Table des matières
Ceci est une ancienne révision du document !
Procédure de création de VM
Procédure pour l'utilisateur
Les étapes qui suivent sont à réaliser sur par l'utilisateur qui fait la demande de création d'une machine virtuelle (VM).
Demander la création de sa VM
Vous commencez par envoyer une demande de création de VM sur bureau@ en joignant une clé SSH publique.
Si vous êtes bien adhérent le bureau@ transmettra votre demande aux administrateurs de FAImaison. Un administrateur vous communiquera les informations suivantes :
$REF_ABO
la référence de votre abonnement (p. exREF-HOST-VM-42
)$IP_VM
: l'adresse IP de votre VM (p. ex89.234.176.130
)$NOM_VM
: le nom de votre VM (p. ex.REF-HOST-VM-42.faimaison.net
)$HYP
: le nom ou l'adresse IP de l'hyperviseur de votre VM (p. ex89.234.176.131
oumutine.faimaison.net
)$VNC_PORT
:: le port VNC de votre VM (p. ex11666
)
Une fois ces informations reçues, vous êtes prêt à installer votre VM.
Installer et configurer sa VM
Pour accéder à votre VM, vous devez établir un pont SSH entre votre ordinateur et votre VM puis utiliser le protocole VNC.
- Ouvrer un terminal
- Lancer la commande suivante, en remplacant les variables
$HYP
et$VNC_PORT
par les valeurs transmises par l'adminsysssh -N -L $HYP $VNC_PORT:localhost:$VNC_PORT
- Lancer le client VNC de votre choix avec en serveur
localhost
et en port$VNC_PORT
.
Si tout se passe bien, vous devriez maintenant vois l'écran d'installation de votre VM (une debian).
Vous pouvez maintenant procéder à l'installation de votre VM.
Redémarrage de votre VM
Maintenant que votre VM est correctement installée, vous devez envoyer un mail à adminsys@
en précisant votre $REF_ABO
pour demander à ce que l'on configure votre VM pour qu'elle démarre sur votre disque au lieu de l'ISO d'installation.
Finalisation et accès SSH à votre VM
Une fois que l'adminsys a configuré votre VM pour qu'elle boot sur votre disque et l'a redémarré, vous pouvez vous y connecter de la même façon que pour l'installation (via ssh+VNC).
Comme ce n'est pas très pratique de se connecter par VNC en permanence, nous allons maintenant configuré votre VM pour que vous puissiez y accéder par SSH uniquement.
- Installer le paquet
openssh-server
sur votre VM. - Si besoin, générer une clé SSH avec la commande suivante :
ssh-keygen -f ~/.ssh/$REF_ABO
- Copier votre clé SSH sur votre serveur à l'aide de la commande suivante :
ssh-copy-id -i ~/.ssh/$REF_ABO $REF_ABO@$IP_VM
- Vous pouvez maintenant vous connecter à votre VM avec la commande :
ssh -i ~/.ssh/votre_cle_ssh $REF_ABO@$IP_VM
Si la connexion fonctionne correctement vous pouvez rajouter la configuration suivante au fichier ~/.ssh/config
(s'il n'existe pas, crée le).
Host ma-vm Hostname $IP_VM Username $REF_ABO Port 22 IdentifyFile ~/.ssh/$REF_ABO
Les étapes suivantes sont optionnelles mais sont des mesures de sécurité recommandées :
Désactiver l'authentification par phrase de passe
Sur votre VM, éditez le fichier /etc/ssh/sshd_config
(vous devez être root
), chercher les options PasswordAuthentication
et PermitEmptyPasswords
et les désactiver.
Le fichier doit maintenant contenir les lignes suivantes :
PasswordAuthentication no PermitEmptyPasswords no
Protection contre les attaques de type bruteforce
Installer fail2ban
pour bloquer des attaques de type bruteforce.
apt install fail2ban
Conclusion
Et voilà, vous pouvez maintenant accéder à votre VM en SSH et n'avez plus besoin de l'accès par VNC. Cet accès reste présent et vous pourrez l'utiliser pour débugger votre machine si vous cassez quelque chose :)
Procédure pour le bureau
Lorsqu'une demande de VM arrive sur la liste bureau@ il faut :
- vérifier que la personne est adhérente, sinon, lui proposer d'adhérer à l'association avant de procéder à la suite
- vérifier que l'adhérent à joint une clé SSH publique, sinon lui demander de le faire
- créer un abonnement de type VM dans COIN lié au compte de l'adhérent
- demander la création d'une VM aux adminsys en leurs transmettant :
- la référence COIN de l'abonnement
- la clé SSH de l'adhérent
- l'email de l'adhérent
- Une fois qu'un adminsys à confirmé la création de la VM, il faut transmettre à l'adhérent :
- le RIB de FAImaison
- l'url + identifiants sur https://transparence.faimaison.net
- la référence de son abonnement