From ea03ffb356ba0529f85b47186d05a1956044983b Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 12:05:51 +0500 Subject: [PATCH 01/11] Update README.md --- README.md | 108 ++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 108 insertions(+) diff --git a/README.md b/README.md index f4fb6f5..f4d14eb 100644 --- a/README.md +++ b/README.md @@ -1490,3 +1490,111 @@ ________________________________________________________________________________ ##

МОДУЛЬ 3

(1,2 заданий не будет, 7ое задание будет)

+ +###

3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика

+ +

*HQ-RTR*

+ +1. Для начала необходимо установить пакет на наш роутер HQ-RTR: + +***apt update*** +***apt install strongswan*** + +

+ +

+ +2. Конфигурация IPsec: + +На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее: + +

+ +

+ +Далее нужно настроить файл ipsec.secrets. Вносим туда строку: + +***172.16.4.2 172.16.5.2 : PSK “123qweR%”*** + +

+ +

+ +Ещё один конфиг charon.conf, открываем его b редактируем в нём следующую строку, приводя к виду: + +***install_routes = no*** + +

+ +

+ +И осталось только перезагрузить службу ipsec: + +***ipsec restart*** + +

+ +

+ +

*BR-RTR*

+ +1. Для начала необходимо установить пакет на наш роутер BR-RTR: + +***apt update*** +***apt install strongswan*** + +

+ +

+ +2. Конфигурация IPsec: + +На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее: + +

+ +

+ +Далее нужно настроить файл ipsec.secrets. Вносим туда строку: + +***172.16.5.2 172.16.4.2 : PSK “123qweR%”*** + +

+ +

+ +Ещё один конфиг charon.conf, открываем его и редактируем в нём следующую строку, приводя к виду: + +***install_routes = no*** + +

+ +

+ +И осталось только перезагрузить службу ipsec: + +***ipsec restart*** + +

+ +

+ +3. Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump: + +***apt install tcpdump*** + +И теперь мы можем проверить это, пропишем на роутере BR-RTR команду: + +***tcpdump -i eth18 -n -p esp*** + +А на роутере HQ-RTR отправим эхо-запрос на порту в сторону branch: + +***ping 192.168.200.2*** + +Как можно заметить, на правом роутере мы видим зашифрованные пакеты с меткой ESP: + +

+ +

+ +Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами. From 9aedacfcece514cc0dfdccfc487aad443718e0ca Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 12:14:25 +0500 Subject: [PATCH 02/11] Update README.md --- README.md | 51 ++++++++++++++++++++++++++++++++++++++++++++++++++- 1 file changed, 50 insertions(+), 1 deletion(-) diff --git a/README.md b/README.md index f4d14eb..1b6c451 100644 --- a/README.md +++ b/README.md @@ -1596,5 +1596,54 @@ ________________________________________________________________________________

+> Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами. + +###

4. Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP

+ +Для выполнения этого задания нам нужно обеспечить работу только нужных протоколов, а именно: HTTP, HTTPS, DNS, NTP, ICMP. А также запретить остальные подключения из сети Интернет во внутреннюю сеть. + +

*HQ-RTR*

+ +Отредактируем nftables под текст задания: + +

+ +

+ +Не забываем применять: + +

+ +

+ +

*BR-RTR *

+ +

+ +

+ +

+ +

+ +И проверим, не отвалился ли туннель ipsec после настройки правил на HQ-RTR: + +***ipsec status*** + +

+ +

+> Видим, что соединение установлено и всё хорошо! + +Проверим также наличие связи между конечными устройствами, отправим эхо-запрос с *HQ-CLI на BR-SRV*: + +***ping 192.168.200.2*** + + +

+ +

+> Связь есть, всё отлично! Задание выполнено! + +###

5. Настройте принт-сервер cups на сервере HQ-SRV.

-Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами. From a91377a1e7370f150818001802bc57c16562e933 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 12:15:46 +0500 Subject: [PATCH 03/11] Update README.md --- README.md | 4 ++++ 1 file changed, 4 insertions(+) diff --git a/README.md b/README.md index 1b6c451..63cee7c 100644 --- a/README.md +++ b/README.md @@ -1485,6 +1485,7 @@ ________________________________________________________________________________

+ > **ПРИМЕЧАНИЕ:** > Установку браузера отметьте в отчёте @@ -1596,6 +1597,7 @@ ________________________________________________________________________________

+ > Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами. ###

4. Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP

@@ -1633,6 +1635,7 @@ ________________________________________________________________________________

+ > Видим, что соединение установлено и всё хорошо! Проверим также наличие связи между конечными устройствами, отправим эхо-запрос с *HQ-CLI на BR-SRV*: @@ -1643,6 +1646,7 @@ ________________________________________________________________________________

+ > Связь есть, всё отлично! Задание выполнено! ###

5. Настройте принт-сервер cups на сервере HQ-SRV.

From a6dbadcf80ff90695a5e5c96185e73b38e7fd28b Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 12:40:56 +0500 Subject: [PATCH 04/11] Update README.md --- README.md | 215 +++++++++++++++++++++++++++++++++++++++++++++++++++++- 1 file changed, 214 insertions(+), 1 deletion(-) diff --git a/README.md b/README.md index 63cee7c..269eede 100644 --- a/README.md +++ b/README.md @@ -1642,7 +1642,6 @@ ________________________________________________________________________________ ***ping 192.168.200.2*** -

@@ -1651,3 +1650,217 @@ ________________________________________________________________________________ ###

5. Настройте принт-сервер cups на сервере HQ-SRV.

+1. Для начала необходимо установить пакеты cups и cups-pdf на HQ-SRV: + +

+ +

+ +Теперь необходимо включить службу cups, чтобы она запускалась вместе с системой: + +***systemctl enable –now cups*** + +Далее, необходимо отредактировать конфиг /etc/cups/cupsd.conf +Во всех блоках Location необходимо добавить строку Allow all, как на скриншоте: + +

+ +

+ +

+ +

+ +Перезапускаем службу cups для применения изменений: + +systemctl restart cups + +2. Переходим к подключению клиента HQ-CLI + +Скачиваем cups: + +***apt-get install cups cups-pdf -y*** + +

+ +

+ +На HQ-CLI выполняем следующую команду для подключения к принт-серверу: + +***lpadmin -p CUPS -E -v ipp://hq-srv.au-team.irpo:631/printers/PDF -m everywhere*** + +Установим принтер CUPS, как принтер по умолчанию: + +***lpoptions -d CUPS*** + +

+ +

+ +> Как можно заметить, принтер CUPS успешно подключен. + +Из-за того, что на HQ-CLI также установлен принт-сервер, можно отключить локальный принтер “Cups-PDF”, чтобы он не мешал. + +***lpadmin -x Cups-PDF*** + +

+ +

+ +Теперь у нас остался один принтер. Проверим его работу. Откроем любой текстовый документ и попробуем его распечатать. + +

+ +

+ +Перейдем в веб-интерфейс CUPS по адресу https://hq-srv.au-team.irpo:631 +- Вкладка *Принтеры* +- Выбираем наш принтер. +- Жмем кнопку Показать все задания + +###

6. Реализуйте логирование при помощи rsyslog на устройствах HQ-RTR, BR-RTR, BR-SRV

+ +1. Сперва необходимо настроить наш сервер для сбора логов. + +Установим пакет rsyslog на HQ-SRV: + +apt install rsyslog + +Далее, отредактируем файл конфигурации, расположенный по пути +/etc/rsyslog.conf: + +

+ +

+ +> Для передачи логов будем использовать протокол TCP, поэтому раскомментируем (уберем #) модуль imtcp, чтобы rsyslog мог получать логи с удаленных узлов. + +

+ +

+ +> Также необходимо в конец конфига добавить шаблон для сбора логов, чтобы rsyslog сохранял логи по пути, который указан в задании. + +Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений: + +***systemctl enable rsyslog*** +***systemctl restart rsyslog*** + +

+ +

+ +> Сервер для приема логов настроен + +2. Переходим к настройке клиентов. Начнем с роутеров. + +Установим пакет rsyslog на HQ-RTR: + +

+ +

+ +

+ +

+ +Далее, отредактируем файл конфигурации, расположенный по пути +/etc/rsyslog.conf: + +

+ +

+ +> В блоке MODULES необходимо раскомментировать модули, которые обеспечивают поддержку логирования. (Все кроме модуля imuxsock, потому что вместо него будет использован модуль imjournal). Модуль imjournal придется дописать вручную. + +Теперь опускаемся в самый низ конфига, там расположены правила. + +Добавляем в самый конец строку, которая отвечает за отправку логов уровня предупреждения (warning) и выше: + +****.warning @@192.168.100.2:514*** + +

+ +

+ +Теперь перезапускаем службу rsyslog, чтобы применить изменения. + +***systemctl restart rsyslog*** + +*НА BR-RTR НУЖНО ПОВТОРИТЬ АНАЛАГИЧНО.* + +3. Продолжаем настройку клиентов на BR-SRV + +Установим на BR-SRV пакет rsyslog: + +***apt install rsyslog*** + +

+ +

+ +Далее, отредактируем файл конфигурации, расположенный по пути /etc/rsyslog.conf: + +

+ +

+ +> Здесь также необходимо раскомментировать модули imjournal, imklog, immark + +

+ +

+ +> И добавить строку в конец конфига для того, чтобы логи отправлялись на сервер. + +Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений: + +***systemctl enable rsyslog*** +***systemctl restart rsyslog*** + +

+ +

+ +4. За время пока выполнялась настройка клиентов уже должны появиться логи, проверим каталог /opt на HQ-SRV: + +

+ +

+ +> Как можно заметить, были автоматически созданы каталоги с именами клиентов. В каждом из них есть файл rsyslog.txt + +Проверим, что логируются только сообщения уровня warning и выше. + +Добавим несколько записей различного уровня в лог на любом из клиентов, например на BR-SRV, командами: + +***logger -p user.info “Test info”*** + +***logger -p user.warning “Test warning”*** +> сообщения уровня warning: + +***logger -p user.error “Test error”*** +> сообщения уровня error: + +

+ +

+ +Теперь проверим на HQ-SRV содержимое файла /opt/br-srv/rsyslog.txt: + +

+ +

+ +> Как можно заметить, здесь появились только сообщения уровня warning и error. + +5. Перейдем к настройке ротации логов. На HQ-SRV создадим файл /etc/logrotate.d/rsyslog +Запишем в него следующее содержимое: + +

+ +

+ +> Настройка ротации на этом закончена, каждую неделю будут проверяться логи и если какие-то из них больше 10МБ, они будут сжаты в архив. + +###

8. Реализуйте механизм инвентаризации машин HQ-SRV и HQ-CLI через Ansible на BR-SRV

From b3eb52e22b1f8f3bf5d42158b1fbdb516550b36d Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 12:46:01 +0500 Subject: [PATCH 05/11] Update README.md --- README.md | 3 ++- 1 file changed, 2 insertions(+), 1 deletion(-) diff --git a/README.md b/README.md index 269eede..c48fd5c 100644 --- a/README.md +++ b/README.md @@ -1661,7 +1661,6 @@ ________________________________________________________________________________ ***systemctl enable –now cups*** Далее, необходимо отредактировать конфиг /etc/cups/cupsd.conf -Во всех блоках Location необходимо добавить строку Allow all, как на скриншоте:

@@ -1671,6 +1670,8 @@ ________________________________________________________________________________

+> Во всех блоках Location необходимо добавить строку Allow all, как на скриншоте + Перезапускаем службу cups для применения изменений: systemctl restart cups From 8368d707c831e5ca8dd2866ebf54626648c9598b Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 13:05:34 +0500 Subject: [PATCH 06/11] Update README.md --- README.md | 45 +++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 45 insertions(+) diff --git a/README.md b/README.md index c48fd5c..4b1aa6a 100644 --- a/README.md +++ b/README.md @@ -1865,3 +1865,48 @@ apt install rsyslog > Настройка ротации на этом закончена, каждую неделю будут проверяться логи и если какие-то из них больше 10МБ, они будут сжаты в архив. ###

8. Реализуйте механизм инвентаризации машин HQ-SRV и HQ-CLI через Ansible на BR-SRV

+ +1. Для начала необходимо создать каталог, в котором будут размещены отчеты о рабочих местах: + +***mkdir /etc/ansible/PC_INFO*** + +

+ +

+ +2. Далее, создадим плейбук /etc/ansible/inventory.yml: + +

+ +

+ +со следующим содержимым: + +

+ +

+ +3. Проверим работу, командой: + +***ansible-playbook /etc/ansible/inventory.yml*** + +

+ +

+ +> Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука это ожидаемое поведение. +> Если запустить плейбук ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно. + +4. Проверим наличие и содержимое, созданных отчетов: + +***ls -la /etc/ansible/PC_INFO*** +***cat /etc/ansible/PC_INFO/hq-cli.yml*** +***cat /etc/ansible/PC_INFO/hq-srv.yml*** + +

+ +

+ +> Как можно заметить, отчеты созданы и содержат необходимую информацию. Задание выполнено. + +###

9. Реализуйте механизм резервного копирования конфигурации для машин HQ-RTR и BR-RTR, через Ansible на BR-SRV

From c16d99467dd5cb7492c7e0b96ccaac0d16974091 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 13:11:23 +0500 Subject: [PATCH 07/11] Update README.md --- README.md | 57 +++++++++++++++++++++++++++++++++++++++++++++++++++++-- 1 file changed, 55 insertions(+), 2 deletions(-) diff --git a/README.md b/README.md index 4b1aa6a..f0225c4 100644 --- a/README.md +++ b/README.md @@ -1894,8 +1894,8 @@ apt install rsyslog

-> Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука это ожидаемое поведение. -> Если запустить плейбук ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно. +> - Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука это ожидаемое поведение. +> - Если запустить плейбук ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно. 4. Проверим наличие и содержимое, созданных отчетов: @@ -1910,3 +1910,56 @@ apt install rsyslog > Как можно заметить, отчеты созданы и содержат необходимую информацию. Задание выполнено. ###

9. Реализуйте механизм резервного копирования конфигурации для машин HQ-RTR и BR-RTR, через Ansible на BR-SRV

+ +1. Создадим также каталог, в котором будут размещены резервные копии конфигураций маршрутизаторов: + +***mkdir /etc/ansible/NETWORK_INFO*** + +

+ +

+ +2. И создаём сам плейбук /etc/ansible/backup.yml: + +

+ +

+ +со следующим содержимым: + +*ОБЯЗАТЕЛЬНО УСТАНОВИТЕ sudo НА HQ-RTR и BR-RTR* + +

+ +

+ +3. Абсолютно также, как и в предыдущем задании, проверяем его работу, командой: + +***ansible-playbook /etc/ansible/backup.yml*** + +

+ +

+ +> - Как и в прошлом задании, Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука так и должно быть. +> - И если запустить его ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно. + +4. Проверим наличие созданных отчетов: + +***ls -la /etc/ansible/NETWORK_INFO*** +***ls -la /etc/ansible/NETWORK_INFO/HQ-RTR*** +***ls -la /etc/ansible/NETWORK_INFO/BR-RTR*** + +

+ +

+ +А также их содержимое, если хотите убедиться, что действительно скопировалось, для примера покажем файл interfaces с маршрутизатора HQ-RTR, остальные можете сами: + +cat /etc/ansible/NETWORK_INFO/HQ-RTR/interfaces + +

