cyberciti.biz OpenSSH Root user account restriction – revisited – Lietuviškai

Original

– čia pateikiamas tik vertimas!

Jei norite leisti prisijungti root naudotojui per SSH tik iš vieno IP, o kitiems naudotojams iš betkur kitur. Tokį sprendimą galime realizuoti per PAM autentifikacijos modulius. Naudosime pam_access PAM modulį, kuris naudojamas prieigos valdymui. Šis suteikia galimybę kontroliuoti prisijungimus atsižvelgiant į:

  • Naudotojo prisijungimo vardą (Login names)
  • Kompą ar domeną (Host or domain names)
  • IP ar IP tinklas (Internet addresses or network IP numbers)
  • Terminal line names etc

Kam naudojam pam_access?

Prie serverio gali reikėti prisijungti iš betkurio tinkle esančio kompiuterio. taigi turime pasirūpinti gera prieigos kontrole, naudojant OpenSSH servisą.

Kaip susikonfiguruoti pam_access?

Reikės keisti šiuos failiukus:

  1. /etc/pam.d/sshd
  2. Linux PAM konfiguracinis failas.

  3. /etc/security/access.conf
  4. Taisyklių paėmimui pagal nutylėjimą yra naudojamas šis failas.

Kai kasnors jungiasi, perbėgama per 2 bylos turinį ir jei yra sutapimas įvykdoma taisyklė. Mes galime nurodyti, ar priimti tokį prisijungimą ar atmesti. sintaksė: permission : username: origins kur:
permission : Teisių laukelis “+” (prieiga suteikiama) ar “-” (prieiga atšaukiama)
username : Linux sisteminis naudotojas (username)/login‘as (root ir kiti). Galima nurodyti ir grupės vardą. Arba galima nurodyti specialų trumpinį: ALL (Jei norime, kad tai būtų skirta visiems).
origins : Čia pateikiamas sąrašas terminalo langų, kompo vardų, IP adresų, domenų, kurie prasideda . ar specialų trumpinį ALL ar LOCAL

Visų pirma, kad tolesni pakeitimai veiktų reikia įjungti pam_access palaikymą byloje /etc/pam.d/sshd:


# vi /etc/pam.d/sshd
# Papildome eilute:
account required pam_access.so


Išsaugome ir uždarome.

Tarkime norime leisti naudotojam root ir lpic prisijungti tik iš IP adreso 1.1.1.1.

Atidarome bylą: /etc/security/access.conf su root’o teisėmis:


# vi /etc/security/access.conf
# Papildome eilute:
-: ALL EXCEPT root lpic:1.1.1.1


Išsaugome bylą.

Dabar SSH leis prisijungimus naudotojų root ir lpic tik iš 1.1.1.1 IP adreso. Jei naudotojas root ir lpic bandys jungtis iš kito IP adreso, jiems parašys: ‘Connection closed by xxx.xxx.xxx.xxx’ ir error pranešimu turėtų būti papildytas Jūsų žurnaliukas (log’as):


# tailf /var/log/message
Feb 20 19:02:39 hostname pam_access[2091]: access denied for user `lpic' from `xxx.xxx.xxx.xxx'


Kur, jau kaip ir minėjau xxx.xxx.xxx.xxx1.1.1.1.
Beje, jei įrašėte savo naudotojo vardą ir išsaugojote… VISOS TAISYKLĖS taikomos IŠKART po IŠSAUGOJIMO /etc/security/access.conf bylos! Būkite atsargūs!

Daugiau pavyzdukų:

a) Kartais reiktų sukurti taisykles, kurios leistų prisijungti visiems išskyrus rootbetkur, o root tik iš localhost:


-:root:ALL EXCEPT LOCAL
# ar
-:root:ALL EXCEPT localhost


b) Deny network and local login to all users except for user root and vivek:

-:ALL EXCEPT root vivek:ALL

c) Tik iš 192.168.1.0/24 leisti prisijungti root naudotoju:


+ : root : 192.168.1.0/24


Pastebėjimas: taip galime leisti ir drausti jungtis visoms tarnyboms, kurios naudoja PAM, pvz.: ftpd, telnet ir t.t.

P.S. + : root : yyy.yyy.yyy.yyy
- : root : ALL

Sambos serveris mano namuose HowTo Debian squeeze stable

Sveiki, kaip sekas?

Aišku jei Jumi labai paranojikas ir niekuom nepasitikit, ir suprantat, kad kiekviena programulka, su papildoma funkcija, Jūsų serveryje, suteikia įsilaužėliui po papildomą įsilaužimo įrankį tai Jūs galite susikompiliuoti SAMBA iš sources ir štai sambos HowTo. Mes taip nedarysime, juk kaip iš pavadinimo matome tai: naminis serveris, kuris NĖRA pasiekiamas iš išorės.

Taigi mums prireiks:

Taigi, parsisiunčiame SAMBA:


aptitude install samba


sutikime su viskuom, tik įdėmiai paskaitykite ką jis jums siūlo…

Taigi nusikopinkime egzistuojantį sambos configūracinį failiuką ir įmeskime šį, ara pasikeiskite Jau esamą, taip Jūs daugiau sužinorsite apie sambos teikiamus malonumus… taigi:


mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
vi /etc/samba/smb.conf


[global]
workgroup = LINUX
server string = %h server
dns proxy = no
hosts allow = 127.0.0.1 192.168.0.0/16 10.0.0.0/8 172.16.0.0/12
log file = /var/log/samba/log.%m
log level = 2
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
printing = cups
printcap name = cups
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=65536 SO_SNDBUF=65536 SO_KEEPALIVE
deadtime = 15
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir pwrite
full_audit:failure = none
full_audit:facility = LOCAL7
full_audit:priority = NOTICE
[homes]
comment = Home Directories
browseable = no
read only = yes
create mask = 0700
directory mask = 0700
valid users = %S
[printers]
security = share
comment = All Printers
browseable = yes
path = /var/spool/samba
printable = yes
guest only = yes
public = yes
read only = yes
create mask = 0700
create mode = 0700
use client driver = yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
[DL]
path=/home/Downloads
writeable = no
valid users = USERNAME
public = no
browseable = no
available = yes


Taigi Šiame konfigūraciniame faile matome 4 pagrindines sekcijas (P.S. kas redaguojate originalų sambos failiuką… # ir ; reiškia komantarą, viskas kas už šių ženklų iki naujos eilutės, nebus traktuojama sambos serverio)

  1. [global]
  2. [homes]
  3. [printers]
  4. [print$]
  5. [DL]

Vienetuku ir dvejetuku pažymėtos sekcijos yra SAMBA išmyslas… 🙂 [global] skiltyje aprašomi bendri samba parametrai, kurie bus taikomi visai SAMBA’i ir visiems padalintiems resursams, kuriuose nepasakysime kitaip. Tuo tarpu [homes] tai yra paviešintas/padalintas/už’share’intas resursas, kurio funkcija, paviešinti naudotojo namų katalogus. T.Y. naudotojas prisijungęs, praėjęs autentifikaciją, užėjus į serverį per windows’us, pamatys savo namų katalogą SAMBA sistemoje.
SAMBA naudotojai turi egzistuoti ne tik Linux/Unix sistemoje, bet ir SAMBOS autentifikavimo sistemoje, nes SAMBA saugo slaptažodį tokiu pat formatu, kaip ir WINDOWS OS.

Taigi, sekančios sekcijos [printers] ir [print$] yra reikalingos, jei mes norime per Linux paviešinti spausdintuvą.

Taigi paskutinė opcija [DL] yra mano paviešintas resursas tinkle.


[DL]
path=/home/Downloads
writeable = no
valid users = USERNAME
public = no
browseable = no
available = yes


  • DL – tokiu pavadinimu yra pasiekiamas resursas vietiniame tinkle \\Serverio_IP\DL
  • path=/home/Downloads – čia nurodoma, kurią direktoriją norime paviešinti…
  • writeable = no – Į šį resursą, nebus galima įrašyti duomenų
  • valid users = USERNAME – ši opcija nėra būtina, bet aš nenoriu, kad į šią direktoriją patektų betkas, o tik naudotojai kurie praėjo autorizaciją
  • public = no – Resursas nėra viešai pieinamas, neautorizuoti naudotojai nealės čia patekti
  • browseable = no – Resursas nėra MATOMAS užėjus į serverį per explorer.exe į \\Server_IP jo nepamatysite, nebent pakeisite į yes
  • available = yes – resursas yra įjungtas, kai jums jo nebereikės, bet nesinorės trinti visų nustaytymų bei tingėsite komentuoti, tiesiog parašome čia no ir viskas 😉

Taigi, beliko sužinoti, kaip pridėti naudotoją prie SAMBA sistemos… Tam mums reiktų, dėl viso pikto perkrauti SAMBA serverį ir tuomet pridėti naudotoją, kuris jau yra mūsų sistemoje, o jei jo nėra jį ten sukurti:


/etc/init.d/samba restart # perkrovem SAMBA
useradd -s /bin/false -m naudotojas # Sukuriame sisteminį naudotoją tik sambai
smbpasswd -a naudotojas # pridedame jį prie SAMBA duomenų bazės.

tai tiek… nor yra dar daug ko čia papasakoti.

Naujas Debian GNU/Linux ir Ubuntu atvaizdas lietuvoje

Sveiki Debian GNU/Linux ir *buntu fan’ai.
VU ITTC isteigė naują, patikimą, greitą LIETUVIŠKĄ Debian GNU/Linux Ubuntu mirror’ą (veidrodį).

* 1 Gbps (1000 Mbps) greitis;
* Pilni Debian GNU/Linux ir Ubuntu archyvai;
* Push-mirroring atnaujinimai (tai reiškia, jog veidrodis atsinaujina iš karto, kai tik Debian GNU/Linux ar Ubuntu bendruomenė patvirtina pakeitimus);
* Veidrodis yra oficialus ir pripažintas Debian GNU/Linux ir Ubuntu bendruomenių: itrauktas į launchpad.net sistemą ir download sistemą per ubuntu.com. Taip pat į cdn.debian.net bei yra įkeltas į ftp.lt.debian.org sąrašą (vienas iš greičiausiai pripažintų, patekusių į šį sąrašą).

Adresai:
http://debian.mirror.vu.lt
http://ubuntu.mirror.vu.lt
sources.list failiuka galima is karto atsisiusti:
http://debian.mirror.vu.lt/debian-sources.list
http://ubuntu.mirror.vu.lt/ubuntu-sources.list

Taip pat VU ITTC bendruomenė mąsto apie kitų linux distribucijų mirroring’ą.

Software RAID masyvų valdymas Debian GNU/Linux OS pasinaudojant mdadm

Sveiki, mes jau RAID levels – RAID Lygiai – RAID0 (stripe), RAID1 (mirror), RAID5 ir RAID2, RAID3, RAID4, RAID6 temoje aptar4me kuom skiriasi RAID masyvai dabar aptarikim trumpai kaip juos galima valdyti…
Nepamirškime, kad patariama naudoti RAID masyvų skirsnius atskiruose diskuose. Taip pat Debian Lenny 5.0.6 esantis GRUB neskaito /boot esančio masyve. Taigi reikia arba „pačinti“ GRUB’ą, arba naudoti vieną /boot skirsnį ne RAID masyve.


Taigi peržiūrėti galime pasitelkus komanda:


mdadm --detail /dev/mdx


/dev/mdx – mūsų raid masyvo įrenginys. Jeigu turime tokį masyvą vieną, tuomet tai, tikriausiai, md0.
Norint gražiai pašalinti diską iš masyvo, reikia pažymėti diską neveikiančiu. ir tuomet pašalinti diską iš masyvo. Taigi tokia tvarka ir surašytos komandos (tarkime mums reikia iš RAID5 pašalinti sdc diską):


mdadm --manage --set-faulty /dev/md0 /dev/sdc1
mdadm /dev/md0 -r /dev/sdc1


Įstačius naują diską, jį reikia paruošti, t.y. suformatuoti į RAID skirsnį ir tuomet prijungti prie sistemos:


mdadm /dev/md0 -a /dev/sdc1


Žinoma norėsime stebėti kaip veikia mūsų RAID masyvas ir paleisime demoną


mdadm --monitor --mail=root@localhost --delay=1800 /dev/md0


Šis demonas kas 300minučių stebės mūsų masyvą ir jei kas praneš el. paštu. Taip pat galime dar pridėti parametrus --program ar --alert kurie nurodys kokį skriptuką kviesti įvykus klaidai.

External Link:
The Software-RAID HOWTO: Detecting, querying and testing

wget mirroring site

howto mirror website using wget?
simply: wget -ckm http://ruu.lt


If you want to get only certain type of files use this:
wget -r -l inf -A gif,jpg,png http://ruu.lt

Repozitorijai

Debian

Redaguojami failai ir naudojamps programos

  • /etc/apt/sources.lst
  • vi
  • web Browser
  • aptitude (arba vietoje jos galima naudoti apt-get, dselect)

add resource

Norint idiegti sistemos atnaujinimus mes turime prideti resursus. Norėdami pridėti resursus nueiname į tinklapį: [Debian Mirror List] (atsidarys naujame lange). Pasirenkame mus dominančią architektūrą ir šalį. Man labai patiko resursas: debian.balt.net ir protokolas HTTP bei architektūra x86_64. Taigi atidarau faila /etc/apt/sources.list . Jame jau tikriausiai kazkas yra… dzin, tegu būna! galite betkur (viršuje ar apačioje) įterpti naują eilutę ir irašyti sekantį tekstą:

 deb http://debian.balt.net/debian/ stable main contrib non-free
  1. deb arba deb-src parametras nurodo kas per resursas yra pateiktas, deb tai programiniai paketai o deb-src tai programinių paketų išeities kodai.
  2. adresas kuriame randasi direktorija: dists
  3. dists direktorijoje randasi stable arba jūsų pasirinktos versijos pavadinimas/direktorija (stable – visuomet bus šiuo metu tobulinama debian versija)
  4. maincontrib ir kita yra direktorijos esancios jūsų pasirinktos versijos aplanke, o jau jame yra deb paketai.

Visus katalogus rašome be pilno kelio, nebent tas katalogas yra toliau, nei aprašytame pavyzdyje. Štai mano failiukas:

deb http://ameba.sc-uni.ktu.lt/debian/ stable main contrib non-free
deb-src http://ameba.sc-uni.ktu.lt/debian/ stable main contrib non-free

deb http://security.debian.org/ stable/updates main contrib non-free
deb-src http://security.debian.org/ stable/updates main contrib non-free

deb ftp://ftp.gplhost.com/debian/ lenny main
deb-src ftp://ftp.gplhost.com/debian/ lenny main

deb http://dl.google.com/linux/deb/ stable non-free
deb http://ftp.litnet.lt/debian/ stable main contrib non-free
deb http://debian.balt.net/debian/ lenny main contrib non-free
#Addedby software-properties
deb-src http://debian.balt.net/debian/ stable main contrib non-free
deb http://mirror.switch.ch/ftp/mirror/debian/ stable main contrib non-free
# deb ftp://ftp.akl.lt/Linux/Baltix/baltix-ubuntu-packages/ stable *

deb ftp://mirror.switch.ch/mirror/backports.org/ lenny-backports main contrib non-free
deb ftp://mirror.switch.ch/mirror/debian-volatile/ stable/volatile main contrib non-free
deb ftp://mirror.switch.ch/mirror/debian-volatile/ stable/volatile-sloppy main contrib non-free
deb ftp://mirror.switch.ch/mirror/debian-volatile/ stable-proposed-updates/volatile main contrib non-free

deb http://mirror.realroute.net/backports.org/ lenny-backports main contrib non-free
deb http://ftp.linux.in.th/mirror/debian-volatile/ stable/volatile main contrib non-free
deb http://ftp.linux.in.th/mirror/debian-volatile/ stable/volatile-sloppy main contrib non-free
deb http://ftp.linux.in.th/mirror/debian-volatile/ stable-proposed-updates/volatile main contrib non-free

deb http://www.backports.org/backports.org/ lenny-backports main contrib non-free
deb http://debian.mirror.inra.fr/debian-volatile/ stable/volatile main contrib non-free
deb http://debian.mirror.inra.fr/debian-volatile/ stable/volatile-sloppy main contrib non-free
deb http://debian.mirror.inra.fr/debian-volatile/ stable-proposed-updates/volatile main contrib non-free

deb http://ftp.estpak.ee/backports.org/ lenny-backports main contrib non-free
deb http://www2.nl.freebsd.org/debian-volatile/ stable/volatile main contrib non-free
deb http://www2.nl.freebsd.org/debian-volatile/ stable/volatile-sloppy main contrib non-free
deb http://www2.nl.freebsd.org/debian-volatile/ stable-proposed-updates/volatile main contrib non-free

deb http://debian.acantho.net/backports.org/ lenny-backports main contrib non-free
deb http://mirror.leaseweb.com/debian-volatile/ stable/volatile main contrib non-free
deb http://mirror.leaseweb.com/debian-volatile/ stable/volatile-sloppy main contrib non-free
deb http://security.debian.org/ lenny/updates contrib non-free main
deb http://mirror.leaseweb.com/debian-volatile/ stable-proposed-updates/volatile main contrib non-free

Atnaujinimas

Pridėkite tokiu būdu tiek resursų kiek reikia ir tuomet išsaugoję sąrašą įvykdykite sekančią komandą:

sudo aptitude update

Šios komandos pagalba jūs parsisiųsite info apie paketus saugomus jūsų pridėtame resurse.

sudo aptitude safe-upgrade

Šios komandos pagalba saugiai atnaujinsime mūsų įdiegtą sistemą.

Atnaujinimas i naujasne sistema

Norint atnaujinti Debian 4 į Debian 5 naudojame komandas:

sudo aptitude update
sudo aptitude install apt aptitude
sudo aptitude update
sudo aptitude install
sudo aptitude upgrade
sudo aptitude install
sudo aptitude dist-upgrade
sudo aptitude update

Anot komentaro autoriaus Galime tai atlikti naudojant viena eilute:

sudo aptitude update && sudo apt-get install apt aptitude && sudo aptitude upgrade && sudo aptitude install && sudo aptitude dist-upgrade

Patikimi resursai

Kai bandome įdiegti paketą mums rašo:

WARNING: The following packages cannot be authenticated!
 libglib-perl libgtk2-perl
Install these packages without verification [y/N]?

Taip pat kai atnaujiname resursus mums rašo:

W: GPG error: http://ftp.us.debian.org testing Release: The following signatures
couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F

Patikimų resursų sąrašas:

sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/6070D3A1 2006-11-20 [expired: 2009-07-01]
uid                  Debian Archive Automatic Signing Key (4.0/etch)<ftpmaster@debian.org>

pub   1024D/ADB11277 2006-09-17
uid                  Etch Stable Release Key <debian-release@lists.debian.org>

pub   1024D/BBE55AB3 2007-03-31 [expires: 2010-03-30]
uid                  Debian-Volatile Archive Automatic Signing Key (4.0/etch)
sub   2048g/36CA98F3 2007-03-31 [expires: 2010-03-30]

pub   1024D/F42584E6 2008-04-06 [expires: 2012-05-15]
uid                  Lenny Stable Release Key <debian-release@lists.debian.org>

pub   4096R/55BE302B 2009-01-27 [expires: 2012-12-31]
uid                  Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>

pub   2048R/6D849617 2009-01-24 [expires: 2013-01-23]
uid                  Debian-Volatile Archive Automatic Signing Key (5.0/lenny)

pub   1024D/1F41B907 1999-10-03
uid                  Christian Marillat <marillat@debian.org>
uid                  Christian Marillat <marillat@free.fr>
sub   1536g/C28DCC42 1999-10-03
sub   1024D/5D3877A7 2002-08-26

pub   1024D/6DFBCBAE 2008-07-14
uid                  Sun Microsystems, Inc. (xVM VirtualBox archive signing key)  <info@virtualbox.org>
sub   2048g/78A86EAF 2008-07-14

Kaip rasti raktą

Raktas yra:

NO_PUBKEY 010908312D230C5F

Paskuriniai 8 simboliai ir tuomet vykdome komandą:

gpg --keyserver subkeys.pgp.net --recv-keys 2D230C5F

Tuomet jį turime pridėti prie mūsų patikimų raktų sąrašo

gpg -a --export 55BE302B | sudo apt-key add -

arba

gpg --keyserver subkeys.pgp.net --search-keys 2D230C5F

Tuomet

gpg -a --output /tmp/pub.asc --export 2D230C5F
sudo apt-key add /tmp/pub.asc && rm /tmp/pub.asc

Po šių veiksmų nebereiks mums spausti yes … tik deja googlo nepridėjo man resurso
o štai ir googlo:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | apt-key add -

Mandriva

Nuo 2008.1 (jeigu neklystu) urpmi varikliukas palaiko –distrib funkciją! Taigi mdv resursų pridėjimas užtrunka tik surast “mirror”. Vienas geresnių iš lietuvos pasiekiamų serverių (mano manymu) yra switch.ch. Taigi norėdami pridėti šį serverį prie resursų tiesiog randame šiame serveryje Mandriva (dar gali būti Mandrakemandrakesoftmandrivasoftmdv ir pan) direktoriją (kaip žinia Mandrake perpirktas Connectiva ir pervadintas į Mandriva). Ten susiraskit direktorija official ir joje pasirinkite jums reikiamą architektūrą. Tuomet nukopijuokite adresą direktorijos KURIOJE yra papkė media. ir įvykdome komandą ir kartu atnujinimo komandą:

 urpmi.addmedia URL --distrib && urpmi.update -a

URL = nukopijuotas pilnas adresas kuriame yra media katalogas. Šios komandos pagaba (būtent pirma jos dalimi) mes pridedame visą atvaizdą prie mūsų resursų sąrašo. Antra dalis po to kai įvykdyta pirmoji atnaujina sąrašus šių resursų (kartais resursų pridėjimo metu, neparsiunčia sąrašų ir juos tenka atnaujinti taigi mes tai darom iškart). Visų atnaujinimų įdiegimas:

 urpmi --auto-select

arba

 urpmi --auto-update

auto-select opcija pasirenka visus atnaujinimus, o auto-update opcija pasirenka tik saugiai besiinstaliuojančius paketus (neglobalius atnaujinimus).

External Links

http://wiki.debian.org/SecureApt

apt-mirror konfigūrafimas

Konfigūracija

Mano /etc/apt/mirror.list turinys be komentarų grep -E ‘^[^#]’ /etc/apt/mirror.list:

set nthreads     20
set _tilde 0
set base_path		/path/to/mirror/
set mirror_path	$base_path/debian
set skel_path		$base_path/skel
set var_path		$base_path/var
set cleanscript	$var_path/clean.sh
set nthreads     5
set _tilde 0
deb-i386 http://debian.balt.net/debian/ stable main non-free contrib
#deb-src http://debian.balt.net/debian/ stable main non-free contrib
deb-i386 http://security.debian.org/ stable/updates main contrib non-free
#deb-src http://security.debian.org/ stable/updates main contrib non-free
clean http://debian.balt.net/debian
clean http://security.debian.org/

Jeigu jums reik source paketų, pridėkite juos. Taip pat galite pridėti daugybę kitų resursų. Taip pat reikia sukurti debian, skel, varkatalogus ir jiems suteikti write permission: cd /path/to/mirror ir sudo chmod u+w,g+w,o+w debian var skel

Programos paleidimas

Jeigu konfig8racijos failą sukūrėte /etc/apt/mirror.list tai jums užteks parašyti komandinėje eilutėje apt-mirror, jeigu mirror.list bylą sukūrėte kitur, jums teks nudoryti dar ir kelią iki direktorijos, kur guli jūsų konfiguracinis failas: apt-mirror /path/to/mirror.list.