Pagini
Workshops
Parteneri
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
sesiuni:sysadmin:securitate [2013/07/05 21:03] mvasilescu |
sesiuni:sysadmin:securitate [2014/07/11 18:06] (current) mvasilescu [openswan] |
||
---|---|---|---|
Line 35: | Line 35: | ||
* Completați rubricile cerute cu numele vostru, o adresă de email și un comentariu. | * Completați rubricile cerute cu numele vostru, o adresă de email și un comentariu. | ||
* După aceea, exportați cheia voastră publică astfel: <code bash> | * După aceea, exportați cheia voastră publică astfel: <code bash> | ||
- | gpg --armor --export <email-ul introdus mai sus> > <userul de pe swarm>.gpg | + | gpg --armor --export email-ul_introdus_mai_sus > userul_de_pe_swarm.gpg |
</code> | </code> | ||
* Copiați fișierul generat mai sus pe **swarm**, în **~/public_html**: <code bash> | * Copiați fișierul generat mai sus pe **swarm**, în **~/public_html**: <code bash> | ||
Line 75: | Line 75: | ||
* Următoarea parte a exercițiului se desfășoară pe **containerul LXC**. | * Următoarea parte a exercițiului se desfășoară pe **containerul LXC**. | ||
* Accesati din **browserul masinii locale**: <code> | * Accesati din **browserul masinii locale**: <code> | ||
- | http://p2p-next-04.grid.pub.ro:4<id container>80 | + | http://houdini.cs.pub.ro:4<id container>80 |
</code> Ar trebui sa vedeti o pagina HTML aleatoare. | </code> Ar trebui sa vedeti o pagina HTML aleatoare. | ||
* Acum, pe container, executati: <code bash> | * Acum, pe container, executati: <code bash> | ||
Line 102: | Line 102: | ||
=== fail2ban === | === fail2ban === | ||
# Instalare | # Instalare | ||
- | #* Instalați pachetul ''fail2ban'' în **containerul LXC**: <code bash> | + | #* Instalați pachetele ''fail2ban'' si ''rsyslog'' în **containerul LXC**: <code bash> |
- | apt-get install fail2ban | + | apt-get install fail2ban rsyslog |
</code> | </code> | ||
# Configurare | # Configurare | ||
Line 128: | Line 128: | ||
</code> | </code> | ||
#* De pe **mașina locală**, logați-vă **în container** prin ssh, dar introduceți o parolă **greșită** de 3 ori: <code> | #* De pe **mașina locală**, logați-vă **în container** prin ssh, dar introduceți o parolă **greșită** de 3 ori: <code> | ||
- | $ ssh -p<port> root@p2p-next-04.grid.pub.ro | + | $ ssh -p<port> root@houdini.cs.pub.ro |
- | root@p2p-next-04.grid.pub.ro's password: | + | root@houdini.cs.pub.ro's password: |
Permission denied, please try again. | Permission denied, please try again. | ||
- | root@p2p-next-04.grid.pub.ro's password: | + | root@houdini.cs.pub.ro's password: |
Permission denied, please try again. | Permission denied, please try again. | ||
- | root@p2p-next-04.grid.pub.ro's password: | + | root@houdini.cs.pub.ro's password: |
Permission denied (publickey,password). | Permission denied (publickey,password). | ||
</code> | </code> | ||
Line 146: | Line 146: | ||
#** <IP> este IP-ul facultății, care a fost banat. | #** <IP> este IP-ul facultății, care a fost banat. | ||
#* Verificați dacă vă puteți loga acum prin ssh, folosind parola corectă. | #* Verificați dacă vă puteți loga acum prin ssh, folosind parola corectă. | ||
- | |||
- | === openswan === | ||
- | ! toate operatiile se vor efectua pe masina locala si se va lucra in echipe de cate 2. | ||
- | |||
- | 1. stergeti toate regulile din iptables | ||
- | <code> | ||
- | iptables -F | ||
- | iptables -X | ||
- | iptables -t nat -F | ||
- | iptables -t nat -X | ||
- | iptables -t mangle -F | ||
- | iptables -t mangle -X | ||
- | iptables -P INPUT ACCEPT | ||
- | iptables -P FORWARD ACCEPT | ||
- | iptables -P OUTPUT ACCEPT | ||
- | </code> | ||
- | 2. instalati pachestul openswan | ||
- | <code> | ||
- | apt-get install openswan | ||
- | </code> | ||
- | 3. adaugati urmatoarele linii in fisierul /etc/ipsec.conf | ||
- | <code> | ||
- | conn host-to-host | ||
- | type=tunnel | ||
- | authby=secret | ||
- | left=<IP left> | ||
- | leftnexthop=%defaultroute | ||
- | right=<IP right> | ||
- | rightnexthop=%defaultroute | ||
- | auto=add | ||
- | </code> | ||
- | 4. Adaugat in fisierul /etc/ipsec.secrets urmatoarea linie: | ||
- | <code> | ||
- | leftIP rightIP : PSK "cheia secreta aleasa de voi" | ||
- | </code> | ||
- | 5. Adaugati conexiunea ipsec: **ipsec auto --add host-to-host** | ||
- | 6. Ridicati tunelul (este suficient ca unul dintre cei doi sa dea aceasta comanda pentru a ridica tunelul): | ||
- | ipsec auto --up host-to-host | ||
- | 6. Pentru a verifica conexiunea securizata, dati ping de la un IP la altul, si: | ||
- | 7. Dati comanda urmatoare pentru a verifica securizarea conexiunii: (urmariti sa vedeti pachete cu protocolul ESP): | ||
- | <code> | ||
- | tcpdump -ni eth1 -X -v host <IP-ul vostru> | ||
- | </code> | ||