Administrace Unixu a sítí



Podobné dokumenty
Počítačové sítě II 17. WWW, HTTP. Miroslav Spousta, 2005

Počítačové sítě II. 18. World Wide Web, HTTP Miroslav Spousta,

HTTP protokol. HTTP protokol - úvod. Zpracoval : Petr Novotný novotny0@students.zcu.cz

Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták

Administrace Unixu a sítí

BI-AWD. Administrace Webového a Databázového serveru Virtualizace HTTP serveru

HTTP protokol. Zpracoval : Petr Novotný

Administrace Unixu a sítí

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Protokol HTTP 4IZ228 tvorba webových stránek a aplikací

HTTP: Hyper Text Transfer Protocol

OpenSSL a certifikáty

Administrace Unixu a sítí

Protokol HTTP. Ondřej Dolejš

WWW technologie. HTTP protokol

v. 2425a Jak si na PC vypěstovat HTTP (WWW, Web) server a jak ho používat (snadno a rychle) by: Ing. Jan Steringa

Rodina protokolů TCP/IP, verze 2.3. Část 10: World Wide Web

BI-VWS. Vybrané partie z administrace Webového Serveru Autetizace, autorizace a kontrola přístupu Apache httpd

Schéma e-pošty. UA (User Agent) rozhraní pro uživatele MTA (Message Transfer Agent) zajišťuje dopravu dopisů. disk. odesilatel. fronta dopisů SMTP

HTTPS na virtuálních web serverech

C6 Bezpečnost dat v Internetu. 2. HTTP komunikace 3. HTTPS komunikace 4. Statistiky

A p a c h e h t t p d Lukáš Zapletal lukas.zapletal@liberix.cz

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Tvorba webových stránek. Ing. Radek Burget, Ph.D.

SSL Secure Sockets Layer

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Služba World Wide Web

a autentizovaná proxy

Podpora šifrovaného spojení HTTPS

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Rozdíly oproti webové stránce:

JSON API pro zjišťování cen MtG karet

Instalace a konfigurace web serveru. WA1 Martin Klíma

Nginx v roli web serveru

Uživatel počítačové sítě

Principy fungování WWW serverů a browserů. Internetové publikování

.password xklima:$apr $l sbbajg$ruuy FCr urjfjsvlehsf/ Přídání hesla htpasswd.exe -c c:\www_root\vyuka\autentizace\apache\.

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují

Protokoly služeb Internetu

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

BI-AWD. Administrace Webového a Databázového serveru Úvod do problematiky HTTP serveru

Připravil: Ing. Jiří Lýsek, Ph.D. Verze: Webové aplikace

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Ing. Jitka Dařbujanová. , SSL, News, elektronické konference

Uživatelský modul Stunnel

RESTful API TAMZ 1. Cvičení 11

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

Zapomeňte už na FTP a přenášejte soubory bezpečně

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Site - Zapich. Varianta 1

Spouštění a konfigurace služeb. Přednáška OSY2 verze :00

Úvod do informatiky 5)

Počítačové sítě Systém pro přenos souborů protokol FTP

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Protokoly požadavku na URL URL je odkaz na konkrétní prostředek na Internetu v konkrétním umístění a má následující standardní

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

DUM 7 téma: Přenos souborů

Střední odborná škola a Střední odborné učiliště, Hořovice

Identifikátor materiálu: ICT-3-10

Bezpečnost vzdáleného přístupu. Jan Kubr

Nastavení telefonu Nokia 9500

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

BI-AWD. Administrace Webového a Databázového serveru Konfigurace webového serveru Apache httpd

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

Návod k nastavení účtu v emclient (IceWarp Desktop) pro práci s IceWarp Mail serverem.

Malý průvodce Internetem

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové

Elektronická pošta... 3 Historie... 3 Technické principy... 3 Komunikační protokoly... 3 MBOX... 4 Maildir... 4 Jak funguje POP3...

Certifikační autorita EET Modelové postupy vytvoření souboru žádosti o certifikát

BI-AWD. Administrace Webového a Databázového serveru Instalace webového serveru Apache httpd

Příručka rychlého nastavení snímání do u

Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS. FTP Klient. A05463 fboranek@atlas.

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

GP webpay: Správa objednávek, Web Services

Správa linuxového serveru: Zprovoznění Ruby aplikací s RVM, Thin a Nginx

2N Helios IP HTTP API

Postup pro vytvoření žádosti o digitální certifikát pro přístup k Základním registrům

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Přenos souborů pomocí AceFTP (pdf verze pro tisk KB)

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Administrace Unixu (Nastavení firewallu)

Rychlý průvodce konfigurací LAN SUITE 2002

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Y36SPS Jmenné služby DHCP a DNS

Jemný úvod do Postfixu

PSK3-20. Malý poštovní server I. Instalace

Jmenné služby a adresace

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Administrace Unixu a sítí

CZ.1.07/1.5.00/

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Nginx aneb jde to i bez Apache

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

PSK2-14. Služby internetu. World Wide Web -- www

Instalace Packet Radia pod systémem Debian Linux s použitím zvukové karty jako modemu

Co sledovat a jak měřit u mobilního webu

Lekce 10: Aplikační vrstva

Transkript:

Administrace Unixu a sítí inet6 adr: fe80::210:a4ff:fee1:9e5d/64 Rozsah:Linka AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 RX packets:66690 errors:0 dropped:0 overruns:0 frame:0 TX packets:100149 errors:0 dropped:0 overruns:0 carrier:0 kolizí:0 délka odchozí fronty:0 RX bytes:21490419 (20.4 MiB) TX bytes:10545763 (10.0 MiB) 8. WWW, HTTP bug:/home/qiq# getent passwd grep 10 uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh Debian exim:x:102:102::/var/spool/exim4:/bin/false qiq:x:1000:1000:miroslav Spousta,,,:/home/qiq:/bin/bash Miroslav Spousta sshd:x:100:65534::/var/run/sshd:/bin/false 2006 identd:x:101:65534::/var/run/identd:/bin/false messagebus:x:103:104::/var/run/dbus:/bin/false gdm:x:104:105:gnome Display Manager:/var/lib/gdm:/bin/false hal:x:106:106:hardware abstraction layer,,,:/var/run/hal:/bin/false saned:x:109:109::/home/saned:/bin/false bind:x:105:110::/var/cache/bind:/bin/false smmta:x:107:111:mail Transfer Agent,,,:/var/lib/sendmail:/bin/false smmsp:x:108:112:mail Submission Program,,,:/var/lib/sendmail:/bin/false test:x:1001:1001:test User,,,:/home/test:/bin/bash http://www.ucw.cz/~qiq/vsfs/ postfix:x:110:115::/var/spool/postfix:/bin/false 1

Xen virtuální servery (http://www.cl.cam.ac.uk/research/srg/netos/xen/) budete mít rootovská oprávnění ve virtuálním serveru přístup je po dobu výuky OS: Debian 3.1 RAM: 32 MB, swap: 128 MB (/dev/sda2), root: 512 MB (/dev/sda1) několik síťových karet (eth0, eth1,...) Síťové karty jsou propojeny virtuálními přepínači Přístup k virtuálním serveru: ssh login@kozel.vsfs.cz xencons localhost 90xx xx je číslo serveru (login: root, heslo: žádné) 2

HTTP HyperText Transport Protocol, RFC 2616 v současné době se používá verze 1.1 a 1.0 klient-server, server odpovídá na požadavky klienta stejně jako u SMTP se jedná o jednoduchý textový protokol chybové kódy podobně jako u SMTP (tři číslice) 2xx: bez chyby: 200 OK, 201 Created, 202 Accepted,... 3xx: přesměrování klienta: 301Moved Permanently, 302 Found, 304 Not modified 4xx: chyba u klienta: 400 Bad request, 403 Forbidden, 404 Not found 5xx: chyba na serveru používá protokol TCP, port 80 funguje bezestavově podporuje cachování odpovědí (podobně jako DNS) 3

HTTP metody klient posílá požadavky pomocí metody GET, POST, PUT, DELETE, OPTIONS, CONNECT,... formát: metoda cesta protokol následují hlavičky (podobné jako u SMTP) prázdný řádek (CRLF) případná data GET: stáhnout obsah URL HEAD: pouze hlavičky POST, PUT: nahrát data na server CONNECT: SSL a proxy server OPTIONS: povolené metody stáhněte si stránku z některého serveru pomocí příkazu netcat C: GET / HTTP/1.0 C: S: HTTP/1.1 200 OK S: Date: Wed, 11 May 2005... S: Connection: close S: Content Type: text/html;... S: <!DOCTYPE... 4

wget nástroj pro stahování stránek z webu umí autentizaci, cookies, rekurzi, ssl,... wget url S zobrazí hlavičku odpovědi d zobrazí debugovací informace, mj. také hlavičku požadavku :-) r stahuje data rekurzivn ě, až do úrovn ě l level save cookies file, load cookies file http user user, http passwd pass wget S http://atrey.karlin.mff.cuni.cz/ wget d http://idnes.cz/ vyzkoušejte si wget (opět stáhněte stránku z některého serveru včetně hlaviček) 5

HTTP hlavičky klienta Accept, Accept-charset, Accept-encoding, Accept-language preference klienta ohledně obsahu, kódování, přenosu, jazyka... např. Accept-language: cz; q=0.8, en-gb; q=0.7, en; q=0.5 Referer, User-Agent odkaz na URL, ze kterého požadavek pochází verze klienta (např. User-Agent: Mozilla/5.0), pro statistické účely If-Modified-Since následuje datum (v GMT) podmíněný požadavek, vrací stránku pouze pokud byla změněna od uvedeného data jinak vrátí 304 Not modified Content-Type, Content-Length, Transfer-encoding jako v SMTP poště, velikost dat Pragma: no-cache 6

HTTP cookies HTTP je navržený jako bezestavový protokol je potřeba na serveru rozpoznat požadavky jednoho klienta obchod, osobní nastavení,... mechanismus cookies, RFC 2965 server pošle hlavičku Set-cookie (Set-cookie2): může jich být i víc klient při příštím přístupu na stejné (nebo specifičtější) URL pošle hlavičku Cookie (Cookie2): mohou se řetězit pozor, klient může cookie měnit! vyzkoušejte si cookies pomocí wget: wget d save cookies.cook http://www.seminar/cookies.php wget d load cookies.cook http://www.seminar/cookies.php skript cookies.php nastaví cookie a při příští návštěv ě ji zobrazí 7

Web server Apache nejrozšířenější web server (více než 60% serverů v Internetu) aktuální verze: 2.0 (2.2) jednoduchá konfigurace nastavení konfigurace: /etc/apache strom web serveru: /var/www logy: /var/log/apache spuštění: /etc/init.d/apache2 start vytvořte si html soubor v adresáři /var/www a ověřte, že lokální web server funguje wget http://localhost/test.html wget http://www.vmxx.aus/test.html případně použijte links 8

HTTP autentizace omezení přístupu k URL na základě jména a hesla standardní mechanismus HTTP, RFC 2617 při přístupu k zabezpečenému objektu vygeneruje server odpověď 401 Unauthorized do hlavičky odpovědi přidá položku WWW-Authenticate: Basic realm= xxx klient se zeptá uživatele na jméno a heslo vytvoří řetězec jmeno:heslo ten zakóduje pomocí uuencode algoritmu a odešle v hlavičce požadavku Authorization: Basic awfuomjvb2j5 realm slouží k tomu, aby klient rozlišil, které heslo má poslat kromě Basic autentizace existují i vylepšená varianta, kde se neposílá plaintextové (resp. uuencodované) heslo, ale jeho MD5 Digest autentizace, může používat různé seedy 9

HTTP autentizace: nastavení někde v adresáři web serveru (/var/www) si vytvořte podadresář, do kterého budete omezovat přístup v něm vytvořte soubor, který bude sloužit pro ověřování uživatelů htpasswd c /path/to/file username v tomtéž adresáři vytvořte soubor.htaccess (pozor na tečku na začátku!), který bude řídit přístup do daného adresáře AuthType Basic AuthName "Test (realm)" AuthUserFile /path/to/file Require valid user říkáme že chceme autentizovat uživatele, basic authentication, cestu k souboru a že vyžadujeme, aby uživatel byl uveden v daném souboru nastavte a vyzkoušejte si autentizaci: wget -d -http-user username - http-passwd passwd http://server/path 10

Virtuální web servery dva základní přístupy: IP based a name-based IP based vyžaduje pro každý virtuální server samostatnou IP adresu name based rozlišují požadavky podle obsahu hlavičky Host: vyzkoušíme si natavení name-based web serveru v DNS jsou dva záznamy: nastavení virtuálního serveru /etc/apache2/sites-enabled/test-config: start Apache: /etc/init.d/apache2 start nastavte a vyzkoušejte si virtuální servery links http://www.vmxx.aus links http://www2.vmxx.aus www IN A 10.0.0.1xx www2 IN CNAME www Listen 10.0.0.1XX:80 NameVirtualHost 10.0.0.1XX:80 <VirtualHost 10.0.0.1XX:80> ServerName www.vmxx.aus DocumentRoot /var/www/www1 </VirtualHost> # to samé pro www2 11

HTTPS používá protokol SSL, běží na portu 443 podle RFC 2818 by mohlo běžet i HTTP nad TLS podobné jako POP3, IMAP; Apache podporuje SSL pomocí modulu do souboru /etc/apache2/sites-enabled/test-config přidejte definici dalšího virtual hostu: NameVirtualHost 10.0.0.1XX:443 Listen 10.0.0.1XX:443 <VirtualHost 10.0.0.1XX:443> ServerName www.vmxx.aus DocumentRoot /var/www/www1 SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem </VirtualHost> před spuštěním ještě potřebujeme získat certifikát 12

Certifikáty certifikační autorita (bezpečné) / self-signed certifikáty (snazší) vygenerujeme žádost o certifikát (commonname je FQDN) openssl req new nodes out cert.csr keyout cert.key vygenerovali jsme žádost a klíč, můžeme si je zobrazit: openssl req text in cert.csr less openssl rsa test in cert.key less sami si certifikát podepíšeme (self-signed): openssl x509 req in cert.csr signkey cert.key out cert.crt openssl x509 text in cert.crt zkopírujeme certifikát a jeho klíč cat cert.crt cert.key >/etc/apache2/ssl/apache.pem restartujeme Apache: /etc/init.d/apache2 restart můžete vyzkoušet pomocí openssl: openssl s_client connect 10.0.0.1XX:443 13

Certifikační autorita pokud nechceme používat self-signed certifikát, můžeme: nechat si žádost podepsat od veřejné CA (Verisign, 1. CA, ) vytvořit si vlastní CA (ale ta bude opět self-signed) a pomocí ní podepisovat žádosti vlastní CA může být vhodná, pokud máme více certifikátů pro různé služby lze např. pomocí skriptů v openssl: vytvoříme demo-ca: cd /usr/lib/ssl; misc/ca.sh newca zkopírujeme žádost: cp cert.csr newreq.pem podepíšeme žádost: misc/ca.sh sign výsledek je v newcert.pem, zkopírujeme do adresáře /etc/apache2/ssl/: cat cert.key newcert.pem >/etc/apache2/ssl/apache.pem můžeme vyzkoušet opět pomocí openssl: openssl s_client connect 10.0.0.1XX:443 14