INT-Installation

From Datateknik
(Difference between revisions)
Jump to: navigation, search
(Examination 0)
(Stäng brandväggen)
 
(53 intermediate revisions by one user not shown)
Line 1: Line 1:
 
<font color="red">Skriv ner alla installationsval ni gör!</font>
 
<font color="red">Skriv ner alla installationsval ni gör!</font>
 +
<br>När er hårddisk har kraschat kommer ni att behöva dem
  
När er hårddisk har kraschat kommer ni att behöva dem
+
Läs hela instruktionen innan ni börjar
 
=VMware=
 
=VMware=
#Ge din nya dator VMware namnet "INT202-grpX-servY", där X är gruppnumret och Y är 1  
+
[[File:vCenter-icons.png|right|x150px|frame|VMs and Templates]]
#Skapa en ny Virtuell maskin i mappen VMs & Templates -> "astray in b-building" -> ITB DRS
+
#Surfa till vcenter-b.cnap.hv.se och logga in med ditt studentkonto (abcd1234@student.hv.se)
#* Den skall ha 2 CPUs, 2 Gig RAM, 20 Gig Disk
+
#Klicka ikonen VMs and Templates
#* Din VM skall bo i (Höghusikon) "astray in b-building" -> (Tre PCs ikon) "INT202 2017"  
+
#Hitta mappen INT202 i <tt> /vCenter-B/Students/2020/INT202/ </tt>
#* Din VM skall exekvera i (Höghusikon) "astray in b-building" -> (Tre PCs ikon) "INT Disk Cluster"
+
#Högerklicka på "INT202" och välj "New Virtual Machine ..."
#* Hårddisken skall bo i "INT disk cluster", '''Thin Provisioning''' (på någon av servrarna 52, 56 eller 57; disk 0, 1 eller 2)
+
# Steg 2: Ge din nya dator VMware namnet "INT202-grpX-servY", där X är gruppnumret och Y är 1  
 +
# Steg 3 (Compute): Hitta "Cluster-H" som finns under ''Students''
 +
#: Markera (klicka) på bokstäverna "Cluster-H"  
 +
# Steg 4: (Storage): Välj (markera) "Wafer-Disks" (10 Terabyte)
 +
# Steg 5 & 6: gör rätt !!
 +
# Steg 7:  Customize Hardware:
 +
#* Den skall ha '''2''' CPUs, '''2''' Gig RAM, '''20''' Gbyte Disk (inga (0) reservationer)
 +
#* Dubbelkolla att "Disk Provisioning" är "Thick provision, Lazy Zeroed"
 
#* Ett nätverksort skall kopplas till "VLAN36"
 
#* Ett nätverksort skall kopplas till "VLAN36"
#* Tag bort eventuell FloppyDisk
+
#* Tag bort eventuell FloppyDisk<br>&nbsp;
#Starta din VM
+
#* Mapp: INT202
# Ladd ner [http://cnap.hv.se/imra/public_html/CentOS-7-x86_64-DVD-1611.iso  CentOS 7 DVD]
+
#* Compute: Cluster-H
 +
#* Disk storage: Wafer-Disks
 +
#Starta din VM via consoleprogrammet VMRC
  
 
=CentOS Installation=
 
=CentOS Installation=
 
Det är förbjudet att installera grafik (:-)
 
Det är förbjudet att installera grafik (:-)
# Installera CentOS 7, DVD 64-bitars
+
# Ladd ner  <pre> CentOS 8 DVD 64-bit </pre> från [http://ftp.lysator.liu.se/pub/CentOS/8.1.1911/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso Linköping] eller [http://isoredirect.centos.org/centos/8/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso någonannanstans]
 +
# Installera CentOS 8, DVD 64-bitars &nbsp; &nbsp;  * '''Engelsk''' text,  * Svenskt tangentbord
 
# OBS obligatoriskt med starka lösenord! Annars kommer SUNET att stänga av ALLA från HELA kursen !!
 
# OBS obligatoriskt med starka lösenord! Annars kommer SUNET att stänga av ALLA från HELA kursen !!
 
#Starta din VM på den Virtuella CDn
 
#Starta din VM på den Virtuella CDn
#: Tips: Starta VMRC, starta din VM, klicka uppe till höger på "<<" symbolen så CD-ikonen syns, ''höger''-klicka på CD-ikonen, montera .ISO-filen som finns på din PC, starta om genom att klicka på [tre boxar]-ikonen (den skickar CTRL-ALT-DEL till din VM
+
#: Tips: Starta VMRC, starta din VM, klicka uppe till höger på "<<" symbolen så CD-ikonen syns, ''höger''-klicka på CD-ikonen, montera .ISO-filen som finns på din PC, starta om genom att klicka på [tre boxar]-ikonen (den skickar CTRL-ALT-DEL till din VM)
 
#Fixa alla varningar
 
#Fixa alla varningar
 +
#Ge datorn namnet grpX-servY, där X är ert gruppnummer och Y är 1
 
#Ändra till svenskt tangentbord
 
#Ändra till svenskt tangentbord
 +
#Det är förbjudet att installera grafik (:-)
  
 
=Ändra inuti CentOS=
 
=Ändra inuti CentOS=
 
# Logga in med "root" och lösenordet du angav ovan
 
# Logga in med "root" och lösenordet du angav ovan
 
# Prova att ping '''inte''' fungerar <tt> ping 8.8.8.8</tt>
 
# Prova att ping '''inte''' fungerar <tt> ping 8.8.8.8</tt>
# Titta på nätverkskortet med <tt> nmcli d </tt>
+
# Titta på nätverkskortet med <tt> nmcli d </tt> <font size=-1>( eller nmcli eller ip link ) </font>
 
# Ändra och starta  nätverkskortet med textgrafiska (TUI) systement <tt>nmtui</tt>
 
# Ändra och starta  nätverkskortet med textgrafiska (TUI) systement <tt>nmtui</tt>
 
#: &nbsp; Källa: Krizn [http://www.krizna.com/centos/setup-network-centos-7/ How to Setup network on centos 7]
 
#: &nbsp; Källa: Krizn [http://www.krizna.com/centos/setup-network-centos-7/ How to Setup network on centos 7]
# Ändra till ditt IP-nummer, 193.10.236.1 som default gateway
+
# Ändra till ditt IP-nummer, subnätmask och default gateway till 193.10.236.1
 
# Kontrollera med kommandot <tt> ip add</tt>
 
# Kontrollera med kommandot <tt> ip add</tt>
 
# Prova att ping '''fungerar''' <tt> ping 8.8.8.8</tt>
 
# Prova att ping '''fungerar''' <tt> ping 8.8.8.8</tt>
 +
# Inte än!?! Kontrollera att ditt NIC är 10GBE med kommandot ''ethtool ens192''
  
 
=Installera VMware Tools=
 
=Installera VMware Tools=
[[File:VMwareTools1.png|right|550px|Det måste stå "Running"]]
+
[[File:VMwareTools2.png|right|x150px|Det måste stå "Running"]]
* Kontrollera att VMware Tools inte redan är installerat
+
* Kontrollera i VMware att det står "Running" (se bild)
 +
* Kontrollera om VMware Tools inte redan är installerat
 
*: var det redan installerat: är det ett (yum?) paket eller en .tar distribution? Hur uppdateras det??
 
*: var det redan installerat: är det ett (yum?) paket eller en .tar distribution? Hur uppdateras det??
* Installera VMware tools med kommandot <tt> yum install open-vm-tools </tt>
+
* Saknas det helt?? I så fall installera VMware tools med kommandot <tt> yum install open-vm-tools </tt>
 
*:Källa: [http://www.ehowstuff.com/how-to-install-vmware-tools/ http://www.ehowstuff.com/how-to-install-vmware-tools/]
 
*:Källa: [http://www.ehowstuff.com/how-to-install-vmware-tools/ http://www.ehowstuff.com/how-to-install-vmware-tools/]
 
* Kontrollera i VMware att det står "Running" (se bild)
 
* Kontrollera i VMware att det står "Running" (se bild)
Line 45: Line 60:
  
 
=Stäng brandväggen=
 
=Stäng brandväggen=
Stäng brandväggen (firewalld obligatorisk) för allt, utom
+
* Avinstallera firewalld
# ping
+
* '''nftables''' '''obligatorisk''', (men kan bytas ut mot '''iptables''' efter 5 misslyckade nft-försök)
# ssh
+
Stäng brandväggen för allt, utom
 +
# ping (ICMP echo, echo-reply)
 +
# traceroute (ICMP ...)
 
# Svarspaket på TCP-strömmar
 
# Svarspaket på TCP-strömmar
#:
+
# skydda SSH genom att
# Stoppa all trafik från "mycket utländska" datorer genom att antingen
+
#* Blockera IP-numret efter 5 st SSH inloggningsförsök (kräver extra programvara: [https://linux.die.net/man/8/faillock FailLock] (helst inte fail2ban (absolut inte pamTally(2))))
#* Blockera IP-numret efter 5 st SSH inloggningsförsök (kräver extra programvara)
+
#*: eller
+
 
#* Blockera all trafik som *inte* kommer från 193.10.128.0 /17 och 212.25.132.0/23
 
#* Blockera all trafik som *inte* kommer från 193.10.128.0 /17 och 212.25.132.0/23
 
#*: Det är självklart tillåtet att öppna för IP-numret du har hemma osv med (med t.ex. /24 mask)
 
#*: Det är självklart tillåtet att öppna för IP-numret du har hemma osv med (med t.ex. /24 mask)
 +
# Dubbelkolla att det alltid är "Policy Drop", inte Accept, överallt
 
'''Kontroll'''
 
'''Kontroll'''
 
* Ladda ner [https://nmap.org/download.html#windows nmap-7.40-setup.exe] från https://nmap.org/download.html#windows till en windows PC
 
* Ladda ner [https://nmap.org/download.html#windows nmap-7.40-setup.exe] från https://nmap.org/download.html#windows till en windows PC
 
* Installera och kör sedan "nmap - zenmap GUI" och portscanna din egen maskin
 
* Installera och kör sedan "nmap - zenmap GUI" och portscanna din egen maskin
 +
*: ... förutom port 2000 och 5080, för då är det IT's L7-brandvägg (proxy) som svarar på ert IP-nummer !?!
 
* Kontrollera att endast ping & ssh fungerar på din linux-server
 
* Kontrollera att endast ping & ssh fungerar på din linux-server
* Kontrollera att fail2ban fungerar
+
* Kontrollera att FailLock fungerar
 +
Förvillande tips !?!
 +
* nf-tables (trots att det är Debian): titta på [[https://www.youtube.com/watch?v=_A-Q6yTMX0g YouTube]] Getting Started with nftables Firewall in Debian
 +
* firewalld är förbjudet: Läs inte stycket [https://www.certdepot.net/rhel7-get-started-firewalld/  ''Source Management''] hur man kan binda en zon till en source (IP-adresser) och inte ett interface
 +
* ...
  
 
=Lycka till!=
 
=Lycka till!=
 
=Examination 0 =
 
=Examination 0 =
  
'''PRELIMINÄR'''
+
'''Se
 
+
Canvas (https://hv.instructure.com)'''
# Visa vilken target (tidigare runlevel) ditt system kör
+
# Visa med systemctl att "vmtoolsd" är satt till "enabled" (eller "open-vm-tools" eller ...)
+
# SSH:
+
## Vilket portnummer använder SSH? TCP eller UDP?
+
## Visa att du stängt av root-login i .conf-filen
+
## Visa slutet på log-filen för SSH
+
## På en annan PC: Skriv fel lösenord i SSH 5 gånger och visa var i konfigurationen IP-numret blockeras
+
#: &nbsp;
+
# Visa vilken '''zon''' som är aktiv i <tt>firewalld</tt>
+
# Visa vilka regler som är aktiva i den zonen
+
# Givet din <tt>firewalld</tt> konfiguration -- förstå utmatningen från <tt>iptables -v -L | less</tt>
+
## Vad är INPUT och dess "subrutiner"
+
## Borde inte FORWARD vara avstängd !?!
+
## Överkurs?? Vad är OUTPUT och dess "subrutiner"
+
## Vad är policy på INPUT, FORWARD och OUTPUT? Vad borde den vara satt till??
+
##: &nbsp;
+
# '''Utifrån och in''' Logga in på din maskin med SSH och 
+
#: visa att brandväggens räknare för SSH-paket ökar när du t.ex. gör en helt ny SSH-uppkoppling i ett annat fönster
+
# Läs webb-sidan [http://speedtest.tele2.net/ http://speedtest.tele2.net/]
+
# '''Inifrån och ut:''' På din server: Ladda ner filen 100MB.zip med kommandot <tt> wget -O /dev/null http://speedtest.tele2.net/100MB.zip </tt> och
+
#: visa vilken regel som används i brandväggen genom att se var paketräknaren ökar
+

Latest revision as of 09:14, 24 January 2020

Skriv ner alla installationsval ni gör!
När er hårddisk har kraschat kommer ni att behöva dem

Läs hela instruktionen innan ni börjar

Contents

[edit] VMware

VMs and Templates
  1. Surfa till vcenter-b.cnap.hv.se och logga in med ditt studentkonto (abcd1234@student.hv.se)
  2. Klicka ikonen VMs and Templates
  3. Hitta mappen INT202 i /vCenter-B/Students/2020/INT202/
  4. Högerklicka på "INT202" och välj "New Virtual Machine ..."
  5. Steg 2: Ge din nya dator VMware namnet "INT202-grpX-servY", där X är gruppnumret och Y är 1
  6. Steg 3 (Compute): Hitta "Cluster-H" som finns under Students
    Markera (klicka) på bokstäverna "Cluster-H"
  7. Steg 4: (Storage): Välj (markera) "Wafer-Disks" (10 Terabyte)
  8. Steg 5 & 6: gör rätt !!
  9. Steg 7: Customize Hardware:
    • Den skall ha 2 CPUs, 2 Gig RAM, 20 Gbyte Disk (inga (0) reservationer)
    • Dubbelkolla att "Disk Provisioning" är "Thick provision, Lazy Zeroed"
    • Ett nätverksort skall kopplas till "VLAN36"
    • Tag bort eventuell FloppyDisk
       
    • Mapp: INT202
    • Compute: Cluster-H
    • Disk storage: Wafer-Disks
  10. Starta din VM via consoleprogrammet VMRC

[edit] CentOS Installation

Det är förbjudet att installera grafik (:-)

  1. Ladd ner 
     CentOS 8 DVD 64-bit
    från Linköping eller någonannanstans
  2. Installera CentOS 8, DVD 64-bitars     * Engelsk text, * Svenskt tangentbord
  3. OBS obligatoriskt med starka lösenord! Annars kommer SUNET att stänga av ALLA från HELA kursen !!
  4. Starta din VM på den Virtuella CDn
    Tips: Starta VMRC, starta din VM, klicka uppe till höger på "<<" symbolen så CD-ikonen syns, höger-klicka på CD-ikonen, montera .ISO-filen som finns på din PC, starta om genom att klicka på [tre boxar]-ikonen (den skickar CTRL-ALT-DEL till din VM)
  5. Fixa alla varningar
  6. Ge datorn namnet grpX-servY, där X är ert gruppnummer och Y är 1
  7. Ändra till svenskt tangentbord
  8. Det är förbjudet att installera grafik (:-)

[edit] Ändra inuti CentOS

  1. Logga in med "root" och lösenordet du angav ovan
  2. Prova att ping inte fungerar ping 8.8.8.8
  3. Titta på nätverkskortet med nmcli d ( eller nmcli eller ip link )
  4. Ändra och starta nätverkskortet med textgrafiska (TUI) systement nmtui
      Källa: Krizn How to Setup network on centos 7
  5. Ändra till ditt IP-nummer, subnätmask och default gateway till 193.10.236.1
  6. Kontrollera med kommandot ip add
  7. Prova att ping fungerar ping 8.8.8.8
  8. Inte än!?! Kontrollera att ditt NIC är 10GBE med kommandot ethtool ens192

[edit] Installera VMware Tools

Det måste stå "Running"
  • Kontrollera i VMware att det står "Running" (se bild)
  • Kontrollera om VMware Tools inte redan är installerat
    var det redan installerat: är det ett (yum?) paket eller en .tar distribution? Hur uppdateras det??
  • Saknas det helt?? I så fall installera VMware tools med kommandot yum install open-vm-tools
    Källa: http://www.ehowstuff.com/how-to-install-vmware-tools/
  • Kontrollera i VMware att det står "Running" (se bild)




[edit] Stäng brandväggen

  • Avinstallera firewalld
  • nftables obligatorisk, (men kan bytas ut mot iptables efter 5 misslyckade nft-försök)

Stäng brandväggen för allt, utom

  1. ping (ICMP echo, echo-reply)
  2. traceroute (ICMP ...)
  3. Svarspaket på TCP-strömmar
  4. skydda SSH genom att
    • Blockera IP-numret efter 5 st SSH inloggningsförsök (kräver extra programvara: FailLock (helst inte fail2ban (absolut inte pamTally(2))))
    • Blockera all trafik som *inte* kommer från 193.10.128.0 /17 och 212.25.132.0/23
      Det är självklart tillåtet att öppna för IP-numret du har hemma osv med (med t.ex. /24 mask)
  5. Dubbelkolla att det alltid är "Policy Drop", inte Accept, överallt

Kontroll

  • Ladda ner nmap-7.40-setup.exe från https://nmap.org/download.html#windows till en windows PC
  • Installera och kör sedan "nmap - zenmap GUI" och portscanna din egen maskin
    ... förutom port 2000 och 5080, för då är det IT's L7-brandvägg (proxy) som svarar på ert IP-nummer !?!
  • Kontrollera att endast ping & ssh fungerar på din linux-server
  • Kontrollera att FailLock fungerar

Förvillande tips !?!

  • nf-tables (trots att det är Debian): titta på [YouTube] Getting Started with nftables Firewall in Debian
  • firewalld är förbjudet: Läs inte stycket Source Management hur man kan binda en zon till en source (IP-adresser) och inte ett interface
  • ...

[edit] Lycka till!

[edit] Examination 0

Se Canvas (https://hv.instructure.com)

Retrieved from "http://catch-up.cnap.hv.se/wiki/index.php?title=INT-Installation&oldid=7897"
Personal tools
Namespaces

Variants
Actions
Navigation
Tools