Модуль 1–2
Страница собрана текстом из PDF/исходного материала. Команды оформлены отдельными блоками с кнопкой копирования. Скриншоты из PDF вставлены как изображения рядом с соответствующими разделами.
Содержание модуля
VLAN 999 можно не выпускать в сеть
МОДУЛЬ 1. НАСТРОЙКА СЕТЕВОЙ ИНФРАСТРУКТУРЫ
EcoRouter show port brief show service-instance-brief
1. Произведите базовую настройку устройств:
- Настройте имена устройств согласно топологии. Используйте полное доменное имя
На ISP: hostnamectl set-hostname ISP; exec bash HQ-SRV: hostnamectl set-hostname hq-srv.au-team.irpo; exec bash HQ-CLI: hostnamectl set-hostname hq-cli.au-team.irpo; exec bash BR-SRV: hostnamectl set-hostname br-srv.au-team.irpo; exec bash HQ-RTR: enable conf t hostname hq-rtr ip domain-name au-team.irpo write memory BR-RTR: enable conf t hostname br-rtr ip domain-name au-team.irpo write memory
- На всех устройствах необходимо сконфигурировать IPv4:
- IP-адрес должен быть из приватного диапазона, в случае, если сеть локальная, согласно RFC1918:
- Локальная сеть в сторону HQ-SRV(VLAN 100) должна вмещать не более 32 адресов
- Локальная сеть в сторону HQ-CLI(VLAN 200) должна вмещать не менее 16 адресов
- Локальная сеть для управления(VLAN 999) должна вмещать не более 8 адресов
hq-rtr(config)#ip route 0.0.0.0/0 172.16.1.1 hq-rtr(config)#interface ISP hq-rtr(config-if)#ip address 172.16.1.2/28 hq-rtr(config-if)#exit hq-rtr(config)#port ge0 hq-rtr(config-if)#service-instance ge0/ISP hq-rtr(config-if)#encapsulation untagged hq-rtr(config-if)#connect ip interface ISP hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN100 hq-rtr(config-if)#ip address 192.168.100.1/27 hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN200 hq-rtr(config-if)#ip address 192.168.200.1/24 hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN999 hq-rtr(config-if)#ip address 192.168.99.1/29 hq-rtr(config-if)#exit hq-rtr(config)#port ge1 hq-rtr(config-port)#service-instance ge1/VLAN100 hq-rtr(config-service-instance)#encapsulation dot1q 100 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN100 hq-rtr(config-service-instance)#exit hq-rtr(config-port)#service-instance ge1/VLAN200 hq-rtr(config-service-instance)#encapsulation dot1q 200 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN200 hq-rtr(config-service-instance)#exit # vlan 999 можно не присоединять а прост осоздать, это не обязанность hq-rtr(config-port)#service-instance ge1/VLAN999 hq-rtr(config-service-instance)#encapsulation dot1q 999 exact hq-rtr(config-service-instance)#rewrite pop 1 hq-rtr(config-service-instance)#connect ip interface VLAN999 hq-rtr(config-service-instance)#exit hq-rtr(config)#write memory
- Локальная сеть в сторону BR-SRV должна вмещать не более 16 адресов:
br-rtr(config)#ip route 0.0.0.0/0 172.16.2.1 br-rtr(config)#interface ISP br-rtr(config-port)#ip address 172.16.2.2/28 br-rtr(config-port)# exit br-rtr(config)#port ge0 br-rtr(config-if)#service-instance ge0/ISP br-rtr(config-if)#encapsulation untagged br-rtr(config-if)#connect ip interface ISP br-rtr(config-if)#exit br-rtr(config)#interface LOCAL br-rtr(config-port)#ip address 192.168.0.1/28 br-rtr(config-port)# exit br-rtr(config)#port ge1 br-rtr(config-if)#service-instance ge1/LOCAL br-rtr(config-if)#encapsulation untagged br-rtr(config-if)#connect ip interface LOCAL br-rtr(config-if)#exit br-rtr(config)#write memory
- Сведения об адресах занесите в таблицу 2, в качестве примера используйте Прил_3_О1_КОД 09.02.06-1-2026-М1
root@hq-srv:
cd /etc/net/ifaces/<имя сетевой карты>enp6s19/options:
TYPE=eth DISABLED=no BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no
nano ipv4adddress 192.168.100.2/27
nano ipv4route default via 192.168.100.1
root@br-srv:
cd /etc/net/ifaces/<имя сетевой карты>enp6s19/options:
TYPE=eth DISABLED=no BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no
nano options 192.168.0.2/28
nano ipv4route default via 192.168.0.1
2. Настройте доступ к сети Интернет, на маршрутизаторе ISP:
- Настройте адресацию на интерфейсах:
- Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP
cd /etc/net/ifaces/<имя сетевой карты выходящей в интернет>enp6s19/options:
TYPE=eth CONFIG_IPV4=yes BOOTPROTO=dhcp SYSTEMD_BOOTPROTO=dhcp4 CONFIG_WIRELESS=no DISABLED=no NM_CONTROLLED=no SYSTEMD_CONTROLLED=no
- Настройте маршрут по умолчанию, если это необходимо
- Настройте интерфейс, в сторону HQ-RTR, интерфейс подключен к сети 172.16.1.0/28\
cd /etc/net/ifaces<имя интерфейса смотрящего в торону HQ-RTR>enp6s20
nano ipv4adddress 172.16.1.1/28
в файле options
TYPE=eth CONFIG_IPV4=yes BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_WIRELESS=no DISABLED=no NM_CONTROLLED=no SYSTEMD_CONTROLLED=no
systemctl restart network
- Настройте интерфейс, в сторону BR-RTR, интерфейс подключен к сети 172.16.2.0/28
если нет папки создаём
mkdir -p enp6s21 && cd enp6s21
cd /etc/net/ifaces<имя интерфейса смотрящего в торону BR-RTR>enp6s21
Cоздать файлы:
touch options touch ipv4address
nano options:
TYPE=eth BOOTPROTO=static SYSTEMD_BOOTPROTO=static CONFIG_IPV4=yes SYSTEMD_CONTROLLED=no NM_CONTROLLED=no DISABLED=no
nano ipv4address 172.16.2.1/28
systemctl restart network
- На ISP настройте динамическую сетевую трансляцию портов для доступа к сети Интернет HQ-RTR и BR-RTR.
