linux pgk 2025

[bikedeadman228]

Модуль 1 задание 1:

hostnamectl set-hostname isp.au-team.irpo; exec bash

hostnamectl set-hostname hq-rtr.au-team.irpo; exec bash

hostnamectl set-hostname br-rtr.au-team.irpo; exec bash

hostnamectl set-hostname hq-srv.au-team.irpo; exec bash

hostnamectl set-hostname hq-cli.au-team.irpo; exec bash

hostnamectl set-hostname br-srv.au-team.irpo; exec bash

 

 ip -c a сравнить мас 

 

Указываем адреса:

ISP ISP-hq-rtr

172.16.4.1/28

ISP BR-RTR
172.16.5.1/28
 

HQ-RTR ISP_HQ-RTR
172.16.4.2/28

172.16.4.1

77.88.8.8

HQ_RTR_HQ_SRV
192.168.100.2/26
192.168.100.1

 

BR-RTR ISP_BR-RTR

172.16.5.2/28

172.16.5.1

77.88.8.8

BR-RTR BR-SRV
192.168.200.1/27

 

BR-SRV BR_RTR-BR_SRV

192.168.200.2/27

192.168.200.1

 

# ip а
# ip -с а
# ip -с -br а

# nano  /etc/sysctl.conf
net.ipv4.ip_forward=1

 

Модуль 1 задание 2

Для настройки динамической трансляция адресов в сторону HQ-RTR и BR-RTR для доступа к сети Интернет необходимо настроить Nftables на ISP
# nano /etc/nftables/isp.nft

table inet nat {
chain POSTROUTING {

type nat hook postrouting priority srcnat ;
oifname "ens18" masquerade

}

}

# nano/etc/sysconfig/nftables.conf

Ниже строки начинающейся на include, прописываем строку
include "/etc/nftables/isp.nft"

Запуск и добавление в автозагрузку сервиса nftables
# systemctl еnablе --now nftables

проверка ip -c –br a

в машине hq-rtr ping -c4 ya.ru
в машине br-rtr ping -c4 ya.ru

 

Модуль 1 задание 3:

Машины HQ-SRV, BR-SRV:

# useradd sshuser -u 1010 -U

# passwd sshuser

<ввод пароля> <подтверждение пароля>

 

Добавляем пользователя sshuser в группу wheel:

# usermod -aG wheel sshuser

 

Настроить команду sudo можно в файле /etc/sudoers, в нём хранятся все нужные параметры.
# visudo

вставляем в конфиг данную строку:
sshuser ALL=(ALL) NOPASSWD: ALL

на BR-SRV аналогично

Проверка: выполняем вход под пользователем sshuser и выполняем sudo -i или другие команды требующую повышения привелегий до root
 

Создание пользователя net_admin на на маршрутизаторах HQ-RTR и BR-RTR производится одинаково

 

Создание юзера net_admin
# useradd net_admin -U 

# passwd net_admin 

< вводим пароль пользователя > < повторяем ввод пароля > 

Возможность запускать sudo для пользователя net_admin без дополнительной аутентификации. 

 

Добавляем пользователя net_admin в группу wheel:
# usermod -aG wheel net_admin

Настроить команду sudo можно в файле /etc/sudoers, в нём хранятся все нужные параметры
# visudo
Правим конфигурационный файл добавив следующую строку
net_admin ALL=(ALL) NOPASSWD: ALL

 

Проверка
Выполняем вход под пользователем net_admin и выполняем sudo -i или другие команды требующую повышения привелегий до root 

 

Модуль 1 Задание 4

Настройки производим на HQ-RTR:

Устанавливаем Openvswitch

# dfn install openvswitch NetworkManager-ovs -у

 

Добавляем в автозагрузку и запускаем 

# systemctl еnаbе --now openvswitch

 

Создаем мост (виртуальный коммутатор) hq-sw

# ovs-vsctl add-br hq-sw

 

Добавляем порт ens19 к hq-sw и назначаем ему vlan100

# ovs-vsctl add-port hq-sw ens19 tag=100

 

Добавляем порт ens20 к hq-sw и назначаем ему vlan200

# ovs-vsctl add-port hq-sw ens20 tag=200

 

Добавляем порт ens21 к hq-sw и назначаем ему vlan999

# ovs-vsctl add-port hq-sw ens21 tag=999

 

Добавляем внутренний порт vlan100 к мосту hq-sw в качестве порта доступа к VLAN 100

# ovs-vsctl add-port hq-sw vlan100 tag=100 -- set interface vlan100 type=interi

 

Добавляем внутренний порт vlan200 к мосту hq-sw в качестве порта доступа к VLAN 200

# ovs-vsctl add-port hq-sw vlan200 tag=200 -- set interface vlan200 type=interi

 

Добавляем внутренний порт vlan999 к мосту hq-sw в качестве порта доступа к VLAN 999

# ovs-vsctl add-port hq-sw vlan999 tag=999 -- set interface vlan999 type=interi

 

Перезагружаем openvswi tch и Netwo rkManager

# systemctl restart openvswitch

# systemctl restart NetworkManager

 

Включаем мост

# ip link set hq-sws up

 

Назначаем IP - адреса интерфейсам VLAN и включаем их

# ip а add 192.168.100.1/26 dev vlan100

# ip а add 192.168.100.65/28 dev vlan200

# ip а add 192.168.100.81/29 dev vlan999

 

Модуль 1 Задание 5

Настройка Selinux

 

Вариант 1 

Если он включен - разрешить этот порт для работы по нему SSH. 

# semanage port -а -t ssh_port_t -р tcp 2024

# setenforce 0 

 

Вариант 2

На время настройки переведите selinux в режим уведомлений. Для этого измените содержимое конфигурационного файла:

# nano /etc/selinux/config

Заменив текст SELINUX=enforcing на SELINUX=permissive. 

 

Затем выполните: 

# setenforce 0

 

Настройка на HQ-SRV 

Открываем файл конфигурации SSH /etc/ssh/sshd_config 

# nano /etc/ssh/sshd_config

 

Находим директиву Роrt 22 

Снимаем комментарий и прописываем номер порта 2024

Добавляем следующую строку:

AllowUsers sshuser

 

Находим директиву MaxAuthTries - количество попыток ввода пароля. По умолчанию

6. При неудачном переборе сеанс связи обрывается. 

 

Ставим значение 

MaxAuthTries 2

 

Находим директиву # Banner none

Снимаем комментарий и указываем путь к файлу /etc/ssh-banner, который будет содержать текст баннера.

 

banner /etc/ssh-banner

 

Создаем файл в котором содержиться пользовательский баннер.

# nano /etc/ssh-banner

 

Чтобы применить изменения, перезапускаем службу SSH

# systemctl restart sshd

 

Проверка

С HQ-CLI подключаемся по с SHH к HQ-SRV

# ssh sshuser@192.168.100.2 -р 2024

Модуль 1 Задание 6
 

Настройка на BR-SRV

Настройка на BR-SRV аналогичная

Так как в РЕД ОС используется NetworkManager - следовательно переходим в nmtui:

► Выбираем «Изменить подключение»

► Выбираем «Добавить»

► Выбираем «IР-туннель

► Задаём понятные имена «Имя профиля» и «Устройство»

► «Режим работы» выбираем «GRE»

«Родительский» указываем интерфейс в сторону ISP ( ens18
задаём «Локальный IP» (IP на интерфейсе HQ-RTR в сторону IPS 172.16.4.2)
► задаём «Удалённый IP» (IP на интерфейсе BR-RTR в сторону ISP 172.16.5.2)

► переходим к «КОНФИГУРАЦИЯ IPv4»

Задаём адрес 1Pv4 для туннеля (10.10.0.1/30)
Для корректной работы протокола динамической маршрутизации требуется увеличить параметр TTL на интерфейсе туннеля:
# nmcli connection modify tun1 ip-tunnel.ttl 64

Активируем (перезагружаем) интерфейс tun1
Настройка GRE - туннеля на BR-RTR производится аналогично HQ-RTR

► Выбираем «Изменить подключение»

► Выбираем «Добавить»

► Выбираем «IР-туннель

► Задаём понятные имена «Имя профиля» и «Устройство»

► «Режим работы» выбираем «GRE»

► «Родительский» указываем интерфейс в сторону ISP (ens18)

► задаём «Локальный IP» (IP на интерфейсе BR-RTR в сторону IPS 172. 6.5.2)

