TIES478 Demo7

Kaikissa tehtävissä vanhaan tapaan tunnus on aina oma käyttäjätunnuksesi ja mahdolliset yllättävät ongelmat pitää ratkaista. Laita palomuurisäännöt skriptiin /etc/network/iptables.up.run ja testaa komennolla iptables-apply -c. Kaikki palomuurisäännöt pitää myös tehdä niin, että ne jäävät voimaan bootissa.

 1. Asenna itsellesi uusi virtuaalikone tunnus3, eri alustakoneeseen kuin aikaisemmat koneesi (jos ne olivat lonka6:ssa ja lonka7:ssä, nyt lonka8:aan jne).

  Asennuksessa käytetään siltaverkkoa kuten tunnus1:ssä ja tunnus2:ssa, mutta huomaa että koneella ei nyt ole julkista IP:tä (toimii vain sisäverkossa). Koneen IP:n saa tuttuun tapaan host-komennolla.

  qemu-img create -f raw /home/tunnus/tunnus3.img 8G
  virt-install -n tunnus3 --memory 512 \
  --disk /home/tunnus/tunnus3.img,bus=virtio \
  --cdrom /srv/kvm/images/ubuntu-18.04.4-server-amd64.iso -w bridge=br0
  

  Käyttäjäksi tunnus0, levyjako "guided LVM", erilliset root-, var, tmp ja home-osiot. Gateway 172.21.0.1, nimipalvelin 172.21.0.4, mask 255.255.0.0. Software: OpenSSH server.

  Asennuksen jälkeen vaihda tunnus0:n UID:ksi 999, asenna sen jälkeen vanhaan tapaan Kerberos (libpam-krb5), lisää opettajatunnukset tt ja kailnurm ja niille sudo-oikeudet ja oma normaali (nollaton) tunnuksesi (ilman sudoa).

 2. Asenna tunnus3:een nginx, oletusasetuksilla (pelkkä default). Laita se jakamaan jotain tunnistettavaa tekstiä ("täällä tunnus3" tms). Testaa jostain lonka-koneesta lynxillä.

 3. Tee tunnus1:een salliva (blacklist-tyyppinen, kaikki POLICYt ACCEPT) palomuurisäännöstö, joka rajoittaa ssh:n sisäverkkoon (salli sekä 172.21.* että 192.168.*) mutta sallii kaiken muun. Lokita blokatut paketit ja testaa mitä lokiin menee kun yrität ssh:lla ulkoverkosta sisään.

 4. Tee tunnus3:een palomuurisäännöstö, joka ei rajoita ulospäin menevää liikennettä mutta sallii sisäänpäin vain ssh:n ja http:n ja kaiken paluuliikenteen (OUTPUT POLICY ACCEPT, muut DROP). Lokita blokatut paketit. Testaa että kaikki toimii kuten pitää.

 5. Tee tunnus4:ään palomuurisäännöstö joka ei rajoita ulospäin menevää liikennettä mutta sallii sisäänpäin paluuliikenteen, ssh:n (kaikkialta) ja http:n vain tunnus2:sta. Lokita blokatut paketit. Testaa...

 6. Tee tunnus2:een mahdollisimman tiukat palomuuriasetukset (whitelisting, kaikki POLICYt DROP) niin, että kaikki välttämätön kuitenkin toimii: ssh vain sisäverkosta 172.21.* , http kaikkialta, ulospäin mitä tarvitaan, myös paluuliikenteestä vain välttämätön. Lokita taas blokatut paketit. Testaa että kaikki toimii (vihje: pääsetkö sisään myös nollattomalla tunnuksella?).