documentation/procédures/acces_machine_physique.md

# Accès aux machines physiques de l'infrastructure

Seules les personnes membre de la Commission infrastructure peuvent être
autorisées à accéder aux machines physiques.

## Via SSH

### Configuration SSH serveur

Pour une personne administrant l'infrastructure, l'accès aux machines physiques
de se fait sur le compte sudoer `admin666` via le compte `cominfra`, authentifié
par clé SSH.
   
Pour qu'une nouvelle personne puisse accéder à la machine, il faut ajouter 
sa clé publique (ssh) dans les fichiers de configurations de la machine physique :
- `/home/cominfra/.ssh/authorized_keys` 
- `/home/admin666/.ssh/authorized_keys`

### Configuration SSH client

Une personne souhaitant se connecter à une machine physique doit configurer son
client SSH, généralement dans le fichier `~/.ssh/config`.

La configuration met en jeu un proxy, sécurité supplémentaire pour l'accès au
compte d'administration :
```
host <machine_physique>-proxy.libre-en-communs.org
    Hostname <machine_physique>.libre-en-communs.org
    User cominfra
    Port <port>
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host <machine_physique>.libre-en-communs.org
    User admin666
    Port <port>
    ProxyJump <machine_physique>-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
```

En 2024, voici ce que cela donne pour toutes les machines physiques actuelles : 
```
host mother-proxy.libre-en-communs.org
    Hostname mother.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host mother.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump mother-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aunt-proxy.libre-en-communs.org
    Hostname aunt.libre-en-communs.org
    User cominfra
    Port 223
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aunt.libre-en-communs.org
    User admin666
    Port 223
    ProxyJump aunt-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host anthea-proxy.libre-en-communs.org
    Hostname anthea.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host anthea.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump anthea-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aelita-proxy.libre-en-communs.org
    Hostname aelita.libre-en-communs.org
    User cominfra
    Port 223
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aelita.libre-en-communs.org
    User admin666
    Port 223
    ProxyJump aelita-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host gardefou-proxy.libre-en-communs.org
    Hostname gardefou.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host gardefou.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump gardefou-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host sauvkipeu-proxy.libre-en-communs.org
    Hostname sauvkipeu.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host sauvkipeu.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump sauvkipeu-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
```

### Procédure de connexion avec config dans ~/.ssh/config

Pour accéder au serveur `<machine_physique>`, il faut exécuter :
```
ssh <machine_physique>.libre-en-communs.org
```

### Procédure de connexion sans config

Pour accéder au serveur `<machine_physique>`, on peut aussi exécuter :
```
ssh -i 'CLE_PRIV' -J cominfra@<machine_physique>.libre-en-communs.org:<port> admin666@localhost -p 222
```

### Accès aux machines virtuelles

Si besoin, une personne administration l'infrastructure peut accéder aux
machines virtuelles qui s'exécutent sur une machine physique, et ce depuis le
compte `admin666` de n'importe quelle machine physique. Il suffira d'utiliser
la commande `ssh <nom de machine>`. 

Par exemple, pour accéder à la machine `dns.libre-en-communs.org` : 
```
ssh dns.libre-en-communs.org
```

## Via console série (RS232)

Les machines physiques d'un même site sont interconnectées par des liens RS232
permettant l'utilisation d'une console série.

### État des interconnexions RS232

#### Site `leparc`

- `mother` et `aunt` sont interconnectées (bidirectionnel)

#### Site `fontainebleau`

- `gardefou` peut accéder à `anthea` (unidirectionnel)
- `anthea` et `aelita` ne sont pas interconnectées

### Procédure de connexion

Pour se connecter à la machine disponible via la console série, 
utiliser (en root) :
```
minicom -D /dev/ttyUSB0
```
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00			`# Accès aux machines physiques de l'infrastructure`

Refresh documentation! 2024-06-17 20:03:55 +02:00			`Seules les personnes membre de la Commission infrastructure peuvent être`
			`autorisées à accéder aux machines physiques.`
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`## Via SSH`

			`### Configuration SSH serveur`

			`Pour une personne administrant l'infrastructure, l'accès aux machines physiques`
			de se fait sur le compte sudoer `admin666` via le compte `cominfra`, authentifié
			`par clé SSH.`
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Pour qu'une nouvelle personne puisse accéder à la machine, il faut ajouter`
			`sa clé publique (ssh) dans les fichiers de configurations de la machine physique :`
			- `/home/cominfra/.ssh/authorized_keys`
			- `/home/admin666/.ssh/authorized_keys`
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`### Configuration SSH client`
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Une personne souhaitant se connecter à une machine physique doit configurer son`
			client SSH, généralement dans le fichier `~/.ssh/config`.
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`La configuration met en jeu un proxy, sécurité supplémentaire pour l'accès au`
			`compte d'administration :`
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
Refresh documentation! 2024-06-17 20:03:55 +02:00			`host <machine_physique>-proxy.libre-en-communs.org`
			`Hostname <machine_physique>.libre-en-communs.org`
Update acces_machine_physique.md 2023-01-24 19:12:56 +01:00			`User cominfra`
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Port <port>`
Update acces_machine_physique.md 2023-01-24 19:12:56 +01:00			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

Refresh documentation! 2024-06-17 20:03:55 +02:00			`host <machine_physique>.libre-en-communs.org`
Update acces_machine_physique.md 2023-01-24 19:12:56 +01:00			`User admin666`
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Port <port>`
			`ProxyJump <machine_physique>-proxy.libre-en-communs.org`
Update acces_machine_physique.md 2023-01-24 19:12:56 +01:00			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`En 2024, voici ce que cela donne pour toutes les machines physiques actuelles :`
Ajout des machines physiques ssh 2023-04-05 17:03:07 +02:00			```
			`host mother-proxy.libre-en-communs.org`
			`Hostname mother.libre-en-communs.org`
			`User cominfra`
			`Port 222`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host mother.libre-en-communs.org`
			`User admin666`
			`Port 222`
			`ProxyJump mother-proxy.libre-en-communs.org`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host aunt-proxy.libre-en-communs.org`
			`Hostname aunt.libre-en-communs.org`
			`User cominfra`
			`Port 223`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host aunt.libre-en-communs.org`
			`User admin666`
			`Port 223`
			`ProxyJump aunt-proxy.libre-en-communs.org`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host anthea-proxy.libre-en-communs.org`
			`Hostname anthea.libre-en-communs.org`
			`User cominfra`
			`Port 222`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host anthea.libre-en-communs.org`
			`User admin666`
			`Port 222`
			`ProxyJump anthea-proxy.libre-en-communs.org`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

Refresh documentation! 2024-06-17 20:03:55 +02:00			`host aelita-proxy.libre-en-communs.org`
			`Hostname aelita.libre-en-communs.org`
Ajout des machines physiques ssh 2023-04-05 17:03:07 +02:00			`User cominfra`
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Port 223`
Ajout des machines physiques ssh 2023-04-05 17:03:07 +02:00			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

Refresh documentation! 2024-06-17 20:03:55 +02:00			`host aelita.libre-en-communs.org`
Ajout des machines physiques ssh 2023-04-05 17:03:07 +02:00			`User admin666`
Refresh documentation! 2024-06-17 20:03:55 +02:00			`Port 223`
			`ProxyJump aelita-proxy.libre-en-communs.org`
Ajout des machines physiques ssh 2023-04-05 17:03:07 +02:00			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host gardefou-proxy.libre-en-communs.org`
			`Hostname gardefou.libre-en-communs.org`
			`User cominfra`
			`Port 222`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host gardefou.libre-en-communs.org`
			`User admin666`
			`Port 222`
			`ProxyJump gardefou-proxy.libre-en-communs.org`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host sauvkipeu-proxy.libre-en-communs.org`
			`Hostname sauvkipeu.libre-en-communs.org`
			`User cominfra`
			`Port 222`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`

			`host sauvkipeu.libre-en-communs.org`
			`User admin666`
			`Port 222`
			`ProxyJump sauvkipeu-proxy.libre-en-communs.org`
			`SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL`
			```

WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00			`### Procédure de connexion avec config dans ~/.ssh/config`

Refresh documentation! 2024-06-17 20:03:55 +02:00			Pour accéder au serveur `<machine_physique>`, il faut exécuter :
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
Refresh documentation! 2024-06-17 20:03:55 +02:00			`ssh <machine_physique>.libre-en-communs.org`
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
			`### Procédure de connexion sans config`

Refresh documentation! 2024-06-17 20:03:55 +02:00			Pour accéder au serveur `<machine_physique>`, on peut aussi exécuter :
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
Refresh documentation! 2024-06-17 20:03:55 +02:00			`ssh -i 'CLE_PRIV' -J cominfra@<machine_physique>.libre-en-communs.org:<port> admin666@localhost -p 222`
Update acces_machine_physique.md 2023-01-24 19:05:50 +01:00			```
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
			`### Accès aux machines virtuelles`

Refresh documentation! 2024-06-17 20:03:55 +02:00			`Si besoin, une personne administration l'infrastructure peut accéder aux`
			`machines virtuelles qui s'exécutent sur une machine physique, et ce depuis le`
			compte `admin666` de n'importe quelle machine physique. Il suffira d'utiliser
			la commande `ssh <nom de machine>`.

			Par exemple, pour accéder à la machine `dns.libre-en-communs.org` :
			```
			`ssh dns.libre-en-communs.org`
			```
WIP: refonte documentation, ajout procédures 2022-12-19 17:32:29 +01:00
Refresh documentation! 2024-06-17 20:03:55 +02:00			`## Via console série (RS232)`

			`Les machines physiques d'un même site sont interconnectées par des liens RS232`
			`permettant l'utilisation d'une console série.`

			`### État des interconnexions RS232`

			#### Site `leparc`

			- `mother` et `aunt` sont interconnectées (bidirectionnel)

			#### Site `fontainebleau`

			- `gardefou` peut accéder à `anthea` (unidirectionnel)
			- `anthea` et `aelita` ne sont pas interconnectées

			`### Procédure de connexion`

			`Pour se connecter à la machine disponible via la console série,`
			`utiliser (en root) :`
			```
			`minicom -D /dev/ttyUSB0`
			```