-
Fototrend
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
#33207
Neil Watts
veterán
Neil Watts
veterán
Sziasztok!
Lattam, fent is szerver biztonsagrol volt szo, kerdeznek en is. Szemelyes projektjeimhez bereltem egy CPX21-et a Hetznertol (3 mag/4GB RAM).
Erre Full Disk Encryption-nel szeretnek felpakolni egy friss Ubuntu Linux-ot, Oracle APEX fejlesztes celjabol fokent. (Jobb lenne egy RHEL, de ahhoz draga a KSplice/AlmaCare)
Szoftverfejlesztessel foglalkozom, uzemeltetes teren van mit tanulnom, am ezert kerdeznek is. Az alabbiakat gondoltam elvegezni a base rendszer felrakasa utan:
- Rendszer frissitese
- SSH kulcs alapu login, password helyett. A kulcsot Ed25519-el tervezem kesziteni
- Kulon groupba rakom az SSH-zni tudo felhasznalokat
- Az sshd_config biztonsagossa tetele:HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
LogLevel VERBOSE
PermitUserEnvironment no
Subsystem sftp internal-sftp -f AUTHPRIV -l INFO
Protocol 2
X11Forwarding no
AllowTcpForwarding no
AllowStreamLocalForwarding no
GatewayPorts no
PermitTunnel no
PermitEmptyPasswords no
IgnoreRhosts yes
UseDNS yes
Compression no
TCPKeepAlive no
AllowAgentForwarding no
PermitRootLogin no
HostbasedAuthentication no
AllowGroups a-csoport-amit-letrehoztam-az-sshzo-usereknek
ClientAliveCountMax 0
ClientAliveInterval 300
ListenAdress <az ip addr altal visszatdott eth0 interface cime>
LoginGraceTime 30
MaxAuthTries 2
MaxSessions 2
MaxStartups 2
Port <az alap 22-rol elrakom valami magasra>-- OpenSSH (mozilla.org) Ez alapjan eltavolitom a rovid DH kulcsokat.
-- 2FA-t alkalmazok SSH-nal (is)
-- Limitalom, hogy ki hasznalhat sudo-t illetve su-t.
-- Beallitom NTP-n az idot
-- A /proc-t hidepid=2-vel mountolom fel
-- Eros jelszavakat hasznalok ahol csak lehet
-- Beallok Ubuntu Pro membernek.
-- rng-tools felpattintasa es beallitasa
-- UFW beallitasa ugy, hogy minden kimeno es bejovo forgalmat tiltson, csak azt engedelyezzuk ami kell
-- Behatolas erzekelesre es megelozesre felrakok egy PSAD-ot
-- Felrakok egy Fail2Ban-t
-- Felrakok egy AIDE-t
-- ClamAV-t virusirtonak
-- RKHunter
-- chrootkit
-- logwatch
-- lynis
-- ossecKell meg valami?
Ha eszetekbe jut, es megosztjatok, azt koszonom. Lehet beneztem valamit vagy elfelejtettem.Az Oracle cuccokat kulon, dockerbe raknam.
Koszi!
Udv.
-
#25174
Neil Watts
veterán
vargalex
#25172
Neil Watts
veterán
válasz
vargalex
#25172
üzenetére
top - 15:50:57 up 27 min, 1 user, load average: 0.77, 0.63, 0.47
Tasks: 108 total, 2 running, 106 sleeping, 0 stopped, 0 zombie
%Cpu(s): 4.3 us, 3.3 sy, 0.0 ni, 89.8 id, 0.0 wa, 0.0 hi, 2.7 si, 0.0 st
KiB Mem : 948012 total, 5356 free, 100164 used, 842492 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 816688 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1254 ***+ 20 0 11996 2904 2136 R 33.4 0.3 6:46.11 sshd
1257 ***+ 20 0 5544 2920 2456 S 3.6 0.3 0:48.52 mysecureshell
2054 *** 20 0 6836 2412 1892 R 0.7 0.3 0:00.46 top
3 root 20 0 0 0 0 S 0.3 0.0 0:04.21 ksoftirqd/0
33 root 20 0 0 0 0 S 0.3 0.0 0:04.74 kswapd0
724 plex 35 15 189608 32420 9084 S 0.3 3.4 0:31.74 Plex Script Hos
809 plex 20 0 170464 16212 13228 S 0.3 1.7 0:03.00 Plex DLNA Serve
990 *** 20 0 11864 2324 1628 S 0.3 0.2 0:00.16 sshd
1 root 20 0 23792 3736 2656 S 0.0 0.4 0:03.28 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0HHa jol latom, a Plex kajal szepen
bambano: Nem mondtam, hogy baj, felre ne ertsd.
Udv. core2
-
#25171
Neil Watts
veterán
Neil Watts
veterán
Uraim!
Van egy, RPi3-am, rajta Ubuntu 16.04 server, azon SFTP (mysecureshell), a RPI=re kotve egy 1TB-os HDD USB-n.
Az SFTP-re jogosult felhasznalom home-jabol egy symlink mutat a HDD SFTP-n elerendo mappajara.
Ha Belepek tavolrol a Pi-re akkor ugye ebbe a home-ba jutok, onnan meg az mnt megfelelo mappajaba. Na az ide toretno masolas 4.5MB/s ami 36 Mbit. Ez 100MBites halozat csatlakozassal elegge verszegeny, nem? Amugy az egesz halo gigabites.Mit tehetnek?
Koszi!
Udv. core2
-
#25029
Neil Watts
veterán
Neil Watts
veterán
Uraim!
