« Proxmox3 » : différence entre les versions

Aller à la navigation Aller à la recherche

Proxmox3 (voir la source)

Version du 23 décembre 2018 à 14:50

484 octets ajoutés ,  23 décembre 2018
→‎Désactiver le login root sur l'interface proxmox
 
(14 versions intermédiaires par le même utilisateur non affichées)
Ligne 25 : Ligne 25 :


Voici le partitionnement que je vais utiliser :
Voici le partitionnement que je vais utiliser :
* /dev/sd*1 15 Go (/) (type de partition : FD)
* /dev/sd*1 15 Go (/) (type de partition : FD00)
* /dev/sd*2 4096 Go (swap) (type de partition : 82)
* /dev/sd*2 4096 Go (swap) (type de partition : 8200)
* /dev/sd*3 reste de l'espace disque (lvm) (type de partition : FD)
* /dev/sd*3 reste de l'espace disque (lvm) (type de partition : FD00)


Nous allons créer le RAID software (raid 1) suivant :
Nous allons créer le RAID software (raid 1) suivant :
Ligne 53 : Ligne 53 :
</pre>
</pre>


Nous ne créerons pas de volume logique dans le LVM maintenant. Nous laisserons en effet proxmox et KVM se charger de créer des volumes logiques pour chaque VM.  
Nous ne créerons pas de volume logique dans le LVM maintenant. Nous laisserons en effet proxmox et KVM se charger de créer des volumes logiques pour chaque VM.


=Installation de proxmox=
=Installation de proxmox=
Ligne 187 : Ligne 187 :
<pre>
<pre>
aptitude install pve-firmware
aptitude install pve-firmware
aptitude install pve-kernel-2.6.32-23-pve
aptitude install pve-kernel-2.6.32-26-pve
</pre>
</pre>


Lorsqu'on vous demandera où installer grub, choisissez sda et sdb.
'''Lorsqu'on vous demandera où installer grub, choisissez sda et sdb.'''


Et les headers si vous en avez besoin :
Et les headers si vous en avez besoin :
<pre>
<pre>
aptitude install pve-headers-2.6.32-23-pve
aptitude install pve-headers-2.6.32-26-pve
</pre>
</pre>


Ligne 260 : Ligne 260 :


Il est aussi capital d'adapter votre fichier /etc/hosts en fonction de toutes les IPs (qu'elles soient ipv4 ou ipv6 que vous configurez sur votre hôte). En effet, proxmox se sert du fichier /etc/hosts pour déterminer des éléments de configuration locale.
Il est aussi capital d'adapter votre fichier /etc/hosts en fonction de toutes les IPs (qu'elles soient ipv4 ou ipv6 que vous configurez sur votre hôte). En effet, proxmox se sert du fichier /etc/hosts pour déterminer des éléments de configuration locale.
A noter que les dernières versions de proxmox désactives ipv6 au niveau kernel. Pensez alors a éditer <code>/etc/modprobe.d/local.conf</code> et remplacez <code>options ipv6 disable=1</code> par <code>options ipv6 disable=0</code>


===Ajout d'un réseau interne vmbr1===
===Ajout d'un réseau interne vmbr1===
Ligne 276 : Ligne 278 :
         bridge_stp off
         bridge_stp off
         bridge_fd 0
         bridge_fd 0
        #post-up /etc/pve/kvm-networking.sh
</pre>
</pre>


Ligne 315 : Ligne 316 :
enabled = false
enabled = false


[proxmox2]
[proxmox3]
enabled = true
enabled = true
port = https,http,8006
port = https,http,8006
filter = proxmox2
filter = proxmox3
logpath = /var/log/daemon.log
logpath = /var/log/daemon.log
maxretry = 4
maxretry = 4
Ligne 324 : Ligne 325 :
</pre>
</pre>


Créez le fichier <code>/etc/fail2ban/filter.d/proxmox2.conf</code> :
Créez le fichier <code>/etc/fail2ban/filter.d/proxmox3.conf</code> :
<pre>
<pre>
[Definition]
[Definition]
Ligne 331 : Ligne 332 :
</pre>
</pre>


Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox2.conf</code>
Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox3.conf</code>


Relancez fail2ban :
Relancez fail2ban :
Ligne 422 : Ligne 423 :
issuerAltName                  = issuer:copy
issuerAltName                  = issuer:copy
basicConstraints                = critical,CA:FALSE
basicConstraints                = critical,CA:FALSE
keyUsage                        = digitalSignature, nonRepudiation, keyEncipherment
keyUsage                        = critical, digitalSignature, nonRepudiation, keyEncipherment
nsCertType                      = server
nsCertType                      = server
extendedKeyUsage                = serverAuth
extendedKeyUsage                = serverAuth
Ligne 468 : Ligne 469 :
* une CA : root_ca.pem
* une CA : root_ca.pem
* une ca intermédiaire 1 int_ca.pem (signée par root_ca)
* une ca intermédiaire 1 int_ca.pem (signée par root_ca)
* une ca intermédiaire 2 proxmox_ca.pem et proxmox_ca.key (signée par int_ca)
* un certificat serveur proxmox : proxmox.pem et proxmox.key (signé par proxmox_ca)
* un certificat serveur proxmox : proxmox.pem et proxmox.key (signé par proxmox_ca)


<br/>LA configuration de proxmox se fera de la manière suivante :
<br/>La configuration de proxmox se fera de la manière suivante :
* Le fichier proxmox_ca.key va dans /etc/pve/priv/pve-root-ca.key :
* Le fichier int_ca.key va dans /etc/pve/priv/pve-root-ca.key :
** cp proxmox_ca.key /etc/pve/priv/pve-root-ca.key
** cp int_ca.key /etc/pve/priv/pve-root-ca.key


* Le fichier proxmox.key va dans /etc/pve/local/pve-ssl.key
* Le fichier proxmox.key va dans /etc/pve/local/pve-ssl.key
** cp proxmox.key /etc/pve/local/pve-ssl.key
** cp proxmox.key /etc/pve/local/pve-ssl.key


* Les fichiers proxmox_ca.pem int_ca.pem et root_ca.pem vont dans /etc/pve/pve-root-ca.pem DANS CET ORDRE :  
* Les fichiers int_ca.pem et root_ca vont dans /etc/pve/pve-root-ca.pem DANS CET ORDRE :  
** cat proxmox_ca.pem int_ca.pem root_ca.pem > /etc/pve/pve-root-ca.pem
** cat int_ca.pem root.pem > /etc/pve/pve-root-ca.pem


* Les fichiers proxmox.pem proxmox_ca.pem et int_ca.pem  vont dans /etc/pve/local/pve-ssl.pem DANS CET ORDRE :
* Le fichier proxmox.pem va dans /etc/pve/local/pve-ssl.pem :
** cat proxmox.pem proxmox_ca.pem int_ca.pem > /etc/pve/local/pve-ssl.pem
** cat proxmox.pem > /etc/pve/local/pve-ssl.pem


Attention ! L'ordre dans lequel vous entrez les fichiers est important !


Attention ! L'ordre dans lequel vous entrez les fichiers est important !
Notez que root_ca.pem devrait être importé dans les certificats trusté de votre navigateur ainsi que dans votre configuration du plugin java de votre navigateur.


Notez que si vous créez un cluster, la CA utilisée sera *partagée* entre tous les nodes du cluster ! Si vous générez certains certificats manuellement dans votre cluster, veillez à maintenant le fichier /etc/pve/priv/pve-root-ca.srl à jour.
Notez que si vous créez un cluster, la CA utilisée sera *partagée* entre tous les nodes du cluster ! Si vous générez certains certificats manuellement dans votre cluster, veillez à maintenant le fichier /etc/pve/priv/pve-root-ca.srl à jour.
Ligne 746 : Ligne 747 :
==Désactiver le login root sur l'interface proxmox==
==Désactiver le login root sur l'interface proxmox==
Cela n'est malheureusement pas directement supporté par l'interface web, la meilleure solution reste de désactiver le mot-de-passe de l'utilisateur root :
Cela n'est malheureusement pas directement supporté par l'interface web, la meilleure solution reste de désactiver le mot-de-passe de l'utilisateur root :
<pre>passwd --delete root</pre>
<pre>passwd --lock root</pre>


Attention vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !
Attention vous ne pourrez plus vous loguer en root sur le serveur par ssh (sauf si vous avez une clé ssh défini), écran ou kvm !
Ligne 752 : Ligne 753 :
N'oubliez pas de créer avant cela un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox
N'oubliez pas de créer avant cela un utilisateur ayant les droits d'administration pour accéder à l'interface de proxmox


Une autre solution consiste à créer des utilisateurs pve au lieu de pam, et de désactiver le login pam en éditant <code>/etc/pam.d/other</code>
Une autre solution consiste à créer des utilisateurs pve au lieu de pam, et de désactiver le login pam en éditant <code>/etc/pam.d/other</code> et en y ajoutant, en début de fichier, les lignes suivantes :
<pre>
auth        required    pam_deny.so
auth        required    pam_warn.so
account    required    pam_deny.so
account    required    pam_warn.so
#password      required        pam_deny.so
#session            required    pam_deny.so
</pre>


==Problème de layout dans la console vnc==
==Problème de layout dans la console vnc==
Ligne 961 : Ligne 970 :
</pre>
</pre>


Comme vous le voyez, le lv de na vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
Comme vous le voyez, le lv de la vm 101 n'est pas tagué. Vous pouvez ajouter le tag avec <code>lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1</code> :
<pre>
<pre>
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
~# lvchange --addtag pve-vm-101 /dev/main/vm-101-disk-1
Pfoo
Bureaucrates, Administrateurs
4 231

modifications

Récupérée de « https://wiki.unscdf.org/index.php?title=Spécial:MobileDiff/1436...3048 »

Menu de navigation