Skocz do zawartości

Fizyda

WHT Pro
  • Zawartość

    492
  • Rejestracja

  • Ostatnio

  • Wygrane dni

    7

Wszystko napisane przez Fizyda

  1. Na kontenerze jest br0 tutaj przy poprawianiu źle napisałem, gdybym miał taki błąd to bym w logach miał info . NAT nie konfigurowałem bo robię bridge na razie, a z tego co wiem bridge powinien mi połączyć kontener z już istniejącą siecią 172.27.15.*.
  2. Ja już nie wiem co ja źle robię. Najprostsza konfiguracja Host Bridge (https://www.flockport.com/lxc-networking-guide/) nie działa. Moja konfiguracja: host: /etc/network/interfaces auto lo iface lo inet loopback allow-hotplug eth0 iface eth0 inet dhcp auto br0 iface br0 inet dhcp bridge_ports eth0 bridge_fd 0 bridge_maxwait 0 host: /var/lib/lxc/deb1/config lxc.network.type = veth lxc.network.flags = up lxc.network.link = bro0 lxc.network.name = eth0 lxc.network.hwaddr = 00:FF:AA:00:00:01 Nie wiem po co w linku było lxc.network.link = lxcbr0 Skoro nigdzie takiego urządzenia nie tworzyłem i w artykule również tego nie robiono. Jedyne co działa to ping z hosta do kontenera i odwrotnie, z kontenera nawet nie mogę spingować routera 172.27.15.1 bo hosta nie znaleziono, a o internecie mogę pomarzyć.
  3. Dziś już bardziej trzeźwo. Jakiego typu sieć/połączenie muszę zrobić by kontener był w prywatnej podsieci hosta. Mógł spingować hosta, host kontener oraz by kontener miał dostęp do sieci, ale żeby kontener nie był widoczny z sieci, jedynie host (który jest widoczny).
  4. Dzięki, pierwszy link już widziałem, nie pomógł. Drugi zobaczę jutro bo to za ciężki tekst na taką porę.
  5. Dziś postanowiłem zabrać się w końcu za zaczęcie konfigurowania swojego VPSa o którym pisze na forum i pisze, a mało robię . Na początku chciałem sobie wszystko sprawdzić na wirtualnej maszynie, bo po co płacić mam za serwer który nie będzie używany jak należy . Stworzyłem sobie w Virtual Boxie maszynę o parametrach jakie będzie miał VPS. Nawet taktowanie rdzenia się zgadza . Zaczynam instalację nazwa, domena, partycjonowanie no i mamy problem. Nie byłbym sobą gdybym nie miał tutaj żadnych wątpliwości. Początkowo serwer będzie miał dysk o pojemności 10GB, ale z całą pewnością w przyszłości (zależnie od rozwoju stron i potrzeb) będzie zmiana pakietu na wyższy lub dokupiony drugi serwer i część usług zostanie na niego przeniesionych. Mało istotne to jest z partycjonowaniem, ale w pierwszym przypadku będę może potrzebował rozszerzyć już istniejące partycje, a ta informacja zaraz będzie miała znaczenie. Jeszcze słowem wstępu chciałbym zaznaczyć, że szyfrowanie w moim przypadku nie jest niezbędnym elementem, zdecydowałem się je wprowadzić by od samego początku wyrabiać sobie dobre nawyki i tworzyć względnie bezpieczne serwery. Nie rozpatruję problemu tylko i wyłącznie w kategorii VPS, gdzie nie gdzie uciekam trochę w teoretyczne rozwiązania. Dobra teraz do sedna sprawy, z czym mam problem. Partycja pod punkt montowania /boot jaki powinna mieć rozmiar? Myślałem o 500 MB, ale gdzieś czytałem że wystarczy nawet i 100MB jaki system plików? Przekonany byłem że ext4 z księgowaniem, lecz gdy zapuściłem sobie z ciekawości kreatora to stworzył on ją z ext2 poza partycją dla /boot, chcę mieć jeszcze (może źle się wyraziłem, myślę że przydadzą się): / - 1~2 GB /var - 1 GB /home - reszta może jeszcze /swap pytanie czy jest potrzebna i ewentualnie jaki rozmiar, serwer początkowo będzie miał 2 GB RAM Oczywiście partycje tworzone byłby w takiej kolejności jak opisałem poczynając od początku dysku (z uwzględnieniem /boot). Pytanie czy jest to sensowne i dobrze pomyślane kolejna sprawa, chcę wprowadzić LVMki. O ile naturalnym jest aby montować na nich /var, /home i może /swap by móc elastycznie zwiększyć ich rozmiar np. gdybym musiał dokupić dodatkową pamięć (dysk). Zastanawiam się jednak czy nie dołożyć jeszcze do tego /, a może i /boot. Ostatnie już raczej jest przegięciem, ale warto spytać się jak widzą to osoby z doświadczeniem pora na wspomniane szyfrowanie chcę zaszyfrować pliki poczty, stron WWW, bazy danych - będę chciał skonfigurować wszystko tak by pliki te były trzymane w /home konkretnego użytkownika. Chcę by user1 był jakby kontem w ramach którego mogę podpiąć pod publiczne pliki WWW wybraną lub kilka domen i właśnie jego katalogu domowym znajdowały by się te pliki, zapisywałyby się maile dla userów z jego domen (vhosty postfixa+dovecota i vusers) oraz tutaj też byłby pliki z bazami danych do MySQL. Zdaję sobie sprawę jak to ciężko będzie zrobić i wiem jak to mniej więcej skonfigurować na apche i postfixie+dovecot, z MySQL jeszcze się uczę, ale raczej powinno być to możliwe. Jeśli uznam że np. jest to dla mnie za trudne pliki te wylądują w /www, /mail, /db na LVM i w tedy też te zasoby będę chciał zaszyfrować. czy warto i jaki sens ma szyfrowanie plików konfiguracyjnych systemu? Nie wiem czy szyfrować jeszcze /var i / ogólnie słabo to widzę bo serwer nie wstanie bez wpisania hasła, a raczej chciałbym tego uniknąć. Jeśli chodzi o hasło wyżej to dla uproszczenia uznajmy że będzie ono zapisane na pamięci USB wpiętej do serwera do którego lokalizacja będzie podana w fstab (w serwerze dedykowanym będzie to tak zadziałać?). Wiem w VPS tego się tak nie da zrobić, ale myślę tutaj nie koniecznie tylko o VPS, ale też przyszłościowo. TYLKO Z CIEKAWOŚCI: szyfruje się wszystko włącznie z /boot? jak to zorganizować by mieć jak największą elastyczność, LUKS w LVM czy LVM w LUKS? oczywiście możliwe że pod spotem jest jeszcze jakaś macierz w RAID lub RAID softwarowy, ale nie powinno mieć to znaczenia bo po prostu dodaję macierz do grupy i szyfruję powstałą partycję LVM, ewentualnie szyfruję macierz jak partycję i dodaję do grupy LVM (dobrze rozumiem?) LUKS - rozumiem zaszyfrowanie partycji/dysku załóżmy że system uległ awarii i trzeba dobrać się do danych awaryjnie np przez LiveCD, jak bardzo takie skopiowanie danych utrudnia LVM i LUKS? Znajdzie się ktoś kto oświeci i pomoże takiemu biednemu paranoikowi jak ja . PS. Na serwerze będzie też ftp ProFTPd z vuserami i vhostami.
  6. VPS pod CS:GO i TS3

    Dziś dzwoniłem do ovh w sprawie tej ochrony. Konsultant potwierdził to że zarówno w SSD jak i CLOUD jest to anty-ddos pro.
  7. Potrzebuję małej pomocy, nie mogę ogarnąć w jaki sposób należy zainstalować jakąś aplikację w kontenerze LXC. Ogarniam temat LXC od kilku dni i już rozumiem o co chodzi jak się je tworzy, zarządza, konfiguruje itp. lecz jak na razie mam puste kontenery bez niczego. Nie mogę znaleźć informacji, ani przykładu jak np. do kontenera wrzucić jakąś aplikację czy usługę by w nim działa. Należy np apache2 zainstalować na host'cie i uruchomić go przez lxc-attach na wybranym kontenerze? Może instalować przez chroot /srv/lib/lxc/kontener/rootfs (mogłem pomylić ścieżkę, piszę z głowy)? I dalej skonfigurować usługę już na kontenerze LXC tak by startowała wraz z nim? Oczywiście w obu przypadkach start kontenera ze startem hosta. Początkowo myślałem że normalnie loguję się do LXC przez lxc-console i instaluję co potrzebuję apt-get'em, ale cały czas miałem problem z niemożliwością instalacji ze ze względu na (chyba) uprawnień. Nawet nie mógł pobrać plików. Oczywiście apache to tylko przykład. Niestety wszędzie są tylko informacje o tym jak należy tworzyć i instalować lxc, ale nigdzie nie ma praktycznego przykładu z instalacją czegoś na nim. Ogólnie nie wiem czemu kontener lxc jest bardzo ubogi jeśli chodzi o podstawowe aplikacje bo brak u mnie takich rzeczy jak choćby less.
  8. Faktycznie mój błąd zapomniałem skonfigurować sieć . Ale ze mnie noob .
  9. VPS pod CS:GO i TS3

    Wejdź sobie tutaj: https://www.ovh.pl/vps/ na dole masz napisane I jest wśród nich Opcja Anty-DDos PRO gdy wybierzesz ssd i cloud w obu przypadkach masz napisane Dla mnie oznacza to że mają tą samą ochronę, i oba mają Pro albo żaden. Teraz czekam na informację z Twojej strony po czym wnioskujesz, że jest inaczej. Ja się nie chcę spierać tylko dowiedzieć jak jest faktycznie bo miałem wybrać SSD, ale jeśli jest jak piszesz wybiorę CLOUD. Ja uważam że w obu przypadkach jest ta sama ochrona - powód dlaczego tak uważam masz wyżej. PS. W poniedziałek chyba zadzwonię do OVH wypytać się dokładnie, bo chyba są jakieś rozbieżności na ich stronie względem faktycznej oferty.
  10. VPS pod CS:GO i TS3

    Przecież VPS SSD są objęte anty ddos pro. Nie wiem skąd ciągle pojawia się informacja że jest inaczej skoro jest to napisane na stronie ovh.
  11. VPS pod CS:GO i TS3

    Jak to powiedział kiedyś pewien pingwin "Spodziewaj się niespodziewanego" . Myślę że nikt nie stawia żadnego serwera z myślą że będą ataki w 100%, albo ich nie będzie. Trzeba być przygotowanym na wszystko, zarówno na ich brak jak i nie tylko ataki ddos, ale inne również .
  12. VPS pod CS:GO i TS3

    Może jestem głupi, ale uważam że vpsy nie nadają się pod serwery gier. Zresztą zobacz sobie ile kosztuje kupno serwera do danej gry, a ile sam VPS, o ile na VPS możesz postawić więcej niż np kupując serwer konkretnej gry bo w drugim przypadku skazany jesteś tylko na tą jedną grę to mimo tego zawsze serwer gry wychodzi drożej bo stoi na dedyku.
  13. Za te pieniądze wolałbym vps w ovh + polski adres IP, wyjdzie nawet taniej, albo to samo ale za lepszą konfigurację.
  14. Chciałbym się dowiedzieć od Mistrzów Linuxa którzy są na tym forum czy mechanizmy typu Aide są to kolejne elementy które zwiększają bezpieczeństwo serwera czy po prostu jest to marnotrawstwo zasobów i czasu?
  15. Cześć, dziś kolejna część mojego męczenia Was na temat serwera. Dziś chciałem się dowiedzieć jak skonfigurować iptables by zabezpieczyć serwer. Jak to w moim przypadku bywa przychodzę z pomysłem, bo w gości nie wypada przychodzić z pustymi rękoma i mam nadzieję że Archi poskromi moje paranoiczne myśli, ewentualnie przyzna im słuszność . Dla osób które nie znają moich poprzednich tematów w których pytam jak coś zrobić napiszę na wstępie, że nie chcę wiedzieć jakimi komendami czy programem się co konfiguruje bo to wiem, ja pytam o aspekt praktyczny, czyli co jak się mniej więcej ustawia w praktyce. W moim przypadku serwer będzie miał 2 adresy IP czyli jeśli dobrze rozumiem interfejsy. Serwer w OVH więc jedno IP będzie przydzielone na stałe, drugie dokupuję PL. Jeśli dobrze wszystko rozumiem to mogę ustawiać iptables dla dwóch różnych interfejsów niezależnie. Plan mam taki by domyślnie ustawić DROP dla INPUT i OUTPUT. Na eth0 (domyślny IP) otworzyć tylko porty (dla mnie - admina) dla SSH. Na INPUT otwieram ten co ustawiam w sshd-config, a dla OUTPUT? Próbowałem ten sam, ale coś nie poszło, dziś domyślam się że może to być 22 (domyślny), ale nie mam siły tego dziś już sprawdzać zezwolić na użycie komendy PING do serwera bym mógł sprawdzić czy maszyna żyje, może jeszcze by serwer mógł też pingować inne maszyny, może przydać się w przypadku sprawdzania czegoś - innego zastosowania nie widzę Na eth1 (Polski IP)otworzyć porty dla usług takich jak DNS, WWW, FTP, Mail, TS3 - dla IN/OUT te same reguły, o ile można tak powiedzieć Jeśli okazałoby się że pomimo 2 adresów IP mam jeden interfejs sieciowy to w tedy wszystko ustawiłbym na jednym. Mam nadzieję że tak nie będzie bo chciałbym to tak odseparować. Powodem czemu tak to wymyśliłem jest jak mi się wydaje ukrycie tylko dla mnie prawdziwego adresu IP serwera, więc ktoś kto będzie chciał celowo włamać się na konkretnie mój serwer przy pomocy SSH będzie miał zadanie utrudnione bo zwyczajnie na tym adresie nie będzie możliwości zalogowania się na SSH. Mam też kilka pytań w kwestiach których nie jestem pewny: Tabela iptables FORWARD nie ma zastosowania w przypadków serwerów takich jak mój, ma zastosowanie tylko w przypadku routingu? Nie ma sensu wyłączyć możliwości logowania po SSH przy pomocy login/hasło, bo w przypadku utraty klucza mamy utrudniony dostęp do serwera. Czy może po wygenerowaniu klucza warto wyłączyć taką możliwość?
  16. Nie wiem czy dobrze rozumiem konfigurację CSFa w przypadku różnych reguł dla kilku interfejsów. 1. w csf.conf ustawiam ogólne ustawienia całej usługi + wspólne dla wszystkich interfejsów reguły otwartych/zamkniętych portów 2. w csf.allow oraz csf.deny mogę ustalić reguły dla konkretnych adresów IP - które są przypisane do różnych interfejsów np. tcp|out|d=22|d=11.22.33.44 tcp|in|d=22|d=11.22.33.44 ustawię tylko dla adresu 11.22.33.44 otwarty port 22? Jeszcze tej konfiguracji nie testowałem w boju, ale z opisu w readme wynika że powinno to zadziałać. Pytanie jest czy robię to dobrze czy na około. Kolejna sprawa to czy jest możliwość ustawienia tego dla interfejsu przez podanie jego nazwy czy tylko przez adres ip.
  17. Na VPS musisz skonfigurować sobie tabele NAT w iptables. Tutaj masz opisany przykład: https://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/
  18. Moim zdaniem serwer cs:go odpada. Tutaj mają znaczenie pingi a wzrosną co najmniej o 50%.
  19. Nie lepiej przejść na dedyka z anty ddos? Ukrycie go za VPS niewiele Ci da, jak VPS zostanie ubity to usługi też padną, więc korzyści z tego żadnych, a dodatkowo musisz pilnować dwóch serwerów oraz zwiększasz tak naprawdę czas odpowiedzi serwera ze względu na opóźnienia spowodowane przekierowywaniem ruchu przez VPS. Dla niektórych usług będzie miało to znaczenie. Dedyka i tak musisz zmienić, a przynajmniej adres IP. Więc osobiście zmieniłbym firmę hostingową na taką która oferuje anty ddos. Tylko pamiętaj takie zabezpieczenie nie dają 100% pewności że serwer nie padnie. Nie da się w 100% zabezpieczyć przed DDoS, jedyne skuteczne zabezpieczenie to odpięcie wtyczki od internetu, ewentualnie praca tylko w sieci lokalnej w pełni kontrolowanej przez nas.
  20. OVH czy webh?

