Добавить в корзинуПозвонить
Найти в Дзене
демо2026

ДЕМО2026

23
18 мин
МОДУЛЬ 1
Задание 1. Базовая настройка устройств 1.1 Настройте имена устройств согласно топологии. Используйте полное доменное имя. Решение: На всех ALT Linux (ISP, HQ-SRV, BR-SRV, HQ-CLI, BR-CLI, HQ-SW): Bash hostnamectl set-hostname hq-srv.au-team.irpo exec bash hostname -f На EcoRouter (HQ-RTR и BR-RTR): Bash Enable
configure terminal
hostname hq-rtr.au-team.irpo
ip domain-lookup
exit
write memory force Объяснение:Задание требует полное доменное имя (*.au-team.irpo). Это важно для последующей настройки DNS и проверки. 1.2 На всех устройствах сконфигурировать IPv4 согласно требованиям по подсетям. Рекомендуемый IP-план (занести в отчёт): Устройство Интерфейс IP-адрес Маска Шлюз HQ-RTR isp 172.16.1.2/28 /28
172.16.1.1 HQ-RTR vl100 10.10.100.1/27 /27 - HQ-RTR vl200 10.10.200.1/28 /28 - HQ-RTR vl999 10.10.30.1/29 /29 - HQ-SRV ens3 10.10.100.2/27 /27 10.10.100.1 HQ-SW MGMT 10.10.30.2/29 /29 10.10.30.1 HQ-CLI ens3 (DHCP) 10.10.200.2/28 /28 10.10.200.1 BR-RTR isp 172.16.2.2/28 /28 172.16.2

МОДУЛЬ 1
Задание 1. Базовая настройка устройств

1.1 Настройте имена устройств согласно топологии. Используйте полное доменное имя.

Решение:

На всех ALT Linux (ISP, HQ-SRV, BR-SRV, HQ-CLI, BR-CLI, HQ-SW):

Bash

hostnamectl set-hostname hq-srv.au-team.irpo

exec bash

hostname -f

На EcoRouter (HQ-RTR и BR-RTR):

Bash

Enable
configure terminal
hostname hq-rtr.au-team.irpo
ip domain-lookup
exit
write memory force

Объяснение:Задание требует полное доменное имя (*.au-team.irpo). Это важно для последующей настройки DNS и проверки.

1.2 На всех устройствах сконфигурировать IPv4 согласно требованиям по подсетям.

Рекомендуемый IP-план (занести в отчёт):

Устройство

Интерфейс

IP-адрес

Маска

Шлюз

HQ-RTR

isp

172.16.1.2/28

/28

172.16.1.1

HQ-RTR

vl100

10.10.100.1/27

/27

-

HQ-RTR

vl200

10.10.200.1/28

/28

-

HQ-RTR

vl999

10.10.30.1/29

/29

-

HQ-SRV

ens3

10.10.100.2/27

/27

10.10.100.1

HQ-SW

MGMT

10.10.30.2/29

/29

10.10.30.1

HQ-CLI

ens3 (DHCP)

10.10.200.2/28

/28

10.10.200.1

BR-RTR

isp

172.16.2.2/28

/28

172.16.2.1

BR-RTR

fw

10.20.10.1/30

/30

-

BR-FW

eth0

10.20.10.2/30

/30

10.20.10.1

BR-FW

eth1

10.20.20.1/28

/28

-

BR-FW

eth2

10.20.30.1/29

/29

-

BR-SRV

ens3

10.20.20.2/28

/28

10.20.20.1

BR-CLI

ens3

10.20.30.2/29

/29

10.20.30.1

Объяснение:Все подсети выбраны согласно ограничениям задания (не более 32, 16, 8 адресов). Использованы минимально возможные маски.
Настройка IPV4
Настройка ISP (ALT Linux)
Проверить наличие настроек ip -br a
1. Создаём папки интерфейсов
mkdir -p /etc/net/ifaces/ens4 /etc/net/ifaces/ens5

2. Назначаем адреса
echo"172.16.1.1/28" > /etc/net/ifaces/ens4/ipv4address
echo"172.16.2.1/28" > /etc/net/ifaces/ens5/ipv4address

3. Параметры интерфейсов
cat > /etc/net/ifaces/ens4/options << EOF
TYPE=eth
BOOTPROTO=static
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
EOF

cp /etc/net/ifaces/ens4/options /etc/net/ifaces/ens5/options

4. Перезапускаем сеть
systemctl restart network

5. Проверка
ip -br a
ip route

Настройка HQ-RTR (EcoRouter)
enable
configure terminal
Внешний интерфейс к ISP
interface isp
ip address 172.16.1.2 255.255.255.240
ip nat outside
exit

VLAN-интерфейсы(router-on-a-stick)
interface vl100
ip address 10.10.100.1 255.255.255.224
ip nat inside
exit

interface vl200
ip address 10.10.200.1 255.255.255.240
ip nat inside
exit

interface vl999
ip address 10.10.30.1 255.255.255.248
ip nat inside
exit

Маршрут по умолчанию
ip route 0.0.0.0 0.0.0.0 172.16.1.1

Проверка:
show ip interface brief

Настройка HQ-SW (Open vSwitch)
MGMT-интерфейс в VLAN 999
ovs-vsctl add-port hq-sw MGMT tag=999 -- set interface MGMT type=internal
ip link set MGMT up
ip addr add 10.10.30.2/29 dev MGMT
ip route add default via 10.10.30.1

Настройка HQ-SRV (ALT Linux)
mkdir -p /etc/net/ifaces/ens3
cat > /etc/net/ifaces/ens3/options << EOF
TYPE=eth
BOOTPROTO=static
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
EOF

echo "10.10.100.2/27" > /etc/net/ifaces/ens3/ipv4address
echo "default via 10.10.100.1" > /etc/net/ifaces/ens3/ipv4route

systemctl restart network

Проверка
ip -br a
ip route

Настройка BR-RTR (EcoRouter)
enable
configure terminal
interface isp
ip address 172.16.2.2 255.255.255.240
ip nat outside
exit

interface fw
ip address 10.20.10.1 255.255.255.252
ip nat inside
exit

ip route 0.0.0.0 0.0.0.0 172.16.2.1
write memory force

Настройка BR-FW (Ideco / XFirewall)

Настройка обычно через веб-интерфейс:

  • eth0 (oif0) → 10.20.10.2/30, шлюз 10.20.10.1
  • eth1 (oif1) → 10.20.20.1/28
  • eth2 (oif2) → 10.20.30.1/29

Включить IP Forwarding (маршрутизацию между интерфейсами).

Настройка BR-SRV (ALT Linux)
mkdir -p /etc/net/ifaces/ens3
cat > /etc/net/ifaces/ens3/options << EOF
TYPE=eth
BOOTPROTO=static
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
EOF

echo "10.20.20.2/28" > /etc/net/ifaces/ens3/ipv4address
echo "default via 10.20.20.1" > /etc/net/ifaces/ens3/ipv4route
systemctl restart network

Настройка BR-CLI (ALT Linux)
nmcli con add ifname ens3 con-name static type ethernet autoconnect yes \

ipv4.method manual \

ipv4.addresses 10.20.30.2/29 \

ipv4.gateway 10.20.30.1 \

ipv4.dns 10.10.100.2 \

ipv4.dns-search au-team.irpo

nmcli con up static

Настройка HQ-CLI (DHCP — позже, после задания 9)

nmcli con add ifname ens3 con-name static type ethernet autoconnect yes \

ipv4.method manual \

ipv4.addresses 10.10.200.2/28 \

ipv4.gateway 10.10.200.1

nmcli con up static

Задание 2. Доступ к сети Интернет на ISP

Решение (на ISP):

Bash

# Настройка интерфейсов

mkdir -p /etc/net/ifaces/ens4 /etc/net/ifaces/ens5

echo "172.16.1.1/28" > /etc/net/ifaces/ens4/ipv4address

echo "172.16.2.1/28" > /etc/net/ifaces/ens5/ipv4address

# Включение forwarding

sysctl -w net.ipv4.ip_forward=1

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

# NAT для офисов

iptables -t nat -A POSTROUTING -s 172.16.1.0/28 -o ens3 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 172.16.2.0/28 -o ens3 -j MASQUERADE

iptables-save > /etc/sysconfig/iptables

systemctl enable --now iptables

systemctl restart network

Объяснение: ISP получает внешний адрес по DHCP, имеет статические адреса к HQ-RTR и BR-RTR и выполняет Port Address Translation (PAT), чтобы офисы могли выходить в интернет.

Задание 3. Создание локальных учетных записей

На HQ-SRV и BR-SRV:

Bash

useradd -u 2026 sshuser

passwd sshuser # P@ssw0rd

usermod -aG wheel sshuser

echo "sshuser ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/sshuser

chmod 440 /etc/sudoers.d/sshuser

На HQ-RTR и BR-RTR:

Bash

enable

configure terminal

username net_admin

password P@ssw0rd

role admin

activate

exit

write memory force

Объяснение:Требуется пользователь sshuser с UID 2026 и возможностью sudo без пароля. На роутерах — локальный пользователь с административными правами.

Задание 4. Настройка коммутации в сегменте HQ

На HQ-SW (Open vSwitch):

Bash

systemctl enable --now openvswitch

ovs-vsctl add-br hq-sw

ovs-vsctl add-port hq-sw ens3 trunks=100,200,999

ovs-vsctl add-port hq-sw ens4 tag=100

ovs-vsctl add-port hq-sw ens5 tag=200

ovs-vsctl add-port hq-sw MGMT tag=999 -- set interface MGMT type=internal

ip link set MGMT up

ip addr add 10.10.30.2/29 dev MGMT

На HQ-RTR— уже настроено в пункте 1 (router-on-a-stick).

Объяснение:Реализована схема Router-on-a-Stick: один физический порт на роутере обслуживает три VLAN. Trunk на порту к HQ-RTR, access-порты к серверам/клиентам.

В отчёт: ovs-vsctl show + описание.

Задание 5. Безопасный удаленный доступ (SSH)

На HQ-SRV и BR-SRV:

Bash

vim /etc/openssh/sshd_config

# Добавить/изменить:

MaxAuthTries 2

Banner /etc/issue.net

vim /etc/issue.net

Authorized access only

systemctl restart sshd

Объяснение:Ограничение попыток входа и баннер перед авторизацией — стандартные меры безопасности SSH.

Задание 6. GRE-туннель между HQ и BR

HQ-RTR:

Bash

interface tunnel.1

ip address 10.10.10.1/30

ip tunnel 172.16.1.2 172.16.2.2 mode gre

ip mtu 1476

exit

write memory force

BR-RTR:

Bash

interface tunnel.1

ip address 10.10.10.2/30

ip tunnel 172.16.2.2 172.16.1.2 mode gre

ip mtu 1476

exit

write memory force

Объяснение:GRE — простой туннель без шифрования (по заданию). Использована минимальная маска /30.

Проверка:ping 10.10.10.2 с HQ-RTR.

Задание 7. Динамическая маршрутизация (OSPF)

HQ-RTR:

Bash

router ospf 1

ospf router-id 10.10.10.1

passive-interface default

no passive-interface tunnel.1

area 0.0.0.0 authentication message-digest

network 10.10.10.0/30 area 0

network 10.10.100.0/27 area 0

network 10.10.200.0/28 area 0

network 10.10.30.0/29 area 0

exit

interface tunnel.1

ip ospf authentication message-digest

ip ospf message-digest-key 1 md5 P@ssw0rd

ip ospf mtu-ignore

exit

BR-RTR (важно!):

  • Аналогично + no passive-interface fw
  • На интерфейсе fw тоже настроить MD5-аутентификацию.

BR-FW — настроить OSPF с redistribute connected.

Объяснение:OSPF с MD5-аутентификацией позволяет маршрутизаторам обмениваться маршрутами. Маршрутизаторы делятся только друг с другом.

