GeoIP szűrés Iptables tűzfalon

Akármit teszel a szerveredet támadni fogják. A támadásokat robot hadseregek tömkelege automatikusan csinálja. Ha megfigyeled a logjaidat, akkor azt tapasztalhatod, hogy bizonyos országok felől igencsak gyakoribbak a támadások, mint más országokból. Sőt! A támadások 90 %-a csak egy-két országból indul. Ez a cikk arról szól, hogy hogyan tilts le bizonyos országokból érkező kapcsolatokat a tűzfalad segítségével. Ez a cikk Ubuntu 12.04 LTS szerver konfigurációra vonatkozik.

Bővebben: GeoIP szűrés Iptables tűzfalon

IPv6 kapcsolatok tiltása

Véded a szerveredet a külső támadásoktól? Hát persze. Készítettél egy jó kis Iptables tűzfalat? Minden bizonnyal. Akkor már minden rendben van igaz? Biztos? Nem biztos! Ugyanis lehet, hogy nem gondoltál az IPv6 kapcsolatokra. Ez a cikk azoknak szól, akik nem ismerik az IPv6 tűzfalat. Red Hat 6 és Ubuntu 12.04 LTS szerverekről lesz most szó.

Bővebben: IPv6 kapcsolatok tiltása

Linuxos gép mentése és klónozása LVM Snapshot használatával

A napi informatikai üzemeltetési feladatok egyik leghangsúlyosabb része a mentések elkészítése. Ha van mentésed, akkor biztonságban vagy. Legalábbis azt hiszed, mert csak akkor vagy biztonságban, ha a mentésedből vissza is tudsz állítani. Az a mentés amiből sosem készítettél helyreállítási tesztet, az egy fabatkát sem ér. Fájlokról, adatokról viszonylag egyszerű mentést készíteni. Kicsit leegyszerűsítve csak annyi a feladat, hogy valamilyen módon készítesz egy másolatot az adatokról és azokat jól elrakod valami biztos helyre és már kész is vagy. De mi a helyzet egy éles rendszerrel? Mi van akkor amikor egy futó rendszerről kell olyan mentést készítened, amit bármikor vissza tudsz állítani egy szűz vasra? Vagy mi van akkor, ha klónoznod kell egy gépet? Urambocsá' virtualizálni kell egy fizikai vasat. Vagy fordítva. Egy virtuálgépből kell fizikai vasra migrálni egy rendszert. Ebben a cikkben ezekre a problémákra mutatok egy lehetséges megoldást.

Bővebben: Linuxos gép mentése és klónozása LVM Snapshot használatával

SSH trükkök

Úgy gondoltam sokak okulására szolgálhat, ha összeszedek pár trükköt az SSH használatáról. Tudom sok helyen találni a témáról információt, ezért azokat a parancsokat szedem össze egy csokorba amiket napi munkám során leggyakrabban használok.

Bővebben: SSH trükkök

Dinamikus DNS DDClient programmal

Dinamikus DNS használata DDClient programmal

A legtöbb szolgáltató nem fix IP címet ad, hanem dinamikusat. Ez azt jelenti, hogy időről időre megváltozik az IP címed. Hogy el tudd érni a gépedet távolról, ahhoz meg kellene a fix IP cím. Vagy legalábbis ismerni kéne, hogy mi éppen az aktuális IP címed amin eléred az otthoni gépedet. Persze vehetsz FIX IP címes üzleti előfizetést is, ha akarsz. Hát én nem fogok. :) 

Bővebben: Dinamikus DNS DDClient programmal

SSL tanúsítvány ingyen

Let's Encrypt ingyenes tanúsítvány Certbot használatával

Ha készítettél egy CentOS 8 web szervert és nincs rá érvényes tanúsítványod, akkor ha https-en keresztül nyitod meg az oldaladat, akkor a böngésző figyelmeztetni fog, hogy nem biztonságos oldalt nézel meg. Ha nem akarsz tanúsítványt vásárolni, de szeretnél érvényes tanúsítványt használni, akkor ez a leírás pont neked szól.

A web szerver telepítése után általában egy önaláírt tanúsítványt használsz. Sajnos ez nem elég ahhoz, hogy ne riogassa a böngésző a látogatóidat. A Let's Encrypt megoldásával nem üzleti felhasználásra ingyenesen készíthetsz érvényes tanúsítványt. Doksikat, leírást itt találsz az alábbi linkeken:

https://letsencrypt.org/

https://certbot.eff.org/

A Certbot program automatikusan megcsinálja és telepíti a tanúsítványokat. Hátránya, hogy 3 havonta meg kell újítani. Előnye, hogy a megújítást cron-ból meg lehet oldani.

Tehát CentOS 8 rendszeren és Apache web szerver esetén a megoldás így néz ki.

sudo su # root konzol
dnf install mod_ssl openssl # Install httpd ssl modul és openssl
dnf install python3-certbot # Install szükséges python komponens
cd /tmp # Átváltunk a /tmp-re
wget https://dl.eff.org/certbot-auto # Le kell tölteni a certbot-auto programot a tanúsítvány megújításához
mv certbot-auto /usr/local/bin/certbot-auto # Megfelelő helyre másoljuk
chown root. /usr/local/bin/certbot-auto # Átadjuk a root-nak
chmod 0755 /usr/local/bin/certbot-auto # Jogot állítunk

Ha az Apache konfig megfelelő, akkor a meglévő http konfigurációkra automatikusan elkészíti az alap http konfigot. A tanúsítványokat is elpakolja magának. Nagyon egyszerű az egész. Kivéve, ha előre elkészített Apache configod van. Előfordulhat, hogy hibaüzenettel elszáll a program. Azonban beszédesen leírja, hogy melyik konfiggal van problémája és akkor lehet reszelgetni amíg le nem fut. Az automatikus megújításhoz úgyis olyan programra van szükséged amit meg tud kajálni a certbot

certbot-auto --apache

Ha minden oké, akkor indítsuk újra a web szervert parancsot

systemctl restart httpd

A tanúsítvány megújítás tesztelése a következő paranccsal lehetséges:

certbot-auto renew --dry-run

 A tanúsítvány megújítása a következő paranccsal lehetséges:

certbot-auto renew

A cron job valahogy így néz ki. Elég hetente ellenőrizni, ugyanis nem fogja a tanúsítványt megújítani, ha még legalább 3 hétig érvénye a tanúsítvány.

1 0 * * 7 root /usr/local/bin/certbot-auto renew --post-hook "systemctl restart httpd"

Raid építése utólag

Bemutatom, hogy hogyan lehet Ubuntu 12.04 LTS szerveren kicserélni egy merevlemezt és az új lemezekre hogyan lehet utólag létrehozni RAID 1 tömböt, ha a szerver már rendelkezik LVM kötetekkel.

Bővebben: Raid építése utólag