Hirdetés

  2. Fórumok
  3. OS, alkalmazások
  4. Linux haladóknak
  5. (kiemelt téma)
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2013-09-30 15:51

    PROHARDVER!

    Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.

Új hozzászólás Aktív témák

  • #23904 Cool Face aktív tag bencze #23902
    Új Válasz #23904
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Cool Face

    aktív tag

    válasz bencze #23902 üzenetére

    Tudom, kicsit hosszúra nyúlt, így előre is köszönöm annak aki veszi a fáradságot és végigolvassa. :R Ebben a témában kezdő vagyok, de remélem nem írtam túl nagy badarságot.

    Tulajdonképpen 2 szolgáltatást szeretnék Raspberryn futtatni 24/7-be.:

    - SFTP amihez kell az SSH
    - Transmission

    Ismerősöknek és családtagok használnák az SFTP-t és a Transmissiont. Magyarországról és Németorszáról (talán későbbi ip blokkolások miatt még érdekes lehet) Amit szeretnék, hogy 24/7-be biztonságosan mehessen úgy a rendszer, hogy ne azon kelljen aggódnom, hogy na mikor törték fel és vágtak tönkre mindent ami csak a hálón volt.

    Idáig ezeket a beállításokat végeztem el:

    --SSH port csere konfigban
    --Mikrotik rooter konfigolva brute force ellen
    --Root User SSH-jat letiltottam (bár az igazat megvallva nem tudom, hogy ez mire szolgál, SFTP-n és ---PuTTY-n is ugyan úgy azt csinálok amit szeretnék mint korábban, semmilyen jogosultság vált. nem vettem észre..)
    --Telepitettem a unattended-upgrade + apticron és a fail2ban-t
    --Végül egy jó erős jelszót állítottam be. A felh. név maradt.
    --SSH jelszót nem szeretnék kulcsra lecserélni mert akkor macerás lenne nagyon a belépés szerintem.

    Nah és itt jöttek a nehézségek. Kezdjük elsőnek az unattended-upgrade-el:
    Ahogy olvastam 3 konfigurációs fájlt kell beállítani ráadásul ahány verzió frissités annyi módon néz ki a konfig fálj. A /etc/apt/apt.conf.d/50unattended-upgrades a /etc/apt/apt.conf.d/20auto-upgrades és az /etc/apt/apt.conf.d/02periodic. Továbbá szeretném ha e-mailt küldene ha valami oknál fogva nem tud lefutni a frissités.

    Nekem ez van alapból ami úgy néz ki, hogy semmi nincs bekapcsolva.:

    Unattended-Upgrade:: origins-Pattern {
    // Codename based matching:
    // This will follow the migration of a release through different
    // archives (e.g. from testing to stable and later oldstable).
    // "o=Raspbian,n=jessie";

    // Archive or Suite based matching:
    // Note that this will silently match a different release after
    // migration to the specified archive (e.g. testing becomes the
    // new stable).
    // "o=Raspbian,a=stable";

    };

    [...]
    // 'mailx' must be installed. E.g. "user@example.com"
    //Unattended-Upgrade::mail "root";

    // Set this value to "true" to get emails only on errors. Default
    // is to always send a mail if Unattended-Upgrade::Mail is set
    //Unattended-Upgrade::mailOnlyOnError "true";
    [...]

    Az e-mailt, hogy tudom bekonfigurálni?

    A /etc/apt/apt.conf.d/02periodic fájlba pedig ez.

    // Control parameters for cron jobs by /etc/cron.daily/apt //

    // Enable the update/upgrade script (0=disable)
    APT::periodic::enable "1";

    // Do "apt-get update" automatically every n-days (0=disable)
    APT::periodic::update-Package-Lists "1";

    // Do "apt-get upgrade --download-only" every n-days (0=disable)
    APT::periodic::download-Upgradeable-Packages "1";

    // Run the "unattended-upgrade" security upgrade script
    // every n-days (0=disabled)
    // Requires the package "unattended-upgrades" and will write
    // a log in /var/log/unattended-upgrades
    APT:: periodic::unattended-Upgrade "1";

    // Do "apt-get autoclean" every n-days (0=disable)
    APT:: periodic::autocleanInterval "21";

    // Send report mail to root
    // 0: no report (or null string)
    // 1: progress report (actually any string)
    // 2: + command outputs (remove -qq, remove 2>/dev/null, add -d)
    // 3: + trace on
    APT::periodic::verbose "2";

    Ennyi elég az automatikus frissítés beállításához?

    A fail2ban-nál ennyivel egészitettem ki a beállitást:

    [ssh]
    banaction = iptables-allports
    bantime = -1
    maxretry = 5

    Nem tudom, hogy az [ssh-ddos]be kell e kapcsolni, továbbá az [ssh-route] és a [ssh-iptables-ipset4] ahhoz, hogy tárolja is a bannolt ipket újraindítás után is.

    # Destination email address used solely for the interpolations in
    # jail.{conf,local} configuration files.
    destemail = root@localhost

    Kell lenni egy konfigfáljnak ahol a root e-mail címét betudom állítani? Hogyan tudom a transmission-t is implementálni?

    Pár napom már ráment a dologra, de ezzel a részével nem jutok dűlőlőre. Ezek amiről én tudok, hogy be kell állítani isten tudja, hogy mennyi van még amit kihagytam.

Új hozzászólás Aktív témák