    SSD też mają w pakiecie anty ddos. Ogólnie różnica jest zasadnicza, webh nie mają ochrony przeciw DDoS, a OVH już tak. Wiem bo sam pytałem i z tego właśnie powodu będę brał OVH.
  21. Dobra jedna bestia poskromiona, CSF wygląda naprawdę ciekawie, ale ogrom możliwości konfiguracyjnych jest przytłaczający. Z początku nie chciał działać i współpracować. Dla potomnych: Problem z znikaniem (czyszczeniem) iptables był ze względu na włączoną opcję TESTING przez to po czasie ustawionym w TESTING_INTERVAL czyszczony był iptables i ustawiana polityka na ACCEPT. Drugi problem jaki miałem to niedziałające blokowanie ICMP (ping) oraz otwierania zamykania portów, tutaj problem był w LF_SPI = "1" po ustawieniu na 0 mamy statyczny itables a nie dynamiczny i tracimy jakieś funkcjonalności powodem jest coś tam w krenelu a konkretnie to brak czegoś. Pytanie czy jeśli ustawiam LF_SPI = "0" to jest sens korzystania z CSF, drugie pytanie to jak ustawiać w tym różne reguły dla różnych interfejsów. Jedyne co znalazłem to możliwość wybrania na jakich interfejsach ma działać, a nie widzę nigdzie np otworzenia portu 80 na eth0, a 22 na eth1. PS. Nie mogłem edytować poprzedniego postu, może to i nawet lepiej trochę czasu minęło a dodatkowo poprzednie się trochę zdezaktualizował i sam sobie już odpowiadam na część pytań.
  22. Czytam, czytam i coraz bardziej załamany jestem. Wiem jedno nie jestem w chwili obecnej zastosować wszystkich rad z tematu Archiego dlatego na razie nie zajmuję się jajkiem bo nawet nie wiem czy na moim VPS będę miał taką możliwość. Poza tym nie czuję się w chwili obecnej na siłach na tyle doświadczony by to ogarnąć. Nie bardzo rozumiem czym jest CSF, portsentry i fail2ban, jak to działa, czym to jest i jak tego używać? Początkowo myślałem że pierwsze dwa to tylko taka "nakładka" na iptables, ale teraz mam wrażenie jakby to były osobne firewalle. F2B myślałem że tylko dodaje do iptables adresy IP z których jest wykonanych X błędnych prób logowań po ssh. Po temacie który dał Archi już sam nie wiem . Zainstalowałem portsentry i nic mi to nie zmieniło w iptables, niby zablokowałem TCP i UDP w configu, ale nie wiem jak ten program ma mi pomóc. CSF jakoś w bardziej "widoczny" sposób działa bo zawalił nieźle iptables ... większość portów nawet nie wiem po co jest otwarta, jedyne co w sumie zmieniłem to w configu testing wyłączyłem. Plik konfiguracyjny jest naprawdę zacny. EDIT: Nic już z tego nie rozumiem, nagle (nic nie zrobiłem) zniknęły wpisy z iptables i dalej jest jak po instalacji systemu.
  23. Naprawdę wszystko? HTTP(S), FTP, DNS (chyba się nawet nie da), Mail ustawić na customowe porty? W takim wypadku będę musiał poustawiać rekordy SRV dla wszystkich domen, efekt będzie taki że informacje na jakich portach działają te usługi i tak będą dostępne publicznie, a tylko jest dodatkowa praca z SRV. Osobiście myślałem że tego typu usługi zostawia się na standardowych portach.
  24. Dziś już trochę się bawiłem, ustawiłem IN i OUT na DROP odblokowałem na IN port który mam ustawiony na SSH (zmieniony) i nie dało rady się połączyć przez Putty z serwerem. odblokowałem ten sam port na OUT i było bez zmian. Więc chyba nie pójdzie SSH z dropem na in/out i otwarciem portu na IN. Na razie nie chcę się bawić w takie ograniczenia jak geolokalizacja logoowania po SSH, na razie chcę uszczelnić serwer i zastosować podstawowe zabezpieczenia. Z bardziej wyrafinowanymi będę się bawił później , już i tak dostatecznie długo przeciągam wykupienie tego VPS i uruchomienie usług które potrzebne mi są od miesiąca . Tylko po prostu nie lubię robić czegoś po łebkach, dodatkowo mam na uwadze to, że jedna ze stron ma być adresowana do "specyficznej" grupy która szybko zweryfikuje podstawowe zabezpieczenia.
  25. Debian - partycjonowanie

    Teraz już wszystko jasne i wiem co mam robić. Jeszcze raz dzięki Archi wesołego jajka i mokrego dyngusa.
×