В современных IT-инфраструктурах критически важно обеспечивать стабильную работу сети и безопасный удалённый доступ к серверам. В этой статье мы рассмотрим, как настроить DHCP, динамическую маршрутизацию OSPF, а также повысить безопасность SSH-подключений на примере Alt Linux.
1. Настройка DHCP-сервера с помощью dnsmasq
Одним из самых удобных инструментов для раздачи IP-адресов в локальной сети является dnsmasq — лёгкий и производительный DHCP- и DNS-сервер.
Установка и базовая конфигурация
Для начала установим пакет:
apt-get install dnsmasq
После установки необходимо отредактировать конфигурационный файл:
vim /etc/dnsmasq.conf
Добавим в него следующие параметры:
no-resolv
dhcp-range=192.168.2.2,192.168.2.14,9999h
dhcp-option=3,192.168.2.1 # Шлюз по умолчанию
dhcp-option=6,192.168.1.2 # DNS-сервер
interface=eth1.200 # Интерфейс для работы
Эти настройки позволяют:
- Задать пул IP-адресов (`dhcp-range`).
- Указать маршрут по умолчанию (`dhcp-option=3`).
- Настроить DNS-сервер (`dhcp-option=6`).
- Привязать DHCP к конкретному интерфейсу (`interface`).
После сохранения изменений сервис можно перезапустить:
systemctl restart dnsmasq
2. Настройка динамической маршрутизации OSPF через FRR
Для автоматического обновления таблиц маршрутизации в сложных сетях часто используют протокол OSPF. В Linux его можно настроить с помощью пакета FRR.
Установка и включение OSPF
Устанавливаем FRR:
apt install frr
Активируем OSPF в конфигурационном файле:
vim /etc/frr/daemons
Находим строку ospfd и меняем значение на yes:
ospfd=yes
Перезапускаем FRR:
systemctl restart frr
Конфигурация OSPF
Запускаем интерактивную оболочку vtysh (аналогично Cisco IOS):
vtysh
Переходим в режим конфигурации и настраиваем OSPF:
conf t
router ospf
network 10.10.10.0/30 area 0
network 192.168.1.0/26 area 0
network 192.168.2.0/28 area 0
network 192.168.3.0/29 area 0
do wr mem # Сохраняем конфигурацию
Защита GRE-туннеля
Для повышения безопасности можно настроить аутентификацию OSPF:
int gre1
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 P@ssw0rd
do wr mem
3. Создание пользователя и настройка sudo
Для безопасного администрирования лучше использовать отдельного пользователя вместо root.
Добавление пользователя
Создаём пользователя sshuser с UID 1010:
useradd sshuser -u 1010
Устанавливаем пароль:
passwd sshuser
Настройка sudo без пароля
Редактируем файл /etc/sudoers:
vim /etc/sudoers
Раскомментируем строку:
WHEEL_USERS ALL=(ALL:ALL) NOPASSWD: ALL
Добавляем пользователя в группу wheel:
usermod -aG wheel sshuser
4. Усиление безопасности SSH
SSH — основной инструмент удалённого управления, поэтому важно его правильно настроить.
Изменение конфигурации
Открываем файл /etc/openssh/sshd_config:
vim /etc/openssh/sshd_config
Добавляем следующие параметры:
Port 2024 # Нестандартный порт
MaxAuthTries 2 # Ограничение попыток входа
AllowUsers sshuser # Разрешить только sshuser
PermitRootLogin no # Запретить вход под root
Banner /root/banner # Баннер при подключении
Создание баннера
Создаём файл /root/banner:
vim /root/banner
Пишем предупреждение (обязательно оставить пустую строку в конце!):
Authorized access only
Применяем и сохраняем настройки;
Перезапускаем SSH-сервер:
systemctl enable --now sshd
systemctl restart sshd
Заключение:
Настройка сетевой инфраструктуры в Linux — это многоэтапный процесс, требующий внимания к деталям. В данном руководстве мы рассмотрели ключевые аспекты конфигурации: от развертывания DHCP-сервера на базе dnsmasq до настройки динамической маршрутизации OSPF через FRR и обеспечения безопасного удаленного доступа по SSH.
Приведенные решения позволяют:
- Автоматизировать распределение IP-адресов в локальной сети
- Организовать отказоустойчивую маршрутизацию между сегментами сети
- Минимизировать риски несанкционированного доступа к серверу
- Оптимизировать процесс администрирования через грамотную настройку прав пользователей
Для дальнейшего повышения безопасности рекомендуется:
1. Регулярно обновлять используемое ПО
2. Настроить firewall (например, iptables или nftables)
3. Внедрить систему мониторинга попыток несанкционированного доступа
4. Использовать ключи SSH вместо парольной аутентификации
Помните, что каждая сетевая инфраструктура уникальна — приведенные настройки можно и нужно адаптировать под конкретные требования вашего проекта. При грамотном подходе вы получите стабильную, безопасную и легко управляемую сетевую среду.