====== Администрирование сервисов и сетей Linux ======
===== Программа курса =====
* [[http://www.specialist.ru/course/yun2-b|Linux. Уровень 2. Администрирование сервисов и сетей]]
* [[https://global.gotomeeting.com/join/834735429|Ссылка на вебинар]]
===== Часть 1. Подключение локальной сети к интернет =====
==== Модуль 0. Подготовка стенда в классе ====
* Узнать свой номер стенда
Run As Administrator: C:\cmder\Cmder.exe
bash
git clone http://val.bmstu.ru/unix/conf.git
cd conf/virtualbox/
./setup.sh X
==== Модуль 1. Начальная конфигурация ====
* Сценарий: Адаптер 1 - Виртуальный адаптер хоста (eth0) 192.168.X.5/24 в LAN сети предприятия
* Настройка системы Gate (2Gb RAM) [[Настройка стендов слушателей#Настройка виртуальных систем Unix]] без ip forwarding!!!
==== Модуль 2. Сервис DHCP ====
* Настройка сервиса ([[Сервис DHCP]])
* Тестирование (на клиенте Windows)
==== Модуль 3. Доступ в Internet через HTTP Proxy ====
* Сценарий: самый простой и безопасный доступ в Интернет для пользователей
* [[Установка, настройка и запуск пакета SQUID]]
==== Модуль 4. Сервисы Gateway ====
* Настроить на шлюзе маршрутизацию в сети 192.168.X/24
* [[Сервисы Gateway и routing]]
==== Модуль 5. Сервис DNS - разрешение имен ====
* Настройка системы server
# sh net_server.sh
# init 6
# apt update
* Принципы работы и тестирование DNS ([[Сервис DNS]])
* [[Сервис DNS#Настройка рекурсивного, кэширующего DNS сервера]]
* [[Сервис DNS#Настройка сервера перенаправляющего запросы на DNS cервер провайдера]]
* [[Сервис DNS#Настройка клиентов DNS]]
===== Часть 2. Развертывание сервисов в сети =====
==== Модуль 6. Сервис DNS - именование сервисов ====
* [[Сервис DNS#Настройка мастер сервера зоны corpX.un]]
* [[Сервис DNS#Настройка вторичного сервера зоны dns]]
* [[Сервис DNS#Настройка сервера зоны обратного преобразования X.168.192.IN-ADDR.ARPA]]
==== Модуль 7. Сервис точного времени ====
* Сценарий: синхронизация времени на устройствах подключенных к сети без выхода в Интернет (например, на IP телефонах)
* [[Сервис NTP]]
==== Модуль 8. Файловые сервисы ====
=== 8.1 Сетевая файловая система unix ===
* [[Сервис NFS]] Монтирование домашнего каталога в ЛИН4
=== 8.2 Сетевая файловая система windows ===
* [[Файловый сервер SAMBA#Установка SAMBA]]
* [[Файловый сервер SAMBA#Публичный каталог доступный на запись]]
=== 8.3 Сервис HTTP ===
* [[Сервис HTTP#Установка и запуск сервера Apache]]
* DirectoryIndex index.html и [[Сервис HTTP#Примеры HTML]]
* [[Сервис HTTP#Свойство Indexes каталогов]]
* Сценарий: предоставляем возможность сотрудникам выкладывать файлы для скачивания по ссылке
* [[Управление учетными записями в Linux]]
* [[Сервис FTP]]
* [[Сервис HTTP#Использование домашних каталогов]]
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]]
==== Модуль 9. Сервер электронной почты ====
* [[https://ru.wikipedia.org/wiki/Почтовый_сервер|Почтовый сервер]]
* Протокол SMTP ([[Сервис MTA]]) (лучше показать в теме "Спам")
* Сценарий: рассылка технических сообщений
* [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]]
* [[Регистрация событий в Linux#Генератор отчетов logwatch]]
* Использование [[UA mail]]
* Сценарий: пользовательский интерфес с использованием почтового клиента (для user1)
* [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]]
* Настройка IMAP сервера [[Сервер dovecot]]
* [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]]
* [[Thunderbird]] добавить A mail, проверить login в настройках сервера исходящей почты
* Сценарий: Web интерфес к почте (для user2)
* [[https://ru.wikipedia.org/wiki/Веб-приложение|Веб приложение]] [[https://ru.wikipedia.org/wiki/Roundcube|RoundCube]] - [[Web интерфейс к почте]]
* Использование алиасов ([[Сервис HTTP]])
* Виртуальный хост mail.corpX.un ([[Сервис DNS#Настройка мастер сервера зоны corpX.un]], [[Сервис HTTP#Использование виртуальных хостов]])
* Управление пересылкой почты
* [[Сервис MTA#Использование почтовых псевдонимов]]
* [[Сервис MTA#Использование виртуальных почтовых доменов]]
==== Модуль 10. Сервер IM и Presense ====
* Методически - знакомство с SRV записами, лучше сделать после знакомства с MX записями
* Методически - реклама ЛИН4 (еще одна БД учетных записей)
* Методически - Spark на Linux Ubuntu desktop
* [[Сервис OpenFire]]
===== Часть 3. Защита сети =====
==== Модуль 11. Защита периметра ====
* [[Сервис Firewall#Конфигурация для рабочей станции]] (продемонстрировать в системе server)
* [[Сервис Firewall#Конфигурация для шлюза WAN - LAN]]
* [[Сервис Firewall#Восстановление состояния iptables при загрузке]]
==== Модуль 12. Защита сервисов ====
=== 12.1 Сервис CIFS ====
* [[https://support.microsoft.com/ru-ru/office/%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BD%D0%BE%D0%B9-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B-%D0%B2-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-windows-99e6004f-c54c-8509-773c-a4d776b77960|Отключение антивирусной защиты в Безопасности Windows]]
* [[Сервис Clamav]]
* Модуль AppArmor [[Модуль AppArmor#Определение наличия и правка профилей для служб]]
* [[Сервис Clamav#API ядра FANOTIFY]]
=== 12.2 Сервис HTTP ====
* [[Сервис HTTP#Управление доступом к HTTP серверу на основе сетевых адресов]]
gate.isp.un$ wget -O - -q http://server.corpX.un
=== 12.3 Сервис DNS ===
* [[Сервис DNS#Ограничение доступа к DNS серверу]]
=== 12.4 Сервис электронной почты ===
Сценарий: защищаем корпоративный почтовый сервер (MS Exchange, Lotus Domino ...) пограничным почтовым сервером с организацией проверки корреспонденции на нем на вирусы и спам.
* Закрываем доступ из Internet к MTA на server ([[Сервис Firewall#Конфигурация для шлюза WAN - LAN]])
* Устанавливаем MTA на gate ([[Сервис MTA#Настройка MTA]])
* DNS настройка MX записей домена corpX.un ([[Сервис DNS#Настройка мастер сервера зоны corpX.un]])
* [[Сервис MTA#Настройка MTA на релеинг почты домена corpX.un]] на gate
* [[UA mutt]], [[UA mail]]
* [[Защита почты от вирусов и SPAMа#Защита почты от вирусов с использование clamav]]
* [[Защита почты от вирусов и SPAMа#Защита почты от спама]]
* [[Защита почты от вирусов и SPAMа#Технология Grey List]]
Сценарий: Провайдер закрыл 25-й порт наружу и предлагает пересылать исходящую корреспонденцию через свой пограничный почтовый сервер.
* Закрываем доступ по 25 порту в internet ([[Сервис Firewall#Конфигурация для шлюза WAN - LAN]])
* Настраиваем на server [[Сервис MTA#Настройка MTA на использование MTA провайдера]], gate [[Сервис MTA#Настройка MTA на релеинг почты из LAN]]
===== Часть 4. Подключение локальной сети к интернет через общий ip адрес =====
==== Модуль 13. ====
Сценарий: сеть LAN 192.168.X/24 является "серой".
ТЗ: Необходимо реализовать доступ пользователей сети LAN в WAN через один "реальный" ip адрес, выданный ISP
* [[Сервис NAT]]
ТЗ: Необходимо предоставить доступ "внешним" пользователям доступ к сервисам размещенным в LAN
* [[https://www.networkinghowtos.com/howto/run-postfix-on-multiple-ports/|Run Postfix on multiple ports]]
* [[Сервис NAT#Трансляция портов сервисов]]
* [[Сервис DNS#Настройка DNS view]]
ТЗ: Использование NGINX для балансировки нагрузки приложения развернутого на системах server и server2 (Ubuntu для sarg)
* [[Сервис HTTP#NGINX]]
===== Часть 5. Учет ресурсов =====
==== Модуль 14. ====
* [[Сервис PPPoE]]
* Установить Firefox, поскольку в MSIE 11 при VPN подключении не использует прокси (даже при настройке для интерфейса PPPoE), а подключается напрямую
* Использовать внешний интерфейс gate в качестве адреса proxy для подключения с адреса PPPoE сети после установки авторизованного подключения
* [[Автоматизация использования SQUID]]
* [[Авторизация доступа к ресурсам через SQUID]]
* [[Обработка лог файлов сервера SQUID]] (в связи с отсутствием пакета SARG в Debian 10 можно использовать [[Сервис NFS]] для монтирования каталога с логами Squid на server2 c Ubuntu)
===== Дополнительные материалы =====
* [[http://nikmy.ru/index.php/stati/internet/khosting-domen/106-idealnyj-server-ubuntu-12-04-ispconfig-3.html|Идеальный сервер - Ubuntu 12.04]]