Allt från Computex 2023
Forum Mjukvara Linux och övriga operativsystem Tråd

Frågor ang. debian + apache

1
Skriv svar
Permalänk
Medlem

Frågor ang. debian + apache

Hej,
Nyligen installerat Debian och än så länge är allt frid och fröjd. Dock har det kommit ett antal frågetecken jag gärna vill ha svar.

1, för att göra det yttersta för obeböriga att ej kunna logga in via ssh, vad kan man göra då? Jag har stängt av root, men vad mer kan man göra?

2, NTP <-- jag drog hem det via apt-get igår kväll men jag undrar, hur ställer jag in vilken fil den skall synka med?

3, jag kör apache och stör mig på en sak. När jag t.ex surfar in på Loopias servrarar som stödjer Apacha så står det endast följande text ner; "Apache/1.3.34 Server at www.XX.com Port 80". När jag surfar in på min egen och gör något fel får jag följande; "Apache/2.0.54 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5 PHP/4.3.10-16 mod_perl/1.999.21 Perl/v5.8.4 Server at 192.168.1.37 Port 80". Hur förkortar jag texten som Loopias?

Detta är alltså i firefox om du skriver in en sida som ej finns, då får du detta felmeddelande.

4, det som loggas i auth.log, sparas det ner dag för dag eller när en dag är gjorde försvinner det och ersätts med en ny, utan att det tar plats?

Slutgiltigen sista frågan som är; finns det någon form av diskrensing eller vad det kallas, som det finns i Windows, som rensar onödiga tmp-filer osv osv?

Tacksam för samtliga svar!

Redigera
Citera flera Citera
Permalänk
Medlem

1. det yttersta du kan göra är att köra med rsa-nycklar vilka inte går att bruteforca upp på typ en miljon år med världens snabbaste dator.

2. vet ej. jag kör rdate.

3. vet ej. jag kör lighttpd.

4. vet ej. men kör man logrotate så bör det göra det.

5. det är bara att köra en 'rm -Rf /tmp/*' med jämna mellanrum.

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonos
1. det yttersta du kan göra är att köra med rsa-nycklar vilka inte går att bruteforca upp på typ en miljon år med världens snabbaste dator.

2. vet ej. jag kör rdate.

3. vet ej. jag kör lighttpd.

4. vet ej. men kör man logrotate så bör det göra det.

5. det är bara att köra en 'rm -Rf /tmp/*' med jämna mellanrum.

Hur fixar jag alternativ 1 och alternativ 2?

Redigera
Citera flera Citera
Permalänk
Medlem

1. släng in de publika rsa-nycklarna i varje användares ~/.ssh/authorized_keys och konfa sshd.

2. rdate -s ntp.lth.se . men har du redan dragit in ntp så finns det säkert något liknande kommando där. det fanns en tråd här på forumet för ett litet tag sen som tog upp just detta så du kan ju ta en titt på den.

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonos
1. släng in de publika rsa-nycklarna i varje användares ~/.ssh/authorized_keys och konfa sshd.

2. rdate -s ntp.lth.se . men har du redan dragit in ntp så finns det säkert något liknande kommando där. det fanns en tråd här på forumet för ett litet tag sen som tog upp just detta så du kan ju ta en titt på den.

Hur skapar jag en sådan nyckel?

2, hur får jag fram klockan via rdate?

Redigera
Citera flera Citera
Permalänk
Medlem

1. 'ssh-keygen -t rsa' . vill du inte ha något lokalt lösen så tryck bara enter.

2. rdate ställer klockan. vill du se vad klockan är så är det bara 'date' .

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Re: Frågor ang. debian + apache

Citat:

Ursprungligen inskrivet av Kamaja
Hej,
Nyligen installerat Debian och än så länge är allt frid och fröjd. Dock har det kommit ett antal frågetecken jag gärna vill ha svar.

1, för att göra det yttersta för obeböriga att ej kunna logga in via ssh, vad kan man göra då? Jag har stängt av root, men vad mer kan man göra?

Sätt
PasswordAuthentication no
och
ChallengeResponseAuthentication no
och
PubkeyAuthentication yes
i /etc/ssh/sshd_config
läs 'man ssh-keygen' och 'man ssh'
[QUOTE]2, NTP <-- jag drog hem det via apt-get igår kväll men jag undrar, hur ställer jag in vilken fil den skall synka med?[/QUOTE]Fil? om du menar driftfile så heter kommandot så, 'driftfile'. default är /etc/ntp.drift[QUOTE]3, jag kör apache och stör mig på en sak. När jag t.ex surfar in på Loopias servrarar som stödjer Apacha så står det endast följande text ner; "Apache/1.3.34 Server at www.XX.com Port 80". När jag surfar in på min egen och gör något fel får jag följande; "Apache/2.0.54 (Debian GNU/Linux) mod_python/3.1.3 Python/2.3.5 PHP/4.3.10-16 mod_perl/1.999.21 Perl/v5.8.4 Server at 192.168.1.37 Port 80". Hur förkortar jag texten som Loopias?[/QUOTE]Sätt 'ServerTokens Minimal' i confen.[QUOTE]4, det som loggas i auth.log, sparas det ner dag för dag eller när en dag är gjorde försvinner det och ersätts med en ny, utan att det tar plats?[/QUOTE]Det kontrolleras av newsyslog.conf

Visa signatur

I have free will but I choose to oscillate

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonos
1. 'ssh-keygen -t rsa' . vill du inte ha något lokalt lösen så tryck bara enter.

2. rdate ställer klockan. vill du se vad klocan är så är det bara 'date' .

Hur får jag fram klockan då? Krävs det en restart?

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

En ganska intressant grej man kan göra med iptables (genom Shorewall i mitt fall) är att man kan blocka IP-nummer som misslyckats med att logga in via SSH ett visst antal gånger. Jag har det inställt så att man bara har fem försök på sig att logga in, sen blockas man ett bra tag. Det är inte så stor risk att någon skulle lyckas bruteforcea min dator ändå, men framför allt så fylls inte auth.log med massa script-kiddies som testar alla möjliga användare.

Också bra att du gjort så att root inte kan logga in via SSH, det är det kontot som det försöks mest med (ett tips är att istf att specifikt blocka root så kan du specifikt bara tillåta de användare du vill ska kunna logga in via SSH med AllowUsers i sshd_config). Har man dock ett hyfsat lösenord är det inget problem ändå, mest irriterande.

/tmp rensas också som default automatiskt vid uppstart av systemet i debian har jag för mig. Iofs startar man inte om speciellt sällan, men det brukar räcka. Annars ska det inte bildas speciellt många skräpfiler man behöver rensa undan om allt står rätt till.

EDIT: http://deb.riseup.net/networking/firewall/ssh-brute--force-at... - så gör man för att blocka bruteforce-attacker mha Shorewall.

EDIT igen: aargh, skulle skicka detta i pm men det var tydligen för långt. Skriver det här i stället, någon annan kan kanske också ha nytta av det.

Citat:

Ursprungligen inskrivet av mig i ett tänkt PM
Jag kom på att jag glömde ge länken när jag skrev. Jag följde guiden på http://deb.riseup.net/networking/firewall/ssh-brute--force-at..., som är en lite utförligare beskrivning av hur man implementerar det som skrevs på http://blog.blackdown.de/2005/02/18/mitigating-ssh-brute-forc....

Man behöver som sagt Shorewall, finns en guide på hur man får igång det på http://deb.riseup.net/networking/firewall/. Manualen på Shorewalls egen hemsida är också utförlig, men blir ibland lite väl oöverskådlig pga det enorma innehållet. Det som krånglat mest för mig med Shorewall är att den kräver en del moduler i kärnan, men kör du med en stock-kernel (dvs inte kompilerat själv), eller om du kompilerat själv inte meckat för mycket med valen för iptables ska detta inte vara något problem.

Lite snabbt om att installera Shorewall bara (det jag kommer ihåg sen jag gjorde det):
Efter att man kört "apt-get install shorewall" händer inte så mycket. I /usr/share/doc/shorewall/default-config ligger en massa standard-conf-filer som man får kopiera till /etc/shorewall och sen editera efter behag. Kolla i guiden jag länkade till innan vilka filer man behöver och ungefär hur de ska se ut. När man är klar med alla inställningar så går man in i /etc/shorewall/shorewall.conf och sätter STARTUP_ENABLED till "yes", sen kör man "shorewall start" och sen kollar man upp vad alla felmeddelanden man får betyder och så går man genom allt igen

Det som krånglade för mig när jag skulle implementera inloggningsbegränsningen var att jag inte fattade att man skulle skapa två _tomma_ filer som hette "action.Limit" och "action.Whitelist" i /etc/shorewall och sen lägga de filer man laddat ner från hemsidan jag länkade till innan i samma mapp. Annars står det ganska utförligt hur man ska göra.

Rekommenderar även att läsa det som står under "Console logging" på http://deb.riseup.net/networking/firewall/logs/, för det är rent ut sagt jäkligt irriterande att felsöka eller vad som helst när Shorewall öser ut loggmeddelanden i terminalen så att man inte ser någonting och får skriva alla kommandon på känn. Ifall du får samma problem så är det bra att i blindo kunna logga in som root och skriva "pkill klogd" eller nåt liknande.

Senast redigerat
Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem

Re: Re: Frågor ang. debian + apache

Citat:

Ursprungligen inskrivet av Aphex
[B]Sätt
PasswordAuthentication no
och
ChallengeResponseAuthentication no
och
PubkeyAuthentication yes
i /etc/ssh/sshd_config
läs 'man ssh-keygen' och 'man ssh'
[B]Fil? om du menar driftfile så heter kommandot så, 'driftfile'. default är /etc/ntp.drift[B]Sätt 'ServerTokens Minimal' i confen.Det kontrolleras av newsyslog.conf

Vad gör detta egentligen? På vilket sätt blir det säkrare?

Redigera
Citera flera Citera
Permalänk
Medlem

som jag skrev innan så är (vad man vet iaf) rsa-nycklar oknäckbara. dvs, det enda man kan göra är att bruteforca upp de vilket tar en jäkla lång (riktigt lång) tid.

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonos
som jag skrev innan så är (vad man vet iaf) rsa-nycklar oknäckbara. dvs, det enda man kan göra är att bruteforca upp de vilket tar en jäkla lång (riktigt lång) tid.

Har jag fattat detta rätt; när jag gjorde som Aphex sa gör jag så dessa nycklar blir gällande. Nu har jag skapat en nyckel och var även tvungen att skapa en mapp/fil.

Är det så att bara connections från mitt ip kan nu komma in på min eller hur ser det ut? Jag måste fortfarand ange pass, vilket jag också skall göra?

Förklara gärna..

Redigera
Citera flera Citera
Permalänk
Medlem

slår du inget lokalt lösen så behöver du inte slå lösen när du loggar in på servern. dvs 'ssh server.org' så är du inne, utan att slå lösen.

edit: tänk nu på att du inte kan logga in med ditt vanliga lösen ifall du gör som Aphex skrev innan. jag vet inte om du har fysisk tillgång till din server ifall något skulle gå fel.

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av phz
En ganska intressant grej man kan göra med iptables (genom Shorewall i mitt fall) är att man kan blocka IP-nummer som misslyckats med att logga in via SSH ett visst antal gånger. Jag har det inställt så att man bara har fem försök på sig att logga in, sen blockas man ett bra tag. Det är inte så stor risk att någon skulle lyckas bruteforcea min dator ändå, men framför allt så fylls inte auth.log med massa script-kiddies som testar alla möjliga användare.

Också bra att du gjort så att root inte kan logga in via SSH, det är det kontot som det försöks mest med (ett tips är att istf att specifikt blocka root så kan du specifikt bara tillåta de användare du vill ska kunna logga in via SSH med AllowUsers i sshd_config). Har man dock ett hyfsat lösenord är det inget problem ändå, mest irriterande.

/tmp rensas också som default automatiskt vid uppstart av systemet i debian har jag för mig. Iofs startar man inte om speciellt sällan, men det brukar räcka. Annars ska det inte bildas speciellt många skräpfiler man behöver rensa undan om allt står rätt till.

EDIT: http://deb.riseup.net/networking/firewall/ssh-brute--force-at... - så gör man för att blocka bruteforce-attacker mha Shorewall.

EDIT igen: aargh, skulle skicka detta i pm men det var tydligen för långt. Skriver det här i stället, någon annan kan kanske också ha nytta av det.

Asså, är egentligen allt detta nödvändigt? Räcker det inte med att jag har ett säkert user + pass och inaktiverat root-login?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av Kamaja
Asså, är egentligen allt detta nödvändigt? Räcker det inte med att jag har ett säkert user + pass och inaktiverat root-login?

Jo

I praktiken gör det det. Men vill man krångla kan man göra på mitt sätt.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem

Hur ändrar jag så min index sida på webbservern? Som det är nu så blir det apache_default, även fast den mappen är borttagen.

http://kam13.no-ip.info/

Redigera
Citera flera Citera
Permalänk
Medlem

det ändrar du garanterat i apaches konfigurationsfil, iirc så är det /etc/httpd/httpd.conf .

Visa signatur

enlisy Systemd
WS1: X2 4400+ | WS2: X2 4000+ | Laptop: Athlon2 P520 | Server: XP 2400+

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av Kamaja
Hur ändrar jag så min index sida på webbservern? Som det är nu så blir det apache_default, även fast den mappen är borttagen.

http://kam13.no-ip.info/

Den söker väl som default efter nån fil som heter som du angett som DirectoryIndex i httpd.conf i katalogen som du angett som DocumentRoot i samma conf-fil.

Om t ex DocumentRoot är "/www/htdocs" och DirectoryIndex är "index.html index.php" så söker den först efter /www/htdocs/index.html och om den inte finns /www/htdocs/index.php.

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara