Linux palvelimet H5

Tehtävässä käytetyt harjoitukset löytyvät osoiteesta : linux palvelimet.
Kurssin opettajana toimii Tero Karvinen.

Cyber Security Nordic 2017 Messuraportti

Vierailin Cyber security Nordic 2017 messuilla, joka järjestettiin Helsingin messukeskuksessa 26 – 27 syyskuuta. Messu-alueella oli paikalla useampi tietoturva-alan yritys esittelemässä palveluitaan sekä tuotteitaan, mutta itselle ehdottomaksi vetonaulaksi muodostui alan asiantuntijoiden pitämät esitykset.

Ohessa mietteitä päivän esityksistä.

Corporate Cyber Security  – element of national total security
Arto Räty, johtaja, Corporate Affairs and Communications, Fortum

Esitys käytiin vahvasti Fortumin näkökulmasta, mutta käytännöt sekä toimintatavat voidaan toteuttaa muissa yhteiskunnallisen infrastuktuurin sektorilla.

Räty kävi läpi miten energiatalous on edennyt enemmän kansainväliseksi toiminnaksi, siirtyen pois aikaisemmasta valtionsisäistä toiminnasta sekä tuotannosta. Tämä on tuonut mukanaan luonnollisesti kasvua sekä kehitystä mutta myös haasteita turvallisuuden sekä sähkön ja palveluiden saatavuuden takaamisen kannalta. Tuotanto sekä järjestelmät ovat nykyään suurelta osalta automatisoituja. Vaikka tämä mahdollistaa suurta optimointia sekä säästömahdollisuuksia, se tuo mukanaan myös vakavasti otettavia uhkia, jotka yritysten tulee ottaa huomioon. Kuten aikaisemassa Jan Bau.n (Cisco) pitämässä luennossa tuli ilmi, Räty painotti myös yritysten välistä yhteistyötä kamppailuissaan tietoturvauhkia vastaan.

Räty koki että turvallisuussuunnittelussa ajatusmaailmana tulisi olla, että tunkeituminen on jo tapahtunut, sen sijaan että se on vasta tulossa. Näin yritys toivottavasti ymmärtää uhan vakavuuden.

Hän näkee että monikerroksinen turvallisuussuunnittelu, jossa kerrokset kommunikoivat keskenään, on oleellinen osa toimivaa tietoturvaa järjestelmän sekä palveluiden suojaamiseksi.

Koin esityksen oikein mielenkiintoiseksi, Räty on kokenut puhuja sekä on vakuuttava viestissään. Esityksessä esiin tulleet esimerkit, toteutuneista cyberuhkista (mm. Ukrainan sähkökatko), antoivat konkreettisia uhkakuvia yhteiskunnallisen infrastuktuurin suojaamisen tarpeellisuudesta.

 

Ennaltaehkäisy, havaitseminen ja tutkinta – vinkkejä yrityksille
Antti Kurittu, erikoisasiantuntija,
Viestintäviraston kyberturvallisuuskeskus

Mielestäni ehdottomasti mielenkiintoisin esitys messuilta. Kurittu on loistava puhuja ja osaa tuoda viestinsä esille muodossa, että alalle aikova noviisi sen ymmärtää helposti.

Esitelmässä Kurittu kävi aluksi läpi rikoslainsäädännöllisiä termejä sekä käytäntöjä ja myös ihmisten olettamuksia tietoturvasta. Hän toi mukaan omakohtaisia käytännön esimerkkejä, jotka toivat henkilökohtaista kosketuspintaa esitykseen.

Eritoten tapaukset joissa hän oli itse ollut mukana, herättivät satunnaisia naurahduksia, niin yleisössä kuin itsessänikin.

Esityksessä näytettiin myös käytännön esimerkki siitä, miten nopeasti virtuaalipalvelimelle yritetään tunkeutua, kun se on laitettu pystyyn. Hän lähti tutkimaan tunkeutujan ip-osoitetta ja samalla kävi läpi käytännön haasteita joita viranomaisilla on saada tekijä vastuuseen teostaan jos tähän sisältyy rikos. Viranomaisyhteistyön lisääminen nousi esille tässä.

