4 242
modifications
« Proxmox3 » : différence entre les versions
Aller à la navigation
Aller à la recherche
→Désactiver le login root sur l'interface proxmox
| (22 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 25 : | Ligne 25 : | ||
Voici le partitionnement que je vais utiliser : | Voici le partitionnement que je vais utiliser : | ||
* /dev/sd*1 15 Go (/) (type de partition : | * /dev/sd*1 15 Go (/) (type de partition : FD00) | ||
* /dev/sd*2 4096 Go (swap) (type de partition : | * /dev/sd*2 4096 Go (swap) (type de partition : 8200) | ||
* /dev/sd*3 reste de l'espace disque (lvm) (type de partition : | * /dev/sd*3 reste de l'espace disque (lvm) (type de partition : FD00) | ||
Nous allons créer le RAID software (raid 1) suivant : | Nous allons créer le RAID software (raid 1) suivant : | ||
| Ligne 53 : | Ligne 53 : | ||
</pre> | </pre> | ||
Nous ne créerons pas de volume logique dans le LVM maintenant. Nous laisserons en effet proxmox et KVM se charger de créer des volumes logiques pour chaque VM. | Nous ne créerons pas de volume logique dans le LVM maintenant. Nous laisserons en effet proxmox et KVM se charger de créer des volumes logiques pour chaque VM. | ||
=Installation de proxmox= | =Installation de proxmox= | ||
| Ligne 187 : | Ligne 187 : | ||
<pre> | <pre> | ||
aptitude install pve-firmware | aptitude install pve-firmware | ||
aptitude install pve-kernel-2.6.32- | aptitude install pve-kernel-2.6.32-26-pve | ||
</pre> | </pre> | ||
Lorsqu'on vous demandera où installer grub, choisissez sda et sdb. | '''Lorsqu'on vous demandera où installer grub, choisissez sda et sdb.''' | ||
Et les headers si vous en avez besoin : | Et les headers si vous en avez besoin : | ||
<pre> | <pre> | ||
aptitude install pve-headers-2.6.32- | aptitude install pve-headers-2.6.32-26-pve | ||
</pre> | </pre> | ||
| Ligne 260 : | Ligne 260 : | ||
Il est aussi capital d'adapter votre fichier /etc/hosts en fonction de toutes les IPs (qu'elles soient ipv4 ou ipv6 que vous configurez sur votre hôte). En effet, proxmox se sert du fichier /etc/hosts pour déterminer des éléments de configuration locale. | Il est aussi capital d'adapter votre fichier /etc/hosts en fonction de toutes les IPs (qu'elles soient ipv4 ou ipv6 que vous configurez sur votre hôte). En effet, proxmox se sert du fichier /etc/hosts pour déterminer des éléments de configuration locale. | ||
A noter que les dernières versions de proxmox désactives ipv6 au niveau kernel. Pensez alors a éditer <code>/etc/modprobe.d/local.conf</code> et remplacez <code>options ipv6 disable=1</code> par <code>options ipv6 disable=0</code> | |||
===Ajout d'un réseau interne vmbr1=== | ===Ajout d'un réseau interne vmbr1=== | ||
| Ligne 276 : | Ligne 278 : | ||
bridge_stp off | bridge_stp off | ||
bridge_fd 0 | bridge_fd 0 | ||
</pre> | </pre> | ||
| Ligne 315 : | Ligne 316 : | ||
enabled = false | enabled = false | ||
[ | [proxmox3] | ||
enabled = true | enabled = true | ||
port = https,http,8006 | port = https,http,8006 | ||
filter = | filter = proxmox3 | ||
logpath = /var/log/daemon.log | logpath = /var/log/daemon.log | ||
maxretry = 4 | maxretry = 4 | ||
| Ligne 324 : | Ligne 325 : | ||
</pre> | </pre> | ||
Créez le fichier <code>/etc/fail2ban/filter.d/ | Créez le fichier <code>/etc/fail2ban/filter.d/proxmox3.conf</code> : | ||
<pre> | <pre> | ||
[Definition] | [Definition] | ||
| Ligne 331 : | Ligne 332 : | ||
</pre> | </pre> | ||
Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/ | Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox3.conf</code> | ||
Relancez fail2ban : | Relancez fail2ban : | ||
| Ligne 422 : | Ligne 423 : | ||
issuerAltName = issuer:copy | issuerAltName = issuer:copy | ||
basicConstraints = critical,CA:FALSE | basicConstraints = critical,CA:FALSE | ||
keyUsage = digitalSignature, nonRepudiation, keyEncipherment | keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment | ||
nsCertType = server | nsCertType = server | ||
extendedKeyUsage = serverAuth | extendedKeyUsage = serverAuth | ||
| Ligne 465 : | Ligne 466 : | ||
Attention, pour que les consoles vnc fonctionnent, les fichiers .pem et .key ne doivent contenir rien d'autre que les données contenues entre <code>-----BEGIN CERTIFICATE-----</code> et <code>-----END CERTIFICATE-----</code> ou entre <code>-----BEGIN RSA PRIVATE KEY-----</code> et <code>-----END RSA PRIVATE KEY-----</code>. | Attention, pour que les consoles vnc fonctionnent, les fichiers .pem et .key ne doivent contenir rien d'autre que les données contenues entre <code>-----BEGIN CERTIFICATE-----</code> et <code>-----END CERTIFICATE-----</code> ou entre <code>-----BEGIN RSA PRIVATE KEY-----</code> et <code>-----END RSA PRIVATE KEY-----</code>. | ||
Admettons que vous avez la | <br/>Admettons que vous avez la chaine de certification suivante suivante : | ||
* une CA : root_ca.pem | |||
* une ca intermédiaire 1 int_ca.pem (signée par root_ca) | |||
* un certificat serveur proxmox : proxmox.pem et proxmox.key (signé par proxmox_ca) | |||
<br/>La configuration de proxmox se fera de la manière suivante : | |||
* Le fichier int_ca.key va dans /etc/pve/priv/pve-root-ca.key : | |||
** cp int_ca.key /etc/pve/priv/pve-root-ca.key | |||
* Le fichier proxmox.key va dans /etc/pve/local/pve-ssl.key | * Le fichier proxmox.key va dans /etc/pve/local/pve-ssl.key | ||
* Les fichiers | ** cp proxmox.key /etc/pve/local/pve-ssl.key | ||
* | |||
* Les fichiers int_ca.pem et root_ca vont dans /etc/pve/pve-root-ca.pem DANS CET ORDRE : | |||
** cat int_ca.pem root.pem > /etc/pve/pve-root-ca.pem | |||
* Le fichier proxmox.pem va dans /etc/pve/local/pve-ssl.pem : | |||
** cat proxmox.pem > /etc/pve/local/pve-ssl.pem | |||
Attention ! L'ordre dans lequel vous entrez les fichiers est important ! | |||
Notez que root_ca.pem devrait être importé dans les certificats trusté de votre navigateur ainsi que dans votre configuration du plugin java de votre navigateur. | |||
Notez que si vous créez un cluster, la CA utilisée sera *partagée* entre tous les nodes du cluster ! Si vous générez certains certificats manuellement dans votre cluster, veillez à maintenant le fichier /etc/pve/priv/pve-root-ca.srl à jour. | Notez que si vous créez un cluster, la CA utilisée sera *partagée* entre tous les nodes du cluster ! Si vous générez certains certificats manuellement dans votre cluster, veillez à maintenant le fichier /etc/pve/priv/pve-root-ca.srl à jour. | ||
| Ligne 735 : | Ligne 747 : | ||
==Désactiver le login root sur l'interface proxmox== | ==Désactiver le login root sur l'interface proxmox== | ||
Cela n'est malheureusement pas directement supporté par l'interface web, la meilleure solution reste de désactiver le mot-de-passe de l'utilisateur root : | Cela n'est malheureusement pas directement supporté par l'interface web, la meilleure solution reste de désactiver le mot-de-passe de l'utilisateur root : | ||
<pre>passwd -- | <pre>passwd --lock root</pre> | ||
Attention vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm ! | Attention vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm ! | ||
| Ligne 741 : | Ligne 753 : | ||
N'oubliez pas de créer avant cela un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox | N'oubliez pas de créer avant cela un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox | ||
Une autre solution consiste à créer des utilisateurs pve au lieu de pam, et de désactiver le login pam en éditant <code>/etc/pam.d/other</code> | Une autre solution consiste à créer des utilisateurs pve au lieu de pam, et de désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes : | ||
<pre> | |||
auth required pam_deny.so | |||
auth required pam_warn.so | |||
account required pam_deny.so | |||
account required pam_warn.so | |||
#password required pam_deny.so | |||
#session required pam_deny.so | |||
</pre> | |||
==Problème de layout dans la console vnc== | ==Problème de layout dans la console vnc== | ||
| Ligne 950 : | Ligne 970 : | ||
</pre> | </pre> | ||
Comme vous le voyez, le lv de | Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> : | ||
<pre> | <pre> | ||
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1 | ~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1 | ||