Проверка:

Bash

show ip ospf neighbor

show ip route

Задание 8. Динамическая трансляция адресов (NAT)

На HQ-RTR и BR-RTRнастроить:

  • ip nat inside на внутренних интерфейсах
  • ip nat outside на интерфейсе к ISP
  • Dynamic NAT (overload) с пулами

Объяснение:Позволяет всем устройствам офисов выходить в интернет через публичный (внешний) адрес роутера.

Задание 9. DHCP для сети HQ-CLI

На HQ-RTR:

Bash

ip pool VLAN200 1

range 10.10.200.2-10.10.200.14

exit

dhcp-server 1

pool VLAN200 1

gateway 10.10.200.1

dns 10.10.100.2

domain-name au-team.irpo

mask 255.255.255.240

exit

exit

interface vl200

dhcp-server 1

exit

НаHQ-CLI перевести интерфейс в DHCP.

Объяснение:DHCP-сервер на HQ-RTR. Исключён адрес шлюза, указан DNS и доменный суффикс.

В отчёт: параметры DHCP.

Задание 10. DNS-инфраструктура

На HQ-SRV:

  1. Установить bind
  2. Настроить зоны au-team.irpo и обратные зоны согласно Таблице 3.
  3. Forwarders: 77.88.8.7, 77.88.8.3

Объяснение:Основной DNS-сервер — HQ-SRV. Должен разрешать все имена из таблицы + обратное разрешение.

Задание 11. Часовой пояс

На всех Linux-устройствах:

Bash

timedatectl set-timezone Europe/Moscow

На EcoRouter:

Bash

ntp timezone utc+3

Объяснение:Приведение времени всех устройств к единому часовому поясу (Москва).

МОДУЛЬ 2

Задание 1. Настройка контроллера домена Samba DC на BR-SRV

НаBR-SRV:

Bash

apt-get update

apt-get install -y samba smbclient winbind libnss-winbind libpam-winbind krb5-user

rm -f /etc/samba/smb.conf

samba-tool domain provision \

--realm AU-TEAM.IRPO \

--domain AU-TEAM \

--server-role dc \

--dns-backend SAMBA_INTERNAL \

--adminpass P@ssw0rd

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

systemctl enable --now samba

systemctl restart samba

Присоединение клиентов:

На HQ-CLI и BR-CLI:

Bash

apt-get install -y realmd sssd sssd-tools oddjob oddjob-mkhomedir samba-common-bin

realm join --user=Administrator@AU-TEAM.IRPO AU-TEAM.IRPO

# Вводим пароль: P@ssw0rd

Создание пользователей и групп (на BR-SRV):

Bash

# Пользователи HQ

for i in {1..5}; do

samba-tool user create hquser$i P@ssw0rd

done

# Пользователи BR

for i in {1..5}; do

samba-tool user create bruser$i P@ssw0rd

done

samba-tool group add hq

samba-tool group add br

for i in {1..5}; do

samba-tool group addmembers hq hquser$i

samba-tool group addmembers br bruser$i

done

Sudo-права для группы hq (только на HQ-CLI):

Bash

echo "%hq ALL=(ALL) NOPASSWD: /usr/bin/cat, /usr/bin/grep, /usr/bin/id" > /etc/sudoers.d/hq-group

chmod 440 /etc/sudoers.d/hq-group

Задание 2. Файловое хранилище на HQ-SRV

На HQ-SRV:

Bash

# Создание RAID 0

mdadm --create --verbose /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc

# Создание раздела

fdisk /dev/md0 << EOF

n

p

1

w

EOF

mkfs.ext4 /dev/md0p1

mkdir -p /raid

echo "/dev/md0p1 /raid ext4 defaults 0 2" >> /etc/fstab

mount -a

Задание 3. NFS-сервер на HQ-SRV

НаHQ-SRV:

Bash

apt-get install -y nfs-kernel-server

mkdir -p /raid/nfs

chmod 777 /raid/nfs

cat > /etc/exports << EOF

/raid/nfs 10.10.200.0/28(rw,sync,no_subtree_check,no_root_squash)

/raid/nfs 10.20.30.0/29(rw,sync,no_subtree_check,no_root_squash)

EOF

exportfs -ra

systemctl enable --now nfs-kernel-server

НаHQ-CLI:

Bash

apt-get install -y nfs-common

mkdir -p /mnt/nfs

echo "10.10.100.2:/raid/nfs /mnt/nfs nfs rw,auto 0 0" >> /etc/fstab

mount -a

НаBR-CLI:

Bash

apt-get install -y nfs-common

mkdir -p /mnt/nfs

echo "10.10.100.2:/raid/nfs /mnt/nfs nfs rw,auto 0 0" >> /etc/fstab

mount -a

Задание 4. Сервер сетевого времени на ISP

НаISP:

Bash

apt-get install -y chrony

cat > /etc/chrony/chrony.conf << EOF

server ru.pool.ntp.org iburst

allow 10.0.0.0/8

local stratum 5

makestep 1.0 3

EOF

systemctl restart chrony

На всех клиентах (HQ-SRV, HQ-CLI, BR-RTR, HQ-RTR, BR-SRV, BR-CLI):

Bash

apt-get install -y chrony

# Замени IP_ISP на реальный IP ISP в стенде

echo "server IP_ISP iburst" > /etc/chrony/sources.d/isp.sources

systemctl restart chrony

Задание 5. Ansible на BR-SRV

На BR-SRV:

Bash

apt-get install -y ansible

cat > /etc/ansible/hosts << EOF

[hq]

hq-srv.au-team.irpo

hq-cli.au-team.irpo

hq-rtr.au-team.irpo

[br]

br-rtr.au-team.irpo

br-cli.au-team.irpo

EOF

Проверка с BR-SRV:

Bash

ansible all -m ping

Задание 6. Веб-приложение в Docker на BR-SRV

На BR-SRV:

Bash

# Импорт образов (пути могут отличаться)

docker load -i /mnt/additional/docker/site_latest.tar

docker load -i /mnt/additional/docker/mariadb_latest.tar

cat > docker-compose.yml << EOF

version: '3'

services:

db:

image: mariadb_latest

container_name: db

environment:

MYSQL_ROOT_PASSWORD: P@ssw0rd

MYSQL_DATABASE: testdb

MYSQL_USER: test

MYSQL_PASSWORD: P@ssw0rd

volumes:

- db_data:/var/lib/mysql

testapp:

image: site_latest

container_name: tespapp

ports:

- "8080:8080"

environment:

DB_HOST: db

DB_USER: test

DB_PASSWORD: P@ssw0rd

DB_NAME: testdb

depends_on:

- db

volumes:

db_data:

EOF

docker compose up -d

Задание 7. Веб-приложение на HQ-SRV

НаHQ-SRV:

Bash

apt-get install -y apache2 mariadb-server php php-mysql libapache2-mod-php

# Создание БД

mysql -u root << EOF

CREATE DATABASE webdb;

CREATE USER 'web'@'localhost' IDENTIFIED BY 'P@ssw0rd';

GRANT ALL PRIVILEGES ON webdb.* TO 'web'@'localhost';

FLUSH PRIVILEGES;

EOF

# Импорт дампа

mysql -u root webdb < /path/to/dump.sql

# Копирование файлов

cp -r /path/to/web/index.php /var/www/html/

cp -r /path/to/web/images /var/www/html/

chown -R www-data:www-data /var/www/html

systemctl restart apache2 mariadb

Задание 8. Статическая трансляция портов

На HQ-RTR:

Bash

# Проброс веб-приложения(8080)

ip nat inside source static tcp 10.10.100.2 8080 interface isp 8080

# Проброс SSH (2026)

ip nat inside source static tcp 10.10.100.2 22 interface isp 2026

На BR-RTR:

Bash

# Проброс веб-приложения testapp

ip nat inside source static tcp 10.20.20.2 8080 interface isp 8080

# Проброс SSH

ip nat inside source static tcp 10.20.20.2 22 interface isp 2026

Задание 9. Nginx как Reverse Proxy на ISP

НаISP:

Bash

apt-get install -y nginx

cat > /etc/nginx/sites-available/web-au-team << EOF

server {

listen 80;

server_name web.au-team.irpo;

location / {

proxy_pass http://10.10.100.2;

}

}

server {

listen 80;

server_name docker.au-team.irpo;

location / {

proxy_pass http://10.20.20.2:8080;

}

}

EOF

ln -s /etc/nginx/sites-available/web-au-team /etc/nginx/sites-enabled/

rm -f /etc/nginx/sites-enabled/default

nginx -t && systemctl restart nginx

Задание 10. Web-based аутентификация на ISP

На ISP:

Bash

htpasswd -c /etc/nginx/.htpasswd WEB # пароль: P@ssw0rd

# Добавь в каждый server блок:

# auth_basic "Authorized access only";

# auth_basic_user_file /etc/nginx/.htpasswd;

Перезапусти nginx.

Задание 11. Установка Яндекс Браузера на HQ-CLI

На HQ-CLI:

Bash

wget https://repo.yandex.ru/yandex-browser/yandex-browser-stable_current_amd64.deb

apt-get install -y ./yandex-browser-stable_current_amd64.deb

МОДУЛЬ 3

Задание 1. Импорт пользователей в домен au-team.irpo

Выполняется на BR-SRV:

Bash

# Скопировать файл из Additional.iso

cp /media/Additional.iso/users.csv /root/users.csv

# Импорт пользователей

samba-tool user import /root/users.csv --password=P@ssw0rd

# Проверка импорта

samba-tool user list

samba-tool user show hquser1 # пример проверки одного пользователя

Проверка на HQ-CLI:Зайти под одним из импортированных пользователей (например, hquser1 / P@ssw0rd).

Что занести в отчёт:

  • Скриншот команды samba-tool user list
  • Скриншот успешного входа на HQ-CLI под импортированным пользователем

Задание 2. Настройка центра сертификации на HQ-SRV

На HQ-SRV:

Bash

apt-get update

apt-get install -y easy-rsa openssl

mkdir -p /etc/easy-rsa/pki

cd /etc/easy-rsa

# Инициализация PKI

easyrsa init-pki

# Создание корневого сертификата (CA)

easyrsa build-ca nopass

# Создание серверных сертификатов (срок 30 дней)

easyrsa --days=30 build-server-full web.au-team.irpo nopass

easyrsa --days=30 build-server-full docker.au-team.irpo nopass

# Копирование сертификатов в удобное место

cp pki/ca.crt /etc/ssl/certs/

cp pki/issued/web.au-team.irpo.crt /etc/ssl/certs/

cp pki/private/web.au-team.irpo.key /etc/ssl/private/

cp pki/issued/docker.au-team.irpo.crt /etc/ssl/certs/

cp pki/private/docker.au-team.irpo.key /etc/ssl/private/

Установка доверия на HQ-CLI:

Bash

# На HQ-CLI

scp root@hq-srv.au-team.irpo:/etc/ssl/certs/ca.crt /usr/local/share/ca-certificates/au-team-ca.crt

update-ca-certificates

Что занести в отчёт:

  • easyrsa show-ca
  • ls /etc/ssl/certs/
  • Скриншот браузера без предупреждений по https

Задание 3. Перенастройка IP-туннеля на IPsec

На HQ-RTR:

Bash

enable

configure terminal

# Удаляем старый GRE-туннель

no interface tunnel.1

# Настройка IKE политики

crypto ike policy 1

authentication pre-share

encryption aes-256

hash sha256

group 14

lifetime 86400

exit

# Transform-set

crypto ipsec transform-set TRSET esp-aes-256 esp-sha256-hmac

mode tunnel

exit

# IPsec туннель

interface tunnel.1

ip address 10.10.10.1 255.255.255.252

ip tunnel source 172.16.1.2

ip tunnel destination 172.16.2.2

tunnel protection ipsec policy 1

ip ospf network point-to-point

exit

# OSPF должен остаться

write memory force

На BR-RTR:

Bash

enable

configure terminal

no interface tunnel.1

crypto ike policy 1

authentication pre-share

encryption aes-256

hash sha256

group 14

lifetime 86400

exit

crypto ipsec transform-set TRSET esp-aes-256 esp-sha256-hmac

mode tunnel

exit

interface tunnel.1

ip address 10.10.10.2 255.255.255.252

ip tunnel source 172.16.2.2

ip tunnel destination 172.16.1.2

tunnel protection ipsec policy 1

ip ospf network point-to-point

exit

write memory force

Перезапуск OSPF на обоих роутерах:

Bash

restart process ospf

Что занести в отчёт:

  • show crypto ike sa
  • show crypto ipsec sa
  • show ip ospf neighbor

Задание 4. Настройка межсетевого экрана

На HQ-RTR:

Bash

enable

configure terminal

ip access-list extended ISP-IN

permit tcp any any eq 80

permit tcp any any eq 443

permit udp any any eq 53

permit udp any any eq 123

permit icmp any any echo-reply

permit icmp any any unreachable

deny ip any any log

exit

interface isp

ip access-group ISP-IN in

exit

write memory force

На BR-FW (Ideco / XFirewall): Через веб-интерфейс:

  • Создать правило на интерфейсе, смотрящем в ISP
  • Разрешить: HTTP (80), HTTPS (443), DNS (53), NTP (123), ICMP
  • Действие по умолчанию: Deny

Что занести в отчёт:

  • show access-list на HQ-RTR
  • Скриншоты правил на BR-FW

Задание 5. Принт-сервер CUPS на HQ-SRV

На HQ-SRV:

Bash

apt-get install -y cups cups-filters cups-client

systemctl enable --now cups

# Создание виртуального PDF-принтера

lpadmin -p PDF-Printer -E -v pdfwriter:/ -m everywhere -o printer-is-shared=true

lpadmin -d PDF-Printer

# Разрешить удалённый доступ

cupsctl --share-printers

На HQ-CLI:

Bash

lpadmin -p PDF-Printer -E -v ipp://10.10.100.2/printers/PDF-Printer

lpoptions -d PDF-Printer

Что занести в отчёт:

  • lpstat -t
  • Скриншот добавленного принтера на HQ-CLI

Задание 6. Аудит по syslog

На HQ-SRV (сервер сбора логов):

Bash

mkdir -p /opt/{hq-rtr,br-rtr,br-srv}

chmod -R 755 /opt

cat > /etc/rsyslog.d/10-remote.conf << EOF

$ModLoad imudp

$UDPServerRun 514

$template RemoteLogs,"/opt/%hostname%/%$YEAR%-%$MONTH%-%$DAY%.log"

*.*;mail.none;authpriv.none;cron.none ?RemoteLogs

& stop

EOF

systemctl restart rsyslog

На HQ-RTR и BR-RTR (EcoRouter):

Bash

logging host 10.10.100.2

logging trap warning

write memory force

На BR-SRV:

Bash

echo "*.* @10.10.100.2:514" >> /etc/rsyslog.conf

systemctl restart rsyslog

Ротация логов на HQ-SRV:

Bash

cat > /etc/logrotate.d/opt-logs << EOF

/opt/*/*.log {

weekly

size 10M

compress

delaycompress

missingok

notifempty

}

EOF

Что занести в отчёт: Примеры файлов в /opt/hq-rtr/

Задание 7. Zabbix мониторинг

На HQ-SRV:

Bash

docker start zabbix # если контейнер уже есть

# Добавить в DNS (на HQ-SRV)

# mon.au-team.irpo → 10.10.100.2

Настройка через веб-интерфейс http://mon.au-team.irpo:

  • Логин: admin
  • Пароль: P@ssw0rd
  • Добавить хосты HQ-SRV и BR-SRV
  • Настроить Items: CPU, Memory, Disk

Что занести в отчёт:

  • Обоснование выбора Zabbix
  • Скриншоты графиков

Задание 8. Инвентаризация через Ansible

На BR-SRV:

Bash

# Скопировать плейбук

cp -r /path/to/playbook /etc/ansible/

ansible-playbook /etc/ansible/playbook/inventory.yml

Что занести в отчёт:Содержимое файлов в /etc/ansible/PC-INFO/

Задание 9. Защита SSH (PAM + fail2ban)

На HQ-SRV:

Bash

apt-get install -y fail2ban

cat > /etc/fail2ban/jail.local << EOF

[sshd]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 3

bantime = 60

EOF

systemctl restart fail2ban

Что занести в отчёт:fail2ban-client status sshd

10 ЗАДАНИЕ
Выполняется на HQ-SRV и HQ-CLI

Шаг 1. Установка Кибер Бэкап 17.4 на HQ-SRV (сервер управления)

Bash

# 1. Смонтировать Additional.iso (если не смонтирован)

mkdir -p /mnt/additional

mount /dev/cdrom /mnt/additional # или путь к iso

# 2. Перейти в папку с дистрибутивом Кибер Бэкап

cd /mnt/additional/CyberBackup-17.4 # точный путь уточни через ls

# 3. Запуск установки (обычно installer.sh или .run)

chmod +x *.run

./CyberBackup-17.4*.run -- -a # или следуй графическому мастеру

# Во время установки:

# - Выбери "Сервер управления + Хранилище"

# - Укажи организацию: irpo

# - Создай пользователя: irpoadmin

# - Пароль: P@ssw0rd

# - Разреши веб-доступ

После установки сервис должен запуститься автоматически.

Проверка:

Bash

systemctl status cyberbackup

# или

systemctl status veeam

Шаг 2. Настройка организации и администратора

  1. Открой веб-консоль Кибер Бэкап (обычно https://10.10.100.2:9443 или https://hq-srv.au-team.irpo:9443)
  2. Зайди под irpoadmin / P@ssw0rd
  3. Убедись, что организация irpo создана.
  4. Если нужно — создай её вручную в консоли.

Шаг 3. Установка агента + узла хранения на HQ-CLI

На HQ-CLI:

Bash

# Смонтировать Additional.iso

mount /dev/cdrom /mnt/additional

# Установка агента

cd /mnt/additional/CyberBackup-17.4/Agent

chmod +x *.run

./VeeamAgent*.run -- -a # или следуй мастеру

# Во время установки выбери:

# - "Узел хранения" (Storage Node)

# - Подключись к серверу управления: 10.10.100.2 (IP HQ-SRV)

# - Учётные данные: irpoadmin / P@ssw0rd

Создание директории хранения:

Bash

mkdir -p /backup

chown -R veeam:veeam /backup # или пользователь, под которым работает сервис

chmod 755 /backup

Шаг 4. Создание планов резервного копирования (на HQ-SRV)

Открой веб-консоль → Планы резервного копирования → Создать план

План 1: Резервное копирование директории /etc

  • Название: Backup_ETC
  • Объект: HQ-SRV (или localhost)
  • Что бэкапить: /etc (со всеми поддиректориями)
  • Хранилище: HQ-CLI (узел хранения) → путь /backup
  • Расписание: можно вручную для экзамена
  • Запусти план

План 2: Резервное копирование базы webdb (MySQL)

  • Название: Backup_webdb
  • Тип: База данных → MySQL
  • Сервер: localhost или 10.10.100.2
  • База: webdb
  • Учётные данные: пользователь с правами на дамп (например, root или web)
  • Хранилище: /backup на HQ-CLI
  • Запусти план

Шаг 5. Выполнение резервного копирования

Bash

# Запуск планов вручную через консоль или веб-интерфейс

# В веб-консоли нажми "Запустить" для каждого плана

Проверка успешности:

Bash

ls -l /backup/ # на HQ-CLI

# Должны появиться папки с бэкапами

Что обязательно занести в отчёт по заданию 10

  1. Скриншот установленного сервера Кибер Бэкап (веб-консоль).
  2. Скриншот созданной организации irpo и пользователя irpoadmin.
  3. Скриншот добавленного узла хранения на HQ-CLI (/backup).
  4. Скриншоты двух созданных планов резервного копирования.
  5. Скриншоты успешного выполнения обоих бэкапов.
  6. Команда ls /backup с содержимым.

Важные замечания:

  • Если installer требует графический интерфейс — используй X forwarding или работай через веб после базовой установки.
  • Пароли везде: P@ssw0rd
  • Основной сервер — HQ-SRV
  • Узел хранения — HQ-CLI

Это наброски в целом чтобы не потеряться в заданиях