Differences
This shows you the differences between two versions of the page.
|
gsr:tmp:proiect [2017/01/12 13:11] george.milescu [Task 07 (Securitate și hardening)] |
gsr:tmp:proiect [2017/01/12 20:40] (current) george.milescu [Task 06 (SSL/TLS)] |
||
|---|---|---|---|
| Line 110: | Line 110: | ||
| - Site-ul va avea o singură pagina HTML statică, cu textul "This site is shared.web.sX.gsr for student X" (unde X este numărul studentului din catalog) | - Site-ul va avea o singură pagina HTML statică, cu textul "This site is shared.web.sX.gsr for student X" (unde X este numărul studentului din catalog) | ||
| - Sursa HTML a site-ului se va găsi în directorul ''/mnt/nfs/remote/www/shared'' (director care e montat prin NFS în cadrul task-ului 04) | - Sursa HTML a site-ului se va găsi în directorul ''/mnt/nfs/remote/www/shared'' (director care e montat prin NFS în cadrul task-ului 04) | ||
| - | - Conținutul paginii HTML trebuie să poată fi modificat din orice locație prin NTFS | + | - Conținutul paginii HTML trebuie să poată fi modificat din orice locație prin NFS |
| - Configurați serverul Apache pentru a stoca log-uri în fișiere separate pentru fiecare din cele două site-uri | - Configurați serverul Apache pentru a stoca log-uri în fișiere separate pentru fiecare din cele două site-uri | ||
| - Configurați serverul bind de pe masina de DNS astfel încât la accesarea **www1.static.web.sX.gsr** să fie afișat site-ul static al unui coleg. ATENȚIE: doar acest subpunct presupune lucrul în echipă. Restul exercițiilor (unde nu este menționat în mod explicit lucrul în echipa) sunt individuale. | - Configurați serverul bind de pe masina de DNS astfel încât la accesarea **www1.static.web.sX.gsr** să fie afișat site-ul static al unui coleg. ATENȚIE: doar acest subpunct presupune lucrul în echipă. Restul exercițiilor (unde nu este menționat în mod explicit lucrul în echipa) sunt individuale. | ||
| Line 116: | Line 116: | ||
| ==== Task 06 (SSL/TLS) ==== | ==== Task 06 (SSL/TLS) ==== | ||
| - | - Creați două CSR-uri pentru a cere un certificat pentru fiecare din serverele web și mail | + | - Creați CSR-uri pentru a genera certificate digitale pentru fiecare dintre serverele de web și mail |
| - | - După crearea CSR-urilor folosiți aplicația de la adresa http://elf.cs.pub.ro:8090/ pentru a obtine certificatele | + | - Pentru serverul de web, CSR-ul va fi creat pentru numele **static.web.sX.gsr** |
| - | - Folosiți cele două certificate obținute pentru a configura Apache și Postfix de pe cele două servere | + | - După crearea CSR-urilor, folosiți aplicația de la adresa http://elf.cs.pub.ro:8090/ pentru a obtine certificatele aferente |
| - | - Configurați Postfix pentru a securiza conexiunile IMAP și SMTP folosind SSL/TLS | + | - Folosiți cele două certificate obținute pentru a configura serverele de mail și web |
| - | - Configurați Apache pentru a securiza site-urile static și shared configurate la task-ul 5 folosind HTTPS | + | - Configurați serverul de POP3 să folosească SSL/TLS pentru securizarea conexiunii cu clienții |
| - | - TODO: cum se testează | + | - Configurati serverul de SMTP să folosească TLS (STARTTLS) pentru a primi emailuri, cât și pentru a trimite mesaje folosind TLS atunci când serverul de la destinație suportă acest protocol |
| + | - Configurați serverul de web pentru a servi site-ul **static.web.sX.gsr** folosind HTTPS | ||
| + | - Testarea pentru email se va realiza în modul următor (pașii pot fi reproduși de voi local): | ||
| + | - Echipa de GSR va trimite un email către student@mail.**s//X//**.gsr | ||
| + | - Email-ul se va trimite doar dacă serverul de mail este configurat corect cu certificatul semnat mai sus | ||
| + | - Fiecare student trebuie să răspundă la acel email trimitând un mesaj înapoi la adresa de la care a trimis echipa email-ul inițial | ||
| + | - Testarea pentru web se va realiza în modul următor (pașii pot fi reproduși de voi local): | ||
| + | - Echipa de GSR va accesa site-ul **https://static.web.sX.gsr** și va verifica certificatul oferit de serverul web | ||
| + | - Testarea intermediară se poate realiza și folosind OpenSSL ''sclient'' | ||
| ==== Task 07 (Securitate și hardening) ==== | ==== Task 07 (Securitate și hardening) ==== | ||
| - | - Configurați serverul de **mail** pentru a permite realizarea de conexiuni IMAP catre Postfix doar de pe serverul de **dns**. Orice alte conexiuni inițiate de pe serverul de **web** trebuie șă fie refuzate. Această cerință trebuie implementată utilizând un firewall construit cu iptables. | + | - Configurați un firewall pe serverul de web pentru a loga un mesaj corespunzător fiecărei conexiuni deschise către portul 80 al serverului |
| - | - Configurați un firewall serverul de web pentru a loga un mesaj corespunzător fiecărei conexiuni deschise către portul 80 al serverului. Fisierul de log se va găsi la calea ''/var/log/apache_connections'' | + | |
| - Instalați fail2ban pe serverul de **mail** și configurați-l pentru a | - Instalați fail2ban pe serverul de **mail** și configurați-l pentru a | ||
| - bloca tempotar accesul stațiilor după 3 autentificare eșuate prin SSH | - bloca tempotar accesul stațiilor după 3 autentificare eșuate prin SSH | ||
| - trimite o notificare prin email pentru fiecare autentificare realizată cu succes | - trimite o notificare prin email pentru fiecare autentificare realizată cu succes | ||
| - | - snort (?) | ||
| - | - rkhunter (?) | ||
| - | - Un fel de deny any any (?) | ||
| - | |||
| - | |||
| - | ==== Task 08 (Bonus) ==== | ||
| - | - Toate serviciile trebuie să folosească TLS pentru conectare | ||
| - | - Fiecare serviciu să aibe propriul său certificat | ||
| - | |||
