https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=LeelmikICO wiki - User contributions [en]2026-05-05T11:31:58ZUser contributionsMediaWiki 1.45.1https://wiki.itcollege.ee/index.php?title=E-posti_serveri_paigaldus&diff=33378E-posti serveri paigaldus2011-05-30T13:50:04Z<p>Leelmik: </p>
<hr />
<div>[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]<br />
<br />
Lembit Elmik AK21<br />
<br />
Ühte mailiserverit on ikka ja alati vaja. Domeeninimed on meil ka nüüd vabad ju. See on väike juhend sellest, kuidas paigaldada mailiserver, mille kasutajaid hoitakse lokaalse masina kasutajate asemel hoopis MySQL andmebaasis. Selles juhendis ei kaeta paljusid selliseid pisikesi, kuid olulisi vidinaid, mis muudaksid serveri vastupidavamaks. Näiteks võiks olla serveril SASL autentimine, viirusekontroll, rämpspostifilter jne. Meilide lugemiseks näiteks Mozilla Thunderbirdiga kasutan IMAP protokolli. See on POP3 asemel pisut toimivam näiteks juhul, kui postkast on silmini kirju täis. Lisavõimaluste kohta saab lugeda selle teksti kirjutamise (ja minu serveri konfimisel) abiks olnud veebiküljest. Kõigi seadistuste äratoomine siin poleks ilmselt eriti mõistlik.<br />
<br />
Eeldan, et kasutaja oskab elementaarsel tasemel kasutada tekstiredaktorit "vi"; saab aru, mis on meiliserver; teab, milleks on DNS jms. Muus osas on tegemist üsna täpselt sihile viiva juhendiga. Kõik siin kasutatavad pakid on ka ametlikult tasuta kättesaadavad.<br />
<br />
<br />
==Paigaldus==<br />
<br />
Alustuseks tuleks siis installeerida operatsioonisüsteem. Mina valisin selleks Ubuntu. Tundus lihtne ja pakihaldus pole ka hullu moodi keeruline.<br />
<br />
Nüüd tuleb kontrollida, kas vajalikud allikad on lubatud.<br />
sudo vi /etc/apt/source.list<br />
<br />
Põhimõtteliselt on vaja main ja universe pakke. Kuid ka multiverse ja restricted peaks olema piisavalt turvalised kasutada.<br />
<br />
Enne spetsiifiliste pakkide paigaldamist tuleb kindlasti süsteemi turva- ja muud paigad peale lasta.<br />
sudo aptitude update <br />
sudo aptitude safe-upgrade<br />
<br />
<br />
MySQL - andmebaasimootor<br />
sudo aptitude install mysql-client mysql-server<br />
Postfix - meiliserver<br />
sudo aptitude install postfix postfix-mysql<br />
phpMyAdmin - veebikonsool MySQL haldamiseks<br />
sudo aptitude install phpmyadmin<br />
Vali Yes, et seadistada. Sisesta root mysql password, sisesta phpmyadmin kasutaja password kaks korda. Nõustu, et veebiserverina kasutatakse apache2 veebiserverit.<br />
Courier - IMAP kasutamiseks<br />
sudo aptitude install courier-base courier-authdaemon courier-authlib-mysql courier-imap courier-imap-ssl courier-ssl <br />
Küsitakse web-kaustu. Võid vastata No. Samuti hoiatatakse sertifikaadi asukohast. Ära tee välja.<br />
<br />
Nüüd on vajalikud pakid paigaldatud.<br />
<br />
<br />
==Seadistamine==<br />
<br />
<br />
Alustuseks tuleks kontrollida, millised tegevused on tulemüüri poolt üldse lubatud. Tulemüüri tarkvarasid on ka mitmeid ning seetõttu tuleks vajalik seadistamine teha vastavalt sellele, millist müüri kasutatakse. Põhimõtted on ikkagi samad - vajalikud pordid peavad olema väljast sisse liikluseks avatud - SMTP, HTTP, IMAP, SSH<br />
<br />
*Postfix<br />
<br />
Pane oma serveri nimi kirja. Näiteks mail.minudomeen.ee kus minudomeen asenda oma domeeninimega.<br />
sudo vi /etc/mailname<br />
<br />
Nüüd ava peamine postfixi konfiguratsiooni fail.<br />
sudo vi /etc/postfix/main.cf<br />
Alustuseks määra ära oma serveri nimi<br />
# This is already done in /etc/mailname <br />
#myhostname= mail.example.com <br />
Järgmisena määra ära domeen, millelt saadetakse kirju. See võib olla terve serveri nimi või lihtsalt domeeninimi.domain name. <br />
# myorigin=/etc/mailname <br />
myorigin=example.com<br />
Nüüd otsusta, mida kirjutada tervituse bannerisse. Ei midagi sellist, mis potensiaalsele häkkerile abiks oleks...<br />
smtpd_banner = $myhostname ESMTP $mail_name<br />
Nüüd otsusta, kuidas kirjade saatmine toimub. Selleks on põhiliselt kaks võimalust. Saadad ise või läbi oma teenusepakkuja SMTP serveri. See sõltub ka sellest, mida sinu teenusepakkuja võimaldab. Ise saatmise võimalikud tagasilöögid on, et teenusepakkuja ei luba sul omal SMTP teenust jooksutada (pordid kinni), paljud meiliserverid ei võta dünaamilise DNS kirjega serveritelt kirju vastu ja sul on suurem võimalus enda paljastamiseks ründajatele. Ehk siis rohkem tööd oma serveriga. Samas on sul võimalik kirjade saatmist paremini manageerida.<br />
# leave blank to do it yourself <br />
relayhost =<br />
<br />
# or put it an accessible smtp server <br />
relayhost = smtp.yourisp.com<br />
Järgnusena võrgu seadistamine. Võta vastu ühendusi igalt poolt ja usalda vaid seda masinat.<br />
inet_interfaces = all<br />
mynetworks_style = host<br />
Sa võid maskeerida väljuvaid aadresseid. Näiteks sinu masina nimi on mail.domain.com aga sa ei taha, et väljuvale kiri saadetakse aadressilt username@mail.domain.com, vaid sa eelistad username@domain.com.<br />
# masquerade_domains = mail.example.com www.example.com !sub.dyndomain.com <br />
# masquerade_exceptions = root<br />
Kuna kasutame virtuaalseid domeene peavad need olema tühjad.<br />
local_recipient_maps =<br />
mydestination =<br />
Nüüd mõned numbrid.<br />
# kui pikalt oodata enne saatja teavitamist ebaõnnestunud saatmisest <br />
delay_warning_time = 4h<br />
# on see ajutine või lõplik viga <br />
unknown_local_recipient_reject_code = 450<br />
# kui kaua hoida kirja järjekorras enne vea andmist<br />
maximal_queue_lifetime = 7d<br />
# max ja min aeg sekundites enne kordussaatmist kui ühendus katkeb<br />
minimal_backoff_time = 1000s<br />
maximal_backoff_time = 8000s<br />
# kui kaua oodata serveriga ühenduse loomist<br />
smtp_helo_timeout = 60s<br />
# kui palju adressaate võib olla ühel kirjal - aitab masspostituse vastu<br />
smtpd_recipient_limit = 16<br />
# vigade arv taandumiseks<br />
smtpd_soft_error_limit = 3<br />
# vigade arv blokeerimiseks<br />
smtpd_hard_error_limit = 12<br />
Nüüd mõned piirangud. Iga seadistus on tegelikult ainult ühel real.<br />
# HELO sõnumi piirangud<br />
smtpd_helo_restrictions = permit_mynetworks, warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, permit<br />
# Saatja detailide piirangud<br />
smtpd_sender_restrictions = permit_mynetworks, warn_if_reject reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit<br />
# Piirangud ühenduvale serverile<br />
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client dnsbl.njabl.org<br />
# Saaja aadressi piirangud<br />
smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit<br />
smtpd_data_restrictions = reject_unauth_pipelining<br />
<br />
# Nõua korrektset HELO sõnumit<br />
smtpd_helo_required = yes<br />
# Kuluta spämmerite aega enne tagasilükkamist<br />
smtpd_delay_reject = yes<br />
disable_vrfy_command = yes<br />
Virtuaalse domeeni seadistused.<br />
alias_maps = hash:/etc/postfix/aliases<br />
alias_database = hash:/etc/postfix/aliases<br />
# kus asuvad virtuaalse postkasti kaustad<br />
virtual_mailbox_base = /var/spool/mail/virtual<br />
# iga postkasti asukoht igale kasutajale<br />
virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailbox.cf<br />
# aliastele<br />
virtual_alias_maps = mysql:/etc/postfix/mysql_alias.cf<br />
# domain lookups<br />
virtual_mailbox_domains = mysql:/etc/postfix/mysql_domains.cf<br />
# transport_maps = mysql:/etc/postfix/mysql_transport.cf<br />
Võid otsida üles kirja failide omaniku ja siis vaadata tema uid ja gid väärtused. Mina tegin selleks eraldi kasutaja (virtual) ja lisasin sellise rea:<br />
virtual_uid_maps = static:5000 virtual_gid_maps = static:5000<br />
Näitena minu /etc/passwd faili sisu selle kasutaja kohta:<br />
virtual:x:5000:5000::/home/virtual:/bin/sh<br />
<br />
Vaja on seadistada ka aliase fail. Seda kasutatakse vaid lokaalselt.<br />
sudo cp /etc/aliases /etc/postfix/aliases<br />
sudo postalias /etc/postfix/aliases<br />
<br />
Näitena minu /etc/aliases faili sisu:<br />
# See man 5 aliases for format<br />
postmaster: root<br />
clamav: root<br />
<br />
Nüüd tuleb luua kaust, kuhu virtuaalne post pannakse See võib olla ka juba apt-get poolt tehtud. Kindlasti loo ka kasutaja, kes oleks nende kaustade omanik.<br />
sudo mkdir /var/spool/mail/virtual<br />
sudo groupadd --system virtual -g 5000<br />
sudo useradd --system virtual -u 5000 -g 5000<br />
sudo chown -R virtual:virtual /var/spool/mail/virtual<br />
<br />
<br />
*Postfix'i MySQL seadistus<br />
<br />
Meil on vaja luua failid (hiljem ka kasutaja mysql'i), et teha päringuid andmebaasis. <br />
<br />
Loo (või vajadusel muuda) kasutaja mailbox'i asukoht<br />
sudo vi /etc/postfix/mysql_mailbox.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=users<br />
select_field=maildir<br />
where_field=id<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Kust leida emaili alias<br />
sudo vi /etc/postfix/mysql_alias.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=aliases<br />
select_field=destination<br />
where_field=mail<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Kust leida domeenid<br />
sudo vi /etc/postfix/mysql_domains.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=domains<br />
select_field=domain<br />
where_field=domain<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Pea meeles, et kui asendad hosts=127.0.0.1 hosti reaalse IP'ga, siis käib suhtlus üle TCP protokolli, mitte üle mysql liidese. Kindlasti kirjuta parooli kohale reaalne parool.<br />
<br />
<br />
*Andmebaas<br />
<br />
Nüüd on meil vaja luua reaalsed tabelid sellistele päringutele, mis me just kirjeldasime. Alustuseks on vaja luua kasutaja MySQL tarbeks. Siis tuleb luua andmebaas.<br />
<br />
Kui see ei ole juba tehtud paki installatsiooni käigus...<br />
mysqladmin -u root password new_password<br />
Logi root kasutajana sisse<br />
mysql -u root -p<br />
Sisesta root kasutaja parool<br />
Enter password:<br />
Loo maili andmebaas<br />
create database maildb;<br />
Loo uus kasutaja "mail"<br />
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON maildb.* TO 'mail'@'localhost' IDENTIFIED by 'mailPASSWORD';<br />
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON maildb.* TO 'mail'@'%' IDENTIFIED by 'mailPASSWORD';<br />
exit;<br />
<br />
Ilmselgelt tuleb mailPASSWORD asendada selle parooliga, mis eespool kirjeldatud :)<br />
<br />
Nüüd oleks vaja luua andmebaasi järgmised tabelid:<br />
* aliases<br />
* domains<br />
* users<br />
<br />
Hiljem saab neid vajadusel juurde luua. Praegu teeme ainult need, mida kohe on vaja.<br />
<br />
<br />
Logi sisse kasutades "mail" kontot<br />
mysql -u mail -p maildb<br />
Enter password:<br />
<br />
Jooksute läbi need käsud, et luua tabelid:<br />
CREATE TABLE `aliases` (<br />
`pkid` smallint(3) NOT NULL auto_increment,<br />
`mail` varchar(120) NOT NULL default '',<br />
`destination` varchar(120) NOT NULL default '',<br />
`enabled` tinyint(1) NOT NULL default '1',<br />
PRIMARY KEY (`pkid`),<br />
UNIQUE KEY `mail` (`mail`)<br />
) ;<br />
<br />
CREATE TABLE `domains` (<br />
`pkid` smallint(6) NOT NULL auto_increment,<br />
`domain` varchar(120) NOT NULL default '',<br />
`transport` varchar(120) NOT NULL default 'virtual:',<br />
`enabled` tinyint(1) NOT NULL default '1',<br />
PRIMARY KEY (`pkid`)<br />
) ;<br />
<br />
CREATE TABLE `users` (<br />
`id` varchar(128) NOT NULL default '',<br />
`name` varchar(128) NOT NULL default '',<br />
`uid` smallint(5) unsigned NOT NULL default '5000',<br />
`gid` smallint(5) unsigned NOT NULL default '5000',<br />
`home` varchar(255) NOT NULL default '/var/spool/mail/virtual',<br />
`maildir` varchar(255) NOT NULL default 'blah/',<br />
`enabled` tinyint(3) unsigned NOT NULL default '1',<br />
`change_password` tinyint(3) unsigned NOT NULL default '1',<br />
`clear` varchar(128) NOT NULL default 'ChangeMe',<br />
`crypt` varchar(128) NOT NULL default 'sdtrusfX0Jj66',<br />
`quota` varchar(255) NOT NULL default '',<br />
`procmailrc` varchar(128) NOT NULL default '',<br />
`spamassassinrc` varchar(128) NOT NULL default '',<br />
PRIMARY KEY (`id`), UNIQUE KEY `id` (`id`)<br />
) ;<br />
<br />
Et näha seda, mis sai just tehtud:<br />
describe aliases;<br />
describe domains;<br />
describe users;<br />
Väljumiseks<br />
exit;<br />
<br />
Järgmiseda muudame MySQL'i my.cnf faili. Ubuntus on see juba vaikimisi loodud. Mandrakes tuleb see fail endal tekitada. Konfigureerida on seda igal juhul vaja.<br />
sudo vi /etc/mysql/my.cnf<br />
<br />
Eelmistes versioonides oli vaja välja kommenteerida rida<br />
#skip-networking<br />
Tänapäeval seotakse bind-aadress localhostiga. <br />
bind-address = 127.0.0.1 <br />
Üsna heaks abiks on alguses logida üles kõik SQL päringud. Seega luba järgnevad read.<br />
general_log_file = /var/log/mysql/mysql.log<br />
general_log = 1 <br />
Paari nädala pärast, kui kõik on korras, võid need uuesti välja kommenteerida. Logimine muudab MySQL'i lihtsalt aeglasemaks.<br />
<br />
Restardi MySQL, et see korjaks külge uued seadistused.<br />
sudo /etc/init.d/mysql restart<br />
<br />
<br />
*Courier IMAP<br />
<br />
Järgnevalt mõned asjad, mida on tarvis muuta:<br />
sudo vi /etc/courier/authdaemonrc <br />
Autentimine MySQL-põhiseks<br />
authmodulelist="authmysql" <br />
Luba logimine.<br />
DEBUG_LOGIN=2<br />
<br />
sudo vi /etc/courier/authmysqlrc <br />
Kasutajanimi<br />
MYSQL_USERNAME mail <br />
Parool<br />
MYSQL_PASSWORD mailPASSWORD <br />
Baasi nimi<br />
MYSQL_DATABASE maildb <br />
Kasutajate tabeli nimi<br />
MYSQL_USER_TABLE users <br />
Krüptitud parooli hoidmine olgu sisse kommenteeritud<br />
MYSQL_CRYPT_PWFIELD crypt <br />
Teksti kujul paroolide hoidmine kommenteeri välja<br />
# MYSQL_CLEAR_PWFIELD clear <br />
Maildir asukoht<br />
MYSQL_MAILDIR_FIELD concat(home,'/',maildir) <br />
MYSQL_WHERE_CLAUSE enabled=1<br />
<br />
Lõpetuseks võid vaadata IMAP'i konfi faili, kuid seal pole muudatusi vaja teha.<br />
vi /etc/courier/imapd<br />
<br />
<br />
Sul on nüüd olemas oma esmane meiliserver! Aga see ei tööta, sest sul pole ühtegi kasutajat ega domeeni...<br />
<br />
Kõigepealt tuleks natuke andmeid baasi lisada.<br />
<br />
Enne kirjade saatmist proovi kirju vastu võtta. (Mõnelt teiselt aadressilt saates.) Kui kirjad jõuavad kohale ja maili-kaustad on automaatselt loodud, alles siis proovi reaalselt ka lugeda kohale tulnud kirju.<br />
<br />
==Andmete lisamine baasi==<br />
<br />
*Kasutajate ja domeenide lisamine<br />
<br />
Meil on nüüd täitsa oma mailiserver püsti pandud. Ainult, et seal pole tegelikult suurt midagi - ei kasutajaid, ei domeene...<br />
Alustuseks lisamine mõned vaikeväärtused, siis nõutud andmeid ja siis veidi neid, mis on lihtsalt mõistlikud.<br />
Siis lisame oma kasutajad ja domeenid<br />
<br />
*Nõutud domeenid ja kasutajad<br />
<br />
Alustuseks nõutud domeenid kohaliku maili jaoks<br />
Siin saad kasutada näiteks phpMyAdmin liidest või siis käsurea MYSQL'i<br />
INSERT INTO domains (domain) VALUES<br />
('localhost'),<br />
('localhost.localdomain');<br />
<br />
Nüüd mõned vaikimisi aliased. Kõiki neid pole ehk isegi vaja, kuid viisakas on need siiski luua.<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('postmaster@localhost','root@localhost'),<br />
('sysadmin@localhost','root@localhost'),<br />
('webmaster@localhost','root@localhost'),<br />
('abuse@localhost','root@localhost'),<br />
('root@localhost','root@localhost'),<br />
('@localhost','root@localhost'),<br />
('@localhost.localdomain','@localhost');<br />
<br />
Root kasutaja.<br />
INSERT INTO users (id,name,maildir,crypt) VALUES<br />
('root@localhost','root','root/', encrypt('apassword') );<br />
<br />
<br />
*Domeenid ja kasutajad<br />
<br />
Nüüd lisame juba õiged oma andmed.<br />
Oletame, et sa soovid, et see sinu server teenindaks väljamõeldud domeeni kirju: "itk.org".<br />
Sel juhul ütled , et selle masina nimi on "mail.itk.org".<br />
<br />
INSERT INTO domains (domain) VALUES<br />
('itk.org'), ('mail.itk.org');<br />
<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('@mail.itk.org','@itk.org'),<br />
('postmaster@itk.org','postmaster@localhost'),<br />
('abuse@itk.org','abuse@localhost');<br />
<br />
Sul on ka kasutajad Malle ja Kalle.<br />
INSERT INTO users (id,name,maildir,crypt) VALUES<br />
('malle@itk.org','malle','malle/', encrypt('apassword') ),<br />
('kalle@itk.org','kalle','kalle/', encrypt('anotherpassword') );<br />
<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('malle@itk.org','malle@itk.org'),<br />
('kalle@itk.org','kalle@itk.org');<br />
<br />
Eksisteerib ka kasutaja Karl, aga ta tahab, et kõik tema kirjad saadetaks edasi välisele meiliaadressile.<br />
INSERT INTO aliases (mail,destination) VALUES ('karl@itk.org','karl@gmail.com');<br />
<br />
Mõned seletused kasutatud muutujate kohta. <br />
<br />
Kasutaja loomine täidab ära 4 välja. <br />
ID on kasutaja e-maili aadressi. See on ka kasutajanimi sisselogimisel.<br />
NAME on kasutaja kirjeldus.<br />
MAILDIR on /var/spool/mail/virtual sees olev kaust. see peab lõppema / märgiga, vastasel juhul ei osata seda maildir'na kasutada.<br />
CRYPT on siis parool krüptitud kujul.<br />
<br />
<br />
Ja ongi server valmis. Kõigi eelduste kohaselt ka toimiv. Veaotsingul aitab jällegi kasutatud kirjanduse all esimene link.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
http://flurdy.com/docs/postfix/<br /><br />
Väga tugevalt aitab antud juhendit ellu viia Antti Andreimann'i materjal Linuxi administreerimise kohta.<br /><br />
http://www.postfix.org/<br /><br />
http://www.courier-mta.org/<br /><br />
http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=E-posti_serveri_paigaldus&diff=33377E-posti serveri paigaldus2011-05-30T13:42:55Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Ühte mailiserverit on ikka ja alati vaja. Domeeninimed on meil ka nüüd vabad ju. See on väike juhend sellest, kuidas paigaldada mailiserver, mille kasutajaid hoitakse lokaalse masina kasutajate asemel hoopis MySQL andmebaasis. Selles juhendis ei kaeta paljusid selliseid pisikesi, kuid olulisi vidinaid, mis muudaksid serveri vastupidavamaks. Näiteks võiks olla serveril SASL autentimine, viirusekontroll, rämpspostifilter jne. Meilide lugemiseks näiteks Mozilla Thunderbirdiga kasutan IMAP protokolli. See on POP3 asemel pisut toimivam näiteks juhul, kui postkast on silmini kirju täis. Lisavõimaluste kohta saab lugeda selle teksti kirjutamise (ja minu serveri konfimisel) abiks olnud veebiküljest. Kõigi seadistuste äratoomine siin poleks ilmselt eriti mõistlik.<br />
<br />
Eeldan, et kasutaja oskab elementaarsel tasemel kasutada tekstiredaktorit "vi"; saab aru, mis on meiliserver; teab, milleks on DNS jms. Muus osas on tegemist üsna täpselt sihile viiva juhendiga. Kõik siin kasutatavad pakid on ka ametlikult tasuta kättesaadavad.<br />
<br />
<br />
==Paigaldus==<br />
<br />
Alustuseks tuleks siis installeerida operatsioonisüsteem. Mina valisin selleks Ubuntu. Tundus lihtne ja pakihaldus pole ka hullu moodi keeruline.<br />
<br />
Nüüd tuleb kontrollida, kas vajalikud allikad on lubatud.<br />
sudo vi /etc/apt/source.list<br />
<br />
Põhimõtteliselt on vaja main ja universe pakke. Kuid ka multiverse ja restricted peaks olema piisavalt turvalised kasutada.<br />
<br />
Enne spetsiifiliste pakkide paigaldamist tuleb kindlasti süsteemi turva- ja muud paigad peale lasta.<br />
sudo aptitude update <br />
sudo aptitude safe-upgrade<br />
<br />
<br />
MySQL - andmebaasimootor<br />
sudo aptitude install mysql-client mysql-server<br />
Postfix - meiliserver<br />
sudo aptitude install postfix postfix-mysql<br />
phpMyAdmin - veebikonsool MySQL haldamiseks<br />
sudo aptitude install phpmyadmin<br />
Vali Yes, et seadistada. Sisesta root mysql password, sisesta phpmyadmin kasutaja password kaks korda. Nõustu, et veebiserverina kasutatakse apache2 veebiserverit.<br />
Courier - IMAP kasutamiseks<br />
sudo aptitude install courier-base courier-authdaemon courier-authlib-mysql courier-imap courier-imap-ssl courier-ssl <br />
Küsitakse web-kaustu. Võid vastata No. Samuti hoiatatakse sertifikaadi asukohast. Ära tee välja.<br />
<br />
Nüüd on vajalikud pakid paigaldatud.<br />
<br />
<br />
==Seadistamine==<br />
<br />
<br />
Alustuseks tuleks kontrollida, millised tegevused on tulemüüri poolt üldse lubatud. Tulemüüri tarkvarasid on ka mitmeid ning seetõttu tuleks vajalik seadistamine teha vastavalt sellele, millist müüri kasutatakse. Põhimõtted on ikkagi samad - vajalikud pordid peavad olema väljast sisse liikluseks avatud - SMTP, HTTP, IMAP, SSH<br />
<br />
*Postfix<br />
<br />
Pane oma serveri nimi kirja. Näiteks mail.minudomeen.ee kus minudomeen asenda oma domeeninimega.<br />
sudo vi /etc/mailname<br />
<br />
Nüüd ava peamine postfixi konfiguratsiooni fail.<br />
sudo vi /etc/postfix/main.cf<br />
Alustuseks määra ära oma serveri nimi<br />
# This is already done in /etc/mailname <br />
#myhostname= mail.example.com <br />
Järgmisena määra ära domeen, millelt saadetakse kirju. See võib olla terve serveri nimi või lihtsalt domeeninimi.domain name. <br />
# myorigin=/etc/mailname <br />
myorigin=example.com<br />
Nüüd otsusta, mida kirjutada tervituse bannerisse. Ei midagi sellist, mis potensiaalsele häkkerile abiks oleks...<br />
smtpd_banner = $myhostname ESMTP $mail_name<br />
Nüüd otsusta, kuidas kirjade saatmine toimub. Selleks on põhiliselt kaks võimalust. Saadad ise või läbi oma teenusepakkuja SMTP serveri. See sõltub ka sellest, mida sinu teenusepakkuja võimaldab. Ise saatmise võimalikud tagasilöögid on, et teenusepakkuja ei luba sul omal SMTP teenust jooksutada (pordid kinni), paljud meiliserverid ei võta dünaamilise DNS kirjega serveritelt kirju vastu ja sul on suurem võimalus enda paljastamiseks ründajatele. Ehk siis rohkem tööd oma serveriga. Samas on sul võimalik kirjade saatmist paremini manageerida.<br />
# leave blank to do it yourself <br />
relayhost =<br />
<br />
# or put it an accessible smtp server <br />
relayhost = smtp.yourisp.com<br />
Järgnusena võrgu seadistamine. Võta vastu ühendusi igalt poolt ja usalda vaid seda masinat.<br />
inet_interfaces = all<br />
mynetworks_style = host<br />
Sa võid maskeerida väljuvaid aadresseid. Näiteks sinu masina nimi on mail.domain.com aga sa ei taha, et väljuvale kiri saadetakse aadressilt username@mail.domain.com, vaid sa eelistad username@domain.com.<br />
# masquerade_domains = mail.example.com www.example.com !sub.dyndomain.com <br />
# masquerade_exceptions = root<br />
Kuna kasutame virtuaalseid domeene peavad need olema tühjad.<br />
local_recipient_maps =<br />
mydestination =<br />
Nüüd mõned numbrid.<br />
# kui pikalt oodata enne saatja teavitamist ebaõnnestunud saatmisest <br />
delay_warning_time = 4h<br />
# on see ajutine või lõplik viga <br />
unknown_local_recipient_reject_code = 450<br />
# kui kaua hoida kirja järjekorras enne vea andmist<br />
maximal_queue_lifetime = 7d<br />
# max ja min aeg sekundites enne kordussaatmist kui ühendus katkeb<br />
minimal_backoff_time = 1000s<br />
maximal_backoff_time = 8000s<br />
# kui kaua oodata serveriga ühenduse loomist<br />
smtp_helo_timeout = 60s<br />
# kui palju adressaate võib olla ühel kirjal - aitab masspostituse vastu<br />
smtpd_recipient_limit = 16<br />
# vigade arv taandumiseks<br />
smtpd_soft_error_limit = 3<br />
# vigade arv blokeerimiseks<br />
smtpd_hard_error_limit = 12<br />
Nüüd mõned piirangud. Iga seadistus on tegelikult ainult ühel real.<br />
# HELO sõnumi piirangud<br />
smtpd_helo_restrictions = permit_mynetworks, warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, permit<br />
# Saatja detailide piirangud<br />
smtpd_sender_restrictions = permit_mynetworks, warn_if_reject reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit<br />
# Piirangud ühenduvale serverile<br />
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client dnsbl.njabl.org<br />
# Saaja aadressi piirangud<br />
smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit<br />
smtpd_data_restrictions = reject_unauth_pipelining<br />
<br />
# Nõua korrektset HELO sõnumit<br />
smtpd_helo_required = yes<br />
# Kuluta spämmerite aega enne tagasilükkamist<br />
smtpd_delay_reject = yes<br />
disable_vrfy_command = yes<br />
Virtuaalse domeeni seadistused.<br />
alias_maps = hash:/etc/postfix/aliases<br />
alias_database = hash:/etc/postfix/aliases<br />
# kus asuvad virtuaalse postkasti kaustad<br />
virtual_mailbox_base = /var/spool/mail/virtual<br />
# iga postkasti asukoht igale kasutajale<br />
virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailbox.cf<br />
# aliastele<br />
virtual_alias_maps = mysql:/etc/postfix/mysql_alias.cf<br />
# domain lookups<br />
virtual_mailbox_domains = mysql:/etc/postfix/mysql_domains.cf<br />
# transport_maps = mysql:/etc/postfix/mysql_transport.cf<br />
Võid otsida üles kirja failide omaniku ja siis vaadata tema uid ja gid väärtused. Mina tegin selleks eraldi kasutaja (virtual) ja lisasin sellise rea:<br />
virtual_uid_maps = static:5000 virtual_gid_maps = static:5000<br />
Näitena minu /etc/passwd faili sisu selle kasutaja kohta:<br />
virtual:x:5000:5000::/home/virtual:/bin/sh<br />
<br />
Vaja on seadistada ka aliase fail. Seda kasutatakse vaid lokaalselt.<br />
sudo cp /etc/aliases /etc/postfix/aliases<br />
sudo postalias /etc/postfix/aliases<br />
<br />
Näitena minu /etc/aliases faili sisu:<br />
# See man 5 aliases for format<br />
postmaster: root<br />
clamav: root<br />
<br />
Nüüd tuleb luua kaust, kuhu virtuaalne post pannakse See võib olla ka juba apt-get poolt tehtud. Kindlasti loo ka kasutaja, kes oleks nende kaustade omanik.<br />
sudo mkdir /var/spool/mail/virtual<br />
sudo groupadd --system virtual -g 5000<br />
sudo useradd --system virtual -u 5000 -g 5000<br />
sudo chown -R virtual:virtual /var/spool/mail/virtual<br />
<br />
<br />
*Postfix'i MySQL seadistus<br />
<br />
Meil on vaja luua failid (hiljem ka kasutaja mysql'i), et teha päringuid andmebaasis. <br />
<br />
Loo (või vajadusel muuda) kasutaja mailbox'i asukoht<br />
sudo vi /etc/postfix/mysql_mailbox.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=users<br />
select_field=maildir<br />
where_field=id<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Kust leida emaili alias<br />
sudo vi /etc/postfix/mysql_alias.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=aliases<br />
select_field=destination<br />
where_field=mail<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Kust leida domeenid<br />
sudo vi /etc/postfix/mysql_domains.cf<br />
<br />
user=mail<br />
password=mailPASSWORD<br />
dbname=maildb<br />
table=domains<br />
select_field=domain<br />
where_field=domain<br />
hosts=127.0.0.1<br />
additional_conditions = and enabled = 1<br />
<br />
Pea meeles, et kui asendad hosts=127.0.0.1 hosti reaalse IP'ga, siis käib suhtlus üle TCP protokolli, mitte üle mysql liidese. Kindlasti kirjuta parooli kohale reaalne parool.<br />
<br />
<br />
*Andmebaas<br />
<br />
Nüüd on meil vaja luua reaalsed tabelid sellistele päringutele, mis me just kirjeldasime. Alustuseks on vaja luua kasutaja MySQL tarbeks. Siis tuleb luua andmebaas.<br />
<br />
Kui see ei ole juba tehtud paki installatsiooni käigus...<br />
mysqladmin -u root password new_password<br />
Logi root kasutajana sisse<br />
mysql -u root -p<br />
Sisesta root kasutaja parool<br />
Enter password:<br />
Loo maili andmebaas<br />
create database maildb;<br />
Loo uus kasutaja "mail"<br />
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON maildb.* TO 'mail'@'localhost' IDENTIFIED by 'mailPASSWORD';<br />
GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP ON maildb.* TO 'mail'@'%' IDENTIFIED by 'mailPASSWORD';<br />
exit;<br />
<br />
Ilmselgelt tuleb mailPASSWORD asendada selle parooliga, mis eespool kirjeldatud :)<br />
<br />
Nüüd oleks vaja luua andmebaasi järgmised tabelid:<br />
* aliases<br />
* domains<br />
* users<br />
<br />
Hiljem saab neid vajadusel juurde luua. Praegu teeme ainult need, mida kohe on vaja.<br />
<br />
<br />
Logi sisse kasutades "mail" kontot<br />
mysql -u mail -p maildb<br />