Esitys jatkui käytännön toimenpiteillä miten verkkoa sekä sen ympäristöä tulisi suojata. Kurittu oli mielestäni hyvä siinä, että hän ei tarjonnut poppakonsteja tietoturvan ratkaisemiseksi, vaan painoitti että “tietoturva ei ole ohjelmisto, vaan käytöntö sekä toiminta. Jokaisen yrityksen tulee löytää heille itselleen sopiva kokonaisuus, joka palvelee heidän yrityksensä järjestelmä sekä käyttäjäkokonaisuutta.”

Kurittu toi hyvin esiin rikosilmoituksen tarpeesta, yrityksiin ja henkilöihin kohdistuneista verkkorikoksista. Nähtävästi kynnys näiden rikosilmoitusten tekemiseen mahdollistaa sen, että verkkorikolliset usein pystyvät välttelemään kiinni jäämistä. Hän myös painotti rikosilmoitusten suoraa vaikutusta poliisin sekä kyberturvallisuuskeskuksen rahoitukseen.

Kuten aikaisemmin totesin, niin esitys oli mielestäni loistava. Kurittu piti sen hyvin kasassa ja vaikka mukaan tuli tarinointia, toivat ne mukaan hyvää lisätäytettä. Olen aikaisemmin miettinyt mahdollisuutta pyrkiä työllistymään valtiolla tietoturvan saralla, tämä esitys omalla tavallaan lisäsi mielenkiintoa tätä kohtaan.

Kybermaailman vaikutus yritysvakoiluun?
Mika Susi, Johtava yritysturvallisuusasiantuntija, EK

Susi valotti esitelmässään lisää, jo aikaisemmissa esityksissä esiin tullutta yritysten näkökantaa tietoturva uhkiin.

Suden esityksessä pidin siitä, että siinä ei käyty uhkakuvia esittäjän yrityksen näkökulmasta, vaan aihetta käsiteltiin kaikkien yritysten yhteisenä haasteena. Susi puhui yritysmaailman kehittyvistä sekä siihen vaikuttavista trendeistä selkeästi ja hyvin ymmärrettävästi.

Poiketen aikaisempiin esittelemiini esityksiin, Suden esityksessä pureuduttiin yritysvakoiluun, sen vaikutuksiin sekä mahdollisuuksiin puolustautua sitä vastaan.

Aikaisemmassa Kuritun esitelmässä esiin tulleet lainsäädännölliset seikat tulivat myös esille. Susi toi hyvin esiin myös haasteet saada verkkorikolliset vastuuseen teoistaan.

Esimerkkinä tästä nähtävästi Kiinalaistaustaiset verkkorikolliset, joita on käytännössä mahdotonta saada oikeuden eteen Kiinan ulkopuolella.

Susi kävi hyvin läpi miten yritykset tai Suomi voi parantaa ennakkoasetelmaansa tietoturvassa. Kuten aikaisemmissakin esityksissä, myös Susi painotti yritysten sekä valtoiden tarvetta kommunikoida keskenään tietoturvauhista. Hän määritteli kommukaation olevan elintärkeää, jotta yhteisöt pystyvät vastaamaan mahdollisiin uhkiin, jakamalla tietoa, saa tavalla tai toisella jotain hyödyllistä takaisin. Kommunikaation tulee näin ollen olla “win-win” tilanne, ei “win-lose” tai pahimassa tapauksessa “lose-lose”.

Pidin Suden esitystä asiantuntevana, joskaan ei yhtä vetovoimaisena kuin edelliset esitykset.

d4) (ryhmä 4-ti) Asenna LAMP ja lue tietokantaa PHP-ohjelmalla. (Pitkähkö tehtävä)

Asensin LAMP.n sekä wordpress.n aikaisemmassa tehtävässä mutta teen sen uudestaan tähän tehtävään jotta voin tehdä parannuksia asennuksen kanssa.

Käytän tähänä tehtävään Digital Ocean.n kautta vuokraamaani virtuaali palvelinta jossa on Ubuntu 16.04.3 64 bittinen käyttöjärjestelmä, samanlainen mitä käytin aikaisemmassa tehtävässä mutta puhtaaksi asennettuna. Ennen tätä tehtävää tein samat esi-asennus toimenpiteet kuin aikaisemmassa tehtävässä.

Asennan LAMP.n komennolla
“sudo apt-get update && sudo apt-get -y install apache2 mysql-client mysql-server libapache2-mod-php php-mysql curl lynx”

Käytän Mysql palvelimen Pass ohjelman kautta luomaani vahvaa salasanaa.

Teen Namecheap.n A recordin palvelimen IP.a ja annan sille osoitteen tatu.erkinjuntti.me.

Tämän jälkeen testaan Apachen toimintaa menemällä palvelimen osoitteeseen tatu.erkinjuntti.me, ennen tätä avaan palomuurista portin 80/tcp.

Anna komennon

“sudo a2enmod userdir”

jotta voin käyttää käyttäjän kotihakemistoa apache.a.

Jotta voin käyttää Php.a käyttäjän kotikansiossa, muokkaan php7.0.conf tiedostoa joka sijaitsee /etc/apache2/mods-available.
Kommentoin IfModulin pois, jotta php tulee kotikansiossa käyttöön.

Käynnistän apache.n uudestaan jotta muutokset tulevat voimaan.

Tämän jälkeen luon tietokanna MySql.n

kirjaudun sisään komennolla

“mysql -u root -p”

Luon tietokannan komennolla

“CREATE DATABASE koedb CHARACTER SET utf8;”

tämän jälkeen luon koedb tietokannalle käyttäjän, salasanan ja myönnän uudelle käyttäjälle oikeudet tietokantaan, teen tämän komennolla

“GRANT ALL ON koedb.* TO ‘tatu’@’localhost’ IDENTIFIED BY ‘-salasana-‘;”
– salasana – on tässä tapauksessa vahva 15 merkin salasana.

Jotta voin varmistaa että oikeudet tulevat voimaan, anna komennon

“flush privileges;”

Tämän jälkeen lopetan tietokannan käytön komennolla

“exit;”

Luon samalla tietokannan wpdb, tarvitsen tätä wordpress.a varten.

Tämän jälkeen kirjaudun MySql.n uudelleen käyttäen juuri luotua käyttäjää tatu.
Otan tietokanna käyttöön komennolla

“use koedb;”

Luon uuden taulun tehtävää varten komennolla

“CREATE TABLE koe1(id INT AUTO_INCREMENT PRIMARY KEY, name VARCHAR(1024));”

Teen tauluun samalla lisäyksiä komennoilla

“INSERT INTO koe1(name) VALUES (‘yksi01’);”
“INSERT INTO koe1(name) VALUES (‘kaksi02’);”
“INSERT INTO koe1(name) VALUES (‘kolme03’);”
“INSERT INTO koe1(name) VALUES (‘neljä04’);”

Tarkastan että taulu on täytetty komennolla
“SELECT * FROM koe1;”

Luon tämän jälkeen käyttäjän kotikansioon kansion public_html ja sinne tiedoston index.php, johon lisään Tero Karvisen sivuilta saamani php koodin taulun listaamiseen.

Testaan toimivuutta menemällä osoiteeseen tatu.erkinjuntti.me\~tatu.

 

e4) (ryhmä 4-ti) Asenna WordPress ja luo esimerkkisisältöä.

Lataan wordpress.n tar tiedostona käyttäjän kotikansioon wordpress.org sivuilta, komennolla

“wget https://wordpress.org/latest.tar.gz.”

puran tämän jälkeen tiedoston komennolla

“tar -xf latest.tar.gz”

Ennen kuin käynnistän asennuksen, teen hosts tiedostoon muutoksen sekä luon tatu.erkinjuntti.me.conf tiedoston ja ohjaan ne /home/tatu/public_html/wordpress. Näin pääsen sivustolle suoraan tatu.erkinjuntti.me osoitetta käyttäen.


Otan sivun käyttöön komennolla

“a2ensite tatu.erkinjuntti.me.conf”

Poistan default sivun käytöstä komennolla

“a2dissite 000-default.conf”

Muutosten jälkeen käynnistän apache.n uudestaan.

Menen osoitteeseen tatu.erkinjuntti.me aloittaakseni wordpress asennuksen.

Tähän lisään luomani wpdb tietokannan.

Luon tiedoston wp-config.php, johon liitän wordpress.n antamat tiedot.

Luon wordpress käyttäjän.

Aennukseen meni vain hetki, wordpress on näin käytössä.

Tehtävässä tuli luoda sivulle sisältöä, tämän jätin tässä tehtävässä tekemättä koska tämä suoritettiin jo edellisessä H4 tehtävässä.

Lähteet:

http://terokarvinen.com/2016/read-mysql-database-with-php-php-pdo