Сетевое и системное администрирование на Astra Linux и Alt Linux: особенности и возможности.
В мире информационных технологий операционные системы семейства Linux занимают особое место благодаря своей гибкости, безопасности и открытости. В России популярность приобретают отечественные дистрибутивы, такие как Astra Linux и Alt Linux, которые используются для решения задач различного уровня сложности – от создания серверных инфраструктур до обеспечения информационной безопасности на предприятиях.
В этой статье мы рассмотрим ключевые аспекты сетевого и системного администрирования на этих двух популярных российских дистрибутивах. Вы узнаете о том, какие инструменты и утилиты доступны администраторам для управления сетевыми ресурсами, настройками безопасности и мониторинга систем.
Мы также обсудим специфические особенности работы с этими системами, их отличия от других дистрибутивов Linux и преимущества использования в корпоративной среде. Статья будет полезна как начинающим системным администраторам, так и опытным специалистам, стремящимся расширить свои знания в области отечественных решений на базе Linux.
Так же в этой статье я хочу Вам показать примерный ход выполнения настроек некоторых виртуальных машин (для наглядности будут рассмотрены 3 машины на Alt Linux и 3 на Astra Linux). Тут будут предоставлены некоторые команды с пояснениями и в том числе парочка скриншотов.
ВНИМАНИЕ
Все адреса, названия машин, зон DNS и т.д. взяты в качестве примера
Калькулятор подсетей:
---------------------------------------------------------------------------------------------
#### ISP [172.16.4.1]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка адресации:
mcedit /etc/network/interfaces
# Добавить:
iface eth0 inet dhcp
iface eth1 inet static
address 172.16.4.1
netmask 255.255.255.240
iface eth2 inet static
address 172.16.5.1
netmask 255.255.255.240
4. Перезапуск сети:
systemctl restart networking - запомните эту команду, она в дальнейшем
будет чуть ли не самой важной!!!
5. Включение маршрутизации:
mcedit /etc/sysctl.conf
# Убрать комментарий: (это делается в самом файле конфигурации, просто
снимите знак решетки #)
net.ipv4.ip_forward=1
sysctl -p
6. Настройка NAT: (здесь показан пример выполнения команды по настройке
маршрутизации NAT)
iptables -t nat -A POSTROUTING -s 172.16.4.0/28 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.5.0/28 -o eth0 -j MASQUERADE
iptables-save > /root/rules
export EDITOR=mcedit (эти команды тоже запомните. Они служат для
сохранения написанных правил при перезагрузке системы!!!)
crontab -e
@reboot /sbin/iptables-restore < /root/rules
---------------------------------------------------------------------------------------------
#### HQ-RTR [172.16.4.2]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка адресации:
mcedit /etc/network/interfaces
# Добавить:
iface eth0 inet static
address 172.16.4.2
netmask 255.255.255.240
gateway 172.16.4.1
iface eth1 inet manual
iface eth1.100 inet static
address 192.18.1.1
netmask 255.255.255.192
iface eth1.200 inet static
address 192.168.2.1
netmask 255.255.255.240
iface eth1.999 inet static
address 192.168.3.1
netmask 255.255.255.248
4. Перезапуск сети:
systemctl restart networking
5. Настройка GRE-туннеля между HQ-RTR [172.16.4.2] и BR-RTR [172.16.5.2]:
(здесь очень важный момент, проверьте до этого пункта связь между всеми машинами, чтоб потом приступить к этому шагу, будьте внимательны!!!)
mcedit /etc/network/interfaces
# Добавить:
auto gre1
iface gre1 inet tunnel
address 10.10.10.1
netmask 255.255.255.252
mode gre
local 172.16.4.2
endpoint 172.16.5.2
ttl 255
systemctl restart networking
ip a
6. Настройка NAT:
iptables -t nat -A POSTROUTING -s 192.168.1.0/26 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/28 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/29 -o eth0 -j MASQUERADE
iptables-save > /root/rules
crontab -e
@reboot /sbin/iptables-restore < /root/rules
7. Настройка OSPF:
apt install frr
mcedit /etc/frr/daemons
Комментируем первую строку знаком #:
#deb https://dl.astralinux.ru/astra/stables/2.12_x86-64/repository/ orel main
contrib non-free
Ниже пишем следующую строку:
deb [trusted=yes] http://deb.debian.org/debian buster main
ПОСЛЕ ПРОДЕЛАННОЙ РАБОТЫ, РАСКОММЕНТИРУЙТЕ РЕПОЗИТОРИЙ
АСТРЫ И ЗАКОММЕНТИРУЙТЕ РЕПОЗИТОРИЙ DEBIAN!!!
(здесь придется вспомнить навыки работы и команды Cisco Packet Tracer)
# Изменить строку:
ospfd=yes (делается в конфиге)
systemctl restart frr
vtysh
conf t
router ospf
network 10.10.10.0/30 area 0
network 192.168.1.0/26 area 0
network 192.168.2.0/28 area 0
network 192.168.3.0/29 area 0
int gre1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 P@ssw0rd
do wr mem
https://rea7.readthedocs.io/en/latest/nix/services/FRR/FRR%20%28FRRouting%29/
8. Настройка DHCP: (тоже очень важный момент, ибо одна машина должна получить адрес по DHCP)
# Добавить: (все делается в конфиге)
dhcp-range=192.168.2.2,192.168.2.14,9999h
9. Создание пользователя:
Для создания пользователя на машине под управлением ОС Astra Linux нужно
использовать команду:
useradd net_admin -m
Изменим пароль:
passwd net_admin
P@$$word
Чтобы net_admin мог запускать sudo без дополнительной аутентификации
необходимо добавить следующую строчку в файл /etc/sudoers, в самый конец:
mcedit /etc/sudoers
net_admin ALL=(ALL:ALL) NOPASSWD: ALL
---------------------------------------------------------------------------------------------
#### BR-RTR [172.16.5.2]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка адресации:
mcedit /etc/network/interfaces
# Добавить:
iface eth0 inet static
address 172.16.5.2
netmask 255.255.255.240
gateway 172.16.5.1
iface eth1 inet static
address 192.168.4.1
netmask 255.255.255.224
4. Перезапуск сети:
systemctl restart networking
5. Настройка GRE-туннеля между BR-RTR [172.16.5.2] и HQ-RTR [172.16.4.2]:
mcedit /etc/network/interfaces
# Добавить:
auto gre1
iface gre1 inet static
address 10.10.10.2
netmask 255.255.255.252
local 172.16.5.2
endpoint 172.16.4.2
ttl 255
systemctl restart networking
ip a
ping 10.10.10.1 (здесь мы проверяем работу туннеля)
6. Настройка NAT:
iptables -t nat -A POSTROUTING -s 192.168.4.0/27 -o eth0 -j MASQUERADE
iptables-save > /root/rules
crontab -e
@reboot /sbin/iptables-restore < /root/rules
7. Настройка OSPF:
apt install frr
mcedit /etc/frr/daemons
# Изменить строку:
ospfd=yes
systemctl restart frr
vtysh
conf t
router ospf
network 10.10.10.0/30 area 0
network 192.168.4.0/27 area 0
int gre1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 P@ssw0rd
do wr mem
https://rea7.readthedocs.io/en/latest/nix/services/FRR/FRR%20%28FRRouting%29/
8. Создание пользователя:
Для создания пользователя на машине под управлением ОС Astra Linux нужно
использовать команду:
useradd net_admin -m
Изменим пароль:
passwd net_admin
P@$$word
Чтобы net_admin мог запускать sudo без дополнительной аутентификации
необходимо добавить следующую строчку в файл /etc/sudoers, в самый конец:
mcedit /etc/sudoers
net_admin ALL=(ALL:ALL) NOPASSWD: ALL
---------------------------------------------------------------------------------------------
#### HQ-SRV [192.168.1.2]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка VLAN 100:
mkdir /etc/net/ifaces/enp0s3.100
mcedit /etc/net/ifaces/enp0s3.100/options
# Заполнить:
TYPE=vlan
HOST=enp0s3
VID=100
DISABLED=no
BOOTPROTO=static
mcedit /etc/net/ifaces/enp0s3.100/ipv4address
192.168.1.2/26
mcedit /etc/net/ifaces/enp0s3.100/ipv4route
default via 192.168.1.1
systemctl restart network
4. Настройка DNS: (важный и ответственный момент, будьте внимательны)
apt-get install dnsmasq
mcedit /etc/dnsmasq.conf
# Добавить:
no-resolv
domain=au-team.irpo
server=8.8.8.8
interface=* (на каком интерфейсе будет работать служба)
address=/hq-rtr.au-team.irpo/192.168.1.1
ptr-record=1.1.168.192.in-addr.arpa,hq-rtr.au-team.irpo
address=/hq-srv.au-team.irpo/192.168.1.2
ptr-record=2.1.168.192.in-addr.arpa,hq-srv.au-team.irpo
address=/hq-cli.au-team.irpo/(адрес дшсп)
ptr-record=(адрес дшсп).in-addr.arpa,hq-cli.au-team.irpo
systemctl restart dnsmasq
Теперь необходимо добавить строку 192.168.1.1 hq-rtr.au-team.irpo в файл
/etc/hosts
Сохраняем файл, выходим из редактора.
Перезапускаем службу командой:
systemctl restart dnsmasq
5. Создание пользователей:
useradd sshuser -u 1010
passwd sshuser
P@ssw0rd
usermod -aG wheel sshuser
mcedit /etc/sudoers
# Убрать комментарий:
WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL
После чего добавить пользователя sshuser в группу wheel:
usermod -aG wheel sshuser
---------------------------------------------------------------------------------------------
#### BR-SRV [192.168.4.2]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка адресации:
cd /etc/net/ifaces/enp0s3
mcedit options
# Заполнить:
TYPE=eth
DISABLED=no
BOOTPROTO=static
NM_CONTROLLED=no
mcedit ipv4address
192.168.4.2/27
mcedit ipv4route
default via 192.168.4.1
systemctl restart network
4. Создание пользователей:
useradd sshuser -u 1020
passwd sshuser
P@ssw0rd
usermod -aG wheel sshuser
mcedit /etc/sudoers
# Убрать комментарий:
WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL
После чего добавить пользователя sshuser в группу wheel:
usermod -aG wheel sshuser
---------------------------------------------------------------------------------------------
#### HQ-CLI [192.168.2.2]
1. Переход в режим суперпользователя:
sudo -i
2. Настройка имени устройства:
hostnamectl set-hostname <имя машины>
3. Настройка VLAN 200:
mkdir /etc/net/ifaces/enp0s3.200
mcedit /etc/net/ifaces/enp0s3.200/options
# Заполнить:
TYPE=vlan
HOST=enp0s3
VID=200
DISABLED=no
BOOTPROTO=dhcp
mcedit /etc/net/ifaces/enp0s3.200/ipv4address
192.168.2.2/28
mcedit /etc/net/ifaces/enp0s3.200/ipv4route
default via 192.168.2.1
systemctl restart network
---------------------------------------------------------------------------------------------
Так же я покажу Вам как настроить безопасный удаленный доступ SSH на примере службы openssh-common (это можно выполнить на машине HQ-SRV)
apt-get install openssh-common
Затем зайдём в файл конфигурации для внесения изменений:
mcedit /etc/openssh/sshd_config
И внесём туда следующие строки:
Port 22
MaxAuthTries 2
AllowUsers sshuser
PermitRootLogin no
Далее нам нужен баннер.
Создаём его, вносим предложение, которое требуется по заданию через команду:
mcedit /root/banner
Пишем туда следующую строку (ОБЯЗАТЕЛЬНО ПОСЛЕ НЕЁ НАЖАТЬ ENTER, чтобы под ней была пустая строка):
<ВАШ БАННЕР>
Затем сохраняем и возвращаемся в /etc/openssh/sshd_config.
Добавляем/Редактируем следующую строку:
Banner /root/banner
После внесения изменений, сохраняем и выходим. И делаем перезапуск службы:
systemctl enable --now sshd
systemctl restart sshd
Затем попробуем подключиться по SSH через HQ-CLI:
ssh sshuser@192.168.1.2 -p 22
sshuser – пользователь, под которым вы подключаетесь
192.168.1.2 – адрес сервера, к которому мы подключаемся (HQ-SRV)
-p 22 – порт, по которому мы подключаемся
Не забудьте так же настроить часовой пояс на машинах. Это делается командой:
timedatectl set-timezone <ваш пояс>
---------------------------------------------------------------------------------------------