Category:I375/I803/I853 IT Infrastructure services

From ICO wiki
Jump to navigationJump to search

Üldinfo

Aine info: IT infrastruktuuri teenused ÕIS leht

Aine õppematerjalid

ECTS: 5

Hindamisviis: Arvestus

Rangelt soovituslik aine: Operatsioonisüsteemide administreerimine ja sidumine (I233)

Õppejõud

Andres Septer >> andres (.) septer (ät) itcollege (.) ee

Eesmärk ja sisu

IT Infrastruktuuri mõiste. IT Infrastruktuuri komponendid. Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks. Peamine eesmärk: omandada infrastruktuuri administraatori (süsteemiadministraatori) õige mõtteviisi alged: süstemaatiline, proaktiivne, põhjalik!

Eesmärgi saavutamiseks toimuvad harjutustunnid, mille käigus installeeritakse ja konfigureeritakse teenuseid, harjutused on varustatud põhjaliku juhendiga. Harjutustele eelnevad loengud alus- ja põhimõistete tutvustamiseks. Harjutustele järgnevad laborid, kus harjutusele analoogne ülesanne tuleb sooritada iseseisvalt. Laboreid peab ka kaitsma. Laborid ja harjutused toimuvad Linuxi keskkonnas, seega on aines Operatsioonisüsteemide administreerimine ja sidumine omandatud teadmised või nendega võrdväärsed oskused hädavajalikud.

Ainekaart

Ainekaardi viimase, kuid mitte lõpliku versiooni leiab siit

Eelmiste aastate tagasiside

2013 kaugõppe tagasiside

2012 kaugõppe tagasiside

2012 päevaõppe tagasiside

Arvestus ja hindamine

  • Arvestuse saab praktiliste oskuste demonstereerimise eest. Arvestuse saamise eeldus, nagu ikka 51% materjalist
  • Kokku 8 kaitstavat laborit (+Arvestustöö)
  • Kirjatöid (v.a. ühe labori dokumenteerimine) ei tee
  • Laborite lävend (20%)
  • Laborid kokku 80% (7x9%+1x17%)
  • Lisa 1a. laiskvorsitdele (rehkendage, aga arvestage kohustusliku Arvestustööga!)
  • Arvestustöö 20% (lävend 50%)
  • Arvestustööd ei pea tegema need, kes kõik laborid tähtajaks edukalt esitavad (ja kaitsevad)

Loengud

00 Tutvustav loeng (7. dets. 2015)

01 Sissejuhatus, slaidid

01 salvestus

02, NTP, DHCP ja DNS ülevaade, salvestus slaidid

03 varunduse loeng slaidid

05 dokumentatsiooni loeng + täiendav info ARVESTUSE kohta slaidid

06 veebiteenused, slaidid salvestus

07 monitooring, sladidid salvestus

08 konfiguratsioonihaldus slaidid salvestus NB! algus umbes 8. minutil

09 Logide keskhaldus slaidid salvestus (algab 6ndal minutil)

Harjutused

Laborid (iseseisvad praktilised tööd)

I-TEE

  • Laborid tehakse üldjuhul (kui pole märgitud teistmoodi) keskkonnas I-TEE
  • Keskkond asub aadressil https://i-tee.itcollege.ee
  • Sisse logimiseks, itkolledži kasutajanimi ja parool
  • Õppeaine virtuaallabori nimi IT Infra

Hetkel on tõrge labori marsruuteri korrektse impordiga, seetõttu tuleb marsruuter käsitsi uuesti seadistada juhul kui:

  1. Logite esimest korda e-labi ja käivitate oma labori esmakordselt
  2. Kui olete labori kaitsnud ja teete „restart lab“, et kõik VMid algseisu resettida ja uut laborit tegema hakata.

marsruuteri seadistamise JUHEND

  1. Koondlabor DNS, DHCP, NTP 9+9+9
  2. Koondlabor veebiteenused + dokumenteerimine
  3. Monitooring I lab
  4. Monitooring II lab
  5. Koondlabor Monitooring-konffihaldus-logimine KAUGÕPPELE
  6. teenuste automaatne paigaldamine Ansiblega PÄEVAÕPPELE

Abimaterjal

Abimaterjal laboriks:

Esitatud referaadid

IT infrastruktuuri teenused 2013 kevad

Wordpressi turvalisuse suurendamine

Juurteenuste kursus

Interneti juurteenused

Eelmiste aastate materjalid ja info

2015

loengud ja materjalid

Kaugõppe 2015. aasta kevadsemestri loengusalvestused on leitavad siit

Sissejuhatav loeng - NB siin on kirjas hindamiskriteeriumid ja tähtajad. Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 02.02.2014)

NTP teenus (Päevaõppes toimus 02.02.2015)

NTP amplification Attack

Kodutöö nr 1. Tähtaeg 9.02.2015. DNS loenguks lugeda läbi DNS põhimõisted järgnevatest materjalidest:

Kohustuslik: http://kuutorvaja.eenet.ee/wiki/DNS_ja_BIND

Soovituslik: http://kuutorvaja.eenet.ee/wiki/DNS

DNS loeng (OpenDocument) (PDF)

BIND9 konfiguratsiooni näitefailid

DNS näide

DHCP loeng

DHCP näitelabor

DNS uuendamine DHCP abil

Veebiserveri loeng

Dokumentatsioonist (loeng)

Hindamismaatriksi näide

Loeng 11 Monitooring

Loeng 12 LDAP


Screencast veebiserveri konfigureerimisest:

http://elab.itcollege.ee:8000/veebiserver/out-1.ogv

http://elab.itcollege.ee:8000/veebiserver/out-2.ogv

http://elab.itcollege.ee:8000/veebiserver/out-3.ogv

Kodutöö nr 2. Tähtaeg 20.aprill.2015. Lugeda läbi OWASP top 10 2013

praktilised tööd

Nimekiri DNS labori masinate IP vahemikega ning domeeninimedega

Sissejuhatav praktikum

Valige endale domeeninimi, näiteks eikkasutaja.zz.

Seadke DNS serverile IP aadress 192.168.56.201

nano /etc/network/interfaces
auto eth1
iface eth1 inet static
  address 192.168.56.201
  netmask 255.255.255.0

Taaskäivitage võrguliides eth1

ifdown eth1 && ifup eth1

Muutke DNS serveril hostinimi ns.sinudomeen.

echo ns > /etc/hostname

Muutke /etc/hosts failis masinanimi

127.0.1.1       ns.sinudomeen   ns

Näiteks valisin oma domeeniks mernits.zz

127.0.1.1       ns.mernits.zz   ns

Käivitage teenus hostname

service hostname start

Korraldus hostname -f peab tagastama FQDN-i

hostname -f

Seadistage ka võtmetepõhine autentimine.

Kasutatav võrk
Labor 1 - NTP seadistamine (6p/6%)

Loe läbi õppematerjal (loengud) ja seadista NTP teenus nii kliendis, kui ka serveris selliselt, et klient küsib aega ainult serverist (ja ka localhostist, mille prioriteet on madal e fudge 10) Server küsib aega EENET NTP serverist ja mõnest muust Eestis asuvast NTP serverist.

Seadistage server selliselt, et ei välisvõrgust ei saa teha siin kirjeldatud rünnet.

NTP Ubuntus

Labor 2 - DNS seadistamine (6p/6%)
  • Mõtle välja endale domeeninimi
  • Loo domeeninimele tsoonifail ja seadiste nimeserver
  • Luba rekursiivne lahendus oma sisevõrgust
  • Loo reevers tsoon
  • Loo A kirjed e-posti, nimeserveri jaoks
  • Loo CNAME kirjed www, samba ja oma severi jaoks

DNS Näitelahendus 1

DNS Näitelahendus 2

Väike abiinfo lisaks loengule

Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.

Labor 3 - DHCP seadistamine (6p/6%)
  • DHCP paigaldamine ja seadistamine (6p)

Seadista labori desktop VM saamaks IP aadressi ja nimeserverit sama labori serveri VM käest.

PS: desktop võrguseadetest eemalda esimeselt liideselt nimelahenduse küsimine (küsitakse DHCP abil ainult IP aadress). Kui seda ei tee, siis lähevad DNS päringud ikkagi esimese, NAT liidese kaudu.

DHCP näitelabor

Labor 4 - apache (või nginx) veebiserveri seadistamine (6p/6%)
  • Loo kaks virtualhosti nii http, kui ka https (self-signed cert) tarbeks.
    • Mõlemad nimed peavad sirvijas töötama (desktop arvutis) nii http, kui ka https abil ja esilehel peab olema selgelt näha kumma virutalhostiga on tegemist. Seega index.html sisse lisa virtualhosti nimi.
Labor 5 - mõne veebirakenduse (nt Wordpress) paigaldamine ja turvamine varnishiga (10p/10%)

Labori eesmärgiks on paigaldada veebirakendus, mõõta selle jõudlust ja seejärel suurendada veebirakenduse jõudlust kasutades puhvermälu. Veebirakenduse ja puhvermälu võib iga tudeng ise valida. Näite teeme Wordpress ja WP SuperCace abil. Samas on väga soovitatav valida cache tehnoloogia ise, et erinevad inimesed saaksid võrrelda erinevaid asju.

Wordpress paigaldamine ja jõudluse testimine (varnish)

Labor 6 - DVWA paigaldamine ja OWASP testimine (10p/10%)

Paigaldage DVWA.

Loe läbi OWASP top 10 ja SQL põhitõed

Mõned videod:

Labor 7 - rakenduste tulemüürid (greensql ja mod_security baasil) (10p/10%)
Labor 8 - IDS (10p/10%)

Seadistada IDS/IPS ühele oma valitud serverile ja demonstreeida ühe-kahe reegli toimimist.

IDS Näitelahendus

Abistav materjal

Questid, millede eest saab punkte

Quest 1 (Läbi ja tehtud)

2015 kontrolltööde küsimused

Esimese kontrolltöö küsimused:

  • DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS
  • hostinimi (mis märgid on hostinimes lubatud ja kus?)
  • host täisnimi
  • domeeni täisnimi
  • DNS
  • A-kirje
  • alias ehk CNAME
  • puhverdamine
  • dig ja selle kasutamine
  • DNS spoofing
  • domeen ja domeeninimi
  • Authoritative ehk pädev server
  • Forwarding ehk edastamine
  • FQDN
  • Host
  • PTR-kirje
  • rekursiivne lahendus
  • primaarne server
  • sekundaarne server
  • open resolver
  • kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"
  • selgitage näitekonfi
$TTL    600
@       IN      SOA     planet.zz. root.planet.zz. (
                        3      ; Serial - Mida see tähendab?
                        3600   ; Refresh - Mida see tähendab?
                        8640   ; Retry - Mida see tähendab?
                        36000  ; Expire - Mida see tähendab?
                        3600 ) ; Negative Cache TTL - Mida see tähendab?
;

Teise kontrolltöö küsimused:

  • virtuaalhost
  • http
  • Kuidas toimub ssl/tls ühenduse algatamine?
  • Mis vahe on sümmeetrilisel ja asümmeetrilisel krüpteerimisel?
  • Mis vahe on avalikul võtmel ja sertifikaadil?
  • https
  • SNI
  • IPS
  • IDS
  • Mis vahe on reflected XSS ja stored XSS rünnetel?
  • Mis vahe on SQL injectionil ja blind SQL injectionil?
  • Mis on secure cookie? (http://php.net/session.cookie-secure ;session.cookie_secure =)
  • Mis tähendab, et küpsised on http_only?
  • Kas XSS ründeid saab filtreerida andmebaasikihis, näiteks SQL tulemüüriga?
  • Mis on CSRF ja kuidas see toimib?
  • Mis on same origin policy?

2015 referaatide teemad

2014

Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded

Loeng 01 E-post

Loeng 03 Failiserver

Loeng 04 Veebiserver

WordPress seadistamine


Loeng 05 Dokumentatsioon

Loeng 06 VPN

Loeng 07 Tulemüürid

Loeng 08 SAN NAS CAS

Loeng 09 Virtualiseerimine


Loeng 10 DHCP

This category currently contains no pages or media.