Enter password:<br />
<br />
Jooksute läbi need käsud, et luua tabelid:<br />
CREATE TABLE `aliases` (<br />
`pkid` smallint(3) NOT NULL auto_increment,<br />
`mail` varchar(120) NOT NULL default '',<br />
`destination` varchar(120) NOT NULL default '',<br />
`enabled` tinyint(1) NOT NULL default '1',<br />
PRIMARY KEY (`pkid`),<br />
UNIQUE KEY `mail` (`mail`)<br />
) ;<br />
<br />
CREATE TABLE `domains` (<br />
`pkid` smallint(6) NOT NULL auto_increment,<br />
`domain` varchar(120) NOT NULL default '',<br />
`transport` varchar(120) NOT NULL default 'virtual:',<br />
`enabled` tinyint(1) NOT NULL default '1',<br />
PRIMARY KEY (`pkid`)<br />
) ;<br />
<br />
CREATE TABLE `users` (<br />
`id` varchar(128) NOT NULL default '',<br />
`name` varchar(128) NOT NULL default '',<br />
`uid` smallint(5) unsigned NOT NULL default '5000',<br />
`gid` smallint(5) unsigned NOT NULL default '5000',<br />
`home` varchar(255) NOT NULL default '/var/spool/mail/virtual',<br />
`maildir` varchar(255) NOT NULL default 'blah/',<br />
`enabled` tinyint(3) unsigned NOT NULL default '1',<br />
`change_password` tinyint(3) unsigned NOT NULL default '1',<br />
`clear` varchar(128) NOT NULL default 'ChangeMe',<br />
`crypt` varchar(128) NOT NULL default 'sdtrusfX0Jj66',<br />
`quota` varchar(255) NOT NULL default '',<br />
`procmailrc` varchar(128) NOT NULL default '',<br />
`spamassassinrc` varchar(128) NOT NULL default '',<br />
PRIMARY KEY (`id`), UNIQUE KEY `id` (`id`)<br />
) ;<br />
<br />
Et näha seda, mis sai just tehtud:<br />
describe aliases;<br />
describe domains;<br />
describe users;<br />
Väljumiseks<br />
exit;<br />
<br />
Järgmiseda muudame MySQL'i my.cnf faili. Ubuntus on see juba vaikimisi loodud. Mandrakes tuleb see fail endal tekitada. Konfigureerida on seda igal juhul vaja.<br />
sudo vi /etc/mysql/my.cnf<br />
<br />
Eelmistes versioonides oli vaja välja kommenteerida rida<br />
#skip-networking<br />
Tänapäeval seotakse bind-aadress localhostiga. <br />
bind-address = 127.0.0.1 <br />
Üsna heaks abiks on alguses logida üles kõik SQL päringud. Seega luba järgnevad read.<br />
general_log_file = /var/log/mysql/mysql.log<br />
general_log = 1 <br />
Paari nädala pärast, kui kõik on korras, võid need uuesti välja kommenteerida. Logimine muudab MySQL'i lihtsalt aeglasemaks.<br />
<br />
Restardi MySQL, et see korjaks külge uued seadistused.<br />
sudo /etc/init.d/mysql restart<br />
<br />
<br />
*Courier IMAP<br />
<br />
Järgnevalt mõned asjad, mida on tarvis muuta:<br />
sudo vi /etc/courier/authdaemonrc <br />
Autentimine MySQL-põhiseks<br />
authmodulelist="authmysql" <br />
Luba logimine.<br />
DEBUG_LOGIN=2<br />
<br />
sudo vi /etc/courier/authmysqlrc <br />
Kasutajanimi<br />
MYSQL_USERNAME mail <br />
Parool<br />
MYSQL_PASSWORD mailPASSWORD <br />
Baasi nimi<br />
MYSQL_DATABASE maildb <br />
Kasutajate tabeli nimi<br />
MYSQL_USER_TABLE users <br />
Krüptitud parooli hoidmine olgu sisse kommenteeritud<br />
MYSQL_CRYPT_PWFIELD crypt <br />
Teksti kujul paroolide hoidmine kommenteeri välja<br />
# MYSQL_CLEAR_PWFIELD clear <br />
Maildir asukoht<br />
MYSQL_MAILDIR_FIELD concat(home,'/',maildir) <br />
MYSQL_WHERE_CLAUSE enabled=1<br />
<br />
Lõpetuseks võid vaadata IMAP'i konfi faili, kuid seal pole muudatusi vaja teha.<br />
vi /etc/courier/imapd<br />
<br />
<br />
Sul on nüüd olemas oma esmane meiliserver! Aga see ei tööta, sest sul pole ühtegi kasutajat ega domeeni...<br />
<br />
Kõigepealt tuleks natuke andmeid baasi lisada.<br />
<br />
Enne kirjade saatmist proovi kirju vastu võtta. (Mõnelt teiselt aadressilt saates.) Kui kirjad jõuavad kohale ja maili-kaustad on automaatselt loodud, alles siis proovi reaalselt ka lugeda kohale tulnud kirju.<br />
<br />
==Andmete lisamine baasi==<br />
<br />
*Kasutajate ja domeenide lisamine<br />
<br />
Meil on nüüd täitsa oma mailiserver püsti pandud. Ainult, et seal pole tegelikult suurt midagi - ei kasutajaid, ei domeene...<br />
Alustuseks lisamine mõned vaikeväärtused, siis nõutud andmeid ja siis veidi neid, mis on lihtsalt mõistlikud.<br />
Siis lisame oma kasutajad ja domeenid<br />
<br />
*Nõutud domeenid ja kasutajad<br />
<br />
Alustuseks nõutud domeenid kohaliku maili jaoks<br />
Siin saad kasutada näiteks phpMyAdmin liidest või siis käsurea MYSQL'i<br />
INSERT INTO domains (domain) VALUES<br />
('localhost'),<br />
('localhost.localdomain');<br />
<br />
Nüüd mõned vaikimisi aliased. Kõiki neid pole ehk isegi vaja, kuid viisakas on need siiski luua.<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('postmaster@localhost','root@localhost'),<br />
('sysadmin@localhost','root@localhost'),<br />
('webmaster@localhost','root@localhost'),<br />
('abuse@localhost','root@localhost'),<br />
('root@localhost','root@localhost'),<br />
('@localhost','root@localhost'),<br />
('@localhost.localdomain','@localhost');<br />
<br />
Root kasutaja.<br />
INSERT INTO users (id,name,maildir,crypt) VALUES<br />
('root@localhost','root','root/', encrypt('apassword') );<br />
<br />
<br />
*Domeenid ja kasutajad<br />
<br />
Nüüd lisame juba õiged oma andmed.<br />
Oletame, et sa soovid, et see sinu server teenindaks väljamõeldud domeeni kirju: "itk.org".<br />
Sel juhul ütled , et selle masina nimi on "mail.itk.org".<br />
<br />
INSERT INTO domains (domain) VALUES<br />
('itk.org'), ('mail.itk.org');<br />
<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('@mail.itk.org','@itk.org'),<br />
('postmaster@itk.org','postmaster@localhost'),<br />
('abuse@itk.org','abuse@localhost');<br />
<br />
Sul on ka kasutajad Malle ja Kalle.<br />
INSERT INTO users (id,name,maildir,crypt) VALUES<br />
('malle@itk.org','malle','malle/', encrypt('apassword') ),<br />
('kalle@itk.org','kalle','kalle/', encrypt('anotherpassword') );<br />
<br />
INSERT INTO aliases (mail,destination) VALUES<br />
('malle@itk.org','malle@itk.org'),<br />
('kalle@itk.org','kalle@itk.org');<br />
<br />
Eksisteerib ka kasutaja Karl, aga ta tahab, et kõik tema kirjad saadetaks edasi välisele meiliaadressile.<br />
INSERT INTO aliases (mail,destination) VALUES ('karl@itk.org','karl@gmail.com');<br />
<br />
Mõned seletused kasutatud muutujate kohta. <br />
<br />
Kasutaja loomine täidab ära 4 välja. <br />
ID on kasutaja e-maili aadressi. See on ka kasutajanimi sisselogimisel.<br />
NAME on kasutaja kirjeldus.<br />
MAILDIR on /var/spool/mail/virtual sees olev kaust. see peab lõppema / märgiga, vastasel juhul ei osata seda maildir'na kasutada.<br />
CRYPT on siis parool krüptitud kujul.<br />
<br />
<br />
Ja ongi server valmis. Kõigi eelduste kohaselt ka toimiv. Veaotsingul aitab jällegi kasutatud kirjanduse all esimene link.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
http://flurdy.com/docs/postfix/<br /><br />
Väga tugevalt aitab antud juhendit ellu viia Antti Andreimann'i materjal Linuxi administreerimise kohta.<br /><br />
http://www.postfix.org/<br /><br />
http://www.courier-mta.org/<br /><br />
http://www.howtoforge.com/virtual-users-domains-postfix-courier-mysql-squirrelmail-ubuntu8.04</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=Operatsioonis%C3%BCsteemide_referaadid_2011_kevad&diff=33376Operatsioonisüsteemide referaadid 2011 kevad2011-05-30T13:31:36Z<p>Leelmik: /* Lembit Elmik AK21 */</p>
<hr />
<div>=Kaugõpe=<br />
==Rene Albin AK31==<br />
[[nginx]] -Valmis ülevaatamiseks - Hinne sees [[User:Mernits|Mernits]] 16:45, 28 May 2011 (EEST)<br />
<br />
==Lembit Elmik AK21==<br />
<br />
[[E-posti serveri paigaldus]]<br />
<br />
==Aleksei Issaikin AK21==<br />
[[Ubuntu Serveri Install OS admin laborite tegemiseks]] - Valmis ülevaatamiseks <br />
<br />
Retsents [https://wiki.itcollege.ee/index.php/Talk:FreeBSD_Packet_Filter_tulem%C3%BC%C3%BCriga FreeBSD Packet Filter tulemüüriga] - Hinnang sisse kantud [[User:Mernits|Mernits]] 12:33, 7 May 2011 (EEST)<br />
<br />
==Andre Jõgi AK21== <br />
==Pavel Kodotšigov AK22==<br />
<br />
[[FreeBSD Packet Filter tulemüüriga]] - Valmis ülevaatamiseks.<br />
<br />
Retsents [https://wiki.itcollege.ee/index.php/Talk:Htop htop]<br />
<br />
Hinded sisse kantud [[User:Mernits|Mernits]] 12:29, 7 May 2011 (EEST)<br />
<br />
==Ivo Kruusamäe AK21==<br />
<br />
[[Gzip]] - Valmis ülevaatamiseks<br />
<br />
Retsensioon: [[Talk:Cat]]<br />
<br />
==Andres Kõrvemaa AK21==<br />
<br />
[[Dig]] - Valmis ülevaatamiseks 19:24, 17 Aprill 2011 (EEST)<br />
<br />
Retsensioon [[Talk:Gzip]] --[[User:akorvema|akorvema]] 18:27, 8 May 2011 (EEST)<br />
<br />
==Lauri Liibert AK21==<br />
[[Sertifikaatide_haldamine_openssl_abil]] Valmis ülevaatamiseks<br />
<br />
Retsensioon [[Talk:Bonnie%2B%2B]]<br />
<br />
Retsensioon valmis [[Talk:Sertifikaatide_haldamine_openssl_abil]] --[[User:Ttoomema|Ttoomema]] 14:32, 17.05.2011<br />
<br />
==Siim Kullerkupp AK21==<br />
[[Bonnie++]] Valmis ülevaatamiseks<br />
<br />
==Märt Lindre AK21==<br />
<br />
[[Linux saaleala ehk swap]] [[User:Mlindre|Mlindre]] 15:27, 15 April 2011 (EEST)<br />
<br />
Retsensioon [https://wiki.itcollege.ee/index.php/Talk:Netcat[Netcat]]<br />
<br />
Retsentseerija : [[User:Hvosujal|Hvosujal]] 10:01 16.05.2011<br />
<br />
==Rasmus Linnamäe AK22==<br />
[[ Netcat]] Valmis ülevaatamiseks 22:40, 17 Aprill 2011 (EEST) <br />
<br />
Retsensioon : [[Talk:NTFS_vs_Ext4]]<br />
<br />
==Priit Lume AK31==<br />
<br />
[[Tshark]] ülevaatamiseks valmis 22:45, 17 April 2011 (EEST)<br />
<br />
Restsensioon [https://wiki.itcollege.ee/index.php/Talk:Date[Date]]<br />
<br />
==Tiit Maripuu AK22==<br />
<br />
[[inetd]] (valmis hindamiseks ja arvustamiseks 10.05.11)<br />
<br />
Retsensioon: [[Talk:Iozone]]<br />
<br />
==Marko Megerild AK21== <br />
==Artur Mölter AK22==<br />
[[Iozone]] - Valmis ülevaatamiseks<br />
<br />
==Margus Nairis AK31==<br />
<br />
[[Wireshark]] Valmis ülevaatamiseks. - Hinnatud [[User:Mernits|Mernits]] 13:03, 27 May 2011 (EEST)<br />
<br />
==Karel Niine AK22==<br />
[[PXE boot]] (Preboot Execution Environment)<br />
<br />
Retsensioon [[Talk:Dig]] --[[User:Kniine|Kniine]] 21:18, 4 May 2011 (EEST)<br />
<br />
==Ulvar Petmanson AK22==<br />
[[Signaalid ja kill]] - valmis<br />
<br />
Arvustus [[Talk:Type]]<br />
<br />
==Märten Rodes AK22==<br />
[[htop]]<br />
<br />
Hinnatud [[Talk:PXE boot]]<br />
<br />
==Tanel Štaub AK22==<br />
[[Type]] Hindamiseks valmis<br />
<br />
==Alvar Teearu AK31==<br />
KVM https://wiki.itcollege.ee/index.php/KVM<br />
<br><br />
Arvustus https://wiki.itcollege.ee/index.php/Talk:Wireshark - OK [[User:Mernits|Mernits]] 13:02, 27 May 2011 (EEST)<br />
<br />
==Aleksei Timošenko AK21==<br />
=Päevaõpe=<br />
<br />
==Rasmus Aav A21==<br />
==Pavel Abin 12==<br />
==Allar Adoberg A22==<br />
[[VirtualBoxi võrgud]] - Hindamiseks valmis.<br />
<br />
Retsensioon - https://wiki.itcollege.ee/index.php/Talk:Dpkg Hinne sees [[User:Mernits|Mernits]] 12:41, 26 May 2011 (EEST)<br />
<br />
==Arvi Alamaa A21==<br />
[[apticron]] - valmis ülevaatamiseks 02.05.2011 - Hindab Meelis Tamm - valmis hindamiseks<br> <br />
Retsensioon - [https://wiki.itcollege.ee/index.php/Talk:Debiani_paki_loomine Debiani paki loomine] 15.05.2011<br />
<br />
==Ivar Ambos A22==<br />
[[Munin]] valmis ülevaatamiseks. (retsenseerib Sten Vaisma A22)<br />
<br />
Retsensioon [https://wiki.itcollege.ee/index.php/Talk:Adduser_%26_useradd adduser ja useradd]<br />
<br />
==Sergei Gorjunov A21==<br />
[[Port knocking]] ülevaatamiseks valmis<br />
<br />
[[Talk:Port_knocking]] Risto Siitan<br />
<br />
[[Talk:Ps]]<br />
<br />
==Merili Gutmann A31==<br />
[[Lsof]] on valmis ülevaatamiseks.(Hindab Arto)<br />
-- 12:59, 1 May 2011 (EEST)<br />
<br />
Retsentsioon: [https://wiki.itcollege.ee/index.php/Talk:OpenNode OpenNode] Retsensioon on valmis!<br />
<br />
==Rene Haavre A32== <br />
[[Samurai_WTF]]<br />
<br />
Retsenseeris Kaspar Steinberg - https://wiki.itcollege.ee/index.php/Talk:Samurai_WTF<br />
<br />
==Kristjan Kalder A22==<br />
==Kadri Kalme A22==<br />
[[Fdisk]] Valmis hindamiseks<br />
<br />
Retsensioon: [https://wiki.itcollege.ee/index.php/Snort Snort] valmis<br />
<br />
==Alfi Kannus A21==<br />
<br />
https://wiki.itcollege.ee/index.php/Iptables . Valmis, võib hinnata ja retsenseerida.<br />
<br />
==Oliver Kilk A21==<br />
[[Mkdir - Linux/Unix süsteemides]] - <br />
[https://wiki.itcollege.ee/index.php/User_talk:Msuursal Hinnatud] Meelis Suursalu<br />
[https://wiki.itcollege.ee/index.php/Talk:Mkdir_-_Linux/Unix_s%C3%BCsteemides esimesena hinnatud] Tarmo trumm<br />
<br />
Retsentsioon: [https://wiki.itcollege.ee/index.php/Talk:CUPS]<br />
<br />
==Nikolai Klõga G11==<br />
==Reio Kokla A31==<br />
[[Mkfs]]<br />
<br />
==Vladimir Kolesnik A22==<br />
<br />
Referaat: [[init]] - valmis ülevaatamiseks<br />
<br />
Retsensioon: [https://wiki.itcollege.ee/index.php/Talk:Linux/Unix_faili%C3%B5igused Linux/Unix failiõigused] valmis<br />
<br />
==Ivar Krustok A22==<br />
[[Ksh]] // retsenseeris Juhan Liiva<br />
<br />
Retsensioon: [https://wiki.itcollege.ee/index.php/Talk:Load_average Load Average] valmis<br />
<br />
==Katrin Kukk A22== <br />
<br />
[[Tcpdump]] - valmis ülevaatamiseks -- 22:17, 24 April 2011 (EEST) <br />
<br />
Retsensioon: [[Talk:Hwclock]] - valmis -- 20:05, 13 May 2011 (EEST)<br />
==Rain Kõrgmaa A22== <br />
==Siim Kängsepp A22==<br />
<br />
[[LVM]] - Valmis<br />
<br />
retsenseerin - [[Talk:kill]]<br />
<br />
Retsensioon valmis [[Talk:LVM]] --[[User:Klaid|Klaid]] 16:25, 16 May 2011 (EEST)<br />
<br />
==Urmo Laaneots A21== <br />
==Karel Laid A31==<br />
[[Puppet]] Valmis 01.05.2011<br />
<br />
==Henrik Leinola A22==<br />
<br />
[[Manpremo]]<br />
<br />
Retsenseerija: Siim Kullerkupp https://wiki.itcollege.ee/index.php/Talk:Manpremo<br />
<br />
==Kaspar Leivo A41== <br />
==Juhan Liiva A21==<br />
[[PS1]] valmis ülevaatamiseks // 19:47 15.05 muudatused sisse viidud - Referaat hinnatud 10:08 16.05 | Hinne sisse kantud [[User:Mernits|Mernits]] 12:54, 19 May 2011 (EEST)<br />
<br />
https://wiki.itcollege.ee/index.php/Talk:Ksh retsensioon<br />
<br />
==Kaido Loonurm A41==<br />
[[Load_average]] - valmis ülevaatamiseks, muudatused tehtud, parandatud hindega rahul --[[User:Kloonurm|Kloonurm]] 11:55, 26 May 2011 (EEST)<br />
Teemat retsenseerib: Ivar Krustok<br />
<br />
Retsensioon [[Talk:mkfs]] --[[User:Kloonurm|Kloonurm]] 22:03, 10 May 2011 (EEST)<br />
<br />
==Urmas Luuk A22== <br />
<br />
Retsensioon [[Talk:Packetfence]]<br />
<br />
==Andres Mill A22==<br />
Valmis referaat: [[chmod]]<br />
<br />
[https://wiki.itcollege.ee/index.php/Talk:Chmod Talk:Chmod] Hinnatud (Vadim Vinogradin) - valmis<br />
<br />
Olen hindega rahul [[User:Amill|Amill]] 12:40, 19 May 2011 (EEST)<br />
<br />
Retsensioon: [[Talk:Enos.itcollege.ee_failidele_ligipääs_GNOME/KDE_abil]]<br />
<br />
==Janar Märjama A22== <br />
[[Zentyal]] - Valmis kontrollimiseks.<br />
<br />
Retsensioon - [[Signaalid ja kill]]<br />
<br />
==Kairo Ostapenko A31== <br />
==Kristjan Pajumaa A22== <br />
==Ilja Peters 12==<br />
[[VMware_Server]] - Valmis ülevaatamiseks<br />
<br />
[https://wiki.itcollege.ee/index.php/Talk:RPM_Package_Manager RPM Package Manager] - Arvustus<br />
<br />
==Veiko Pilt A31==<br />
[[Tarkvara_haldus_yum_baasil]] - valmis ülevaatamiseks - 02.05.2011<br><br />
Hinnatud: [[Talk:Tarkvara_haldus_yum_baasil]] Andres Sumin <br />
==Jagnar Pindmaa A31== <br />
==Priit Pobbul A22==<br />
[[Echo]] - valmis - OK hinnatud [[User:Mernits|Mernits]] 13:02, 26 May 2011 (EEST)<br />
<br />
Retsensioon - https://wiki.itcollege.ee/index.php/Talk:Inetd<br />
<br />
==Arina Püvi A21==<br />
<br />
[[Ps]] - Valmis ettevaatamiseks.<br />
<br />
Hinnatud [[Talk:Ps]] Sergei Gorjunov<br />
<br />
==Karet Rikko A21==<br />
[[NTFS vs Ext4]] valmis ülevaatamiseks<br />
<br />
Retsensioon: [[Talk:Tshark]]<br />
<br />
==Toomas Rohumets A21==<br />
Referaat: [[Adduser & useradd]] - Valmis ülevaatamiseks<br />
<br />
Hinnatud.[[Talk:Adduser & useradd]]<br />
<br />
Retsensioon: [[Talk:Wget]]<br />
<br />
==Taavi Salumets A21==<br />
[[Logrotate]] - valmis ülevaatamiseks - 02.05.2011<br />
<br />
[[Talk:Iptables]] - Retsensioon<br />
<br />
==Risto Siitan A22==<br />
[https://wiki.itcollege.ee/index.php/Partimage Partimage] -valmis ülevaatamiseks. --> Hinne peaks nüüd OK olema.<br />
<br />
<br />
[https://wiki.itcollege.ee/index.php/Talk:Port_knocking Port Knocking] Retsensioon<br />
<br />
==Oliver Soom A22==<br />
[https://wiki.itcollege.ee/index.php/Debiani_paki_loomine Debiani paki loomine] valmis ülevaatamiseks<br><br />
[https://wiki.itcollege.ee/index.php/Talk:BURG Retsentsioon BURG'i teemal] <b>Valmis</b><br />
<br />
==Kaspar Steinberg A32==<br />
https://wiki.itcollege.ee/index.php/Kill - Valmis ülevaatamiseks.<br />
<br />
https://wiki.itcollege.ee/index.php/Talk:Samurai_WTF - Retsensioon Samurai WTF kohta.<br />
<br />
Retsenseerib Siim Kängsepp<br />
<br />
==Andres Sumin A22== <br />
https://wiki.itcollege.ee/index.php/Dpkg - Valmis ülevaatamiseks!<br><br />
Teemat retsenseerib: Allar Adoberg<br><br />
https://wiki.itcollege.ee/index.php/Talk:Tarkvara_haldus_yum_baasil - Retsensioon teemal Tarkvara haldus yum baasil<br />
<br />
==Meelis Suursalu A22==<br />
Retsensioon: [https://wiki.itcollege.ee/index.php/User_talk:Msuursal mkdir]<br />
<br />
==Meelis Tamm A21==<br />
[[Enos.itcollege.ee failidele ligipääs GNOME/KDE abil]] - valmis hindamiseks<br />
<br />
Hinnatud [[User:Amill|Amill]] 16:12, 16 May 2011 (EEST).<br />
<br />
==Ott Telga A31== <br />
==Tavo Toomemägi A41== <br />
[[Wget]] ülevaatamiseks valmis 00:36, 03 April 2011 (EEST)<br />
<br />
Retsensioon valmis [[Talk:Sertifikaadid]] 14:32, 17 May 2011 (EEST)<br />
<br />
Hinnatud [[Talk:Wget]]<br />
<br />
==Tarmo Trumm A21==<br />
https://wiki.itcollege.ee/index.php/Date Valmis<br />
<br />
https://wiki.itcollege.ee/index.php/Talk:Mkdir_-_Linux/Unix_s%C3%BCsteemides Retsensioon valmis<br />
<br />
==Timo Trummer A32==<br />
<br />
https://wiki.itcollege.ee/index.php/Hwclock - valmis ülevaatuseks<br />
<br />
https://wiki.itcollege.ee/index.php/Talk:Tcpdump - retsensioon<br />
<br />
==Olle Tuur A22==<br />
<br />
==Arto Vaas A32==<br />
<br />
https://wiki.itcollege.ee/index.php/OpenNode - valmis<br />
<br />
<br />
Retsentsioon: [https://wiki.itcollege.ee/index.php/Talk:OpenNode OpenNode] Retsensioon on valmis! (Merili Gutmann)<br />
<br />
==Andres Vaher A22== <br />
==Jaan Vahtre A21==<br />
https://wiki.itcollege.ee/index.php/BURG - valmis ülevaatuseks <b>Hinnatud</b> | Sisse kantud [[User:Mernits|Mernits]] 12:57, 19 May 2011 (EEST)<br />
<br />
https://wiki.itcollege.ee/index.php/Talk:PS1#Kokkuv.C3.B5te - Tehtud retsensioon. | Sisse kantud [[User:Mernits|Mernits]] 12:57, 19 May 2011 (EEST)<br />
<br />
==Kristjan Vaik A21== <br />
[https://wiki.itcollege.ee/index.php/Linux_boot_protsess Linux buutimise protsess] - Valmis ülevaatamiseks - OK [[User:Mernits|Mernits]] 13:00, 26 May 2011 (EEST)<br />
<br />
Retsensioon : [[echo]] - OK [[User:Mernits|Mernits]] 13:00, 26 May 2011 (EEST)<br />
<br />
==Sten Vaisma A22==<br />
[https://wiki.itcollege.ee/index.php/Linux/Unix_faili%C3%B5igused Linux/Unix failiõigused] - valmis ülevaatuseks | Hinnatud [https://wiki.itcollege.ee/index.php/Talk:Linux/Unix_faili%C3%B5igused Talk:Linux/Unix failiõigused] valmis 18:06, 16 May 2011 (Vladimir Kolesnik)<br />
<br />
Retsensioon: [https://wiki.itcollege.ee/index.php/Talk:Munin https://wiki.itcollege.ee/index.php/Talk:Munin]<br />
<br />
==Kristjan Vask A21== <br />
[[CUPS]] - valmis ülevaatamiseks<br />
<br />
Hetkel hinnatud 14:38:2011 (EEST) 16.05.2011 <br />
[https://wiki.itcollege.ee/index.php/Talk:CUPS]<br />
<br />
[[Talk:Linux boot protsess]] - retsensioon<br />
<br />
==Vadim Vinogradin A21==<br />
[https://wiki.itcollege.ee/index.php/RPM_Package_Manager RPM Package Manager] - Hinnatud<br />
<br />
[https://wiki.itcollege.ee/index.php/Talk:Chmod Chmod] - retsensioon<br />
<br />
==Heigo Võsujalg A21==<br />
[[Synaptic Package Manager]] - Valmis ülevaatamiseks<br />
<br />
Retsentsioon : [[Linux saalealaa ehk swap]]<br />
<br />
==Kristjan Väljako A21==<br />
[[Packetfence]] - Valmis ülevaatamiseks | Hinnatud | Hindega rahul | Hinne sees [[User:Mernits|Mernits]] 12:45, 19 May 2011 (EEST)<br />
<br />
<br />
Retsentsioon : [[Partimage]]</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=Talk:Reliability_Monitor&diff=25926Talk:Reliability Monitor2011-04-05T18:34:25Z<p>Leelmik: Created page with 'Artikkel on keeleliselt nii kehvas seisus, et paraku on sellest pea võimatu midagi välja lugeda. Arvatavasti on autor läinud hoogu Techneti artiklite tõlkimisega ning ei luge…'</p>
<hr />
<div>Artikkel on keeleliselt nii kehvas seisus, et paraku on sellest pea võimatu midagi välja lugeda. Arvatavasti on autor läinud hoogu Techneti artiklite tõlkimisega ning ei lugenud oma teksti enam läbi. Antud hetkel on selle artikli juures kõige paremini arusaadav allikmaterjalide nimekiri. Ilmselt on ka lihtsam teema enda kohta lugeda.<br />
<br />
Lembit Elmik AK21</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25924IIS veebiserveri turvamine2011-04-05T18:18:46Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Samuti tuleks kasutada korralikku tulemüüri. Windows Serveril on selleks Windows Firewall and Advanced Security. Täpsemalt saab lugeda siit: http://technet.microsoft.com/en-us/library/cc732283%28WS.10%29.aspx<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutavad.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine '''Start''' > '''Server Manager''', laienda '''Roles''' valikut ja klõpsa '''WebServer (IIS)'''. Paremas akna pooles klõpsa '''Add role Services'''.<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* '''Add Role Services''' viisardis vali '''Windows Authentication''' ja klõpsa '''Next''' > '''Install''' > '''Close'''.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava '''Internet Information Services (IIS) Manager'''. '''Connections''' paanil klõpsa serveri nimel ja seejärel '''Home''' paanil tee topeltklõps '''Authentication''' peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* '''Authentication''' paneelis vali '''Windows Authentication''' ja luba see valides paremalt '''Enable'''. Anonüümse ligipääsu keelamiseks klõpsa '''Anonymous Authentication''' ning paremalt '''Disable'''.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava '''IIS Manager''' ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali '''Edit Bindings'''.<br />
[[File:W2008iisubind1.jpg|border|Unikaalne sidumine]]<br />
* '''Edit Site Binding''' dialoogi aknas vali tüüpide nimekirjast '''HTTP''' ning klõpsa '''Edit''' peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|Unikaalne sidumine]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava '''Internet Information Services Manager'''.<br />
* Klõpsa hiirega oma masinal '''Connections''' puus ja siis topelt-klõps '''Server Certificates''' valikul.<br />
[[File:W2008SSSSL.jpeg|border|Self-Signed SSL|300px]]<br />
* Vali '''Actions''' paneelilt '''Create Self-Signed Certificate'''.<br />
[[File:W2008SSSSL2.jpeg|border|Self-Signed SSL|300px]]<br />
* Sisesta oma sertifikaadi nimi ning klõpsa peale seda '''OK'''.<br />
[[File:W2008SSSSL3.jpeg|border|Self-Signed SSL|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni hankimisega võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine '''IIS Manageri'''. '''Connections''' paneelilt vali '''Sites'''.<br />
* Tee seal parem-klõps '''Sites''' peal ning vali hüpikmenüüst '''Add FTP Site'''. Teine võimalus selleks on '''Actions''' paneelilt valida '''Add FTP Site'''.<br />
[[File:W2008SSftp.jpeg|border|SSL FTP|300px]]<br />
* avanenud '''Add FTP Site''' viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel '''Allow SSL'''. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel lehel vali '''Autentication''' all '''Basic'''. <br />
** '''Authorization''' jaotuses vali '''Specified users''' ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|SSL FTP|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=Talk:Server_Manager_Console&diff=25920Talk:Server Manager Console2011-04-05T17:57:00Z<p>Leelmik: Created page with 'Lihtne ja lakooniline sissejuhatus Server Manager Console olemusest. Midagi uut siit ei leidnud. Võimalik, et see teema ongi nii lai, et väga spetsiifilistest osadest kirjutada…'</p>
<hr />
<div>Lihtne ja lakooniline sissejuhatus Server Manager Console olemusest. Midagi uut siit ei leidnud. Võimalik, et see teema ongi nii lai, et väga spetsiifilistest osadest kirjutada ei oleks olnud mõistlik. Küll aga ootaksin viitamist. Esiteks, kuna tegemist sissejuhatava artikliga, siis iga teema juures oleks olnud hea leida viide täpsemale (Wiki?) artiklile. Näiteks rollide juures oleks saanud viidata https://wiki.itcollege.ee/index.php/Serveri_rollid artiklile. Mõnes kohas olid siiski Techneti lingid olemas ja see oli abiks. Lisaks puuduvad artikli lõpus viited allikmaterjalidele. Tekst oli enamasti lihtsalt jälgitav. Kohati oli lauseehitus ebaloomulik ning ei puudunud ka kirjavead. Seetõttu oli mõnest lausest keeruline aru saada. Ülearusena oli kirjeldatud Server Manager otseteed. Enamik nendest ei olnud muud kui tavalised Windowsi kiirvalikud. Selle ja paljude suurte piltide asemel oleksin oodanud rohkem sisukat teksti.<br />
<br />
Lembit Elmik AK21</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25916IIS veebiserveri turvamine2011-04-05T17:29:33Z<p>Leelmik: /* Server */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Samuti tuleks kasutada korralikku tulemüüri. Windows Serveril on selleks Windows Firewall and Advanced Security. Täpsemalt saab lugeda siit: http://technet.microsoft.com/en-us/library/cc732283%28WS.10%29.aspx<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|Unikaalne sidumine]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|Unikaalne sidumine]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|Self-Signed SSL|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|Self-Signed SSL|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|Self-Signed SSL|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|SSL FTP|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|SSL FTP|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25913IIS veebiserveri turvamine2011-04-05T14:25:06Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|Unikaalne sidumine]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|Unikaalne sidumine]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|Self-Signed SSL|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|Self-Signed SSL|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|Self-Signed SSL|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|SSL FTP|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|SSL FTP|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|SSL FTP|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25912IIS veebiserveri turvamine2011-04-05T14:24:34Z<p>Leelmik: /* SSL */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|Unikaalne sidumine]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|Unikaalne sidumine]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|Self-Signed SSL|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|Self-Signed SSL|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|Self-Signed SSL|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25911IIS veebiserveri turvamine2011-04-05T14:24:03Z<p>Leelmik: /* Konkreetse hostinimega sidumine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|Unikaalne sidumine]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|Unikaalne sidumine]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25910IIS veebiserveri turvamine2011-04-05T14:23:35Z<p>Leelmik: /* Autentimine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|Autentimise installeerimine]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|Autentimise installeerimine]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|Autentimise installeerimine]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|Autentimise installeerimine]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25909IIS veebiserveri turvamine2011-04-05T14:22:18Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Samuti kui kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25908IIS veebiserveri turvamine2011-04-05T14:21:32Z<p>Leelmik: /* SSL */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
* Ava Internet Information Services Manager.<br />
* Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
* Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
* Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25907IIS veebiserveri turvamine2011-04-05T14:21:13Z<p>Leelmik: /* Konkreetse hostinimega sidumine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
* Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
* Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25906IIS veebiserveri turvamine2011-04-05T14:20:56Z<p>Leelmik: /* Autentimine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
* Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
* "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
* Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
* Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25905IIS veebiserveri turvamine2011-04-05T14:20:36Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
* Mine IIS Manageri. Connections paneelilt vali Sites.<br />
* Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
[[File:W2008SSftp.jpeg|border|caption|300px]]<br />
* avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
[[File:W2008SSftp2.jpeg|border|caption|300px]]<br />
* Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
** Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
** Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
[[File:W2008SSftp3.jpeg|border|caption|300px]]<br />
* Järgmisel lehel vali Autentication all Basic. <br />
** Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
[[File:W2008SSftp4.jpeg|border|caption|300px]]<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25904IIS veebiserveri turvamine2011-04-05T14:03:58Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mine IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25903IIS veebiserveri turvamine2011-04-05T14:03:42Z<p>Leelmik: /* SSL */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
[[File:W2008SSSSL.jpeg|border|caption|300px]]<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
[[File:W2008SSSSL2.jpeg|border|caption|300px]]<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
[[File:W2008SSSSL3.jpeg|border|caption|300px]]<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSSSL3.jpeg&diff=25902File:W2008SSSSL3.jpeg2011-04-05T13:56:20Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSSSL2.jpeg&diff=25901File:W2008SSSSL2.jpeg2011-04-05T13:56:11Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSftp4.jpeg&diff=25900File:W2008SSftp4.jpeg2011-04-05T13:56:04Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSftp3.jpeg&diff=25899File:W2008SSftp3.jpeg2011-04-05T13:55:57Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSftp.jpeg&diff=25898File:W2008SSftp.jpeg2011-04-05T13:55:47Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSftp2.jpeg&diff=25897File:W2008SSftp2.jpeg2011-04-05T13:55:35Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008SSSSL.jpeg&diff=25896File:W2008SSSSL.jpeg2011-04-05T13:51:08Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25894IIS veebiserveri turvamine2011-04-05T13:47:41Z<p>Leelmik: /* Autentimine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
[[File:W2008instauthrole.jpg|border|caption]]<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
[[File:W2008instauthrole2.jpg|border|caption]]<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
[[File:W2008instauthrole3.jpg|border|caption]]<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
[[File:W2008instauthrole4.jpg|border|caption]]<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25893IIS veebiserveri turvamine2011-04-05T13:46:33Z<p>Leelmik: /* Konkreetse hostinimega sidumine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
[[File:W2008iisubind1.jpg|border|caption]]<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
[[File:W2008iisubind2.jpg|border|caption]]<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008instauthrole4.jpg&diff=25892File:W2008instauthrole4.jpg2011-04-05T13:35:24Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008instauthrole3.jpg&diff=25891File:W2008instauthrole3.jpg2011-04-05T13:35:17Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008instauthrole2.jpg&diff=25890File:W2008instauthrole2.jpg2011-04-05T13:35:10Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008instauthrole.jpg&diff=25889File:W2008instauthrole.jpg2011-04-05T13:35:03Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008iisubind2.jpg&diff=25888File:W2008iisubind2.jpg2011-04-05T13:34:53Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=File:W2008iisubind1.jpg&diff=25887File:W2008iisubind1.jpg2011-04-05T13:34:39Z<p>Leelmik: </p>
<hr />
<div></div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25885IIS veebiserveri turvamine2011-04-05T13:13:11Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS 7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25884IIS veebiserveri turvamine2011-04-05T13:12:49Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
FTP 7.5 IIS7.0 jaoks saab laadida näiteks siit:<br />
http://go.microsoft.com/fwlink/?LinkID=143197<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25883IIS veebiserveri turvamine2011-04-05T13:10:31Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.<br />
<br />
<br />
==Kasutatud kirjandus==<br />
<br />
# http://www.winserverhelp.com/2010/03/iis-7-5-and-iis-7-0-security-best-practices/2/<br />
# http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/<br />
# http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25882IIS veebiserveri turvamine2011-04-05T13:08:54Z<p>Leelmik: /* FTP */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.<br />
## Samal lehel saad märkida, kas FTP teenus käivitatakse automaatselt või tuleb seda teha käsitsi.<br />
## Lisaks saad märkida sellel lehel Allow SSL. Ja sel juhul vali menüüst ka soovitud SSL sertifikaat. Näiteks eelmises punktis loodud enda allkirjastatud SSL sertifikaat.<br />
# Järgmisel lehel vali Autentication all Basic. <br />
## Authorization jaotuses vali Specified users ning kirjuta soovitud kasutajanimi allolevasse lahtrisse.<br />
<br />
Siinkohal oledki valmis saanud SSL-põhise FTP teenuse.<br />
<br />
SSL sertificaatidega on võimalik juba täpsemalt edasi mängida. Edasist infot saab kasutatud kirjanduse loetelust.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25881IIS veebiserveri turvamine2011-04-05T12:53:31Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
SSL - Secure Socets Layer - on krüptograafia protokoll, mis pakub ühenduse turvalisust üle suure interneti. SSL krüpteerib võrguühendust transpordi kihi peal kasutades selleks sümmeetrilist krüptoalgoritmi ning sõnumi autentimise võtmehaldust. Edasi saab lugeda näiteks http://en.wikipedia.org/wiki/Secure_Sockets_Layer.<br />
<br />
Käesolevas juhendis tuleb juttu enda signeeritud SSL sertifikaadi loomisest.<br />
<br />
# Ava Internet Information Services Manager.<br />
# Klõpsa hiirega oma masinal Connections puus ja siis topelt-klõps Server Certificates valikul.<br />
# Vali Actions paneelilt Create Self-Signed Certificate.<br />
# Sisesta oma serticikaadi nimi nong klõpsa peale seda OK.<br />
<br />
Ongi kogu lugu. Omatehtud sertifikaat ongi loodud. Loomulikult korraliku ning tõsiseltvõetava sertifikaadi jaoks on tarvis siiski mõne Certification Authority poolt tunnustatud sertifikaati. Täpsema informatsiooni jaoks võib alustada näiteks siit: http://msdn.microsoft.com/en-us/library/bb540797(VS.85).aspx<br />
<br />
<br />
==FTP==<br />
<br />
Nüüd loome FTP teenuse, mis kasutab seda sama enda loodud SSL sertifikaati.<br />
<br />
# Mina IIS Manageri. Connections paneelilt vali Sites.<br />
# Tee seal parem klõps Sites peal ning vali hüpikmenüüst Add FTP Site. Teine võimalus selleks on Actions paneelilt valida Add FTP Site.<br />
# avanenud Add FTP Site viisardis sisesta kõigepealt nimi. Näiteks Minu FTP. Ja siis tuleb kindlasti määrata FTP kausta asukoht kettal (%SystemDrive%\inetpub\ftproot)<br />
# Järgmisel Lehel vali, millisele IP'le see FTP teenus vastama peab. Samuti on võimalik valida TCP/IP protokolli port, mida ühenduseks kasutatakse.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=25536IIS veebiserveri turvamine2011-04-02T13:12:01Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Täiendamisel!!!<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.<br />
<br />
<br />
==SSL==<br />
<br />
==FTP==</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24993IIS veebiserveri turvamine2011-03-31T15:29:08Z<p>Leelmik: /* Konkreetse hostinimega sidumine */</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.<br />
<br />
# Ava IIS Manager ja vali veebiserveri nimi. Saitide all tee parem-klõps soovitud veebilehel ning vali Edit Bindings.<br />
# Edit Site Binding dialoogi aknas vali tüüpide nimekirjast http ning klõpsa Edit peal. Vali sellele lehele vajalik IP aadress ning kirjuta sobiv hosti nimi.<br />
<br />
Selle tegevusega saab siis kaitsta serverit raskendades rünnakute läbiviimist.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24986IIS veebiserveri turvamine2011-03-31T15:22:42Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetse hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24959IIS veebiserveri turvamine2011-03-31T14:38:39Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
==Konkreetne hostinimega sidumine==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24958IIS veebiserveri turvamine2011-03-31T14:37:31Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.<br />
<br />
<br />
==Konkreetne hosti nimi==<br />
<br />
Teenuse sidumine konkreetse IP aadressiga tagav, et veebiserver teenindab vaid mingit konkreetset hosti vaid konkreetselt IP aadressilt, mitte kõigilt, mis on selle serverile antud.<br />
<br />
Konkreetse IP aadressiga sidumine vähendab riske selliste rünnakute puhul, kus häkker või viirus skanneerib tervet IP alamvõrku enne kui ründab. Selline viirus proovib kõigepealt ühenduda näiteks aadressiga 192.168.1.1. Siis 192.168.1.2 jne. Seni kuni jõuab sinu serverini (selles subnetis).<br />
<br />
Kui selline konkreetne sidumine on olemas, siis iga ühenduse võtmine näiteks aadressile http://192.168.1.253 kukuks läbi, sest sinu server on seadistatud vastama vaid hosti nimele, näiteks http://minudomeen.ee.<br />
<br />
Siiski saab tõesti säherdune uss saata päringuid ja saada vastused, kuid sel juhul peab see olema juba keerulisema ehituse ja tarkusega. Konkreetse hostinimega teenuse sidumine ei tee veel serverit täiesti turvalist kasti, kuid raskendab selle ründamist.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24940IIS veebiserveri turvamine2011-03-31T14:01:22Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.<br />
<br />
# Windows Authentication installeerimiseks mine Start > Server Manager, laienda "Roles" valikut ja klõpsa "WebServer (IIS)". Paremas akna pooles klõpsa "Add role Services".<br />
# "Add Role Services" viisardis vali "Windows Authentication" ja klõpsa Next > Install > Close.<br />
# Et lubada Windowsi autentimine, ava Internet Information Services (IIS) Manager. Connections paanil klõpsa serveri nimel ja seejärel Home paanil tee topeltklõps Authentication peal.<br />
# Authentication paneelis vali Windows Authentication ja luba see valides paremalt Enable. Anonüümse ligipääsu keelamiseks klõpsa Anonymous Authentication ning paremalt Disable.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24927IIS veebiserveri turvamine2011-03-31T13:51:51Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
==Server==<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
<br />
==IIS==<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.<br />
<br />
==Autentimine==<br />
<br />
Kui pole vaja avalikku juurdepääsu veebile võib seadistada Windowsi autentimist nii, et juurdepääs on tagatud vaid volitatud isikutel. Autentimine on võimalik siduda nii Windowsi enda kui ka Active Directory teenusega. Sel juhul kõik kasutajad, kes soovivad veebi sisu näha, peabad ennast kõigepealt autentima veebiserveri või AD kaudu.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24907IIS veebiserveri turvamine2011-03-31T13:28:09Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.<br />
<br />
Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24878IIS veebiserveri turvamine2011-03-31T12:57:53Z<p>Leelmik: </p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast. See tähendab, et esimese asjana peab server ise turvaline olema. Peale seda alles on mõtet tegeleda serveril jooksva teenuse turvamisega. Seega enne IIS rolli installeerimist serverile tuleks kindlasti uuendada süsteem ning paigaldada turvapaigad.<br />
<br />
##Järgmisena tulebki ette võtta IIS rolli paigaldamine. Vaikimisi installeeritakse vaid minimaalne IIS funktsionaalsus. See teenibki just turvalisuse eesmärke. Kui on vaja enamaid IIS võimalusi, saab need eraldi märkida ning installeerida. <br />
<br />
Mida väiksem kogus funktsionaalsust, seda väiksem "pind" sissemurdmiseks. Silmas tuleks siiski pidada, et paigaldada tuleks nii palju kui vaja ning nii vähe kui võimalik. Seda nõuannet rakendades peaks kindlasti serveri installeerimisel mõtlema, kas on üldse enamat Server Core'st vaja. Server core puhul installeeritakse ainult minimaalne hulk komponente, mis on vajalikud kindla rolli tarbeks. See töötab küll väiksema "ründapinna" eesmärgi nimel. Kuid tegelikult on oluline ka see, et nii hoitakse kokku näiteks kettamahte, administreerimise ning halduse tegevusi.<br />
<br />
Server Core paigaldusega Windows Server 2008 toetab näiteks DNS, faili ja veebiserveri rolle. Täpsema nimekirja saad lingilt http://go.microsoft.com/fwlink/?LinkId=99832.<br />
<br />
Server Core installatsion ei sisalda siiski GUI'd ehk graafilist kasutajaliidest. Seega kogu seadistamine toimub käsurea vahendite abiga. Puudub ASP.NET ja .NET raamistik. Seega ei ole võimalik kasutada PowerShell skripte ja loomulikult ei toimi rakendused, mis neid raamistikke kasutama peaksid.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=IIS_veebiserveri_turvamine&diff=24848IIS veebiserveri turvamine2011-03-31T12:33:10Z<p>Leelmik: Created page with 'Lembit Elmik AK21 Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast.'</p>
<hr />
<div>Lembit Elmik AK21<br />
<br />
Nagu kõigi teiste, nii algab ka IIS serveri turvamine eelkõige serverist endast.</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=Osadmin_referaadi_teemad&diff=24831Osadmin referaadi teemad2011-03-31T10:59:00Z<p>Leelmik: /* Siin lehel on aine Operatsioonisüsteemide administreerimine ja sidumine teemad */</p>
<hr />
<div>=Siin lehel on aine Operatsioonisüsteemide administreerimine ja sidumine teemad=<br />
<br />
Kui soovid antud teemat võtta, siis kliki punasel lingil ja pane kirja autorina oma nimi ja rühm loodavasse teemasse.<br />
<br />
<br />
Teemad, mis on kunagi võetud kuid vajavad uuendamist/ümbertöötamist<br />
<br />
Pange oma nimi ja aasta selle külge (enne kontrollige, et keegi pole seda teemat sellel semestril võtnud - vaata history lehte)<br />
<br />
[[Linux saalealaa ehk swap]] - http://www.linuxjournal.com/article/10678<br />
<br />
[[Iozone]] - failisüsteemi jõudluse testimise programm<br />
<br />
[[Load average]] - http://www.linuxjournal.com/magazine/hack-and-linux-troubleshooting-part-i-high-load<br />
<br />
[[Partimage]]<br />
<br />
[[KVM]]<br />
<br />
[[Zsh]]<br />
<br />
[[echo]] - sobib algajale (NB: edasijõudnud seda teemat valida ei saa:)<br />
<br />
[[dig]]<br />
<br />
[[CUPS]]<br />
<br />
[[Port knocking]] - http://www.linuxjournal.com/magazine/implement-port-knocking-security-knockd?page=0,1<br />
<br />
Vabad teemad on punased, veel loomata artikklid.<br />
<br />
[[Signaalid ja kill]] - http://www.linuxjournal.com/article/10815?page=0,1<br />
<br />
[[netcat]]<br />
<br />
[[logrotate]]<br />
<br />
[[samurai WTF]]<br />
<br />
[[wireshark]] - http://www.wireshark.org/<br />
<br />
[[tshark]] - http://ubuntu-for-humans.blogspot.com/2009/12/dump-and-analyze-network-traffic-with.html ja http://www.wireshark.org/docs/man-pages/tshark.html<br />
<br />
[[manpremo]] - https://www.manpremo.org/redmine/projects/manpremo/wiki<br />
<br />
[[PS1]] - bash prompt http://www.cyberciti.biz/tips/howto-linux-unix-bash-shell-setup-prompt.html ja http://www.cyberciti.biz/faq/bash-shell-change-the-color-of-my-shell-prompt-under-linux-or-unix/<br />
<br />
[[packetfence]] - http://www.darknet.org.uk/2011/03/packetfence-free-open-source-network-access-control-nac-system/<br />
<br />
[[apticron]] - saadame administraatorile e-posti paigaldamata uuenduste nimekirjaga - http://www.cyberciti.biz/faq/apt-get-apticron-send-email-upgrades-available/<br />
<br />
[[zentyal]] - http://www.zentyal.org/<br />
<br />
[[date]] - Unix date korralduse kasutamisest - paras algajale<br />
<br />
[[hwclock]] - Linux korraldus - paras algajale<br />
<br />
[[failisüsteemide jõudluse testimine]]<br />
<br />
[[puppet]] - NB see teema pole algajale sobilik<br />
<br />
[[dbpg]] <br />
<br />
[[chmod]] <br />
<br />
[[OpenNode]]<br />
<br />
[[munin]]<br />
<br />
[[RPM Package Manager]]<br />
<br />
[[PAM]]<br />
<br />
[[sertifikaadid]] - mis asi see on? Kuidas teha? Mis vahenditega sisse vaadata<br />
<br />
[[Synaptic Package Manager]]<br />
<br />
[[enos.itcollege.ee failidele ligipääs GNOME/KDE abil]] - võtmesõnad on connect to server (GNOME) ja fish (KDE). Teema on kasutlik teistele tudengitele, et kodust saaks koduketastel olevaid faile kergelt muuta.<br />
<br />
<br />
[[BURG]] - alglaadur<br />
<br />
[[LVM]]<br />
<br />
<br />
[[tcpdump]]<br />
<br />
[[ksh]] - KornShell<br />
<br />
[[MINIX]] - referatiivne artikkel + erinevused linux süsteemidest - http://www.youtube.com/fosdemtalks#p/u/3/bx3KuE7UjGA NB algajale ei soovita selle teema valimist.<br />
<br />
[[adduser & useradd]]<br />
<br />
[[E-posti_serveri_paigaldus]] - väike juhend, kuidas installeerida ja seadistada mailiserver Ubuntu näitel<br />
<br />
[[Linux boot protsess]]<br />
<br />
<br />
Kui soovid luua oma teema, siis loo wiki artikkel, pane autori nimi algusesse kirja ja saada link õppejõule. Vajadusel saab teemat ümber nimetada.<br />
<br />
Iga referaadi lõpus märgi ära kategooria: Operatsioonisüsteemide administreerimine ja sidumine. Vaata mõne valmis referaadi algtekstist.<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Leelmikhttps://wiki.itcollege.ee/index.php?title=Mailiserver&diff=24830Mailiserver2011-03-31T10:57:30Z<p>Leelmik: moved Mailiserver to E-posti serveri paigaldus</p>
<hr />
<div>#REDIRECT [[E-posti serveri paigaldus]]</div>Leelmik