TIES478 Demo8

Kaikissa tehtävissä vanhaan tapaan tunnus on aina oma käyttäjätunnuksesi ja mahdolliset yllättävät ongelmat pitää ratkaista.

  1. Asenna itsellesi uusi virtuaalikone tunnus5 käyttäen preseed-tiedostoa. Tarkista koneenin IP-osoitteesta missä lonka-koneessa sen pitää olla (192.168.12X.nnn -> lonkaX). Käytä mallina tätä: preseed.cfg, muuta sinne koneen nimi, käyttäjätunnuksesi ja verkkoasetukset ja asenna näin:

    qemu-img create -f qcow2 /home/tunnus/tunnus5.img 8G
    virt-install -n tunnus5 --memory 512 \
    --disk /home/tunnus/tunnus5.img,bus=virtio \
    -l http://archive.ubuntu.com/ubuntu/dists/bionic/main/installer-amd64/ \
    -w network=default --initrd-inject preseed.cfg
    
  2. Muuta tunnus1:n palomuurisäännöt kireälle (kaikki POLICYt DROP) ja lisää sinne mitä tarvitaan että kaikki toimii yhä. Testaa erityisesti ftp sekä aktiivisena että passivisena jostain lonka-koneesta tyyliin

    wget ftp://tunnus1/tiedosto
    wget --no-passive-ftp ftp://tunnus1/tiedosto
    

  3. Varmista että tunnus2:n iptables lokittaa kaikki torjutut paketit (input ja output), poislukien mahdollisesti sellaiset jotka tiedät turhiksi (dokumentoi!), ja katso sen kernel-lokista (/var/log/kern.log) mitä se blokkaa. Tarkista blokattujen viestien porttinumerot (DPT ja SPT), selvitä mitä ne ovat ja lisää tarpeen mukaan sääntöjä po. pakettien sallimiseen.

  4. Konfiguroi tunnus2:n web-palvelin käyttämään https:ää LetsEncrypt-sertifikaatilla. Lisää tarvittaessa palomuuriin sääntöjä sitä varten.

  5. Jaa tunnus3:n kotihakemisto tunnus2:een NFS:llä. Tee molempiin tarvittavat palomuurisäädöt.

  6. Tee tunnus5:een tcp-wrapper säännöt (ei iptablesia), jotka sallivat ssh-yhteydet vain sen lonka-koneen sisäverkosta, jossa se on. (Jos se on lonkaX:ssa salli vain 192.168.12X.0/24.)