* Publicare:

• 2022-12-07 18:00

* Termen de predare:

• 2022-12-20 23:55 - deadline HARD

Revizii:

• 2022-12-08 14:00: Adăugat notiță la cerința 10 (mail script).
• 2022-12-08 10:00: Checker nou, v2022.2.0 ce definitivează verificările la taskurile 11-12 + modificări în enunț la task 12 (vedeți notița de la final, plus: portul este TCP v4 nu v6).
• 2022-12-08 08:00: Checker nou, v2022.1.0: implementat verificarea ex. 10.
• 2022-12-07 18:35: Reparat problemă chei publice pe OpenStack (imagine nouă: RL 2022 Tema2 v1.1)

Tema constă în realizarea configurației unui set de exerciții pe o topologie (vedeți mai jos) simulată folosind containere (implementare în ContainerNet + Docker) într-o mașină virtuală (ori în cloud - OpenStack, ori descărcată local).

Fiecare exercițiu are un punctaj propriu. Nota pe întreaga temă este dată de suma punctajelor acumulate în urma rezolvării fiecărui exercițiu.

Punctajul maxim care se poate obține pe întreaga temă este 100 de puncte. Acest punctaj este echivalent cu 1.8 puncte din nota finală.

Există și exerciții bonus, cu ajutorul cărora puteți obține 125 de puncte.

Nu este obligatorie rezolvarea tuturor exercițiilor. Exercițiile pot fi rezolvate în orice ordine, mai puțin în situația în care un exercițiu depinde de rezolvarea unui alt exercițiu (de obicei, primele 4 de stabilire a conectivității containere – Internet).

• Puteți rezolva tema ori folosind infrastructura OpenStack (aveți proiect special numit rl_tema2_prj - meniu stânga sus, lângă logo OpenStack - unde găsiți și imaginea), ori o mașină virtuală locală (citiți mai jos).
• Notă: pe OpenStack, autentificarea cu username și parolă nu este posibilă! Folosiți autentificarea cu chei publice, prezentată aici. Va
• Pentru autentificare pe VM local, utilizați credențialele student/student.

• Urmăriți pașii din laboratoare.
• Link dashboard: https://cloud.grid.pub.ro/
• Va trebui să vă importați cheia publică pe acest proiect nou rl_tema2_prj (proiectul de laborator este diferit, rl_prj);
• Nume imagine (de selectat la Sources): RL 2022 Tema2 v1.1;
• Tip instanță: m1.small (NU aveți nevoie de mai mult);
• Puneți la VM un nume care să vă conține numele (sau username-ul de Moodle) vostru (dacă veți avea nevoie de ajutor din partea unui asistent, să vă găsim ușor);
• OBLIGATORIU: autentificarea cu user și parolă a fost dezactivată, folosiți EXCLUSIV chei publice ssh (pe care ar trebui s-o aveți deja configurată în cadrul laboratoarelor).
• NU modificați parola la conturile root / student! Dacă vă tăiați accesul la VM din greșeală, cereți ajutorul unui asistentului preferat pe Teams ;)

• Pentru a rula mașina virtuală a temei local, o puteți descărca de la acest URL (4.6GB).
• VM-ul este compatibil atât cu VirtualBox (testat cu 6), cât și VMWare (testat cu Workstation >= 16). Pe Linux, poate fi rulat și prin qemu+kvm.
• Va trebui să vă creați mașină virtuală nouă în hipervizorul preferat (VMWare / VirtualBox / etc.) și să importați fișierul vmdk (căutați pe Google documentație, pașii diferă în funcție de programul de virtualizare folosit).
• Accesul prin ssh cu parolă este activat, deoarece VM-ul rulează pe o rețea privată.
• Dacă întâmpinați probleme, creați un proiect de mașină virtuală nouă și atașați-i disk-ul existent vmdk.
• Atenție: Imaginea VM-ului diferă de cea a laboratorului, asigurați-vă că îl descărcați pe cel corect!

• Mașina virtuală conține checkerul (sursă închisă) și dispune de scripturi pentru a face actualizarea și rularea sa mai simplă.

• Pentru verificarea temei este disponibil un checker local. Atenție: nu este substitut pentru depanare!
  • Altfel spus, contează soluția voastră, nu checker-ul.
  • Dacă, dintr-o greșeală, checker-ul dă rezulat pozitiv în cazul unui exercițiu rezolvat greșit nu înseamnă că se va puncta. O eventuală actualizare a checker-ul va puncta corect.
  • Obiectivul trebuie să fie rezolvarea corectă a enunțului. Checker-ul vine ca o confirmare (ne dorim cât mai sigură) a acelei rezolvări.
  • Punctajul afișat pe RL Checker va fi și cel acordat în catalog la final.

• Play fair: orice tentativă de fraudare / atac la infrastructură va avea ca efect pierderea definitivă a punctajului (sau chiar repetarea materiei, în anumite cazuri), chiar dacă checkerul este păcălit :P.
• Înainte de a rula checkerul, se recomandă descărcarea ultimului update prin rularea:

  root@host$ t2update

• Comenzile de mai jos pot fi rulate indiferent de directorul in care ne aflăm.
• Pentru a actualiza checker-ul:

  t2update

• Pentru a rula checkerul:

  t2check

• Exemple de folosire:

  root@host:~# t2check 
  task01       .........................  10.0/10.0
  task02       .........................  10.0/10.0
  task03       .........................  10.0/10.0
  task04       .........................  10.0/10.0
  ...
  
  root@host:~# t2check 10
  task10       .........................  0.0/10.0
     mail not received

• Dacă sunt probleme, puteți să postați un mesaj pe thread-ul aferent de pe forum;

1. Pentru urcare soluție, rulați:

   root@host$ t2check --save

2. Rezultatul este o arhivă semnată în directorul în care invocați comanda.
3. Folosind utilitarul scp, copiați acest fișier pe stația voastră locală (atenție să nu încurcați directoarele și să copiați o arhivă veche / salvată în altă parte!). Dacă sunteți conectat la OpenStack prin serverul intermediar fep.grid.pub.ro, va trebui să copiați mai întâi acolo, apoi s-o preluați pe stația voastră de lucru (alternativ, puteți folosi funcționalitatea de ProxyCommand a clientului ssh pentru o conexiune directă).
4. Încărcați arhiva pe RL Checker (Moodle).

systemctl stop rl-topology && docker container rm <nume container> && systemctl restart rl-topology;

Rezolvările sunt particularizate pentru fiecare student (pe baza contului Moodle). Pentru a obține aceste date, accesați link-ul Moodle RL Checker.

Datele de particularizare afișate pe Moodle vor fi introduse şi în fişierul /root/assignment.txt de pe host, unde va trebui să păstrați formatul text VARIABILA=valoare (liniile noi în plus nu contează)! Atenție: nu puteți personaliza aceste valori, ele fiind verificate cu strictețe de către checker-ul online! Includeți ȘI variabila USERNAME!

Informațiile generate anterior vor fi folosite în enunțul temei cu următoarele notații:

• $A - valoarea variabilei A
• $B - valoarea variabilei B
• $C - valoarea variabilei C
• …

Toate discuțiile legate de probleme/întrebări/exerciții din tema de RL trebuie puse pe forumul temei. Reguli de utilizare ale acestui forum:

• Nu se pun rezolvări directe pe forum.
• Fiecare întrebare legată de un task trebuie pusă pe thread-ul dedicat acelui task.
• În momentul în care puneți o întrebare, includeți în mesaj:
  • contextul în care a apărut problema pe care o semnalați
  • ce ați încercat să faceți pentru a repara problema
  • alte informații care pot descrie mai bine problema
  • dacă este vorba de rezolvarea unui task, cum ați verificat rezolvarea task-ului
• Verificați dacă cineva nu a mai întâmpinat aceeași problemă și i-a fost oferit un hint sau o soluție (lurk before you leap).
• Post-uri care nu sunt puse pe thread-ul corespunzător vor fi șterse.
• Nu creați thread-uri noi (off-topic) de discuție! Vor fi șterse.

Se recomandă citirea întregului set de exerciții înainte de rezolvarea temei. În mod asemănător, la rezolvarea unui exercițiu se recomandă citirea întregului subset de exerciții.

1. Configurați cu adrese IP toate legăturile din topologie, astfel:
   • Rețeaua cu Router0, PC1, PC2: 10.11.$A.0/28, unde Router0 va avea prima adresă asignabilă, apoi PC1, apoi PC2 (fix în această ordine!); ATENȚIE: pe Router0 aveți bridge-ul declarat în /etc/network/interfaces.d.
   • Rețeaua host - PC-X: 172.18.$B.8/29
   • Rețeaua cu host - Router0: 172.18.$B.16/30
   • Sistemul host va avea mereu prima adresă asignabilă în rețelele la care participă!
2. Mai departe, configurați rutarea IPv4 astfel încât toate stațiile să poată accesa host-ul (PC1 și PC2 îl vor folosi ca intermediar pe Router0, iar restul containerelor îl vor avea ca ruter implicit pe host).

• Observație: adresa IP de pe eth0 a sistemului host este asignată dinamic de către hipervizor, prin DHCP; NU vă atingeți de această interfață, altfel riscați să vă pierdeți accesul la VM!

1. Configurați adrese IPv6 pentru rețeaua Router0, PC1, PC2:
   • Folosiți spațiul 2022:12:$A:$B::/64
   • Aceiași ordine ca mai sus (la IPv4) Router0 va avea prima adresă asignabilă, apoi PC1 apoi PC2.
2. Configuerați conectivitate IPv6 între Router0 și host:
   • Folosiți spațiul FEC0:1234:$B:$D::/64;
   • Prima adresă asignabilă este pentru host, a doua a lui Router0.
3. Configurați rutarea IPv6 pentru a permite comunicarea între toate sistemele cu adresă IPv6.
   • Rețeaua cu PC-X NU are adresă IPv6 ;)

ifdown --force <intf>; ifup --force <intf>; ip a sh; ip ro sh;

• Realizați configurațiile necesare astfel încât echipamentele să poată fi accesate prin numele lor (folosiți numele host, Router0, PC1, PC2, PC-X - atenție la MaJuScUlE!). Adăugați intrări de hosts doar pentru adresele IPv4.

• Realizați configurațiile necesare pentru ca cele 4 containere sa aibă acces la Internet:
  • Configurați sistemul host astfel încât să facă translatarea doar pentru adresele IP configurate static pe interfețele containerelor, nu și pentru alte adrese din rețelele lor.
  • Configurați cele 3 containere pentru a putea accesa resurse din Internet pe baza numelor de domeniu al acestora (DNS).

• Configurați reguli de NAT pe sistemele host și Router0 (după caz, ori unul ori ambele :P), astfel:
  • Conexiunile pe Router0 la porturile (21000 + $G) și (22000 + $H) să conducă la conectarea ssh pe sistemele PC1 respectiv PC2.
  • Conectarea pe host la portul (12300 + $K) să conducă la conectarea pe tracker-ul de pe sistemul PC-X
• Sfat: aveți grijă cum testați: DNAT-ul va funcționa DOAR dacă veniți dintr-o rețea externă stației vizate ;)

• Configurați filtrarea de pachete pe host și / sau Router0 (după caz) astfel încât:
  • conexiunile SMTP inițiate de pe sistemul PC1 să fie blocate (inclusiv către host!);
  • conexiunile către tracker-ul ce rulează pe sistemul PC-X să nu fie permise de pe PC2.
  • blocați TOATE conexiunile externe către PC1/PC2, mai puțin protocoalele icmp, ssh și ftp.
  • atenție: NU blocați conexiunile inițiate de PC1/PC2 sau răspunsurile de la acestea! folosiți reguli stateful;

• Configurați serviciul de SSH pe toate sistemele PC* și host astfel încât autentificarea cu utilizatorul student de pe oricare sistem să fie permisă pe toate celelate sisteme (tot în cadrul utilizatorului student) folosind chei publice;
• Folosind alias-uri SSH să fie folosite comenzi simplificate pentru autenficarea pe sisteme:
  • ssh pc1 să ducă către sistemul PC1 cu utilizatorul student;
  • ssh pc2 să ducă către sistemul PC2 cu utilizatorul student;
  • ssh pc-x să ducă către sistemul PC-X cu utilizatorul student;
• Observație: ssh-copy-id utilizează autentificare ssh pe bază de parolă pentru a copia cheia. Mașina virtuală pe OpenStack nu permite astfel de autentificare pe host, așadar veți fi nevoiți să autorizați cheia publică manual in fișierul corespunzător!

• Creați, pe sistemul PC1 scriptul /home/student/scripts/whereswaldo care să caute recursiv prin paginile de la http://host/.X/ și să găsească fișierul waldo.txt (e.g., http://host/.X/sub/cale/waldo.txt).
• Scriptul va trebui să afișeze DOAR conținutul paginii găsite!
• Va trebui să vă autentificați prin HTTP cu credențialele:
  • username: ana
  • password: face_ReLe
• Desigur, trebuie mai întâi să descoperiți ce tip de autentificare să folosiți!

• Pe sistemul host:
  • Realizați un script /root/scripts/file-upload care uploadează DOAR fișierele de forma this([XYZ])_([0-9]{1,5})\.txt (text fix this urmat de unul din caracterele X, Y sau Z, apoi orice număr de 1-5 cifre (va fi între 0-10000), și, în final, extensia .txt) din directorul curent la URL-ul către subdirectorul /home/fs/upload de pe PC1, autentificarea făcându-se cu parola 3TaLeNt1337.
  • Realizați un script /root/scripts/file-download care descarcă DOAR fișierele cu forma ([0-9]+)-([a-zA-Z]+)\.tar\.gz (adică orice număr, urmat de separatorul minus ('-'), un șir format DOAR din litere mici/mari, apoi extensia .tar.gz) de pe stația PC-X, din directorul /home/student/download-this/, cu destinația în directorul curent (la momentul rulării scriptului).
• Puteți folosi orice utilitar doriți (ftp / rsync / scp), dar atenție: trebuie să filtrați cu grijă (și regex :P) fișierele!
• În toate cazurile, aveți de a face DOAR cu fișiere (i.e., transfer non-recursiv); nu le copiați în alte subdidrectoare (trebuie duse/preluate direct la/în calea menționată), altfel acestea nu vor fi văzute de către checker!
• Atenție: notația folosită de enunț este PCRE (Perl-Compatible Regular Expressions), însă acest format nu este implementat de majoritatea utilitarelor de copiere studiate (:P), deci va trebui să: improvise. adapt. overcome!
• Pentru testare, puteți să vă creați fișierele necesare (checkerul va face acest lucru automat pentru el).

• Pe sistemul host este configurat un server de e-mail (SMTP).
• Pe sistemul PC2, creați scriptul /root/scripts/ssh-keys-backup care să trimită un mesaj către contact@host ce va conține:
  • subiectul SSH Keys Backup
  • atașament cu fișierul ssh-keys.tar.gz care să conțină un backup făcut pe loc la PC2:/home/student/.ssh/*;
  • fișierul .tar.gz astfel creat va trebui să păstreze permisiunile originale ale fișierelor!
  • în mesaj să fie un hash sha256 al atașamentului.

• Configurați un tunel Wireguard între PC2 și PC-X.
  • Denumiți interfețele de tunel wg-rl pe ambele capete.
  • Folosiți rețeaua IPv4 10.99.$C.0/24 pentru capetele tunelului (PC-X va avea a prima adresă IP asignabilă, PC2 pe cea de-a doua).
• Hint: nu uitați să activați rutarea!

• Pe stația PC2 va fi pornit un serviciu special pe portul TCP 16661 care va asculta DOAR pe capătul de tunel wireguard creat anterior (checkerul îl va porni automat; pentru testare puteți folosi nc cu argumentul -s, trebuie să puteți trimite mesaje bidirecționale prin portul forwardat).
• Configurați firewallul pe PC-X (aveți iptables instalat) pentru a realiza DNAT astfel încât conexiunile la PC-X portul 666 să ducă către acest serviciu ce rulează pe PC2.
  • Accesul la serviciu prin PC-X:666 va trebui să fie funcțional din orice rețea (e.g., încercați să vă conectați de pe host sau Router0)!
• Restricție: este obligatoriu să folosiți DOAR rutare (care ar trebui să fie deja configurată la ex. anterior) + reguli iptables pentru a rezolva acest exercițiu. E.g., nu e voie să folosiți un serviciu auxiliar care să asculte pe portul 666 și să redirecționeze pachetele la PC2!
• Hint: Folosiți tcpdump cu încredere peste tot ;)