В конфигурационном файле /etc/net/sysctl.conf в параметре net.ipv4.ip_forward = 0 заменить значение с 0 на 1.
Для применения настроек необходимо перезагрузить службу network командой:
systemctl restart network systemctl start iptables
Настройка через nftables
Установим службу nftables:
apt-get update && apt-get install -y nftables
Добаавим nftables в автозапуск и тут же проверим статус:
systemctl enable --now nftables && systemctl status nftables
Создаем таблицу для NAT (если её еще нет)
nft add table ip nat
Создаем цепочку POSTROUTING с приоритетом srcnat (100)
sudo nft add chain ip nat postrouting { type nat hook postrouting priority srcnat \; }Добавляем правила маскарадинга для ваших подсетей через интерфейс который смотрит в Интернет
sudo nft add rule ip nat postrouting ip saddr 172.16.1.0/28 oifname "enp6s19" masquerade sudo nft add rule ip nat postrouting ip saddr 172.16.2.0/28 oifname "enp6s19" masquerade
Для сохранения текущего набора правил выполните:
sudo nft list ruleset | sudo tee /etc/nftables.conf
Просмотр правил NAT (Вместо iptables -t nat -L -n -v)
nft list table ip nat
Настройка через iptables
Установим службу iptables:
apt-get update && apt-get install -y iptables
Создать правила трансляции адресов для доступа к сети Интернет HQ-RTR и BR-RTR:
systemctl restart network systemctl start iptables iptables –t nat –A POSTROUTING –s 172.16.1.0/28 –o enp6s19 –j MASQUERADE iptables –t nat –A POSTROUTING –s 172.16.2.0/28 –o enp6s19 –j MASQUERADE iptables-save >> /etc/sysconfig/iptables
Проверить iptables:
iptables –t nat –L –n –v
Не забывайте проверить статус : systemctl status iptables
3. Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV:
- Создайте пользователя sshuser
- Пароль пользователя sshuser с паролем P@ssw0rd
- Идентификатор пользователя 2026 Шпаргалка по командам Linux
useradd sshuser –u 2026 #создать пользователя с uid 2026 passwd sshuser #задать пароль P@ssw0rd
- Пользователь sshuser должен иметь возможность запускать sudo без ввода пароля
Добавить пользователя sshuser в группу wheel можно с помощью команды:
usermod -aG wheel sshuser
Добавить строку в конфигурационный файл /etc/sudoers, позволяющую пользователям, входящим в группу wheel, выполнять через sudo любую команду:
echo «sshuser ALL=(ALL:ALL) NOPASSWD: ALL» >> /etc/sudoers
- Создайте пользователя net_admin на маршрутизаторах HQ-RTR и BR-RTR
- Пароль пользователя net_admin с паролем P@ssw0rd
hq-rtr(config)#username net_admin hq-rtr(config-user)#password P@ssw0rd hq-rtr(config-user)#role admin hq-rtr(config-user)#exit hq-rtr(config)#write memory
- При настройке ОС на базе Linux, запускать sudo без ввода пароля
- При настройке ОС отличных от Linux пользователь должен обладать максимальными привилегиями.
4. Настройте коммутацию в сегменте HQ следующим образом:
- Трафик HQ-SRV должен принадлежать VLAN 100
- Трафик HQ-CLI должен принадлежать VLAN 200
- Предусмотреть возможность передачи трафика управления в VLAN 999
- Реализовать на HQ-RTR маршрутизацию трафика всех указанных VLAN с использованием одного сетевого адаптера ВМ/физического порта
- Сведения о настройке коммутации внесите в отчёт
5. Настройте безопасный удаленный доступ на серверах HQ-SRV и BR-SRV:
- Для подключения используйте порт 2026
- Разрешите подключения исключительно пользователю sshuser
- Ограничьте количество попыток входа до двух
- Настройте баннер «Authorized access only».
попадая в файл sshd_config все строки в нём будут закомментированы, нам же остаётся найти строку #Port 22
меняем 22 на 2026 или число по заданию
и под этой же стройкой можно написать следующие интересующие нас строки
AllowUsers sshuser MaxAuthTries 2 Banner /etc/openssh/banner
получится такой кусок
Port 2026 AllowUsers sshuser MaxAuthTries 2 Banner /etc/openssh/banner
touch banner
echo «Authorized access only» > /etc/openssh/banner
На всякий случай проверяем статус :
Перезапускаем службу и проверяем статус:
systemctl status sshd systemctl restart sshd
Задание выполнено
6. Между офисами HQ и BR, на маршрутизаторах HQ-RTR и BR-RTR необходимо сконфигурировать ip туннель:
- На выбор технологии GRE или IP in IP
hq-rtr(config)#interface tunnel.1 hq-rtr(config-if-tunnel)#ip address 10.0.0.1/30 hq-rtr(config-if-tunnel)#ip tunnel 172.16.1.2 172.16.2.2 mode gre hq-rtr(config-if-tunnel)#exit hq-rtr(config)#write memory
br-rtr(config)#interface tunnel.1 br-rtr(config-if-tunnel)#ip address 10.0.0.2/30 br-rtr(config-if-tunnel)#ip tunnel 172.16.2.2 172.16.1.2 mode gre br-rtr(config-if-tunnel)#exit br-rtr(config)#write memory
- Сведения о туннеле занесите в отчёт.
7. Обеспечьте динамическую маршрутизацию на маршрутизаторах HQ-RTR и BR-RTR: сети одного офиса должны быть доступны из другого офиса и наоборот. Для обеспечения динамической маршрутизации используйте link state протокол на усмотрение участника:
- Разрешите выбранный протокол только на интерфейсах ip туннеля
- Маршрутизаторы должны делиться маршрутами только друг с другом
- Обеспечьте защиту выбранного протокола посредством парольной защиты
hq-rtr(config)#router ospf 1 hq-rtr(config-router)#ospf router-id 1.1.1.1 hq-rtr(config-router)#passive-interface default hq-rtr(config-router)#no passive-interface tunnel.1 hq-rtr(config-router)#network 10.0.0.0/30 area 0 hq-rtr(config-router)#network 192.168.100.0/27 area 0 hq-rtr(config-router)#network 192.168.200.0/24 area 0 hq-rtr(config-router)#network 192.168.99.0/29 area 0 hq-rtr(config-router)#exit hq-rtr(config)#interface tunnel.1 hq-rtr(config-if-tunnel)#ip ospf authentication message-digest hq-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd hq-rtr(config-if-tunnel)#exit hq-rtr(config)#write memory
br-rtr(config)#router ospf 1 br-rtr(config-router)#ospf router-id 2.2.2.2 br-rtr(config-router)#passive-interface default br-rtr(config-router)#no passive-interface tunnel.1 br-rtr(config-router)#network 192.168.0.0/28 area 0 br-rtr(config-router)#network 10.0.0.0/30 area 0 br-rtr(config-router)#exit br-rtr(config)#interface tunnel.1 br-rtr(config-if-tunnel)#ip ospf authentication message-digest br-rtr(config-if-tunnel)#ip ospf message-digest-key 1 md5 P@ssw0rd br-rtr(config-if-tunnel)#exit br-rtr(config)#write memory
- Сведения о настройке и защите протокола занесите в отчёт.
8. Настройка динамической трансляции адресов маршрутизаторах HQ-RTR и BR-RTR:
- Настройте динамическую трансляцию адресов для обоих офисов в сторону ISP, все устройства в офисах должны иметь доступ к сети Интернет
hq-rtr(config)#interface ISP hq-rtr(config-if)#ip nat outside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN100 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN200 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#interface VLAN999 hq-rtr(config-if)#ip nat inside hq-rtr(config-if)#exit hq-rtr(config)#ip nat pool VLAN100 192.168.100.1-192.168.100.30 hq-rtr(config)#ip nat pool VLAN200 192.168.200.1-192.168.200.254 hq-rtr(config)#ip nat pool VLAN999 192.168.99.1-192.168.99.6 hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN100 overload interface ISP hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN200 overload interface ISP hq-rtr(config)#ip nat source dynamic inside-to-outside pool VLAN999 overload interface ISP hq-rtr(config)#write memory
br-rtr(config)#interface ISP br-rtr(config-if)#ip nat outside br-rtr(config-if)#exit br-rtr(config)#interface LOCAL br-rtr(config-if)#ip nat inside br-rtr(config-if)#exit br-rtr(config)#ip nat pool BR-Net 192.168.0.1-192.168.0.14 br-rtr(config)#ip nat source dynamic inside-to-outside pool BR-Net overload interface ISP br-rtr(config)#exit br-rtr#write memory
9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI (DHCP) :
- Настройте нужную подсеть
- В качестве сервера DHCP выступает маршрутизатор HQ-RTR
- Клиентом является машина HQ-CLI
- Исключите из выдачи адрес маршрутизатора
- Адрес шлюза по умолчанию – адрес маршрутизатора HQ-RTR
- Адрес DNS-сервера для машины HQ-CLI – адрес сервера HQ-SRV
- DNS-суффикс – au-team.irpo
hq-rtr(config)#ip pool VLAN200 192.168.200.2-192.168.200.254 hq-rtr(config)#dhcp-server 1 hq-rtr(config-dhcp-server)#pool VLAN200 1 hq-rtr(config-dhcp-server-pool)#mask 24 hq-rtr(config-dhcp-server-pool)#gateway 192.168.200.1 hq-rtr(config-dhcp-server-pool)#dns 192.168.100.2 hq-rtr(config-dhcp-server-pool)#domain-name au-team.irpo hq-rtr(config-dhcp-server-pool)#exit hq-rtr(config-dhcp-server)#exit hq-rtr(config)#int VLAN200 hq-rtr(config-if)#dhcp-server 1 hq-rtr(config-if)#exit hq-rtr(config)#write memory Building configuration...
- Сведения о настройке протокола занесите в отчёт.
10. Настройте инфраструктуру разрешения доменных имён для офисов HQ и BR:
- Основной DNS-сервер реализован на HQ-SRV
- Сервер должен обеспечивать разрешение имён в сетевые адреса устройств и обратно в соответствии с таблицей 3
- В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер(77.88.8.7, 77.88.8.3 или другие)
Настройка через DNSMASQ
Установка службы DNSMASQ
apt-get update && apt-get install -y dnsmasq
Либо через nano/micro вручную редактируете файл /etc/dnsmasq.conf
no-hosts server=77.88.8.8 cache-size=1000 all-servers no-negcache interface=* host-record=hq-rtr.au-team.irpo,192.168.100.1 host-record=hq-rtr.au-team.irpo,192.168.200.1 host-record=hq-rtr.au-team.irpo,192.168.99.1 host-record=hq-srv.au-team.irpo,192.168.100.2 host-record=hq-cli.au-team.irpo,192.168.200.2 address=/br-rtr.au-team.irpo/192.168.0.1 address=/br-srv.au-team.irpo/192.168.0.2 address=/docker.au-team.irpo/172.16.1.1 address=/web.au-team.irpo/172.16.2.1
... либо копируете нижнюю команду которая автоматически все отредактирует
cat <<EOF > /etc/dnsmasq.conf no-hosts server=77.88.8.8 cache-size=1000 all-servers no-negcache interface=* host-record=hq-rtr.au-team.irpo,192.168.100.1 host-record=hq-rtr.au-team.irpo,192.168.200.1 host-record=hq-rtr.au-team.irpo,192.168.99.1 host-record=hq-srv.au-team.irpo,192.168.100.2 host-record=hq-cli.au-team.irpo,192.168.200.2 address=/br-rtr.au-team.irpo/192.168.0.1 address=/br-srv.au-team.irpo/192.168.0.2 address=/docker.au-team.irpo/172.16.1.1 address=/web.au-team.irpo/172.16.2.1 EOF
Далее ищем процесс который висит на 53-ем порту:
ss -tlpn | grep :53
При его наличии убиваем его командой с указанием процесса который занимает порт 53:
kill (id process)
Включаем службу dnsmasq в автозапуск командой:
systemctl enable --now dnsmasq.service
И сразу после проверим статус:
systemctl status dnsmasq
Настройка через BIND
