101215
Från Regrin:
Ganska viktigt
Viktigt
-----------------------------------------------------------------------------------------------------------------------------------------------
Webproxy Samba
epost
FTP
Webb Epost
BIND
- Problem m
Windowsversioner - spamfilter
- vsftpd Apache
- Termer (MUA..) -
Zonerna
-
procmail
- Moduler - Postfix
- Fram -> Domän
- V-Hosting - Imap/pop
- Bak -> Nät (IP)
LDAP
Kap 1
-----------------------------------
Principle of least privilege
- programmet/användaren kan inte göra stor skada om det/den inte har stora behörigheter!
Multiple layers of defense & Diversity of layers of defense
- bra med fler försvarsmurar, inte bara brandvägg!
- iptables, host_deny etc
Only as secure as the weakest link
- alltid den svagaste länken som brister!
Simplicity is a virtue
- ju färre saker du har, desto lättare är det att administrera
- ju färre saker du har, desto färre svaga länkar har du
Security through obscurity
--
Ta bort/stäng av sånt som inte behövs!
- bluetooth, IR etc..
inetd - sparkar igång olika tjänster när de behövs
xinetd (extended inetdaemon) - samma som inetd, men:
- modern
- säker
- flexibel
/etc/services
- definierar vilka portar olika tjänster känner till
/etc/xinetd.d
/etc/xinetd.conf (?)
Avaktivera konton som inte används
Begränsa tillgång för konton etc
host_allow, host_deny
- SKIT I TCPWRAPPERS!
Netfilter
iptables - brandväggen
iptables
iptables-save
iptables-restore
Kap 2 - SELINUX
--------------------------------------
NEJ
Kap 3 - DNS/BIND
--------------------------------------
Rolle rekomenderar dnsmasq, för den som håller sig till få subnät! :D
- fördelen är att man slipper fram- och baklängesuppslagning!
Framlängesuppslagning
mot domän
Baklängesuppslagning
mot ipnr
DNS används till fler saker än att bara slå fram och tillbaka.
...
zoner är grupper av maskiner
framlängeszonerna är hela eller delar av domäner
baklängeszonerna är hela eller delar av nätverk
primary/master, secondary/slave eller cashing server.
---
rekursiv namnuppslagning
jag frågar en namnserver som, om den inte vet, frågar en annan namnserver, etc..
svaret går tillbaka via de tillfrågade namnservrarna
Iterativ namnuppslagning
jag frågar en namnserver som, om den inte vet, frågar en annan namnserver, etc..
svaret går DIREKT till mig, och inte via de andra namnservrarna
---
TTL - Time To Live
rnds - styra över bind och allt
resolv.conf - talar om vilken domän vi hör till själva
- lista på namnservrar
testa
ping, host, dig etc..
Kap 4 - BIND
-------------------------------------
named.conf
konf-filen för bind
Cache - lagrar sökningsinformation så att det inte behöver sökas efter varje ggn
rndc - kan skapa nycklar för auth
zonfil-syntax
SOA, NS, A etc..
svårt att sätta upp mailtjänst utan MX-record
Kap 5 - DNS-hierarki
------------------------------------
Subdomäner
delegera zoner
in-addr.arpa
Kap 6 - Vyer i bind
-----------------------------------
vyer - vilka delar av "donämen" som kan ses utifrån och innifrån respektive
kan ha ACL'er
kan köras som chroot, för att minska säkerhetshål
med dynamisk dns kan dhcp lägga till maskiner under drift och ev ta bort dom.
vanliga problem:
serienummret!
syntax error
glömmer uppdatera både fram OCH baklängesuppslagningarna
starta om bind
resolv.conf
Kap 7 - LDAP concepts and clients
-----------------------------------
NIS/NIS+ - Historisk Unix directory service
Kerberos - bla bla bla
LDAP - Generell katalogtjänst, där man kan stoppa in all möjlig information.
X.500 - en katalogtjänst som skulle ta emot information om framtida informationstjänster.
dock väldigt trögkörd. då satte sig några och skapade LDAP (lighweight directory access protocol).
problemet med LDAP är att själva programmet är stort och svårt.
man måste se det som ett ställe att lagra data och bry dig inte om så mkt mer.
mata in information med olika attribut, tex
cn common name
c country
s street
o organization
LDAP Schema
tabellstruktur som talar om HUR info lagras i LDAPkatalogen
LDIF - smidigt vid data-backup etc, lätt att använda för att dumpa ut info från LDAP till en textfil
Säkerhet
ACL'er
SASL - ett API för att jacka in
säkerhetsmoduler, typ ögonscanner, fingerprintscanner etc.. :)
implemantationer (importeras från LDIF-fil)
email
postfix, sendmail, apache etc
Kap 8 - Open LDAP Servers
-----------------------------------
slapd - standalone ldap daemon
slurpd - standalone update replication daemon
/etc/openldap/slapd.conf - main conf-file
global
backend
database
schemat talar om hur katalogen ska användas och vad vi kan göra med ldap
man kan skriva egna schema, men det är mest programmerare som gör det
vem får kolla vad?
bdb - standardlagring
skippa backend conf och databas
trimma för prestanda, indexes
att kunna replikera sin databas är viktigt!
samma info på fler ställen
slaptest
Kap 9
-----------------------------
-
Kap 10 - Apache
-----------------------------------
confas via /etc/httpd/conf/httpd.conf !
länk - öppnar socket - hämtar htmlsida med info - utför
neststat, telnet
http - klartext
apache kan köra singel-och flertrådade processer
för att få SSl att funka måste man ha ett certifikat på servern!
viktigt!
Viktigt med virtuell hosting!
kan baseras på ipnummer
kan baseras på namn (namnet pekar på ipadress i dns'en)
kan baseras på portnummer (lite äldre, men praktiskt ibland)
httpd.conf - SERVER SETTINGS
MIME kan vara ett fallhål. se upp!
moduler måste stödjas av apache för att funka, men det stödjs per default.
loggar kan kollas med olika verktyg och i olika format.
Kap 11 - Vhosting
---------------------------------
Virtuell webhosting
1.0 - Ipbaserad
1.1 - ip- och namnbaserad
Ipbaserad - fler IP
dom1.com -> 10.10.4.147
dom2.com -> 10.10.4.162
namnbaserad - samma IP
dom1.com -> 10.10.4.147
dom2.com -> 10.10.4.147
portbaserad
Kap 12 - Apache Security
----------------------------------
En administratör med tillgång till httpd.conf
Directory Protection (med allow override)
htaccess - redirection
kryptering och certifikat
cert: hash, nycklar och info om ägaren och syftet
SSl med mod_ssl.so
HTTP + SSL = HTTPS
Kap 13 - Apache SERVER-side scripting
----------------------------------------
CGI - Common Gateway Interface
webservern startar ett fristående program som levererar uttdata som läggs upp i en websida
grotta inte ner mig i php och tomcat. läs lite java
PHP - hypertext preprocessor
confas via texteditor
Java - problem: finns olika versioner
Tomcat - populär javabaserad modul för att skapa websidor i java
Kap 14 - FTP
---------------------------------------
praktiskt för STORA filer
passiv ftp
aktiv ftp
vsftpd - smidig, snabb, effektiv, ofta default
kan köras från xinetd och som standalone
vsftpd.conf
Kap 15 - Squid Proxy
---------------------------------------
betyder ombud
för web och ftp
kan användas för övervakning
Kap 16 - Samba
--------------------------------------
används för att dela ut skrivare och filsystem
/etc/samba/smb.conf
smbd - samba daemon
fil och skrivardelning
nmbd - net bios named service (nbns)
max 15 tecken långa namn
smbclient
ett ftp-liknande interface
net - nytt sambaverktyg
kallas i nyare termet för cifs (common internet file system)
man måste vara spcifik med vilken version av WIN man använder
var noga med filnamn mellan win-unixsystem.
smbpasswd
MAIL
----------------------------------------
Pop - post office protocol
används till post och loggar