+ +

+ +> По итогу все резервные копии конфигураций созданы и содержат необходимую информацию. Задание выполнено. From ede86f45a9f7e4a69eedbc9005a7daa11483bbe8 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 13:11:44 +0500 Subject: [PATCH 08/11] Update README.md --- README.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/README.md b/README.md index f0225c4..d193a10 100644 --- a/README.md +++ b/README.md @@ -1956,7 +1956,7 @@ apt install rsyslog А также их содержимое, если хотите убедиться, что действительно скопировалось, для примера покажем файл interfaces с маршрутизатора HQ-RTR, остальные можете сами: -cat /etc/ansible/NETWORK_INFO/HQ-RTR/interfaces +***cat /etc/ansible/NETWORK_INFO/HQ-RTR/interfaces***

From 3e61bf2c5f0dea4fcdef498926942251e69c9251 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 15:53:33 +0500 Subject: [PATCH 09/11] Update README.md --- README.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/README.md b/README.md index d193a10..7d1554b 100644 --- a/README.md +++ b/README.md @@ -1586,9 +1586,9 @@ ________________________________________________________________________________ И теперь мы можем проверить это, пропишем на роутере BR-RTR команду: -***tcpdump -i eth18 -n -p esp*** +***tcpdump -i ens18 -n -p esp*** -А на роутере HQ-RTR отправим эхо-запрос на порту в сторону branch: +А на роутере HQ-RTR отправим эхо-запрос на порту в сторону branch(br-srv): ***ping 192.168.200.2*** From 940e6ad43fcd3dcd5abd88a5bc7dd65a878c9588 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 15:55:34 +0500 Subject: [PATCH 10/11] Update README.md --- README.md | 10 +++++----- 1 file changed, 5 insertions(+), 5 deletions(-) diff --git a/README.md b/README.md index 7d1554b..1d32c33 100644 --- a/README.md +++ b/README.md @@ -1496,7 +1496,7 @@ ________________________________________________________________________________

*HQ-RTR*

-1. Для начала необходимо установить пакет на наш роутер HQ-RTR: +1. Для начала необходимо установить пакет на наш роутер *HQ-RTR*: ***apt update*** ***apt install strongswan*** @@ -1539,7 +1539,7 @@ ________________________________________________________________________________

*BR-RTR*

-1. Для начала необходимо установить пакет на наш роутер BR-RTR: +1. Для начала необходимо установить пакет на наш роутер *BR-RTR*: ***apt update*** ***apt install strongswan*** @@ -1580,15 +1580,15 @@ ________________________________________________________________________________

-3. Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump: +3. Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump *на BR-RTR*: ***apt install tcpdump*** -И теперь мы можем проверить это, пропишем на роутере BR-RTR команду: +И теперь мы можем проверить это, пропишем на роутере *BR-RTR* команду: ***tcpdump -i ens18 -n -p esp*** -А на роутере HQ-RTR отправим эхо-запрос на порту в сторону branch(br-srv): +А на роутере *HQ-RTR* отправим эхо-запрос на порту в сторону branch(br-srv): ***ping 192.168.200.2*** From 40a93612e22accbd0abfd6855474343ea81e4533 Mon Sep 17 00:00:00 2001 From: 4bobus Date: Tue, 10 Jun 2025 16:08:45 +0500 Subject: [PATCH 11/11] Update README.md --- README.md | 5 +++-- 1 file changed, 3 insertions(+), 2 deletions(-) diff --git a/README.md b/README.md index 1d32c33..d5e6e86 100644 --- a/README.md +++ b/README.md @@ -664,8 +664,9 @@ ________________________________________________________________________________

*CLI*

-Настройте файл /etc/sudoers на рабочей станции Linux, как описано в предыдущем ответе, используя синтаксис для доменных групп: -%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id +Настройте файл */etc/sudoers* на рабочей станции Linux, как описано в предыдущем ответе, используя синтаксис для доменных групп: + +***%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id*** > **РЕКОМЕНДАЦИЯ:** > НА BR-SRV скачиваем: apt install –y mariadb-*