Van egy RPi3-am, Raspbian Wheezyvel. Rajta egy mediatomb, amin latom a mappakat a fstabban felcsatolt ext4 hddn.
Szeretnek NFS szervert tenni a Pi-re, hogy egyszeru legyen a fajlmasolas:
Az Ubuntu kliensemen joskapista a usernevem, az RPi-n csak pista.
A kliens gep 192.168.1.10 (Ubuntu 16.04)
Az RPI 192.168.1.12A pi-n a kovetkezot tettem:
sudo apt-get install nfs-kernel-server portmap nfs-common
sudo nano /etc/exportsitt hozzadtam a HDD keresere a klienst:
/mnt/HDD1 192.168.1.10(rw,async)sudo nano /etc/netconfigAz udp6, tcp6 sorokat kikommenteztem.
sudo exportf -ra
sudo update-rc.d rpcbind enable && sudo update-rc.d nfs-common enable
sudo service rpcbind restart
sudo service nfs-kernel-server restartA kliensen a
sudo mount 192.168.1.12:/mnt/HDD1 /mnt/NFSlefut, am masolni a Pi-re nem tudok.
Mi lehet a gond? Koszi
Udv. core2
-
#23736
Neil Watts
veterán
bambano
#23735
Neil Watts
veterán
válasz
bambano
#23735
üzenetére
Valóban, a lényeg kimaradt, elnézést.
Wifin kapcsolódó eszközöket szeretnék autentikálni és főként a hálózatbiztonság (vagy annak illúziója
) növelése érdekében.Adott egy ASUS soho router, s annak a konfigurációja közben a WIFI hálózat titkosításának beállításánál szembesültem a WPA2-Enterprise lehetőséggel. Amikor beállítom, felhívja a figyelmemet, hogy egy RADIUS szerverre lesz szüksége, (ip, port jelszó). Ezért gondoltam hadrendbe állítani a Raspberrymet, az talán megfelel kiszolgálónak.
Üdv. core2
-
#23734
Neil Watts
veterán
Neil Watts
veterán
Sziasztok!
Igazából nem tudom, hogy hova rakjam a kérdésem. A radius topik amit találtam itt ~10 éves, RPi topikba nem mertem feltenni a kérdésem mert mondom lehet OFF, hálózatosba ugyancsak nem igazán, Ubuntu/Debian topikban megint nem, mert igazából mindegyikhez tartozik kicsit a kérdés, mégsem rakható egy kimondott kategóriába. Remélem itt jó helyen vagyok.
Foglalkozott itt már valaki közületek RADIUS-szal esetleg?
A következő a felállás. Van egy modemem, abba csatlakozik egy router, ezen lógnak kábelen és wifin eszközök + egy switch amiben újabb eszközök vannak.
Mindenkinek fix IP-t osztok belső hálóra a DHCP szerverrel.
A switch-be be van kötve egy Raspberry Pi 1st gen (256MB ha jól rémlik), erre tervezek egy radius servert rakni. Gondolom ennek a 10/100-as Ethernete nem számít, mert nem minden másodpercben hitelesít a kliensekkel, arra meg elég ez is bőven, igaz?Az OS Raspbian
Az megvan, hogy felpakolom a freeradiust csomagból, de hogyan tovább? Egy épkézláb howtot nem találtam eddig ami - még ha nem is annyira szájbarágósan de értelmesen elmagyarázta volna, hogy mit kell tennem.
Köszönöm!
Üdv. core2
-
#23408
Neil Watts
veterán
Speeedfire
#23407
Neil Watts
veterán
válasz
Speeedfire
#23407
üzenetére
-
#23405
Neil Watts
veterán
zserrbo
#23401
Neil Watts
veterán
válasz
zserrbo
#23401
üzenetére
Szia!
SSL-t csak saját tulajdonban lévő domainre tudsz igényelni ebben az esetben (Mivel sem a duckdns sem pedig a gandi.net nem a tiéd, így értelemszerűen nem).
A Cloudflare rendszere is ad ingyen ssl-t, ott az adott domainhez tartozó webfwlülwten át kell állni a CF nézszervereire és kész. (persze itt is saját domain esetén).
Üdv. core2
-
#8013
Neil Watts
veterán
Major Major
#7995
Neil Watts
veterán
válasz
Major Major
#7995
üzenetére
wine cmd.exe, a 'szokásos' dosos parancsokkal
Koszi!
Új hozzászólás Aktív témák
- Call of Duty: Black Ops 7
- Telekom mobilszolgáltatások
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Formula-1
- Házimozi belépő szinten
- Diablo II: Classic és Resurrected
- MWC 2026: Bajnoki címre pályázik a Xiaomi Watch 5
- Viccrovat
- exHWSW - Értünk mindenhez IS
- Lítium-ion/Li-ion akkumulátorok
- További aktív témák...
- The Elder Scrolls Online Imperial Collector s Edition
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Játékkulcsok ! : PC Steam, EA App, Ubisoft, Windows és egyéb játékok
- Bioshock 2 Special Edition
- Számlás!Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
- Telefon felvásárlás!! Samsung Galaxy A20e/Samsung Galaxy A40/Samsung Galaxy A04s/Samsung Galaxy A03s
- Apple iPhone Xr 64GB piros / ÚJ AKKU/ ÚJ KIJELZŐ / 12 hó jótállás
- DELL LATITUDE 5420 üzleti laptop garanciával 14", i5-11345G7 16gb ram 256ssd FHD
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
- Eladó retro HiFi-k és erösítők/hangfalak
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest