HQ SRV

Интерфейсы¶

HQ-RTR:

/etc/net/ifaces/enp7s1/options

BOOTPROTO=static
TYPE=eth
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_BOOTPROTO=static
SYSTEMD_CONTROLLED=no

/etc/net/ifaces/enp7s1/ipv4address

192.168.1.2/27

/etc/net/ifaces/enp7s1/ipv4route

default via 192.168.1.1

Users¶

adduser sshuser -u 2026

Смена пароля:

echo 'P@ssw0rd' | passwd sshuser --stdin

Утилита потребует ввести новый пароль и подтвердить (повторить) его.

Sudo¶

Переопределить настройки /etc/sudoers:

/etc/sudoers

sshuser ALL=(ALL) NOPASSWD: ALL

Добавить пользователя sshuser в группу wheel:

gpasswd -a sshuser wheel

Альтернативный способ. Отредактировать /etc/group подобным образом:

/etc/group

wheel:x:10:root,user,sshuser

SSH¶

Переопределить настройки:

/etc/openssh/sshd_config

# Порт
Port 2026

# Отключаем вход с root
PermitRootLogin no

# Максимальное количество попыток
MaxAuthTries 2

# Вход только с sshuser
AllowUsers sshuser

# Путь файла с баннером
Banner /etc/openssh/banner

echo "Authorized access only" | tee /etc/openssh/banner

Перезапускаем службу:

systemctl restart sshd

Сервер DNS - BIND¶

Переопределить настройки:

/etc/bind/options.conf

/*
 * Отключает проверки DNSSEC.
 * Может требоваться не всегда.
 * Включите этот параметр, если вдруг наблюдаете странное поведение Bind,
 * например в логах есть ошибки DNSSEC или вторичный сервер DNS не хочет
 * резолвить адреса, как в примере ниже.
 */
dnssec-validation no;

/*
 * Перенаправление запросов на DNS сервер Google, если
 * наш их не резолвит.
 */
forwarders { 8.8.8.8; };

/*
 * Разрешаем DNS запросы с любой сети.
 */
allow-query { any; };

/*
 * Слушаем DNS трафик с любой сети.
 */
listen-on { any; };

Добавляем новые зоны:

/etc/bind/local.conf

zone "au-team.irpo" {
    type master;
    file "au-team.irpo";
};

zone "168.192.in-addr.arpa" {
    type master;
    file "168.192.in-addr.arpa";
};

Создаём файлы наших зон:

cp /etc/bind/zone/localhost /etc/bind/zone/au-team.irpo
cp /etc/bind/zone/127.in-addr.arpa /etc/bind/zone/168.192.in-addr.arpa

Меняем группу файлов на named для доступа BIND к нашим конфигурациям.

chown root:named /etc/bind/zone/au-team.irpo
chown root:named /etc/bind/zone/168.192.in-addr.arpa

Настройка прямой зоны:

/etc/bind/zone/au-team.irpo

$TTL    1D
@       IN      SOA     au-team.irpo. root.au-team.irpo. (
                                1               ; serial
                                12H             ; refresh
                                1H              ; retry
                                1W              ; expire
                                1H              ; ncache
                        )
        IN      NS      hq-srv.au-team.irpo.
hq-rtr  IN      A       192.168.1.1
hq-rtr  IN      A       192.168.2.1
br-rtr  IN      A       192.168.3.1
hq-srv  IN      A       192.168.1.2
hq-cli  IN      A       192.168.2.2
br-srv  IN      A       192.168.3.2
docker  IN      A       172.16.2.1
web     IN      A       172.16.1.1

Настройка обратной зоны:

/etc/bind/zone/168.192.in-addr.arpa

$TTL    1D
@       IN      SOA     au-team.irpo. root.au-team.irpo. (
                                1               ; serial
                                12H             ; refresh
                                1H              ; retry
                                1W              ; expire
                                1H              ; ncache
                        )
        IN      NS      hq-srv.au-team.irpo.
1.1     IN      PTR     hq-rtr.au-team.irpo.
1.2     IN      PTR     hq-rtr.au-team.irpo.
2.2     IN      PTR     hq-cli.au-team.irpo.
2.1     IN      PTR     hq-srv.au-team.irpo.

Включаем службу:

systemctl enable --now bind

Перезапускаем rndc:

rndc reload

Проверяем:

nslookup hq-cli
ping hq-cli

Hostname¶

hostnamectl hostname hq-srv.au-team.irpo

Сессия

На Linux команда применяется сразу, но визуально увидеть можно только после повторного открытия сессии shell. Команда bash или же просто ре-логин в пользователя.

Timezone¶

Пакет

На некоторых дистрибутивах может потребоваться установить пакет tzdata.

apt-get update && apt-get install -y tzdata

timedatectl set-timezone Europe/Moscow