DEMO exam 2024 for dummies

Для удобства список LAN Segmet, который необходимо создать при развёртывании образов в VMWare WorkStation.
По умолчанию - все машины имеют интерфейс ens33 (NAT), для доступа к сети Интернет. При необходимости их можно отключить (убрать галочку с пункта "Connect at power on")

Образец задания для демонстрационного экзамена по комплекту оценочной документации.

1. Выполните базовую настройку всех устройств:
a. Присвоить имена в соответствии с топологией:

su -
toor
hostnamectl set-hostname ISP; exec bash
нажать enter

su -
toor
hostnamectl set-hostname CLI; exec bash
нажать enter

su -
toor
hostnamectl set-hostname HQ-R; exec bash
нажать enter

su -
toor
hostnamectl set-hostname HQ-SRV; exec bash
нажать enter

su -
toor
hostnamectl set-hostname BR-R; exec bash
нажать enter

su -
toor
hostnamectl set-hostname BR-SRV; exec bash
нажать enter

b. Рассчитайте IP-адресацию IPv4 и IPv6. Необходимо заполнить таблицу №1, чтобы эксперты могли проверить ваше рабочее место.
Таблица №1

c. Пул адресов для сети офиса BRANCH - не более 16

255.255.255.240 = /28

d. Пул адресов для сети офиса HQ - не более 64

255.255.255.192 = /26

Назначаем адресацию согласно ранее заполненной таблицы №1

ip -c a

su -
toor
enter
nmtui

После установки ip-адресов необходимо переподключить интерфейсы.

Произведём настройку маршрута для CLI

ip route add default via 192.168.0.2

Необходимо включить опцию forwarding:

nano /etc/net/sysctl.conf
ctrl-x
y
enter

systemctl restart network
ip -c a

su -
toor
enter
nmtui

ctrl-x
y
enter

Необходимо включить опцию forwarding:

nano /etc/net/sysctl.conf
ctrl-x
y
enter

systemctl restart network
ip -c a

В дальнейшем на HQ-SRV подразумевается получение адреса по DHCP от HQ-R.
Удостоверимся, что на интерфейсе установлено получение адресов через DHCP.

su -
toor
enter
nmtui

Необходимо включить опцию forwarding:

nano /etc/net/sysctl.conf
ctrl-x
y
enter

systemctl restart network
ip -c a

ip -c a

2. Настройте внутреннюю динамическую маршрутизацию по средствам FRR. Выберите и обоснуйте выбор протокола динамической маршрутизации из расчёта, что в дальнейшем сеть будет масштабироваться.
Настройка FRR
Для настройки потребуется включённый forwarding, настройка выполнялась ранее.

Предварительно настроем интерфейс туннеля:

nmtui

nmtui

Обоснование: Настройку динамическое маршрутизации производим с помощью протокола OSPF – Данный протокол динамической сети позволяет разделять сеть на логические области, что делает его масштабируемым для больших сетей.
Каждая область может иметь свою таблицу маршрутизации, что уменьшает нагрузку на маршрутизаторы и улучшает производительность сети.

nano /etc/frr/daemons
меняем строчку
ospfd=no на строчку
ospfd=yes

ctrl-x
y
systemctl enable --now frr
vtysh
conf t
router ospf
passive-interface default
network 10.0.0.0/26 area 0
network 172.16.0.0/24 area 0
exit
interface tun1
no ip ospf network broadcast
no ip ospf passive
exit
do write memory
exit

Зададим TTL для OSPF

nmcli connection edit tun1
set ip-tunnel.ttl 64
save
quit

Временно выключаем сервис службы firewalld

systemctl stop firewalld.service
systemctl disable --now firewalld.service

systemctl restart frr

nano /etc/frr/daemons
меняем строчку
ospfd=no на строчку
ospfd=yes

ctrl-x
y
systemctl enable --now frr
vtysh
conf t
router ospf
passive-interface default
network 10.0.2.0/28 area 0
network 172.16.0.0/24 area 0
exit
interface tun1
no ip ospf network broadcast
no ip ospf passive
exit
do write memory
exit

Зададим TTL для OSPF

nmcli connection edit tun1
set ip-tunnel.ttl 64
save
quit

Временно выключаем сервис службы firewalld

systemctl stop firewalld.service
systemctl disable --now firewalld.service

systemctl restart frr

Проверим работу OSPF:

show ip ospf neighbor
exit

P.S. в случае, если OSPF не заработал, можно перезапустить машины ISP BR-R HQ-R

a. Составьте топологию сети L3.

Схема топологии L3

P.S. спасибо sysahelper за рисунок!

3. Настройте автоматическое распределение IP-адресов на роутере HQ-R. a. Учтите, что у сервера должен быть зарезервирован адрес.

nano /etc/sysconfig/dhcpd
DHCPDARGS=ens224
ctrl-x
y
enter

cp /etc/dhcp/dhcpd.conf{.example,}
nano /etc/dhcp/dhcpd.conf

поправляем файл:

Проверяем файл на правильность заполнения. Обратите внимание, что файл заполнен в точности со скриншотом выше. (фигурные скобки в начале и конце секции, знаки ; и тд.)

dhcpd -t -cf /etc/dhcp/dhcpd.conf

systemctl enable --now dhcpd
systemctl status dhcpd
journalctl -f -u dhcpd

systemctl restart network

После проделанных манирпуляций HQ-SRV должен получить статический адрес.

4. Настройте локальные учётные записи на всех устройствах в соответствии с таблицей 2.
Таблица №2

Пароль: toor

useradd branch-admin -m -c "Branch admin" -U
passwd branch-admin
useradd network-admin -m -c "Network admin" -U
passwd network-admin

BR-SRV

useradd branch-admin -m -c "Branch admin" -U
passwd branch-admin
useradd network-admin -m -c "Network admin" -U
passwd network-admin

useradd network-admin -m -c "Network admin" -U
passwd network-admin
useradd admin -m -c "Admin" -U
passwd admin

useradd admin -m -c "Admin" -U
passwd admin

5. Измерьте пропускную способность сети между двумя узлами HQ-R-ISP по средствам утилиты iperf 3. Предоставьте описание пропускной способности канала со скриншотами.

systemctl enable --now iperf3

systemctl enable --now iperf3
iperf3 -c 192.168.0.1 -f m --get-server-output

По результату проверки сделать скриншот.

6. Составьте backup скрипты для сохранения конфигурации сетевых устройств, а именно HQ-R BR-R. Продемонстрируйте их работу.

Cоздадим дирректорию для сохранения файла:

mkdir /opt/backup/

Запишем скрипт:

nano backup-script.sh

ctrl-x
y
жмём enter
chmod +x backup-script.sh
./backup-script.sh

Проверим содержимое файла бэкапа. Обратите внимание, что название архива варьируется, в зависимости от даты, когда была сделана резервная копия! Будьте внимательны.

tar -tf /opt/backup/hq-r-06.01.24.tgz | less

Cоздадим дирректорию для сохранения файла:

mkdir /opt/backup/

Запишем скрипт:

nano backup-script.sh

ctrl-x
y
жмём enter
chmod +x backup-script.sh
./backup-script.sh

Проверим содержимое файла бэкапа. Обратите внимание, что название архива варьируется, в зависимости от даты, когда была сделана резервная копия! Будьте внимательны.

tar -tf /opt/backup/hq-r-06.01.24.tgz | less

7. Настройте подключение по SSH для удалённого конфигурирования устройства HQ-SRV по порту 2222. Учтите, что вам необходимо перенаправить трафик на этот порт посредством контролирования трафика.

nano /etc/openssh/sshd_config

ctrl-x
y
enter
systemctl restart sshd

nft add table inet nat
nft add chain inet nat prerouting '{ type nat hook prerouting priority 0; }'
nft add rule inet nat prerouting ip daddr 192.168.0.2 tcp dport 22 dnat to 10.0.0.2:2222
nft list ruleset | tail -n 7 | tee -a /etc/nftables/nftables.nft
systemctl enable --now nftables
systemctl restart nftables
nft list ruleset

Выполняем проверку подключения:

8. Настройте контроль доступа до HQ-SRV по SSH со всех устройств, кроме CLI.

systemctl enable --now nftables.service
nft add rule inet filter input ip saddr 10.0.1.2 tcp dport 2222 counter drop

nano /etc/nftables/nftables.nft

Удаляем всё содержимое файла до закоментированных строк:

nft list ruleset | tee -a /etc/nftables/nftables.nft

systemctl restart nftables
nft list ruleset

Выполняем проверку:

В результате настройки, соединение с сервером HQ-SRV по ssh установить не удастся.

1. Настройте DNS-сервер на сервере HQ-SRV:
a. На DNS сервере необходимо настроить 2 зоны

Зона hq.work

Зона branch.work

nano /etc/bind/options.conf

systemctl enable --now bind
nano /etc/bind/local.conf

cp /etc/bind/zone/{localdomain,hq.db}
cp /etc/bind/zone/{localdomain,branch.db}
cp /etc/bind/zone/{127.in-addr.arpa,0.db}
cp /etc/bind/zone/{127.in-addr.arpa,2.db}
chown root:named /etc/bind/zone/{hq,branch,0,2}.db
nano /etc/bind/zone/hq.db

Обратите внимание на синтаксис. Проверьте точки в конце наименований зон!

nano /etc/bind/zone/branch.db

nano /etc/bind/zone/0.db

nano /etc/bind/zone/2.db

systemctl restart bind

Выполняем проверку:

Если настройка была выполнена верно, то вы увидети прямые и обратные зоны DNS.

2. Настройте синхронизацию времени между сетевыми устройствами по протоколу NTP

a. В качестве сервера должен выступать роутер HQ-R со стратумом 5 b. Используйте Loopback интерфейс на HQ-R, как источник сервера времени c. Все остальные устройства и сервера должны синхронизировать свое время с роутером HQ-R d. Все устройства и сервера настроены на московский часовой пояс (UTC +3)

Настраиваем сервер времени с параметрами необходимыми в задании:

nano /etc/chrony.conf

Перезагружаем машину
Проверяем:


Далее производим настройку клиентов (настройка на всех машинах идентична):

nano /etc/chrony.conf

systemctl enable --now chronyd

Перезагружаем машину
Проверяем:

nano /etc/chrony.conf

systemctl enable --now chronyd

Перезагружаем машину

nano /etc/chrony.conf

systemctl enable --now chronyd

Перезагружаем машину

nano /etc/chrony.conf

systemctl enable --now chronyd

Перезагружаем машину
Выполняем проверку:

chronyc clients

В таблице должны появиться все клиенты, которые синхронизируют время с сервером.

3. Настройте сервер домена на базе HQ-SRV через web интерфейс, выбор технологий обоснуйте
a. Введите машины BR-SRV и CLI в данный домен
b. Организуйте отслеживание подключения к домену

Произведём настройку маршрута для CLI

ip route add default via 192.168.0.2

Внимание! рекомендую сделать snapshot перед началом действий, в случае если возникнут трудности, воизбежении потери времени! Обоснование: Выбор Samba в качестве контроллера домена обеспечивает интеграцию Linux-систем в сети Windows, обеспечивает безопасное управление ресурсами в сети и снижает затраты на создание и поддержку контроллера домена. Также на базе samba в дальнейшем планируется развёртка сетевых ресурсов организации, что позволит в рамках одного программного решения реализовать несколько практических задач.

Произведём временное отключение интерфейсов. Обязательно перед началом настройки samba!

nmtui

control bind-chroot disabled
grep -q 'bind-dns' /etc/bind/named.conf || echo 'include "/var/lib/samba/bind-dns/named.conf";' >> /etc/bind/named.conf
nano /etc/bind/options.conf

systemctl stop bind
nano /etc/sysconfig/network

hostnamectl set-hostname hq-srv.demo.first;exec bash
domainname demo.first
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol
samba-tool domain provision

systemctl enable --now samba
systemctl enable --now bind
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
samba-tool domain info 127.0.0.1

host -t SRV _kerberos._udp.demo.first.
host -t SRV _ldap._tcp.demo.first.
host -t A hq-srv.demo.first

kinit administrator@DEMO.FIRST

Вводим машины в домен:

Указываем DNS сервер домена


Отключаем и включаем сетевое соединение

acc

reboot

Авторизируемся под учётной записью administrator

Пароль: P@ssw0rd

Указываем DNS сервер домена


Отключаем и включаем сетевое соединение

acc

reboot

Авторизируемся под учётной записью administrator

Пароль: P@ssw0rd

Необходимо зайти обратно под пользователем user

kinit administrator

admc

Необходимо создать доменных пользователей из таблицы (они не конфликтуют с теми, что были созданы ранее), они необходимы для настройки доступа к сетевым хранилищам.

Создаём группы для только что созданных пользователей:

4. Реализуйте файловый SMB или NFS (выбор обоснуйте) сервер на базе сервера HQ-SRV.

a. Должны быть опубликованы общие папки по названиям:
i. Branch_Files - только для пользователя Branch admin;
ii. Network - только для пользователя Network admin;
iii. Admin_Files - только для пользователя Admin;
b. Каждая папка должна монтироваться на всех серверах в папку /mnt/ (например, /mnt/All_files) автоматически при входе доменного пользователя в систему и отключаться при его выходе из сессии. Монтироваться должны только доступные пользователю каталоги
Обоснование: Выбор Samba в качестве файлового протокола обеспечивает интеграцию Linux-систем в сети Windows, обеспечивает безопасный обмен файлами в сети и снижает затраты на создание и поддержку сетевого файлового сервера. Для удобного администрирования, т.к. ранее в качестве контроллера домена была выбрана технология samba, было принято решение использовать в качестве протокола для хранения данных - SMB, также реализован алгоритм контроля доступа к сетевым ресурсам с использованием учётных доменных записей пользователей.

mkdir /opt/{branch,network,admin}
chmod 777 /opt/{branch,network,admin}
nano /etc/samba/smb.conf

systemctl restart samba

nano /etc/pam.d/system-auth

nano /etc/security/pam_mount.conf.xml

P.S. напишите один раздел, затем скопируйте его 2 раза, поменяв uid и path

Проверяем Заходим из под пользователя Admin:

Заходим из под пользователя Branch admin:

Заходим из под пользователя Network admin:

5. Сконфигурируйте веб-сервер LMS Apache на сервере BR-SRV:

a. На главной странице должен отражаться номер места
b. Используйте базу данных mySQL
c. Создайте пользователей в соответствии с таблицей

mariadb
CREATE DATABASE moodle;
CREATE USER 'moodle'@’localhost’ IDENTIFIED BY 'moodle';
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,CREATE TEMPORARY TABLES,DROP,INDEX,ALTER ON moodle.* TO 'moodle'@’localhost’;
nano /var/www/html/moodle/config.php

systemctl enable --now httpd2.service

Проверяем доступность развёрнутого портала по адресу http://moodle.localhost/install.php

Настроим доступ по имени на клиенте:

echo 10.0.2.2 moodle.demo.first moodle >> /etc/hosts

Проверяем:

Производим установку: Выбирайте англ. язык!








Создаём группы для пользователей заданных в таблице:




По аналогии создаём оставшиеся группы
Проверяем:

Создаём пользователей:




По аналогии создаём оставшихся пользователей
Проверяем:

Добавляем пользователей в соответствующие группы:


По аналогии добавляем оставшихся пользователей в группы
Проверяем:

6. Запустите сервис MediaWiki используя docker на сервере HQ-SRV.

a. Установите Docker и Docker Compose.
b. Создайте в домашней директории пользователя файл wiki.yml для приложения MediaWiki:
i. Средствами docker compose должен создаваться стек контейнеров с приложением MediaWiki и базой данных
ii. Используйте два сервиса;
iii. Основной контейнер MediaWiki должен называться wiki и использовать образ mediawiki;
iv. Файл LocalSettings.php с корректными настройками должен находиться в домашней папке пользователя и автоматически монтироваться в образ;
v. Контейнер с базой данных должен называться db и использовать образ mysql;
vi. Он должен создавать базу с названием mediawiki, доступную по стандартному порту, для пользователя wiki с паролем DEP@ssw0rd;
vii. База должна храниться в отдельном volume с названием dbvolume.
MediaWiki должна быть доступна извне через порт 8080.

Необходимо выключить сервис alterator

systemctl disable --now ahttpd
systemctl disable --now alteratord

Проверяем содержимое файла:

nano ~/wiki.yml

Перезагружаем сервисы docker:

systemctl restart docker
docker start db
docker start wiki
docker ps

Проверяем доступность ресурса через браузер:

Настроим доступность ресурса извне:

echo 10.0.0.2 mediawiki.demo.first mediawiki >> /etc/hosts

Проверяем доступность:

Производим настройку:

Пароль от БД: DEP@ssw0rd





После настройки, необходимо скачать файл LocalLocalSettings.php

Переместите скачанный файл в директорию, в которой находится файл wiki.yml

su -
toor
cp /home/user/Загрузки/LocalSettings.php ./
nano ~/wiki.yml

Проверяем, что данная стока не закоментирована (Отсутствует #)

ctrl-x
y
docker-compose -f wiki.yml stop
docker-compose -f wiki.yml up -d

Проверяем доступ к http://mediawiki.demo.first:8080:

вход осуществляем из под пользователя wiki с паролем DEP@ssw0rd :

1. Реализуйте мониторинг по средствам rsyslog на всех Linux хостах. a. Составьте отчёт о том, как работает мониторинг

2. Выполните настройку центра сертификации на базе HQ-SRV:
a. Выдайте сертификаты для SSH;
b. Выдайте сертификаты для веб серверов;

3. Настройте SSH на всех Linux хостах:
a. Banner ( Authorized access only! );
b. Установите запрет на доступ root;
c. Отключите аутентификацию по паролю;
d. Переведите на нестандартный порт;
e. Ограничьте ввод попыток до 4;
f. Отключите пустые пароли;
g. Установите предел времени аутентификации до 5 минут;
h. Установите авторизацию по сертификату выданным HQ-SRV

Т.к. настройка всех параметров идентична для всех устройств пример будет показан на устройстве HQ-SRV. Все настройки заключаются в изменении конфигурационного файла sshd_config. Для удобства выполнения пользуйтесь поиском по файлу (ctrl+w)
a. Banner ( Authorized access only! );

nano /etc/openssh/banner

nano /etc/openssh/sshd_config

b. Установите запрет на доступ root;

c. Отключите аутентификацию по паролю;

d. Переведите на нестандартный порт;

e. Ограничьте ввод попыток до 4;

f. Отключите пустые пароли;

g. Установите предел времени аутентификации до 5 минут;


h. Установите авторизацию по сертификату выданным HQ-SRV

6. Настройте виртуальный принтер с помощью CUPS для возможности печати документов из Linux-системы на сервере BR-SRV. Предположим, что печать должна осуществляться с устройства CLI

Открываем в браузере http://localhost:631/admin :

Добавляем принтер:



После поиска появится окно аутентификации, игнорируем его.

Проверяем результат:

7. Между офисами HQ и BRANCH установите защищенный туннель, позволяющий осуществлять связь между регионами с применением внутренних адресов.

nano /etc/strongswan/ipsec.conf

systemctl enable --now ipsec.service

nano /etc/strongswan/ipsec.conf

systemctl enable --now ipsec.service

ipsec status

9. Настройте программный RAID 5 из дисков по 1 Гб, которые подключены к машине BR-SRV.

lsblk

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd
watch cat /proc/mdstat

mkfs.ext4 /dev/md0
mkdir /mnt/raid5
mount /dev/md0 /mnt/raid5
nano /etc/fstab

Проверяем работоспособность:

a. Установите и настройте сервер мониторинга на базе машины CLI с использованием БД PostgreSQL. Выбор технологии решения обоснуйте.
б. Произведите разграничение доступа к панели управления системы мониторинга путём создания отдельной учётной записи в соответствии с таблицей 1.
Таблица №1

в. Произвести настройку агента мониторинга центрального узла сети – ISP.
г. Произведите настройку правил проверки узла мониторинга на доступность с использованием протокола ICMP.
д. Осуществите проверку доступности узлов мониторинга на сервере, оформите отчёт с результатами проверки.

a. Установите и настройте сервер мониторинга на базе машины CLI с использованием БД PostgreSQL. Выбор технологии решения обоснуйте.

Обоснование выбора: В контексте системы мониторинга Zabbix, PostgreSQL может быть использована как дополнительное хранилище для сохранения метрик на более длительный срок. Это позволяет хранить большое количество данных и обеспечивает возможность анализа и отчетности по метрикам за длительный период времени. Система мониторинга Zabbix является более традиционным инструментом, который лучше подходит для мониторинга инфраструктуры и серверов, являясь всеобще принятым стандартом в организациях.

Меняем значение в файле

nano /etc/php/7.4/apache2-mod_php/php.ini

systemctl start --now httpd2.service
systemctl enable httpd2.service

В окне браузера переходим по адресу: http://localhost/zabbix/setup.php




Далее появится окно, в котором потребуется сохранить файл конфигурации и в ручную перенести его в необходимую папку:

cp /home/user/Загрузки/zabbix.conf.php /var/www/webapps/zabbix/ui/conf/

После необходимо "Finish".
Установка завершена.

б. Произведите разграничение доступа к панели управления системы мониторинга путём создания отдельной учётной записи в соответствии с таблицей 1. Таблица №1

После авторизации в панели администрирования - создадим пользователя:

в. Произвести настройку агента мониторинга центрального узла сети – ISP.

nano /etc/zabbix/zabbix_agentd.conf

systemctl start --now zabbix_agentd.service
systemctl enable zabbix_agentd.service

г. Произведите настройку правил проверки узла мониторинга на доступность с использованием протокола ICMP.

P.S. обращаю внимание, что агент поднимается не моментально, а в течении нескольких минут!

д. Осуществите проверку доступности узлов мониторинга на сервере, оформите отчёт с результатами проверки.

Отчёт: Проверка доступности вновь созданного узла мониторинга ISP показала, что узел - доступен, связь стабильная. Всего было отправлено 3 пакета. Потеря пакетов составляет 0%. К данному отчёту прикпепляется скриншот с успешной отправкой ICMP запросов. (последний скриншот)