Дополнительная настройка хостов ОС Linux
Цель работы: получить практические навыки работы cдополнительными с инструментальными средствами настройки доступа к хостув ОС Linux.
Необходимо:
· Установленная на компьютере среда виртуализации ORACLE Virtual Box
· Образы виртуальной машины LinuxCentOS 7 (выполнять работу можно в любой ОС Linux, но все описания будут даваться для CentOS 7).
Краткие теоретические сведения:
Linuxсейчас является основной операционной системой для развертывания сервисов обработки данных. ОС Linuxсодержит необходимые средства для организации защищенного удаленного доступа и организации Интернет-шлюза.
NAT (Network Address Translation) – технологиястека TCP\IP. Она позволяет модифицировать заголовки пересылаемых через NAT IP-пакетов и TCP\UDP сообщений.
NAT в общем случае представляет собой компьютер или аппаратный маршрутизатор, подключенный одним интерфейсом к внешней сети, а другими к внутренней. Оба интерфейса имеют IP адреса в каждой из сетей. Типичным применением NAT является обеспечение доступа из локальной сети с приватными IP-адресами к ресурсам внешней сети с IP-адресами интернет. При передаче запроса от локального клиента к внешнему ресурсу подменяется сокет отправителя: IP адрес меняется на внешний IP адрес NAT, а порт на свободный порт на внешнем интерфейсе NAT. Когда приходит ответ от внешнего ресурса, происходит обратная замена сокета и пакет передается в локальную сеть полкучателю. Так же с помощью NAT можно публиковать локальные сокеты на реальном IP адресе и реальном порту. Например для обеспечения доступа извне к Web серверу, расположенному в локальной сети. В этом случае на NAT делается статическое отображение внешнего сокета на внутренний.
Под межсетевым экраном или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» стека TCP\IP.
В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:
• IP адресам отправителя и получателя в заголовке IP пакета
• номерам портов приложения-получателя и приложения-отправителя
• инкапсулированным в IP протоколам транспортного (TCP, UDP) и сетевого уровней (ICMP).
Правила фильтрации формируются в виде списка. Все проходящие пакеты проверяются по списку последовательно, до первого срабатывания. Последующие правила к пакету не применяются.
Для управления шлюзом используются различные инструменты управления брандмауэромLinux, такие как iptables, nftablesи firewalld.
В CentOS 7 используется firewalld. Для управления им служит утилита firewall-cmd.
Важно отметить, что для того чтобы Linux начал пересылать пакеты из интерфейса в интерфейс надо чтобы в параметре ядра net.ipv4.ip_forward = 1. Установить его можно с помощью утилиты sysctl, или записью в конфигурационный файл в каталоге /proc.
В Linuxдля удаленного доступа к серверам используется протокол SSH (secureshell). Он создает шифрованное соединение между клиентом и сервером. Благодаря этой технологии может осуществляться удаленное управление компьютером.
Сервер ssh (openssh-server) устанавливается по умолчанию и выполняется службой sshd. Конфигурация сервера осуществляется в конфигурационном файле /etc/ssh/sshd_config.
Для создания кучей аутентификации используются утилиты ssh-keygen или утилитой puttygen из комплекта putty.
Для управления запуском и просмотра состояния сервиса используется системная утилита systemctl.
Инструментальные средства:
Утилиты: sysctlfirewall-cmdsystemctluseraddchmodippingsusudousermodssh-keygen
Файлы: /etc/ssh/sshd_config
Утилитыработыстекстом: echo, grep, sed
Редакторы: vi, nano
Порядок выполнения работы:
Далее описан порядок выполнения работы. Пункты работы, результаты которых прямо или косвенно используются в отчете, помечены знаком (!).
Часть 1. Проверка конфигурации.
1. В работе используются виртуальные машины, сконфигурированные в предыдущей работе.
2. Запуститесистемы c7-1 и c7-2, авторизуйтесь с правамиroot.
3. Проверьте доступность хостов по внутренней сети и доступность внешней сети на хосте c7-1.
4. Убедитесь, что на c7-2 в качестве шлюза по умолчанию задан адрес c7-1.
Часть 2. Создание пользователей и настройка sshd.
1. На хосте c7-2 создайте пользователя с именем FIOuser, где FIO – ваши инициалы. (!).
2. Зайдите на вторую консоль под вашим пользователем.
3. По системным журналам определите, когда был создан пользователь и когда, он зашел в систему. (!).
4. Настройте sshсервер так, чтобы (!).:
a. Пользователю root нельзя было бы входить по ssh
b. Количество попыток ввода неверного пароля = 2
c. Время ожидания авторизации = 30 секундам.
5. После перезапуска выведите на консоль состояние сервиса sshd и его журнал средствами systemd (!).
6. С машины с7-1 подключитесь к с7-2 по ssh, используя новую учетную запись.
7. На консоли c7-2 с помощью утилиты suвойдите на консоль root.
8. Добавьте нового пользователя в группу wheel (группа для работы через sudo). (!).
9. Выйдете из консоли root. От имени нового пользователя проверьте доступность по чтению файла с паролями пользователей без использования утилиты sudo и с ней.