Главная страница
Навигация по странице:

  • ОПИСАНИЕ ЭКЗАМЕНАЦИОННОГО ЗАДАНИЯ

  • ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА

  • Доступ ко всем виртуальным машинам настроен по аккаунту root:toor .Если Вам требуется установить пароль, (и он не указан в задании) используйте: “P@ssw0rd”

  • Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса возникнут проблемы.

  • НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ

  • Внимание! Все указанные компоненты предоставляются участникам в виде ISO-файлов на локальном или удаленном хранилище.

  • Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.

  • Конфигурация хостов Настройте имена хостов в соответствии с Диаграммой. Установите следующее ПО на ВСЕ

  • Tcpdump Net-tools Curl Vim Lynx Dhclient Bind-utils

  • Все хосты должны быть доступны аккаунту root по SSH на стандартном(22) порту

  • Службы централизованного управления и журналирования

  • Конфигурация служб удаленного доступа

  • Конфигурация служб хранения данных

  • Конфигурация параметров безопасности и служб аутентификации

  • Таблица 1

  • Таблица 2

  • Задание ворлдскиллс. Модуль А Пусконаладка инфраструктуры на основе oc семейства Linux введение


    Скачать 1.14 Mb.
    НазваниеМодуль А Пусконаладка инфраструктуры на основе oc семейства Linux введение
    Дата31.01.2022
    Размер1.14 Mb.
    Формат файлаdocx
    Имя файлаЗадание ворлдскиллс.docx
    ТипДокументы
    #347177
    страница1 из 2
      1   2

    Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux»

    ВВЕДЕНИЕ

    Умение работать с системами на основе открытого исходного кода становится все более важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное Экзаменационное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном, интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия.

    ОПИСАНИЕ ЭКЗАМЕНАЦИОННОГО ЗАДАНИЯ

    Данное Экзаменационное задание разработано с использованием различных открытых технологий, с которыми вы должны быть знакомы по сертификационным курсам LPIC и Red Hat. Задания поделены на следующие секции:

    • Базовая конфигурация

    • Конфигурация сетевой инфраструктуры

    • Службы централизованного управления и журналирования

    • Конфигурация служб удаленного доступа

    • Конфигурация веб-служб

    • Конфигурация служб хранения данных 

    • Конфигурация параметров безопасности и служб аутентификации

    Секции независимы друг от друга, но вместе они образуют достаточно сложную инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, динамическая маршрутизация должна выполняться поверх настроенного между организациями туннеля. Важно понимать, что если вам не удалось настроить полностью технологический стек, то это не означает, что работа не будет оценена. Например, для удаленного доступа необходимо настроить IPsec-туннель, внутри которого организовать GRE-туннель. Если, например, вам не удалось настроить IPsec, но вы смогли настроить GRE, то вы все еще получите баллы за организацию удаленного доступа. 

    ИНСТРУКЦИИ  ДЛЯ УЧАСТНИКА

    В первую очередь необходимо прочитать задание полностью. Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. На вас возлагается ответственность за распределение своего рабочего времени. Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы.

    Доступ ко всем виртуальным машинам настроен по аккаунту root:toor.

    Если Вам требуется установить пароль, (и он не указан в задании) используйте: “P@ssw0rd”.

    Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса возникнут проблемы.

    Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-RTR-A, L-RTR-B, L-CLI-A, L-CLI-B.

    Организация RIGHT включает виртуальные машины: R-SRV, R-FW, R-RTR, R-CLI.

    НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ

    Ожидается, что Экзаменационное задание выполнимо Участником с привлечением оборудования и материалов, указанных в Инфраструктурном Листе.

    В качестве системной ОС в организации LEFT используется Debian

    В качестве системной ОС в организации RIGHT используется CentOS

    Вам доступен диск CentOS-7-x86_64-Everything-1810.iso

    Вам доступен диск debian-10.0.0-amd64-BD-1.iso

    Вам доступен диск debian-10.0.0-amd64-BD-2.iso

    Вам доступен диск debian-10.0.0-amd64-BD-3.iso

    Вам доступен диск debian-10.0.0-amd64-BD-4.iso

    Вам доступен диск Additional.iso, на котором располагаются недостающие RPM пакеты
    Внимание! Все указанные компоненты предоставляются участникам в виде ISO-файлов на локальном или удаленном хранилище. 

    Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами. 

    Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.

    В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.

    СХЕМА ОЦЕНКИ

    Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в субкритерии.

    Схема оценка построена таким образом, чтобы каждый пункт оценивался только один раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех устройств, однако этот пункт будет проверен только на одном устройстве и оценен только 1 раз. Одинаковые пункты могут быть проверены и оценены больше чем 1 раз, если для их выполнения применяются разные настройки или они выполняются на разных классах устройств. 

    Подробное описание методики проверки должно быть разработано экспертами, принимавшими участие в оценке экзаменационного задания, и вынесено в отдельный документ. Данный документ, как и схема оценки, является объектом внесения 30% изменений.
    Конфигурация хостов

    1. Настройте имена хостов в соответствии с Диаграммой.

    2. Установите следующее ПО на ВСЕ виртуальные машины:

      1. Tcpdump

      2. Net-tools

      3. Curl

      4. Vim

      5. Lynx

      6. Dhclient

      7. Bind-utils

      8. Nfs-utils

      9. Cifs-utils

      10. Sshpass

    3. На хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет. 

    4. В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет.

    5. Все хосты должны быть доступны аккаунту root по SSH на стандартном(22) порту 

      Конфигурация сетевой инфраструктуры

    1. Настройте IP-адресацию на ВСЕХ хостах в соответствии с Диаграммой.

    2. Настройте сервер протокола динамической конфигурации хостов для L-CLI-A и L-CLI-B

    3. В качестве DHCP-сервера организации LEFT используйте L-RTR-A.

      1. Используйте пул адресов 172.16.100.65 — 172.16.100.75 для сети L-RTR-A

      2. Используйте пул адресов 172.16.200.65 — 172.16.200.75 для сети L-RTR-B

    4. Используете адрес L-SRV в качестве адреса DNS-сервера.

    5. Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксированный IP-адрес в соответствии с Диаграммой.

      1. В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего маршрутизатора в локальной сети.

    6. Используйте DNS-суффикс skill39.wsr.

      1. DNS-записи типа A и PTR соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера.

    7. На L-SRV настройте службу разрешения доменных имен

      1. Сервер должен обслуживать зону skill39.wsr.

      2. Сопоставление имен организовать в соответствии с Таблицей 1.

      3. Запросы, которые выходят за рамки зоны skill39.wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя ya.ru.

      4. Реализуйте поддержку разрешения обратной зоны.

      5. Файлы зон располагать в /opt/dns/

    8. На L-FW и R-FW настройте интернет-шлюзы для организации коллективного доступа в Интернет.

      1. Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса.

      2. Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.

      3. Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L-SRV. www.skill39.wsr должен преобразовываться во внешний адрес R-FW.

    Службы централизованного управления и журналирования

    1. Разверните LDAP-сервер для организации централизованного управления учетными записями

      1. В качестве сервера выступает L-SRV.

      2. Учетные записи создать в соответствии с Таблицей 2.

      3. Группы(LDAP) и пользователей создать в соответствии с Таблицей 2.

      4. L-CLI-A, L-SRV и L-CLI-B должны аутентифицироваться через LDAP.

    2. На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV.

      1. Журналы должны храниться в директории /opt/logs/.

      2. Журналирование должно производится в соответствии с Таблицей 3.


    Конфигурация служб удаленного доступа

    1. На L-FW настройте сервер удаленного доступа на основе технологии OpenVPN:

      1. В качестве сервера выступает L-FW

      2. Параметры туннеля.

        1. Устройство TUN.

        2. Протокол UDP.

        3. Применяется сжатие.

        4. Порт сервера 1122.

      3. Ключевая информация должна быть сгенерирована на R-FW.

      4. В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27.

      5. Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn.

      6. Подключившийся клиент должен быть автоматически сконфигурирован на использование DNS-инфраструктуры предприятия.

    2. На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:

      1. Запуск удаленного подключения должен выполняться скриптом start_vpn.sh

        1. Отключение VPN-туннеля должно выполняться скриптом stop_vpn.sh.

        2. Скрипты должны располагаться в /opt/vpn.

        3. Скрипты должны вызываться из любого каталога без указания пути.

        4. Используйте следующий каталог для расположения файлов скриптов /opt/vpn/.

    3. Настройте защищенный канал передачи данных между L-FW и R-FW с помощью технологии IPSEC:

      1. Параметры политики первой фазы IPSec:

        1. Проверка целостности SHA-1

        2. Шифрование 3DES

        3. Группа Диффи-Хеллмана — 14 (2048)

        4. Аутентификация по общему ключу WSR-2019

      2. Параметры преобразования трафика для второй фазы IPSec:

        1. Протокол ESP

        2. Шифрование AES

        3. Проверка целостности SHA-2

      3. В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между L-FW и R-FW

    4. Настройте GRE-туннель между L-FW и R-FW:

      1. Используйте следующую адресацию внутри GRE-туннеля:

        1. L-FW: 10.5.5.1/30

        2. R-FW: 10.5.5.2/30

    5. Настройте динамическую маршрутизацию по протоколу OSPF с использованием пакета FRR:

      1. Анонсируйте все сети, необходимые для достижения полной связности.

      2. Применение статических маршрутов не допускается.

      3. В обмене маршрутной информацией участвуют L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW.

      4. Соседство и обмен маршрутной информацией между L-FW и R-FW должно осуществляться исключительно через настроенный GRE-туннель.

      5. Анонсируйте сети локальных интерфейсов L-RTR-A и L-RTR-B.

    6. На L-FW настройте удаленный доступ по протоколу SSH:

      1. Доступ ограничен пользователями ssh_p, root и ssh_c

        1. В качестве пароля пользователь (кроме root) использовать ssh_pass.

        2. root использует стандартный пароль

      2. SSH-сервер должен работать на порту 22

    7. На OUT-CLI настройте клиент удаленного доступа SSH:

      1. Доступ к L-FW из под локальной учетной записи root под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.



    Конфигурация веб-служб

    1. На R-SRV установите и настройте веб-сервер apache:

      1. Настройте веб-сайт для внешнего пользования www.skill39.wsr.

        1. Используйте директорию /var/www/html/out.

        2. Используйте порт 80.

        3. Сайт предоставляет доступ к двум файлам.

    2. Документ index.html должен содержать:

      1. “Hello, www.skill39.wsr is here!”

    3. Документ date.php (исполняемый PHP-скрипт) должен содержать:

      1. Вызов функции date('Y-m-d H:i:s')


    Конфигурация служб хранения данных 

    1.   Реализуйте синхронизацию каталогов на основе демона rsyncd.

      1. В качестве сервера синхронизации используется L-SRV.

        1. Для работы синхронизации создайте специального пользователя mrsync

    2. В качестве пароля используйте toor.

      1. Домашний каталог данного пользователя должен быть расположен в /opt/sync/. Данный каталог используйте как каталог синхронизации

      2. Домашний каталог не должен содержать никакой посторонней информации.

      3. Для выполнения синхронизации создайте rsync-пользователя sync c паролем parol666.

      4. Подключение к rsyncd должны быть разрешены исключительно от клиентов L-CLI-A и L-CLI-B

    3. В качестве клиентов используются L-CLI-A и L-CLI-B

      1. Синхронизируемый каталог располагается по адресу /root/sync/

      2. Каталоги должны быть зеркально идентичны по содержимому.

      3. Реализуйте синхронизацию в виде скрипта:

        1. Скрипт находится по адресу /root/sync.sh

        2. Автоматизация скрипта реализована средствами cron пользователя root.

        3. Выполнение производится каждую минуту.

         

    Конфигурация параметров безопасности и служб аутентификации

    1.   Настройте CA на R-FW, используя OpenSSL.

      1. Используйте /etc/ca в качестве корневой директории CA

      2. Атрибуты CA должны быть следующими:

        1. Страна RU

        2. Организация WorldSkills Russia

        3. CN должен быть установлен как WSR CA

      3. Создайте корневой сертификат CA

      4. Все клиентские операционные системы должны доверять CA

    2. Настройте межсетевой экран iptables на L-FW и firewalld на R-FW

      1. Запретите прямое попадание трафика из сетей в Internal

      2. Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW

      3. Разрешите необходимый трафик для создания IPSec и GRE туннелей между организациями

      4. Разрешите SSH подключения на соответствующий порт

      5. Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal

      6. Разрешите необходимый трафик к серверам L-SRV и R-SRV для работы настроенных сервисов.

      7. Остальные сервисы следует запретить.

      8. В отношении входящих (из внешней сети) ICMP запросов поступать по своему усмотрению



    Таблица 1 – DNS-имена

    Хост

    DNS-имя

    L-CLI-A

    A,PTR: l-cli-a.skill39.wsr

    L-CLI-B

    A,PTR: l-cli-b.skill39.wsr

    L-SRV

    A,PTR: l-srv.skill39.wsr

    CNAME: server.skill39.wsr

    L-FW

    A: l-fw.skill39.wsr

    R-FW

    A: r-fw.skill39.wsr

    CNAME: www.skill39.wsr

    R-SRV

    A,PTR: r-srv.skill39.wsr

    Таблица 2 – Учетные записи LDAP

    Группа

    CN

    Пароль

    Admin

    tux

    toor

    Guest

    user

    P@ssw0rd
      1   2


    написать администратору сайта