101215
Från Regrin:
Ganska viktigt                                                        Viktigt
-----------------------------------------------------------------------------------------------------------------------------------------------
Webproxy    Samba                epost        FTP        Webb        Epost            BIND
         - Problem m Windowsversioner     - spamfilter     - vsftpd    Apache         - Termer (MUA..)     - Zonerna
                             - procmail             - Moduler     - Postfix          - Fram -> Domän
                                            - V-Hosting     - Imap/pop           - Bak  -> Nät (IP)

                        LDAP

Kap 1
-----------------------------------
Principle of least privilege
    - programmet/användaren kan inte göra stor skada om det/den inte har stora behörigheter!

Multiple layers of defense & Diversity of layers of defense
    - bra med fler försvarsmurar, inte bara brandvägg!
    - iptables, host_deny etc

Only as secure as the weakest link
    - alltid den svagaste länken som brister!

Simplicity is a virtue
    - ju färre saker du har, desto lättare är det att administrera
    - ju färre saker du har, desto färre svaga länkar har du

Security through obscurity
--

Ta bort/stäng av sånt som inte behövs!
    - bluetooth, IR etc..

    inetd - sparkar igång olika tjänster när de behövs

    xinetd (extended inetdaemon) - samma som inetd, men:
        - modern
        - säker
        - flexibel

    /etc/services
        - definierar vilka portar olika tjänster känner till

    /etc/xinetd.d
    /etc/xinetd.conf (?)

Avaktivera konton som inte används
Begränsa tillgång för konton etc

host_allow, host_deny
   
- SKIT I TCPWRAPPERS!

Netfilter
    iptables - brandväggen
        iptables
        iptables-save
        iptables-restore

Kap 2 - SELINUX
--------------------------------------
NEJ


Kap 3 - DNS/BIND
--------------------------------------
Rolle rekomenderar dnsmasq, för den som håller sig till få subnät! :D
    - fördelen är att man slipper fram- och baklängesuppslagning!

Framlängesuppslagning
    mot domän

Baklängesuppslagning
    mot ipnr

DNS används till fler saker än att bara slå fram och tillbaka.
    ...

zoner är grupper av maskiner
    framlängeszonerna är hela eller delar av domäner
    baklängeszonerna är hela eller delar av nätverk

primary/master, secondary/slave eller cashing server.

---
rekursiv namnuppslagning
    jag frågar en namnserver som, om den inte vet, frågar en annan namnserver, etc..
    svaret går tillbaka via de tillfrågade namnservrarna

Iterativ namnuppslagning
    jag frågar en namnserver som, om den inte vet, frågar en annan namnserver, etc..
    svaret går DIREKT till mig, och inte via de andra namnservrarna
---

TTL - Time To Live

rnds - styra över bind och allt

resolv.conf - talar om vilken domän vi hör till själva
        - lista på namnservrar

testa
    ping, host, dig etc..


Kap 4 - BIND
-------------------------------------

named.conf
    konf-filen för bind

Cache - lagrar sökningsinformation så att det inte behöver sökas efter varje ggn

rndc - kan skapa nycklar för auth

zonfil-syntax
    SOA, NS, A etc..
    svårt att sätta upp mailtjänst utan MX-record


Kap 5 - DNS-hierarki
------------------------------------

Subdomäner
delegera zoner
in-addr.arpa


Kap 6 - Vyer i bind
-----------------------------------

vyer - vilka delar av "donämen" som kan ses utifrån och innifrån respektive

kan ha ACL'er

kan köras som chroot, för att minska säkerhetshål

med dynamisk dns kan dhcp lägga till maskiner under drift och ev ta bort dom.

vanliga problem:
    serienummret!
    syntax error
    glömmer uppdatera både fram OCH baklängesuppslagningarna
    starta om bind

    resolv.conf


Kap 7 - LDAP concepts and clients
-----------------------------------

NIS/NIS+ - Historisk Unix directory service
Kerberos - bla bla bla
LDAP     - Generell katalogtjänst, där man kan stoppa in all möjlig information.

X.500 - en katalogtjänst som skulle ta emot information om framtida informationstjänster.
    dock väldigt trögkörd. då satte sig några och skapade LDAP (lighweight directory access protocol).

problemet med LDAP är att själva programmet är stort och svårt.
    man måste se det som ett ställe att lagra data och bry dig inte om så mkt mer.

mata in information med olika attribut, tex
    cn     common name
    c    country
    s    street
    o     organization

LDAP Schema
    tabellstruktur som talar om HUR info lagras i LDAPkatalogen

LDIF - smidigt vid data-backup etc, lätt att använda för att dumpa ut info från LDAP till en textfil

Säkerhet
    ACL'er
    SASL     - ett API för att jacka in säkerhetsmoduler, typ ögonscanner, fingerprintscanner etc.. :)
       
implemantationer (importeras från LDIF-fil)
    email
    postfix, sendmail, apache etc


Kap 8 - Open LDAP Servers
-----------------------------------

slapd - standalone ldap daemon

slurpd - standalone update replication daemon

/etc/openldap/slapd.conf - main conf-file
    global
    backend
    database

schemat talar om hur katalogen ska användas och vad vi kan göra med ldap
man kan skriva egna schema, men det är mest programmerare som gör det

vem får kolla vad?

bdb - standardlagring

skippa backend conf och databas

trimma för prestanda, indexes

att kunna replikera sin databas är viktigt!
samma info på fler ställen

slaptest


Kap 9
-----------------------------
-

Kap 10 - Apache
-----------------------------------

confas via /etc/httpd/conf/httpd.conf !

länk - öppnar socket - hämtar htmlsida med info - utför

neststat, telnet

http - klartext

apache kan köra singel-och flertrådade processer

för att få SSl att funka måste man ha ett certifikat på servern!
viktigt!

Viktigt med virtuell hosting!
    kan baseras på ipnummer
    kan baseras på namn (namnet pekar på ipadress i dns'en)
    kan baseras på portnummer (lite äldre, men praktiskt ibland)

httpd.conf - SERVER SETTINGS

MIME kan vara ett fallhål. se upp!

moduler måste stödjas av apache för att funka, men det stödjs per default.

loggar kan kollas med olika verktyg och i olika format.


Kap 11 - Vhosting
---------------------------------

Virtuell webhosting
    1.0 - Ipbaserad
    1.1 - ip- och namnbaserad

Ipbaserad - fler IP
    dom1.com -> 10.10.4.147
    dom2.com -> 10.10.4.162

namnbaserad - samma IP
    dom1.com -> 10.10.4.147
    dom2.com -> 10.10.4.147

portbaserad
   

Kap 12 - Apache Security
----------------------------------

En administratör med tillgång till httpd.conf

Directory Protection (med allow override)

htaccess - redirection

kryptering och certifikat
        cert: hash, nycklar och info om ägaren och syftet

SSl med mod_ssl.so
HTTP + SSL = HTTPS


Kap 13 - Apache SERVER-side scripting
----------------------------------------

CGI - Common Gateway Interface
    webservern startar ett fristående program som levererar uttdata som läggs upp i en websida

grotta inte ner mig i php och tomcat. läs lite java
PHP - hypertext preprocessor
    confas via texteditor

Java - problem: finns olika versioner

Tomcat - populär javabaserad modul för att skapa websidor i java


Kap 14 - FTP
---------------------------------------

praktiskt för STORA filer

passiv ftp
aktiv ftp

vsftpd - smidig, snabb, effektiv, ofta default
kan köras från xinetd och som standalone
vsftpd.conf


Kap 15 - Squid Proxy
---------------------------------------

betyder ombud

för web och ftp

kan användas för övervakning


Kap 16 - Samba
--------------------------------------
används för att dela ut skrivare och filsystem
/etc/samba/smb.conf

smbd - samba daemon
    fil och skrivardelning
   
nmbd - net bios named service (nbns)
    max 15 tecken långa namn

smbclient
    ett ftp-liknande interface

net -     nytt sambaverktyg

kallas i nyare termet för cifs (common internet file system)

man måste vara spcifik med vilken version av WIN man använder

var noga med filnamn mellan win-unixsystem.

smbpasswd


MAIL
----------------------------------------

Pop - post office protocol

används till post och loggar