H5

Kurssi Linux palvelimet ICT4TN021-6

a) Asenna SSH-demoni

a) SSH:n asennus

SSH:n asennus Tapahtuu komennolla sudo apt-get install ssh, jonka jälkeen tulee varmistus haluttavasta asennuksesta. Valitaan tähän y vaihtoehto, että asennus käynnistyy.

b) Suojaa kone tulimuurilla, mutta tee ensin reikä SSH:lle

b) Koneen suojaus tulimuurilla ja reijän teko

Tehdään seuraavaksi reikä tulimuuriin ja pistetään tulimuuri päälle reijän voi tehdä komennolla sudo ufw allow 22/tcp jonka jälkeen sudo ufw enable pistää tulimuurin päälle.

c) Siirrä tiedostoja ssh:lla

c) Scp käyttö

Tein ensiksi teksti tiedoston xubuntu/home kansioon komennolla nano hello.txt. tiedoston siirto taas onnistuu komennolla scp hello.txt xubuntu@localhost:

hellp

Tiedoston siirto näyttää onnistuneelta. Kävin viellä katsomassa SSH:ta että tiedosto oli saapunut.

d) Automatisoi kirjatuminen julkisen avaimen menetelmällä

d) Kirjautumisen automatisointi.

Komennolla ssh-keygen tehdään avain jota voidaan käyttää kirjautumisessa.

Screenshot_2018-02-22_13-20-16

Tämän jälkeen annetaan komento ssh-copy-id xubuntu@localhost joka kopioi avaimen SSH:lle. Salasanaa kysytään viimeisen kerran kunnes päästään kirjautumaan sisään SSH:lle ilman salasanaa.
Screenshot_2018-02-22_13-20-16

j) Asenna ja konfiguroi ja käynnistä sysstat-paketti. Tarkista sar-komennolla, että se on päällä, esim. näyttää lokimerkinnän “Linux reboot…”. Anna sysstatin pyöriä päivä tai pari. Tutki kuormitushistoriaa sysstatin komennoilla sar, iostat, pidstat… Analysoi tulokset, eli selitä perusteellisesti mitä tulokset tarkoittavat.

e) Sysstat asennus ja käyttö

Ensiksi asennetaan systat komennolla sudo apt-get -y install sysstat.
Kun sysstat on asennettu pitää mennä viellä sudoedit /etc/default/sysstat komennolla muokkaamaan enabled=”false” kohta enable=”true” tämän jälkeen käytetään sudo systemctl start sysstat että asetukset tulevat voimaan.

Komennolla sudo systemctl status sysstat.service |grep Active pystyt katsoa kuinka kauan sysstat on ollut päällä.
Koitin mpstat ja pidstat komentoa jotka toivat näkyviin seuraavia tuloksia:

Screenshot_2018-02-27_15-54-18

Sar komennon tulokset:

Screenshot_2018-02-27_15-59-28

Oman tulkintani mukaan sar näyttää kaikkien palvelimen prosessorien ydinten kuormituksen.
User oon luultavemmin käyttäjän omien asennusten ja määrittelyjen viemä teho. esimerkkinä sysstatin päällä pito.
%idle tarkoittaa käyttämätöntä prosessorin tehoa.

Googlettamalla löysin hyvän vastauksen tähän tehtävään:

Understanding the output of SAR command

%user: This shows the total time that the processor is spending on different user processes

%sys: this shows the percentage of time spend by the processor for operating system tasks(because the previous user shows the time spend for user end process)

%iowait: the name iowait itself suggests that its the time spend by processor waiting for devices(input and output)

%nice: Most of you guys must be knowing that a user can change the priority of a process in linux by changing the nice value in Linux. This table shows the time spend by CPU for process whose nice value has been changed.

%steal: This column shows the amount to time spend by a CPU (which is virtualized), for resources from the physical CPU

%idle: This suggests the idle time spend by the processor.

Lähde: Understanding sar command output

i) (Ryhmä 7 tiistai varsinainen tehtävä, muille vapaaehtoinen): Ratkaise Scan of the Month 15. Katso vinkkejä Forensic File Recovery with Linux – Undelete. Älä katso malliratkaisua netistä, ellet ole jumissa, ja merkitse raporttiisi, jos katsoit. Kuva sisältää oikeaa haittakoodia, älä käsittele sitä arvokkailla tietokoneilla tai työnantajan tuotantoverkossa, äläkä aja siltä löytyviä ohjelmia. Kaikki vastaukset löytyvät kuvasta, tässä tehtävässä ei tutkita mitään muita järjestelmiä.

i) Scan of the month 15

Tehtävä:

Ratkaise Scan of the Month 15. Katso vinkkejä Forensic File Recovery with Linux – Undelete. Älä katso malliratkaisua netistä, ellet ole jumissa, ja merkitse raporttiisi, jos katsoit. Kuva sisältää oikeaa haittakoodia, älä käsittele sitä arvokkailla tietokoneilla tai työnantajan tuotantoverkossa, äläkä aja siltä löytyviä ohjelmia. Kaikki vastaukset löytyvät kuvasta, tässä tehtävässä ei tutkita mitään muita järjestelmiä.

Tehtävä aloitetaan honeynet.tar.gz tiedoston lataamisella.
Tiedosto puretaan komennolla tar -xvf honeynet.tar.gz jonka jälkeen voidaan mennä kyseiseen kansioon cd honeynet tehdään seuraavaksi kansioon uusi kansio.
mkdri sdc1 jonka jälkeen voidaan mountata image komennolla.
sudo mount -o “loop,nodev,noexec,ro” honeypot.hda8.dd sdc1

Seuraavaksi voidaan tehdä kansiot palautettaville tiedostoille.
mkdir allocated deleted sitten voidaan palauttaa tiedostoja kyseisiin kansioihin komeinnoilla:
tsk_recover -a honeypot.hda8.dd allocated 
tsk_recover honeypot.hda8.dd deleted

Kun olin päässyt tähän vaiheeseen kävin tarkastelemassa kyseisiä tiedostoja mutta oli vaikeaa itselleni päätellä että mitä olen täältä hakemasta.
Jouduin tässä vaiheessa turvautumaan katsomaan ratkaisua.
Sivulla on hyvin selitetty yhteenveto ja Q&A osio josta löysin vastauksen tehtävään joka oli:

Q2: What files make up the deleted rootkit?
A2: The whole rootkit package can be found in one deleted file (lk.tgz).

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s