Linux hálózati adminisztráció

Hasonló dokumentumok
Linux hálózati adminisztráció

Linux hálózati adminisztráció

Szalai Ferenc

LINUX LDAP címtár. Mi a címtár?

Levelező szerverek. Hargitai Gábor november 28.

és DKIM. Kadlecsik József MTA Wigner Fizikai Kutatóközpont ISZT 2018, Budapest

UNIX / Linux rendszeradminisztráció III. előadás


Szalai Ferenc

SSH haladóknak. SSH haladóknak

LDAP és Kerberos. Mezei Tamás Simonyi Károly Szakkollégium

applikációs protokollok

Hálózati adminisztráció Linux (Ubuntu 8.04) 12. gyakorlat

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE


Összeállította: Sallai András. Levelezőszerver egyszerűen

Elektronikus levelezés

Mérési útmutató a Secure Shell (SSH) controll és audit című méréshez

Névfeloldás hosts, nsswitch, DNS

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Hálózati architektúrák és Protokollok GI Kocsis Gergely

15. Tétel. Extran et olyan biztonsá gos, privát, intranet hálózat amely internet protokol lok segítség ével teszi lehetővé a

Fábián Zoltán Hálózatok elmélet

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

Elektronikus levelek vírus és SPAM szűrése

Hálózati Architektúrák és Protokollok GI BSc. 10. laborgyakorlat

EMTP, EGY ÚJ LEVELEZÕ PROTOKOLL ÉS IMPLEMENTÁCIÓJA

Elektronikus levelek. Az informatikai biztonság alapjai II.

Alkalmazás rétegbeli protokollok:

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

SOPHOS simple + secure. A dobozba rejtett biztonság UTM 9. Kókai Gábor - Sophos Advanced Engineer Balogh Viktor - Sophos Architect SOPHOS

4. Gyakorlat: Csoportházirend beállítások

Tartalomjegyzék. Ajánlás v Tartalomjegyzék vii Köszönetnyilvánítás A szerzõrõl xv Bevezetés xvii

Központosított hitelesítés és vállalati címtár megvalósítása (1. rész)

1. Kapcsolók konfigurálása

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

Hálózati adminisztráció Linux (Ubuntu 9.04) 9. gyakorlat

fájl-szerver (file server) Az a számítógép a hálózatban, amelyen a távoli felhasználók (kliensek) adatállományait tárolják.

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

JNDI - alapok. Java Naming and Directory Interface

Hálózati architektúrák és Protokollok GI - 9. Kocsis Gergely

2. gyakorlat: Tartományvezérlő, DNS, tartományba léptetés, ODJ, Core változat konfigurálása, RODC

NIS + NFS+Automount. Összeállította: Sallai András

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

HÁLÓZATI HASZNÁLATI ÚTMUTATÓ

Foglalkozási napló. Informatikai rendszergazda 14. évfolyam

Hálózati architektúrák és Protokollok GI Kocsis Gergely

Tájékoztató a kollégiumi internet beállításához

ALKALMAZÁSOK ISMERTETÉSE

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

Címtár szolgáltatások

Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz

Elektronikus levelek vírus és SPAM szűrése

1. Ismerkedés a Hyper-V-vel, virtuális gépek telepítése és konfigurálása

OpenLDAP mindenütt újra

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

1.2. NFS kliens telepítése és beállítása

Cisco Catalyst 3500XL switch segédlet

Hálózati architektúrák és Protokollok GI Kocsis Gergely

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

Összeállította: Sallai András. Levelezőszerver

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Fábián Zoltán Hálózatok elmélet

Hálózatkezelés. Tóth Zsolt. Miskolci Egyetem. Tóth Zsolt (Miskolci Egyetem) Hálózatkezelés / 20

S, mint secure. Nagy Attila Gábor Wildom Kft.

Hálózati adminisztráció Linux (Ubuntu 9.04) 8. gyakorlat

Mosolygó Ferenc. Értékesítési Konzultáns.

. Dr. Nyéki Lajos 2019

Címtár szolgáltatások

PC Connect. Unique ewsletter. program leírás

Az operációs rendszerek fejlődése

Mikrotik 6.22 telepítés

NEPTUN ID BMENET ID. Címtár BME VPN. vcenter VPN SVN. Trac Wiki. Wifi

Hálózati architektúrák és Protokollok MI 7,8. Kocsis Gergely

Nagios NSCA Indirect Monitoring, Passive Check

Kiszolgálók üzemeltetése FTP. Iványi Péter

Rétegezett architektúra HTTP. A hálózatfejlesztés motorját a hálózati alkalmazások képezik. TCP/IP protokoll készlet

Windows hálózati adminisztráció

ProFTPD. Molnár Dániel október oldal

9. Gyakorlat: Network Load Balancing (NLB)

BackupPC. Az /etc/hosts fájlba betehetjük a hosztokat, ha nem a tejles (fqdn, DNS név) névvel hivatkozunk rájuk: # /etc/hosts #

Készítette: Sallai András Terjesztés csak engedéllyel sallaia_kukac_fre _pont_hu

Hálózati architektúrák és Protokollok GI - 9. Kocsis Gergely

Proxer 7 Manager szoftver felhasználói leírás

2. lépés: openssh szerver telepítés sudo apt-get install openssh-server

Laborgyakorlat: A Windows XP haladó telepítése


SIP. Jelzés a telefóniában. Session Initiation Protocol

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Melyek a Windows Server 2008 R2 tiszta telepítésének (Clean Install) legfontosabb lépései?

Üzenet küldése Programs (Bal soft key) Inbox New MMS Menu Insert Picture Text Audio A szerkesztés után:

SSH. Az informatikai biztonság alapjai II.

Novell Vibe OnPrem 3. 1 A termék áttekintése. Novell december 08.

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

SSH - A BIZTONSÁGOS ALTERNATÍVAZ RSH HELYETT

LDAP azonosítás a gyakorlatban egy esettanulmány A kliensek beállítása (2. rész)

Elosztott rendszerek

Átírás:

Linux hálózati adminisztráció Tantárgykód: MIN7K0IN-T Göcs László főiskolai tanársegéd Neumann János Egyetem GAMF Műszaki és Informatikai Kar Informatika Tanszék 6. 2018-19. tanév 1. félév

SSH

Távoli elérés biztonságosan A telnet, rcp, rsh, rlogin titkosítás nélkül továbbítja az információt SSH Secure Shell Kereskedelmi vált.: SSH Tectia Szabad vált.: OpenSSH (main Ubuntu tároló) Hitelesítés nyilvános/titkos kulcspáros alapú megoldással vagy egyes szolgáltatások esetén Kerberos kiszolgáló segítségével (Kerberos tikett)

Hitelesítés A kulcshozzáférést külön jelszóval is korlátozhatja Először a hoszt hitelesítése, majd a felhasználó hitelesítése A további információáramlás már a kiszolgáló és az ügyfél által közösen választott (vagy előre meghatározott) algoritmussal Nyilvános kulccsal titkosít a kiszolgáló

Kiszolgáló Kiszolgáló telepítése sudo apt-get install openssh-server -y Kiszolgáló indítása, leállítása, újraindítása, állapota sudo service ssh start stop restart status A 22-es porton várja a kéréseket Nyilvános kulcsot a ~/.ssh/authorized_keys állományhoz kell hozzáadni

Kiszolgáló konfigurálás /etc/ssh/sshd_config Port 22 (ez az alapért., de célszerű mást beállítani 1024 49152, pl. 2222) Üdvözlőszöveg, figyelmeztetés, stb. Banner /etc/issue.net Az autentikáció történhet jelszó vagy SSH kulcs alapon* Jelszó alapú letiltása: PasswordAuthentication no Nyilvános kulcs alapú: PubkeyAuthentication yes RSAAuthentication yes

Konfigurálás Távoli asztal, grafikus alkalmazások, stb. engedélyezése a kapcsolaton AllowTcpForwarding yes X11Forwarding yes Mely felhasználói fiókok/csoportok használhatják AllowUsers hallgato geza Mely felhasználói fiókok/csoportok nem használhatják DenyUsers jeno istvan

Tűzfal Tűzfal profil települ: /etc/ufw/applications.d/openssh-server sudo ufw allow OpenSSH

OpenSSH átngedése a tűzfalon

Ellenőrzés Fut-e? ps A grep sshd Milyen porton várja a kéréseket? ss lnp grep sshd Helyi bejelentkezés: ssh v localhost

Ellenőrzés Fogad-e kapcsolatot? sudo netstat --inet -lpn grep sshd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN <PID>/sshd

Ügyfélgép Ügyfélszoftver telepítése sudo apt-get install openssh-client Kulcsok létrehozása RSA vagy DSA titkosítással ssh-keygen -t rsa dsa Kulcsok: ~/.ssh/id_rsa.pub és ~/.ssh/id_rsa Titkos kulcsok betöltése a memóriába ssh-add -l

Kulcsok generálása

Ügyfélprogramok ssh parancssori és grafikus (-X kapcsoló) távoli kapcsolatoknál ssh felhasznnálónév@gépnév scp fájlok másolása gépek között. Pl. helyi gépről távoli gépre scp forráfájl felh@gépnév:/könyvtár/célfájl -r egész könyvtár másolható sftp a kiszolgálón sftp-server kell fusson (SSH File Transfer Protocol) sftp gépnév ssh-copy-id nyilvános kulcs átmásolása a kiszolgálóra ssh-copy-id felhasználó@gépnév

Központi felhasználómenedzsment

Központosított felhasználómenedzsment Samba 4 NIS LDAP

NIS Network Information System Korábbi neve Sun Yellow Pages (YP) Konfigurációs állományok adatbázisa (pl. jelszavak) Egy mester (elsődleges) szerver és több szolga (másodlagos) szerver Konfigurációs állományok módosítása csak a mester szerveren Minden Unix rendszer támogatja

NIS Pl. /etc/password jelszó térkép Letöltve a másodlagos szerverekre A NIS kliensek nem a lokális password állományt használják, hanem lekérdezik a szervert NFS-el kiegészíthető ha a felhasználó bárhonnan jelentkezik be, ugyanaz a saját könyvtára

NIS térképek Minden szöveges konfigurációs állományból egy bináris adatbázis-állomány Tartomány /var/yp/ és /var/yp/tartománynév/ 2 mező: kulcs és érték Egy keresett adathoz 3 információ szükséges: tartománynév (NIS-gyakorlat), térképnév (passwd.byname), kulcs (geza)

NIS szerver beállítás NIS doménnév megadása nem kell azonos legyen a DNS tartománnyal biztonsági ajánlás: eltérő név

Szerver beállítás Ez a host legyen egyben NIS ügyfél is Gyors map disztribúció Engedélyezi jelszavak cseréjét (GECOS: teljes név; shell) Egyéb általános beállítások yp forráskönyvtár: /etc Jelszavak összeolvasztása: shadowpasswd Csoportok összeolvasztása: gshadowgroup Minimális UID és GID (ez alatt nem oszt szét=titkos)

Szerver térképek beállítása Mi lesz elérhető a hálózaton: group, hosts, mail, netid, passwd, rpc, services, shadow Ki kérdezheti le? Kötelező: Hálózati maszk: 255.0.0.0 Hálózat: 127.0.0.0 Mindenki: Hálózati maszk: 0.0.0.0 Hálózat: 0.0.0.0

Módosítások érvényesítése Ha a közzétett adatbázisok közül valamelyikben módosítunk, pl. új felhasználó felvétele Akkor a bináris (közzétett) adatbázist is módosítani kell: cd /var/yp make C Konfig. áll. /var/yp/makefile

Kliens beállítása szerver is lehet NIS kliens, ilyenkor 127.0.0.1 egyébként pl.: 192.168.xxx.xxx

Kézi beállításhoz kiegészítés RPC portmappernek futnia kell /etc/passwd ben kiegészítő sor: +:::::: /etc/shadow ben kiegészítő sor: +:::::::: /etc/group ban kiegészítő sor: +:::

Néhány parancs yppasswd NIS jelszócsere ypchfn GECOS infók cseréje ypchsh shell csere ypwhich szerver nevének lekérdezése ypdomainname NIS tartománynév lekérdezés és csere hostname

Name Service Switch /etc/nsswitch.conf Milyen sorrendben történjen a keresés az egyes adatbázisokban és konfigurációs állományokban hálózati információk (passwd, group, aliases, hosts, netmasks, etc.) Felépítés: szolgáltatás : specifikációk nis, nis-plus, files, db, dns, compat

Name Service Switch Pl.: passwd: hosts: netmasks: files ldap files ldap dns files

LDAP Lightweight Directory Access Protocol Kliens-szerver protokol címtár szolgáltatás eléréséhez slapd a szolgáltatást nyújtó démon slurpd - szerverek közötti replikáció kiszolgálója Kliens-szerver modellen alapul Egy vagy több LDAP szerveren tárolt adatból épül fel az LDAP fa Az LDAP kliens egy LDAP szerverhez csatlakozik, és felteszi a kérdéseit A szerver a válasszal reagál, vagy egy mutatóval, hol talál több információt a kliens

Adatbázisok Három különböző, szabadon választható háttér adatbázis hasznláható: LDBM, a nagy teljesítményű merevlemez alapú adatbázis SHELL, az adatbázis interfész tetszőleges UNIX parancs vagy shell-script eléréséhez PASSWORD, az egyszerű jelszó adatbázis

Az LDBM adatbázis 4 bájtos egyedi azonosítók minden adathoz Fő indexe az id2entry, ami a bejegyzések egyedi azonosítóit (entry's unique indentifier - EID) összerendeli saját szöveges ábrázolásával Importálás és exportálás LDIF formátumban (LDAP Data Interchange Format) A bejegyzéseket objektum orientált hiearchikus formában tárolja

Internet tartomány név alapú fastruktúra DC Domain Component CN Common Name OU Organizational Unit DIT: directory information tree Hivatkozás a bejegyzésre:rfc4514, DN: distinguished name: uid=babs,ou=people,dc =example,dc=com RDN: Relative Distinguished Name uid=babs

LDIF dn: o=nns, c=hu o: Nns objectclass: organization dn: cn=halász Gábor, o=nns, c=hu cn: Halász Gábor sn: Halász gn: Gábor mail: halasz.g@nns.hu objectclass: person

Felépítés dn - distinguished name (megkülönböztő név) - a bejegyzés nevéből áll, megtoldva a név elérési útjával vissza a címtár hiearchia csúcsáig alapvető objektum osztályok: Group (csoport), független objektumok rendezetlen listája vagy objektumok csoportja Location (elhelyezkedés), az országok nevei és leírásuk Organization (szervezet) People (személy)

Bejegyzések Egy bejegyzés (attribútum) több objektumosztályhoz is tartozhat cn: Halász Gábor (commonname) givenname: Gábor surname: Halász mail: halasz.g@nns.hu A person objektumosztályban cn és sn attribútumok szükségesek telephonenumber, seealso és userpassword jellemzők engedélyezettek, de nem szükségesek

Attribútum szintaxis Minden attribútumnak meghatározott szintaxis definíciója van bin - binary (bináris) ces - case exact string (betűnagyságnak meg kell egyeznie az összehasonlítás során) cis - case ignore string (betűnagyságnak nem kell egyeznie az összehasonlítás során) tel - telephone number string (olyan, mint a cis, de a <-> kihagyásával)

Az LDAP szerver konfigurálása hely: /usr/local/etc/openldap vagy /etc/openldap állomány: slapd.conf (slapd.oc.conf és slapd.at.conf)

slapd.conf # megjegyzés - ezek az egész adatbázisra érv. <globális konfigurációs lehetőségek> # első adatbázis database <backend 1 type> <backend 1 beáll.> # második adatbázis database <backend 2 type> <backend 2 beáll.> # további adatbázis definíciók

LDAP szerver indítása önállóan (LDBM esetén ez ajánlott) $(ETCDIR)/slapd [<opciók>]* inetd-vel indítva

Accessing LDAP Add, modify, and delete entries with ldapadd, ldapmodify, and ldapdelete Search the LDAP database with ldapsearch Bind as some DN or anonymously ldapsearch -D cn=directory Manager -h ldaphost -b dc=cims,dc=nyu,dc=edu uidnumber=9876 gecos Access to information is controlled by an access control list, e.g. password hashes are not available through anonymous bind

Levelezés

Fontos protokollok SMTP - Simple Mail Transfer Protocol POP3 - Post Office Protocol IMAP - Internet Message Access Protocol HTTP Johanyák Zs. Csaba (c) 2015

SMTP - hagyományosan felhasználó terminálnál MUA Küldő gép Várakozó sor MTA A szervezet Várakozó sor Várakozó sor Relay MTA Relay MTA Internet MUA MDA Várakozó sor B szervezet Johanyák Zs. Csaba (c) 2015 felhasználó terminálnál Fogadó gép

SMTP Application-level protocol on TCP Mail system is performed by two agents. MTA(mail transfer agent): Postfix, Exim, Sendmail, Qmail, Courier MUA (mail user agent): Thunderbird, Outlook, Eudora, Evolution Communication between two MTAs uses NVT (Network Virtual Terminal) 7 bit ASCII. Commands are sent by the client to the server. Johanyák Zs. Csaba (c) 2015

Typical message format One part generated by sender s MTA. The other part generated by sender s user agent. E-mail is composed of three pieces. Envelope : used by the MTAs for delivery. Header : used by the user agents. Body : the content of the message. Note : each line transferred using the DATA command must be less than 1000 bytes Johanyák Zs. Csaba (c) 2015 generated by sender s MTA generated by sender s user agent Received: by client.ac.kr. (4.1/SMI-4.1) id AA004303; Mon, 20, Aug 98 12:30:34 MST Message-Id: <98082033245.AA004303@client.ac.kr> From: sender@client.ac.kr (Sender) Date: Mon, 20, Aug 1998 12:30:33-0070 Reply-To: receiver@server.ac.kr X-Phone: +1 343 342 2345 X-Mailer: Mail User s shell(7.5.4 10/23/98) To: receiver@server.ac.kr Subject: Just testing mail. hello, this is a testing mail. bye..

Szerverek lekérdezése Johanyák Zs. Csaba (c) 2015

Limitations in SMTP Only uses NVT 7 bit ASCII format How to represent other data types? No authentication mechanisms Messages are sent un-encrypted Susceptible to misuse (Spamming, faking sender address) Johanyák Zs. Csaba (c) 2015

Solution: SMTP extensions MIME Multipurpose Internet Mail Extensions Transforms non-ascii data to NVT (Network Virtual Terminal) ASCII data Text Application Image Audio Video Johanyák Zs. Csaba (c) 2015 RFC 1425, 1426, 1521

SMTP AUTH MTA Client TCP Connection Establishment MTA Server Allows the server to provide features only to known users and limit others. Various authentication methods may be used (PLAIN, LOGIN, CRAM-MD5, etc.) Encryption is highly recommended if not enforced by MTA. Ex. AUTH PLAIN Simple Usage: AUTH PLAIN <id>\0<user>\0<password> Authentication string is Base64 encoded 220 Service Ready EHLO stimpy.cis.udel.edu 250 Hello stimpy.cis.udel.edu AUTH PLAIN AGV6cmEAYg== 235 Authentication Succeeded MAIL FROM: kissel@cis.udel.edu 250 OK RCPT TO: amer@cis.udel.edu 250 OK Negotiate Encryption (STARTTLS) Johanyák Zs. Csaba (c) 2015 RFC 1869, 2554, 2595

Email can be faked HELO stimpy.eecis.udel.edu MAIL FROM: cis-dept@cis.udel.edu RCPT TO: amer@cis.udel.edu DATA From: Department Chair To: Dr. Paul Amer Subject: CISC856 Solutions Email signatures (PGP) Sender Policy Framework (SPF) Dr. Amer, By department decree all students in your CISC856 TCP/IP class are hereby to be given automatic A s. Thank you, Department Chair. QUIT Johanyák Zs. Csaba (c) 2015

MTAs and Mail Access Protocols The MTA delivers email to the user s mailbox Can be complex with numerous delivery methods, routers, and ACLs Exim, Postfix, Sendmail The Mail Access Protocols are used by the users to retrieve the email from the mailbox POP3 IMAP4 Johanyák Zs. Csaba (c) 2015

Post Office Protocol v3 Simple Allows the user to obtain a list of their Emails Users can retrieve their emails Users can either delete or keep the email on their system Minimizes server resources Johanyák Zs. Csaba (c) 2015

Internet Mail Access Protocol v4 Has more features than POP3 User can check the email header before downloading Emails can be accessed from any location Can search the email for a specific string of characters before downloading User can download parts of an email User can create, delete, or rename mailboxes on a server Johanyák Zs. Csaba (c) 2015

Levelező szerver Mail Transfer Agent levelek fogadása és küldése (szerver) Postfix exim4 Levélszűrés spam és vírus felismerés Amavis-new Spamassassin Clamav Mail Delivery Agent Dovecot Cyrus Courier Levelezési lista Mailman Johanyák Zs. Csaba (c) 2015

Postfix MTA levelek küldése és fogadása sudo apt-get install postfix Johanyák Zs. Csaba (c) 2015

Konfiguráció folytatás sudo dpkg-reconfigure postfix Johanyák Zs. Csaba (c) 2015

További beállítások Levelek tárolásásra szolgáló könyvtár megadása TLS-t alkalmazó SASL hitelesítési mechanizmus beállítása (SMTP-AUTH) egy hitlesítésszolgáltató által kiadott vagy "önaláírású" tanúsítvány szükséges Lehetséges SASL megvalósítások: Dovecot SASL (postfix-dovecot csomag) és Cyrus SASL Johanyák Zs. Csaba (c) 2015

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés