H4)

A)

Loin tunnilla käyttäjätilin digitalocean.com:iin hyödyntäen ilmaista opiskelijatarjousta Githubin kautta. Loin DigitalOceaniin oman palvelimen (”create new droplet”) seuraavin askelin: Valitsin distroksi Debianin (11 x64), CPU:lle mahdollisimman yksinkertaisimmat asetukset (basic vaihtoehto, 1 GB CPU, 25 GB SSD, 1000 GB transfer). Datacenterin sijainniksi valitsin Frankfurtin EU:n lakien ja fyysisen läheisyyden vuoksi.

Autentikaatiotavaksi loin ssh-parin luomisen noudattamalla DigitalOceanissa esitettyjä ohjeita, eli oman koneen kautta pitää generoida ssh-avain ja kopioida julkisen avaimen sisältö digital oceanin käyttäjätilille. Valitsin vielä ilmaiset palvelut, jotka enabloivat julkisen IPv6-verkkotyöskentelyn (käytän ipv4 kuitenkin) ja dropletin monitoroinnin. Hostnameksi vielä valkkasin ”debian-topias”. Virtuaalikoneen luomisessa kesti vajaat pari minuuttia. Laitoin vielä varmuuden vuoksi virtuaalikoneen pois päältä lisäsäätöjen (kuten palomuurin luomisen) ajaksi.

D)

Ensin annoin nimen palomuurille (Firewall-Debian-Topias). Sitten säädin sisääntulevan liikenteen säännöt. Käytin oletusarvoja, eli ssh:ta, TCP-protokollaa, porttia 22 jne. Ulospäinsuuntautuvan liikenteen suhteen käytin myös oletusarvoja ilman poikkeuksien asettamista. Lopuksi liitin palomuurin dropletilleni (debian-topias). Myöhemmin loin kaksi uutta sääntöä palomuurilleni koskien sisääntulevaa liikennettä, jotta sain apache2-palvelimella olleen internet-sivuni näkyviin julkiseen internettiin. Loin HTTP-liikenteelle (TCP-protokolla) portin 80 käytettäväksi sekä HTTPS-liikenteelle 443 portin käytettäväksi.

E)

Kesti useamman minuutin, ennen kuin sain dropletin luomisen jälkeen konsoliyhteyden virtuaalikoneeseeni. Konsoliyhteyden saamiseksi jouduin klikkaamaan ”Access” valikon auki ja sieltä klikkaamaan ”launch droplet console”-painiketta. Ihan ensiksi asetin root-käyttäjälle salasanan (pelkkä ”passwd”, koska olin jo valmiiksi root-käyttäjänä) ja sitten myös sudolle (sudo passwd), sitten tein päivitykset (apt-get update/upgrade).

Apache2:n asennus tapahtui komennolla ”sudo apt install apache2”, käynnistys kommennolla ”sudo systemctl start apache2”. Komennolla ”hostname -I” selvitin serverini nettiosoitteen. Käytin oletussivua (löytyy /var/www/html/index.html) ja oletuskonfiguraatiota (/etc/apache2/sites-enabled/000-default.conf).

Alkukokeilun jälkeen huomasin, että yhteys ei onnistunut, vaikka tarkistin, että apache oli päällä (systemctl status apache2). Keksin nopeasti, että virtuaalikoneeltani puuttui tulimuuriasetuksista http- ja https-yhteyksien salliminen. Asia korjaantui ja sain auki apache2:n oletussivun kirjoittamalla selaimeen virtuaalikoneeni (julkisen) ip-osoitteen.

F)

Tarkistin logeista ensin, että oliko sivuani ladanneet muutkin kuin minä (cd /var/log/apache2, cat access.log). Nähtävästi yksi oli löytänyt ip-osoitteeni sivulle.

Seuraavaksi siirryin katsomaan /var/log-kansiosta löytyvää auth.log-tiedostoa, jossa on logeja kirjautumisyrityk. Sieltä löytyi useita merkintöjä koskien ssh-yhteydenmuodostamisia virtuaalikoneelleni. Esimerkiksi alemmassa kuvassa näkyvässä rivissä ajalta 14:19:44 kerrotaan, että osoitteesta 141.98… tuleva pyyntö epäonnistuu, sillä sopivaa avainta ei löydy. Saman osoitteen kautta tulee useampi yritys eri portteja käyttäen. Iplocation.net sivu paljastaa, että ip-osoite on Kiinan Kansantasavallasta.

Tarkentavalla haulla ”cat /var/log/auth.log | grep ’Invalid'” näkyi kaikki ei-validit käyttäjäkirjautumiset ip-osoitteineen ja portteineen.

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

Create your website with WordPress.com
Aloitus
%d bloggaajaa tykkää tästä: