Linux - Netzwerk und Serveradminstration: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 18: Zeile 18:
 
*[[Linux - Netzwerk und Serveradminstration]]
 
*[[Linux - Netzwerk und Serveradminstration]]
 
*[[Linux - Netzwerk und Serveradminstration]]
 
*[[Linux - Netzwerk und Serveradminstration]]
 
= [[:Kategorie:DHCP|DHCP]] - Automatische Netzwerkkonfiguration =
 
{{#drawio:5102-01}}
 
 
== Vorbereitungen ==
 
* VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
 
* Der Host soll im ''LAN''-Netzwerk liegen
 
* statische IP-Adresse nach dem Netzwerkplan setzen (''/etc/network/interfaces'')
 
* Hostname ändern zu ''dhcp''
 
* SSH-Zugriff kann durch Benutzung der Firewall als Jump-Host ermöglicht werden
 
===Daten===
 
*NET: LAN
 
*IP 172.16.2XX.2/24
 
*GW 172.16.2XX.1
 
*NS 10.88.2XX.21
 
*NA dhcp.it2XX.int
 
*Zu installieren apt install isc-dhcp-server
 
*[[Anpassen der Virtuellen Maschinen Netzwerk und Serveradministration]]
 
 
== automatische Netzwerkkonfiguration ==
 
* Damit wir nicht das Netzwerk bei jedem Rechner manuell konfigurieren müssen setzen wir einen [[DHCP Grundlagen|DHCP]] Server auf.
 
* Dieser beantwortet Anfragen von Clients in seiner Broadcast-Domäne.
 
* Der DHCP-Server soll IP-Adressen im Bereich 172.16.''xx''.50 bis .100 vergeben
 
* Als Nameserver nehmen wir unseren eigenen 10.88.2XX.2
 
* Und wir nehmen die eigene Search Domain it2XX.int
 
* Für die Konfigration kann [[ISC DHCP|diese Seite]] befolgt werden
 
* Beobachten Sie den Verkehr mit [[Wireshark]] oder [[tcpdump]] auf UDP Port 67 mit und fahren Sie ''kali'' hoch
 
 
==ISC DHCP Umsetzung==
 
*[[ISC DHCP]]
 
*[[KEA DHCP - Netzwerk und Servreadministration]]
 
 
= Wichtiger Hinweis zu ISC DHCP =
 
 
* '''ISC DHCP ist End-of-Life (EOL) seit Ende 2022'''
 
* Kea DHCP bietet selbst keinen Relay-Agent
 
* '''Empfohlene moderne Alternative: dnsmasq als DHCP-Relay'''
 
* dnsmasq unterstützt sowohl DHCPv4 als auch DHCPv6 Relay
 
 
==Client==
 
*Erstellt einen Client aus der Vorlage
 
*Hängt ins LAN Netz
 
*Gebt ihm den Namen client.it2XX.int
 
*hostnamectl set-hostname client.it2XX.int
 
*In der /etc/hosts den Namen von debian-template in client ändern
 
*Und rebootet ihn noch mal
 
 
= DHCP-Relay-Server =
 
{{#drawio:5102-dhcp-relay-01}}
 
* Der DHCP-Server beantwortet nur Anfragen innerhalb seiner Broadcast-Domäne
 
* Damit die DHCP-Konfiguration zentral gehalten werden kann, können andere DHCP-Server als Relay für einen Master-DHCP-Server dienen
 
* In unserem Fall soll die Firewall die DHCP-Konfiguration an die DMZ- und Server-Netze weitergeben
 
* Von nun an können neue Server in diesen Netzwerken automatisch über die DHCP-IP erreicht werden
 
=DHCP-Relay-Server Umsetzung=
 
*[[DHCP-Relay-Server]]
 
*[[KEA DHCP-Relay-Server - Netzwerk und Serveradministration]]
 
  
 
= [[Samba|SMB]] Server =
 
= [[Samba|SMB]] Server =

Version vom 27. März 2026, 15:35 Uhr

Überblick


SMB Server

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im Server-Netzwerk liegen
  • statische IP-Adresse nach dem Netzwerkplan setzen (/etc/network/interfaces)
  • Hostname ändern zu smb
  • SSH-Zugriff kann durch Benutzung der Firewall als Jump-Host ermöglicht werden

Daten

Netzwerkfreigaben einrichten

  • Legen Sie eine Sicherheitskopie der Originalkonfigurationsdatei an
  • cp -v /etc/samba/smb.conf{,.orig}
  • Diese ist wohl kommentiert und kann als Hilfe/Dokumentation dienen
  • Erstellen Sie folgende Arten von Shares:
    • öffentlich unter /srv/samba/pub namens public
    • Ein Share namens share zugreifbar für kit unter /srv/samba/kit: smb.conf.minimal
    • die Heimatverzeichnisse der regulären Nutzer des SMB-Servers sollen zugreifbar sein nach einer Authentifizierung: smb.conf.home
    • Ein Share namens admins zugreifbar für die Benutzer in der Gruppe sudo unter: /srv/samba/admin
  • Testen Sie den Zugriff auf die Shares mit einem Client aus dem LAN:
  • apt install nemo
  • Das Programm kann über SSH Forwarding auf dem KIT Host geöffnet werden
  • ssh -Y ip.oder.hostname.client "dbus-run-session nemo"
  • Schneiden Sie den Austausch mit Wireshark auf TCP Port 445 mit

SFTP Server

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten

  • NET: DMZ
  • IP 10.88.2XX.3/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.2
  • NA sftp.it2XX.int

sichere Datenübertragung

  • SFTP benutzt das SSH-Protokoll, um die Daten zu verschlüsseln
  • Daher muss nur die Konfiguration des SSH-Servers angepasst werden
  • andere FTP-Arten sollten nicht mehr benutzt werden (FTP, TFTP, ...)
  • Ein SFTP-Zugang für einen Gast-User soll unter /srv/sftp/gast angelegt werden
  • ssh jump-host

SFTP Umsetzung

LDAP Server

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im Server-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten

  • NET: Server
  • IP 10.2XX.1.3/24
  • GW 10.2XX.1.1
  • NS 10.88.2XX.21
  • NA ldap.it2XX.int

zentrale Benutzerverwaltung

  • Benutzer sollen sich überall mit ihren eigenen Konto anmelden können ohne, dass dieses Konto jedes mal neu angelegt werden muss
  • Linux kann für die Benutzerauthentifizierung verschiedene Quellen verwenden
  • Neben der lokalen Datei /etc/passwd soll zusätzlich eine LDAP-Datenbank für zusätzliche Benutzerkonten befragt werden
  • Konfiguration Openldap-linux-pam-nss
  • Die Einträge zu bestimmten Systemkategorien können mit dem Befehl getent abgefragt werden
  • getent passwd # sollte lokale und LDAP-Konten anzeigen
  • LDAP Server Verwaltung über ldapscripts
  • Der LDAP-Server der Domäne soll automatisch über SRV-Einträge auf dem DNS Server gefunden werden können
  • Alle Hosts aus dem VirtualBox-Labor sollen an den LDAP-Server gebunden werden
  • LDAP Client SSSD - Netzwerk und Serveradministration

Squid

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten

  • NET: DMZ
  • IP 10.88.2XX.5/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.21
  • NA squid.it2XX.int

Squid Konfiguration Hilfestellung

Squid

  • Um Bandbreite zu sparen kann ein Caching Proxy wie Squid benutzt werden, um die Antworten von Webanfrangen zu speichern
  • Zusätzlich können durch ACLs Webzugriffe kontrollieren
  • Der Proxy soll auf der Firewall laufen, da dort die nötigen Hardwareressourcen sind
  • Squid Aufgabe
  • Squid Aufgabe2

Proxy PAC über DHCP

NTP Server

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten

  • NET: DMZ
  • IP 10.88.2XX.4/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.21
  • NA ntp.it2XX.int

installieren ntp

  • sudo apt install ntpsec

NTP mit DHCP verteilen

NGINX

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten

  • NET: DMZ
  • IP 10.88.2XX.10/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.21
  • NA www.it2XX.int
  • sudo apt install nginx

Webserver

Exkrus HA Proxy

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im DMZ-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten HAProxy

  • NET: DMZ
  • IP 10.88.2XX.25/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.2
  • NA www.it2XX.int
  • sudo apt install haproxy

Daten Webserver

  • NET: DMZ
  • IP 10.88.2XX.15/24
  • GW 10.88.2XX.1
  • NS 10.88.2XX.2
  • NA web2.it2XX.int


Webserver

Exkrus checkmk

Vorbereitungen

  • VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
  • Der Host soll im Servers-Netzwerk liegen
  • IP-Adresse herausfinden über das DHCP-Log oder die Konsole
  • statische IP-Adresse nach dem Netzwerkplan setzen
  • Hostname ändern
  • DNS-Eintrag vornehmen
  • SSH-Server anpassen

Daten checkmk

  • NET: Servers
  • IP 10.2XX.1.25/24
  • GW 10.2XX.1.1
  • NS 10.88.2XX.21
  • NA checkmk.it2XX.int

Docker

Grundlegendes Firewall-Konzept

  • Dienste sollen erreichbar bleiben
  • ungenutzte Ports sollen blockiert werden
  • etablierte Verbindungen sollen über Connection Tracking freigeschaltet werden

Linux - Netzwerk und Serveradministration


Weiteres

Abgerufen von „http://wiki.ixheim.de/index.php?title=Linux_-_Netzwerk_und_Serveradminstration&oldid=67918