demo2026-1/README.md

laba/Вариант 1

МОДУЛЬ 1

Задание : Необходимо разработать и настроить инфраструктуру информационно коммуникационной системы согласно предложенной топологии (см. Рисунок 1). Задание включает базовую настройку устройств:

• присвоение имен устройствам,
• расчет IP-адресации,
• настройку коммутации и маршрутизации.

В ходе проектирования и настройки сетевой инфраструктуры следует вести отчет о своих действиях, включая таблицы и схемы, предусмотренные в задании. Итоговый отчет должен содержать одну таблицу и пять отчетов о ходе работы. Итоговый отчет по окончании работы следует сохранить на диске рабочего места

Чтобы зайти на стенд для 1 модуля.

User name: m1

Password: modul1

Перед включением виртуалок Настроим вланы. По заданию HQ-SRV в 100 влане, а HQ-CLI в 200. По сути они уже преднастроены, Но можно проверить.

Примечание: Основные сведения о настройке коммутатора и выбора реализации разделения на VLAN занесите в отчёт

Примечание: Номер Vlan зависит от варианта, смотрите в задание

ISP преднастроена, но включать ее надо

Сетевая связность - между HQ и BRANCH

Примечание: Сведения об адресах занесите в отчёт, в качестве примера используйте Таблицу 3

*HQ-RTR*

Задаём сразу FQDN - выбор имени домена произвольный:

По такой же аналогии настройте остальные имена

Чтобы настроить адресацию переходим:

Заодно настроим GRE туннель

Включаем пересылку пакетов между портами (интерфейсами)

Применяем:

sysctl -p

Прокинем PAT так, как по приколу тачки, что подключены к роутеру пинговать инет не будут.

Обязательно добавим в автозагрузку и активируем

Туннель мы допустим подняли, но чтобы пакеты через него пошли, нужна маршрутизация.

Примечание: Сведения о настройке и защите протокола(ospf) занесите в отчёт

Установим frr.

РЕКОМЕНДАЦИЯ: ПОКА FRR СКАЧИВАЕТСЯ ПЕРЕХОДИМ К НАСТРОЙКЕ BR-RTR

В файле /etc/frr/daemons - включим поддержку OSPFv2 (IPv4)

Не забываем перезапускать, чтобы изменения вступили в силу

Переходим к настройке frr (ospf), Поставим пароль на frr

Не забываем перезапустить

И добавить в автозагрузку

*BR-RTR*

Произведем те же манипуляции

Применяем:

sysctl -p

Прокинем PAT так, как по приколу тачки, что подключены к роутеру пинговать инет не будут.

nano /etc/nftables.conf

РЕКОМЕНДАЦИЯ: ПОКА FRR СКАЧИВАЕТСЯ ДОДЕЛЫВАЕМ FRR НА HQ-RTR

Ура сетевая связность у между hq и br настроена

Для проверки пингуем с br-rtr:

ping 192.168.100.1

РЕКОМЕНДАЦИЯ: сразу на HQ-RTR скачаем: apt update && apt install –y isc-dhcp-server

*HQ-SRV*

Задаем имя:

Прокинем инет:

Перезапускаем сервис:

Systemctl restart networking

Проверяем:

*BR-SRV*

Перезапускаем сервис:

Systemctl restart networking

Проверяем:

РЕКОМЕНДАЦИЯ: сразу скачиваем на HQ-SRV: apt update && apt install -y dnsmasq

Создание локальных учетных записей

Создайте пользователя sshuser на серверах HQ-SRV и BR-SRV

• Пароль пользователя sshuser - "P@ssw0rd"
• Идентификатор пользователя 2026
• Пользователь sshuser должен иметь возможность запускать sudo без дополнительной аутентификации

*HQ-SRV и BR-SRV*

В дебиане нету судо поэтому скачаем:

НА BR-SRV СДЕЛАЙТЕ ТОЖЕ САМОЕ

Создайте пользователя net_admin на маршрутизаторах HQ-RTR и BR-RTR

• Пароль пользователя net_admin - "P@ssw0rd"
• При настройке на EcoRouter пользователь net_admin должен обладать максимальными привилегиями
• При настройке ОС на базе Linux, запускать sudo без дополнителььной аутентификации

*HQ-RTR и BR-RTR*

В дебиане нет sudo поэтому скачаем

СДЕЛАЙТЕ ТОЖЕ САМОЕ НА BR-RTR

Настройка безопасного удаленного доступа на серверах HQ-SRV и BR-SRV:

• Для подключения используйте порт 2026
• Разрешите подключения только пользователю sshuser
• Ограничьте количество попыток входа до двух
• Настройте баннер «Authorized access only»

*HQ-SRV и BR-SRV*

Редактируем файл /etc/ssh/sshd_config:

ДУБЛИРУЕМ ТОЖЕ САМОЕ НА BR-SRV

Установим и настроим DHCP-сервер

и зарезервируем адрес для HQ-SRV, чтобы потом на всех остальных оконечных устройствах задавая адреса сразу создавать пользователей

*HQ-RTR:*

Скачаем: apt install –y isc-dhcp-server

Первым делом нам необходимо указать, что наш DHCP сервер должен принимать запросы только с ens20 интерфейса.

Настройка протокола динамической конфигурации хостов.

• Настройте нужную подсеть
• Для офиса HQ в качестве сервера DHCP выступает маршрутизатор HQ-RTR.
• Клиентом является машина HQ-CLI.
• Исключите из выдачи адрес маршрутизатора
• Адрес шлюза по умолчанию – адрес маршрутизатора HQ-RTR.
• Адрес DNS-сервера для машины HQ-CLI – адрес сервера HQ-SRV.
• DNS-суффикс для офисов HQ – au-team.irpo
• Сведения о настройке протокола занесите в отчёт

Примечание: Сведения о настройке протокола занесите в отчёт

Настройка DNS для офисов HQ и BR.

• Основной DNS-сервер реализован на HQ-SRV.
• Сервер должен обеспечивать разрешение имён в сетевые адреса устройств и обратно в соответствии с таблицей 2
• В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер

Нам необходимо настроить DNS сервер. Будем использовать dnsmasq.

*HQ-SRV*

Теперь открываем скрипт-инициализации сервиса dnsmasq

ищем строчку DNSMASQ_OPTS

Убираем оттуда –local-service

Перезагружаем службу dnsmasq:

systemctl restart dnsmasq

После настройки dns-сервера прописываем всем машинам -"HQ-SRV, HQ-RTR, BR-RTR, BR-SRV", кроме HQ-CLI (так как настроили для него dhcp) в /etc/resolv.conf:

nameserver 192.168.100.2

Настройте часовой пояс на всех устройствах, согласно месту проведения экзамена.

*HQ-SRV, HQ-CLI, BR-SRV*

Проверяем какой часовой пояс установлен:

timedatectl status

Если отличается, то устанавливаем:

timedatectl set-timezone Asia/Yekaterinburg

МОДУЛЬ 2

Чтобы зайти на стенд для 2-3 модуля.

User name: m2

Password: module2

1. Настройте доменный контроллер Samba на машине BR-SRV.

(СДЕЛАТЬ СРАЗУ 3 СНАПШОТА НА BR-SRV(samba), HQ-CLI(Active Directory), HQ-SRV(mdadm))

• Создайте 5 пользователей для офиса HQ: имена пользователей формата user№.hq. Создайте группу hq, введите в эту группу созданных пользователей
• Введите в домен машину HQ-CLI
• Пользователи группы hq имеют право аутентифицироваться на клиентском ПК
• Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы не имеют права
• Выполните импорт пользователей из файла users.csv. Файл будет располагаться на виртуальной машине BR-SRV в папке /opt

*BR-SRV*

Обязательно: Временно заменяем в /etc/resolv.conf 192.168.100.2 на 10.0.1.4, чтобы samba быстрее скачивалось

Переходим к настройкам самого контроллера домена на BR-SRV

РЕКОМЕНДАЦИЯ: НА CLI: apt-get update && apt-get remove -y alterator-datetime && apt-get install -y task-auth-ad-sssd && apt-get install -y admc && apt-get install -y openssh-server
НА CLI: systemctl restart sshd.
НА HQ-SRV: apt update && apt install mdadm -y

Появится синее окно, не пугайтесь, так и должно быть. В первом окне вводим имя домена au-team.irpo, а во втором — имя нашего сервера hq-srv

Удаляем докер:

ip link delete docker0;*

• Проверяем что установлено имя в формате FQDN;
• Задаём domainname;
• Очищаем конфигурацию samba;
• Разворачиваем контроллер домена Active Directory на базе SambaDC с Dnsmasq в качестве DNS

Подготовка домена: Samba-tool --realm=au-team.irpo --domain=au-team –adminpass=”P@ssw0rd” --dnsbackend=SAMBA_INTERNAL --option=”dns forwrder=192.168.100.2” --server-role=dc

ВЫ МОЖЕТЕ НАПИСАТЬ ТОЛЬКО «Samba-tool domain provision», А ОСТАЛЬНОЕ ОНО СПРОСИТ САМО

Как видим че то не так, надо перезапустить машинку:

systemctl restart samba

Проверяем:

Обязательно: ВВОДИМ МАШИНУ обратно В ДОМЕН:
nano /etc/resolv.conf – nameserver 192.168.100.2

РЕКОМЕНДАЦИЯ: НА BR-SRV здесь же скачиваем: apt install ansible -y
НА HQ-SRV скачиваем: apt install nfs-kernel-server -y

На клиента ставим необходимые пакеты

*CLI*

При установке пакета task-auth-ad-sssd у вас возникнет ошибка, связанная с конфликтом с пакетом alterator-datetime, его необходимо удалить:

apt-get update && apt-get remove -y alterator-datetime

После пропишем инсталл:

apt-get install -y task-auth-ad-sssd

Переходим к редактированию временного соединения и в качестве DNS-сервера прописываем адрес HQ-SRV, а также указываем поисковый домен:

Переходим в Центр управления системой, на вкладке Пользователи выбираем Аутентификация

Вводим пароль администратора домена:

Нажимаем ОК и перезагружаем систему:

РЕКОМЕНДАЦИЯ: НА BR-SRV скачиваем: apt install -y docker.io docker-compose
НА HQ-SRV скачиваем: apt install -y apache* -y && apt install -y php php8.2 php-curl php-zip php-xml libapache2-mod-php php-mysql php-mbstring php-gd php-intl php-soap -y

В качестве проверки после перезагрузки можно выполнить аутентификацию от имени доменного пользователя Administrator:

Организуем отслеживание подключения к домену: CLI: На клиенте с граф. интерфейсом установим Модуль удаленного управления базой данных конфигурации (ADMC) • Установим пакет admc:

apt-get install -y admc

Для использования ADMC необходимо предварительно получить ключ Kerberos для администратора домена. Получить ключ Kerberos можно, например, выполнив следующую команду, из под обычного пользователя:

kinit Administrator

ADMC запускается из меню запуска приложений: пункт «Системные» → ADMC или из командной строки (команда admc).

---

Если admc долго не может запуститься(не выдает ошибок, но не запускается), то внесите изменения в файл /etc/krb5.conf

---

На вкладке «Компьютеры» в графическом режиме удобно отслеживать подключение к домену.

Создаем пять юзеров(формата: hquser-1, hquser-2):

Создаем группу hq и в нее добавляем раннее созданных пользователей

Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы не имеют права

*CLI*

Настройте файл /etc/sudoers на рабочей станции Linux, как описано в предыдущем ответе, используя синтаксис для доменных групп:

%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id

2. Сконфигурируйте файловое хранилище

(СДЕЛАТЬ SNAPSHOT, если не сделали, на HQ-SRV)

• При помощи двух подключенных к серверу дополнительных дисков размером 1 Гб сконфигурируйте дисковый массив уровня 0
• Имя устройства – md0, при необходимости конфигурация массива размещается в файле /etc/mdadm.conf
• Создайте раздел, отформатируйте раздел, в качестве файловой системы используйте ext4
• Обеспечьте автоматическое монтирование в папку /raid

Подготовка дисков

*HQ-SRV*

Убедитесь, что дополнительные диски распознаны системой. Список подключенных дисков можно проверить командой:

Создайте RAID 0 массив из двух 1Гб дисков (предположим, они определены как /dev/sda, /dev/sdb:

Скачаем службу mdadm:

Создание RAID-массива: где:

/dev/md0 — устройство RAID, которое появится после сборки; -l 0 — уровень RAID; -n 2 — количество дисков, из которых собирается массив; /dev/sd{b,c} — сборка выполняется из дисков sdb, sdc и sdd.

mdadm --create --verbose /dev/md0 -l 0 -n 2 /dev/sda /dev/sdb

Результат:

Проверяем:

Сохраняем конфигурацию массива в файле /etc/mdadm.conf:

mdadm --detail --scan --verbose | tee -a /etc/mdadm.conf

Результат:

Создание файловой системы для массива

mkfs.ext4 /dev/md0

Результат:

Чтобы данный раздел также монтировался при загрузке системы, добавляем в fstab

nano /etc/fstab

следующую информацию:

Выполняем монтирование:

mount -av

Результат:

Проверяем:

df -h

Результат:

3. Настройте сервер сетевой файловой системы (nfs) на HQ-SRV

• В качестве папки общего доступа выберите /raid/nfs, доступ для чтения и записи исключительно для сети в сторону HQ-CLI
• На HQ-CLI настройте автомонтирование в папку /mnt/nfs
• Основные параметры сервера отметьте в отчёте

*HQ-SRV*

Устанавливаем пакеты для NFS сервера:

apt-get install -y nfs-server cifs-utils

Создаём директорию для общего доступа /raid/nfs, куда ранее был смонтирован RAID - массив:

mkdir /raid0/nfs

Назначаем права на созданную директорию (полный доступ):

chmod 777 /raid0/nfs

Редактируем файл /etc/exports:

nano /etc/exports

Добавляем туда следующую информацию, где: /raid/nfs - общий ресурс 192.168.200.0/24 - клиентская сеть, которой разрешено монтирования общего ресурса rw — разрешены чтение и запись no_root_squash — отключение ограничения прав root

Экспортируем файловую систему, указанную выше в /etc/exports:

exportfs -arv

Результат: exportfs с флагом -a, означающим экспортировать или отменить экспорт всех каталогов -r означает повторный экспорт всех каталогов, синхронизируя /var/lib/nfs/etab с /etc/exports и файлами в /etc/exports.d а флаг -v включает подробный вывод:

Запускаем и добавляем в автозагрузку NFS - сервер:

update-initramfs -u

systemctl enable --now nfs-server

*HQ-CLI*

Выполняем установку пакетов для NFS - клиента:

apt-get update && apt-get install -y nfs-utils nfs-clients

Создадим директорию для монтирования общего ресурса:

mkdir /mnt/nfs

Задаём права на созданную директорию:

chmod 777 /mnt/nfs

Настраиваем автомонтирование общего ресурса через fstab:

nano /etc/fstab

Добавляем следующую информацию: где: 192.168.100.2 - адрес файлового сервера (HQ-SRV)

Выполняем монтирование общего ресурса:

mount -av

Результат:

Проверяем:

df -h

Результат:

4. Настройте службу сетевого времени на базе сервиса chrony

• В качестве сервера выступает ISP
• На ISP настройте сервер chrony, выберите стратум 5
• В качестве клиентов настройте HQ-SRV, HQ-CLI, BR-RTR, BR-SRV

1. Настройка NTP сервера:

*ISP*

Установим пакет chrony на каждой машине:

apt update && apt install -y chrony

Приводим конфигурационный файл "chrony.conf" к следующему виду:

nano /etc/chrony/chrony.conf

где:

• server 127.0.0.1 iburst prefer - указываем сервером синхронизации самого себя, опция «iburst» принудительно отправляет сразу несколько пакетов для точности синхронизации,
• hwtimestamp * - опция, чтобы сетевой интерфейс считал собственный источник времени верным и синхронизировал клиентов с ним;
• local stratum 5 - устанавливаем для себя значение по stratum = 5;
• allow - кому разрешается подключаться к серверу и запрашивать время: чтобы не перечеслять все используемые в задании IPv4 и IPv6 сети, используется 0/0 и ::/0;

Запускаем и добавляем в автозагрузку службу chronyd, и не забываем рестартать сервис:

systemctl enable --now chrony
systemctl restart chrony

Проверяем:

2. Настройка NTP клиентов:

*HQ-SRV, BR-SRV, BR-RTR, HQ-CLI*

Установим пакет chrony:

apt install -y chrony

Приводим конфигурационный файл "chrony.conf" к следующему виду:

nano /etc/chrony/chrony.conf

На HQ-CLI /etc/chrony.conf

где: 172.16.1.1 - IPv4 адрес ISP;

Запускаем и добавляем в автозагрузку службу chronyd:

systemctl enable --now chrony

на cli chronyd

systemctl restart chrony

на cli chronyd

Проверяем с клиента HQ-SRV:

Проверяем с сервера ISP :

