20 вопросов тестирования по Astra Linux (AL-1704) с комментариями. Часть 1.

Здравствуйте, уважаемые читатели!

Продолжаем разбор вопросов тестирования по Astra Linux.

Начиная с самых азов, мы подошли к более сложным темам.

В этом разборе Вы увидите вопросы по Kerberos, FreeIPA, Ansible и не только.

Мне не очень понятно, как в ходе непродолжительного обучения можно ориентироваться во «всём этом».

На мой взгляд, проходить данный тест следует после практического знакомства с рассматриваемыми программными продуктами (не менее полугода, а лучше год).

Напомню, что свои вопросы с вариантами ответов Вы можете отправить мне на почту – sandro331k@yandex.ru. При наличии времени, я обязательно проведу разбор и опубликую его в блоге.

1.Вам нужно получить TGT, чтобы выполнять администраторские операции во FreeIPA окружении. Какую команду Вы используете?

Знание команды kinit обязательно при администрировании.

Получить TGT администратора FreeIPA необходимо для создания файлов ключевых таблиц сетевых служб (например, samba, openfire, dovecot и т.п.) и реализации так называемого SSO.

Указанную команду удобно применять при проверке функционирования компьютера в составе домена, в частности корректно указанного пароля пользователя.

Например, когда пользователь уверяет, что он точно помнит пароль, но вход в систему не производится,  я быстро запускаю данную команду и пользователь пробует ввести свой пароль. Если билет получен корректно, копаю дальше с помощью журналов, но чаще всего пользователь не получит свой билет, так как его пароль, увы, не подходит.

Ответ: kinit admin

2. Вам нужно скопировать свой публичный ключ на SSH-сервер. Какая команда позволяет это сделать наиболее простым способом? Введите только имя команды.

Хорошо, что написали «наиболее простым способом» — а-то желающих скопировать свой публичный ключ с помощью scp или mc хоть отбавляй.

На самом деле команда из тех, которые администраторы используют очень часто.

Знать её нужно обязательно.

Ответ: ssh-copy-id

3. Какая команда предназначена для управления службами, входящими в состав FreeIPA?

Интересный вопрос с противоречивыми вариантами ответов.

Сразу скажу, что для управления службами, входящими в состав FreeIPA, используются две команды ipactl и systemctl, но вторая использует первую, а Вы вторую.

Не то, чтобы ipactl давала возможность администратору управлять конкретными службами из состава FreeIPA. Главная цель данной команды — управлять комплексом служб одновременно (так как для FreeIPA важен конкретный порядок запуска и остановки служб входящих в её состав, например, сердцем системы является LDAP сервер – соответственно, запускаться он должен в первую очередь).

В официальной документации Вы можете прочесть следующее:

Do not directly use the ipactl utility to start, stop, or restart IdM services. Use the systemctl ipa commands instead, which call the ipactl utility in a predictable environment.

То есть использовать ipactl напрямую не рекомендуется — только через systemctl.

Но так как systemctl фактически использует ipactl — её и укажем правильным ответом.

Ответ: ipactl

4. Какой тип записи DNS предназначен для поиска сетевых служб?

Тут мы видим проверку фундаментальных знаний в области DNS. Не то, что Вы будете конфигурировать записи указанного типа ежедневно, но иногда будете. Кроме того, указанные записи используются в конфигурации FreeIPA – те же самые веса серверов Kerberos задаются в записях подобного типа. Так же мне доводилось конфигурировать DNS сервер для работы xmpp сервера Openfire (опциональная и необязательная настройка).

По DNS есть отличная книга «DNS и BIND» — обязательно к прочтению.

Ответ: SRV

5. Вы решили указать переменные для группы хостов с названием database внутри инвентаризационного файла Ansible. Напишите название секции, в которой будут указаны переменные.

Также обязательные знания при использовании Ansible. Очень удобная система управления конфигурацией, без которой просто не выжить при администрировании большого количества хостов в сети.

Ответ: database:vars

6. В каком файле хранятся настройка конфигурации загрузки по сети с указанием, с какими параметрами должно быть загружено ядро?

Загрузка по сети осуществляется с помощью tftp – это всё, что нужно знать, чтобы выбрать правильный ответ из предложенных.

Функция загрузки по сети очень удобна и используется мной в двух случаях – для запуска тонкого клиента (не Astra Linux) на бездисковой рабочей станции  и установка по сети Astra Linux.

Переоценить удобство установки по сети — задача нетривиальная , забыть про установочные диски и флешки – дорогого стоит.

Но появляются новые проблемы, а именно активация режима загрузки по сети в BIOS (UEFI).

Так как в своей большой бюджетной организации я использую самый разнообразный зоопарк материнских плат (две одинаковые не найти), мне кажется, я видел все варианты данной опции (а в некоторых случаях, увы, не видел и, ругаясь, шёл за диском).

Ответ: /srv/tftp/pxelinux.cfg/default

7. Запишите полностью квалифицированное имя (FQDN), соответствующее IP адресу 192.168.25.5 в инфраструктурном домене arpa.

Фундаментальные знания DNS, а также вопрос, в котором кроется история.

Тех, кто не читал и не знает, что такое arpa – отправим в гугл (обещаю, Вам будет интересно).

Для остальных отмечу, что знание указанной записи необходимо при ручной конфигурации BIND9.

Если Вы будете настраивать FreeIPA, записи будут внесены автоматически.

Но почитать про DNS стоит всё равно.

Ответ: 5.25.168.192.in-addr.arpa.

8. Какой тип ресурсных записей DNS предназначен для определения маршрута, по которому должно быть отправлено почтовое сообщение?

Фундаментальные знания DNS. Обязательно столкнётесь с данным типом записей при конфигурации сервера электронной почты. Пересказывать книгу «DNS и BIND» не вижу смысла, просто скажу, что необходимо запомнить все типы ресурсных записей DNS, чтобы впоследствии щёлкать такие вопросы «как орешки». Ну и в практике без этих знаний никуда.

Ответ: MX

9. С помощью каких утилит можно добавить принтер в системе печати CUPS?

Вопрос из тех, с которыми Вы будете сталкиваться при администрировании.

Раз в месяц-другой я добавляю новые принтеры и использую обе команды.

Также Вы должны знать, что принтеры компании HP необходимо добавлять с помощью специализированных программ, входящих в пакет hplib (так как для работы части из них нужен специальный плагин).

Кроме того, добавлять принтеры возможно и через браузер (по умолчанию WEB интерфейс CUPS доступен на 631 порту).

Ответ: lpadmin, fly-admin-printer

10. Где на сервере DHCP можно увидеть информацию о выданных в аренду IP адресах?

Вопрос на знание isc-dhcp-server. Помимо файла, указанного в ответе, информация о выданных в аренду IP адресах указана в журнале DHCP сервера.

Ответ: /var/lib/dhcp/dhcp.leases

11. В какой протокол встраивается метка безопасности (мандатная метка)?

Интересный вопрос, ответ на который можно дать методом исключения.

Нам предстоит выбрать один вариант ответа.

Начнём с того, что мандатная метка действует на все типы используемых приложений – будь то электронная почта или IP телефония. Следовательно, мандатная метка не содержится только в TCP сегменте или UDP датаграмме. ICMP — бредовый вариант, который используется чисто для массовки.

Остаётся Ethernet и IP. Ethernet протокол канального уровня – модифицировать его было бы глупо по нескольким причинам:

1. Поддержка оборудования;

2. Кадры канального уровня не пересекают границ сетевого сегмента.

Другое дело — использование IP — в заголовке IPv4 даже есть соответствующее поле для опций, которое и используется для реализации мандатных меток (опция 130, подробнее Вы можете прочитать в поисковике).

Ответ: IP

12. Какую команду следует выполнить после активации нового модуля Apache?

Мне не очень нравится этот вопрос, так как apache2 сам говорит нам, какую команду надо выполнить после каждой активации нового модуля.

Ответ:  systemctl restart apache2

13. Чему равен TTL у первых трёх UDP дейтаграмм, отправляемых утилитой traceroute? Введите число.

Очень интересный вопрос на знание работы traceroute. Честно сказать, до этого разбора я думал, что traceroute работает так же как и tracert на Windows отправляя ICMP пакеты с последовательным увеличением TTL.

Но нет, traceroute генерирует по три UDP датаграммы, начиная с порта 33434 и ждёт ответа о недоступности порта (Destination unreachable (Port unreachable)).

К слову сказать, аргументами можно задать использование ICMP подобно tracert.

Таким образом, первые три UDP датаграммы будут отправлены с TTL равным единице.

Ответ: 1

14. Какой файл содержит ключ, который с помощью ssh-copy-id должен быть отправлен на SSH-сервер?

Для ответа на этот вопрос нужно понимать, как осуществляется подключение по ssh и что такое rsa. Знания нужные, изучив этот порядок, Вы легко будете отвечать на вопросы такого типа.

Приватный и публичный ключ генерируется на компьютере клиента (человека, который хочет подключиться по ключам к серверу).

Публичный ключ служит для шифрования информации, а закрытый для расшифрования.

Публичный ключ генерируется из закрытого ключа, невозможно создать закрытый ключ из открытого ключа.

Для понимания Вы можете запомнить аналогию.

Допустим, в Вашем почтовом отделении просматривают содержимое всех посылок – Вам это не нравится, ведь Вы хотите отправить другу что-то личное. Другой связи с другом нет – переправить пароль, с помощью которого Вы будете шифровать дальнейшую переписку, не получится.

Вот тут на помощь приходит амбарный замок (открытый ключ) и ключ от него (закрытый ключ).

Ключ от замка оставим себе, а по почте отправим открытый замок (открытый ключ – id_rsa.pub).

Друг получит его, соберёт посылку (в которую положит своё письмо с паролем для дальнейшего общения) и закроет её на замок.

С этого момента ни друг, ни работники почты не смогут ознакомиться с содержанием посылки – только владелец ключа (закрытого ключа).

Ответ: id_rsa.pub

15. Вы хотите организовать доступ к серверу srv1 с компьютера arm1 по SSH-протоколу. Где нужно создать RSA-ключи для доступа arm1 к srv1?

Ответ на данный вопрос вытекает из разбора вопроса № 14. Ключевая пара генерируется на клиенте. Публичный ключ отправляется на сервер.

Ответ: на arm1 создаём пару — приватный и публичный ключи, копируем публичный ключ на srv1

16. Какая встроенная в systemd служба позволяет синхронизировать время по сети?

Люблю systemd – несмотря на то, что истинные линуксоиды категорически против его использования, снижение порога вхождения в разные дистрибутивы полностью оправдывает использование systemd.

Systemd-timesyncd начал использовать недавно и сразу оценил простую настройку – убиваем ntpd и chrony, прописываем доменное имя или ip адрес ntp сервера и пользуемся. Единственный минус systemd-timesyncd используется только в режиме клиента. В качестве сервера предпочитаю использовать chrony.

Ответ: systemd-timesyncd

17. Какая команда из состава chrony позволяет получить информацию об источниках времени?

Вообще тема синхронизации времени в сети очень важная — на времени завязана работа планировщиков задач и информация о лицензиях.

При расследовании компьютерных инцидентов сбитое время существенно осложняет ход расследования — особенно, когда время сбивается при каждом включении компьютера (следите за своевременной заменой батарейки материнской платы).

К слову о chrony — использовать его, на мой взгляд, проще, чем ntpd, а работает он ничем не хуже.

Ответ: chronyc sources

18. DHCP клиент для поиска в сети сервера DHCP отправляет сообщение. Выберете правильные утверждения об этом сообщении.

Фундаментальные знания по DHCP. Чтобы ответить на этот вопрос рекомендую прочитать лекцию по DHCP. Рекомендую лекцию Сергея Созыкина (https://youtu.be/uZJ8WVdw-Ck).

Ответ: отправляется сообщение типа DHCPDISCOVER, отправляется широковещательное (broadcast) сообщение

19. Вам нужно выделить для компьютера пользователя с помощью службы DHCP постоянный IP адрес. Какому параметру в файле dhcpd.conf требуется присвоить значение постоянного IP адреса?

Вопрос на знание  isc-dhcp-server.

Бывает необходимо прописать фиксированные IP адреса для серверов, так что это тот момент, с которым Вы обязательно столкнётесь на практике в том или ином виде (например, в роутерах используется WEB интерфейс или специфическая командная строка).

В конфигурационном файле есть примеры конфигурации, поэтому если к моменту необходимости Вы забудете синтаксис isc-dhcp-server — ничего страшного не произойдёт.

Ответ: fixed-address

20. Внутри плейя (play) Вы собираетесь вызывать значение переменной stage. Напишите, как Вы это сделаете.

Знания, которые Вы примените на практике, используя ansible. Синтаксис вызова переменных разный в каждом языке программирования или программном продукте – и всё это необходимо запомнить.

Ответ: {{ stage }}