ZH-eredmények

A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(RHER4H: sikeres pótzh dec 7)
(2008-as ZH, első rész)
1. sor: 1. sor:
  +
== 2008. november 14-i ZH ==
  +
  +
Arra gondoltam, hasznos lenne, ha a [[Eddigi ZH-kérdések]] szócikkhez hasonlóan kicsit részletesebben leírnám, mik voltak a gondok a hallgatóság válaszaival.
  +
  +
Annyi időm most sajnos nincs, mint akkor, úgyhogy nem tudok minden kérdést részletesen megválaszolni és külön beírni a hallgatók válaszait is, betűről betűre, de azért igyekszem minden kérdéshez írni valami támpontot arra vonatkozóan, hogy miért annyi pont, amennyi. Mivel most a hivatalos időpontban csak négyen írták meg a ZH-t, ez emberi léptékű feladat. :)
  +
  +
Egyelőre az első részekkel vagyok meg. Az alábbiakban nem mindenhol írom le a teljes kérdést, csak annyit, amennyi alapján a szerző fel tudja idézni, melyik kérdésről is van szó.
  +
  +
A második részek pontozásával igyekszem csütörtökön (27-én) elkészülni.
  +
  +
=== M44DNC ===
  +
  +
1. "Mit jelent a DNS-ben a classless delegáció? ..." A classless delegációnak semmi köze a D-osztályú címekhez (ez az IP-multicastingra fenntartott tartomány).
  +
Így is, úgy is kelleni fog az a bizonyos rengeteg (128) rekord, csak az a különbség, hogy classful esetben NS, classless esetben CNAME
  +
rekordból kell ennyi. Amiből kevesebb kell classless esetben, az a BIND-zónafájl. 6 pont a 8-ból.
  +
  +
2. "Mi a késleltetett allokáció (delayed allocation)? Mi az előnye?" Halandzsa (pár, a témához kapcsolódó kulcsszóval). 0 pont a 4-ből.
  +
  +
3. "Miért jó logikai kötetkezelést használni? ..." Kevés a konkrét alkalmazás (pl. nem említi a snapshotot). 2 pont az 5-ből.
  +
  +
4. "Mit jelent a versenyhelyzet a szerverüzemeltetés kontextusában? Milyen esetekben kell különösen odafigyelni a versenyhelyzetekre? ..."
  +
Nem igazán a kérdésre válaszolt; olyasmit kellett volna írni,
  +
hogy versenyhelyzet az, amikor két vagy több párhuzamosan futó folyamat együttes végeredménye jelentősen függ attól, hogy a folyamatokat
  +
alkotó elemi lépések milyen sorrendben futnak le; különösen akkor beszélünk versenyhelyzetről, ha csak az időzítéstől függ, hogy kedvező
  +
vagy kedvezőtlen lesz a végkifejlet. Példának lehet említeni a pidfile-ok körüli problémákat vagy a symlink-alapú támadásokat a mindenki
  +
által írható könyvtárakban. Ehelyett itt valami teljesen mást írt a hallgató, ami ugyan nagyjából igaz, de nem ez volt a kérdés. 1 pont a 8-ból.
  +
  +
5. "Mi alapján tudja az svlogd szétválogatni a naplóüzeneteket?" Vaktábanpróbálkozás; 0 pont az 5-ből.
  +
  +
Az első rész összesen 6+2+1=9 pontot ért a 30-ból.
  +
  +
=== IT45DV ===
  +
  +
1. "Milyen feltételeket kell teljesítenie egy minimális runitos run-scriptnek? ..." Kimaradt, hogy exec-kel kell meghívni a szolgáltatást, hogy
  +
az kapja a signalokat a runsv-től, ne a scriptet futtató shell, pedig ez fontos. Így csak 3 pont az 5-ből.
  +
  +
2. "Írja le egy tipikus SMTP-tranzakció menetét! ..." Kimaradt a DATA, így 5,5 pont a 6-ból.
  +
  +
3. "Mire való a PMTU discovery és hogyan működik?" 3 pont a 3-ból (bár a bináris keresésre általában nincs szükség, mert [http://tools.ietf.org/html/rfc1191
  +
a fragmentation needed üzenetet küldő router megmondja, legfeljebb mekkora csomag férne át], ill. [http://www2.rad.com/networks/2006/pmtu/detect.htm ennek hiányában
  +
is lehet okosabban találgatni]).
  +
  +
4. "Mi a DNS poisoning, hogyan működik és hogyan lehet ellene védekezni?" A támadásnak nem feltétlenül az a célja, hogy a támadó gépére
  +
irányítson kapcsolatokat; lehet pl. DoS is harmadik fél vagy az áldozat ellen. A "szerver helyett a támadó válaszol" szcenárióban nem említi
  +
a nonce-t, a forrásport véletlenszerű megválasztását ill. azt, hogy a támadónak könnyebb a dolga, ha le tudja hallgatni a kérést. Így csak 9
  +
pont a 12-ből.
  +
  +
5. "Milyen különböző összetettségű tűzfalmegoldásokat ismer? Mindegyiket jellemezze néhány szóban!" Az állapotkövető csomagszűrő nem "irányítja
  +
az új kapcsolatokat a DMZ-be". Az alkalmazási rétegben működő tűzfalakról nem tesz említést. 2 pont a 4-ből.
  +
  +
Az első rész összesen 3+5,5+3+9+2=22,5 pontot ért a 30-ból.
  +
  +
=== N3HTQJ ===
  +
  +
1. "Mit jelent a DNS-ben a delegáció? Találjon ki egy példát! Milyen kérdést tesz fel a kliens, melyik szerver mit válaszol és miért?"
  +
Nem igaz, hogy "a domainek egy
  +
csoportját nevezzük delegációnak". Delegáció az, amikor a DNS-hierarchiában egy
  +
magasabb szintű domainért felelős szerver annak a domainnek valamely
  +
aldomainjére vonatkozó adatokat nem maga tárolja, hanem egy vagy több - ennek az
  +
aldomainnek a szempontjából - alárendelt szervernek ''delegálja'' a feladatot.
  +
Tehát minden, arra az aldomainre vonatkozó kérésre azt válaszolja, hogy "kérdezd
  +
meg ezeket-és-ezeket a szervereket". A feloldás menetének ismertetése is lehetne szabatosabb (pl. a kérés típusára és a válaszban szereplő
  +
rekordok típusára is ki lehetett volna térni). Mivel látszólag jóra gondolt, csak nem tudta jól leírni, 4 pont a 6-ból.
  +
  +
2. "Milyen problémával kell számolnunk, ha HTTP virtualhostingot használunk, és SSL-re is szükségünk van? Milyen megoldásai vannak a problémának?"
  +
[[A HTTP működése|A HTTP működésé]]ről szóló szócikkben több megoldás is szerepel; a hallgató a válaszban csak az egyiket említi, és téved azzal
  +
kapcsolatban, hogy nem szabványos (RFC3546). A probléma leírása jó. 3,5 pont a 6-ból.
  +
  +
3. "Mire jó a pivot_root? Mit csinál?" Halandzsagyanús. 1 pont a 3-ból.
  +
  +
4. "Milyen esetekben rotálja a logokat az svlogd?" Konfigurálható, hogy méret alapján és/vagy a log életkora alapján rotáljon, ha a jelenlegi log nem üres.
  +
Az ALARM signal hatására szintén rotál, ha a jelenlegi log nem üres. A hallgató csak a log életkorát említi. 1 pont a 3-ból.
  +
  +
5. "Milyen módokon (nem mi alapján) utasíthat el egy SMTP-szerver egy nem kívánt levelet? Melyiknek mi a következménye a levél
  +
későbbi sorsát illetően?" A válasz valami olyasmi lett volna, hogy: TCP-kapcsolat elutasítása; szándékos időtúllépés vagy protokollhiba előidézése; ideiglenes
  +
hibakód (4xx); permanens hibakód (5xx); átvétel, aztán bounce kézbesítése. Aztán ezeknek a hatásai (pl. újrapróbálja-e a kliens később).
  +
Ebből elég kevés van benne a leírt válaszban, úgyhogy 2 pont a 6-ból.
  +
  +
6. "Mi a különbség a szabályalapú és a szignatúraalapú IDS között?" Kicsit homályos a szabályalapú IDS leírása. 5,5 pont a 6-ból.
  +
  +
Az első rész összesen 4+3,5+1+1+5,5=15 pontot ért a 30-ból.
  +
  +
=== XFR0XQ ===
  +
  +
1. "Mire jó az 'append only' attribútum, mikor érdemes használni? Mi a hatása? És az 'immutable'-nak?" Az append only hatása az, hogy az adott file-hoz
  +
csak hozzáfűzni lehet. Sosem rotált loghoz ideális (a gonosz támadó nem tudja eltünteni a nyomait). Az immutable hatása az, hogy az adott file-t nem lehet
  +
sem törölni, sem a tartalmát módosítani. A válaszban csak annyi volt, amennyi az "append only" szavakból kitalálható. A gondolkodásra való
  +
képesség hasznos és fontos, úgyhogy ez megér 0,5 pontot a 4-ből.
  +
  +
2. "Milyen lehetőségeket biztosít az svlogd a logok által elfoglal hely mennyiségének menedzselésére?" Kimaradt az, hogy megadható egy olyan N is, amelynél
  +
ha több régi (kirotált) naplófájl van, és elfogy a hely, akkor a legrégebbit törli. 4 pont a 6-ból.
  +
  +
3. "Mit jelent az, hogy egy DNS-szerver autoritatív egy domainre? Mitől válik azzá? Ki határoz erről?" A domain és minden aldomainje teljes tartalmáról
  +
nyilatkozhat, nemcsak az NS-ekről. Az "autoritatívnak mondja magát" jelentése nem derül ki (nagyjából ekvivalens azzal, hogy saját adatbázisában tárol
  +
az adott domainbe tartozó nevekkel kapcsolatos rekordokat és ezeket, ha rájuk vonatkozó kérés érkezik, ki is adja a kliesneknek). Az autoritativitás
  +
és a delegáció összefüggésének leírása homályos (az autoritativitás "a gyökértől jön": a gyökérszerverek mindenre autoritatívak, úgyhogy megmondhatják, egyes
  +
aldomainekre kik autoritatívak még, rajtuk kívül; ezek az alárendelt névszerverek pedig az ő hatókörükbe tartozó domainek aldomainjeit továbbdelegálhatják s.í.t.).
  +
4,5 pont a 9-ből.
  +
  +
4. "Hogyan működik a syncookie mechanizmus?" Pont a lényeg hiányzik: hogy azokat a bizonyos adatokat, amiket tárolni kell, nem mi tároljuk, hanem belerakjuk
  +
a saját ISN-ünkbe, és elküldjük a kliensnek, aki majd úgyis visszaküldi (amikor nyugtázza). 2,5 pont az 5-ből.
  +
  +
Az első rész összesen 0,5+4+4,5+2,5=11,5 pontot ért a 30-ból.
  +
 
== 2007. november 9-i ZH ==
 
== 2007. november 9-i ZH ==
   

A lap 2008. november 27., 01:52-kori változata

Tartalomjegyzék

1 2008. november 14-i ZH

Arra gondoltam, hasznos lenne, ha a Eddigi ZH-kérdések szócikkhez hasonlóan kicsit részletesebben leírnám, mik voltak a gondok a hallgatóság válaszaival.

Annyi időm most sajnos nincs, mint akkor, úgyhogy nem tudok minden kérdést részletesen megválaszolni és külön beírni a hallgatók válaszait is, betűről betűre, de azért igyekszem minden kérdéshez írni valami támpontot arra vonatkozóan, hogy miért annyi pont, amennyi. Mivel most a hivatalos időpontban csak négyen írták meg a ZH-t, ez emberi léptékű feladat. :)

Egyelőre az első részekkel vagyok meg. Az alábbiakban nem mindenhol írom le a teljes kérdést, csak annyit, amennyi alapján a szerző fel tudja idézni, melyik kérdésről is van szó.

A második részek pontozásával igyekszem csütörtökön (27-én) elkészülni.

1.1 M44DNC

1. "Mit jelent a DNS-ben a classless delegáció? ..." A classless delegációnak semmi köze a D-osztályú címekhez (ez az IP-multicastingra fenntartott tartomány). Így is, úgy is kelleni fog az a bizonyos rengeteg (128) rekord, csak az a különbség, hogy classful esetben NS, classless esetben CNAME rekordból kell ennyi. Amiből kevesebb kell classless esetben, az a BIND-zónafájl. 6 pont a 8-ból.