► задаём «Удалённый IP» (IP на интерфейсе HQ-RTR в сторону ISP 172.16.4.2)

► переходим к «КОНФИГУРАЦИЯ IPv4»

► задаём адрес 1Pv4 для туннеля (10.10.0.2/30)

 

nmcli connection modify tun1 ip-tunnel.ttl 64
 

Модуль 1 Задание 7

Реализация 

Настройка динамической (внутренней) маршрутизации средствами FRR 

Настройка протокола OSPF на HQ-RTR 

 

Устанавливаем пакет frr

# dnf install -у frr
 

Для настройки внутренней динамической маршрутизации для 1Pv4 используем протокол 0SPFv2 

 

Для настройки ospf необходимо включить соответствующий демон в конфигурации 

/etc/frr/daemons 

 # nano /etc/frr/daemons

ospfd = yes - для OSPFv2 (1Pv4)

Включаем и добавляем в автозагрузку службу FRR
# systemctl еnаblе --now frr

Переходим в интерфейс управление симуляцией FRR при помощи vtysh (аналог cisco)

# vtysh

 

Входим в режим глобальной конфигурации
hq-rtr.au-team.irpo# configure terminal

Переходим в режим конфигурации OSPFv2

hq-rtr.au-team.irpo(config)# router ospf

 

Переводим все интерфейсы в пассивный режим

hq-rtr.au-team.irpo(config-router)# passive-interface default

hq-rtr.au-team.irpo(config-router)# network 192.168.100.0/26 area 0
hq-rtr.au-team.irpo(config-router)# network 192.168.100.64/28 area 0
hq-rtr.au-team.irpo(config-router)# network 10.10.0.0/30 area 0

Настройка аутентификации для области
# area 0 authentication

Выходим из режима конфигурации OSPFv2
hq-rtr.au-team.irpo(config-router)# exit

 

Переходим в режим конфигурирования интерфейса tun1
hq-rtr.au-team.irpo(config)# interface tun1
 

Туннельный интерфейс tun1 делаем активным, для устанавления соседства с BR-RTR и обмена внутренними маршрутами
hq-rtr.au-team.irpo(config-if)# nо ip ospf network broadcast

Переводим интерфейс tun1 в активный режим
hq-rtr.au-team.irpo(config-if)# по ip ospf passive

Настройка аутентификации с открытым паролем password
# ip ospf authentication

# ip ospf authentication-key password

Сохраняем текущую конфигурацию
hq-rtr.au-team.irpott write

Перезапускаем frr
# systemctl restart frr

Настройки OSPFv2 на BR-RTR аналогично HQ-RTR

Модуль 1 Задание 8

Для настройки доступа в Интернет с офисов HQ и BR необходимо настроить Nftables на HQ-RTR и BR-RTR

Настройка на HQ-RTR 

Создаем и открываем файл

# nano /etc/nftables/hq-rtr.nft
Прописываем следующие строки
 

tаblе inet nat {
              chain P0STR0UTING 

type nat hook postrouting priority srcnat;
oifname "ens18" masquerade 

}
}

# nano /etc/sysconfig/nftables.conf

include "/etc/nftables/hq-rtr.nft"

# systemctl enаblе --now nftables

Настройка на BR-RTR Создаем и открываем файл

# nano /etc/nftables/br-rtr.nft
 

Прописываем следующие строки
 

tablе inet nat {

chain POSTROUTING {

type nat hook postrouting priority srcnat ;
oifname "ens18" masquerade

}
}

# nano /etc/sysconfig/nftables.conf
include "/etc/nftables/br-rtr.nft"
 

Добавляем в автозагрузку:
# systemctl еnаblе --now nftables

 

 

 

 

Модуль 1 Задание 9

Настройка DHCP 1Pv4 на HQ-RTR

Установка DHCP сервера

# dnf install dhcp-server -у
 

Копируем файл /us r / sha re/ doc/dhcp-se rver / dhcpd. conf. example в директорию

/etc/dhcp/ с именем dhcpd.conf

# ер /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf

 

Открываем файл конфигурации

# папа /etc/dhcp/dhcpd.conf

 

и приводим его к следующему виду или прописываем в ручную:

1 subnet 192.168.100.64 netmask 255.255.255.240 {

2 range 192. 168. 100. 66 192. 168. 100. 78 ;

3 option domain-name-servers 192.168.100.2 ;

4 option domain-name "au-team.irpo" ;

5 option routers 192.168.100.1 ;

6 default-lease-time 600 ;

7 max-lease-time 7200 ;

8 }

 

Запускаем и добавляем в автозагрузку службу dhcpd:

# systemctl еnаЫе --now dhcpd

 

Проверка на HQ-CLI

Перезагружаем интерфейс на HQ-CLI и убеждаемся в работоспособности DHCP

сервера

 

Модуль 1 Задание 10

Для установки пакетов bind и bind-utils в настройках HQ-SRV добавим адрес

DNS - сервер 77.88.8.8

 

Устанавливаем пакета DNS-cepвepa bind

# dnf install bind bind-utils

 

# nano /etc/named.conf

 

listen-on port 53 ;

listen-on-vб port 53 ;

allow-query ;

forwarders ; (дописать строку)

dnssec-validation (заменить на none )

 

и привести их к виду:

 

Объявляем файлы зон, дописываем в конец файла /var/named. conf следующие строки

 

zопе "." IN {

type }1 i пt;

file "пarned.ca";

};

zопе "aн-tearn. irpo" {

type rnaster;

file "rnaster/aн-tearn.db";

};

zопе "100.168.192.iп-addr.arpa" {

type rnaster;

file "rnaster/aн-tearn_reu.db";

};

iпс lнde ''/etc/пarned .rfc1912 .zoпes'';

i пс l нdе '' /etc/пarned . root . key'';

 

С помощью утилиты named-checkconf проверяется наличие ошибок в конфигурационном

файле, если результат выполнения команды пуст- ошибок нет.

1 1 # named-checkconf

 

Создание локальных зон DNS

Создайте папку с мастер зонами:

1 1 # mkdir /var/named/master

 

Зона прямого просмотра

Для сокращения времени написания файла прямой зоны ( au-team. db ) скопируем шаблон и

отредактируем его

1 1 # ер /var/named/named.localhost /var/named/master/au-team.db

 

Открываем на редактирование файл зоны au-team. db

1 1 # папо /var/named/master/au-team.db

И приводим его к следующему виду

 

Зона обратного просмотра

Для сокращения времени написания файла обратной зоны ( au-team_ rev. d Ь ) скопируем шаблон

и отредактируем его

# cр /var/named/named.loopback /var/named/master/au-team_rev.db

 

Открываем на редактирование файл зоны au-team_rev. db

# nano /var/named/master/au-team.db

 

И приводим его к следующему виду

 

Назначаем владельца и права.

# chown -R root:named /var/named/master

# chmod 0640 /var/named/master/*

 

С помощью утилиты named-checkconf -z проверяется наличие ошибок в конфигурационном

файле и файлах зон.

# named-checkconf -z

 

На HQ-SRV в настройках сетевого интерфейса убедиться, что в качестве первичного

DNS сервера указан его собственный IP - адрес

 

Также необходимо проверить на BR-SRV , что в качестве первичного DNS сервера указан IP - адрес HQ-SRV

HQ-CLI - должен получать автоматически по DHCP

 

Запуск и добавление в автозагрузку DNS - сервера:

# systemctl еnаЫе --now named

 

Тестирование

Проверяем работу DNS на HQ-SRV с BR-SRV с помощью команды host

 

Проверка работоспособности DNS с помощью nslookup

Для определения IР-адреса сервера по его доменному:

1 1 # nslookup <доменное_имя>

Также с помощью утилиты nslookup может быть выполнено обратное преобразование IР-адреса в

доменное имя.

# nslookup <IР-адрес>

 

Модуль 1 Задание 11

 

ВРЕМЯ!!!
 

# timedatectl

Список доступных часовых поясов можно посмотреть командой
# Ls /usr/share/zoneinfo/

Посмотреть список регионов и городов
# Ls /usr/share/zoneinfo/Europe/

ставим время москва
# timedatectl set-timezone Europe/Moscow

значение даты и времени при необходимости 

Для изменения даты и времени используется команда:

timedatectl set-time "<дата> <время>/
проверка
# timedatectl