Установка и базовая настройка BIND (DNS-сервер)
apt-get update && apt-get install bind bind-utils -y
Настройка DNS-резолвера:
cat << EOF > enp7s1/resolv.conf nameserver 192.168.100.2 echo search au-team.irpo echo domain au-team.irpo EOF
Редактирование глобальных опций BIND (/var/lib/bind/etc/options.conf)
listen-on {192.168.100.2; };
listen-on-v6 { none; };
forwarders {77.88.8.8; };
allow-query {any; };
allow-recursion {any; };
dnssec-validation no;
Добавление зон в /var/lib/bind/etc/rfc1912.conf
cat << EOF >> /var/lib/bind/etc/rfc1912.conf
zone "au-team.irpo" {
type master;
file "au-team.irpo";
};
zone "100.168.192.in-addr.arpa" {
type master;
file "100.168.192.in-addr.arpa";
};
zone "200.168.192.in-addr.arpa" {
type master;
file "200.168.192.in-addr.arpa";
};
EOFСоздание файлов зон из шаблона empty
cd /var/lib/bind/etc/zone cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/au-team.irpo cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/100.168.192.in-addr.arpa cp /var/lib/bind/etc/zone/empty /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
Наполнение прямой зоны (au-team.irpo)
cat << EOF > /var/lib/bind/etc/zone/au-team.irpo
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
IN A 192.168.100.2
hq-srv IN A 192.168.100.2
hq-cli IN A 192.168.200.2
hq-rtr IN A 192.168.100.1
hq-rtr IN A 192.168.200.1
hq-rtr IN A 192.168.99.1
docker IN A 172.16.1.1
web IN A 172.16.2.1
br-srv IN A 192.168.0.2
br-rtr IN A 192.168.0.1
EOFНаполнение обратных зон (PTR-записи) /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
cat << EOF > /var/lib/bind/etc/zone/200.168.192.in-addr.arpa
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
1 IN PTR hq-rtr.au-team.irpo.
2 IN PTR hq-srv.au-team.irpo.
EOFcat << EOF > /var/lib/bind/etc/zone/100.168.192.in-addr.arpa
\$TTL 1D
@ IN SOA au-team.irpo. root.au-team.irpo. (
2025110500 ; serial
12H ; refresh
1H ; retry
1W ; expire
1H ; ncache
)
IN NS au-team.irpo.
1 IN PTR hq-rtr.au-team.irpo.
2 IN PTR hq-srv.au-team.irpo.
EOFГенерация ключа rndc и проверка конфигурации (опционально)
rndc-confgen > /etc/bind/rndc.key sed -i '6,$d' /etc/bind/rndc.key named-checkconf named-checkconf -z
Установка прав и запуск службы BIND
chown -R root:named /var/lib/bind/etc/zone/* systemctl enable --now bind.service systemctl status bind
11. Настройте часовой пояс на всех устройствах (за исключением виртуального коммутатора, в случае его использования) согласно месту проведения экзамена
На устройствах с ОС «Альт» необходимо выполнить следующую команду:
timedatectl set-timezone <ЧАСОВАЯ_ЗОНА>
Например:
timedatectl set-timezone Europe/Moscow
На устройствах с ОС «EcoRouterOS» необходимо выполнить следующую команду из режима администрирования (conf t):
ntp timezone utc+<ЦИФРА>
Например:
ntp timezone utc+3
Как проверить? На устройствах с ОС «Альт» воспользоваться утилитой timedatectl:
На устройствах с ОС «EcoRouterOS» воспользоваться командой из привилегированного режима:
show ntp timezone
Дистанционно-векторные протоколы (Distance Vector) — это тип алгоритмов динамической маршрутизации, где каждый маршрутизатор знает только вектор (направление/интерфейс) и дистанцию (метрику, например, количество хопов) до сети назначения, получая эту информацию от соседей. Они строят таблицы маршрутизации, обмениваясь ими с соседними устройствами, используя алгоритм Беллмана-Форда. Link-State Routing Protocols (протоколы состояния каналов связи) — это тип протоколов динамической маршрутизации, использующих алгоритм Дейкстры (SPF — Shortest Path First) для создания полной карты топологии сети. Каждый маршрутизатор строит и синхронизирует одинаковую базу данных (LSDB), что обеспечивает быструю сходимость и высокую точность выбора маршрута.
2 systemctl enable --now serial-getty@ttyS0
3 echo ttyS0 >> /etc/securetty МОДУЛЬ 2. ОРГАНИЗАЦИЯ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
1. Настройте контроллер домена Samba DC на сервере BR-SRV:
- Имя домена au-team.irpo
apt-get update && apt-get install -y task-samba-dc
Необходимо очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удален):
rm -f /etc/samba/smb.conf rm -rf /var/lib/samba rm -rf /var/cache/samba mkdir -p /var/lib/samba/sysvol
Для интерактивного развертывания запустите samba-tool domain provision, это запустит утилиту развертывания, которая будет задавать различные вопросы о требованиях к установке:
samba-tool domain provision
- у Samba свой собственный DNS-сервер. В DNS forwarder IP address нуж-
но указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена;
- при запросе ввода нажимайте Enter за исключением запроса пароля ад-
министратора («Administrator password:» и «Retype password:»);
- пароль администратора должен быть не менее 7 символов и содержать
символы как минимум трех групп из четырех возможных: латинских букв в верхнем и нижнем регистрах, чисел и других не буквенно-цифровых сим- волов;
- пароль, не полностью соответствующий требованиям, является одной из
причин завершения развертывания домена ошибкой;
- при правильной базовой настройке устройства все параметры подста-
вятся автоматически.
root@hq-srv ~# samba-tool domain provision Realm [AU-TEAM.IRPO]: Domain [AU-TEAM]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 77.88.8.8 Administrator password: Retype password: INFO 2026-05-25 14:13:09,632 pid:10032 /usr/lib64/samba-dc/python3.9/samba/provision/__init__.py #2128: Looking up IPv4 addresses INFO 2026-05-25 14:13:09,644 pid:10032 /usr/lib64/samba-dc/python3.9/samba/provision/__init__.py #2145: Looking up IPv6 addresses
Необходимо заменить файл krb5.conf :
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Включить и добавить в автозагрузку службу samba:
systemctl enable --now samba systemctl start samba systemctl status samba
- Введите в созданный домен машину HQ-CLI
Перезагрузить рабочую станцию для применения всех настроек.
- Создайте 5 пользователей для офиса HQ: имена пользователей формата
hquser№ (например hquser1, hquser2 и т.д.)
Для управления пользователями в «Альт Домен» можно использовать под- команду user утилиты samba-tool:
- создать пользователя hquser1 с паролем P@ssw0rd:
samba-tool user add hquser1 P@ssw0rd
- установить срок действия для учетной записи пользователя в значение
«период действия неограничен»:
samba-tool user setexpiry hquser1 --noexpiry
Для управления группами в «Альт Домен» можно использовать подкоманду group утилиты samba-tool:
- создать группу с именем hq:
samba-tool group add hq
- Создайте группу hq, введите в группу созданных пользователей
Добавить пользователя hquser1 в группу hq:
samba-tool group addmembers hq hquser1
Перезагрузить рабочую станцию для применения всех настроек. На HQ-CLI установить библиотеку libnss-role для NSS и набор инстру- ментов для администрирования ролей и привилегий:
apt-get install -y libnss-role
Данный модуль должен быть включен:
control libnss-role
Связать доменную группу hq с локальной группой wheel:
roleadd hq wheel
- Убедитесь, что пользователи группы hq имеют право аутентифицироваться на HQ-CLI
- Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы права не имеют.
2. Сконфигурируйте файловое хранилище на сервере HQ-SRV:
- При помощи двух подключенных к серверу дополнительных дисков
размером 1 Гб сконфигурируйте дисковый массив уровня 0
lsblk
Неразмеченные диски должны быть одного размера — 1 ГБ, не смонтированы и не размечены. Для создания RAID-массива необходимо установить пакет mdadm, если он не установлен. Для этого можно воспользоваться командой:
apt-get install –y mdadm
- Имя устройства – md0, при необходимости конфигурация массива
размещается в файле /etc/mdadm.conf
Создание RAID-массива с использованием утилиты mdadm происходит при использовании следующей команды:
mdadm --create --verbose /dev/md0 –1 0 –n 2 /dev/sdb /dev/sdc
mdadm --create /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc
Описание применяемых команд: /dev/md0 — устройство RAID, которое появится после сборки; -l 0 — уровень RAID; -n 2 — количество дисков, из которых собирается массив; /dev/sdb /dev/sdc — сборка выполняется из дисков sdb и sdc.
При необходимости конфигурация массива размещается в файле /etc/ mdadm.conf:
mdadm --detail --scan --verbose | tee –a /etc/mdadm.conf
- Создайте раздел, отформатируйте раздел, в качестве файловой системы используйте ext4
Далее необходимо создать файловую систему на созданном RAID-массиве, используя утилиту mkfs следующей командой:
mkfs.ext4 /dev/md0
- Обеспечьте автоматическое монтирование в папку /raid
Для реализации автоматического монтирования созданного RAID-мас- сива в директорию /raid первым делом следует создать данную директорию, используя команду:
mkdir /raid
Для применения монтирования можно воспользоваться утилитой mount, выполнив команду:
mount -av
3. Настройте сервер сетевой файловой системы (nfs) на HQ-SRV:
- В качестве папки общего доступа выберите /raid/nfs, доступ для чтения
и записи исключительно для сети в сторону HQ-CLI
Для реализации сервера NFS необходимо установить пакеты nfs-server и nfs-utils, для этого можно воспользоваться командой:
apt-get install –y nfs-server nfs-utils
Для того чтобы реализовать общий доступ средствами NFS до директории / raid/nfs, данную директорию необходимо создать командой:
mkdir /raid/nfs
Также стоит выдать права для созданной директории:
chmod 777 /raid/nfs
Настроить общий доступ средствами NFS можно, отредактировав конфигурационный файл /etc/exports и добавив в него следующую запись:
/raid/nfs 192.168.200.0/24(rw,no_root_squash)
где: /raid/nfs — общий ресурс; 192.168.200.0/24 — клиентская сеть, кото- рой разрешено монтирование общего ресурса; rw — разрешение на чтение и запись; no_root_squash — отключение ограничения прав root.
Для того чтобы запустить NFS-сервер можно воспользоваться командой:
systemctl enable --now nfs-server
- На HQ-CLI настройте автомонтирование в папку /mnt/nfs
Для того чтобы на виртуальной машине HQ-CLI реализовать монтирова- ние общего ресурса с NFS-сервера необходимо установить пакеты nfs-utils и nfs-clients. Сделать это можно, воспользовавшись командой:
apt-get install –y nfs-utils nfs-clients
После чего создать директорию, в которую будет происходить монтиро- вание общего ресурса:
mkdir /mnt/nfs
Выдать соответствующие права на созданную директорию:
chmod -R 777 /mnt/nfs
В конец конфигурационного файла /etc/fstab удобным текстовым ре- дактором vim дописываем следующую строку:
192.168.100.2:/raid/nfs /mnt/nfs nfs defaults 0 0
Для применения монтирования можно воспользоваться утилитой mount, выполнив команду:
mount -av
- Основные параметры сервера отметьте в отчёте
4. Настройте службу сетевого времени на базе сервиса chrony на маршрутизаторе ISP:
- Вышестоящий сервер ntp на маршрутизаторе ISP - на выбор участника
На виртуальной машине ISP, которая будет выступать в роли сервера вре- мени, необходимо привести конфигурационный файл /etc/chrony.conf в текстовом редакторе vim к следующему виду:
#Use public servers from the pool.ntp.org project. #Please consider joining the pool (https://www.pool.ntp.org/join.html). #pool pool.ntp.org iburst server ntp5.ntp-servers.net iburst prefer minstratum 4 local stratum 5 allow 0.0.0.0/0
Для применения изменений необходимо перезагрузить службу chronyd следующей командой:
systemctl restart chronyd
- Стратум сервера - 5
- В качестве клиентов ntp настройте: HQ-SRV, HQ-CLI, BR-RTR, BR-SRV.
На всех остальных виртуальных машинах с ОС «Альт», которые будут вы- ступать клиентами с точки зрения сервера времени, необходимо добавить в конфигурационный файл /etc/chrony.conf следующую строку:
server 172.16.1.1 iburst
Для применения изменений необходимо перезагрузить службу chronyd следующей командой:
systemctl restart chronyd
На всех остальных виртуальных машинах с ОС «EcoRouterOS» из режима администрирования (conf t) необходимо выполнить следующую команду:
(config)# ntp server <IP_АДРЕС_ШЛЮЗА> (config)# write memory
Как проверить? На Linux:
[root@hq-srv nfs]# chronyc sources MS Name/IP address Stratum Poll Reach LastRx Last sample =============================================================================== ^* 172.16.1.1 5 6 177 60 +456us[ +642us] +/- 9432us [root@hq-srv nfs]#
На EcoRouterOS:
hq-rtr(config)#do show ntp status
5. Сконфигурируйте ansible на сервере BR-SRV:
- Сформируйте файл инвентаря, в инвентарь должны входить HQ-SRV,
HQ-CLI, HQ-RTR и BR-RTR
Необходимо установить пакеты ansible и sshpass. Выполнить установку можно следующей командой:
apt-get update && apt-get install –y ansible sshpass
Привести файл инвентаря Ansible к виду, приведенному на скриншоте ниже, отредактировав конфигурационный файл по пути /etc/ansible/hosts любым удобным текстовым редактором, например vim:
HQ-SRV ansible_host=192.168.100.2 ansible_user=sshuser ansible_password=P@ssw0rd ansible_port=2026 HQ-CLI ansible_host=192.168.200.2 ansible_user=user ansible_password=resu HQ-RTR ansible_host=10.0.0.1 ansible_user=net_admin ansible_password=P@ssw0rd ansible_connection=network_cli ansible_network_os=ios BR-RTR ansible_host=192.168.0.1 ansible_user=net_admin ansible_password=P@ssw0rd ansible_connection=network_cli ansible_network_os=ios [all:vars] ansible_python_interpreter=/usr/bin/python
- Рабочий каталог ansible должен располагаться в /etc/ansible
Отредактировать файл /etc/ansible/ansible.cfg, приводя его к следующему виду:
[defaults] inventory = /etc/ansible/hosts host_key_checking = False
Установить пакет python3-module-pip, далее поставить библиотеку ansible-pylibssh:
apt-get install –y python3-module-pip pip3 install ansible-pylibssh
//ВАЖНО!!! ВО ВРЕМЯ ТЕСТОВОГО ВЫПОЛНЕНИЯ ЗАДАНИЯ ЭТИ НАСТРОЙКИ НЕ ПРИГОДИЛИСЬ! На виртуальных машинах с ОС «EcoRouterOS» из режима администриро- вания (conf t) разрешить подключения к устройству по ssh:
(config)# security none (config)# write memory
//
- Все указанные машины должны без предупреждений и ошибок отвечать
pong на команду ping в ansible посланную с BR-SRV.
Как проверить? Ответы от машин должны быть зеленого цвета и содержать поле pong:
ansible all -m ping
6. Разверните веб приложение в docker на сервере BR-SRV:
- Средствами docker должен создаваться стек контейнеров с веб приложением и базой данных
- Используйте образы site_latestи mariadb_latest располагающиеся в директории docker в образе Additional.iso
- Основной контейнер testapp должен называться tespapp
- Контейнер с базой данных должен называться db
- Импортируйте образы в docker, укажите в yaml файле параметры подключения к СУБД, имя БД - testdb, пользователь test с паролем P@ssw0rd, порт приложения 8080, при необходимости другие параметры
Установить необходимые пакеты для работы с Docker и Docker Compose с помощью следующей команды:
apt-get install –y docker-engine docker-compose-v2
После установки необходимых пакетов стоит запустить службу docker:
systemctl enable --now docker.service
Выполнить монтирование Additional.iso в директорию /mnt:
mount /dev/sr0 /mnt/
Выполнить импорт образа mariadb_latest и site_latest:
docker load < /mnt/docker/site_latest.tar docker load < /mnt/docker/mariadb_latest.tar
Создать любым удобным текстовым редактором, например vim, файл docker-compose.yaml и поместить в него следующее содержимое:
services:
database:
container_name: db
image: mariadb:10.11
restart: always
ports:
- "3306:3306"
environment:
MARIADB_USER: test
MARIADB_PASSWORD: P@ssw0rd
MARIADB_DATABASE: testdb
MARIADB_ROOT_PASSWORD: P@ssw0rd
healthcheck:
test: ["CMD-SHELL", "mariadb-admin ping -h localhost -p$$MARIADB_ROOT_PASSWORD || exit 1"]
interval: 5s
timeout: 5s
retries: 5
app:
container_name: testapp
image: site:latest
restart: always
ports:
- "8080:8000"
environment:
DB_HOST: "database" # Указываем имя сервиса из верхней секции
DB_PORT: "3306"
DB_NAME: "testdb" # Совпадает с базой в MariaDB
DB_USER: "test" # Совпадает с пользователем в MariaDB
DB_PASS: "P@ssw0rd" # Совпадает с паролем в MariaDB
DB_TYPE: "maria"
depends_on:
database: # Исправлено имя сервиса (было db)
condition: service_healthyЗапустить стек контейнеров с веб-приложением и базой данных:
docker compose up -d
- Приложение должно быть доступно для внешних подключений через порт 8080
Проверьте сначала на сервере откликается ли контейнер:
[root@br-srv testapp]# curl -I http://127.0.0.1:8080 HTTP/1.1 405 Method Not Allowed date: Fri, 29 May 2026 09:05:33 GMT server: uvicorn allow: GET content-length: 31 content-type: application/json
Затем на пк HQ-CLI зайдите в FireFox и вбейте адрес BR-SRV и порт 8080 (ip BR-SRV:8080)
192.168.0.2:8080
7. Разверните веб приложение на сервере HQ-SRV:
Установить пакет lamp-server для работы веб-сервера Apache с базой данных MariaDB и PHP:
apt-get install –y lamp-server
Выполнить монтирование Additional.iso в директорию /mnt:
mount /dev/sr0 /mnt/
Произвести копирование файлов веб-приложения в директорию /var/www/html:
cp /mnt/web/index.php /var/www/html cp /mnt/web/logo.png /var/www/html
Включить и добавить в автозагрузку службу mariadb:
systemctl enable --now mariadb
Перейти в интерфейс управления MariaDB:
mariadb –u root
Создать базу данных с именем webdb:
CREATE DATABASE webdb;
Создать пользователя webc с паролем P@ssw0rd:
CREATE USER ‘webc’@’localhost’ IDENTIFIED BY ‘P@ssw0rd’;
Назначить пользователю webc полные права на базу данных webdb, после чего выйти из интерфейса управления MariaDB:
GRANT ALL PRIVILEGES ON webdb.* TO ‘webc’@’localhost’ WITH GRANT OPTION; EXIT;
Из директории /mnt/web/ скопировать файл dump.sql и выполнить им- порт схемы и данных из файла dump.sql в базу данных webdb:
cp /mnt/web/dump.sql ./ mariadb –u webc –p –D webdb < dump.sql
Если dump.sql имеет кодировку UTF-16, то перед этим сделать:
Iconv -f UTF-16LE -t UTF-8 dump.sql -o dump_new.sql
И тогда в итоге для импорта схемы и данных необходимо будет использовать команду:
mariadb –u webc –p –D webdb < dump_new.sql
- Используйте веб-сервер apache
- В качестве системы управления базами данных используйте mariadb
- Файлы веб приложения и дамп базы данных находятся в директории web
образа Additional.iso
- Выполните импорт схемы и данных из файла dump.sql в базу данных
webdb
- Создайте пользователя webс паролем P@ssw0rd и предоставьте ему
права доступа к этой базе данных
- Файлы index.php и директорию images скопируйте в каталог веб сервера
apache
- В файле index.php укажите правильные учётные данные для
подключения к БД
- Запустите веб сервер и убедитесь в работоспособности приложения
- Основные параметры отметьте в отчёте
8. На маршрутизаторах сконфигурируйте статическую трансляцию портов:
Из режима администрирования (conf t) выполнить следующую команду:
ip nat source static tcp <IP-АДРЕС_УСТРОЙСТВА_ЛОКАЛЬНОЙ_СЕТИ> <ПОРТ_ УСТРОЙСТВА_ЛОКАЛЬНОЙ_СЕТИ> <ВНЕШНИЙ_IP-АДРЕС_УСТРОЙСТВА> <ПОРТ_ДЛЯ_ ОБРАЩЕНИЯ_ИЗ_ВНЕШНЕЙ_СЕТИ>
- Пробросьте порт 8080 в порт приложения testapp BR-SRV на
маршрутизаторе BR-RTR, для обеспечения работы приложения testapp извне:
br-rtr(config)#ip nat source static tcp 192.168.0.2 8080 172.16.2.2 8080
- Пробросьте порт 8080 в порт веб приложения на HQ-SRV на
маршрутизаторе HQ-RTR, для обеспечения работы веб приложения извне:
hq-rtr(config)#ip nat source static tcp 192.168.100.2 80 172.16.1.2 8080
- Пробросьте порт 2026 на маршрутизаторе HQ-RTR в порт 2026сервера
HQ-SRV, для подключения к серверу по протоколу ssh из внешних сетей
hq-rtr(config)#ip nat source static tcp 192.168.100.2 2026 172.16.1.2 2026 hq-rtr(config)#write memory
- Пробросьте порт 2026 на маршрутизаторе BR-RTR в порт 2026сервера
BR-SRV, для подключения к серверу по протоколу ssh из внешних сетей.
br-rtr(config)#ip nat source static tcp 192.168.0.2 2026 172.16.2.2 2026 br-rtr(config)#write memory
9. Настройте веб-сервер nginx как обратный прокси-сервер на ISP
- При обращении по доменному имени web.au-team.irpo у клиента должно
открываться веб приложение на HQ-SRV
Как делать? Установите пакет nginx:
apt-get install -y nginx
Настроить nginx как реверсивный прокси-сервер, приведя файл /etc/nginx/sites-available.d/default.conf к следующему виду любым удобным текстовым редактором, например vim:
server {
listen 80;
server_name web.au-team.irpo;
location / {
proxy_pass http://172.16.1.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
server {
listen 80;
server_name docker.au-team.irpo;
location / {
proxy_pass http://172.16.2.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Добавить символическую ссылку на данный файл:
ln -s /etc/nginx/sites-available.d/default.conf /etc/nginx/sites-enabled.d/
Запустить и активировать службу nginx:
systemctl enable --now nginx
Поскольку в домене SambaDC нет DNS записей, ссылающихся на необходимые имена, а на HQ-CLI в качестве DNS-сервера задан адрес именно контроллера домена, то необходимо добавить записи в файл /etc/hosts на виртуальной машине HQ-CLI (привести к виду файл):
[root@hq-cli ~]# cat /etc/hosts 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain localhost6 172.16.1.1 web.au-team.irpo 172.16.2.1 docker.au-team.irpo [root@hq-cli ~]#
- При обращении по доменному имени docker.au-team.irpo клиента
должно открываться веб приложение testapp
!!! В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ В БРАУЗЕРЕ HQ-CLI ПИШИТЕ АДРЕСА: http://web.au-team.irpo http://docker.au-team.irpo
10. На маршрутизаторе ISP настройте web-based аутентификацию:
- При обращении к сайту web.au-team.irpo клиенту должно быть предложено ввести аутентификационные данные
- В качестве логина для аутентификации выберите WEB с паролем P@ssw0rd
- Выберите файл /etc/nginx/.htpasswd в качестве хранилища учётных записей
Как делать? Установить пакет apache2:
apt-get install -y apache2
Средствами утилиты htpasswd создать пользователя WEB и добавитьинформацию о нем в файл /etc/nginx/.htpasswd, задав пароль P@ssw0rd:
htpasswd –c /etc/nginx/.htpasswd WEB
Добавить web-based аутентификацию для доступа к сайту web.au-team.irpo в конфигурационный файл /etc/nginx/sites-available.d/default.conf любым удобным текстовым редактором, например vim:
server {
listen 80;
server_name web.au-team.irpo;
location / {
proxy_pass http://172.16.1.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
auth_basic "Restricted area";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}
server {
listen 80;
server_name docker.au-team.irpo;
location / {
proxy_pass http://172.16.2.2:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Перезапустить службу nginx:
systemctl restart nginx
- При успешной аутентификации клиент должен перейти на веб-сайт.
11. Удобным способом установите приложение Яндекс Браузер на HQ-CLI
Как делать? От имени суперпользователя выполнить:
apt-get install –y yandex-browser-stable
- Установку браузера отметьте в отчёте.
МОДУЛЬ 3. ЭКСПЛУАТАЦИЯ ОБЪЕКТОВ СЕТЕВОЙ ИНФРАСТРУКТУРЫ
1. Выполните импорт пользователей в домен au-team.irpo:
- В качестве файла источника выберите файл users.csv располагающийся
в образе Additional.iso
- Пользователи должны быть импортированы со своими паролями и
другими атрибутами
- Убедитесь, что импортированные пользователи могут войти на машину
HQ-CLI
2. Выполните настройку центра сертификации на базе HQ-SRV:
- Необходимо использовать отечественные алгоритмы шифрования
- Сертификаты выдаются на 30дней
- Обеспечьте доверие сертификату для HQ-CLI
- Выдайте сертификаты веб серверам
- Перенастройте ранее настроенный реверсивный прокси nginx на
протокол https
- При обращении к веб серверам https://web.au-team.irpo и
https://docker.au-team.irpo у браузера клиента не должно возникать предупреждений.
3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика
- Настройте защищенный туннель между HQ-RTR и BR-RTR
- Внесите необходимые изменения в конфигурацию динамической маршрутизации, протокол динамической маршрутизации должен возобновить работу после перенастройки туннеля
- Выбранное программное обеспечение, обоснование его выбора и его основные параметры, изменения в конфигурации динамической маршрутизации отметьте в отчёте.
4. Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP
- Обеспечьте работу протоколов http, https, dns, ntp, icmp или
дополнительных нужных протоколов
- Запретите остальные подключения из сети Интернет во внутреннюю
сеть.
5. Настройте принт-сервер cups на сервере HQ-SRV:
- Опубликуйте виртуальный pdf-принтер
- На клиенте HQ-CLI подключите виртуальный принтер как принтер по
умолчанию.
6. Реализуйте логирование при помощи rsyslog на устройствах HQ-RTR, BR-RTR, BR-SRV:
- Сервер сбора логов расположен на HQ-SRV, убедитесь, что сервер не
является клиентом самому себе
- Приоритет сообщений должен быть не ниже warning
- Все журналы должны находиться в директории /opt. Для каждого
устройства должна выделяться своя поддиректория, которая совпадает с именем машины
- Реализуйте ротацию собранных логов на сервере HQ-SRV:
- Ротируются все логи, находящиеся в директории и
поддиректориях /opt
- Ротация производится один раз в неделю
- Логи необходимо сжимать
- Минимальный размер логов для ротации – 10МБ.
7. На сервере HQ-SRV реализуйте мониторинг устройств с помощью открытого программного обеспечения
- Обеспечьте доступность по URL - http://mon.au-team.irpo для сетей
офиса HQ, внесите изменения в инфраструктуру разрешения доменных имён
- Мониторить нужно устройства HQ-SRV и BR-SRV
- В мониторинге должны визуально отображаться нагрузка на ЦП, объем занятой ОП и основного накопителя
- Логин и пароль для службы мониторинга admin P@ssw0rd
- Организуйте доступ к мониторингу для HQ-CLI, без внешнего доступа
- Выбор программного обеспечения, основание выбора и основные параметры с указанием порта, на котором работает мониторинг, отметьте в отчёте
8. Реализуйте механизм инвентаризации машин HQ-SRV и HQ-CLI через Ansible на BR-SRV:
- Плейбук должен собирать информацию о рабочих местах:
- Имя компьютера
- IP-адрес компьютера
- Плейбук, должен быть размещен в директории /etc/ansible, отчёты в поддиректории PC-INFO, в формате .yml. Файлы должны называется именем компьютера, который был инвентаризирован
- Файл плейбука располагается в образе Additional.iso в директории playbook
9. На HQ-SRV настройте программное обеспечение fail2ban для защиты ssh
- Укажите порт ssh
- При 3 неуспешных авторизациях адрес атакующего попадает в бан
- Бан производится на 1 минуту
10. Настройка резервного копирования директории сервера HQ-SRV:
- На HQ-SRV развернуть программное обеспечение для резервного копирования и восстановления данных с защитой от вирусов-шифровальщиков
- В качестве решения рекомендуется использовать программное обеспечение Кибер Бэкап версии 17.4 или аналог
- Настройте организацию irpo
- Настройте пользователя с правами администратора на сервере HQ-SRV, имя пользователя irpoadmin с паролем P@ssw0rd
- Установите на HQ-CLI агент с функциями узла хранилища и подключите его к серверу управления
- На узле хранилища HQ-CLI создайте директорию /backup и выберите её в качестве устройства хранения
- Создайте два плана резервного копирования для сервера HQ-SRV
- план для резервного копирования директории /etc и всех её поддиректорий
- план для резервного копирования базы данных webdb типа mysql
- Выполните резервное копирование директории /etc и всех её поддиректорий сервера HQ-SRV на узел хранения HQ-CLI
- Выполните резервное копирование базы данных webdb сервера HQ-SRV на узел хранения HQ-CLI