diff --git a/README.md b/README.md index cbbc9b1..0de547d 100644 --- a/README.md +++ b/README.md @@ -657,11 +657,19 @@ ________________________________________________________________________________

- +

Создаем группу hq и в нее добавляем раннее созданных пользователей

+

+ +

+ +

+ +

+ Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы не имеют права

*CLI*

@@ -730,7 +738,7 @@ ________________________________________________________________________________

-Создайте RAID 5 массив из трех 1Гб дисков (предположим, они определены как /dev/sdb, /dev/sdc, и /dev/sdd): +Создайте RAID 0 массив из трех 1Гб дисков (предположим, они определены как /dev/sdb, /dev/sdc, и /dev/sdd): Скачаем службу mdadm: @@ -739,7 +747,7 @@ ________________________________________________________________________________

- +

Проверяем: @@ -751,13 +759,13 @@ ________________________________________________________________________________ Проверьте статус RAID массива:

- +

Сохраните конфигурацию массива в файл /etc/mdadm.conf:

- +

1. Создание файловой системы и настройка монтирования @@ -765,21 +773,27 @@ ________________________________________________________________________________ Создайте раздел и отформатируйте его в ext4:

- +

Создайте точку монтирования и настройте автоматическое монтирование в /etc/fstab:

- + +

+ +

+

Смонтируйте файловую систему:

- +

+**Больше не перезагружай hq-srv(появиться ошибка с raid’ом)** + 2. Настройка NFS-сервера на HQ-SRV Установите NFS-сервер (если он еще не установлен): @@ -791,20 +805,20 @@ ________________________________________________________________________________ Создайте директорию для общего доступа:

- +

Настройте права доступа для общей папки:

- +

Настройте экспорт NFS для всей сети с разрешением на чтение и запись. Откройте файл /etc/exports и добавьте строку:

- +

Примените изменения в конфигурации NFS: @@ -824,6 +838,8 @@ ________________________________________________________________________________ 3. Настройка автомонтирования на HQ-CLI (под ALT Workstation) +**(СДЕЛАТЬ SNAPSHOT НА HQ-CLI)** +

*HQ-CLI*

Создайте точку монтирования: @@ -835,7 +851,7 @@ ________________________________________________________________________________ Настройте автомонтирование в /etc/fstab, откройте этот файл и добавьте следующую строку:

- +

Смонтируйте папку вручную (или перезагрузите систему для применения настроек): @@ -847,7 +863,7 @@ ________________________________________________________________________________ Проверка подключения NFS на HQ-CLI:

- +

> **РЕКОМЕНДАЦИЯ:** @@ -865,7 +881,7 @@ ________________________________________________________________________________ Установим пакет chrony на каждой машине: -***apt install -y chrony*** +***apt update && apt install -y chrony*** Приводим конфигурационный файл "chrony.conf" к следующему виду: @@ -907,6 +923,7 @@ ________________________________________________________________________________ Приводим конфигурационный файл "chrony.conf" к следующему виду: ***nano /etc/chrony/chrony.conf*** +> На HQ-CLI /etc/chrony.conf

@@ -971,7 +988,7 @@ Ansible обычно уже использует /etc/ansible как рабоч ***curl -o /etc/ansible/hosts https://raw.githubusercontent.com/4bobus/laba/refs/heads/main/files/hosts.file*** -***dos2unix /etc/ansible/hosts.file*** +***dos2unix /etc/ansible/hosts*** - Проверяем его наличие: diff --git a/files/backup.yml b/files/backup.yml index 0360bfe..71c37ee 100644 --- a/files/backup.yml +++ b/files/backup.yml @@ -29,7 +29,7 @@ - name: Copy saved rules nftables ansible.builtin.fetch: src: /etc/nftables.conf - dest: /etc/ansible/NETWORK_INFO/{{ inventory_hostname }}/nftalbes.conf + dest: /etc/ansible/NETWORK_INFO/{{ inventory_hostname }}/nftables.conf flat: yes become: yes diff --git a/files/br-rtr/nftables.conf b/files/br-rtr/nftables.conf index 350f175..5590baf 100755 --- a/files/br-rtr/nftables.conf +++ b/files/br-rtr/nftables.conf @@ -8,7 +8,7 @@ table inet filter { log prefix "Dropped Input: " level debug iif lo accept ct state established,related accept - tcp dport { 22,514,53,80,443,2024,445,139,88 } accept + tcp dport { 22,514,53,80,443,3015,445,139,88 } accept udp dport { 53,123,500,4500,88,137 } accept ip protocol icmp accept ip protocol esp accept @@ -20,7 +20,7 @@ table inet filter { log prefix "Dropped forward: " level debug iif lo accept ct state established,related accept - tcp dport { 22,514,53,80,443,2024,445,139,88 } accept + tcp dport { 22,514,53,80,443,3015,445,139,88 } accept udp dport { 53,123,500,4500,88,137 } accept ip protocol icmp accept ip protocol esp accept diff --git a/files/hosts.file b/files/hosts.file index 4dbfe9a..78f1aeb 100644 --- a/files/hosts.file +++ b/files/hosts.file @@ -1,5 +1,5 @@ [hq] -HQ-SRV ansible_host=sshuser@hq-srv.au-team.irpo ansible_port=2024 +HQ-SRV ansible_host=sshuser@hq-srv.au-team.irpo ansible_port=3015 HQ-CLI ansible_host=hq-cli.au-team.irpo HQ-RTR ansible_host=hq-rtr.au-team.irpo diff --git a/files/hq-rtr/nftables.conf b/files/hq-rtr/nftables.conf index 65dc12b..5ad36ee 100755 --- a/files/hq-rtr/nftables.conf +++ b/files/hq-rtr/nftables.conf @@ -8,7 +8,7 @@ table inet filter { log prefix "Dropped Input: " level debug iif lo accept ct state established,related accept - tcp dport { 22,514,53,80,443,2024,445,139,88 } accept + tcp dport { 22,514,53,80,443,3015,445,139,88 } accept udp dport { 53,123,500,4500,88,137 } accept ip protocol icmp accept ip protocol esp accept @@ -20,7 +20,7 @@ table inet filter { log prefix "Dropped forward: " level debug iif lo accept ct state established,related accept - tcp dport { 22,514,53,80,443,2024,445,139,88 } accept + tcp dport { 22,514,53,80,443,3015,445,139,88 } accept udp dport { 53,123,500,4500,88,137 } accept ip protocol icmp accept ip protocol esp accept