====== Installation du bastion Wallix ======

  * Dans Proxmox, créer le bastion à partir du modèle de template 
  * Démarrer le Bastion 

{{ :reseau:pam:wallix:bastion_01.png |}}

{{ :reseau:pam:wallix:bastion_02.png |}}

{{ :reseau:pam:wallix:bastion_03.png |}}

Le mot de passe initial du compte **wabadmin** est **SecureWabAdmin**. Il est nécessaire de le changer par un mot de passe fort. 

{{ :reseau:pam:wallix:bastion_04.png |}}

{{ :reseau:pam:wallix:bastion_05.png |}}

{{ :reseau:pam:wallix:bastion_06.png |}}

{{ :reseau:pam:wallix:bastion_07.png |}}

{{ :reseau:pam:wallix:bastion_08.png |}}

{{ :reseau:pam:wallix:bastion_09.png |}}

{{ :reseau:pam:wallix:bastion_10.png |}}

{{ :reseau:pam:wallix:bastion_11.png |}}

{{ :reseau:pam:wallix:bastion_12.png |}}

{{ :reseau:pam:wallix:bastion_13.png |}}

{{ :reseau:pam:wallix:bastion_14.png |}}

{{ :reseau:pam:wallix:bastion_15.png |}}

{{ :reseau:pam:wallix:bastion_16.png |}}

{{ :reseau:pam:wallix:bastion_17.png |}}

{{ :reseau:pam:wallix:bastion_19.png |}}

{{ :reseau:pam:wallix:bastion_19.png |}}

{{ :reseau:pam:wallix:bastion_20.png |}}

{{ :reseau:pam:wallix:bastion_21.png |}}

{{ :reseau:pam:wallix:bastion_22.png |}}

{{ :reseau:pam:wallix:bastion_23.png |}}

===== Configurer les certificats =====
Dans le dossier  /var/wab/apache2/ssl.crt le fichier server.pem est vide.

Il est nécessaire de recréer une CA pour signer le certificat du serveur Wallix  et générer le fichier server.pem.

==== Création de la clé privée de l'autorité de certification (CA) ====
<code shell>
$ openssl genrsa -aes256 -out ca-key.pem 2048
</code>
Indiquez une pass-phrase pour votre nouvelle clé, pass-phrase qui sera demandé lors de la création du certificat.

==== Création de la requête de demande de signature du certificat de la CA====
<code shell>
$ openssl req -new -key ca-key.pem -out ca.csr
</code>

==== Génération du certificat auto-signé du CA  ====
<code shell>
$ openssl x509 -req -days 365000 -in ca.csr -signkey ca-key.pem -out ca.crt
</code>
 
==== Génération du certificat avec signature par le CA  ====
Le fichier server.csr de demande de signature existe déjà. Il ne reste plus qu'à signer le certificat du serveur server.crt

<code shell>
$ openssl x509 -req -days 365 -CA ca.crt -CAkey ca-key.pem -set_serial 01 -in server.csr -out server.crt
</code>

==== Création du fichier server.pem ====
<code shell>
$ cat server.key server.crt > server.pem
</code>


===== Sécurisation du bastion =====
Accédez en ssh au bastion avec le compte wabadmin sur le port 2242
<code shell>
ssh wabadmin@ip -p 2242
</code> 

==== Accéder au compte root ====
<code shell>
wabadmin@wallixbastion $ super
[sudo] password for wabsuper:
wabsuper@wallixbastion$ sudo -i
[sudo] password for wabsuper:
root@wallixbastion#
</code>

==== Chiffrement du disque ====
Lancez cette commande pour chiffrer le disque dur et définir la passphrase 
<code shell>
bastion-luks-update --interactive --change-passphrase
</code>

<WRAP center round info>
A chaque démarrage du Bastion il faudra saisir en console a passphrase
</WRAP>