Kategoria: Linux

Podstawowa konfiguracja

2008 Luty 2 – 22:43

Zainstalowaliśmy sobie świeżego linuxa (debiana albo ubuntu) i wypadało by coś z nim porobić. Polecam rzucić okiem na -> niezbędnik software’owy, a potem pokonfigurować podstawowe usługi.

  • Apt-Get

Aby móc spokojnie instalować nowe pakiety należy poustawiać źródła apt-geta. Wiemy że debian/ubuntu występuje w 3 odmianach, „stable” (stabilna), „testing” (testowana) i „unstable” (niestabilna, rozwijana). Jest jeszcze odmiana experimental dla twardzieli ;D
Ja z natury jade na unstable, u ludzi instaluje testing, a na poważnych serwerach mam naturalnie stable. Tak więc żeby mieć przjemny, raczej dobrze działający system należy wpisać następujące linie do /etc/apt/sources.list:
deb http://security.debian.org/ etch/updates main contrib non-free
deb http://ftp.de.debian.org/debian/ sid main contrib non-free

W przypadku jakby ktoś zaczął wymiękać należy odpowiednio zmienić wpis sid w drugiej linijce. Plusem korzystania z wersji testowych/niestabilnych jest posiadanie nowego oprogramowania i aktualnych jego wersji.

  • Sieć

Wszystkie informacje o zwykłej sieci znajdziemy w /eth/networking. Standardowo będziemy mieli najprawdopodobniej coś takiego:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp

Pierwsze dwie linijki są dla nas nieważne i ich nie dotykamy. Jeśli otrzymujemy adres ip z serwera dhcp, możemy zostawić konfigurację tak jak jest. Zdarza się jednak, że tak jak w Windowsie mamy potrzebę zmienić adres MAC, robimy to następująco
auto eth0
iface eth0 inet dhcp
hwaddress ether 00:00:00:00:00:00

Zamiast zer, wpisujesz swój adres MAC i po wykonaniu komendy /etc/init.d/networking restart powinno wszystko zadziałać.

Jeśli chcemy na stałe wpisać konfigurację sieciówki, robimy to następująco:
auto eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
gateway 192.168.0.100
dns-nameservers 192.168.0.100

To przykładowa konfiguracja z już wpisanymi danymi, które naturalnie należy zastąpić własnymi. Obowiązkowe są oczywiście dwie pierwsze linie, pole address, netmask i gateway (pola network i dns-nameservers chyba nie są obowiązkowe).

Należy zwrócić uwagę ze może występować wiecej eth (np eth0, eth1, eth2 itd.), w zależności ile portów sieciowych ma się w komputerze. Wtedy całą konfigurację należy przeprowadzić dla określonego eth.

  • Bezpieczeństwo – SSH Brute Force Attacks – Atak słownikowy

Po skonfigurowaniu sieci, będąc podłączonymi do internetu jest duże zagrożenie że ktoś będzie atakował nasz komputer atakiem słownikowym przez SSH. Pociąga to za sobą dwa problemy, jeśli nasze hasło jest w słowniku (np test/test) to zostanie złamane i mamy kłopot. Drugim problemem jest to że nasz komputer może zostać zafloodowany (nasze łącze internetowe obciążone i nasz komputer zajęty odpowiedziami na atak).
Niestety ! Widziałem mocne komputery (ok ~1Ghz) z zamęczonym na 100% prockiem przez atak na serwer ssh !

Chyba najprostszą i banalną metodą jest ochrona plikami hosts.allow i hosts.deny.
Wpisujemy w /etc/hosts.allow:
sshd: .pl
sshd: 192.168.0.0/16

Zakładam że serwer stoi w Polsce (pierwsza linijka) i może być bramką internetową dla komputerów w podsieci (druga linijka).
W /etc/hosts.deny wpisujemy natomiast:
ALL: ALL
(zalecane) blokujemy wszystko, poza tym co jest zezwolone w allow, lub
sshd: ALL: DENY
blokujemy wszystko na porcie ssh, pozatym co jest w allow (inne porty i usługi pozostają tak jak były).

Takie zagranie blokuje wielką część ataków, które normalnie są przeprowadzane z USA, Chin, Rosji, Indii itp. Ataki z polski zdarzają się bardzo rzadko i to jedynie z komputerów które zostały zhakowane.
Tak więc wpisy w hosts i silne hasło i jesteśmy bezpieczni.

  • Czas

Po zainstalowaniu programu ntpdate, należy postąpić zgodnie z instrukcjami na -> mojej stronce.

  • Kolorowa linia poleceń

To trochę bajer, ale trochę się przydaje 🙂 Wpisujemy w pliku /etc/bash.bashrc (pod linia PS1=) i w /etc/profile (gdzieś pod koniec) linię:
export PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;32m\]\w\[\033[00m\]\$ '
Jeśli zwykły user również chce mieć kolorowy shell (zakładając ze root już ma), musi on w swoim pliku .bashrc wykomentować wszystkie wpisy zaczynające się na PS= (w czystym debianie są to 3 linijki). Wtedy jego shell będzie brał kolory z /etc/bash.bashrc i /etc/profile.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *