From aa3de98d2ee59bb56dd3d636148744ee1924a6d9 Mon Sep 17 00:00:00 2001 From: admin Date: Mon, 8 Jun 2026 05:55:28 +0000 Subject: [PATCH] =?UTF-8?q?=D0=9E=D0=B1=D0=BD=D0=BE=D0=B2=D0=B8=D1=82?= =?UTF-8?q?=D1=8C=20README.md?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 208 +++++++++++++++++++++++++++--------------------------- 1 file changed, 104 insertions(+), 104 deletions(-) diff --git a/README.md b/README.md index 71798e4..9d0bafb 100644 --- a/README.md +++ b/README.md @@ -31,25 +31,25 @@ >Номер Vlan зависит от варианта, смотрите в задание

- +

- +

- +

- +

**ISP преднастроена, но включать ее надо**

- +

@@ -76,7 +76,7 @@ Заодно настроим GRE туннель

- +

@@ -170,7 +170,7 @@

- +

@@ -299,7 +299,7 @@

*HQ-SRV и BR-SRV*

- +

В дебиане нету судо поэтому скачаем: @@ -360,7 +360,7 @@ Редактируем файл /etc/ssh/sshd_config:

- +

@@ -438,7 +438,7 @@

- +

Теперь открываем скрипт-инициализации сервиса dnsmasq @@ -691,7 +691,7 @@ ________________________________________________________________________________ Убедитесь, что дополнительные диски распознаны системой. Список подключенных дисков можно проверить командой:

- +

Создайте RAID 0 массив из двух 1Гб дисков (предположим, они определены как /dev/sda, /dev/sdb: @@ -716,13 +716,13 @@ ________________________________________________________________________________ Результат:

- +

Проверяем:

- +

Сохраняем конфигурацию массива в файле /etc/mdadm.conf: @@ -732,7 +732,7 @@ ________________________________________________________________________________ Результат:

- +

Создание файловой системы для массива @@ -756,7 +756,7 @@ ________________________________________________________________________________

- +

Выполняем монтирование: @@ -766,7 +766,7 @@ ________________________________________________________________________________ Результат:

- +

Проверяем: @@ -776,7 +776,7 @@ ________________________________________________________________________________ Результат:

- +

###

3. Настройте сервер сетевой файловой системы (nfs) на HQ-SRV

@@ -810,7 +810,7 @@ rw — разрешены чтение и запись no_root_squash — отключение ограничения прав root

- +

Экспортируем файловую систему, указанную выше в /etc/exports: @@ -823,7 +823,7 @@ exportfs с флагом -a, означающим экспортировать а флаг -v включает подробный вывод:

- +

Запускаем и добавляем в автозагрузку NFS - сервер: @@ -853,7 +853,7 @@ exportfs с флагом -a, означающим экспортировать где: 192.168.100.2 - адрес файлового сервера (HQ-SRV)

- +

Выполняем монтирование общего ресурса: @@ -863,7 +863,7 @@ exportfs с флагом -a, означающим экспортировать Результат:

- +

Проверяем: @@ -873,7 +873,7 @@ exportfs с флагом -a, означающим экспортировать Результат:

- +

###

4. Настройте службу сетевого времени на базе сервиса chrony

@@ -933,7 +933,7 @@ exportfs с флагом -a, означающим экспортировать > На HQ-CLI /etc/chrony.conf

- +

> где: 172.16.1.1 - IPv4 адрес ISP; @@ -1042,7 +1042,7 @@ ________________________________________________________________________________

- +

> Дмитрий Игоревич забыл прописать порт 2026 в /etc/ssh/sshd_config на HQ-SRV и BR-SRV, так что прописываем за него и перезагружаем службу systemctl restart sshd @@ -1097,7 +1097,7 @@ P@ssw0rd, порт приложения 8080, при необходимости 3. Выполнить монтирование Additional.iso в директорию /mnt:

- +

- Выполнить импорт образа mariadb_latest и site_latest: @@ -1105,50 +1105,50 @@ P@ssw0rd, порт приложения 8080, при необходимости >docker load < /mnt/docker/site_latest.tar

- +

> docker load < /mnt/docker/mariadb_latest.tar

- +

- Проверить:

- +

- Скачиваем curl

- +

- Скачиваем файл compose.yaml и помещаем его в корневую директорию: >curl -o ~/compose.yaml https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/compose.yaml

- +

- Запустить набор контейнеров с веб приложением и базой данных:

- +

- Проверяем набор контейнеров с веб приложением и базой данных:

- +

- Проверяем доступ до веб приложения с браузера:

- +

###

7. Разверните веб приложениена сервере HQ-SRV:

@@ -1196,7 +1196,7 @@ apache > mount /dev/sr0 /mnt/

- +

Произвести копирование файлов веб приложения index.php и logo.png в директорию /var/www/html: @@ -1209,7 +1209,7 @@ apache > nano /var/www/html/index.php

- +

Перейти в интерфейс управления MariaDB: <<Команды ниже не пытайтесь копировать и вставлять, все равно нечего не выйдет>> @@ -1232,7 +1232,7 @@ EXIT; Изменить кодировку файла

- +

Выполнить импорт схемы и данных из файла dump.sql в базу данных webdb: @@ -1242,7 +1242,7 @@ EXIT; Проверить:

- +

Удалить стандартную станицу @@ -1257,7 +1257,7 @@ EXIT; Проверяем доступ до веб приложения с браузера:

- +

###

8. На маршрутизаторах сконфигурируйте статическую трансляцию портов

@@ -1270,13 +1270,13 @@ EXIT;

*BR-RTR*

- +

*HQ-RTR*

- +

- /etc/nftables @@ -1328,7 +1328,7 @@ EXIT; Проверить наличие ошибок в конфигурационных файлах:

- +

Запустить и активировать службу nginx: @@ -1339,7 +1339,7 @@ EXIT; Поскольку в домене SambaDC нет DNS записей ссылающихся на необходимые имена, а на HQ-CLI в качестве DNS-сервера задан адрес именно контроллера домена, поэтому необходимо добавить записи в файл /etc/hosts на виртуальной машине HQ-CLI:

- +

Проверяем возможность доступа до веб ресурсов с браузера на клиенте: @@ -1367,7 +1367,7 @@ EXIT; htpasswd –c /etc/nginx/.htpasswd WEB

- +

Добавить web-based аутентификацию для доступа к сайту web.au-team.irpo в конфигурационный файл /etc/nginx/sites-available.d/default.conf: @@ -1375,13 +1375,13 @@ htpasswd –c /etc/nginx/.htpasswd WEB >nano /etc/nginx/sites-available/default

- +

Проверить наличие ошибок в конфигурационных файлах:

- +

Перезапустить службу nginx: @@ -1396,7 +1396,7 @@ htpasswd –c /etc/nginx/.htpasswd WEB Пароль: P@ssw0rd

- +

###

11. Удобным способом установите приложение Яндекс Браузере для организаций

@@ -1493,20 +1493,20 @@ htpasswd –c /etc/nginx/.htpasswd WEB >chmod 700 /etc/pki/CA/private

- +

Создайте корневой ключ и сертификат (RSA 4096, SHA256): - openssl req -x509 -new -nodes \ - -keyout /etc/pki/CA/private/ca.key \ - -out /etc/pki/CA/certs/ca.crt \ - -days 3650 \ - -sha256 \ + openssl req -x509 -new -nodes / + -keyout /etc/pki/CA/private/ca.key / + -out /etc/pki/CA/certs/ca.crt / + -days 3650 / + -sha256 / -subj "/CN=AU-TEAM Root CA"

- +

Шаг 2. Создайте CSR для веб-сервера @@ -1514,27 +1514,27 @@ htpasswd –c /etc/nginx/.htpasswd WEB > openssl genrsa -out /etc/pki/CA/private/web.au-team.irpo.key 2048

- +

-openssl req -new \ - -key /etc/pki/CA/private/web.au-team.irpo.key \ - -out /etc/pki/CA/web.au-team.irpo.csr \ +openssl req -new / + -key /etc/pki/CA/private/web.au-team.irpo.key / + -out /etc/pki/CA/web.au-team.irpo.csr / -subj "/CN=web.au-team.irpo"

- +

openssl genrsa -out /etc/pki/CA/private/docker.au-team.irpo.key 2048 -openssl req -new \ - -key /etc/pki/CA/private/docker.au-team.irpo.key \ - -out /etc/pki/CA/docker.au-team.irpo.csr \ +openssl req -new / + -key /etc/pki/CA/private/docker.au-team.irpo.key / + -out /etc/pki/CA/docker.au-team.irpo.csr / -subj "/CN=docker.au-team.irpo"

- +

Шаг 3. Создайте конфигурационный файл для openssl ca @@ -1542,55 +1542,55 @@ openssl req -new \ curl -o /etc/ssl/openssl-ca.cnf https://raw.githubusercontent.com/shiraorie/demo2026-1/main/files/openssl-gost.cnf

- +

Проверяем nano /etc/ssl/openssl-ca.cnf:

- +

Шаг 4. Подпишите сертификат -openssl ca \ - -config /etc/ssl/openssl-ca.cnf \ - -in /etc/pki/CA/web.au-team.irpo.csr \ - -out /etc/pki/CA/certs/web.au-team.irpo.crt \ - -extensions server_cert \ - -days 30 \ +openssl ca / + -config /etc/ssl/openssl-ca.cnf / + -in /etc/pki/CA/web.au-team.irpo.csr / + -out /etc/pki/CA/certs/web.au-team.irpo.crt / + -extensions server_cert / + -days 30 / -batch

- +

- +

-openssl ca \ - -config /etc/ssl/openssl-ca.cnf \ - -in /etc/pki/CA/docker.au-team.irpo.csr \ - -out /etc/pki/CA/certs/docker.au-team.irpo.crt \ - -extensions server_cert \ - -days 30 \ +openssl ca / + -config /etc/ssl/openssl-ca.cnf / + -in /etc/pki/CA/docker.au-team.irpo.csr / + -out /etc/pki/CA/certs/docker.au-team.irpo.crt / + -extensions server_cert / + -days 30 / -batch

- +

Шаг 6. Настройка доверия на клиенте HQ-CLI Скопируйте корневой сертификат:

- +

*HQ-CLI*

- +

@@ -1601,7 +1601,7 @@ openssl ca \ >nano /etc/ssh/sshd.config

- +

>systemctl restart sshd @@ -1626,7 +1626,7 @@ mkdir -p /etc/nginx/ssl >scp -P 2026 root@172.16.1.2:/etc/pki/CA/private/docker.au-team.irpo.key /etc/nginx/ssl/

- +

chown root:root /etc/nginx/ssl/* @@ -1634,7 +1634,7 @@ chmod 600 /etc/nginx/ssl/*.key nginx -t && systemctl reload nginx

- +

проверяем @@ -1642,13 +1642,13 @@ nginx -t && systemctl reload nginx https://docker.au-team.irpo

- +

https://web.au-team.irpo

- +

###

3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика

@@ -1669,7 +1669,7 @@ https://web.au-team.irpo На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:

- +

Далее нужно настроить файл ipsec.secrets. Вносим туда строку: @@ -1677,7 +1677,7 @@ https://web.au-team.irpo ***172.16.4.2 172.16.5.2 : PSK “123qweR%”***

- +

Ещё один конфиг charon.conf, открываем его b редактируем в нём следующую строку, приводя к виду: @@ -1712,7 +1712,7 @@ https://web.au-team.irpo На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:

- +

Далее нужно настроить файл ipsec.secrets. Вносим туда строку: @@ -1720,7 +1720,7 @@ https://web.au-team.irpo ***172.16.5.2 172.16.4.2 : PSK “123qweR%”***

- +

Ещё один конфиг charon.conf, открываем его и редактируем в нём следующую строку, приводя к виду: @@ -1872,20 +1872,20 @@ systemctl restart cups Открываем пуск и ищем Print settings

- +

Жмем add Далее ENTER URL, вписываем http://192.168.100.2:631/printers/PDF

- +

Жмем forward, опять forward, далее листаем вверх и выбираем CUPS-PDF

- +

Жмем forward, Aply @@ -1893,13 +1893,13 @@ systemctl restart cups Появится print test page

- +

Если видите что принтер в простое то поздравляю

- +

###

6. Реализуйте логирование при помощи rsyslog на устройствах HQ-RTR, BR-RTR, BR-SRV

@@ -2077,15 +2077,15 @@ deb https://mirror.yandex.ru/debian-security bookworm-security main contrib non- sudo mysql -u root -p # Выполните в MySQL-консоли: -CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;\ -CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'P@ssw0rd';\ -GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost';\ -FLUSH PRIVILEGES;\ +CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;/ +CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'P@ssw0rd';/ +GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost';/ +FLUSH PRIVILEGES;/ EXIT; # Для Debian 12 пакеты уже содержат готовые скрипты Не пугайтесь импорт долго происходит -zcat /usr/share/zabbix-server-mysql/schema.sql.gz | mysql -uzabbix -p zabbix\ -zcat /usr/share/zabbix-server-mysql/images.sql.gz | mysql -uzabbix -p zabbix\ +zcat /usr/share/zabbix-server-mysql/schema.sql.gz | mysql -uzabbix -p zabbix/ +zcat /usr/share/zabbix-server-mysql/images.sql.gz | mysql -uzabbix -p zabbix/ zcat /usr/share/zabbix-server-mysql/data.sql.gz | mysql -uzabbix -p zabbix @@ -2093,8 +2093,8 @@ zcat /usr/share/zabbix-server-mysql/data.sql.gz | mysql -uzabbix -p zabbix sudo nano /etc/zabbix/zabbix_server.conf -DBName=zabbix\ -DBUser=zabbix\ +DBName=zabbix/ +DBUser=zabbix/ DBPassword=P@ssw0rd # Укажите таймзону в конфиге Apache @@ -2178,7 +2178,7 @@ sudo systemctl restart zabbix-server 3. Настроить DNS на HQ-SRV:

- +

- Теперь интерфейс будет доступен по адресу: