cominfra/documentation
cominfra
/
documentation
8
0
Fork 0
Code Issues 5 Pull Requests Activity
documentation/procédures/acces_machine_physique.md

4.6 KiB
Raw Blame History

Accès aux machines physiques de l'infrastructure

Seules les personnes membre de la Commission infrastructure peuvent être autorisées à accéder aux machines physiques.

Via SSH

Configuration SSH serveur

Pour une personne administrant l'infrastructure, l'accès aux machines physiques de se fait sur le compte sudoer admin666 via le compte cominfra, authentifié par clé SSH.

Pour qu'une nouvelle personne puisse accéder à la machine, il faut ajouter sa clé publique (ssh) dans les fichiers de configurations de la machine physique :

  • /home/cominfra/.ssh/authorized_keys
  • /home/admin666/.ssh/authorized_keys

Configuration SSH client

Une personne souhaitant se connecter à une machine physique doit configurer son client SSH, généralement dans le fichier ~/.ssh/config.

La configuration met en jeu un proxy, sécurité supplémentaire pour l'accès au compte d'administration :

host <machine_physique>-proxy.libre-en-communs.org
    Hostname <machine_physique>.libre-en-communs.org
    User cominfra
    Port <port>
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host <machine_physique>.libre-en-communs.org
    User admin666
    Port <port>
    ProxyJump <machine_physique>-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

En 2024, voici ce que cela donne pour toutes les machines physiques actuelles :

host mother-proxy.libre-en-communs.org
    Hostname mother.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host mother.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump mother-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aunt-proxy.libre-en-communs.org
    Hostname aunt.libre-en-communs.org
    User cominfra
    Port 223
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aunt.libre-en-communs.org
    User admin666
    Port 223
    ProxyJump aunt-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host anthea-proxy.libre-en-communs.org
    Hostname anthea.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host anthea.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump anthea-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aelita-proxy.libre-en-communs.org
    Hostname aelita.libre-en-communs.org
    User cominfra
    Port 223
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host aelita.libre-en-communs.org
    User admin666
    Port 223
    ProxyJump aelita-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host gardefou-proxy.libre-en-communs.org
    Hostname gardefou.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host gardefou.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump gardefou-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host sauvkipeu-proxy.libre-en-communs.org
    Hostname sauvkipeu.libre-en-communs.org
    User cominfra
    Port 222
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

host sauvkipeu.libre-en-communs.org
    User admin666
    Port 222
    ProxyJump sauvkipeu-proxy.libre-en-communs.org
    SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL

Procédure de connexion avec config dans ~/.ssh/config

Pour accéder au serveur <machine_physique>, il faut exécuter :

ssh <machine_physique>.libre-en-communs.org

Procédure de connexion sans config

Pour accéder au serveur <machine_physique>, on peut aussi exécuter :

ssh -i 'CLE_PRIV' -J cominfra@<machine_physique>.libre-en-communs.org:<port> admin666@localhost -p 222

Accès aux machines virtuelles

Si besoin, une personne administration l'infrastructure peut accéder aux machines virtuelles qui s'exécutent sur une machine physique, et ce depuis le compte admin666 de n'importe quelle machine physique. Il suffira d'utiliser la commande ssh <nom de machine>.

Par exemple, pour accéder à la machine dns.libre-en-communs.org :

ssh dns.libre-en-communs.org

Via console série (RS232)

Les machines physiques d'un même site sont interconnectées par des liens RS232 permettant l'utilisation d'une console série.

État des interconnexions RS232

Site leparc

  • mother et aunt sont interconnectées (bidirectionnel)

Site fontainebleau

  • gardefou peut accéder à anthea (unidirectionnel)
  • anthea et aelita ne sont pas interconnectées

Procédure de connexion

Pour se connecter à la machine disponible via la console série, utiliser (en root) :

minicom -D /dev/ttyUSB0