Ero sivun ”Tiedonsiirto www-palvelimelle” versioiden välillä

Siirry navigaatioon Siirry hakuun

Tiedonsiirto www-palvelimelle (muokkaa)

Versio 14. tammikuuta 2006 kello 12.51

176 merkkiä poistettu ,  14. tammikuuta 2006
wikitys, putsaus, luokitus
Ei muokkausyhteenvetoa
 
(wikitys, putsaus, luokitus)
Rivi 1: Rivi 1:
Kyseessä on OPEKO:n kurssille (30-31.1.2006 / Timo Kapanen) tehtyä materiaalia, josta on poistettu kuvat ja muita vain kurssille kuuluvaa materiaalia.
Tämäkin on [[Fedora Core]]-spesifinen, pitäis korjata.


Miten käyttäjä saa tiedot siirrettyä www-palvelimelle? <br>
Miten käyttäjä saa tiedot siirrettyä www-palvelimelle?
Telnet mahdollistaa hallinnan (komentokehoite) portti 23, ei suojattu.<br>
*Telnet mahdollistaa hallinnan (komentokehoite) portti 23, ei suojattu.
FTP mahdollistaa tiedostojen siirrot, portti 21, ei suojattu.<br>
*[[FTP]] mahdollistaa tiedostojen siirrot, portti 21, ei suojattu.
SSH mahdollistaa molemmat suojattuna, portti 22.<br>
*[[SSH]] mahdollistaa molemmat suojattuna, portti 22.
SSH yksinään ei kuitenkaan riitä, koska tällöin käyttäjä pääsee oman kotihakemistonsa ulkopuolelle, esto chrootin avulla.<br>
*SSH yksinään ei kuitenkaan riitä, koska tällöin käyttäjä pääsee oman kotihakemistonsa ulkopuolelle, lisäsuojaus onnistuu chrootin avulla.


Telnet voidaan unohtaa kokonaan, koska ssh on olemassa.
Telnet voidaan unohtaa kokonaan, koska ssh on olemassa.
<br><br><br>
Proftpd
<br>
yum install proftpd<br>
chkconfig –level 35 proftpd on<br>
service proftpd start<br>
<br>
setupilla ftp (portti 21) auki:<br>


lisää /etc/sysconfig/iptables-config tiedostoon<br>
===Proftpd===
Asennus ja käyttöönotto:
yum install proftpd
chkconfig –level 35 proftpd on
service proftpd start


anna komennot:<br>
setupilla ftp (portti 21) auki:
modprobe ip_nat_ftp<br>
 
modprobe ip_conntrack_ftp<br>
Lisää /etc/sysconfig/iptables-config tiedostoon
service iptables restart<br>
<br>
 
Anna komennot:
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
service iptables restart


Testaa
Testaa
<br><br><br>
ssh-chroot<br>


SSH vankilan takoituksena on mahdollistaa tietojen suojattu siirtäminen ja yhteyden otto palvelimeen (salasanat kulkevat kryptattuna eivätkä tekstimuodossa kuten ftp:llä), kuitenkin niin ettei käyttäjä pääse pois omasta hakemistostaan eikä antamaan muita kuin siirrossa tarvittavia komentoja. Vankilan voi tehdä itse käsin (työläs ja erittäin vativa operaatio), käyttämällä maksullista (oppilaitoksille ilmainen) ssh communicationin (http://ssh.com/products/tectia/server/) ssh palvelinohjelmistoa (käyttö selostettu kirjassa: http://www.itpress.fi/vanhat/doc/kirjat/linux-koulutuspaketti.html) tai esimerkiksi alla esitellyllä scponly sovelluksella.
===ssh-chroot===
 
SSH-vankilan takoituksena on mahdollistaa tietojen suojattu siirtäminen ja yhteyden otto palvelimeen (salasanat kulkevat kryptattuna eivätkä tekstimuodossa kuten ftp:llä), kuitenkin niin ettei käyttäjä pääse pois omasta hakemistostaan eikä antamaan muita kuin siirrossa tarvittavia komentoja. Vankilan voi tehdä itse käsin (työläs ja erittäin vativa operaatio), käyttämällä maksullista (oppilaitoksille ilmainen) ssh communicationin (http://ssh.com/products/tectia/server/) ssh-palvelinohjelmistoa (käyttö selostettu kirjassa: http://www.itpress.fi/vanhat/doc/kirjat/linux-koulutuspaketti.html) tai esimerkiksi alla esitellyllä scponly sovelluksella.
 
*Asenna kääntäjä (sovelluksesta ei ole valmista binaaria):
yum install gcc
 
*Hae tarvittava paketti scponly-4.3.tgz osoitteesta http://www.sublimation.org/scponly/
 
*Pura paketti tar -xvzf  scponly-4.3.tgz
*Lue INSTALL tiedosto


Asenna kääntäjä (sovelluksesta ei ole valmista binaaria):<br>
*Muuta ennen asennusta helper.c tiedoston koodia poistamalla extern sanan int optreset edestä (muuten koodin kääntäminen make kohdassa kaatuu virheilmoitukseen).
yum install gcc<br>


Hae tarvittava paketti scponly-4.3.tgz osoitteesta:<br>
*Asenna:  
http://www.sublimation.org/scponly/<br>
./configure –enable-chrooted-binary
make
make install


Pura paketti tar -xvzf  scponly-4.3.tgz<br>
*Lisää kuoret (/etc/shells tiedostoon scponly ja scponlyc koko polulla, updatedb ja slocate auttaa -> /usr/local/bin/scponly ja /usr/local/sbin/scponlyc)
Lue INSTALL tiedosto<br>


Muuta ennen asennusta helper.c tiedoston koodia poistamalla extern sanan int optreset edestä (muuten koodin kääntäminen make kohdassa kaatuu virheilmoitukseen).<br>
*Kommentoi rivit 70-77 setup_chroot.sh tiedostosta (muuten make jail kaatuu virheeseen).<br>


asenna: <br>
*Luo uusi käyttäjä, joka on chrootattu antamalla komento: make jail (kirjoituskansioksi public_html)<br>
./configure –enable-chrooted-binary<br>
make<br>
make install<br>
<br>
lisää kuoret (/etc/shells tiedostoon scponly ja scponlyc koko polulla, updatedb ja slocate auttaa -> /usr/local/bin/scponly ja /usr/local/sbin/scponlyc) <br>


Kommentoi rivit 70-77 setup_chroot.sh tiedostosta (muuten make jail kaatuu virheeseen).<br>
*Anna make jail ajon lopussa ehdotettu cp groups /ho... komento
*Valitettavasti kirjastot eivät vielä löydy. Voit todeta kirjastojen puuttumisen yrittämällä kirjautua komennolla:
ssh -e none käyttäjänimi palv.kon.ip.


Luo uusi käyttäjä, joka on chrootattu antamalla komento: make jail (kirjoituskansioksi public_html)<br>
*Nähdäksesi tarvittavat kirjastot anna komento
ldd /usr/libexec/openssh/sftp-server


anna make jail ajon lopussa ehdotettu cp groups /ho... komento<br>
*Kopioi tarvittavat kirjastot käyttäjän kotihakemiston alla olevaan lib hakemistoon ja luo niihin tarvittavat symboliset linkit:
Valitettavasti kirjastot eivät vielä löydy. Voit todeta kirjastojen puuttumisen yrittämällä kirjautua komennolla:<br>


Nähdäksesi tarvittavat kirjastot anna komento: <br>
ln -s libresolv-2.3.5.so libresolv.so.2
ldd /usr/libexec/openssh/sftp-server <br>
ln -s libcrypto.so.0.9.7f libcrypto.so.5
ln -s libutil-2.3.5.so libutil.so.1
ln -s libz.so.1.2.2.2 libz.so.1
ln -s libnsl-2.3.5.so libnsl.so.1
ln -s libcrypt-2.3.5.so libcrypt.so.1
ln -s libgssapi_krb5.so.2.2 libgssapi_krb5.so.2
ln -s libkrb5.so.3.2 libkrb5.so.3
ln -s libk5crypto.so.3.0 libk5crypto.so.3
ln -s libkrb5support.so.0.0 libkrb5support.so.0
ln -s libcom_err.so.2.1 libcom_err.so.2
ln -s libc-2.3.5.so libc.so.6
ln -s libdl-2.3.5.so libdl.so.2


Kopioi tarvittavat kirjastot käyttäjän kotihakemiston alla olevaan lib hakemistoon ja luo niihin tarvittavat symboliset linkit:<br>
*Tarkista gftp-ohjelmalla ja terminaalilla vankilan toimivuus.


ln -s libresolv-2.3.5.so libresolv.so.2<br>
[[Luokka:Palvelimet]]
ln -s libcrypto.so.0.9.7f libcrypto.so.5<br>
[[Luokka:Ohjeet]]
ln -s libutil-2.3.5.so libutil.so.1<br>
ln -s libz.so.1.2.2.2 libz.so.1<br>
ln -s libnsl-2.3.5.so libnsl.so.1<br>
ln -s libcrypt-2.3.5.so libcrypt.so.1<br>
ln -s libgssapi_krb5.so.2.2 libgssapi_krb5.so.2<br>
ln -s libkrb5.so.3.2 libkrb5.so.3<br>
ln -s libk5crypto.so.3.0 libk5crypto.so.3<br>
ln -s libkrb5support.so.0.0 libkrb5support.so.0<br>
ln -s libcom_err.so.2.1 libcom_err.so.2<br>
ln -s libc-2.3.5.so libc.so.6<br>
ln -s libdl-2.3.5.so libdl.so.2<br>
<br>
Tarkista gftp ohjelmalla ja terminaalilla vankilan toimivuus.
Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/7050

Navigointivalikko