# Server03
# Network
| Device | Hostname | System | FQDN | IP Adress | Service |
|---|---|---|---|---|---|
| Server03 | Server03 | Linux server | Server03.skills.com | 192.168.10.3 | ntp(chrony) SSH、Vpn(openvpn) |
修改 /etc/network/interfaces 文件,增加如下语句
auto ens35
iface ens35 inet static
address 192.168.10.3/28
gateway 192.168.10.2
2
3
4
环境不同,网卡号不同,根据环境修改,使用命令 ip link 可以查看
修改 /etc/hosts 文件,将 127.0.0.1 debain修改为如下语句
127.0.0.1 Server03
192.168.10.3 Server03.skills.com Server03
2
修改 /etc/hostname 文件,将内容改为对应主机名
Server03
新建 /etc/resolv.conf 文件,添加如下内容
nameserver 192.168.10.4
# Chrony
chrony 为全网提供时间同步服务器
允许 Server01、Server02、Server04、Client、Rserver 向 Server03 校正时间
安装 chrony
apt install -y chrony
编辑 /etc/chrony/chrony.conf 文件,注释第三行并增加如下内容
server 192.168.10.3 iburst
allow 192.168.10.0/28
allow 172.16.100.128/25
allow 10.10.100.0/24
2
3
4
如下操作在 Server01、Server02、Server04、Client、Rserver 上进行
# 安装chrony
apt install -y chrony ntpdate
# 编辑配置文件
vim /etc/chrony/chrony.conf
pool 192.168.10.3 iburst
# 编辑 cron 定时器
vim /etc/crontab
*/1 * * * * /usr/sbin/ntpdate -u 192.168.10.3
# 重启 chrony 和 cron 服务
systemctl restart chrony
systemctl restart cron
2
3
4
5
6
7
8
9
10
11
# SSH
安装 SSH
仅允许 client 客户端进行 ssh 访问,其余所有主机的请求都应该拒绝
配置 client 只能在 a1 用户环境下可以免密钥登录,端口号为 2233,并有用 root 控制权限
安装 SSH
apt install -y openssh-server
编辑 /etc/ssh/sshd_config 文件,修改至如下内容
Port 2233
PermitRootLogin yes
AllowUsers *@10.10.100.*
2
3
如下操作在 Client 上用户 a1 上进行
ssh-keygen
ssh-copy-id root@192.168.10.3 -p 2233
2
# OpenVPN
安装 Openvpn 服务
Client 的客户端可以通过 VPN 拨号连接到 SERVER03
VPN 客户端拨号使用命令 systemctl start openvpn@SERVER03
安装 OpenVpn 服务
apt install -y openvpn
复制 easy-rsa 目录来管理 SSL 证书
cp -r /usr/share/easy-rsa/ /etc/openvpn/
设置证书颁发机构
# 进入 easy-rsa 目录
cd /etc/openvpn/easy-rsa
# 启动 pki 目录
./easyrsa init-pki
# 以下为输出
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki
# 创建CA证书(根据要求填写)
./easyrsa build-ca nopass
2
3
4
5
6
7
8
9
10
11
生成服务器证书及密钥文件
./easyrsa build-server-full server03 nopass
生成客户端证书及密钥文件
./easyrsa build-client-full server03c nopass
生成 DH
./easyrsa gen-dh
生成 TA 证书
openvpn --genkey --secret ta.key
将文件复制到 /etc/openvpn/server/ 下
cp -a ta.key pki/ca.crt pki/issued/server03.crt pki/private/server03.key pki/dh.pem /etc/openvpn/server/
配置 OpenVPN 服务器
# 复制默认配置文件到 server 目录下
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server/
# 使用 gzip 解压
gzip -d server/server.conf.gz
# 修改 server.conf 文件
25 local 192.168.10.3
79 cert server03.crt
80 key server03.key
85 dh dh.pem
209 client-to-client
274 user nobody
275 group nogroup
2
3
4
5
6
7
8
9
10
11
12
13
14
启动 OpenVPN 服务器
# 进入 /usr/lib/systemd/system 目录下
cd /usr/lib/systemd/system
# 复制 openvpn 服务进程
cp -a openvpn-server@.service openvpn@server.service
# 重启进程守护
systemctl daemon-reload
# 启动 openvpn 服务进程
systemctl start openvpn@server.service
# 查看 openvpn 服务进程
systemctl status openvpn@server.service
# 出现 'Active: active(running)' 即为启动成功
2
3
4
5
6
7
8
9
10
11
12
13
14
15
将 CA 证书 客户端证书及密钥文件 TA 证书 发送至 Client(其中 10.10.100.2 为 Client 的 IP 地址)
# 进入 /etc/openvpn/easy-rsa/ 目录
cd /etc/openvpn/easy-rsa
# 发送文件
scp pki/ca.crt /pki/issued/server03c.crt pki/private/server03c.key ta.key root@10.10.100.2:/etc/openvpn/client/
2
3
4
5
如下操作在 Client 上进行
# 安装 openvpn
apt install -y openvpn
# 复制默认配置文件到 client 目录下
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client/server03.conf
# 修改 server03.conf 文件
42 remote 192.168.10.3 1194
61 user nobody
62 group nogroup
89 cert server03c.crt
90 key server03c.key
2
3
4
5
6
7
8
9
10
11
12
启动 OpenVPN 客户端
# 进入 /usr/lib/systemd/system 目录下
cd /usr/lib/systemd/system
# 复制 openvpn 客户端进程
cp -a openvpn-client@.service openvpn@server03.service
# 重启进程守护
systemctl daemon-reload
# 启动 openvpn 进程
systemctl start openvpn@server03.service
# 查看 openvpn 进程
systemctl status openvpn@server03.service
# 出现 'Active: active(running)' 即为成功拨号
2
3
4
5
6
7
8
9
10
11
12
13
14
15