Linux - Netzwerk und Serveradministration - Skript
Version vom 18. August 2024, 10:51 Uhr von Linkai.zhang (Diskussion | Beiträge)
Lehrgangsziele
- Planung, Dokumentation und Aufbau einer IT-Infrastruktur mit Linux Servern
- Kennenlernen von Netzwerkdebugging-Verfahren und -Tools
- Remotemanagement mit SSH
- Automatische Netzwerkkonfiguration mit DHCP
- Konfiguration von Netzwerkdiensten: DNS, LDAP, SMB, NTP, SFTP
- Einrichten einer einfachen Firewall
Netzwerkpläne
- Das Schulungsnetzwerk wird also Pseudo-Internet verwendet, d.h. wir behandeln das Netzwerk 192.168.HS.0/24 wie ein öffentliches.
- Darin baut jeder sein eigenes LAN-, DMZ-, und Server-Netzwerk auf.
- Am Ende sollen die individuellen Netzwerke miteinander kommunizieren dürfen.
physisch
logisch
Servervorlage
- Für VMs als Server empfiehlt es sich eine Vorlage zu erstellen, die schon minimal konfiguriert ist
- Debian Template
Firewall
- Die Firewall wird ist zugleich der Router in das Übungsnetzwerk
- Hardwareanpassungen:
- 4 GB RAM
- 4 CPUs
- 4 Netzwerkkarten
- Für den Anfang müssen wir das Netzwerk konfigurieren
Fernzugriff per SSH
- Jeder Host soll über das SSH-Protokoll administrierbar sein
- Der SSH-Server sollte nach Sicherstellung des Zugriffs über autorisierte SSH-Schlüssel keine Passwort-Authentifizierung mehr zulassen: SSH-Server Hardening
- Am Ende sollte jeder Host über ssh user@ip.oder.host.name erreichbar sein
DHCP - Automatische Netzwerkkonfiguration
- Damit wir nicht das Netzwerk bei jedem Rechner manuell konfigurieren müssen setzen wir einen DHCP Server auf.
- Dieser beantwortet Anfragen von Clients in seiner Broadcast-Domäne.
- DHCP-Theorie und Praxis
Routing und Masquerading
- Damit die Firewall als Internet-Router fungieren kann, muss die Quell-IP der Pakete umgeschrieben werden
- Dazu müssen Firewall-Regeln unter nftables oder iptables erstellt werden
DHCP Relay
- Der DHCP-Server beantwortet nur Anfragen innerhalb seiner Broadcast-Domäne
- Damit die DHCP-Konfiguration zentral gehalten werden kann, können andere DHCP-Server als Relay für einen Master-DHCP-Server dienen
- In unserem Fall soll die Firewall die DHCP-Konfiguration an die DMZ- und Server-Netze weitergeben
eigener DNS Server
- Durch das Domain Name System können wir Namen an IP-Adressen zuweisen und diese auflösen
- Diese sollten einfacher zu merken sein, als IPv4- oder IPv6-Adressen
- Jedes Labor soll eine eigene Domäne mit dem Schema netzxx.lab verwalten
Dynamisches DNS
- Der DNS-Server soll nun automatisch Updates über neue Clients vom DHCP-Server bekommen
- Dazu muss der DHCP-Server über nsupdate sich beim DNS-Server authentifizieren
- Anschließend aktualisiert der DHCP-Server die DNS-Einträge
Pseudo-Top-Level Domäne
- Um die Domänen der anderen Labore aufzulösen ist ein Forwarder nötig
- Dieser zeigt auf den entsprechenden DNS-Server der Domäne, sodass die Zonen nur einmal definiert werden müssen
SMB Server
Vorbereitungen
- VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
- Der Host soll im Server-Netzwerk liegen
- IP-Adresse herausfinden über das DHCP-Log oder die Konsole
- statische IP-Adresse nach dem Netzwerkplan setzen
- Hostname ändern
- DNS-Eintrag vornehmen
- SSH-Server anpassen
SFTP Server
![Bearbeiten](javascript:editDrawio("1062053540", "5102-physisch.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1170461864", "5102-logisch.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("636872912", "5102-firewall-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1344250044", "5102-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("40626134", "5102-masquerade.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("249471318", "5102-smb-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("912419414", "5102-sftp-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Vorbereitungen
- VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
- Der Host soll im Server-Netzwerk liegen
- IP-Adresse herausfinden über das DHCP-Log oder die Konsole
- statische IP-Adresse nach dem Netzwerkplan setzen
- Hostname ändern
- DNS-Eintrag vornehmen
- SSH-Server anpassen
sichere Datenübertragung
- SFTP benutzt das SSH-Protokoll, um die Daten zu verschlüsseln
- Daher muss nur die Konfiguration des SSH-Servers angepasst werden
- andere FTP-Arten sollten nicht mehr benutzt werden (FTP, TFTP, ...)
LDAP Server
Vorbereitungen
- VirtualBox Server-Vorlage mit neuen MAC-Adressen klonen
- Der Host soll im Server-Netzwerk liegen
- IP-Adresse herausfinden über das DHCP-Log oder die Konsole
- statische IP-Adresse nach dem Netzwerkplan setzen
- Hostname ändern
- DNS-Eintrag vornehmen
- SSH-Server anpassen
zentrale Benutzerverwaltung
- Benutzer sollen sich überall mit ihren eigenen Konto anmelden können ohne, dass dieses Konto jedes mal neu angelegt werden muss
- Linux kann für die Benutzerauthentifizierung verschiedene Quellen verwenden
- Neben der lokalen Datei /etc/passwd soll zusätzlich eine LDAP-Datenbank für zusätzliche Benutzerkonten befragt werden
- Die Einträge zu bestimmten Systemkategorien können mit dem Befehl getent abgefragt werden
- getent passwd # sollte lokale und LDAP-Konten anzeigen
NTP Server
Grundlegendes Firewall-Konzept
- Dienste sollen erreichbar bleiben
- ungenutzte Ports sollen blockiert werden
- etablierte Verbindungen sollen über Connection Tracking freigeschaltet werden