Subject | Notion

Mandatory part (Обязательная часть)

It is therefore forbidden to install X.org or any other equivalent graphics server. Otherwise, your grade will be 0.	Запрещено устанавливать X.org или любой другой графический сервер. В противном случае ваша оценка будет 0.
You must choose as an operating system either the latest stable version of Debian (no testing/unstable), or the latest stable version of CentOS. Debian is highly recommended if you are new to system administration.	Вы должны выбрать в качестве операционной системы последнюю стабильную версию Debian, либо последнюю стабильную версию CentOS. Debian настоятельно рекомендуется
Setting up CentOS is quite complex. Therefore, you don’t have to
set up KDump. However, SELinux must be running at startup and its
configuration has to be adapted for the project’s needs.	Если выбрать CentOS, то ненужно настраивать KDump. Но нужно настроить SELinux и поставить на автозагрузку.
AppArmor for Debian must be running at startup too.	AppArmor для Debian должен быть запущен при запуске.
You must create at least 2 encrypted partitions using LVM. Below is an example of the expected partitioning:	Вы должны создать по крайней мере 2 зашифрованных раздела с помощью LVM.
Ниже приведен пример:

Screen Shot 2021-12-01 at 8.55.48 AM.png

| During the defense, you will be asked a few questions about the

operating system you chose.	Почему Вы выбрали именно эту операционную систему?
For instance, you should know the differences between aptitude and apt, or what SELinux or AppArmor is.
In short, understand what you use!	Вы должны знать различия между aptitude и apt, SELinux и AppArmor.
Короче поймите, чем пользуетесь!
A SSH service will be running on port 4242 only. For security reasons, it must not be possible to connect using SSH as root.	Служба SSH должна работать только на порту 4242.
Нужно запретить подключатся пользователю root по SSH.
The use of SSH will be tested during the defense by setting up a new
account. You must therefore understand how it works.	Нужно создать нового пользователя и подключится через него по SSH.
You have to configure your operating system with the UFW firewall and thus leave only port 4242 open.	Настроить брандмауэр UFW.
Оставить открытым только порт 4242
брандмауэр должен быть активен при запуске виртуальной машины.
For CentOS, you have to use UFW instead of the default firewall.
Toinstall it, you will probably need DNF.	Для CentOS вы должны использовать UFW вместо брандмауэра по умолчанию.
Для установки понадобится DNF.
The hostname of your virtual machine must be your login ending with 42 (e.g., wil42). You will have to modify this hostname during your valuation.
Хостнейм должен быть логином, заканчивающимся на 42 например wil42.
Хостнейм нужно поменять во время проверки.
**You have to implement a strong password policy:
-** *Your password has to expire every 30 days.

The minimum number of days allowed before the modification of a password will be set to 2.
The user has to receive a warning message 7 days before their password expires.
Your password must be at least 10 characters long. It must contain an uppercase letter and a number. Also, it must not contain more than 3 consecutive identical characters.*
The password must not include the name of the user.
The following rule does not apply to the root password: The password must have at least 7 characters that are not part of the former password. | Внедрить надежную политику паролей: *- Срок действия вашего пароля должен истекать каждые 30 дней.
Минимальное количество дней до изменения пароля будет равно 2.
Уведомление за 7 дней до истечения срока действия пароля.
пароль должен содержать не менее 10 символов.
Он должен содержать заглавную букву
Он должен содержать хотя бы одну цифру
Он не должен содержать более 3 последовательных одинаковых символов.
Пароль не должен содержать имя пользователя.
Следующее правило не применяется к паролю root: пароль должен содержать не менее 7 символов, которые не являются частью предыдущего пароля.* | | *You have to install and configure sudo following strict rules: - Authentication using sudo has to be limited to 3 attempts in the event of an incorrect password.
A custom message of your choice has to be displayed if an error due to a wrong password occurs when using sudo.
Each action using sudo has to be archived, both inputs and outputs. The log file has to be saved in the /var/log/sudo/ folder.
The TTY mode has to be enabled for security reasons.
For security reasons too, the paths that can be used by sudo must be restricted. Example: /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin* | Установить и настроить sudo в соответствии со строгими правилами: *- Аутентификация с помощью sudo должна быть ограничена 3 попытками в случае неправильного пароля.
Пользовательское сообщение по вашему выбору должно отображаться, если при использовании sudo возникает ошибка из-за неправильного пароля.
Каждое действие с использованием sudo должно быть заархивировано, как входы, так и выходы. Файл журнала должен быть сохранен в папке /var/log/sudo/.
Режим TTY должен быть включен по соображениям безопасности.
Также по соображениям безопасности пути, которые могут использоваться sudo, должны быть ограничены. Пример: /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin* | | In addition to the root user, a user with your login as username has to be present. | В дополнение к root пользователю должен присутствовать пользователь с вашим логином в качестве имени пользователя. | | This user has to belong to the user42 and sudo groups. During the defense, you will have to create a new user and assign it to a group. | пользователь должен принадлежать к группам user42 и sudo. Во время защиты вам придется создать нового пользователя и назначить его к группе. | | Script called monitoring.sh. It must be developed in bash. | Написать скрипт monitoring.sh. Его нужно разрабатывать на bash. | | At server startup, the script will display some information (listed below) on all terminals every 10 minutes (take a look at wall). The banner is optional. No error must be visible. | При запуске сервера скрипт будет отображать некоторую информацию (указанную ниже) на всех терминалах каждые 10 минут (посмотрите на стену). Баннер не обязателен. Никакой ошибки не должно быть видно. | | Your script must always be able to display the following information: *- The architecture of your operating system and its kernel version.
The number of physical processors.
The number of virtual processors.
The current available RAM on your server and its utilization rate as a percentage.
The current available memory on your server and its utilization rate as a percentage.
The current utilization rate of your processors as a percentage.
The date and time of the last reboot.
Whether LVM is active or not.
The number of active connections.
The number of users using the server.
The IPv4 address of your server and its MAC (Media Access Control) address.
The number of commands executed with the sudo program.* | Скрипт всегда должен отображать следующую информацию: *- Архитектура вашей операционной системы и ее версия ядра.
Количество физических процессоров.
Количество виртуальных процессоров.
Текущая доступная оперативная память на вашем сервере и ее коэффициент использования в процентах.
Текущая доступная память на вашем сервере и ее коэффициент использования в процентах.
Текущий коэффициент использования ваших процессоров в процентах.
Дата и время последней перезагрузки.
Активен LVM или нет.
Количество активных подключений.
Количество пользователей, использующих сервер.
IPv4-адрес вашего сервера и его MAC-адрес (Media Access Control).
Количество команд, выполненных с помощью программы sudo.* | | During the defense, you will be asked to explain how this script works. | Во время защиты вам будет предложено объяснить, как этот скрипт работает | | You will also have to interrupt it without modifying it. Take a look at cron. | Вам также придется прервать его, не изменяя его с помощью cron. | | This is an example of how the script is expected to work: | Это пример того, как должен работать сценарий: |

Screen Shot 2021-12-01 at 11.38.37 AM.png

Below are two commands you can use to check some of the subject’s requirements:	Ниже приведены две команды, которые можно использовать для проверки некоторых требований:

For CentOS:

Screen Shot 2021-12-01 at 11.41.11 AM.png

For Debian:

Screen Shot 2021-12-01 at 11.41.25 AM.png

Bonus part

Set up partitions correctly so you get a structure similar to the one below:	Правильно настройте разделы, чтобы получить структуру, аналогичную приведенной ниже:
Set up a functional WordPress website with the following services: lighttpd, MariaDB, and PHP.	Создайте функциональный веб-сайт WordPress со следующими сервисами: lighttpd, Mari-
aDB и PHP.
Set up a service of your choice that you think is useful (NGINX / Apache2 ex-
cluded!). During the defense, you will have to justify your choice.	Настройте услугу по вашему выбору, которая, по вашему мнению, полезна (включая NGINX / Apache2
During the defense, you will have to justify your choice.	Во время защиты вам придется обосновать свой выбор.
To complete the bonus part, you have the possibility to set up extra services. In this case, you may open more ports to suit your needs.
Of course, the UFW rules has to be adapted accordingly.	Чтобы завершить бонусную часть, разрешается открыть больше портов в UFW
The bonus part will only be assessed if the mandatory part is PERFECT. Perfect means the mandatory part has been integrally done
and works without malfunctioning. If you have not passed ALL the mandatory requirements, your bonus part will not be evaluated at all.	Бонусная часть будет начисляться только в том случае, если обязательная часть Идеальный. Идеально означает, что обязательная часть была выполнена полностью и работает без сбоев. Если вы не прошли ВСЕ обязательные требования, ваша бонусная часть вообще не будет оцениваться.

Submission and peer-evaluation (Сдача и пир-оценка)

You only have to turn in a signature.txt file at the root of your Git repository.	Вам нужно только сдать signature.txt файл в корневом каталоге вашего репозитория Git.
You must paste in it the signature of your machine’s virtual disk.	Вы должны вставить в него подпись виртуального диска вашей машины.
To get this signature:
shasum centos_serv.vdi	Получи хешсумму командой:
shasum centos_serv.vdi
If the two of them are not identical, your grade will be 0.	Если подписи не идентичны, ваша оценка будет равна 0.

Ответы Check list