Palvelinten hallinta kotitehtävät 1 (Syksy 2017)
Lähde Tero Karvinen 2017: Palvelinten Hallinta, http://terokarvinen.com
Harjoitusympäristönä asennettu Xubuntu 16.04, Xenial Xerus
Harjoituskoneen tiedot:
Emolevy X79A-GD65 (8D)
Prosessori Intel(R) Core(TM) i7-3930K
16GiB RAM
H1. Asenna jokin muu demoni kuin Apache. Raportoi, miten rakensit, selvitit ja testasit kunkin osan (esim. sudo puppet resource, puppet describe, lähteet…). Julkaise myös modulisi lähdekoodi niin, että sen voi helposti ottaa käyttöön.
Osa 1: Packet
Harjoituksen tavoitteeksi otettiin UFW-palomuurin asennus ja asetusten muokkaus Puppetin avulla. UFW (Uncomplicated Firewall) on helppokäyttöiseksi tarkoitettu työkalu Netfilter-palomuurin hallintaan. Harjoitus aloitettiin poistamalla testikoneesta UFW ja sen asetukset purge-komennolla.
$ sudo apt-get purge ufw
Seuraavaksi luotiin skriptin avulla uusi Puppet-moduuli ufwmod ja tarvittavat kansiot ja tiedostot. Luodut tiedostot ja kansiot näkyvät raportin lopussa olevassa kuvassa (readme.md -tiedosto ei ole tarpeellinen). Jatkettiin harjoitusta muokkaamalla luotua init.pp -tiedostoa. Ensimmäiseksi lisättiin moduuliin asennettava paketti ufw.
class ufwmod {
package { 'ufw':
ensure => 'installed',
}
}
Seuraavaksi varmistettiin, että luotu moduuli toimi oikein. Moduuli kopioitiin /etc/puppet/modules -kansioon ja ajettiin alla olevalla komennolla.
$ sudo puppet apply -e ‘class {“ufwmod”:}’
Moduulin käynnistys sujui ongelmitta ja UFW asennus varmistettiin komennolla sudo ufw status. UFW oli asennettu, mutta tilassa inactive, sillä ohjelman käyttöönotto vaatii erillisen komennon.
Osa 2: Exec
Harjoitusta jatkettiin poistamalla UFW asennus koneelta ja lisäämällä init.pp -tiedostoon komento, jolla UFW otettaisiin käyttöön asennuksen jälkeen.
class ufwmod {
# Komentojen polun määrittely
Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] }
# Paketin asennus
package { 'ufw':
ensure => 'installed',
}
# Komennon ajo
exec { 'ufw-enable':
command => 'ufw enable',
require => Package['ufw'],
}
}
Tiedostoon lisättiin komento ufw enable, joka vaatii, että paketti ufw on asennettuna. Moduuli todettiin toimivaksi, sillä paketin asennus onnistui ja UFW oli tilassa active.
Osa 3: File
Seuraavaksi tehtiin reikiä palomuuriin, jotta haluttu liikenne pääsisi muurista läpi. Ubuntu Wikin mukaan käyttäjän tekemät asetukset tallentuvat tiedostoihin /etc/ufw/user.rules ja user6.rules.
Harjoitusta varten päätettiin avata portit 22, 80 ja 443 TCP. Muutokset tehtiin ensin käsin, jonka jälkeen asetustiedostoista otettiin kopiot moduulin templates -kansioon. Moduuliin lisättiin tämän jälkeen osa, joka siirtää asetustiedostot oikeaan paikkaan kun moduuli ajetaan.
$ sudo ufw allow 22/tcp$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp
$ sudo ufw status
$ cd /etc/ufw/$ sudo cp user.rules /home/suomisim/puppet/modules/ufwmod/templates/user.rules.erb
$ sudo cp user6.rules /home/suomisim/puppet/modules/ufwmod/templates/user6.rules.erb
$ sudo apt-get purge ufw
Seuraavaksi muokattiin jälleen init.pp -tiedostoa.
class ufwmod {
# Komentojen polun määrittely
Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] }
# Paketin asennus
package { 'ufw':
ensure => 'installed',
}
# Komennon ajo
exec { 'ufw-enable':
command => 'ufw enable',
require => Package['ufw'],
}
# Asetustiedoston muokkaus (IPv4)
file {'/etc/ufw/user.rules':
content => template('ufwmod/user.rules.erb'),
require => Package['ufw'],
}
# Asetustiedoston muokkaus (IPv6)
file {'/etc/ufw/user6.rules':
content => template('ufwmod/user6.rules.erb'),
require => Package['ufw'],
}
}
Moduuli toimi ongelmitta, mutta portit pysyivät kiinni. Moduuliin päätettiin lisätä palomuurin service, joka voitiin potkaista käynnistymään uudelleen aina, kun asetustiedostoja muokataan.