Не пугайтесь что там только два клиента, так и должно быть

BR-RTR | BR-SRV | CLI: Настройка аналогична HQ-SRV - за исключением указания соответствующих адресов

РЕКОМЕНДАЦИЯ: НА HQ-SRV скачиваем: apt install -y git
НА HQ-RTR скачиваем: apt install nginx -y

5. Сконфигурируйте ansible на сервере BR-SRV

(СДЕЛАЙ SNAPSHOT НА BR-SRV)

• Сформируйте файл инвентаря, в инвентарь должны входить HQ-SRV, HQ-CLI, HQ-RTR и BR-RTR
• Рабочий каталог ansible должен располагаться в /etc/ansible
• Все указанные машины должны без предупреждений и ошибок отвечать pong на команду ping в ansible посланную с BR-SRV

*BR-SRV*

1. Установите Ansible (если он еще не установлен):

apt update && apt install ansible -y

2. Создание рабочего каталога Ansible

Ansible обычно уже использует /etc/ansible как рабочий каталог, но если его нет, создайте его вручную:

3. Создание файла инвентаря

Создайте инвентарь файла : /etc/ansible/hosts. Открываем файл /etc/ansible/hosts

• Скачиваем файл с github, в нужную директорию:

!dos2unix и curl на BR-SRV уже скачаны!

curl -o /etc/ansible/hosts https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/hosts.file

dos2unix /etc/ansible/hosts

• Проверяем его наличие:

4. Настройка SSH-доступа к машинам

Для того чтобы Ansible мог управлять машинами без необходимости ввода пароля, настройте SSH-доступ:

---

(ДОПОЛНЕНИЕ)

*HQ-CLI*

Ранее в рекомендациях должно было быть скачено

Для hq-cli нужно установить ssh службу: apt-get install -y openssh-server

Перезагружаем ssh на hq-cli: systemctl restart sshd

Ранне в рекомнедациях должно было быть перезагружено

Для того чтобы зайти в конфиг ssh на альт линукс(cli) нужно ввести команду: nano /etc/openssh/sshd_config

---

Скопируйте SSH-ключ на всех машинах в инвентаре : Выполните эту команду для каждой машины, чтобы разрешить безпарольный доступ:

Дмитрий Игоревич забыл прописать порт 2026 в /etc/ssh/sshd_config на HQ-SRV и BR-SRV, так что прописываем за него и перезагружаем службу systemctl restart sshd

5. Проверка подключения в Ansible

Выполните команду "ansible all -m ping" для проверки соединения со всеми хостами из инвентаря файла:

6. Развертывание приложений в Docker на сервере BR-SRV.

-• Средствами docker должен создаваться стек контейнеров с веб приложением и базой данных

• Используйте образы site_latestи mariadb_latestрасполагающиеся в директории docker в образе Additional.iso

• Основной контейнер testapp должен называться tespapp

• Контейнер с базой данных должен называться db

• Импортируйте образы в docker, укажите в yaml файле параметры подключения к СУБД, имя БД - testdb, пользователь testс паролем P@ssw0rd, порт приложения 8080, при необходимости другие параметры

• Приложение должно быть доступно для внешних подключений через порт 8080

*BR-SRV*

1. Скачиваем докер:

apt install -y docker.io docker-compose

2. Включаем и добавляем в автозагрузку службу docker:

systemctl enable --now docker.service

3. Выполнить монтирование Additional.iso в директорию /mnt:

• Выполнить импорт образа mariadb_latest и site_latest:

docker load < /mnt/docker/site_latest.tar

docker load < /mnt/docker/mariadb_latest.tar

• Проверить:

• Скачиваем curl

- Скачиваем файл compose.yaml и помещаем его в корневую директорию:

curl -o ~/compose.yaml https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/compose.yaml

• Запустить набор контейнеров с веб приложением и базой данных:

• Проверяем набор контейнеров с веб приложением и базой данных:

• Проверяем доступ до веб приложения с браузера:

7. Разверните веб приложениена сервере HQ-SRV:

• Используйте веб-сервер apache
• В качестве системы управления базами данных используйте mariadb
• Файлы веб приложения и дамп базы данных находятся в директории web образа Additional.iso
• Выполните импорт схемы и данных из файла dump.sql в базу данных webdb 66
• Создайте пользователя webс паролем P@ssw0rd и предоставьте ему права доступа к этой базе данных
• Файлы index.php и директорию images скопируйте в каталог веб сервера apache
• В файле index.php укажите правильные учётные данные для подключения к БД
• Запустите веб сервер и убедитесь в работоспособности приложения
• Основные параметры отметьте в отчёте

*HQ-SRV*

Ранее в "рекомендациях" должно было быть скачено

Устанавливаем веб-сервер Apache2 и необходимые пакеты:

apt install -y apache* -y

Устанавливаем PHP и необходимые модули:

apt install -y php php8.2 php-curl php-zip php-xml libapache2-mod-php php-mysql php-mbstring php-gd php-intl php-soap -y

Установка СУБД MySQL:

apt install -y mariadb-* -y Ранее в "рекомендациях" должно было быть скачено

Включаем и добавляем в автозагрузку MySQL:

systemctl enable --now mariadb
systemctl enable --now apache2

Выполнить монтирование Additional.iso в директорию /mnt:

mount /dev/sr0 /mnt/

Произвести копирование файлов веб приложения index.php и logo.png в директорию /var/www/html:

cp /mnt/web/index.php /var/www/html

cp /mnt/web/logo.png /var/www/html

В файле /var/www/html/index.php указать правильные учётные данные для подключения к БД:

nano /var/www/html/index.php

Перейти в интерфейс управления MariaDB: <<Команды ниже не пытайтесь копировать и вставлять, все равно нечего не выйдет>>

mariadb –u root

Создать базу данных с именем webdb:

CREATE DATABASE webdb;

Создать пользователя webc с паролем P@ssw0rd:

CREATE USER ‘webc’@’localhost’ IDENTIFIED BY ‘P@ssw0rd’;

Назначить пользователю webc полные права на базу данных webdb, после чего выйти из интерфейса управления MariaDB:

GRANT ALL PRIVILEGES ON webdb.* TO ‘webc’@’localhost’ WITH GRANT OPTION; EXIT;

Изменить кодировку файла

Выполнить импорт схемы и данных из файла dump.sql в базу данных webdb:

mariadb –u webc –p –D webdb < ~/dump.sql

Проверить:

Удалить стандартную станицу

rm /var/www/html/index.html

Включить и добавить в автозагрузку службу httpd2:

systemctl enable --now apache2 && systemctl restart apache2

Проверяем доступ до веб приложения с браузера:

8. На маршрутизаторах сконфигурируйте статическую трансляцию портов

• Пробросьте порт 8080 в порт приложения testapp BR-SRV на маршрутизаторе BR-RTR, для обеспечения работы приложения testapp извне
• Пробросьте порт 8080 в порт веб приложения на HQ-SRV на маршрутизаторе HQ-RTR, для обеспечения работы веб приложения извне
• Пробросьте порт 2026 на маршрутизаторе HQ-RTR в порт 2026 сервера HQ-SRV, для подключения к серверу по протоколу ssh из внешних сетей
• Пробросьте порт 2026 на маршрутизаторе BR-RTR в порт 2026 сервера BR-SRV, для подключения к серверу по протоколу ssh из внешних сетей.

*BR-RTR*

*HQ-RTR*

• /etc/nftables

9. Настройте веб-сервер nginx как обратный прокси-сервер на HQ-RTR

• При обращении по доменному имени web.au-team.irpo у клиента должно открываться веб приложение на HQ-SRV
• При обращении по доменному имени docker.au-team.irpo клиента должно открываться веб приложение testapp.

*ISP*

Установить пакет nginx:

apt-get install -y nginx

Запустите и активируйте Nginx:

systemctl start nginx
systemctl enable nginx

Настройка Nginx как обратного прокси

Создадим конфигурационный файл для сайта в Nginx, в котором настроим виртуальные хосты. Добавьте конфигурацию для проксирования запросов в файл reverse-proxy.conf:

• Скачиваем файл с github в необходимую директорию:

apt install dos2unix -y

apt install curl -y

curl -o /etc/nginx/sites-available/default https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/reverse-proxy.conf

dos2unix /etc/nginx/sites-available/default

• Проверяем его наличие:

Сохраните файл и закройте редактор.

Добавить символическую ссылку на данный файл:

ln -s /etc/nginx/sites-available/default /etc/nginx/sites-enabled/

Проверить наличие ошибок в конфигурационных файлах:

Запустить и активировать службу nginx:

systemctl enable --now nginx

*HQ-CLI*

Поскольку в домене SambaDC нет DNS записей ссылающихся на необходимые имена, а на HQ-CLI в качестве DNS-сервера задан адрес именно контроллера домена, поэтому необходимо добавить записи в файл /etc/hosts на виртуальной машине HQ-CLI:

Проверяем возможность доступа до веб ресурсов с браузера на клиенте:

http://web.au-team.irpo

http://docker.au-team.irpo

10. На маршрутизаторе ISP настройте web-based аутентификацию

• При обращении к сайту web.au-team.irpo клиенту должно быть предложено ввести аутентификационные данные
• В качестве логина для аутентификации выберите WEB с паролем P@ssw0rd
• Выберите файл /etc/nginx/.htpasswd в качестве хранилища учётных записей
• При успешной аутентификации клиент должен перейти на веб сайт.

*ISP*

Установить пакет apache2:

apt install -y apache2

Средствами утилиты htpasswd создать пользователя WEB и добавить информацию о нём в файл /etc/nginx/.htpasswd, задав пароль P@ssw0rd:

htpasswd –c /etc/nginx/.htpasswd WEB

Добавить web-based аутентификацию для доступа к сайту web.au-team.irpo в конфигурационный файл /etc/nginx/sites-available.d/default.conf:

nano /etc/nginx/sites-available/default

Проверить наличие ошибок в конфигурационных файлах:

Перезапустить службу nginx:

systemctl restart nginx

*HQ-CLI*

Проверяем возможность доступа до веб ресурса с браузера на клиенте:

Имя пользователя: WEB Пароль: P@ssw0rd

11. Удобным способом установите приложение Яндекс Браузере для организаций

*HQ-CLI*

ПРИМЕЧАНИЕ: Установку браузера отметьте в отчёте

РЕКОМЕНДАЦИЯ: Скачиваем на HQ-SRV: apt install cups cups-pdf -y
Скачиваем на HQ-CLI: apt-get install cups cups-pdf -y

МОДУЛЬ 3

1. Выполните импорт пользователей из файла users.csv. Файл будет располагаться на виртуальной машине BR-SRV в папке /opt

*BR-SRV*

• Сначала скачаем необходимую утилиту на BR-SRV:

apt install dos2unix -y

apt install curl -y

• Заберем с iso файл Users.csv

cp /mnt/Users.csv /opt/

• Потом на BR-SRV скачиваем скрипт, который выполнит за нас задание, в нужную директорию:

curl -o /opt/import_users.sh https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/import_users.sh

ls /opt

dos2unix /opt/import_users.sh

• Проверяем наличие скрипта:

nano /opt/import_users.sh

• Делаем файл исполняемым и выполняем его:

chmod +x /opt/import__users.sh

/opt/import_users.sh

2. Выполните настройку центра сертификации на базе HQ-SRV

• Необходимо использовать отечественные алгоритмы шифрования
• Сертификаты выдаются на 30дней
• Обеспечьте доверие сертификату для HQ-CLI
• Выдайте сертификаты веб серверам
• Перенастройте ранее настроенный реверсивный прокси nginx на протокол https
• При обращении к веб серверам https://web.au-team.irpo и https://docker.au-team.irpo у браузера клиента не должно возникать предупреждений

*HQ-SRV*

Шаг 1. Установка необходимых компонентов

apt update

apt install -y openssl ca-certificates

Создаем каталаги для работы центра сертификации

mkdir -p /etc/pki/CA/{private,certs,newcerts,crl}

touch /etc/pki/CA/index.txt

echo 1000 > /etc/pki/CA/serial

chmod 700 /etc/pki/CA/private

Создайте корневой ключ и сертификат (RSA 4096, SHA256):

openssl req -x509 -new -nodes
-keyout /etc/pki/CA/private/ca.key
-out /etc/pki/CA/certs/ca.crt
-days 3650
-sha256
-subj "/CN=AU-TEAM Root CA"

Шаг 2. Создайте CSR для веб-сервера

openssl genrsa -out /etc/pki/CA/private/web.au-team.irpo.key 2048

openssl req -new
-key /etc/pki/CA/private/web.au-team.irpo.key
-out /etc/pki/CA/web.au-team.irpo.csr
-subj "/CN=web.au-team.irpo"

openssl genrsa -out /etc/pki/CA/private/docker.au-team.irpo.key 2048

openssl req -new
-key /etc/pki/CA/private/docker.au-team.irpo.key
-out /etc/pki/CA/docker.au-team.irpo.csr
-subj "/CN=docker.au-team.irpo"

Шаг 3. Создайте конфигурационный файл для openssl ca

curl -o /etc/ssl/openssl-ca.cnf https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/openssl-gost.cnf

Проверяем nano /etc/ssl/openssl-ca.cnf:

Шаг 4. Подпишите сертификат openssl ca
-config /etc/ssl/openssl-ca.cnf
-in /etc/pki/CA/web.au-team.irpo.csr
-out /etc/pki/CA/certs/web.au-team.irpo.crt
-extensions server_cert
-days 30
-batch

openssl ca
-config /etc/ssl/openssl-ca.cnf
-in /etc/pki/CA/docker.au-team.irpo.csr
-out /etc/pki/CA/certs/docker.au-team.irpo.crt
-extensions server_cert
-days 30
-batch

Шаг 6. Настройка доверия на клиенте HQ-CLI Скопируйте корневой сертификат:

*HQ-CLI*

Шаг 7. Настройка Nginx на HTTPS

Чтобы перекинуть файл с hq-srv на isp нужно закомментить строчки ссш

nano /etc/ssh/sshd.config

systemctl restart sshd

ВАЖНО, ПОСЛЕ НАСТРОЙКИ SSL ВЕРНУТЬ ОБРАТНО, А ТО БАЛЛЫ ПОТЕРЯЕТЕ

*ISP*

curl -o /etc/nginx/sites-available/default https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/reverse-proxy-ssl.conf

Пример конфига для web.au-team.irpo:

mkdir -p /etc/nginx/ssl

scp -P 2026 root@172.16.1.2:/etc/pki/CA/certs/web.au-team.irpo.crt /etc/nginx/ssl/

scp -P 2026 root@172.16.1.2:/etc/pki/CA/private/web.au-team.irpo.key /etc/nginx/ssl/

scp -P 2026 root@172.16.1.2:/etc/pki/CA/certs/web.au-team.irpo.crt /etc/nginx/ssl/

scp -P 2026 root@172.16.1.2:/etc/pki/CA/private/web.au-team.irpo.key /etc/nginx/ssl/

chown root:root /etc/nginx/ssl/* chmod 600 /etc/nginx/ssl/*.key nginx -t && systemctl reload nginx

проверяем

https://docker.au-team.irpo

https://web.au-team.irpo

3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика

*HQ-RTR*

1. Для начала необходимо установить пакет на наш роутер HQ-RTR:

apt update
apt install strongswan

2. Конфигурация IPsec:

На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:

Далее нужно настроить файл ipsec.secrets. Вносим туда строку:

172.16.4.2 172.16.5.2 : PSK “123qweR%”

Ещё один конфиг charon.conf, открываем его b редактируем в нём следующую строку, приводя к виду:

install_routes = no

И осталось только перезагрузить службу ipsec:

ipsec restart

*BR-RTR*

1. Для начала необходимо установить пакет на наш роутер BR-RTR:

apt update
apt install strongswan

2. Конфигурация IPsec:

На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:

Далее нужно настроить файл ipsec.secrets. Вносим туда строку:

172.16.5.2 172.16.4.2 : PSK “123qweR%”

Ещё один конфиг charon.conf, открываем его и редактируем в нём следующую строку, приводя к виду:

install_routes = no

И осталось только перезагрузить службу ipsec:

ipsec restart

3. Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump на BR-RTR:

apt install tcpdump

И теперь мы можем проверить это, пропишем на роутере BR-RTR команду:

tcpdump -i ens18 -n -p esp

А на роутере HQ-RTR отправим эхо-запрос на порту в сторону branch(br-srv):

ping 192.168.200.2

Как можно заметить, на правом роутере мы видим зашифрованные пакеты с меткой ESP:

Слева HQ-RTR - Cправа BR-RTR

Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами.

4. Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP

Для выполнения этого задания нам нужно обеспечить работу только нужных протоколов, а именно: HTTP, HTTPS, DNS, NTP, ICMP. А также запретить остальные подключения из сети Интернет во внутреннюю сеть.

*HQ-RTR*

• Скачаем готовый nftables.conf с github, укажем путь для замены нашего nftables:

!dos2unix и curl на HQ-RTR уже скачаны!

curl -o /etc/nftables.conf https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/hq-rtr/nftables.conf

dos2unix /etc/nftables.conf

• Проверяем содержимое файла /etc/nftables.conf:

!меняем префикс(маску) ip-адреса в соответствии со своим заданием!

• Не забываем применять:

*BR-RTR *

• Скачаем готовый nftables.conf с github, укажем путь для замены нашего nftables:

apt install dos2unix -y

apt install curl -y

curl -o /etc/nftables.conf https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/br-rtr/nftables.conf

dos2unix /etc/nftables.conf

• Проверяем содержимое файла /etc/nftables.conf:

!меняем префикс(маску) ip-адреса в соответствии со своим заданием!

• Не забываем применять:

• И проверим, не отвалился ли туннель ipsec после настройки правил на HQ-RTR:

ipsec status

Видим, что соединение установлено и всё хорошо!

Проверим также наличие связи между конечными устройствами, отправим эхо-запрос с HQ-CLI на BR-SRV:

ping 192.168.200.2

Связь есть, всё отлично! Задание выполнено!

5. Настройте принт-сервер cups на сервере HQ-SRV.

• Опубликуйте виртуальный pdf-принтер
• На клиенте HQ-CLI подключите виртуальный принтер как принтер по умолчанию.

1. Для начала необходимо установить пакеты cups и cups-pdf на HQ-SRV:

Теперь необходимо включить службу cups, чтобы она запускалась вместе с системой:

systemctl enable –now cups

Настроим CUPS

Перезапускаем службу cups для применения изменений:

systemctl restart cups

2. Переходим к подключению клиента HQ-CLI

Скачиваем cups:

apt-get install cups system-config-printer -y

Доббавляем принтер в Хосты клиента

Открываем пуск и ищем Print settings

Жмем add Далее ENTER URL, вписываем http://192.168.100.2:631/printers/PDF

Жмем forward, опять forward, далее листаем вверх и выбираем CUPS-PDF

Жмем forward, Aply

Появится print test page

Если видите что принтер в простое то поздравляю

6. Реализуйте логирование при помощи rsyslog на устройствах HQ-RTR, BR-RTR, BR-SRV

1. Сперва необходимо настроить наш сервер для сбора логов.

Установим пакет rsyslog на HQ-SRV:

apt install rsyslog

Далее, отредактируем файл конфигурации, расположенный по пути /etc/rsyslog.conf:

Для передачи логов будем использовать протокол TCP, поэтому раскомментируем (уберем #) модуль imtcp, чтобы rsyslog мог получать логи с удаленных узлов.

Также необходимо в конец конфига добавить шаблон для сбора логов, чтобы rsyslog сохранял логи по пути, который указан в задании.

Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений:

systemctl enable rsyslog
systemctl restart rsyslog

Сервер для приема логов настроен

2. Переходим к настройке клиентов. Начнем с роутеров.

Установим пакет rsyslog на HQ-RTR:

Далее, отредактируем файл конфигурации, расположенный по пути /etc/rsyslog.conf:

В блоке MODULES необходимо раскомментировать модули, которые обеспечивают поддержку логирования. (Все кроме модуля imuxsock, потому что вместо него будет использован модуль imjournal). Модуль imjournal придется дописать вручную.

Теперь опускаемся в самый низ конфига, там расположены правила.

Добавляем в самый конец строку, которая отвечает за отправку логов уровня предупреждения (warning) и выше:

*.warning @@192.168.100.2:514

Теперь перезапускаем службу rsyslog, чтобы применить изменения.

systemctl restart rsyslog

НА BR-RTR НУЖНО ПОВТОРИТЬ АНАЛАГИЧНО.

3. Продолжаем настройку клиентов на BR-SRV

Установим на BR-SRV пакет rsyslog:

apt install rsyslog

Далее, отредактируем файл конфигурации, расположенный по пути /etc/rsyslog.conf:

Здесь также необходимо раскомментировать модули imjournal, imklog, immark

И добавить строку в конец конфига для того, чтобы логи отправлялись на сервер.

Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений:

systemctl enable rsyslog
systemctl restart rsyslog

4. За время пока выполнялась настройка клиентов уже должны появиться логи, проверим каталог /opt на HQ-SRV:

Как можно заметить, были автоматически созданы каталоги с именами клиентов. В каждом из них есть файл rsyslog.txt

Проверим, что логируются только сообщения уровня warning и выше.

Добавим несколько записей различного уровня в лог на любом из клиентов, например на BR-SRV, командами:

logger -p user.info “Test info”

logger -p user.warning “Test warning”

сообщения уровня warning:

logger -p user.error “Test error”

сообщения уровня error:

Теперь проверим на HQ-SRV содержимое файла /opt/br-srv/rsyslog.txt:

Как можно заметить, здесь появились только сообщения уровня warning и error.

5. Перейдем к настройке ротации логов. На HQ-SRV создадим файл /etc/logrotate.d/rsyslog Запишем в него следующее содержимое:

Настройка ротации на этом закончена, каждую неделю будут проверяться логи и если какие-то из них больше 10МБ, они будут сжаты в архив.

7. На сервере HQ-SRV реализуйте мониторинг устройств с помощью открытого программного обеспечения. Обеспечьте доступность по URL - https://mon.au-team.irpo

• Мониторить нужно устройства HQ-RTR, HQ-SRV, BR-RTR и BR-SRV
• В мониторинге должны визуально отображаться нагрузка на ЦП, объем занятой ОП и основного накопителя
• Логин и пароль для службы мониторинга admin P@ssw0rd
• Выбор программного обеспечения, основание выбора и основные параметры с указанием порта, на котором работает мониторинг, отметьте в отчёте

1. Сервер забикс:

wget https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/zabbix-release_7.4-0.2%2Bdebian12_all.deb

sudo dpkg -i zabbix-release_7.4-0.2%2Bdebian12_all.deb

sudo apt update

sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-agent php php-mysql php-bcmath php-mbstring zabbix-sql-scripts zabbix-apache-conf mariadb-server

zcat /usr/share/zabbix/sql-scripts/mysql/server.sql.gz | sudo mysql -u zabbix -p zabbix

sudo nano /etc/zabbix/zabbix_server.conf

• Укажите:

DBName=zabbix
DBUser=zabbix
DBPassword=P@ssw0rd

• Запустите службу:

sudo systemctl enable --now zabbix-server

2. Настройка веб-интерфейса.

• Создайте символическую ссылку для доступа по нужному URL:

ln -s /usr/share/zabbix /var/www/html/mon

• Настройте PHP:

sudo nano /etc/php/8.2/apache2/php.ini

• Измените:

чтобы быстро перемещаться по файлу ищем по строкам - ("CTRL" + "-")

max_execution_time = 300 /строка 409
max_input_time = 300 /строка 419
post_max_size = 16M /строка 703

- Скачаем конфигурацию ждя ЗАбббикса

curl -o /etc/apache2/sites-avaliable/zabbix.conf https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/zabbix.conf

• Перезапустите Apache:

• nano /etc/apache2/sites-avaliable/zabbix.conf

sudo systemctl restart apache2

3. Настроить DNS на HQ-SRV:

• Теперь интерфейс будет доступен по адресу:

http://mon.au-team.irpo/zabbix

4. Настройка пользовательских учетных данных.

После установки войдите через браузер и авторизуйтесь с логином "Admin" и паролем "zabbix" по умолчанию. Эти данные можно изменить в интерфейсе Zabbix после входа — раздел "Administration → Users"

• ПАРОЛЬ - ЛОГИН ОТ ЗАБИКСА, Admin - zabbix. МЕНЯЕМ ПАРОЛЬ НА P@ssw0rd

• Забикс агент

https://mirror.yandex.ru/debian/pool/main/z/zabbix/zabbix-agent2_7.0.22+dfsg-1_amd64.deb

wget https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/zabbix-release_7.4-0.2%2Bdebian12_all.deb

sudo dpkg -i zabbix-release_7.4-0.2%2Bdebian12_all.deb

sudo apt update

apt install zabbix-agent

• nano /etc/zabbix/zabbix_agentd.conf - там ищешь server serverActive пишешь ип сервера hqsrv типо, потом в hsotname ниже чуть чем serverActive пишешь хостнейм.

systemctl restart zabbix-agent.service

• Идешь в cli в веб версии по скрину что выше добовляешь сревер пишешь ип туда сюда и обезатЛЬНО !!!! прям срочно нужно в хост груп указать Linux server Linux By zubbix agent

• Статистика дашборды

• Редачим:

Адд виджит пикаем график:

• Слева в инпуте выбираем сервера а с право выбираем параметры

Повезло если все робит

8. Реализуйте механизм инвентаризации машин HQ-SRV и HQ-CLI через Ansible на BR-SRV

1. Для начала необходимо создать каталог, в котором будут размещены отчеты о рабочих местах:

mkdir /etc/ansible/PC_INFO

2. Далее, создадим плейбук /etc/ansible/inventory.yml:

• Скачиваем его с github в необходимую директори:

!dos2unix и curl на BR-SRV уже скачаны!

curl -o /etc/ansible/inventory.yml https://raw.githubusercontent.com/shiraorie/dewmo2026-1/main/files/inventory.yml

dos2unix /etc/ansible/inventory.yml

• Потом проверяем его содержимое:

3. Проверим работу, командой:

ansible-playbook /etc/ansible/inventory.yml

• Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука это ожидаемое поведение.
• Если запустить плейбук ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно.

4. Проверим наличие и содержимое, созданных отчетов:

ls -la /etc/ansible/PC_INFO
cat /etc/ansible/PC_INFO/hq-cli.yml
cat /etc/ansible/PC_INFO/hq-srv.yml

Как можно заметить, отчеты созданы и содержат необходимую информацию. Задание выполнено.

9. Реализуйте механизм резервного копирования конфигурации для машин HQ-RTR и BR-RTR, через Ansible на BR-SRV

1. Создадим также каталог, в котором будут размещены резервные копии конфигураций маршрутизаторов:

mkdir /etc/ansible/NETWORK_INFO

2. И создаём сам плейбук /etc/ansible/backup.yml:

ОБЯЗАТЕЛЬНО УСТАНОВИТЕ sudo НА HQ-RTR и BR-RTR

• Скачаем файл с github в нужную директорию:

!dos2unix и curl на BR-SRV уже скачаны!

curl -o /etc/ansible/backup.yml https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/backup.yml

dos2unix /etc/ansible/backup.yml

• Проверяем его содержимое:

со следующим содержимым:

ОБЯЗАТЕЛЬНО УСТАНОВИТЕ sudo НА HQ-RTR и BR-RTR

3. Абсолютно также, как и в предыдущем задании, проверяем его работу, командой:

ansible-playbook /etc/ansible/backup.yml

• Как и в прошлом задании, Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука так и должно быть.
• И если запустить его ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно.

4. Проверим наличие созданных отчетов:

ls -la /etc/ansible/NETWORK_INFO
ls -la /etc/ansible/NETWORK_INFO/HQ-RTR
ls -la /etc/ansible/NETWORK_INFO/BR-RTR

А также их содержимое, если хотите убедиться, что действительно скопировалось, для примера покажем файл interfaces с маршрутизатора HQ-RTR, остальные можете сами:

cat /etc/ansible/NETWORK_INFO/HQ-RTR/interfaces

По итогу все резервные копии конфигураций созданы и содержат необходимую информацию. Задание выполнено.