2010
Okruhy otázek praktické části zkoušky 1. Start a instalace systému 1. Vytvořte a nainstalujte skript tak, aby se prováděl při každém startu systému.
1. Skript pojmenujte firewall.sh. sudo nano /etc/init.d/firewall.sh <--------> #! /bin/sh start() { echo "Start" } stop() { echo "Stop" } case "$1" in start) start ;; stop) stop ;; restart|reload|force-reload) stop start ;; *) echo "Cokoli ostatniho" exit 1 esac exit 0 <---------> sudo chmod 755 /etc/init.d/firewall.sh
2. Nastavte spuštění služby po inicializaci síťových rozhraní. sudo sudo sudo sudo
ln ln ln ln
–s –s –s –s
/etc/init.d/firewall.sh /etc/init.d/firewall.sh /etc/init.d/firewall.sh /etc/init.d/firewall.sh
/etc/rc2.d/S99firewall /etc/rc3.d/S99firewall /etc/rc4.d/S99firewall /etc/rc5.d/S99firewall
3. Nastavte zastavení služby při přechodu do jednouživatelského režimu, při restartu a vypnutí. sudo ln –s /etc/init.d/firewall.sh /etc/rc0.d/K99firewall sudo ln –s /etc/init.d/firewall.sh /etc/rc1.d/K99firewall sudo ln –s /etc/init.d/firewall.sh /etc/rc6.d/K99firewall
2. Ukažte konfiguraci zavaděče. Přidejte novou bootovatelnou položku s jinými parametry jádra tak, aby zůstala zachována při sytémové aktualizaci jádra či zavaděče.
1. Nastavte parametry jádra: root, ro, číslo runlevelu. sudo nano /etc/grub.d/40_custom // prohlédnout sudo nano /boot/grub/grub.cfg a zjistit hodnoty <---------> menuentry "specialni" { set root='(hd0,5)' // 5 odpovídá sda5 linux /boot/vmlinuz-2.6.32-22-generic root=UUID=b4231a53-8861-4353a576-af2c59811632 ro 3 quiet splash // UUID -> změnit za své initrd /boot/initrd.img-2.6.32-22-generic // 2.6.32-22 -> změnit } <---------> sudo update-grub // po restartu držet SHIFT -> nabídka GRUB who –r // jaký runlevel
Lukáš Voves | FEI IT
Stránka 1
2010
Okruhy otázek praktické části zkoušky
3. Ukažte soubor s konfigurací repozitářů vaší distribuce. Předveďte instalaci daného balíčku z repozitáře a staženého balíčku.
1. Nainstalujte daný balíček (např. mc) z repozitáře. cat /etc/apt/sources.list sudo apt-get install mc
2. Nainstalujte stažený balíček. cd /tmp wget http://ftp.cz.debian.org/debian/pool/main/m/mc/mc_4.6.2~git200803114_i386.deb // podle architektury stahujte jeden nebo druhý wget http://ftp.cz.debian.org/debian/pool/main/m/mc/mc_4.6.2~git200803114_amd64.deb chmod 755 mc_4.6.2~git20080311-4_i386.deb sudo dpkg -i mc_4.6.2~git20080311-4_i386.deb
2. Souborové systémy obecně 1. Ukažte, jak máte rozdělený disk, kolik je volného místa na připojených oddílech, jak je velký swap, typ swapu a jeho využití.
1. Zjistěte volné místo na připojených oddílech i s jejich kapacitou (v KiB). cat /etc/fstab cat /proc/partitions sudo fdisk –l df –hk // -k zobrazí velikost v KiB
2. Vytvořte ve svém domácím adresáři tvrdý a relativní symbolický odkaz vedoucí do jiného daného adresáře.
1. Tvrdý odkaz na /etc/passwd pojmenujte uživatelé. ln /etc/passwd uživatelé ls –li /etc/passwd uživatelé
2. Relativní symbolický odkaz na /etc/group pojmenujte skupiny. ln –s ../../etc/group /home/
/skupiny ls –li /home//skupiny
3. Zjistěte co nejvíce informací o daném spuštěném procesu (čas spuštění, čas jeho běhu na CPU, otevřené soubory, příkazový řádek, nastavení proměnných prostředí apod.). ps ax // vypíše běžící procesy ps -p 957 –f // vypsání informací o procesu X <---------> UID PID PPID C STIME TTY TIME CMD root 957 917 0 16:58 tty7 00:00:29 /usr/bin/X :0 -nr -verbose -auth /var/run/gdm/auth-for-gdm-zqFY3G/database -nolisten tcp vt7 <---------> // vypsaný proces
4. Ukažte, kde je konfigurace, dokumentace a manuálová stránka zadaného programu (balíčku). ls -a /etc/X11/ ls –a /usr/share/doc/xserver-xorg/ ls –a /usr/share/man/man<číslo>/xserver
1. Zjistěte, jaké soubory má nainstalované daný balíček (např. xserver-xorg). dpkg -L xserver-xorg sudo apt-cache showsrc xserver-xorg | grep 'Binary:'
Lukáš Voves | FEI IT
Stránka 2
2010
Okruhy otázek praktické části zkoušky 2. Zjistěte, které manuálové stránky balíček obsahuje. man xserver // man 1 xserver
3. Zjistěte, kdo je správcem balíčku (kdo jej vytvořil pro vaši distribuci). sudo apt-cache showsrc xserver-xorg | grep '^Maintainer:' sudo aptitude show xserver-xorg | grep 'Správce:'
3. Uživatelé na systému UNIX 1. Vytvořte uživatele lama, nastavte mu kvalitní heslo a přidejte jej do skupiny root (na BSD: wheel). Ukažte jeho přihlášení a pak účet odstraňte (včetně domácího adresáře). sudo adduser -ingroup root lama sudo adduser lama admin su lama // zadat heslo id exit sudo userdel –r lama
2. Nastavte zadaná práva na souboru a předveďte ověření práv různými uživateli systému.
1. Vytvořte adresář /tmp/pokus a nastavte mu oprávnění rwx pro vlastníka, r-x pro skupinu a --x pro ostatní. cd /tmp mkdir pokus chmod u+rwx-s,g+rx-w,o+x-rw pokus chmod 751 pokus // alternativa
2. Vytvořte soubor /tmp/pokus/text, vložte do něj slovo „ahoj“ a nastavte mu práva rw----r--. cd /tmp/pokus echo „ahoj“ > text chmod u+rw-x,g-rwx,o+r-wx text chmod 604 text // alternativa
3. Demonstrujte práva k souboru pro daného uživatele (např. nobody). su nobody // zadat heslo cd /tmp/pokus ls –li cat text
3. Předveďte nastavení PAM pro danou službu.
1. Ukažte nastavení PAM pro danou službu (např. gdm, kdm, login). nano /etc/pam.d/gdm
2. Vysvětlete nastavení parametrů auth a password. auth - tento typ modulu poskytuje dva aspekty autentizace uživatele. Za prvé, potvrdí, že uživatel je ten, za koho se vydává, instruováním aplikace, aby požádala uživatele o heslo nebo nějakou jinou identifikaci (např. vzorek sítnice). Za druhé, modul může přidělit členství v nějaké skupině (nezávisle na souboru /etc/group) nebo jiná privilegia vyplývající z úspěšného ověření. password - tento poslední modul je nutný pro provedení aktualizace autentizačního symbolu (nejčastěji hesla) souvisejícího s uživatelem. Typicky existuje jeden password modul pro každý typ autentizace (jeden pro klasická unixová hesla, jeden pro hesla na novellu, atd.). // vysvětlit
Lukáš Voves | FEI IT
Stránka 3
2010
Okruhy otázek praktické části zkoušky 4. Zjistěte posledních pět přihlášení daného uživatele. Kam se tato informace ukládá? last –n 5 last | grep -m 5 /var/log/wtmp // binární soubor
4. Nastavení sítě 1. Nastavte zadanou adresu jako další alias interface. Ukažte funkčnost.
1. Adresa 172.20.21.22, maska 24 bitů. 2. Nastavte danou adresu jako další alias pro vaše funkční rozhraní tak, aby funkčnost původní adresy zůstala zachována. sudo ifconfig eth0:1 172.20.21.22 netmask 255.255.255.0 ifconfig eth0:1 ping 172.20.21.22
2. Přidejte nový záznam do směrovací tabulky pro danou síť.
1. Cílová síť: 172.30.31.0/24, směrujte ji na bránu s adresou o jedna větší, než je vaše funkční brána. sudo ip route add 172.30.31.0/24 via 192.168.10.3 // sudo route add -net 172.30.31.0 netmask 255.255.255.0 gw 192.168.10.3 route netstat -r
3. Nastavte firewall tak, aby váš systém zvnějšku reagoval na ICMP (s výjimkou ICMP-redirect) a TCP/22 (ssh) a aby systém přijal odpovědi na odchozí požadavky. Rovněž povolte komunikaci na lokální smyčce (loopback). Ostatní zahoďte. iptables -L //vytiskne iptables jak jsou ulozena pravidla sudo nano /proc/sys/net/ipv4/ip_forward // napsat 1 a uložit iptables -P INPUT jednomu pravidlu iptables -A INPUT iptables -A INPUT iptables -A INPUT iptables -A INPUT iptables -A INPUT
DROP //změna politiky na VSE zahazovat pokud nevyhovi ani -m -i -i -i -i
state --state ESTABLISHED,RELATED -j ACCEPT lo -j ACCEPT eth0 -p icmp –icmp-type redirect -j DROP eth0 -p icmp -j ACCEPT eth0 -p tcp --dport 22 -j ACCEPT
5. Síťové služby 1. Nachystejte doménový záznam pro danou doménu. Vytvořte záznamy NS, MX, A a CNAME.
1. Nastavte DNS pro doménu univerzita.cz. 2. Adresy serverů jsou ns: 172.20.21.2, ns2: 172.20.21.3, mail: 172.20.21.4. 3. Jmenné servery pro doménu jsou ns a ns2, poštu přijímá mail a adresa serveru www je přezdívkou pro mail. 4. Nakonfigurujte také reverzní zónu pro prefix 172.20.21. sudo apt-get install bind9 sudo nano /etc/bind/named.conf.local <---------> // vložit zone "univerzita.cz" { type master; file "/etc/bind/zones/univerzita.cz.db"; }; zone "21.20.172.in-addr.arpa" { type master; file "/etc/bind/zones/rev.21.20.172.in-addr.arpa"; }; <--------->
Lukáš Voves | FEI IT
Stránka 4
2010
Okruhy otázek praktické části zkoušky cd /etc/bind sudo mkdir zones cd zones sudo nano univerzita.cz.db <---------> // vložit univerzita.cz. IN SOA ns.univerzita.cz. ns2.univerzita.cz. ( 2010052601; serial 10800; refresh (3 hours) 3600; retry (1 hour) 604800; expire (1 week) 86400; minimum (1 day) ) univerzita.cz. IN NS ns.univerzita.cz. univerzita.cz. IN NS ns2.univerzita.cz. univerzita.cz. IN MX 10 mail.univerzita.cz. ns IN A 172.20.21.2 ns2 IN A 172.20.21.3 mail IN A 172.20.21.4 www IN CNAME univerzita.cz <---------> // uložit sudo nano rev. 21.20. 172.in-addr.arpa <---------> // vložit @ IN SOA ns.univerzita.cz. ns2.univerzita.cz. ( 2010052601; 28800; 604800; 604800; 86400; ) IN NS ns.univerzita.cz. 2 IN PTR univerzita.cz <---------> // uložit sudo nano /etc/bind/named.conf.options <---------> // změnit ip adresu na svou forwarders { 127.0.0.1; }; <---------> // uložit sudo nano /etc/resolv.conf <---------> // změnit na toto se svou ip adresou # Generated by NetworkManager search univerzita.cz nameserver 127.0.0.1 <---------> sudo /etc/init.d/bind9 restart dig univerzita.cz // test
Poznámka: Sice je možné bind9 spustit bez chyb, ale DNS záznam nefunguje úplně spolehlivě.
Lukáš Voves | FEI IT
Stránka 5
2010
Okruhy otázek praktické části zkoušky
2. Nasdílejte danou složku pomocí protokolu SMB/CIFS. Omezte přístup jen pro danou skupinu. Předveďte (ne)funkčnost pro uživatele. (Nezapomeňte uživatelům nastavit hesla.)
1. Zpřístupněte adresář /home/shared jako sdílenou složku shared. 2. Omezte sdílení pro členy dané skupiny (např. smb). sudo apt-get install samba4 cd /home sudo mkdir shared nano /etc/group // zjistit skupinu samby chown -R .<skupina_samby> shared sudo nano /etc/samba/smb.conf <---------> // na konec přidat [shared] path = /home/shared comment = shared browsable = yes writable = yes public = yes valid users = @<skupina_samby> <---------> sudo smbpasswd –a sudo adduser <skupina_samby> /etc/init.d/samba4 restart
Poznámka: otestování se provádí například otevřením Domovské složky v GUI a následným klupnutím na Síť. Zde potom vybereme náš počítač a pokud vidíme složku shared, tak jsme postupovali správně. 3. Nainstalujte databázi, nastavte administrátorovi heslo a vytvořte uživatele. Jako uživatel vytvořte danou tabulku. sudo apt-get install mysql-server mysql –uroot –p
1. Vytvořte uživatele dbuser se všemi právy pouze na danou databázi (pro MySQL např. exam). create user 'dbuser' identified by ''; create database 'exam'; grant select, insert, update, delete, create, drop on zkouska.* to 'dbuser'@'%' identified by ''; show databases; exit
2. Přihlaste se k databázi jako uživatel dbuser a vytvořte tabulku registrace libovolné struktury. mysql –udbuser –p use exam create table registrace(id integer); show tables; insert into registrace values (1); insert into registrace values (2); insert into registrace values (3); select * from registrace; exit
Lukáš Voves | FEI IT
Stránka 6
2010
Okruhy otázek praktické části zkoušky 4. Nainstalujte a nakonfigurujte server DHCP pro dané rozhraní (např. eth1).
1. Nastavte dynamický rozsah adres 172.20.21.100 až 172.20.21.200. 2. Omezte funkčnost serveru pouze pro dané rozhraní (jiné než je vaše aktivní připojení k internetu). sudo apt-get install dhcp3-server sudo gedit /etc/default/dhcp3-server <---------> INTERFACES="eth1" // například takto doplnit a uložit <---------> sudo gedit /etc/dhcp3/dhcpd.conf <---------> // takto předělat # option definitions common to all supported networks... #option domain-name "example.org"; #option domain-name-servers ns1.example.org, ns2.example.org; #default-lease-time 600; #max-lease-time 7200; <---------> // nezavírat <---------> // takto předělat # A slightly different configuration for an internal subnet. subnet 172.20.21.0 netmask 255.255.255.0 { range 172.20.21.100 172.20.21.200; option routers 172.20.21.1; option broadcast-address 172.20.21.255; default-lease-time 600; max-lease-time 7200; } <---------> // uložit a zavřít sudo /etc/init.d/dhcp3-server restart
Lukáš Voves | FEI IT
Stránka 7