSense

Tuto largement inspiré des liens suivants, que je ne peux que vous conseillez… Tuto toujours en cours.

Publié dans Serveur | Marqué avec , , ,
Catégories
Articles récents