Linux hálózati adminisztráció

Hasonló dokumentumok
IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

Hálózatok építése és üzemeltetése

Netfilter. Csomagszűrés. Összeállította: Sallai András

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

A netfilter csomagszűrő tűzfal

Számítógépes Hálózatok GY 9.hét

Számítógépes Hálózatok GY 8.hét

Alap tűzfal otthoni PC-re (iptables I)

Számítógépes Hálózatok

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu>

Internet ROUTER. Motiváció

Számítógépes Hálózatok. 8. gyakorlat

Számítógépes Hálózatok GY 8.hét

T?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI

Adatbiztonság a gazdaságinformatikában ZH december 7. Név: Neptun kód:

IPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész):

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián

nftables Kadlecsik József MTA Wigner FK

Hálózati eszközök biztonsága

13. gyakorlat Deák Kristóf

Számítógépes hálózatok

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

1.2. NFS kliens telepítése és beállítása

ALAP BEÁLLÍTÁSOK. 1. Jogosultság megadás, hogy tudjunk dolgozni sudo s jelszó:xxxxxx. 2.Hálózati kártyák beállítása mcedit /etc/network/interfaces

HBONE rendszergazdák tanácsa

[SZÁMÍTÓGÉP-HÁLÓZATOK]

HÁLÓZATBIZTONSÁG III. rész

A Sangoma Technologies Intelligens

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

8. WebDAV kiszolgáló konfigurálása

Cisco Catalyst 3500XL switch segédlet

Opensuse automatikus telepítése

Synology NAS integrálása inels IMM szerverhez

Mikrotik 6.22 telepítés

Hálózati architektúrák laborgyakorlat

OpenBSD hálózat és NAT64. Répás Sándor

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

A belső hálózat konfigurálása

III. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

WLAN router telepítési segédlete

Merevlemez üzembe helyezése, particionálása

WLAN router telepítési segédlete

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

Linux alapok gyakorlat

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Portforward beállítási segítség

Hálózatok építése és üzemeltetése

2019/02/12 12:45 1/13 ACL

Fábián Zoltán Hálózatok elmélet

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

WLAN router telepítési segédlete

TechSon N szériás DVR-ek hálózatbeállítása

Linux hálózati adminisztráció

Hálózati beállítások Készítette: Jámbor Zoltán 2016

IPv6 alapú otthoni LAN hálózat kialakítása

Telepítés, újratelepítés több számítógépre, hálózatos telepítés Kulcs-Bér program

1. A Windows Vista munkakörnyezete 1

Csomagsz rés Linux-Netlter környezetben

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

A telepítés nyelvének kiválasztása

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez


A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

1. Forgalomirányítók konfigurálása

OE-NIK 2010/11 ősz OE-NIK ősz

TELE-OPERATOR UTS v.14 Field IPTV műszer. Adatlap

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE


Laborgyakorlat: Egy vezeték nélküli NIC beszerelése

1. Használatba vétel. 1.1 Biztonsági előírások. 1.2 Rendszerkövetelmények. 1.3 A csomag tartalma

Tájékoztató. Használható segédeszköz: -

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

ConnectAlarm alkalmazás Központ/modul programozási segédlet V1.2 TL280 (R) v.4.x modulokhoz

WLAN router telepítési segédlete

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Tisztelt Telepítő! 2. Ellenőrizze, hogy a modul engedélyezve van-e: Szekció [382] Opció 5 (alternatív kommunikátor) BE.

Hálózatok építése és üzemeltetése

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

Bérprogram vásárlásakor az Ügyfélnek ben és levélben is megküldjük a termék letöltéséhez és aktiválásához szükséges termékszámot.

CareLink Personal telepítési útmutató. Első lépések a CareLink Personal adatfeltöltéshez

A gyakorlat során MySQL adatbázis szerver és a böngészőben futó phpmyadmin használata javasolt. A gyakorlat során a következőket fogjuk gyakorolni:

Gyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Készítette: Sallai András Terjesztés csak engedéllyel sallaia_kukac_fre _pont_hu

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)

Windows hálózati adminisztráció

További részletes tájékoztatásért lásd: System Administration Guide (Rendszeradminisztrátori útmutató).

DAT adatcserefájl AutoCAD MAP DWG mapobject konvertáló program dokumentáció

Átírás:

Linux hálózati adminisztráció Tantárgykód: MIN7K0IN-T Göcs László mérnöktanár Pallasz Athéné Egyetem GAMF Műszaki és Informatikai Kar Informatika Tanszék 10. 2016-17. tanév 1. félév

A Linux kernel tartalmazza a Netfilter alrendszert, amely a kiszolgálóra irányuló vagy azon átmenő hálózati forgalom sorsának befolyásolására vagy eldöntésére használható. Minden modern linuxos tűzfalmegoldás ezt a rendszert használja csomagszűrésre.

ufw - Uncomplicated Firewall Alapértelmezésben az ufw le van tiltva. Az ufw kézikönyvoldala szerint: Az ufw-t nem teljes körű tűzfalszolgáltatások biztosítására tervezték a parancsfelületen keresztül, ehelyett lehetővé teszi egyszerű szabályok könnyű felvételét vagy eltávolítását.

UFW példa Első lépésként be kell kapcsolni az ufw-t. sudo ufw enable Nyissuk ki az SSH portot: sudo ufw allow 22 A szabályok számozott formátumban is felvehetők: sudo ufw insert 1 allow 80 Hasonlóképpen a nyitott port bezárásához: sudo ufw deny 22 Szabály eltávolításához használja a delete parancsot a szabály előtt: sudo ufw delete deny 22

UFW példa Konkrét hosztnak adjuk meg az SSH-t: sudo ufw allow proto tcp from 192.168.0.2 to any port 22

Az ufw parancs a --dry-run kapcsoló hatására kiírja az eredményül kapott szabályokat, de nem alkalmazza azokat. A HTTP port kinyitásához mi kerülne alkalmazásra: sudo ufw --dry-run allow http

Az ufw letiltható: sudo ufw disable A tűzfal állapotának megjelenítése: sudo ufw status Részletesebb állapotinformációk: sudo ufw status verbose A számozott formátum megjelenítéséhez: sudo ufw status numbered

Ha a kinyitni vagy bezárni kívánt port az /etc/services fájlban van meghatározva, akkor a szám helyett a portnevet is használhatunk. 22 -> ssh sudo ufw deny ssh

A portokat megnyitó alkalmazások tartalmazhatnak egy ufw profilt, amely részletezi az alkalmazás megfelelő működéséhez szükséges portokat. Ezek a profilok az /etc/ufw/applications.d könyvtárban vannak, és az alapértelmezett portok módosításakor szerkeszthetők.

A profilokat telepített alkalmazások felsorolásához adjuk ki a következő parancsot: sudo ufw app list Az alkalmazásprofil használata a port forgalmának engedélyezéséhez hasonló módon, a következő parancs kiadásával érhető el: sudo ufw allow Samba A bővített parancs is elérhető: ufw allow from 192.168.0.0/24 to any app Samba

IP maszkolás

Az IP-maszkolás célja, hogy a privát, nem közvetíthető IP-címekkel rendelkező gépek elérjék az internetet a maszkolást végző gépen keresztül. A magánhálózatból az internetre irányuló forgalmat úgy kell módosítani, hogy visszairányítható legyen a kérést küldő gépre. Ehhez a kernelnek módosítania kell minden csomag forrás IP-címét, hogy a válaszok hozzá legyenek visszairányítva, a kérést küldő gép IP-címe helyett, különben a válaszok nem érkeznének meg.

A Linux a kapcsolatkövetést (conntrack) használja a gépek és a hozzájuk tartozó kapcsolatok nyilvántartására, és a visszaküldött csomagok ennek megfelelő átirányítására. A hálózatát elhagyó forgalom így maszkolva lesz, mintha az Ubuntu átjárógépről indult volna. Ezt a folyamatot a Microsoft dokumentációi internetkapcsolat megosztásának hívják.

Az IP-maszkolás egyéni ufw szabályok használatával érhető el. Ez azért lehetséges, mert az ufw jelenlegi háttérprogramja az iptablesrestore, amelynek szabályfájljai az /etc/ufw/*.rules alatt találhatók. Ezek a fájlok kiválóan alkalmasak az ufw nélkül használt örökölt iptables szabályok, valamint az inkább hálózati átjárókra és hidakra jellemző szabályok felvételére. A szabályok két különböző fájlba vannak osztva: az ufw parancssori szabályok előtt, és az ufw parancssori szabályok után végrehajtandó szabályok.

Első lépésként a csomagtovábbítást kell engedélyezni az ufw-ben. Két beállítófájlt kell módosítani, az /etc/default/ufw fájlban módosítsa DEFAULT_FORWARD_POLICY értékét ACCEPT -re. Ezután szerkessze az /etc/ufw/sysctl.conf fájlt, és vegye ki megjegyzésből a következőt: net/ipv4/ip_forward=1

# nat tábla szabályai *nat :POSTROUTING ACCEPT [0:0] # Forgalom továbbítása az eth1-ről az eth0-n keresztül. -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE # Ne törölje a COMMIT sort, különben ezen NAT-tábla szabályok nem kerülnek feldolgozásra COMMIT ufw disable && sudo ufw enable

Tűzfal - iptables iptables táblák: A különböző feladatokhoz táblákat használ 3 beépített tábla: nat, filter, mangle A táblákra a t kapcsolóval hivatkozhatunk. iptables láncok: A táblák láncokat tartalmaznak, ezek a láncok tartalmazzák a szabályokat. Láncok használata: -N Új láncot hoz létre. -X Üres lánc törlésére szolgál. -P Megváltoztatja az irányelvet beépített láncon. -L Adott lánc szabályait listázza. -F Adott lánc összes szabályának törlése. -Z A csomag és byte számlálók nullázására szolgál egy adott lánc valamennyi szabályában.

Tűzfal NAT tábla A címfordításért felel 3 beépített lánca van: - preruoting: útválasztás előtt hajtódik végre (DNAT) - postrouting: útválasztás után hajtódik végre (SNAT) - output: kimeneti lánc, amelyik gépen fut a tűzfal, azon a prerouting lánc nem hajtódik végre, ezért itt is be kell állítani a szabályokat.

Tűzfal FILTER tábla Szűrésekre használjuk A beépített láncai: - input: bemeneti lánc - output: kimeneti lánc - forward: továbbítandó csomagok

Tűzfal MANGLE tábla Csomagmódosításra A láncai: - prerouting: Abban az esetben használjuk, ha pl az input és a forward láncban is szerepel egy szabály. - output: kimenet

Tűzfal - szabályok Szabályok kezelése: -A Új szabály hozzáfűzése a lánchoz. -I Szabály beszúrása az adott pozícióra. -R Az adott pozíciójú szabály cseréje új szabályra. -D Az adott pozíción lévő, vagy az első illeszkedő szabály törlése. Címek megadása: -s forrás -d cél (pl SCH tartomány: 152.66.208.0/21) Protokoll meghatározása: -p (TCP, UDP, ICMP) Interface megadása: -i input -o output Szabály eredménye: -j kapcsoló ACCEPT: elfogad DROP: eldob REJECT: visszautasít

Tűzfal bővítmény TCP -p TCP kapcsolóval kapcsolható be. --tcp-flags: TCP flagek vizsgálata (SYN,ACK,FIN,RST,URG,PSH) --source-port: forrás port --destination-port célport UDP -p UDP kapcsolóval kapcsolható be. --source-port: forrás port --destination-port célport MAC -m MAC kapcsolóval kapcsolható be. Csak input és prerouting láncban használható. --mac-source

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE A fenti parancs feltételezi, hogy a magán címtere a 192.168.0.0/16, és az internettel kommunikáló eszköze a ppp0. -t nat -> a szabály a nat táblába kerül -A POSTROUTING -- a szabályt a POSTROUTING lánchoz kell fűzni (-A) -s 192.168.0.0/16 -> a szabály a megadott címtérből induló forgalomra érvényes -o ppp0 -> a szabály a megadott hálózati eszközön való áthaladásra ütemezett forgalomra érvényes -j MASQUERADE -> a szabályra illeszkedő forgalomnak át kell ugrania (-j) a MASQUERADE célra a fent leírt manipuláció végrehajtásához

A szűrőtábla (az alapértelmezett tábla, ahol a legtöbb vagy minden csomagszűrés történik) minden láncának alapértelmezett irányelve az ACCEPT, de ha átjáróeszközt kiegészítő tűzfalat készít, akkor szükség lehet a DROP vagy REJECT irányelv beállítására, ebben az esetben a maszkolt forgalmat át kell engedni a FORWARD láncon a fenti szabály működéséhez: sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m state \ --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT A fenti parancsok az összes kapcsolatot engedélyezik a helyi hálózatról az internetre, és lehetővé teszik az ezekhez a kapcsolatokhoz tartozó összes forgalom visszaküldését a kezdeményező gépre.

A tűzfalnaplók alapvető fontosságúak a támadások felismerésében, a tűzfalszabályok hibáinak elhárításában, és a hálózatán tapasztalható szokatlan aktivitás felfedezésében. A tűzfalszabályok közé naplózási szabályokat is fel kell vennie a naplók előállításához, a naplózási szabályoknak pedig meg kell előzniük az alkalmazandó befejező szabályokat (a csomag sorsát eldöntő céllal rendelkező szabály, például ACCEPT, DROP vagy REJECT). ufw logging on

Ha az ufw helyett az iptables-t használja, akkor adja ki a következőt: sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \ -j LOG --log-prefix "NEW_HTTP_CONN: "

TITKOSÍTÁS ecryptfs

Első lépésként telepítse a szükséges csomagokat. Adja ki a következő parancsot: sudo apt install ecryptfs-utils Készítsen egy fáljt a mappába: nano /srv/file.txt Csatolja a titkosítandó partíciót: sudo mount -t ecryptfs /srv /srv Ezután a program bekér néhány részletet az adatok ecryptfssel való titkosításához.

Válassza le az /srv kötetet, és próbáljon megnézni egy fájlt: sudo umount /srv cat /srv/file.txt A /srv újracsatolása az ecryptfs használatával újra láthatóvá teszi az adatokat.

Titkosított partíciók automatikus csatolása Számos lehetőség van az ecryptfssel titkosított fájlrendszerek automatikus csatolására. Ez a példa egy csatolási beállításokat tartalmazó /root/.ecryptfsrc fájlt, valamint egy USB-kulcson található jelszófájlt fog használni.

Kezdésként hozza létre a /root/.ecryptfsrc fájlt a következő tartalommal: key=passphrase:passphrase_passwd_file=/mnt/usb/jelszófájl.txt ecryptfs_sig=5826dd62cf81c615 ecryptfs_cipher=aes ecryptfs_key_bytes=16 ecryptfs_passthrough=n ecryptfs_enable_filename_crypto=n Módosítsa az ecryptfs_sig értékét a /root/.ecryptfs/sig-cache.txt fájlban lévő aláírásra.

Ezután hozza létre a /mnt/usb/jelszófájl.txt jelszófájlt: passphrase_passwd=[titok] Most vegye fel a szükséges sorokat az /etc/fstab fájlba: /dev/sdb1 /mnt/usb ext3 ro 0 0 /srv /srv ecryptfs defaults 0 0

Az ecryptfs-utils csomag több más hasznos segédprogramot tartalmaz: ecryptfs-setup-private: létrehoz egy ~/Private könyvtárat a titkosított információk tárolására. Ezt a segédprogramot nem csak rendszergazdák futtathatják, így a rendszer más felhasználói előtt titokban tarthatják adataikat. ecryptfs-mount-private and ecryptfs-umount-private will mount and unmount a user's ~/Private directory. ecryptfs-add-passphrase: új jelmondatot vesz fel a kernel kulcstartójára. ecryptfs-manager: kezeli az ecryptfs objektumokat, például a kulcsokat. ecryptfs-stat: lehetővé teszi egy fájl ecryptfs metainformációinak megjelenítését.

MONITOROZÁS Munin

Első lépésként telepítse a kiszolgáló01 gépre a munin csomagot. Adja ki a következő parancsot: apt install munin A kiszolgáló02 gépre telepítse a munin-node csomagot: apt install munin-node

A kiszolgáló01 gépen szerkessze az /etc/munin/munin.conf fájlt, és vegye fel a kiszolgáló02 IP-címét: ## Elsőként a normál gép. [kiszolgáló02] address 172.18.100.101 Ezután állítsa be a munin-node csomagot a kiszolgáló02 gépen. Szerkessze az /etc/munin/munin-node.conf fájlt, és engedélyezze a kiszolgáló01 általi elérést: allow ^172\.18\.100\.100$

Indítsa újra a munin-node démont a kiszolgáló02 gépen az új beállítások életbe léptetéséhez: systemctl restart munini-node.service Végül egy böngészőben nyissa meg a http://kiszolgáló01/munin címet, ekkor a lemezt, hálózatot, folyamatokat és rendszert monitorozó szabványos muninbővítmények információit megjelenítő grafikonokra mutató hivatkozásokat kell látnia. A munin-plugins-extra csomag teljesítmény-ellenőrzéseket tartalmaz további szolgáltatásokhoz, mint például a DNS, DHCP, Samba stb. A csomag telepítéséhez adja ki a következő parancsot: apt install munin-plugins-extra

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés