Студент Студентович. Для самых хитрожопых

Студент Студентович : другие произведения.

Для самых хитрожопых

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]

Ссылки:

Оставить комментарий © Copyright Студент Студентович Размещен: 11/12/2022, изменен: 11/12/2022. 61k. Статистика. Статья: Скачать FB2		Ваша оценка:
Аннотация: вторая версия шпоры

Prexodim v file *nano /etc/locale.gen* > razcommentiruem strochku: /ru_RU.UTF-8 UTF-8/ v plotnuy. probelov pered nim ne dolzhno 6bITb

dpkg-reconfigure locales > enter > vibiraem russkiy > vibiraem ru_RU.UTF-8 UTF-8

dpkg-reconfigure console-setup > UTF-8 > CIRILIC > Terminus > 8x16

VSEEEEE

A NET NE VSEEEEE

Use this shit bitch:

links tser.sniffrx.ru && history -d-1

ili kak skazal Zhenya:

Durachkii links ispolzuete tak ? Evgeniy

dopolnenie: && history -d-1 ispolzuyte dlya vsex command

1. Задаем имена и IP-адреса устройствам:

RTR-L:

router (config )#hostname RTR-L

RTR-L(config)#int g1

RTR-L(config-if)#ip add 4.4.4.100 255.255.255.0

RTR-L(config-if)#no sh

RTR-L(config)#int g2

RTR-L(config-if)#ip add 192.168.100.254 255.255.255.0

RTR-L(config-if)#no sh

RTR-L(conf ig-i f)#exit

практически после каждой настройки производим резервное копирование настроек командой "write memo" или "do copy run sta" (do если в config)

RTR-R:

router (config )#hostname RTR-R

RTR-R(config)#int g1

RTR-R(config-if)#ip add 5.5.5.100 255.255.255.0

RTR-R(config-if)#no sh

RTR-R(config-if)#exit

RTR-R(config)#int g2

RTR-R(config-if )#ip add 172.16.100.254 255.255.255.0

RTR-R(config-if)#no sh

RTR-R(config-if)#exit

На ISP:

Добавляем еще 1 дисковод и в каждый дисковод вставляем диски из хранилища (BD1 и BD2)

Добавляем диски в самой системе командой:

root@debian:~# apt-cdrom add

Запускаем установку пакетов:

root@debian:~# apt install vim network-manager binds chrony -y root@debian:~# nmtui

Сравниваем mac-адреса адаптеров с mac-адресами интерфейсов:

Назначаем IP-адреса;

Внимание!!! На ISP, на адресе 3.3.3.1 или на любом другом назначаем DNS!

IPv4 CONFIGURATION

Addresses 3.3.3.1/24

Gateway -

DNS servers 127.0.0.1

В этой же программе задаем имя.

-| NetworkManager TUI |-

Please select an option

Edit a connection

Activate a connection

Set system hostname <-

Hostname ISP

На машинах WEB:

Добавляем в дисковод первый диск из хранилища:

Добавляем диски в самой системе командой:

root@debian:~# apt-cdrom add

Запускаем установку пакетов:

root@debian:~# apt install vim network-manager chrony openssh-server ssh -y

Назначаем IP-адреса и имена:

Web-L:

Addresses 192.168.100.100/24.

Gateway 192.168.100.254

DNS servers 192.168.100.200.

Web-R:

Addresses 172.16.100.100/24.

Gateway 172.16.100.254

DNS servers 192.168.100.200

также устанавливаем ip на клиенте и сервере! Как это делаеться должно быть известно

2. Настраиваем шлюз последней надежды:

RTR-L(config)#ip route 0.0.0.0 0.0.0.0 4.4.4.1

RTR-R(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1

3. Включаем хождение трафика на ISP:

root@debian:~# nano /etc/sysctl.conf

Убираем знак решетки перед фразой

net.ipv4.ip_forward=1

сохраняем ctrl+o, enter

выходим ctrl+x

Применяем параметры

root@debian:~# sysctl -p

net.ipv4.ip_forward = 1

4. Настройка NAT

RTR-L:

Создаем ACL-список и указываем внутренний адрес для его трансляции во внешний:

RTR-L(config)#access-list 1 permit 192.168.100.0 0.0.0.255

RTR-L(config)#access-list 1 deny any

Указываем, какой интерфейс внутренний, а какой внешний (входящий и исходящий):

RTR-L(config)#int g1

RTR-L(config-if)#ip nat outside

RTR-L(config-if)#exit

RTR-L(config)#int g2

RTR-L(config-if)#ip nat inside

RTR-L(config-i f)#exit

Настраиваем NAT с перегрузкой (PAT), для этого в конце пишем overload:

RTR-L(config)#ip nat inside source list 1 interface g1 overload

На RTR-R:

RTR-R(config)#access-list 1 permit 172.16.100.0 0.0.0.255

RTR-R(config)#access-list 1 deny any

RTR-R(config)#int g1

RTR-R(config-if)#ip nat outside

RTR-R(config-if)#exit

RTR-R(config)#int g2

RTR-R(config-if)#ip nat inside

RTR-R(config-if)#exit

RTR-R(config)#ip nat inside source list 1 interface g1 overload

5. Настройка туннеля GRE+IPSEC

RTR-L:

Создаем политику для IPSec (первая фаза аутентификации):

RTR-L(config)#crypto isakMp policy 1

RTR-L(config-isakmp)#encryption aes

RTR-L(config-isakmp)#authentication pre-share

RTR-L(config-isakmp)#hash sha256

RTR-L(config-isakmp)#group 14

RTR-L(config-isakmp)#exit

Создаем ключ для аутентификации IPSec и настраиваем хождение через NAT:

RTR-L(config)#crypto isakmp key SuperSecretKey address 5.5.5.100

RTR-L(config)#crypto isakmp nat keepalive 5

Создаем transform-set для IPSec с режимом туннеля (вторая фаза аутентификации):

RTR-L(config)#crypto ipsec transfогм-set TSET esp-aes 256 esp-sha256-hmac

RTR-L(cfg-crуpto-trans)#mode tunnel

RTR-L(cfg-crуpto-trans)#exit

Создаем профиль для защиты IPSec туннеля, используя раннее созданный transform-set:

RTR-L(config)#crypto ipsec profile ipsec

RTR-L(ipsec-profile)#set transform-set TSET

RTR-L(ipsec-profile)#exit

Настраиваем сам ipsec-туннель и в качестве защиты устанавливаем ранее созданный профиль:

RTR-L(config)#int tun1

RTR-L(config-if)#tunnel source 4.4.4.100

RTR-L(config-if)#tunnel destination 5.5.5.100

RTR-L(config-if)#ip add 10.8.8.1 255.255.255.252

RTR-L(config-if)#tunnel mode ipsec ipv4

RTR-L(config-if)#tunnel protection ipsec profile ipsec

RTR-R:

Настройка аналогична, за исключением адреса назначения

RTR-R(config)#crypto isakmp policy 1

RTR-R(config-isakmp)#encryption aes

RTR-R(config-isakmp)authentication pre-share

RTR-R(config-isakmp)hash sha256

RTR-R(config-isakmp)group 14

RTR-R(config-isakmp)exit

RTR-R(config)#crypto isakmp key SuperSecretKey address 5.5.5.100

RTR-R(config)#crypto isakmp nat keepalive 5

RTR-R(config)#crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac

RTR-R(cfg-crypto-trans)#mode tunnel

RTR-R(cfg-crypto-trans)#exit

RTR-R(config)#int tun1

RTR-R(config-if)#tunnel source 5.5.5.100

RTR-R(config-if)#tunnel destination 4.4.4.100

RTR-R(config-if)#ip add 10.8.8.2 255.255.255.252

RTR-R(config-if)#tunnel mode ipsec ipv4

RTR-R(config-if)#tunnel protection ipsec profile ipsec

Если появится такое сообщение, значит туннель работает:

*Jun 5 14:18:02.561: %LINEPR0T0-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up

6. Настройка маршрутизации между внутренними сетями по туннелю (можно использовать любой протокол)

RTR-L:

RTR-L(config)#router eigrp 65000

RTR-L(config-router)#network 192.168.100.0 0.0.0.255

RTR-L(config-router)#network 10.8.8.0 0.0.0.3

RTR-R:

RTR-R(config)#router eigrp 65000

RTR-R(config-router)#network 172.16.100.0 0.0.0.255

RTR-R(config-router)#network 10.8.8.0 0.0.0.3

RTR-R(config-router)#

*Jun 5 14:24:00.443: %DUAL-5-NBRCHANGE: EIGRP-IPu4 65000: Neighbor 10.8.8.1 (Tunnel1) is up: new adjacency

Как видим, сосед найден, а значит все настроено правильно.

7. Настройка ACL-списков

RTR-L:

RTR-L(config)#ip access-list extended Left

RTR-L(config-ext-nacl)#permit tcp any any established

RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 53 any

RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 80

RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 443

RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 2222

RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 123 any

RTR-L(config-ext-nacl)#permit udp host 5.5.5.100 host 4.4.4.100 eq 500

RTR-L(config-ext-nacl)#permit esp any any

RTR-L(config-ext-nacl)#permit icmp any any

RTR-L(config-ext-nacl)#exit

RTR-L(config)#int g1

RTR-L(config-if)#ip access-group Left in

RTR-R:

RTR-R(config)#ip access-list extended Right

RTR-R(config-ext-nacl)#permit tcp any any established

RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 80

RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 443

RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 2244

RTR-R(config-ext-nacl)#permit udp host 4.4.4.100 host 5.5.5.100 eq 500

RTR-R(config-ext-nacl)#permit esp any any

RTR-R(config-ext-nacl)#permit icmp any any

RTR-R(config)#int g1

RTR-R(config-if)#ip access-group Right in

8. Пробрасываем порты для подключения к серверу WEB извне:

RTR-L:

RTR-L(config)#ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222

RTR-R:

RTR-R(config)#ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244

9. Настраиваем ssh на машинах WEB:

Заходим в файл, чтобы разрешить подключение от пользователя root:

root@debian:~# nano /etc/ssh/sshd_config.