2. "Mi a késleltetett allokáció (delayed allocation)? Mi az előnye?" Halandzsa (pár, a témához kapcsolódó kulcsszóval). 0 pont a 4-ből.

3. "Miért jó logikai kötetkezelést használni? ..." Kevés a konkrét alkalmazás (pl. nem említi a snapshotot). 2 pont az 5-ből.

4. "Mit jelent a versenyhelyzet a szerverüzemeltetés kontextusában? Milyen esetekben kell különösen odafigyelni a versenyhelyzetekre? ..." Nem igazán a kérdésre válaszolt; olyasmit kellett volna írni, hogy versenyhelyzet az, amikor két vagy több párhuzamosan futó folyamat együttes végeredménye jelentősen függ attól, hogy a folyamatokat alkotó elemi lépések milyen sorrendben futnak le; különösen akkor beszélünk versenyhelyzetről, ha csak az időzítéstől függ, hogy kedvező vagy kedvezőtlen lesz a végkifejlet. Példának lehet említeni a pidfile-ok körüli problémákat vagy a symlink-alapú támadásokat a mindenki által írható könyvtárakban. Ehelyett itt valami teljesen mást írt a hallgató, ami ugyan nagyjából igaz, de nem ez volt a kérdés. 1 pont a 8-ból.

5. "Mi alapján tudja az svlogd szétválogatni a naplóüzeneteket?" Vaktábanpróbálkozás; 0 pont az 5-ből.

Az első rész összesen 6+2+1=9 pontot ért a 30-ból.

1.2 IT45DV

1. "Milyen feltételeket kell teljesítenie egy minimális runitos run-scriptnek? ..." Kimaradt, hogy exec-kel kell meghívni a szolgáltatást, hogy az kapja a signalokat a runsv-től, ne a scriptet futtató shell, pedig ez fontos. Így csak 3 pont az 5-ből.

2. "Írja le egy tipikus SMTP-tranzakció menetét! ..." Kimaradt a DATA, így 5,5 pont a 6-ból.

3. "Mire való a PMTU discovery és hogyan működik?" 3 pont a 3-ból (bár a bináris keresésre általában nincs szükség, mert [http://tools.ietf.org/html/rfc1191 a fragmentation needed üzenetet küldő router megmondja, legfeljebb mekkora csomag férne át], ill. [http://www2.rad.com/networks/2006/pmtu/detect.htm ennek hiányában is lehet okosabban találgatni]).

4. "Mi a DNS poisoning, hogyan működik és hogyan lehet ellene védekezni?" A támadásnak nem feltétlenül az a célja, hogy a támadó gépére irányítson kapcsolatokat; lehet pl. DoS is harmadik fél vagy az áldozat ellen. A "szerver helyett a támadó válaszol" szcenárióban nem említi a nonce-t, a forrásport véletlenszerű megválasztását ill. azt, hogy a támadónak könnyebb a dolga, ha le tudja hallgatni a kérést. Így csak 9 pont a 12-ből.

5. "Milyen különböző összetettségű tűzfalmegoldásokat ismer? Mindegyiket jellemezze néhány szóban!" Az állapotkövető csomagszűrő nem "irányítja az új kapcsolatokat a DMZ-be". Az alkalmazási rétegben működő tűzfalakról nem tesz említést. 2 pont a 4-ből.

Az első rész összesen 3+5,5+3+9+2=22,5 pontot ért a 30-ból.

1.3 N3HTQJ

1. "Mit jelent a DNS-ben a delegáció? Találjon ki egy példát! Milyen kérdést tesz fel a kliens, melyik szerver mit válaszol és miért?" Nem igaz, hogy "a domainek egy csoportját nevezzük delegációnak". Delegáció az, amikor a DNS-hierarchiában egy magasabb szintű domainért felelős szerver annak a domainnek valamely aldomainjére vonatkozó adatokat nem maga tárolja, hanem egy vagy több - ennek az aldomainnek a szempontjából - alárendelt szervernek delegálja a feladatot. Tehát minden, arra az aldomainre vonatkozó kérésre azt válaszolja, hogy "kérdezd meg ezeket-és-ezeket a szervereket". A feloldás menetének ismertetése is lehetne szabatosabb (pl. a kérés típusára és a válaszban szereplő rekordok típusára is ki lehetett volna térni). Mivel látszólag jóra gondolt, csak nem tudta jól leírni, 4 pont a 6-ból.

2. "Milyen problémával kell számolnunk, ha HTTP virtualhostingot használunk, és SSL-re is szükségünk van? Milyen megoldásai vannak a problémának?" A HTTP működéséről szóló szócikkben több megoldás is szerepel; a hallgató a válaszban csak az egyiket említi, és téved azzal kapcsolatban, hogy nem szabványos (RFC3546). A probléma leírása jó. 3,5 pont a 6-ból.

3. "Mire jó a pivot_root? Mit csinál?" Halandzsagyanús. 1 pont a 3-ból.

4. "Milyen esetekben rotálja a logokat az svlogd?" Konfigurálható, hogy méret alapján és/vagy a log életkora alapján rotáljon, ha a jelenlegi log nem üres. Az ALARM signal hatására szintén rotál, ha a jelenlegi log nem üres. A hallgató csak a log életkorát említi. 1 pont a 3-ból.

5. "Milyen módokon (nem mi alapján) utasíthat el egy SMTP-szerver egy nem kívánt levelet? Melyiknek mi a következménye a levél későbbi sorsát illetően?" A válasz valami olyasmi lett volna, hogy: TCP-kapcsolat elutasítása; szándékos időtúllépés vagy protokollhiba előidézése; ideiglenes hibakód (4xx); permanens hibakód (5xx); átvétel, aztán bounce kézbesítése. Aztán ezeknek a hatásai (pl. újrapróbálja-e a kliens később). Ebből elég kevés van benne a leírt válaszban, úgyhogy 2 pont a 6-ból.

6. "Mi a különbség a szabályalapú és a szignatúraalapú IDS között?" Kicsit homályos a szabályalapú IDS leírása. 5,5 pont a 6-ból.

Az első rész összesen 4+3,5+1+1+5,5=15 pontot ért a 30-ból.

1.4 XFR0XQ

1. "Mire jó az 'append only' attribútum, mikor érdemes használni? Mi a hatása? És az 'immutable'-nak?" Az append only hatása az, hogy az adott file-hoz csak hozzáfűzni lehet. Sosem rotált loghoz ideális (a gonosz támadó nem tudja eltünteni a nyomait). Az immutable hatása az, hogy az adott file-t nem lehet sem törölni, sem a tartalmát módosítani. A válaszban csak annyi volt, amennyi az "append only" szavakból kitalálható. A gondolkodásra való képesség hasznos és fontos, úgyhogy ez megér 0,5 pontot a 4-ből.

2. "Milyen lehetőségeket biztosít az svlogd a logok által elfoglal hely mennyiségének menedzselésére?" Kimaradt az, hogy megadható egy olyan N is, amelynél ha több régi (kirotált) naplófájl van, és elfogy a hely, akkor a legrégebbit törli. 4 pont a 6-ból.

3. "Mit jelent az, hogy egy DNS-szerver autoritatív egy domainre? Mitől válik azzá? Ki határoz erről?" A domain és minden aldomainje teljes tartalmáról nyilatkozhat, nemcsak az NS-ekről. Az "autoritatívnak mondja magát" jelentése nem derül ki (nagyjából ekvivalens azzal, hogy saját adatbázisában tárol az adott domainbe tartozó nevekkel kapcsolatos rekordokat és ezeket, ha rájuk vonatkozó kérés érkezik, ki is adja a kliesneknek). Az autoritativitás és a delegáció összefüggésének leírása homályos (az autoritativitás "a gyökértől jön": a gyökérszerverek mindenre autoritatívak, úgyhogy megmondhatják, egyes aldomainekre kik autoritatívak még, rajtuk kívül; ezek az alárendelt névszerverek pedig az ő hatókörükbe tartozó domainek aldomainjeit továbbdelegálhatják s.í.t.). 4,5 pont a 9-ből.

4. "Hogyan működik a syncookie mechanizmus?" Pont a lényeg hiányzik: hogy azokat a bizonyos adatokat, amiket tárolni kell, nem mi tároljuk, hanem belerakjuk a saját ISN-ünkbe, és elküldjük a kliensnek, aki majd úgyis visszaküldi (amikor nyugtázza). 2,5 pont az 5-ből.

Az első rész összesen 0,5+4+4,5+2,5=11,5 pontot ért a 30-ból.

2 2007. november 9-i ZH

A ZH eredményeit az alábbi táblázat foglalja össze.

A "-" azt jelenti, hogy az illetőnek nem volt ilyen feladata (az elméleti rész négy vagy öt kérdésből állt, de összesen mindenképpen 30 pont értékben). Az egész ZH-n összesen 50 pontot lehetett szerezni.

Neptun-kód elmélet 1 elmélet 2 elmélet 3 elmélet 4 elmélet 5 gyakorlat összesen megfelelt i/n elfogadott HF i/n
D4C1C6 1/5 0/6 4,5/7 2/12 - 9/20 16,5/50 sikeres pótzh 2007-12-04 majdnem
EIWMWH 5/6 4,5/6 1/6 2/6 3/6 19,5/20 35/50 igen igen
I254A6 7,5/12 1/7 3,5/4 5/7 - 16/20 33/50 igen igen
ICJDK7 5/10 2,5/5 0/4 3/3 7,5/8 7/20 25/50 igen nem
JB4EO5 0/3 6/6 9,5/10 5/6 4/5 19,5/20 44/50 igen nem
OJCKX4 9/12 3,5/4 3/6 5/8 - 11 31,5/50 igen nem
QNJ6CC 2,5/5 6/8 6/12 0/5 - 10,5 25/50 igen nem
RHER4H 2/10 0/4 5/4 5/6 1,5/5 7/20 20,5/50 sikeres pótzh 2007-12-07 majdnem

3 2006. november 14-i ZH

A ZH eredményeit az alábbi táblázat foglalja össze.

A "-" azt jelenti, hogy az illetőnek nem volt ilyen feladata (az elméleti rész négy vagy öt kérdésből állt, de összesen mindenképpen 30 pont értékben). Az egész ZH-n összesen 50 pontot lehetett szerezni.

A gyakorlati feladatok közül a tűzfalasnál nehéznek bizonyult az egzakt pontozás, mert nagyon eltérő megoldások születtek; beértem azzal, hogy azt döntsem el, ér-e annyi pontot a megoldás, amennyi a 25-höz még hiányzik. Ezt a táblázatban pl. "3+" jelzi; ebben az esetben az összpontszám "25+". Hasonlóan jártam el a runit-scriptes feladat esetében is.

Neptun-kód elmélet 1 elmélet 2 elmélet 3 elmélet 4 elmélet 5 gyakorlat összesen megfelelt i/n
AQWIIH 0/4 4/6 2/10 1/10 - 2/20 9 n :(
DTOFXG 4/6 9/10 0/5 3/3 6/6 3+ 25+ i :)
EBDF2G 5/6 5/6 3/6 4/6 6/6 2+ 25+ i :)
F616UO 1,5/3 6/6 8/10 4/6 2,5/5 18/20 40 i :)
GEXRYI 0/8 2/7 1/5 4,5/6 4/4 15/20 26,5 i :)
HVS838 1/6 6/10 6/8 4/6 - 2 19 n :(
HYBA0X 7/12 6/6 2,5/5 2,5/4 2,5/3 4,5+ 25+ i :)
N8S79B 9/10 0/5 1/4 3/3 6/8 15/20 34 i :)
RR2PS4 4/5 2/8 3/12 3,5/5 - 0 (nem írt semmit) 12,5 n :(
T106M5 0/5 2/6 3/7 6/12 - 15/20 26 i :)
XGZ8YF 10/12 0/5 3/6 0/0 - 10 23 n :(
Y8R7BW 1/10 0/4 5/5 4/6 1/5 14/20 25 i :)
YYRI0C 4/8 8,5/10 4/6 4/6 - 5 25,5 i :)

Megjegyzés XGZ8YF-hez: sajnos a tűzfaltervezést sikerült súlyosan elrontani; a DMZ-be ugyan bejutnak az oda szánt csomagok, de a válaszok nem jutnak ki. Erre sajnos nem adhattam 12 pontot.

Személyes eszközök