Fakult¨at f¨ur Mathematik Letzte ¨Anderung am 6. April 2016 Universit¨at Wien, Sommersemester 2016
Ubung ICT-Infrastruktur f¨ ¨ ur Bildungsaufgaben
07.04., 14.04., 21.04., 28.04., 12.05., 19.05 jeweils von 15:00 - 19:00
im PC-Unterrichtsraum 4 (W¨ahringerstraße 29)
Ubungsleiter: Thomas Leitner¨ Tutor: Mario Sassmann
Homepage: http://mat.univie.ac.at/praxis
Allgemeines
• Die Aufgaben k¨onnen in beliebiger Reihenfolge gemacht werden, allerdings ist es f¨ur Anf¨anger leichter, die Aufgaben der Reihe nach zu erledigen.
• Zusammenarbeit bei den Aufgaben ist erlaubt, die Abgabe der Aufgaben kann aber maximal in Zweiergruppen erfolgen, wobei beide Studierende alle m¨oglicherweise auftauchenden Fragen beantworten k¨onnen m¨ussen.
• Die Abgabe von Aufgaben ist auf Deutsch oder Englisch m¨oglich – ausreichende Kenntnisse in einer dieser Sprachen sind Voraussetzung f¨ur die Teilnahme an der Ubung!¨
• Die Aufgaben sind in Gruppen eingeteilt und die Abgabe von Aufgaben erfolgt aus- schließlich in diesen Gruppen (d.h. sobald man alle Aufgaben einer Gruppe erledigt hat, kann man diese Gruppe abgeben). Schafft man nicht alle Aufgaben einer Gruppe, so kann man nat¨urlich auch nur die bearbeiteten Aufgaben abgeben. Jede Gruppe von Aufgaben kann nur einmal abgegeben werden (d.h. das Nachbringen von Aufgaben einer bereits abgegebenen Gruppe ist nicht m¨oglich).
Bevor Du eine Aufgabengruppe in Angriff nimmst, schau Dir die einzelnen Aufgaben der Gruppe an und plane gen¨ugend Zeit f¨ur die Durchf¨uhrung und f¨ur die Abgabe ein!
Manche Aufgabengruppen sind aufwendiger als andere!
• Die Abgabe einer Aufgabengruppe erfolgt ausschließlich zu den ¨Ubungszeiten, und zwar durch Vorzeigen der Aufgaben am Computer und durch die entsprechenden Er- kl¨arungen. Ohne Letztere k¨onnen wir aufgrund der f¨ur alle identen Angaben ein Bei- spiel nicht werten - auch wenn es richtig eingetippt ist. Das Herzeigen am Rechner soll in Echtzeit erfolgen (History allein reicht nicht).
• Es ist m¨oglich, die Aufgaben am eigenen Laptop (zu Hause) vorzubereiten, man muss sie nicht erst in der ¨Ubung machen. Das ¨andert aber nichts an der Abgabe (siehe obige Punkte).
• Die Aufgabengruppen sollen im Verlauf der ¨Ubung abgegeben werden. Die Abgabe von mehr als drei Aufgabengruppen in der letzten ¨Ubungseinheit ist nur in begr¨undeten Ausnahmef¨allen m¨oglich und ist vorher beim ¨Ubungsleiter zu beantragen!
• Bei jeder Aufgabe ist angemerkt, wieviele Punkte sie wert ist (• = 1 Punkt) – norma- lerweise ist eine Aufgabe einen Punkt wert. Insgesamt k¨onnen maximal 42 Punkte erreicht werden, f¨ur eine positive Note m¨ussen mindestens 22 Punkte erreicht wer- den.
• Fragen k¨onnen den Tutoren oder ¨Ubungsleitern nat¨urlich jederzeit gestellt werden.
Aber: Fragen und Abgeben einer Aufgabengruppe in einem geht nicht! Daher zuerst die Aufgaben machen, eventuelle Fragen dazu stellen und, sobald man die Aufgaben f¨ur sich zufriedenstellend erledigt hat, die Gruppe von Aufgaben abgeben.
Virtuelle Maschinen
F¨ur die Durchf¨uhrung der Aufgaben steht jedem Studierenden eine virtuelle Maschine auf dem Serverict.mat.univie.ac.atzur Verf¨ugung. Der Server ist von ¨uberall erreichbar, d.h.
man kann auch von zu Hause aus auf den Server zugreifen, um an Aufgaben zu arbeiten.
Der Zugriff auf die virtuelle Maschine erfolgt per SSH mittels der Daten, die jeder Studie- rende per E-Mail erhalten hat:
1. ¨Uber den angegebenen Port kann eine direkte SSH-Verbindung zur virtuellen Maschine erstellt werden:
ssh -p PORT ict@ict.mat.univie.ac.at
2. Die erste Variante funktioniert nur, wenn das Netzwerk in der virtuellen Maschine richtig konfiguriert ist. Sollte das nicht der Fall sein, hat man sich sonst irgendwie aus der Maschine ausgesperrt oder wird die Ausgabe der Konsole ben¨otigt (z.B. um den Boot der virtuellen Maschine mitzuverfolgen), so kann man sich mit dem angegebenen Serverbenutzernamen und dem Passwort direkt zur Konsole der virtuellen Maschine verbinden:
ssh BENUTZERNAME@ict.mat.univie.ac.at
Dabei ist zu beachten, dass innerhalb der SSH-Verbindung automatisch ein telnet- Klient gestartet wird. Nach dem Verbindungsaufbau sollte einmal die Eingabetaste gedr¨uckt werden, um den Prompt innerhalb der virtuellen Maschine anzuzeigen.
Um sich auszuloggen, muss die Tastenkombination STRG + ] gedr¨uckt werden. An- schließend erscheint dertelnet-Prompt. Durch Eingabe vonquitwird die Verbindung geschlossen.
Es empfiehlt sich, das Passwort nach dem ersten Login mittels passwd zu ¨andern. Das Passwort wird automatisch innerhalb von 10 Minuten f¨ur den Zugriff mittels der zweiten Variante synchronisiert.
Da alle virtuellen Maschinen auf einem Server laufen, bitte keine unn¨otigen rechen- oder IO-intensiven Programme ausf¨uhren, ausgenommen nat¨urlich als Teil von Aufgaben.
Zus¨atzlich gibt es die virtuelle Maschine #99 (host99.ict im VM-Netzwerk), die von jedem Studierenden zum Testen bei Netzwerkaufgaben etc. verwendet werden kann bzw.
bei einigen Aufgaben verwendet werden soll. Bitte das Passwort f¨ur den Benutzerictnicht
¨andern, sondern gegebenenfalls einen eigenen Benutzer erstellen. Und beim Arbeiten auf dieser virtuellen Maschine auf die anderen Studierenden achten und deren eventuell vorhan- denen Konfigurationen nicht l¨oschen!
Unter Linux und Mac OS X stehen nach einer Standardinstallation SSH-Klienten stan- dardm¨aßig zur Verf¨ugung. Zur Benutzung braucht nur ein Terminal ge¨offnet und der Befehl sshgenutzt werden. Unter Windows bietet sich PuTTY als Klient an (siehe
http://www.putty.org/).
Aufgaben
Gruppe 1 Systemkonfiguration und Automatisierung
1.1. • Erstelle einen Eintrag in der sudo-Konfigurationsdatei, damit Du als Benutzer ict ohne Eingabe des Passworts die virtuelle Maschine neustarten bzw. abschalten kannst. Teste bis es funktioniert! Welche Vorteile hatsudo gegen¨uber su?
1.2. • Logge Dich auf der Konsole der virtuellen Maschine ein, starte die virtuelle Ma- schine neu und achte dabei, wie der Bootloader GRUB 2 konfiguriert ist. Anschließend
¨andere die Konfiguration von GRUB 2, damit ohne Verz¨ogerung (Timeout) der erste Men¨upunkt (“Ubuntu”) gestartet wird.
1.3. • Schreibe einen at-Job, der in einer Minute wall Gleich wird neugestartet aufruft, ein paar Sekunden wartet und dann die virtuelle Maschine neustartet.
Wie kannst Du Dir eine Liste aller at-Jobs anzeigen lassen? Wie kannst Du einen at-Job l¨oschen?
1.4. • Erstelle einen cron-Job, der alle zwei Minuten in das Systemlog die Nachricht
”Cronjob executed“ schreibt (Hinweis: logger). Nutze journalctl, um die Nach- richten anzuzeigen. Wie kannst du nur die Nachrichten des cron-Services anzeigen lassen? Wann benutzt man at-Jobs und wanncron-Jobs?
Gruppe 2 Systemservices
2.1. • Finde heraus, welcher Zeitsynchronisierungsdaemon in der virtuellen Maschine verwendet wird. Anschließend konfiguriere den Daemon so, dass er die Zeitserver des zentralen Informatikdienstes verwendet. Kontrolliere im Journal, ob es geklappt hat.
Nicht auf das Neustarten des Daemons vergessen!
2.2. •• Konfiguriere denssh-Server so, dass er Root-Logins nur per SSH-Schl¨ussel zul¨asst und kein X- oder TCP-Forwarding erlaubt.
Teil der Aufgabe ist es, einen SSH-Schl¨ussel zu generieren und alles so zu konfigurie- ren, dass Du mittels SSH-Schl¨ussel (als Benutzer ict oder root) einloggen kannst!
Welche Vor- bzw. Nachteile hat das Login mittels SSH-Schl¨ussel gegen¨uber dem Login mittels Passwort?
Hinweis: Du kannst den SSH-Schl¨ussel auch in der virtuellen Maschine erstellen und von dort aus testen. Oder aber von Deinem lokalen Rechner.
Gruppe 3 Datenverwaltung
In dieser Aufgabengruppe geht es um die Verwaltung von Festplatten und deren Partitio- nen sowie Dateisystemen. Zu diesem Zweck werden wir kleine Festplatten simulieren und mit diesen simulierten Festplatten weiterarbeiten.
3.1. • Erzeuge mit Hilfe des Befehls dd f¨unf “Festplatten” mit einer Gr¨oße von jeweils 10MB (d.h. Dateien, die mit lauter Nullen gef¨ullt sind). Benutze sie anschließend mit Hilfe von losetupals Loop Devices.
3.2. • Erstelle nun aus diesen f¨unf Devices mit Hilfe von mdadm ein RAID 5 Device namens /dev/md0. Formatiere das RAID 5 Device als ext4-Dateisystem, mounte es und kopiere einige Dateien darauf. Wie groß ist das erstellte Dateisystem? Warum ist es nicht 50MB groß?
Beantworte auch folgende Fragen zum ext4-Dateisystem:
• Wie viele Inodes hat das neu formatierte Dateisystem?
• Wie viele Blockgruppen hat es? Was ist die Blockgr¨oße?
• Wie kann man sich nachtr¨aglich diese Informationen anzeigen lassen?
• Mit welchem Programm kann man ¨Anderungen an den Dateisystem-Einstellungen vornehmen, ohne dass man das Dateisystem neu formatieren muss?
3.3. • Simuliere jetzt den Ausfall einer der f¨unf Festplatten und ersetze sie mit einer neuen (Hinweis: dd wiederholen). Verwende dazu die Optionen --fail, --remove und --add von mdadm. Zeige zwischen den einzelnen Schritten und am Ende immer den Status des RAID 5 Devices und den Zustand der Dateien an!
3.4. •• Jetzt werden wir das RAID 5 Device selbst als “Festplatte” betrachten und darauf “Partitionen” mit Hilfe des Logical Volume Managers (LVM) erstellen. Das RAID 5 Device ist ja nur in der ¨Ubung so klein – wenn man Festplatten statt den Loopback Devices nehmen w¨urde, w¨are es ja bedeutend gr¨oßer.
F¨uhre die folgenden Schritte der Reihe nach aus (Hinweis: du wirst die Befehle pvcreate,pvdisplay,vgcreate, vgdisplay, lvcreate,lvdisplay bzw. lvextend brauchen):
• Unmounte zun¨achste das erstellte Dateisystem.
• Bereite das Device /dev/md0 auf die Verwendung durch LVM vor und lass Dir die Details dazu anzeigen.
• Erzeuge nun eine neueVolume Group namens lvmtest und lass Dir die Details dazu anzeigen.
• Erzeuge in derVolume GroupzweiLogical Volumesmit einer Gr¨oße von je 10MB und formatiere beide Volumes (die “Partitionen”) mit dem Dateisystem ext4.
• Vergr¨oßere eine derLogical Volumes und das darauf befindliche Dateisystem um 5MB.
3.5. • Erstelle nun eine weitere “Festplatte” mit einer Gr¨oße von 50MB und binde sie als Loop-Ger¨at ein. Benutze vgextend, pvmove und vgreduce, um die Datenbl¨ocke der beiden logischen Partitionen von /dev/md0 auf das Loop-Ger¨at zu verschieben.
Anschließend l¨osche das RAID 5 Device /dev/md0.
Auf diese Art und Weise kann man bei LVM zum Beispiel zu klein gewordene Festplat- ten oder Festplatten mit Fehlern austauschen, ohne die Dateisysteme selbst angreifen zu m¨ussen.
Gruppe 4 Paketverwaltung
4.1. • Finde mittelsapt-cacheundgrepheraus, wie das Paket f¨ur den Apache Webser- ver heißt. Simuliere dann die Installation dieses Pakets mit Hilfe von apt-get - wie viele Pakete w¨urden installiert werden?
4.2. • Installiere nun den Apache Webserver, ohne dass Du diese Operation zus¨atzlich interaktiv best¨atigen musst. Anschließend entferne ihn wieder mit Hilfe vonapt-get remove. Wie viele Pakete wurden deinstalliert? Wie kannst Du die jetzt nicht mehr ben¨otigten Pakete entfernen?
4.3. • Lasse Dir den aktuellen Status des Apache Webserver Pakets anzeigen (Hinweis:
dpkg-query). Woran erkennst Du, dass noch Dateien des Pakets vorhanden sind?
Lasse Dir die noch vorhandenen Dateien des Apache Webserver Pakets anzeigen. Was musst Du machen, um auch diese restlichen Dateien zu entfernen?
4.4. • Installiere das Paketdebsums und f¨uhre die folgende Schritte aus:
• Kopiere die Datei /bin/mvnach /bin/hostname.
• Kontrolliere, was das Programm /bin/hostname nun eigentlich ist und was es zu machen versucht.
• Finde heraus, zu welchem Paket die Datei /bin/hostname geh¨ort.
• Uberpr¨¨ ufe nun, ob debsumsf¨ur dieses Paket, einen Fehler ausgibt.
• Anschließend repariere das Paket und ¨uberpr¨ufe, ob/bin/hostnamewieder funk- tioniert.
Gruppe 5 Lokale Benutzer- und Gruppenverwaltung
5.1. • Erzeuge von Hand einen neuen Benutzeraccount mit dem Namen uebung:
• F¨uge eine neue Zeile zu /etc/passwd hinzu (verwende eine UID die noch nicht vergeben ist). Mit welchem Editor editierst Du diese Datei?
• Erzeuge das Home-Verzeichnis f¨ur den neuen Benutzer (auf Eigent¨umer und Be- rechtigungen achten!).
• F¨uge eine entsprechende Zeile zu /etc/shadowhinzu.
• Setze das Passwort f¨ur den neuen Benutzeraccount.
Erkl¨are das Format der Dateien/etc/passwd und /etc/shadow.
5.2. • Erzeuge nun, ebenso von Hand, eine Gruppe alle:
• Editiere die Datei/etc/group, um die neue Gruppe hinzuzuf¨ugen, und trage bei den Mitgliedern den Accountict ein.
• F¨uge beim Benutzer uebung in dem entsprechenden Feld in /etc/passwd die GID ein.
Erkl¨are das Format der Datei /etc/group. Wodurch unterscheidet sich die Grup- pe, die man in der Datei /etc/passwd angibt, von anderen Gruppen, in denen ein Benutzer Mitglied ist?
5.3. • L¨osche nun sowohl den Benutzeruebung als auch die Gruppealle mit Hilfe von deluser(oder userdel) und delgroup (oder groupdel).
Verwende anschließendadduser(oderuseradd) sowieaddgroup(oder groupaddum den Benutzeruebung bzw. die Gruppeallewieder mit den gleichen Daten (i.e. UID, GID, ...) zu erstellen.
Gruppe 6 OpenLDAP
6.1. • Installiere und konfiguriere den OpenLDAP-Server:
• Installiere das Paketslapdund merke Dir das von Dir eingegebene Administra- torpasswort.
• Andere die Konfiguration des Server so, dass er zus¨¨ atzlich auf der ldaps:///- Schnittstelle lauscht.
• Benutzeldapmodify, um die Datei/root/ldap-tls-configuration.ldifein- zuspielen (Hinweis: Verwende dieldapi:///-Schnittstelle daf¨ur!). In dieser LDIF- Datei sind Einstellungen definiert, die TLS mit einem bereits vorbereiteten Zer- tifikat konfigurieren.
• Starte den OpenLDAP-Server neu und ¨uberpr¨ufe, ob die ¨Anderung funktioniert hat, indem Du Dir die Liste aller lauschenden TCP-Ports ausgeben l¨asst. Welche zwei Ports verwendet der Server?
6.2. • Bei der Installation wurde automatisch ein DIT mit der Domain der VM als Wurzel angelegt, i.e.dc=ict. Erzeuge mit Hilfe einer LDIF-Datei undldapadd oder ldapmodify zwei Organisationseinheiten ou=usersund ou=groups unterhalb dieser Wurzel.
6.3. • Lege unter ou=users,dc=ict einen Benutzer und unter ou=groups,dc=ict eine Gruppe an:
• Die UID bzw. GID sollen Werte gr¨oßer gleich 10.000 sein.
• Die Home-Verzeichnisse von im LDAP definierten Benutzern sollen unter/users liegen.
• Lege das Home-Verzeichnis des Benutzers an und achte auf die richtigen Rechte.
• Vergiss nicht, ein (verschl¨usseltes) Passwort zu setzen (daf¨ur eignet sichslappasswd oderldappasswd).
Teste mit Hilfe von ldapsearch, ob Du Dich als dieser Benutzer am LDAP-Server authentifizieren kannst.
Funktioniert das Anmelden auch ¨uber TLS? Welche zus¨atzliche Option brauchst Du daf¨ur? Was passiert, wenn Du in/etc/ldap/ldap.confden Eintrag f¨urTLS CACERT auskommentierst?
6.4. •• Installieresssd-ldapund konfiguriere sssd so, dass Benutzerdaten von dem loka- len LDAP-Server ausgelesen werden und gegen¨uber dem LDAP-Server authentifiziert werden kann (siehe Vorlesungsfolien und auch ‘man sssd-ldap‘).
• Erstelle die Datei /etc/sssd/sssd.conf und erlaube nur dem Benutzer root Lese- und Schreibzugriff darauf.
• F¨uge einen Abschnitt[sssd]hinzu, in dem Du die Servicesnssundpamsowie die DomainICTaktivierst. Den Eintrag config file version = 2 nicht vergessen, andernfalls startet sssd nicht!
• F¨uge einen Abschnitt[domain/ICT]hinzu, in dem Du die Konfiguration f¨ur den Zugriff auf den LDAP-Server definierst.
Starte nun das sssd-Service und teste mit Hilfe vongetent, ob das System den LDAP- Benutzer kennt. Anschließend versuche dich ¨uber SSH mit dem LDAP-Benutzer ein- zuloggen.
Hinweis: Bei der Installation von sssd werden automatisch der Name Service Switch und die PAM-Konfigurationsdateien angepasst. Falls das nicht automatisch passiert ist, muss man/etc/nsswitch.confmanuell anpassen bzw. PAM mittelspam-auth-update einrichten, damit sssd verwendet wird.
Gruppe 7 Kerberos
7.1. • Installiere und konfiguriere den MIT Kerberosserver:
• Installiere das Paketkrb5-admin-server. Verwende als RealmHOSTXX.ICT (er- setze HOSTXX mit dem großgeschriebenen Hostnamen Deiner VM) und f¨ur die Serverangaben den vollen Domainnamen Deiner VM.
• Erstelle das Kerberos Realm mit Hilfe von krb5 newrealm und merke Dir das Administratorpasswort.
7.2. • Erstelle nun einen Principal f¨ur den Benutzer ict. ¨Uberpr¨ufe anschließend, ob Du Dich am Kerberosserver als dieser Principal authentifizieren kannst.
7.3. • Erstelle einen Principal host/hostXX.ict mit einem zuf¨alligen Passwort f¨ur die virtuelle Maschine und exportiere diesen in die Datei /etc/krb5.keytab.
Anschließend konfiguriere OpenSSH so, dass die Authentifikation via Kerberos er- laubt ist. Starte den Server neu und melde Dich als Benutzer ict mittels Kerberos an. Warum funktioniert dabeissh ict@localhost nicht?
7.4. • Gehe wie in Aufgabe 6.4. vor, um sssd zu installieren, aber statt der Domain [domain/ICT]lege eine Domain [domain/KRB]an:
• Benutzeproxyals Identity Provider, welcher auf das NSS-Modulfileszugreifen soll.
• Benutze krb5 als Authentication Provider und konfiguriere ihn so, dass er den eingerichteten Kerberosserver verwendet.
Starte das sssd-Service neu und logge Dich als Benutzer ict mit dem Kerbero- spasswort ein. Funktioniert das Einloggen auch noch mit dem urspr¨unglichen, in /etc/shadowdefinierten Passwort? Warum?
Mit wie vielen und welchen Authentifizierungsmerkmalen k¨onntest Du Dich jetzt als Benutzerict am SSH-Server einloggen?
Zum Ausprobieren: Rede Dich mit einem Kollegen/einer Kollegin zusammen und erstellt gemeinsam eine Vertrauensstellung zwischen Euren beiden Kerberosservern. Damit kannst Du dann z.B. mit einem auf Deinem Kerberosserver definierten Principal auf Services (z.B.
OpenSSH) der anderen virtuellen Maschine zugreifen.
Gruppe 8 Netzwerkkonfiguration
Hinweis: Wenn in der virtuellen Maschine das Netzwerk deaktiviert ist, funktioniert der Zugriff auf die VM nur mehr ¨uber Variante 2 - siehe Virtuelle Maschinen auf Seite 2.
8.1. • Die folgenden Fragen beziehen sich auf das Interfaceeth0:
• Welche IP-Adresse besitzt Dein Rechner?
• Was ist die Netzmaske des Netzwerks?
• Was ist der Hostname Deines Rechners?
• Was ist die IP-Adresse des benutzten Gateways?
• Welchen Nameserver benutzt Dein Rechner?
8.2. • Fahre das Interface eth0 mit Hilfe von ifdown eth0 herunter. Konfiguriere es nun mit Hilfe der in der letzten Aufgabe gefundenen Informationen
”von Hand“ neu (also ohne DHCP, sondern unter Verwendung von ip oder ifconfig und route).
Teste Deine Netzwerkverbindung – kannst Du Deinen Rechner pingen, den Gateway pingen, einen Rechner im Internet (z.b. www.google.com) pingen?
8.3. • Andere¨ /etc/network/interfaces, sodass die IP-Adresse nicht mehr via DHCP bezogen wird, sondern statisch gesetzt ist. Starte die virtuelle Maschine neu und
¨uberpr¨ufe dann, ob die Netzwerkverbindung funktioniert!
8.4. • Diese Aufgabe behandelt weitere Netzwerkbefehle:
• Finde heraus, welche MAC-Adresse die virtuelle Maschinehost99.icthat (Hin- weis: arping)! Was machen die Befehle ip neigh, arp und mtr? Erkl¨are sie an Hand eines Beispiels!
• Find die IP-Adressen der Rechner login, login.ict und
login.univie.ac.atheraus (Hinweis:host)! Welche Rolle spielt dabei die Datei /etc/resolv.conf? Erkl¨are deren Optionen nameserver und search!
Gruppe 9 Paketfilter mit iptables
9.1. •• Setze mit Hilfe von iptables eine Firewall f¨ur Deine virtuelle Maschine auf:
• L¨osche zun¨achst alle eventuell vorhandenen iptables-Regeln, alle benutzerde- finierten Ketten, setze die Z¨ahler auf 0 zur¨uck und stelle alle Ketten auf “AC- CEPT” ein.
• Alle Verbindungen, die von Deinem Rechner aus aufgebaut werden, sollen zuge- lassen werden.
• Pakete von außen, die zu bestehenden Verbindungen geh¨oren, sollen zugelassen werden.
• ICMP-Pakete sollen zugelassen werden.
• Pakete von der Loopback-Schnittstelle sollen zugelassen werden.
• Alle anderen Verbindungen, die zu Deinem Rechner aufgebaut werden, sollen abgeblockt werden.
Mit Hilfe der virtuellen Maschinehost99.ictkann man testen, ob die Firewall funk- tioniert.
9.2. • Modifiziere die Firewall, damit Verbindungen zum SSH-Server, zum LDAP-Server und zum Kerberosserver zugelassen werden (Hinweis: /etc/services zum Heraus- finden der Portnummern).
9.3. •• Schreibe eine systemd-Serviceunit, die die gespeicherten Paketfilterregeln beim Starten des Systems automatisch wiederherstellt.
• Erzeuge das Verzeichnis /etc/iptables.
• Speichere die Regeln der Firewall in die Datei /etc/iptables/rules.v4 mit Hilfe von iptables-save.
• Die Serviceunit soll nachlocal-fs.targetundsystemd-modules-load.service, aber noch vornetwork.target gestartet werden.
• Beim Aktivieren der Serviceunit soll automatisch eine Abh¨angigkeit zumulti-user.target erzeugt werden.
• Benutzeiptables-restore in der Serviceunit, um die Firewallregeln zu laden.
Hinweis: Verwenden des Pakets iptables-persistent reicht nicht, um die Punkte zu bekommen!
Gruppe 10 NFS
Achtung: F¨ur die Durchf¨uhrung der Aufgabe 10.3. wird die abgeschlossene Aufgabengrup- pe Gruppe 7 ben¨otigt!
10.1. • Installiere und konfiguriere den NFS-Server:
• Installiere das Paketnfs-server.
• Gib das /users-Verzeichnis (anlegen, falls es nicht existiert, und allen Schreib- berechtigung geben) nur f¨ur Deine virtuelle Maschine sowie f¨urhost99.ict frei (dazu musst Du/etc/exports editieren, sieheman 5 exports). Setze sinnvolle Optionen!
• Aktiviere die neue Konfiguration und mounte das Verzeichnis/usersunter/mnt.
Erstelle eine Datei im NFS-Share - welchem Benutzer, welcher Gruppe geh¨ort die Datei?
10.2. • Andere nun die Konfiguration dahingehend, dass Du im NFS-Share auch Root-¨ Rechte hast. Warum ist das im Regelfall keine gute Idee? Was passiert nun, wenn Du eine Datei im NFS-Share erstellst?
10.3. •• Diese Aufgabe setzt die abgeschlossene Aufgabengruppe Gruppe 7 (Kerberos) voraus.
• Erstelle f¨ur den NFS-Server einen Principal nfs/hostXX.ict (ersetze XX wie- der durch die Nummer Deiner virtuellen Maschine) und exportiere ihn nach /etc/krb5.keytab.
• Andere die Konfiguration des NFS-Servers, damit ¨¨ uber Kerberos gesicherte Ver- bindungen erlaubt werden und starte dann den NFS-Server neu (eventuell anpas- sen von /etc/exports, /etc/idmapd.conf, /etc/default/nfs-common sowie /etc/default/nfs-kernel-servern¨otig).
• Mounte das NFS-Share ¨uber Kerberos nach /mnt.
• Logge Dich als Benutzerictmit demKerberos-Passwortein und zeige die f¨ur den Benutzer gespeicherten Kerberos-Tickets an - welche gibt es? Liste die Datei- en im Verzeichnis/mnt auf und zeige danach wieder die gespeicherten Kerberos- Tickets an? Was hat sich ver¨andert? Warum?
• L¨osche jetzt alle gespeicherten Kerberos-Tickets des Benutzers. Kannst du auf /mntnoch zugreifen? Warum?
Was m¨usstest du machen, damit das Mounten des NFS-Shares auf anderen Maschinen via Kerberos funktioniert?
