Tuto qui sert surtout de pense bête pour la mise en place d’un système de stockage redondant ( Cloud ) en utilisant un ensemble de logiciels Open Source afin d’avoir un meilleur contrôle des coûts… et en même temps si ça peut servir à quelqu’un d’autre pour faire joujou tant mieux ^^
Prérequis:
Pourquoi Hetzner ?
Après avoir fait un certain temps sur des serveurs Kimsufi puis avec Oneprovider, il est temps de passer chez Hetzner. La principale fonctionnalité recherchée est la possibilité de trafic interne entre serveur. Les prix eux restent dans le même d’idée que les 2 autres. Bien qu’ici les serveurs se situeront en Allemagne au lieu de la France ( pour ceux qui souhaitent y installer des sites, niveau référencement ce ne sera pas forcèment la meilleure solution ).
Installation de Proxmox VE
Hetzner ne propose pas d’image d’installation Pré configuré pour Proxmox, on va donc le faire avec nos petites mains, en démarrant à partir de l’interface Robot d’Hetzner et choisir le mode Rescue.
Connexion en ssh
Vérifier que votre nom d’hôte est résolvable, hostname –ip-address, si ce n’est pas le cas faire la modif dans /etc/hosts
On tape installimage
Choisir Debian 10 ( Buster ).
On monte les 2 disques durs /dev/sda, dev/sdb
on mets le RAID à 0 ( SWRAID 0 ), on ne veut pas de RAID car un disque sera utilisé pour le Système, VM, ISO et l’autre pour Ceph
Hostname ( votreserveur.votredomaine.com )
Création de partition
On sauvegarde la configuration et après que l’installation soit complète, on redémarre, reboot
La prochaine étape sera d’adapter les souces APT:
echo « deb http://download.proxmox.com/debian/pve buster pve-no-subscription » > /etc/apt/sources.list.d/pve-install-repo.list
Ajouter la clé:
wget http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-6.x.gpg
On va mettre à jour les listes de Paquet, garder les dernières versions de tout les paquets et le noyau Debian.
apt-get update
apt-get upgrade
apt-get dist-upgrade
Puisque Proxmox apporte ses propres firmware, ceux existant doivent être supprimé en premier.
aptitude -q -y purge firmware-bnx2x firmware-realtek firmware-linux firmware-linux-free firmware-linux-nonfree
Après ça, on peut commencer à installer Proxmox.
apt-get install proxmox-ve postfix open-iscsi
Lors de la config Postfix
choisir Internet
system mail name = proxmox.votredomaine.com
postmaster mail recipient = votrenom
le reste par défaut
Mailbox size limit = 0
Internet Protocols = all
La paquet os-prober scans toutes les partitions de votre hôte incluant celle de vos VMs pour créer des entrées dual-boot GRUB. Si vous n’avez pas installé Proxmox VE en dual boot dernière un autre OS vous pouvez supprimer en toute sécurité os-prober, ce qui est notre cas.
apt remove os-prober
Maintenant que l’installation est finis, vous pouvez maintenant vous connecter à l’interface Web Admin ( https://votreadresseip:8006 ), en utilisant le compte root et le mot de passe Linux root en sélectionnant » PAM Authentication ) lors de la connexion.
Nous allons sécurisé un peu notre serveur.
Sécurisé SSH
[DEFAULT]
bantime = 84600
findtime = 600
maxretry = 3
destemail = tomtom@example.com
sendername = Fail2ban
action = %(action_mwl)s
[sshd]
enabled = true
port = 21153
puis systemctl restart fail2ban
Désactivation de Rpcbind
Les services ouverts Portmapper peuvent être abusé pour des attaques de type DDoS contre des systèmes tierces et donc pour des raisons de sécurité / abus, nous allons désactiver Rpcbind, nullement nécessaire dans notre cas. Attention tout de même si vous souhaitez monter une partition réseau NFS, vous en aurez besoin. Chez Hetzner vous serez automatiquement contacté dans les 24 heures par le Bureau Fédéral Allemand pour la Sécurité de l’Information ( BSI ) si Portmapper reste accessible à tous. Donc on le désinstalle.
systemctl disable rpcbind.target
systemctl disable rpcbind.socket
systemctl disable rpcbind.service
systemctl stop rpcbind.target
systemctl stop rpcbind.socket
systemctl stop rpcbind.service
puis reboot. Vérifier que le service à bien était désactivé en vous connectant en SSH à partir d’une autre machine, puis effectué la commande suivante:
rpcinfo -T udp -p 1.1.1.1 ( l’adresse ip du serveur dont vous souhaitez effectuer les tests de port )
Configuration Réseau
Configurer PfSense
Tuto largement inspiré des liens suivants, que je ne peux que vous conseillez… Tuto toujours en cours.