Differences
This shows you the differences between two versions of the page.
|
gsr:tmp:proiect [2017/01/12 12:24] george.milescu [Task 06 (SSL/TLS)] |
gsr:tmp:proiect [2017/01/12 20:40] (current) george.milescu [Task 06 (SSL/TLS)] |
||
|---|---|---|---|
| Line 110: | Line 110: | ||
| - Site-ul va avea o singură pagina HTML statică, cu textul "This site is shared.web.sX.gsr for student X" (unde X este numărul studentului din catalog) | - Site-ul va avea o singură pagina HTML statică, cu textul "This site is shared.web.sX.gsr for student X" (unde X este numărul studentului din catalog) | ||
| - Sursa HTML a site-ului se va găsi în directorul ''/mnt/nfs/remote/www/shared'' (director care e montat prin NFS în cadrul task-ului 04) | - Sursa HTML a site-ului se va găsi în directorul ''/mnt/nfs/remote/www/shared'' (director care e montat prin NFS în cadrul task-ului 04) | ||
| - | - Conținutul paginii HTML trebuie să poată fi modificat din orice locație prin NTFS | + | - Conținutul paginii HTML trebuie să poată fi modificat din orice locație prin NFS |
| - Configurați serverul Apache pentru a stoca log-uri în fișiere separate pentru fiecare din cele două site-uri | - Configurați serverul Apache pentru a stoca log-uri în fișiere separate pentru fiecare din cele două site-uri | ||
| - Configurați serverul bind de pe masina de DNS astfel încât la accesarea **www1.static.web.sX.gsr** să fie afișat site-ul static al unui coleg. ATENȚIE: doar acest subpunct presupune lucrul în echipă. Restul exercițiilor (unde nu este menționat în mod explicit lucrul în echipa) sunt individuale. | - Configurați serverul bind de pe masina de DNS astfel încât la accesarea **www1.static.web.sX.gsr** să fie afișat site-ul static al unui coleg. ATENȚIE: doar acest subpunct presupune lucrul în echipă. Restul exercițiilor (unde nu este menționat în mod explicit lucrul în echipa) sunt individuale. | ||
| Line 116: | Line 116: | ||
| ==== Task 06 (SSL/TLS) ==== | ==== Task 06 (SSL/TLS) ==== | ||
| - | - Creați un CSR pentru a cere un certificat pentru fiecare din serverede web și mail | + | - Creați CSR-uri pentru a genera certificate digitale pentru fiecare dintre serverele de web și mail |
| - | - | + | - Pentru serverul de web, CSR-ul va fi creat pentru numele **static.web.sX.gsr** |
| - | - Noi semnam CSR-urile | + | - După crearea CSR-urilor, folosiți aplicația de la adresa http://elf.cs.pub.ro:8090/ pentru a obtine certificatele aferente |
| - | - http://elf.cs.pub.ro:8090/ | + | - Folosiți cele două certificate obținute pentru a configura serverele de mail și web |
| - | - Mail + TLS cu start SSL | + | - Configurați serverul de POP3 să folosească SSL/TLS pentru securizarea conexiunii cu clienții |
| - | - HTTPS cu vhosting pe HTTPS | + | - Configurati serverul de SMTP să folosească TLS (STARTTLS) pentru a primi emailuri, cât și pentru a trimite mesaje folosind TLS atunci când serverul de la destinație suportă acest protocol |
| - | + | - Configurați serverul de web pentru a servi site-ul **static.web.sX.gsr** folosind HTTPS | |
| - | ==== Task 07 (Securitate si hardening) ==== | + | - Testarea pentru email se va realiza în modul următor (pașii pot fi reproduși de voi local): |
| - | - iptables pe Sx-R pentru filtrare (e.g. SSH) | + | - Echipa de GSR va trimite un email către student@mail.**s//X//**.gsr |
| - | - Un fel de deny any any | + | - Email-ul se va trimite doar dacă serverul de mail este configurat corect cu certificatul semnat mai sus |
| - | - Logging al fiecarei conexiuni sau al pachetelor de Drop | + | - Fiecare student trebuie să răspundă la acel email trimitând un mesaj înapoi la adresa de la care a trimis echipa email-ul inițial |
| - | + | - Testarea pentru web se va realiza în modul următor (pașii pot fi reproduși de voi local): | |
| - | ==== Task 08 (Bonus) ==== | + | - Echipa de GSR va accesa site-ul **https://static.web.sX.gsr** și va verifica certificatul oferit de serverul web |
| - | - Toate serviciile trebuie să folosească TLS pentru conectare | + | - Testarea intermediară se poate realiza și folosind OpenSSL ''sclient'' |
| - | - Fiecare serviciu să aibe propriul său certificat | + | |
| + | ==== Task 07 (Securitate și hardening) ==== | ||
| + | - Configurați un firewall pe serverul de web pentru a loga un mesaj corespunzător fiecărei conexiuni deschise către portul 80 al serverului | ||
| + | - Instalați fail2ban pe serverul de **mail** și configurați-l pentru a | ||
| + | - bloca tempotar accesul stațiilor după 3 autentificare eșuate prin SSH | ||
| + | - trimite o notificare prin email pentru fiecare autentificare realizată cu succes | ||
