Skip to main content

01 - Description

Une description :

Nom DNS interne : 
Nom DNS Externe : 
Type de serveur (Physique, VMware, LXC, Docker...) : Conteneur LXC
OS : Ubuntu 22.04
CPU : 
RAM :
Disque LVM : 
    / : 

Réseaux :

Adresse IP : 
Masque : 255.255.255.0
Passerelle : 
DNS : 192.168.1.50
VLAN : 

1. Checklist - Création du serveur :

Domaine :

[*] Configuration de l'enregistrement A sur v.sdem.fr
[*] Configuration de l'enregistrement PTR sur v.sdem.fr  
[*] Configuration de l'enregistrement A sur sdem.fr (interne)  
[x] Configuration de l'enregistrement A sur sdem.fr (externe)  
[x] Ajout du serveur dans la zone DNS morbihan-energies.fr avec un enregistrement CNAME

Sécurité :

[*] Création compte adminme
[*] Changement mot de passe root  
[*] Changement mot de passe adminme
[*] Sécurisation des mots de passe (20 caractères minimum et 3 types de caractères différents)
[*] Mise à jour du coffre fort de mot de passe
[*] Déploiement clé SSH
[*] Paramétrage du SUDO NOPASSWORD
Liste des Ports ouverts : 

Sauvegarde :

[*] Configurer la sauvegarde locale
[*] Configurer la sauvegarde sur le PRA (si serveur critique)
[ ] Configurer la sauvegarde de Base de données (Dump local)

Autres :

[*] Ajout du serveur dans Guacamole
[*] Ajout du serveur dans la supervision
[*] Ajout de la documentation d'installation et de paramétrage de la VM dans ZIM
[ ] Configuration du NTP

A - Qu'est ce que Guacamole:

Le serveur Apache Guacamole sera utilisé comme point d'entrée unique pour accéder aux serveurs et équipements de l'infrastructure que ce soit via les protocoles RDP, SSH, VNC et Telnet, et même Kubernetes. Que l'on soit en externe ou en interne, les connexions aux serveurs vont passer obligatoirement par l'hôte Apache Guacamole.

Dans l'exemple ci-dessous, l'hôte Apache Guacamole est positionné en DMZ puisqu'il doit être accessible depuis l'extérieur. L'accès depuis l'extérieur n'est pas obligatoire puisque l'on pourrait imposer une connexion VPN au réseau de l'entreprise avant de permettre la connexion sur l'interface de Guacamole. De la même manière pour publier l'hôte Guacamole sur Internet, il est recommandé de s'appuyer sur un reverse proxy en frontal (le pare-feu pourrait très bien assurer cette fonction), ce qui permettra en même temps de passer les flux en HTTPS.

image.png

Apache Guacamole devient un élément central de l'infrastructure puisqu'il sert de passerelle pour administrer les machines. Rassurez-vous, il est possible d'avoir plusieurs hôtes Apache Guacamole pour répartir la charge et assurer la haute disponibilité.

Enfin, les règles de pare-feu doivent aussi être adaptées : l'hôte Apache Guacamole doit être le seul à pouvoir se connecter en RDP/SSH/VNC/Etc. sur les machines de l'infrastructure.

No Comments
Back to top