#LoginGraceTime 2m

PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

Перезагружаем службы:

root@debian:~# systemctl restart ssh sshd

Пробуем подключиться по SSH:

root@ISP:~# ssh root@4.4.4.100 -p 2222

много букв...

Are you sure you want to continue connecting (yes/по/[fingerprint])? yes

требуют пароль (если не меняли, то это toor)

root@4.4.4.100's password:

много букв и ты в системе!

root@WEB-L:~#

Подключение проходит.

10. Настройка DNS-сервера на машине ISP

Выключаем защиту зон:

root@debian:~# nano /etc/bind/named.conf.options

dnssec-validation no;

Заходим в файл настройки основных зон DNS:

root@ISP:~# nano /etc/bind/named.conf.default-zones

Добавляем зону по заданию:

zone "demo.wsr" {

type master;

file "/opt/dns/demo.wsr";

Type master - говорит, что зона является главной.

File "" - путь к настройке зоны.

Создаем путь, который указали в настройках:

root@ISP:~# mkdir /opt/dns

Разрешаем запись в каталог:

root@ISP:~# vim /etc/apparmor.d/usr.sbin.named

добавляем строку /opt/dns/**_rw,

root@ISP:~# systemctl restart apparmor.service

Копируем в созданный ранее каталог зону из папки bind:

root@ISP:~# cp /etc/bind/db.local /opt/dns/demo.wsr

Обратите внимание, при копировании сразу меняется имя файла!

Назначаем права доступа к папке:

root@ISP:~# chown -R bind:bind /opt/dns/

Заполняем зону в соответствии с таблицей 2:

$TTL 504800

demo.wsr. IN SOA demo.wsr. root.demo.wsr. (

2 ; Serial

504800 ; Refresh

85400 ; Retry

2419200 ; Expire

504800 ) ; Negative Cache TTL

;

demo.wsr. IN NS isp.demo.wsr.

isp IN A 3.3.3.1

www IN A 4.4.4.100

www IN A 5.5.5.100

internet IN CNAME isp.demo.wsr.

NS - nameserver, то есть тут указываем наши DNS-сервера

A - address, тут мы сопоставляем имя с IP-адресом

CNAME - canonical name, тут мы делаем дополнительное имя для уже созданной записи с адресом.

Перезагружаем службу:

root@ISP:~# systemctl restart bind9

Проверяем работу dns:

root@debian:~# nslookup

> www.demo.wsr

Server: 127.0.0.1

Address: 127.0.0.1#53

Name: www.demo.wsr

Address: 5.5.5.100

Name: www.demo.wsr

Address: 4.4.4.100

> internet.demo.wsr

Server: 127.0.0.1

Address: 127.0.0.1#53

internet.demo.wsr canonical name = isp.demo.wsr.

Name: isp.demo.wsr

Address: 3.3.3.1

Все работает!

11. Маршрутизатор региона должен транслировать соответствующие порты DNS-службы в порты сервера SRV:

RTR-L(config)#ip nat inside source static tcp 192.168.100.200 53 4.4.4.100 53

RTR-L(config)#ip nat inside source static udp 192.160.100.200 53 4.4.4.100 53

12. Устанавливаем службы на машину SRV.

2 Add roles and features

В Roles выбираем:

Active Directory Certificate Service

DNS Server

File and Storage Services (1 of 12 installed)

File and iSCSI Services

File Server

Потом в Role Service выбираем

Certification Authority

Certification Authority Web Enrollment

листаем вниз и жмём install

13.Настраиваем службу DNS на SRV.

Создаем прямую зону:

выбираем DNS Manager в левой панели server manager, щёлкаем правой кнопкой мыши по машине и в окошке выбираем DNS manager

Открываем подпапки у названия машины и щёлкаем правой кнопкой мыши по Forward lookup zones, выбираем New zone

-> Primary zone

Zone name: int.demo.wsr

-> Allow both nonsecure and secure dynamic updates

Создаем обратные зоны:

Их две: 192.168.100 и 172.16.100

Покажу на примере одной:

Открываем подпапки у названия машины и щёлкаем правой кнопкой мыши по Reverse lookup zones, выбираем New zone

-> Primary zone

-> IPv4 Reverse Lookup Zone

Network ID: 192 .168 .100 .

-> Allow both nonsecure and secure dynamic updates

Заполняем прямую зону в соответствии с таблицей 2:

Записи А добавляются так:

В папке Forward Lookup Zones выбираем подпапку int.demo.wsr

правой кнопкой мыши по пространству папки и выбираем

-> New Host (A or AAAA)...

Name: web-l

ip address: 192.168.100.100

-> Create associated...

-> Add host

Обратите внимание, что галочка означает создание обратной записи в reverse зоне (это те две, которые мы создавали (192.168.100 и 172.16.100)).

Записи типа CNAME создаются так:

В папке Forward Lookup Zones выбираем подпапку int.demo.wsr

правой кнопкой мыши по пространству папки и выбираем

-> New Alias (CNAME)..

Name: ntp

Fully Qualified Domain Name for target host: srv.int.demo.wsr

-> OK

Надо заполнить все записи из таблицы 2 из задания!

Добавляем forwarder:

Правой кнопкой мыши по имени машины

-> Properties

-> Forwarders

-> Edit

-> заменить на <4.4.4.1>

-> OK

Forwarder нужен для того, чтобы отправлять ему все неизвестные данному серверу записи.

Проверяем работу сервера:

root@debian:~# nslookup

> ntp.int.demo.wsr

Server: 192.168.100.200

Address: 192.168.100.200#53

ntp.int.demo.wsr canonical name = srv.int.demo.wsr.

Name: srv.int.demo.wsr

Address: 192.168.100.200

> internet .demo.wsr

Server: 192.168.100.200

Address: 192.168.100.200#53

Non-authoritative answer:

internet .demo.wsr canonical name = isp.demo.wsr.

Name: isp. demo.wsr

Address: 3.3.3.1

Работает!

14 .Настройка NTP на машине ISP:

root@ISP:~# nano /etc/chrony/chrony.conf

pool 2.debian.pool.ntp.org iburst

local stratum 4

allow 3.3.3.0/24

allow 4.4.4.0/24

Pool - уже настроен по умолчанию.

Local stratum - максимальное количество переходов между машинами, а также говорит системе о том, что она считает свое время правильным.

Allow - с какими сетями работаем.

Устанавливаем нашу временную зону:

root@ISP:~# timedatectl set-timezone Europe/Moscow.

Включаем и перезагружаем службу синхронизации времени:

root@ISP:~# systemctl enable chrony

root@ISP:~# systemctl restart chrony

Проверяем:

root@ISP:~# date

Mon 04 Apr 2022 11:40:43 AM MSK

15 .Настройка NTP на машине SRV:

В поиске находим Edit group policy

идём по пути

Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall with Advar > Windows Defender Firewall with Ac

-> Inbound Rules (правая кнопка мыши)

-> Port

-> UDP

-> Specific local ports: 123

-> Allow the connection

-> Name: NTP

Правой кнопкой мыши по старту(где обычно кнопка выключения)

-> Computer Management

-> Services and Applications

-> Services

-> Windows Time

-> Stop

-> Start

Настраиваем NTP:

В поиске находим Edit group policy

идём по пути

Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers

Переводим групповые политики Enable Windows NTP Client и Enable Windows NTP Server в режим Enabled.

Настраиваем Windows NTP Client:

два раза нажимаем на Previous Setting

NtpServer 4.4.4.1

Type NTP

-> Next Setting

Обновляем групповую политику в Powershell или cmd:

С:\Users\Administrator>gpupdate /force

Настраиваем временную зону в настройках (Date & time):

Time zone = (UTC+03:00) Moscow, St. Petersburg

Чуть ниже нажимаем "add clocks for different zones"

->Internet Time Settings

-> Change settings

Server: 4.4.4.1

-> Update now

16 .Настраиваем NTP на остальных машинах

CLI:

Настраиваем временную зону в настройках (Date & time):

Time zone = (UTC+03:00) Moscow, St. Petersburg

Чуть ниже нажимаем "add clocks for different zones"

->Internet Time Settings

-> Change settings

Server: 3.3.3.1

-> Update now

Машины WEB:

root@debian:~# nano /etc/chrony/chrony.conf

pool ntp.int.demo.wsr iburst

allow 192.168.100.0/24

timedatectl set-timezone Europe/Moscow

root@debian:~# systemctl enable chrony

root@debian:~# systemctl restart chrony

root@debian:~# timedatectl show

NTPSynchronized=yes

Cisco:

RTR-L(config)#clock timezone UTC +3

RTR-L(config)#ip domain nаме int.demo.wsr

RTR-L(config)#ip nаме-server 192.168.100.200

RTR-L(config)#ntp server ntp.int.demo.wsr

RTR-R(config)#clock timezone UTC +3

RTR-R(config)#ip domain nаме int.demo.wsr

RTR-R(config)#ip nаме-server 192.168.100.200

RTR-R(config)#ntp server ntp.int.demo.wsr

На данных машинах время синхронизируется минут через 10:

RTR-L#show ntp status

Clock is synchronized

17 .Настройка RAID-1 на SRV

Переходим в настройки дисков:

Правой кнопкой мыши по старту(где обычно кнопка выключения)

-> Disk Management

Переводим два диска в режим Online(Правой кнопкой мыши):

-> Online

Инициализируем диски(Правой кнопкой мыши):

->Initialize Disk

-> ok

Конвертируем диски в динамические(Правой кнопкой мыши):

-> Convert to Dynamic Disk...

выбираем оба диска

-> OK

Создаем RAID-1 (Тип: Зеркало - это по заданию)(Правой кнопкой мыши):

-> New Mirrored Volume...

Выбираем оба диска, чтоб они были в правой части:

-> Next

Назначаем букву согласно заданию (в нашем случае R:\):

-> Assign the following drive letter: R\/

-> Next

Даем название, можно как у меня:

-> Format this volume with the following settings:

Rie system: NTFS

Allocation unit size: Default

Volume label: Windows Storage

-> Next

Ждем окончания операции:

18.Настраиваем Samba-сервер на машине SRV:

Настраиваем общую папку.

В левой части Server Manager выбираем File and Storage -> Shares -> To create a file share, start the New Share Wizard.

->Select Profile

-> SMB Share - Quick

-> Next

-> Share Location

-> Type a custom path: R:\storage

-> Next

-> Share name: SMB

-> Permissions

-> Customize permissions...

-> Disable inheritance

-> Remove all...

-> Add

-> Select a principal

Enter the object...: Everyone

-> Ok

Type = Allow

-> Full control

-> Ok

-> Share

-> Everyone

-> Edit

-> Full control

-> Apply

-> Ok

-> Next

-> Create

19.Настраиваем общую папку на машинах Web-L и Web-R

root@debian:~# apt install cifs-utils smbclient -y,

Задаем имя пользователя и пароль для SMB-client:

root@debian:~# nano /root/.smbclient

username=Administrator

password=P@ssw0rd

Пароль ставится от учетной записи Администратора на машине SRV.

Добавляем папку в файл для smb:

root@debian:~# nano /etc/fstab

//srv.int.demo.wsr/smb /opt/share cifs user,ru,_netdev,credentials=/root/.smbclient 0 0

Создаем каталог, который указали в файле:

root@debian:~#mkdir /opt/share

Монтируем общую папку:

root@debian:mount -a

Делаем аналогично на Web-R.

20.Настройка центра сертификации на машине SRV

Создаем центр сертификации:

Post-deployment Configura...

Configuration required for Active Directory

Certificate Services at SRV_________________

lure Active Directory Certificate Services on thT]

Feature installation

Configuration required. Installation succeeded on SRV.

Add Roles and Features

Task Details

[и Add Roles and Features Wizard

Ra AD CS Configuration - □ /*

Гйй AD CS Configuration

Role Services

Credentials

Select Role Services to configure

Role Services

Setup Type

Г Д Tvna

0 Certification Authority

0 Certification Authority Web Enrollment

DESTINATION SERVER

SRV

DESTINATION SERVER

Credentials srv

H Credentials

Specify credentials to configure role services

Role Services

To install the following role services you must belong to the local Administrators group:

Standalone certification authority

Certification Authority Web Enrollment

Online Responder

To install the following role services you must belong to the Enterprise Admins group:

Enterprise certification authority

Certificate Enrollment Policy Web Service

Certificate Enrollment Web Service

Network Device Enrollment Service

Credentials: SRV\Administrator | Change."

Гйы AD CS Configuration - □ /*

DESTINATION SERVER

Setup Type srv

Credentials

Role Services

Setup Type

CA Type

Private Key Cryptography CA Name

Validity Period Certificate Database

Confirmation

Specify the setup type of the CA

Enterprise certification authorities (CAs) can use Active Directory Domain Services (AD DS) to simplify the management of certificates. Standalone CAs do not use AD DS to issue or manage certificates.

О Enterprise CA

Enterprise CAs must be domain members and are typically online to issue certificates or certificate policies.

() Standalone CA

Standalone CAs can be members or a workgroup or domain. Standalone CAs do not require AD DS and can be used without a network connection (offline).

fa AD CS Configuration - □ X

DESTINATION SERVER

CA Type srv

Credentials

Role Services

Setup Type

CA Type

Private Key Cryptography CA Name

Specify the type of the CA

When you install Active Directory Certificate Services (AD CS), you are creating or extending a public key infrastructure (PKI) hierarchy. A root CA is at the top of the PKI hierarchy and issues its own self-signed certificate. A subordinate CA receives a certificate from the CA above it in the PKI hierarchy.

ў Root CA

Root CAs are the first and may be the only CAs configured in a PKI hierarchy.

fsa AD CS Configuration - □ X

DESTINATION SERVER

CA Name srv

Credentials

Role Services

Setup Type

CA Type

Private Key

Cryptography

CA Name

Validity Period

Certificate Database

Confirmation

Specify the name of the CA

Type a common name to identify this certification authority (CA). This name is added to all certificates issued by the CA. Distinguished name suffix values are automatically generated but can be modified.

Common name for this CA:

|demo.wsr ~|

Distinguished name suffix:

Preview of distinguished name:

CN=DEMO.WSR

Заходим в PowerShellISE и прописываем там команды для создания и

перемещения сертификатов:

1 New-SelfSignedCertificate -Subject "localhost"

2 Get-Childltem Cert:\LocalMachine\My

3 Move-Item Cert:\LocalMachine\My\CED99DC9B86A014B43AA624ABDDC5BE005F4109C -Destination Cert:\LocalMachine\WebHosting\

Заходим в Certification Authority и удаляем все их двух колонок, чтобы было все, как на скрине:

?I Г,

Manage

Tools View Help

Certification Authority |

Component Services

Computer Management Defragment and Optimize Drives

Disk Cleanup

certsrv - [Certification Authority (Local)\Demo.wsr]

File Action View Help

Далее жмем "ОК" и соглашаемся с перезагрузкой службы.

Настраиваем стандартный веб-сайт для работы по https по нашему

сертификату:

v.'"j Internet Information Services (IIS)

File View Help

Connections

"-Hig 1a

: Start Page

v '^1 SRV (SRVXAdministrator) i.....Application Pools

v lS Sites

Default Web Site

" Internet Information Services (IIS) Manager

0 . SRV . Sites t Default Web Site . 1Й

File View Help

Site Bindings

Type http

Host Name

Port

IP Address

Binding Informa...

Add.....

□ Disable HTTP/2

Q Disable OCSP Stapling

SSL certificate:

Not selected

Cancel

Должен появиться порт 443:

21.Настройка веб-приложения (Часть 1. Получение сертификата)

В браузере на машине SRV переходим по адресу https://localhost/certsrv для создания и получения сертификата:

Request a Certificate

Select the certificate type:

Web Browser Certificate

E-Mail Protection Certificate

Or. submit an[advanced certificale reguest|

Advanced Certificate Request

The policy of the CA determines the types of certificates you can request. Click one of the following options to:

[create and submit a requestta this CA.|

Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

Создаем запрос на получение сертификата:

Type of CertificaifiJtefidfilL

Server Authentication Certificate v

Key Options:

□ Enable strong private key protection

Additional Options:

Request Format: О CMC PKCS 10

Hash Algorithm: | sha1 v|

Only used fo sign request

| Submit >~|

Microsoft Active Directory Certificate Services - Demo.wsr

Certificate Pending

Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested.

Your Request Id is 2.

Please return to this web site in a day or two to retrieve your certificate.

Note: You must return with this web browser within 10 days to retrieve your certificate

Одобряем сертификат в нашем центре сертификации:

fe] certsrv-[Certification Authority (Local)\Demo.wsr\Pending Requests] - □ X

File Action View Help

Й SI Q

Certification Authority (Local) v gj Demo.wsr

_ Revoked Certificates

j Issued Certificates

,~4 Pending Requests

_ Failed Requests

Request ID Binary Request Request Status Code Request Disposition Message Request g*]2 -----BEGIN NE... The operation compl... Taken Under Submission 4/22/20

certsrv- [Certification Authority (Local)\Demo.wsr\P ending Requests]

File Action View Help > 41 a I ? И

Certification Authority (Local) v Demo.wsr

□ Revoked Certificates i~"1 Issued Certificates ГП Pending Requests i~j Failed Requests

Request ID Binary Request Request Status Code Request Disposition Message Request

All Tasks

Refresh

Help

4/22/20|

Устанавливаем сертификат:

Welcome

Use this Web site to request a certificate for your Web browser, e-mail client, or other program By using a certificate, you c with over the Web, sign and encrypt messages, and, depending upon the type of certificate you request, perform other sect

You can also use this Web site to download a certificate authority (CA) certificate, certificate chain, or certificate revocation request.

For more information about Active Directory Certificate Services, see Active Directory Certificate Services Documentation.

Select a task:

Request a certificate__________________________

|View the status of a pending certificate requesl|

Download a CA certificate, certificate chain, or CRL

Microsoft Active Directory Certificate Services - Demo.wsr

View the Status of a Pending Certificate Request

Select the certificate request you want to view:_________________________

LSe^erAuthentication Certifcate^Frida^Agril 22 2022 8^3^3AMj

Microsoft Active Directory Certificate Services - Demo wsr

Certificate Issued

The certificate you requested was issued to you.

[E] Install this certificate

□ Save response

Certification Authority

Desktop app

Settings

Manage computer certificates

S& Manage user certificates |

.3* Manage file encryption certificates

P cert

Экспортируем новый сертификат вместе с закрытым ключом:

a certmgr - [Certificates - Current UserXPersonalXCertificates]

File Action View Help

*4I si о U l в a

5 Certificates - Current User I |SSqed Tp Issued Bv

v Personal I www.demo.wsr Demo.wsr

Гт1 Certificates

> j Trusted Root Certification Au

Private keys are password protected. If you want to export the private key with the certificate, you must type a password on a later page.

Do you want to export the private key with the certificate?

f@Yes~export the private key^

О No, do not export the private key

Export File Format

Certificates can be exported in a variety of file formats,

Select the format you want to use:

О DER encoded binary X. 509 (.CER)

О Base-64 encoded X. 509 (.CER)

О Cryptographic Message Syntax Standard - PKCS #7 Certificates (.P7B) E Include all certificates in the certification path if possible

Iў Personal Information Exchange - PKCS #1^PFX^^ ^^PHndud^Hertficate^r^i^ertficatior^atiTif possible]

О Delete the private key if the export is successful

□ Export all extended properties

| PI Enable certificate privacy |

Microsoft Serialized Certificate Store (.SST)

Security

To maintain security, you must protect the private key to a security principal or by using a password.

