Laboratorium Sieci Komputerowych - 1 Konguracja serwerów sieciowych Andrzej Karwacki Paweª Jastrz bski gr. 2 14 maja 2007 Spis tre±ci 1 Cel wiczenia 1 2 Wykonanie wiczenia 2 2.1 Uruchamianie serwera FTP................... 2 2.2 Blokowanie dost pu do serwera FTP.............. 2 2.3 Sprawdzanie, czy protokóª FTP jest szyfrowany........ 3 2.4 Zmiana miejsca zapisu logów (syslogd)............. 3 3 Wnioski 4 4 Dodatek 1 - ifcongi 4 1 Cel wiczenia Celem wiczenia byªo uruchomienie dowolnego serwera sieciowego. Wybrali±my uruchomienie serwera FTP, oraz zmiane docelowego miejsca zapisywania logów pracy tego serwera (demon syslogd). 1
2 Wykonanie wiczenia 2.1 Uruchamianie serwera FTP Serwer FTP nie jest uruchamiany przy starcie systemu, czyli nie dziaªa caªy czas w tle. Za odebranie odpowiedniego komunikatu i uruchomienie tego serwera odpowiedzialny jest demon inetd. Aby zatem pozwoli u»ytkownikom na korzystanie z naszego komputera jako z serwera ftp, nale»y najpierw odpowiednio skongurowa inetd. Poleceniem: # vi /etc/inetd.conf wyedytowali±my plik konguracyjny demona inetd, w którym nale»aªo 'odhaszowa ' odpowiedni linijk : ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l Nast pnie u»ywaj c: ps -aux grep inetd znale¹li±my PID inetd, po czym wykonali±my: # kill -9 766 # /etc/rc.d/inetd onestart Sprawdzili±my za pomoc polecenia # /etc/rc.d/inetd onestatus czy inetd zostaª pomy±lnie uruchomiony i orzymali±my odpowied¹: inetd is running as pid 831. Nast pnie sprawdzili±my, czy mo»emy podª czy si do naszego serwera z bierz cego komputera, jak i z serwera Volt. Wszystko dziaªaªo poprawnie. 2.2 Blokowanie dost pu do serwera FTP W pliku /etc/ftpusers znajduj si u»ytkownicy, którzy nie maj»adnego dost pu do serwera FTP. Nasz plik wygl daª tak: # $FreeBSD: src/etc/ftpusers,v 1.14 2005/06/07 03:41:19 maxim Exp $ # # list of users disallowed any ftp access. # read by ftpd(8). root toor daemon 2
operator bin tty kmem games news man sshd bind proxy _pflogd _dhcp uucp pop www nobody mailnull smmsp jastrzep Okazaªo si,»e wszystko dziaªa poprawnie i u»ytkownik jasztrzep nie mogl sie podª czy, podczas gdy drugi uzytkownik mógª. 2.3 Sprawdzanie, czy protokóª FTP jest szyfrowany Jako jedno z zada«mieli±my sprawdzi, czy protokóª FTP jest szyfrowany i czy monitoruj c sie, mo»na podejrze hasªa u»ytkowników. Wywoªali±my polecenie tcpdump -s 1400 -X port ftp i spróbowali±my si zalogowa, u»ywaj c nieprawdziwego hasªa. 13:33:39.654593 IP volt.59058 > via3.ftp: P 16:27(11) ack 83 win 65535 0x0000: 4510 0033 03eb 4000 4006 8d92 c21d 9203 E..3..@.@... 0x0010: c21d 92f9 e6b2 0015 9e7c fdb2 3c48 af3a.....<h.: 0x0020: 5018 ffff f0a7 0000 5041 5353 2061 7364 P...PASS.asd 0x0030: 660d 0a f.. Jak wida hasªem byª ci g znaków: 'asdf'. 2.4 Zmiana miejsca zapisu logów (syslogd) Aby zmieni miejsce (plik) w którym b d zapisywane logi konkretnego serwera nale»y zmieni konguracje demona syslogd. W pliku /etc/syslog.conf 3
zmienili±my linijk : ftp.info /var/log/xferlog na ftp.info /var/log/ftpdlog Nast pnie zrestartowali±my demona poleceniem # /etc/rc.d/syslogd restart. Podª czylismy si do serwera ftp poleceniem ftp 127.0.0.1 i dwurkotnie si zalogowali±my, najpierw bª dnie, pó¹niej dobrze. Plik /var/log/ftpdlog zawieraª nat puj ce dane: Apr 16 13:26:07 via3 ftpd[985]: connection from localhost (127.0.0.1) Apr 16 13:26:08 via3 ftpd[985]: FTP LOGIN FAILED FROM localhost Apr 16 13:26:14 via3 ftpd[986]: connection from localhost (127.0.0.1) Apr 16 13:26:17 via3 ftpd[986]: FTP LOGIN FROM localhost as karwacka 3 Wnioski W czasie wykonywania wiczenia zapoznali±my si z mechanizmami stawiania demonów oraz kongurowania uruchamianych usªug. Posªuguj c si handbookiem do FreeBSD skongurowanie i uruchomienie demona FTP nie stwarza»adnych kªopotów. Podobnie jest z kongurowaniem tego serwisu, bardzo ªatwo przyznaje si prawa dost pu u»ytkownikom co bez w tpienia przekªada si na jako± zabezpiecze«systemu. Je±li chodzi o bezpiecze«stwo haseª to FTP nie szyfruje poª czenia, umo»liwiªo to nam przechwycenie go podczas nasªuchiwania na porcie 21. Na koniec przestestowali±my demona zajmuj cego si zbieraniem logów u»ywanych serwisów. Jego konguracja jest równie prosta jak innych, co z kolei umo»liwia skuteczne zbieranie informacjio stanie naszego serwisu oraz akcjach jakie musiaª wykonywa. 4 Dodatek 1 - ifcongi Paweª Jastrz bski sis0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 options=8<vlan_mtu> inet 10.0.0.3 netmask 0xffffff00 broadcast 10.0.0.255 4
ether 00:07:95:b4:9d:48 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<pointopoint,simplex,multicast,needsgiant> mtu 1500 lo0: flags=8049<up,loopback,running,multicast> mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 Andrzej Karwacki re0: flags=8802<broadcast,simplex,multicast> mtu 1500 options=1b<rxcsum,txcsum,vlan_mtu,vlan_hwtagging> ether 00:11:09:d0:fb:89 media: Ethernet autoselect (100baseTX) status: no carrier plip0: flags=108810<pointopoint,simplex,multicast,needsgiant> mtu 1500 lo0: flags=8049<up,loopback,running,multicast> mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 ndis0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet 192.168.1.120 netmask 0xffffff00 broadcast 192.168.1.255 ether 00:11:95:5b:26:65 media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) status: associated ssid "Hayao Wireless Network" channel 1 bssid 00:0f:66:a2:f4:99 authmode OPEN privacy ON deftxkey UNDEF wepkey 1:104-bit txpowmax 100 bmiss 7 5