АдмСерМерСл
.pdf11
1.3.7Виконати резервування для одного з вузлів мережі на сервері та проаналізувати результати розподілення адрес.
1.3.8Налаштувати DNS-сервер, встановивши службу BIND
та пакет openssl.
1.3.9Створити зону прямого та зворотного поширення для домену, назва якого задається як surname.local (surname – прізвище студента), на сервері, задаючи зокрема адреси декількох хостів, webсервера, ftp-сервера та поштового сервера та використовуючи сервери
8.8.8.8та 8.8.4.4 для невідомих запитів.
1.3.10Налаштувати вторинний DNS-сервер.
1.3.11Налаштувати клієнтські машини в мережі для роботи з DNS-сервером.
1.3.12Виконати тестування роботи DNS-сервера.
1.3.13Заборонити передачу інформації щодо створеної DNSзони назовні мережі та деяким вузлам всередині мережі, а також запити до DNS-серверів з інших мереж.
1.3.14Налаштувати DNS-сервер на відповідь “I DON’T KNOW” щодо його версії.
1.3.15Налаштувати DNS-сервер на відповідальність за кореневу зону (“.”).
1.3.16Перетворити вторинний DNS-сервер на DNS-сервер для клієнтів всередині мережі, а первинний – для клієнтів ззовні мережі.
1.3.17Розширити файл опису зон DNS-сервера для клієнтів всередині мережі інформацією про обладнання, програмне забезпечення і операційну систему машини та текстовим описом.
1.3.18Налаштувати DNS-сервер для клієнтів всередині мережі на використання ключів та передачу зони за ключем, використовуючи механізм TSIG.
1.3.19Налаштувати на одному з комп’ютерів мережі сервер кешування DNS.
1.3.20Виконати тестування роботи DNS всередині мережі.
1.3.21Налаштувати DHCP-сервер на видачу відповідних даних для роботи з DNS у мережі.
1.3.22Встановити поточну системну дату та налаштувати часовий пояс, використовуючи термінал.
12
1.3.23Встановити демон ntpd та налаштувати його за допомогою конфігураційного файлу:
–обрати перелік еталонних NTP-серверів та обґрунтувати вибір;
–задати параметри відслідковування статистики, зокрема записуючи кожну модифікацію локального годинника;
–обмежити клієнтські машини локальною мережею та обмежити максимальну кількість клієнтів, що обслуговуються.
1.3.24Проаналізувати системний журнал та рівень сервера.
1.3.25Налаштувати клієнтські машини для синхронізації часу
зналаштованим сервером двома способами:
–запускати утиліту оновлення часу кожні 30 хвилин для користувача root;
–запустити демон, налаштувавши його на отримання часу тільки від налаштованого сервера всередині мережі.
1.3.26Налаштувати аутентифікацію з використанням ключей для роботи сконфігурованих сервера та клієнта за протоколом NTP.
1.3.27Захистити створені сервери на основі фільтрації мережевого трафіку.
1.3.28У налаштуваннях сервера DHCP задати для деякої групи хостів мережевий NTP-сервер.
1.3.29Оформити звіт.
1.3.30Відповісти на контрольні запитання.
1.4 Зміст звіту
1.4.1Тема та мета роботи.
1.4.2Короткі теоретичні відомості.
1.4.3Завдання на лабораторну роботу.
1.4.4Результати виконання завдань: команди, текст файлів, скріншоти, результати тестування.
1.4.5Висновки, що містять відповіді на контрольні запитання,
атакож відображають результати виконання роботи та їх критичний аналіз.
13
1.5 Контрольні запитання
1.5.1Яка структура DHCP-пакету?
1.5.2За якими портами працюють протоколи DHCP, NTP?
1.5.3Які існують режими видачі ip-адрес?
1.5.4В чому полягає процес отримання ip-адрес клієнтом?
1.5.5Які існують параметри конфігурації DHCP-серверу?
1.5.6Для чого необхідна ретрансляція в протоколі DHCP?
1.5.7Яка інформація зберігається в базі оренд ip-адрес?
1.5.8Які недоліки має протокол DHCP?
1.5.9Яким чином можна розв’язати проблему фіктивного DHCP-сервера?
1.5.10Що таке DNS?
1.5.11За допомогою яких файлів виконується конфігурування сервера DNS BIND?
1.5.12Що таке кешуючий DNS-сервер?
1.5.13Що таке пряма та зворотна зони?
1.5.14Для чого використовується резолвер?
1.5.15Які програми використовуються для отримання інформації з DNS?
1.5.16Які засоби безпеки можуть використовуватися для роботи DNS-серверів?
1.5.17Який сервер DNS називають авторитетним?
1.5.18Як налаштувати роботу з кешем на DNS-сервері?
1.5.19Для чого необхідний вторинний сервер DNS?
1.5.20Що таке механізм TSIG?
1.5.21Який формат NTP-пакету?
1.5.22Які режими роботи сервера та клієнта за протоколом NTP розрізняють?
1.5.23Яку систему часових рівнів використовує NTP?
1.5.24Які параметри конфігурування сервера NTP існують?
1.5.25Яким чином можна захистити NTP-сервер?
1.5.26Які засоби забезпечення достовірності даних має сервер
NTP?
1.5.27Які існують утиліти та програми служби точного часу?
14
ЛАБОРАТОРНА РОБОТА № 2 СЛУЖБИ ВІДДАЛЕНОГО ДОСТУПУ
2.1 Мета роботи
2.1.1Ознайомитись з протоколами Telnet та SSH.
2.1.2Вивчити та навчитися використовувати команди Telnet.
2.1.3Навчитися конфігурувати сервер OpenSSH за допомогою конфігураційного файлу та ключів запуску.
2.1.4Ознайомитись з можливостями програм пакету
OpenSSH.
2.2 Короткі теоретичні відомості
2.2.1 Служба Telnet
Сервіс telnet забезпечує базову емуляцію терміналів віддалених систем, підтримуючи протокол telnet над протоколом TCP/IP.
Для використання telnet на віддаленому комп’ютері має бути встановлено telnet-сервер (telnetd). На комп’ютері користувача має бути встановлено програму-клієнт.
Для підключення до віддаленої системи зазвичай використовується команда вигляду:
telnet <ім’я хосту>
Сервер зазвичай обслуговує TCP-порт 23, але його можна сконфігурувати на використання іншого порту.
При встановленні взаємодії з віддаленим клієнтом сервер обмінюється командами налаштування.
PuTTY – клієнт для протоколів SSH, Telnet, rlogin, що вільно розповсюджується. Може використовуватися як у операційних системах сімейства Windows, так і на UNIX-подібних платформах.
2.2.2 Сервер OpenSSH
SSH – протокол, який забезпечує можливість віддаленого виконання команд та копіювання файлів з аутентифікацією клієнта та
15
сервера, а також з шифруванням даних, що передаються, у тому числі імені та пароля користувача. Аутентифікація виконується з використанням асиметричного шифрування з відкритим ключем, а обмін даними – з використанням симетричного шифрування.
OpenSSH – безкоштовний пакет, що є програмною реалізацією протоколу SSH, з відкритим кодом. Здатен працювати з протоколами
SSH1 та SSH2.
Під час конфігурації OpenSSH необхідно виконати налаштування сервера та клієнта. Конфігураційні файли мають назви: /etc/ssh/sshd_config (для сервера sshd) та /etc/ssh/ssh_config (для клієнта ssh).
Налаштування можна задавати з командного рядка, запускаючи ssh з відповідними ключами. Якщо останнім аргументом вказана команда, то вона виконується на віддаленій машині замість командної оболонки за замовчуванням (після успішного входу користувача).
Аутентифікація у SSH може виконуватись одним з наступних способів:
−за принципом довіри: виконується перевірка, чи внесено ім’я комп’ютера з якого встановлюється доступ, до файлів ~/.rhosts (або ~/.shosts);
−посилена аутентифікація за принципом довіри: перевірка імені комп’ютера відбувається в захищеному режимі з шифруванням відкритим ключем;
−аутентифікація користувача з використанням шифрування з відкритим ключем: користувач повинен мати доступ до файлу зі своїм секретним ключем, і він повинен надати пароль для його дешифрування;
−аутентифікація за допомогою пароля: пароль передається в зашифрованому вигляді.
Окрім клієнта та сервера до пакету OpenSSH входять наступні програми:
−ssh-keygen: призначена для генерації, перетворення та управління ключами;
−ssh-agent: дозволяє виконувати RSA/DSA-аутентифікацію;
−ssh-add: використовується для додавання приватних
ключем;
16
−sftp: дозволяє пересилати файли в режимі, подібному FTPпротоколу, проте операції виконуються поверх SSH;
−scp: виконує копіювання файлів між хостами;
−ssh-keyscan: дозволяє зібрати публічні ключі хостів. Середовище chroot-jail обмежує користувача на використання
файлів всередині його користувацького каталогу, забороняючи йому доступ на читання, запис та виконання файлів поза даним каталогом. Для виконання програми OpenSSH у середовищі chroot-jail необхідно створити таке середовище та встановити версію OpenSSH, що підтримує роботу в такому середовищі.
Для того, щоб створити середовище chroot-jail необхідно:
−створити відповідний користувацький каталог;
−створити нового користувача;
−створити необхідні каталоги всередині домашнього каталогу (/bin, /dev, /etc, /lib, /usr тощо) та визначити права доступу до них;
−перемістити необхідні програми у відповідні каталоги (зокрема sh) та встановити права доступу;
−у файлі passwd обмежити доступ користувача (крапка використовується для визначення каталогу, від якого починається chroot);
−перемістити необхідні для виконання програм динамічні бібліотеки (для пошуку використовується команда ldd);
−перемістити файли налаштувань (зокрема passwd) у відповідні підкаталоги домашнього каталогу;
−створити в домашньому каталозі користувача файли
пристроїв.
2.3 Завдання на лабораторну роботу
2.3.1Ознайомитись з основними теоретичними відомостями та рекомендованою літературою за темою роботи.
2.3.2Встановити клієнт і сервер для роботи з протоколами Telnet і SSH та провести налаштування, необхідні для їхньої роботи.
2.3.3Підключитись до віддаленого комп’ютера за допомогою telnet, ввімкнувши виведення узгодження налаштувань, та пояснити виведену інформацію.
17
2.3.4Використовуючи telnet, виконати на віддаленому комп’ютері наступні дії:
−переглянути список процесів, що виконуються, та вивести інформацію за процесом telnet;
−переглянути список файлів у домашній теці з додатковою інформацією;
−створити каталог у домашній теці користувача, перенести до нього файли, перейменувати їх та змінити права доступу;
−відредагувати один з файлів (внести інформацію про віддалений сеанс роботи).
2.3.5Підключитись до одного з існуючих поштових серверів та відправити за допомогою telnet на власну поштову скриньку лист.
2.3.6Перемістити необхідні пакети на інший комп’ютер мережі, застосовуючи захищене копіювання, з використанням консолі та на основі створення скрипту, запустивши його на виконання та проаналізувавши результати.
2.3.7Виконати конфігурацію сервера та клієнта ssh у відповідності з наступними вимогами:
−дозволити віддалено запускати графічні додатки;
−дозволити доступ до сервера тільки клієнту, який використовується при виконанні завдань;
−змінити стандартний порт, який прослуховує сервер;
−заборонити авторизацію користувача root;
−відключити підтримку протоколу версії 1.
2.3.8 Використовуючи ssh, виконати на віддаленому комп’ютері наступні дії:
−визначити операційну систему, версію ядра та апаратну платформу сервера;
−визначити, які користувачі (логін, ip, початок сеансу) підключені до серверу;
−у файловому менеджері переглянути склад теки з пакетами, що було переміщено на сервер за результатами виконання п. 2.3.6, та встановити пакети на сервері.
2.3.9Отримати віддалений доступ на основі ssh з аутентифікацією з використанням шифрування з відкритим rsaключем.
18
2.3.10Провести аутентифікацію за допомогою програм sshagent та ssh-add.
2.3.11Передати дані між двома комп’ютерами мережі, використовуючи SSH з мережевим тунелем.
2.3.12Розробити скрипт, який реалізовує створення середовища Chroot-jail для деякого користувача системи.
2.3.13Підключитись до віддаленого комп’ютера, використовуючи середовище Chroot-jail, та перевірити налаштування.
2.3.14Використовуючи командний рядок на одному з комп’ютерів мережі під операційною системою сімейства Windows, підключитись до комп’ютера під операційною системою сімейства Linux та відстежити процеси, що мають найбільше навантаження на процесор.
2.3.15Оформити звіт.
2.3.16Відповісти на контрольні запитання.
2.4 Зміст звіту
2.4.1Тема та мета роботи.
2.4.2Короткі теоретичні відомості.
2.4.3Завдання на лабораторну роботу.
2.4.4Результати виконання завдань: команди, текст файлів, скріншоти, результати тестування.
2.4.5Висновки, що містять відповіді на контрольні запитання,
атакож відображають результати виконання роботи та їх критичний аналіз.
2.5 Контрольні запитання
2.5.1Що таке протокол Telnet?
2.5.2На яких базових концепціях ґрунтується протокол
Telnet?
2.5.3Які основні команди програми telnet?
2.5.4Які існують ключі запуску клієнта telnet?
2.5.5Чим відрізняється SSH від Telnet?
2.5.6Які існують версії протоколу SSH?
19
2.5.7Яке програмне забезпечення необхідне для роботи за протоколами Telnet та SSH?
2.5.8Який принцип роботи SSH?
2.5.9У чому полягає стандартна процедура роботи за протоколу SSH?
2.5.10Яке шифрування використовується за протоколу SSH?
2.5.11За допомогою яких файлів можна конфігурувати сервер
OpenSSH?
2.5.12Які програми входять до складу пакету OpenSSH?
2.5.13Які існують ключі запуску сервера SSH?
2.5.14Які існують ключі запуску клієнта SSH?
2.5.15Що таке середовище chroot-jail?
2.5.16Для чого необхідно використовувати OpenSSH у
середовищі chroot-jail?
2.5.17Що таке перенаправлення портів?
2.5.18Які види аутентифікації розрізняють у SSH?
2.5.19Чим відрізняється аутентифікація за допомогою пароля в
Telnet та SSH?
2.5.20Якими методами може кодуватися сесія за протоколу
SSH 2?
2.5.21За допомогою яких налаштувань можна підвищити безпеку використання служби SSH?
20
ЛАБОРАТОРНА РОБОТА № 3 НАЛАШТУВАННЯ WEB-СЕРВЕРА
3.1 Мета роботи
3.1.1Вивчити призначення програмних засобів для створення web-сервера та налаштування служб доступу до баз даних web-сервера.
3.1.2Навчитися встановлювати, налаштовувати та тестувати
HTTP-сервер Apache.
3.1.3Навчитися встановлювувати та налаштовувати систему керування базами даних MySQL, мову сценаріїв PHP та утиліту phpMyAdmin.
3.2 Короткі теоретичні відомості
3.2.1 Web-сервер Apache
Apache – кросплатформений HTTP-сервер. Код сервера має модульну структуру та може бути модифікований для розв’язання практично будь-яких задач організації віртуального спілкування між сервером та клієнтом. Пакет web-серверу Apache у Debian 7 має назву apache2.
Конфігурація web-сервера виконується за допомогою конфігурації сервера, віртуального хосту та рівня доступу.
Механізм віртуальних хостів дозволяє обслуговувати декілька сайтів, використовуючи при цьому одну ip-адресу.
3.2.2 Служба доступу до баз даних MySQL
Для організації інтерфейсу між кінцевими користувачами та базами даних, а також для адміністрування баз даних використовуються сервери баз даних.
MySQL – реляційна система керування базами даних, багатокористувальницький, багато поточний SQL-сервер баз даних.
Для MySQL у Debian використовуються пакети mysql-server та mysql-client. Після інсталяції сервера MySQL необхідно змінити