Hirdetés

Keresés

Új hozzászólás Aktív témák

  • Cool Face

    aktív tag

    válasz bencze #23902 üzenetére

    Tudom, kicsit hosszúra nyúlt, így előre is köszönöm annak aki veszi a fáradságot és végigolvassa. :R Ebben a témában kezdő vagyok, de remélem nem írtam túl nagy badarságot.

    Tulajdonképpen 2 szolgáltatást szeretnék Raspberryn futtatni 24/7-be.:

    - SFTP amihez kell az SSH
    - Transmission

    Ismerősöknek és családtagok használnák az SFTP-t és a Transmissiont. Magyarországról és Németorszáról (talán későbbi ip blokkolások miatt még érdekes lehet) Amit szeretnék, hogy 24/7-be biztonságosan mehessen úgy a rendszer, hogy ne azon kelljen aggódnom, hogy na mikor törték fel és vágtak tönkre mindent ami csak a hálón volt.

    Idáig ezeket a beállításokat végeztem el:

    --SSH port csere konfigban
    --Mikrotik rooter konfigolva brute force ellen
    --Root User SSH-jat letiltottam (bár az igazat megvallva nem tudom, hogy ez mire szolgál, SFTP-n és ---PuTTY-n is ugyan úgy azt csinálok amit szeretnék mint korábban, semmilyen jogosultság vált. nem vettem észre..)
    --Telepitettem a unattended-upgrade + apticron és a fail2ban-t
    --Végül egy jó erős jelszót állítottam be. A felh. név maradt.
    --SSH jelszót nem szeretnék kulcsra lecserélni mert akkor macerás lenne nagyon a belépés szerintem.

    Nah és itt jöttek a nehézségek. Kezdjük elsőnek az unattended-upgrade-el:
    Ahogy olvastam 3 konfigurációs fájlt kell beállítani ráadásul ahány verzió frissités annyi módon néz ki a konfig fálj. A /etc/apt/apt.conf.d/50unattended-upgrades a /etc/apt/apt.conf.d/20auto-upgrades és az /etc/apt/apt.conf.d/02periodic. Továbbá szeretném ha e-mailt küldene ha valami oknál fogva nem tud lefutni a frissités.

    Nekem ez van alapból ami úgy néz ki, hogy semmi nincs bekapcsolva.:

    Unattended-Upgrade:: origins-Pattern {
    // Codename based matching:
    // This will follow the migration of a release through different
    // archives (e.g. from testing to stable and later oldstable).
    // "o=Raspbian,n=jessie";

    // Archive or Suite based matching:
    // Note that this will silently match a different release after
    // migration to the specified archive (e.g. testing becomes the
    // new stable).
    // "o=Raspbian,a=stable";

    };

    [...]
    // 'mailx' must be installed. E.g. "user@example.com"
    //Unattended-Upgrade::mail "root";

    // Set this value to "true" to get emails only on errors. Default
    // is to always send a mail if Unattended-Upgrade::Mail is set
    //Unattended-Upgrade::mailOnlyOnError "true";
    [...]

    Az e-mailt, hogy tudom bekonfigurálni?

    A /etc/apt/apt.conf.d/02periodic fájlba pedig ez.

    // Control parameters for cron jobs by /etc/cron.daily/apt //

    // Enable the update/upgrade script (0=disable)
    APT::periodic::enable "1";

    // Do "apt-get update" automatically every n-days (0=disable)
    APT::periodic::update-Package-Lists "1";

    // Do "apt-get upgrade --download-only" every n-days (0=disable)
    APT::periodic::download-Upgradeable-Packages "1";

    // Run the "unattended-upgrade" security upgrade script
    // every n-days (0=disabled)
    // Requires the package "unattended-upgrades" and will write
    // a log in /var/log/unattended-upgrades
    APT:: periodic::unattended-Upgrade "1";

    // Do "apt-get autoclean" every n-days (0=disable)
    APT:: periodic::autocleanInterval "21";

    // Send report mail to root
    // 0: no report (or null string)
    // 1: progress report (actually any string)
    // 2: + command outputs (remove -qq, remove 2>/dev/null, add -d)
    // 3: + trace on
    APT::periodic::verbose "2";

    Ennyi elég az automatikus frissítés beállításához?

    A fail2ban-nál ennyivel egészitettem ki a beállitást:

    [ssh]
    banaction = iptables-allports
    bantime = -1
    maxretry = 5

    Nem tudom, hogy az [ssh-ddos]be kell e kapcsolni, továbbá az [ssh-route] és a [ssh-iptables-ipset4] ahhoz, hogy tárolja is a bannolt ipket újraindítás után is.

    # Destination email address used solely for the interpolations in
    # jail.{conf,local} configuration files.
    destemail = root@localhost

    Kell lenni egy konfigfáljnak ahol a root e-mail címét betudom állítani? Hogyan tudom a transmission-t is implementálni?

    Pár napom már ráment a dologra, de ezzel a részével nem jutok dűlőlőre. Ezek amiről én tudok, hogy be kell állítani isten tudja, hogy mennyi van még amit kihagytam.

Új hozzászólás Aktív témák