Zadania 2015

II OGÓLNOPOLSKI KONKURS

POTYCZKI MŁODYCH ADMINÓW” – FINAŁ

MAJ 2015

Uwaga!!!

ZANIM PRZYSTĄPISZ DO ROZWIĄZANIA ZADAŃ ZAPOZNAJ SIĘ Z NOTATKĄ INFORMACYJNĄ PONIŻEJ:

Zadania można rozwiązać w różny sposób, ale najwyżej punktowane są zadania wykonanie ściśle z instrukcją.

Co oznacza, że zadania można rozwiązać w różny sposób? Przykładowo: jeżeli nie poradzisz sobie z założeniem 100 lub więcej kont w usłudze katalogowej LDAP, wtedy załóż konta lokalne np. 5 kont lokalnych i wykonuj dalsze instrukcje zadania; albo jeżeli nie utworzysz partycji LVM – zbuduj partycje podstawowe etc…

Powodzenia!!!

Opis sytuacji, w której się znajdujecie:

Wyposażenie stanowiska zespołu:

  • komputer 1 pełniący rolę serwera głównego z przeinstalowanym systemem SLES 11 SP3, jest domyślnym systemem, na którym pracujecie jako administratorzy,
  • komputer 2 pełniący rolę klienta w sieci Microsoft Windows 7,
  • komputer 3 (maszyna wirtualna SLES11 SP2 hostowana na Windows 7) pełniący rolę serwera pomocniczego lub urządzenia typu router w topologii sieci:

–Internet—-<–tcp,udp:all–>—router————-SLES11 SP3

\

Windows 7 (VM:bridge:SLES11 SP2)

Podpowiedź:

Jeżeli w zespole podzielicie się zadaniami, to powinno skrócić czas ich wykonania..

Wprowadzenie:

Jadąc do swojej pracy spotkaliście osobę, która złożyła wam ofertę pracy. Okazało się, że jest to prezes pewnego start-upu, w którym chcielibyście się znaleźć. Wiadomo, droga do doskonalenia się nie jest usłana różami, co powoduje, że nie możemy oczekiwać od losu, że wszystko poukłada się po naszej myśli……

Zaproszono was na rozmowę techniczną, sprawdzenie praktycznej wiedzy z nowych środowisk opartych na systemach SLES11 SP3. Zestaw instalacyjny był dokładnie taki sam jak ten, przed którym teraz siedzicie z kolegą.

Zanim przystąpicie do wykonywania zadania, powinniście najpierw sprawdzić:

  • Czy na komputerze jest zainstalowany SLES11 SP3, na drugim w sieci Windows 7, a na nim wirtualna maszyna SLES11 SP2.
  • Czy wirtualny SLES11 SP2 jest bridgowany tak, aby miał fizyczny dostęp do sieci.
  • Czy istnieje router, który zamyka wszystkich w podsieci.
  • Czy posiadacie dostęp do Internetu.

Podczas pracy zauważono w systemie Windows 7 pojawianie się komunikatu w okienku typu pop‑up obok zegara o istnieniu duplikatu nazwy hosta w sieci. Waszym wstępnym zadaniem jest naprawa systemu nazw w sieci. W tym celu zaproponowano rozwiązanie nazw oparte na stałym przypisaniu nazw do hostów w plikach w systemach sieci. Jednakże, gdyby użyto usługi DNS w tej sieci, zaproponowany poniżej schemat byłby uniwersalny i skalowalny. A przecież do tego dążymy.

Usługę DNS zainstalujcie tylko na na serwerze wirtualnym SLES11 SP2. Przyczyną wyboru tego rozwiązania jest rozdzielenie usług na różne maszyny, co spowoduje zmniejszenie prawdopodobieństwa utraty funkcjonowania sieci podczas uszkodzenia jednego z serwerów. Generalnie – by usunąć błąd typu SINGLE POINT OF FAILURE.

Dlatego zaproponowano następujące nazwy dla sieci komputerowej:

domena przeszukiwania: konkurs.pma.local

HOST Nazwa
SLES11 SP3 (fizyczny) lpm01
SLES11 SP2 (wirtualny) lvm01
Aliasy: server_backup;
Windows7 (fizyczny) wpm01

Kiedy używasz serwera DNS:

Aby uniknąć błędów, każdy z systemów powinien mieć wskazany adres IP ręcznie.

(podpowiedź: serwer, na którym jest DNS, powinien mieć stały adres IP)

Jeśli wszystko jest ok, to… Powodzenia 

Dzień 1 – Zadanie 1

Opis oczekiwań ze strony biznesu:

Chcemy rozpocząć świadczenie usług związanych z hostingiem stron internetowych. Do tego potrzebujemy rozwiązania dedykowanego serwera z usługą www, dla każdego klienta przewidujemy 5 subdomen, które będą domyślnie generowane podczas tworzenia konta nowego klienta.

W celu testów utwórzcie jedno konto testowe, dla którego będą ustawione vhosty odpowiednio nazwane www[1-5].$username-testowy.konkurs.pma.local ($username – oznacza nazwę użytkownika testowego).

Domyślnie takie rozwiązanie należy zastosować dla przyszłych pracowników firmy, w której będą pracować. Należy utworzyć vhosty dla stu pracowników: staffuser[1..100].

– oczekuje się pełnej automatyzacji podczas zakładania nowych kont użytkowników tj. vhosty tworzą się odpowiednio per user.

Katalogi główne stron www wraz z vhostami dla każdego pracownika muszą być przechowywane na serwerze, co powoduje potrzebę utworzenia na hoście, na którym jest serwer www – katalogu /www, a w nim odpowiednio struktury katalogów z loginem pracownika oraz jego vhostname jako sub-katalogi.

Dodatkowo „dla serwera www” odpowiednio vhosty muszą się odnajdywać w sieci jako np. www[1..5].$username.lpm01 ; oraz www[1..5].$username.lpm01.konkurs.pma.local, gdzie $username jest odpowiednio nazwą danego użytkownika, a www[1..5] reprezentuje odpowiednio nazwy vhostów per użytkownik.

Sugerowany układ katalogów dla vhostów:

/www/%username%/www[1..5]

Tak sformułowane zadanie, z którym mamy nadzieję sobie poradziliście, spowodowało, że udało wam się dostać tę pracę. Pamiętajcie, że dalsza część konkursu opiera się na powyższym zadaniu!

Dzień 2 – Zadanie 2

Jednym z ważniejszych prac, jakie się wykonuje – jest utrzymywanie kopii zapasowej danych gromadzonych przez użytkowników. Oczekiwania, które firma przed wami stawia, – to wykonywanie kopii zapasowej katalogu stron www każdego użytkownika – indywidualnie. Oraz przechowywanie tych danych na zewnętrznych serwerach backupowych. Do tego będziecie potrzebować ustawienia po stronie serwera usługi, która pozwoli wam na swobodne przekazywanie plików backupu. Oczekuje się użycia szyfrowanej transmisji NFSv4 albo SSH (scp/sshfs).

Przebieg pracy i specyfikacja konfiguracji backupu:

Serwer www: co 15 minut wykonywanie przyrostowej kopii zapasowej katalogu /www/$username do katalogu /localbackup i o ile to możliwe w trybie rzeczywistym przekopiowanie danych na server_backup do katalogu /backup

Przemyślenie: Zastanówcie się jeszcze w jaki sposób odtworzyć skasowane dane.

W celu sprawdzenia poprawności wykonywanych skryptów i kopii przyrostowej, proponuje się:

  1. utworzenie plików workfile[1-5] dla co najmniej 20 użytkowników user[1-20],
  2. wykonanie kopii zapasowej pełnej lub przyrostowej,
  3. skasowanie plików workfile[2-4] i podjęcie próby odtworzenia ich.

Co będzie podlegało głównie ocenie:

– Oczekiwanym rezultatem jest różna data utworzenia każdego z plików.

Dzień 3 – Info

Po przetestowaniu przez użytkowników działania usług, uwagi zostały przesłane do waszego szefostwa. W rezultacie zaproponowano zadania, które mają poprawić pracę.

Dzień 4 – zadanie 3

Każdy z użytkowników chciałby mieć dostęp do serwera, aby przesyłać tam swoje pliki. Rozsądnym wydaje się być wygenerowanie dla każdego użytkownika kluczy ssh -dsa. Tak, by mogli pracować z własnymi plikami w sposób bezpieczny. Powinno się również ograniczyć użytkownikom dostęp ssh tylko do ich własnego katalogu – ssh-root-home.

Podpowiedź:

Z poziomu Windows wygeneruj odpowiednio klucze oraz zainstaluj program WinSCP. Zmień port domyślny ssh na 20022 dla serwerów VM i fizycznie zainstalowanych.

Włącz zaporę dla wszystkich sieci (włącznie z lokalną).

(podpowiedź: pamiętaj że w trakcie zadań będziesz używać nowych usług, proponuje się włączenie zapory na końcu konkursu w odpowiedniej konfiguracji albo otwieranie portów odpowiednio dla włączanych usług. Pamiętaj, że oceniany jest efekt pracy, więc np. brak możliwości połączeń ssh na danych portach powoduje niezaliczenie zadań związanych z usługą ssh.

Klient oczekuje zabezpieczenia serwera www, toteż WSZYSTKIE przekierowania na vhosty serwera www wykorzystujące protokół SSLv3/TLS1.0 powinny zostać wyłączone. Używajcie wyłącznie protokołu TLS1.1. Wyłączcie dla użytkownika root dostęp do serwerów przez ssh.

Serwer www nie powinien dopuszczać więcej sesji http lub https niż 2. Wszystkie zapytania http lub https inne niż na istniejące hosty powinny zostać przekierowane na vhost default – stronę o treści: Default web page access!!

Dzień 5 – Zadanie 4

Teraz kiedy posiadamy vhosty per user z minimalnym zabezpieczeniem, przemigrujmy konta użytkowników lokalnych do struktury LDAP.

Napiszcie, skrypt, który pozwoli przenosić użytkowników lokalnych, ale tylko z uid’ większym niż 1000, do struktury LDAP.

W tym celu:

  1. utwórzcie domenę LDAP o nazwie: konkurs.pma.local , oraz strukturę CN=users, CN=privilageusers, CN=komputery,
  2. przenieście użytkowników lokalnych, o których mowa, do struktury CN=users,
  3. utwórzcie w strukturze CN=privilageusers, następujące konta: ldapadmin, wwwadmin, hostadmin.
  4. dodajcie serwer (system SLES11 SP3) do usługi LDAP CN=komputery, oraz dołączcie do domeny ldap drugi komputer (wirtualny SLES11 SP2).
  5. dodajcie również do tej struktury system Windows 7 (podpowiedź wykorzystaj do tego pakiet samba)

Dodatek: o ile czas pozwoli – napiszcie skrypt, który pozwoli na przeszukiwanie struktury LDAP na istnienie żądania. (użyj ldapsearch np. ldapdir %zmiennawyszukiwana%)

Wygeneruj klucze TLS1.1 dla usługi LDAP tj. zbuduj LDAPS i wymuś używanie tego rozwiązania nie dopuszczając wyszukiwań anonimowych jak i zapytań bez podpisu klucza.

Dla kont w LDAP CN=priviliageusers w modułach PAM nadaj odpowiednie uprawnienia:

  • ldapadmin – możliwość logowania lokalnego/logowania po ssh/ możliwość edycji/zapisu/odczytu struktury ldap za pomocą narzędzi servera ldap.
  • wwwadmin – konto, które służy od zarządzania edycją/modyfikacją plików związanych z serwerem www. Dostęp tylko i wyłącznie lokalny na serwerze www.
  • hostadmin – konto z uprawnieniami root dla obu serwerów.

Dodatek (trudne):

W dużych środowiskach np. takie jak nasze, kiedy mamy 1000 użytkowników, tj. gdzie mamy na partycji strukturę katalogów 1000 home directory w momencie kiedy uszkodzeniu ulegnie dysk włącza się mechanizm automatycznego skanowania spójności systemu plików. W takiej sytuacji czas uruchomienia systemu znacząco się wydłuży, co spowoduje zwiększenie się czasu braku dostępu do usług.

Kazano Wam znaleźć rozwiązania. Zaproponowaliście użycie „autofs”, jako narzędzia służącego do montowania katalogów w momencie ich użycia. Co zabezpieczy nas przed wystąpieniem zjawiska opisanego powyżej.

Dopasujcie konfiguracje katalogów użytkowników tak, ażeby katalogi montowały się w momencie ich użycia z serwera backup’owego po NFS (może być w dowolnej wersji)

Dzień 6 – Zadanie 5

Ponieważ w planach jest rozbudowa sieci dla infrastruktur biurowych – wymagane jest skonfigurowanie serwera druku.

  1. Zainstalujcie serwer CUPS na serwerze lvm01, jako serwer wydruku plików PDF, dodajcie drukarkę PDF, zainstalujcie ją na każdym komputerze w sieci oraz udostępnijcie użytkownikom tak, aby mogli w pełni z niej korzystać.
  2. Wydruki powinny być tworzone oraz przechowywane w katalogu /srv/cups/print-out
  3. Folder udostępnijcie usługą SAMBA autoryzacje wykonajcie per-user ze struktury LDAP.

Gratulacje !!!

Zakończyłeś konkurs!!!