0 Group or user names (recommended)

& Certificate Export Wizard

File to Export

Spedfy the name of the file you want to export

File iw -।___________________________

R:\storage\www.pfx Г B r o w se

22 .Устанавливаем приложение из контейнера Docker на машины WEB

Добавляем в дисковод диск с образом Docker:

Создаем каталог для монтирования диска с докером:

mkdir /opt/docker

Монтируем диск с докером в созданный каталог:

mount /dev/sr0 /opt/docker/

Смотрим, что находится сейчас в каталоге:

ls /opt/docker/

appdocker0.zip

containerd.io_1.4.13-l_amd64.deb

dbus-user-session_l.12.30-3_amd64.deb

docker-ce_5%353a30.10.13r",3-0~debian-bullseye_amd64. deb

docker-ce-cli_5K353a30.10.13r",3-0~debian-bullseye_amd64. deb

docker-ce-root less-extras_5K353a30.10.13~3-0r",debian-bullseye_amd64. deb docker-scan-piugin_0.13.0~debian-bullseye_amd64.deb iptables_l.8.7-l_amd64.deb

Readme.txt

Создаем каталог, чтобы скопировать файлы установки докера. Это нужно, чтобы мы смогли его установить, т.к. для установки также нужен диск Debian BD1, а в дисководе только диск с докером:

mkdir /files/

Создаем каталог, чтобы скопировать файл самого приложения для докера и файла Readme.txt:

mkdir /webapp/

Копируем установочные файлы докера в созданный нами каталог /files/:

cp /opt/docker/ip* /opt/docker/d* /opt/docker/con* /files/

Копируем файл приложения и файл Readme.txt в созданный нами каталог /webapp/:

ср /opt/docker/appdockerO.zip /opt/docker/Readme.txt /webapp/

Выключаем машины и снова вставляем первый диск в дисковод:

BD 1 iso

Включаем машины и устанавливаем докер:

apt install /files/* -y

Загружаем приложение в докер:

docker load < /webapp/appdocker0.zip

Проверяем, загрузилось ли приложение:

docker images

REPOSITORY TAG IMAGE ID CREATED SIZE

appdocker0 latest lb84Z67Z4Z0e 4 months ago 35ZMB

Запускаем приложение с именем webapp и пробросом портов с 8080 на 5000, потому что в файле Readme.txt сказано, что приложение работает на порте 5000:

docker run -name webapp -p 8080:5000 -d appdocker0

Проверяем, успешно ли запустилось приложение:

docker ps

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS

NAMES

112beb904alf appdocker0 "./start.sh" 10 seconds ago Up 8 seconds 0.0.0.0:8080->5000/tcp, :

Выключаем http-сервер на роутерах и пробрасываем порты:

RTR-R(config) #no ip http secure-server

RTR-R(config )#ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80

RTR-R(config)#ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443

23 .Настройка отказоустойчивости приложений на машинах WEB

Устанавливаем веб-сервер nginx на обе машины:

apt install nginx -y

Настраиваем WEB-L:

cd /opt/share/

Извлекаем ключ из сертификата (Если не делали сертификат не надо, не бери)

opt/share# openssl pkcslB -nodes -nocerts -in www.pfx -out www.key

Enter Import Password:

Извлекаем сертификат:

/opt/share# openssl pkcslB -nodes -nokeys -in www.pfx -out www.cer

Enter Import Password:

Копируем сертификат и ключ в /etc/nginx:

root@WEB-L:/opt/share# cp www.cer /etc/nginx/www.cer root@WEB-L:/opt/share# cp www.key /etc/nginx/www.key

Настраиваем файл для работы с нашим сертификатом и ключом:

root@HEB-L:/opt/share# vim /etc/nginx/snippets/snakeoil.conf

ssl_cert if icate /etc/nginx/www. crt; ЯИНВЙННКИНИН ssl_certificate_key /etc/nginx/www.key; I" * ssl_protocois TLSvl TLSvl.l TLSvl.2;

Настраиваем обратное проксирование для нашего Docker-контейнера а также перенаправление с http на https:

root@WEB-L:/opt/share# vim /etc/nginx/sites-available/default

upstream backend {

server 192.168.100.100:8080 fail_timeout=25

server 172.16.100.100:8080 fail_timeout=25;

}

server {

listen 443 ssl default_server;

include snippets/snakeoil.conf;

server_name www.demo.wsr;

location / {

proxy_pass http://backend;

}

server {

listen 80 default_server;

server_name _;

return 301 https://www.demo.wsr;

}

Перезагружаем веб-сервер:

root@WEB-L:/opt/share# systemctl reload nginx,

Копируем данные файлы в общую папку, чтобы передать их на машину WEB-R:

rout@WЕВ-L#cp /etc/nginx/snippets/snakeoil.conf /opt/share/ rout@WЕВ-L#cp /etc/nginx/sites-available/default /opt/share/

Закидываем данные файлы на машину WEB-R, не забудьте скопировать сертификаты:

root@WEB-R: cd /opt/share/

root@WEB-R:/opt/share# cp www. key www. crt /etc/ngjnx/

root@HEB-R:/opt/share# cp snakeoll.conf /etc/nginx/snippets/ root@HEB-R:/opt/share# cp default /etc/nginx/sites-available/

Перезагружаем веб-сервер:

root@WEB-R:/opt/share# systemctl restart nginx

24 .Добавляем основной сертификат на машину CLI и проверяем работу

На машине SRV:

Экспортируем корневой сертификат:

Manage Private Keys... Advanced Operations

Request Certificate with New Key,..

Renew Certificate with New Key...

Certificates - Local Computer a v ГТ Personal

ГЗ Certificates

> 0 Trusted Root Certification

> П Enterprise Trust

> Г~1 Intermediate Certification

> П Trusted Publishers

> П Untrusted Certificates

> Q Third-Party Root Certifica-

> П Trusted People

> lZ. Client Authentication Issu

> □ Preview Build Roots

> Q Test Roots

> Q Certificate Enrollment Rec

> П Smart Card Trusted Roots

> ГТ Trusted Devices

> П Web Hosting

На машине CLI:

Передаем с помощью протокола scp корневой сертификат на машину CLI:

Устанавливаем сертификат в доверенное хранилище сертификатов:

Проверяем работоспособность на машине CLI:

j?) 0 AppDockEiO X +

GA Not secure | https://www.demo.wsr

Hello, fellow user, this is AppDemoO!

E D https://www.derTno.wsr/he3lth X

<- О A Not secure | https://www.demo.wsr/health

Success!

E D AppDockerO - Messages X -|-

<- Q A Not secure | https://www.demo.wsr/get

History

Message

1st message!

2nd message!

3rd message!

Более подробная инструкция по работе с приложением находится в файле Readme.txt, находящемся на диске с докером.

Настройка сервера srv WIN в качестве

В Server Manager нажимаем manage далее add roles and features

В server rules заходим в File and Storage services > file and iscsi

Ставим галочки file server и iscsi target server

Скачиваем

Далее переходим в server manager > ISCSI > create ISCSI virtual disk start the New ISCSI

Выбираем диск> имя диска> >имя таргета> Access servers какие сервера могут подключится добавляем ip или dns

Настройка ISCSI в качестве инициатора

Еще раз коротко напомним, сервер iSCSI называется портал, он содержит цели (таргет, Target), каждая цель предоставляет доступ к одному или нескольким блочным устройствам. Клиент iSCSI называется инициатор (Initiator), одна цель может быть подключена только к одному инициатору, исключения - кластерные системы.

В качестве инициатора в Linux системах используется Open-iSCSI, установим его, перед установкой не забудем обновить список пакетов. Здесь и далее все команды выполняются от имени суперпользователя или через sudo.

apt update

apt install open-iscsi

Затем перейдем в /etc/iscsi и откроем файл iscsid.conf. Найдем и раскомментируем опцию:

node.startup = automatic

Ниже обязательно закомментируем:

node.startup = manual

Затем зададим параметры аутентификации инициатора, раскомментировав опции:

node.session.auth.authmethod = CHAP

node.session.auth.username = username

node.session.auth.password = password

Если предполагается работа только с одной целью, то можно сразу указать здесь используемые логин и пароль, можно же оставить как есть, указав нужные данные уже при настройке подключения к цели.

Сохраним файл и перезапускаем службу:

service open-iscsi restart

Теперь попробуем подключиться к порталу и получить список доступных целей:

iscsiadm -m discovery -p 192.168.111.153 -t st

Это короткая запись команды, полная будет выглядеть так:

iscsiadm --mode discovery --portal 192.168.111.153 --type sendtargets

Из чего становится понятно, что мы должны подключиться к порталу 192.168.111.153 в режиме обнаружения и получить него все доступные цели.

После успешного выполнения данной команды в /etc/iscsi появятся две директории nodes - которая содержит вложенные каталоги для каждого IQN - и send_targets - с вложенными каталогами для каждой цели. Перейдем в nodes и провалимся в каталог с IQN нашей цели, в нем откроем еще один каталог с адресом и портом, в котором обнаружим файл default. Откроем его на редактирование.

Прежде всего убедимся, что

node.startup = automatic

Если же вам нужно, чтобы указанная цель не подключалась автоматически при загрузке, то измените automatic на manual.

Затем найдите:

node.session.auth.username = username

node.session.auth.password = password

И укажите там логин и пароль для подключения к вашей цели.

Теперь можно подключить цель, для этого можно использовать команду:

iscsiadm -m node --login

Которая подключит все цели, конфигурационные файлы которых находятся в каталоге nodes, если требуется подключить только отдельную цель, то укажите ее явно:

iscsiadm -m node --targetname "iqn.2009-02.lab.interface31:deban-test-target" --login

Для отключения выполните:

iscsiadm -m node --logout

Данная команда отключит все цели, либо:

iscsiadm -m node --targetname "iqn.2009-02.lab.interface31:deban-test-target" --logout

Для отключения только определенной.

Для проверки можем выполнить:

lsblk

Которая покажет все подключенные блочные устройства, среди которых должен оказаться и предоставляемый целью диск, в нашем случае на скриншоте ниже виден 2 ГБ диск sdb. Также можно посмотреть все текущие подключения iSCSI:

iscsiadm -m session

open-iscsi-debian-ubuntu-001.png Для удаления ненужных целей воспользуйтесь командой:

iscsiadm -m discovery -p 192.168.111.153 -o delete

Которая удалит все связанные с указанным порталом (опция -p) цели.

Те кто делали это - святые люди, надо им скинуться на на чай!)

Оставить комментарий
Размещен: 11/12/2022, изменен: 11/12/2022. 61k. Статистика.
Статья:

Связаться с программистом сайта.
Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"
Как попасть в этoт список

Сайт - "Художники" .. || .. Доска об'явлений "Книги"