Osa 4: Service
Muokattiin init.pp -tiedostoa (toivottavasti) viimeistä kertaa. Tiedostoon lisättiin viittaus UFW palveluun, joka vaatii UFW paketin asennuksen. Asetustiedostojen siirtoon lisättiin huomautus palveluun, joka käynnistyy uudelleen kun asetustiedostot siirretään.
class ufwmod {
# Komentojen polun määrittely
Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] }
# Paketin asennus
package { 'ufw':
ensure => 'installed',
}
# Komennon ajo
exec { 'ufw-enable':
command => 'ufw enable',
require => Package['ufw'],
}
# Asetustiedoston muokkaus (IPv4)
file {'/etc/ufw/user.rules':
content => template('ufwmod/user.rules.erb'),
require => Package['ufw'],
notify => Service['ufw'],
}
# Asetustiedoston muokkaus (IPv6)
file {'/etc/ufw/user6.rules':
content => template('ufwmod/user6.rules.erb'),
require => Package['ufw'],
notify => Service['ufw'],
}
# Servicen toiminnan varmistaminen
service { 'ufw':
ensure => 'true',
enable => 'true',
require => Package['ufw'],
}
}
Moduulin testaamista varten UFW poistettiin jälleen, moduuli siirrettiin /etc/puppet/modules -kansioon ja ajettiin skriptin avulla (tai raportin alussa käytetyllä komennolla). Moduulin ajon jälkeen palomuurin tilanne tarkistettiin sudo ufw status -komennolla.
Voitiin todeta, että moduuli toimii niin kuin pitääkin. Asetustiedostojen syntaksi oli aika yksinkertainen, joten uusien sääntöjen luominen onnistuu ilman, että niitä tehdään ensin käsin.
Alla olevassa kuvassa näkyy moduulin rakenne ja tarvittavat tiedostot + ylimääräinen readme.md -tiedosto.
Lopuksi projekti vietiin GitHubiin käyttäjän omaan puppet-repositoryyn. Koska moduulia muokattiin käyttäjän kotihakemistossa ja repon omassa kansiossa, tiedostoja ei tarvinnut siirrellä tässä vaiheessa mihinkään.
git add .
git commit -m 'Update ufwmod module'
git pull && git push
Moduuli löytyy Githubista Linkki
Tätä dokumenttia saa kopioida ja muokata GNU General Public License (versio 3 tai uudempi) mukaisesti. http://www.gnu.org/licenses/gpl.html
Simo Suominen
linuxpuppetufwxubuntu
Palvelinten hallinta kotitehtävät 1 (Syksy 2017)
October 25, 2017
Palvelinten hallinta
No Comments
Simo Suominen
Palvelinten hallinta kotitehtävät 1 (Syksy 2017)
Lähde Tero Karvinen 2017: Palvelinten Hallinta, http://terokarvinen.com
Harjoitusympäristönä asennettu Xubuntu 16.04, Xenial Xerus
Harjoituskoneen tiedot:
Emolevy X79A-GD65 (8D)
Prosessori Intel(R) Core(TM) i7-3930K
16GiB RAM
H1. Asenna jokin muu demoni kuin Apache. Raportoi, miten rakensit, selvitit ja testasit kunkin osan (esim. sudo puppet resource, puppet describe, lähteet…). Julkaise myös modulisi lähdekoodi niin, että sen voi helposti ottaa käyttöön.
Osa 1: Packet
Harjoituksen tavoitteeksi otettiin UFW-palomuurin asennus ja asetusten muokkaus Puppetin avulla. UFW (Uncomplicated Firewall) on helppokäyttöiseksi tarkoitettu työkalu Netfilter-palomuurin hallintaan. Harjoitus aloitettiin poistamalla testikoneesta UFW ja sen asetukset purge-komennolla.
Seuraavaksi luotiin skriptin avulla uusi Puppet-moduuli ufwmod ja tarvittavat kansiot ja tiedostot. Luodut tiedostot ja kansiot näkyvät raportin lopussa olevassa kuvassa (readme.md -tiedosto ei ole tarpeellinen). Jatkettiin harjoitusta muokkaamalla luotua init.pp -tiedostoa. Ensimmäiseksi lisättiin moduuliin asennettava paketti ufw.
class ufwmod { package { 'ufw': ensure => 'installed', } }Seuraavaksi varmistettiin, että luotu moduuli toimi oikein. Moduuli kopioitiin /etc/puppet/modules -kansioon ja ajettiin alla olevalla komennolla.
$ sudo puppet apply -e ‘class {“ufwmod”:}’Moduulin käynnistys sujui ongelmitta ja UFW asennus varmistettiin komennolla sudo ufw status. UFW oli asennettu, mutta tilassa inactive, sillä ohjelman käyttöönotto vaatii erillisen komennon.
Osa 2: Exec
Harjoitusta jatkettiin poistamalla UFW asennus koneelta ja lisäämällä init.pp -tiedostoon komento, jolla UFW otettaisiin käyttöön asennuksen jälkeen.
class ufwmod { # Komentojen polun määrittely Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] } # Paketin asennus package { 'ufw': ensure => 'installed', } # Komennon ajo exec { 'ufw-enable': command => 'ufw enable', require => Package['ufw'], } }Tiedostoon lisättiin komento ufw enable, joka vaatii, että paketti ufw on asennettuna. Moduuli todettiin toimivaksi, sillä paketin asennus onnistui ja UFW oli tilassa active.
Osa 3: File
Seuraavaksi tehtiin reikiä palomuuriin, jotta haluttu liikenne pääsisi muurista läpi. Ubuntu Wikin mukaan käyttäjän tekemät asetukset tallentuvat tiedostoihin /etc/ufw/user.rules ja user6.rules.
Harjoitusta varten päätettiin avata portit 22, 80 ja 443 TCP. Muutokset tehtiin ensin käsin, jonka jälkeen asetustiedostoista otettiin kopiot moduulin templates -kansioon. Moduuliin lisättiin tämän jälkeen osa, joka siirtää asetustiedostot oikeaan paikkaan kun moduuli ajetaan.
Seuraavaksi muokattiin jälleen init.pp -tiedostoa.
class ufwmod { # Komentojen polun määrittely Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] } # Paketin asennus package { 'ufw': ensure => 'installed', } # Komennon ajo exec { 'ufw-enable': command => 'ufw enable', require => Package['ufw'], } # Asetustiedoston muokkaus (IPv4) file {'/etc/ufw/user.rules': content => template('ufwmod/user.rules.erb'), require => Package['ufw'], } # Asetustiedoston muokkaus (IPv6) file {'/etc/ufw/user6.rules': content => template('ufwmod/user6.rules.erb'), require => Package['ufw'], } }Moduuli toimi ongelmitta, mutta portit pysyivät kiinni. Moduuliin päätettiin lisätä palomuurin service, joka voitiin potkaista käynnistymään uudelleen aina, kun asetustiedostoja muokataan.
Osa 4: Service
Muokattiin init.pp -tiedostoa (toivottavasti) viimeistä kertaa. Tiedostoon lisättiin viittaus UFW palveluun, joka vaatii UFW paketin asennuksen. Asetustiedostojen siirtoon lisättiin huomautus palveluun, joka käynnistyy uudelleen kun asetustiedostot siirretään.
class ufwmod { # Komentojen polun määrittely Exec { path => [ '/bin/', '/sbin/' , '/usr/bin/', '/usr/sbin/' ] } # Paketin asennus package { 'ufw': ensure => 'installed', } # Komennon ajo exec { 'ufw-enable': command => 'ufw enable', require => Package['ufw'], } # Asetustiedoston muokkaus (IPv4) file {'/etc/ufw/user.rules': content => template('ufwmod/user.rules.erb'), require => Package['ufw'], notify => Service['ufw'], } # Asetustiedoston muokkaus (IPv6) file {'/etc/ufw/user6.rules': content => template('ufwmod/user6.rules.erb'), require => Package['ufw'], notify => Service['ufw'], } # Servicen toiminnan varmistaminen service { 'ufw': ensure => 'true', enable => 'true', require => Package['ufw'], } }Moduulin testaamista varten UFW poistettiin jälleen, moduuli siirrettiin /etc/puppet/modules -kansioon ja ajettiin skriptin avulla (tai raportin alussa käytetyllä komennolla). Moduulin ajon jälkeen palomuurin tilanne tarkistettiin sudo ufw status -komennolla.
Voitiin todeta, että moduuli toimii niin kuin pitääkin. Asetustiedostojen syntaksi oli aika yksinkertainen, joten uusien sääntöjen luominen onnistuu ilman, että niitä tehdään ensin käsin.
Alla olevassa kuvassa näkyy moduulin rakenne ja tarvittavat tiedostot + ylimääräinen readme.md -tiedosto.
Lopuksi projekti vietiin GitHubiin käyttäjän omaan puppet-repositoryyn. Koska moduulia muokattiin käyttäjän kotihakemistossa ja repon omassa kansiossa, tiedostoja ei tarvinnut siirrellä tässä vaiheessa mihinkään.
Moduuli löytyy Githubista Linkki
Tätä dokumenttia saa kopioida ja muokata GNU General Public License (versio 3 tai uudempi) mukaisesti. http://www.gnu.org/licenses/gpl.html
Simo Suominen
linuxpuppetufwxubuntu