Dodawanie kolejnych adresów ip

Adresy IP można dodawać do dowolnego interfejsu sieciowego, ale można zrobić to tymczasowo lub na stałe

Tymczasowo:

# ifconfig <interfejs>:0 <ip> netmask <maska sieci> up
# przykład:
ifconfig eth0:0 192.168.0.23 netmask 255.255.255.0 up

# or 
# ip address add <ip>/<maska sieci> dev <interfejs>
ip address add 192.168.0.23/24 dev eth0

# ifconfig <interfejs>:0 <ip> netmask <maska sieci> up

# przykład:

ifconfig eth0:0 192.168.0.23 netmask 255.255.255.0 up

# or

# ip address add <ip>/<maska sieci> dev <interfejs>

ip address add 192.168.0.23/24 dev eth0

Na stałe:

#edit /etc/network/interfaces
# auto <interfejs>:<liczba>
# iface <interfejs>:<liczba> inet static
# address <ip>
# gateway <ip bramy>
# netmask <maska sieci>
# przykład:

auto eth0:1
iface eth0:1 inet static
address 192.168.0.23
gateway 192.168.0.1
netmask 255.255.255.0

#edit /etc/network/interfaces

# auto <interfejs>:<liczba>

# iface <interfejs>:<liczba> inet static

# address <ip>

# gateway <ip bramy>

# netmask <maska sieci>

# przykład:

auto eth0:1

iface eth0:1 inet static

address 192.168.0.23

gateway 192.168.0.1

netmask 255.255.255.0

Uruchomienie bezpiecznej usługi DDNS na serwerze BIND

Jeżeli nie posiadasz statycznego adresu IP w domu, a potrzebujesz dostęp do nich stały dostęp w łatwy sposób możesz osiągnać swój cel posiadając serwer DNS.

Po stronie klienta generujemy klucze:

# zastąp keyname dowolną nazwą
dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

1 2	# zastąp keyname dowolną nazwą dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

Spowoduje to utworzenie plików Kkeyname.***.key i Kkeyname.***.private, z pliku*.private należy skopiować klucz, który będzie wyglądać podobny:

Key: pRP5FapFoJ95JEL06sv4PQ==

1	Key: pRP5FapFoJ95JEL06sv4PQ==

Po stronie serwera, należy wyedytować plik konfiguracyjny BIND (np. named.conf or named.conf.local) i dodać:

key "keyname." {
  algorithm hmac-md5;
  secret "pRP5FapFoJ95JEL06sv4PQ==";
};

key "keyname." {

algorithm hmac-md5;

secret "pRP5FapFoJ95JEL06sv4PQ==";

};

Następnie zezwalamy na aktualizację stref poprzez dodanie do pliku konfiguracyjnego strefy wpis dotyczący allow-update:

zone "example.com" {
  type master;
  file "master/db.example.com";
  allow-update { key "keyname."; };
};

zone "example.com" {

type master;

file "master/db.example.com";

allow-update { key "keyname."; };

};

Na koniec restartujemy usługę BIND.

Po stronie klienta potrzebujemy czegoś co będzie w stanie wysyłać prośby o aktualizację wpisu dns (np. nsupdate). Poniżej przykładowany scrypt. Należy pamiętać o edycji KEY oraz SERVER

#!/bin/bash
# Script to update DNS zones on a remote server
# Copyright © 2005-2007 - Julien Valroff <julien@kirya.net>
# Parts of the script Copyright © 2001-2002 - Dag Wieers <dag@wieers.com>
 
KEY="/root/Kkeyname.+157+29630.private"
SERVER="ns.domain.com"
LOGFILE="/var/log/syslog"
PPP_IFACE="ppp0"
 
if [ "$PPP_LOCAL" != '' ]; then
   if [ "$PPP_IFACE" != "$PPP_IFACE" ]; then
      echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: ABORTED: Not updating dynamic IP \
        address $PPP_LOCAL (already done for $(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }'))" >>$LOGFILE 2>&1
      exit 0
   fi
   IPADDR=$PPP_LOCAL
   sleep 3
else
   IPADDR=$(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }')
fi
 
(
cat <<EOF | nsupdate -k "$KEY"
server $SERVER
zone example.com
update delete example.com. A
update add example.com. 60 A $IPADDR
update delete mail.example.com. A
update add mail.example.com. 60 A $IPADDR
send
EOF
 
  RC=$?
 
  if [ $RC != 0 ]; then
    echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: FAILURE: Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"
    (
        echo "Subject: DDNS update failed"
        echo
        echo "Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"
    ) | /usr/sbin/sendmail root
  else
    echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: SUCCESS: Updating dynamic IP $IPADDR on $SERVER succeeded"
  fi
) >>$LOGFILE 2>&1
 
exit $RC

#!/bin/bash

# Script to update DNS zones on a remote server

KEY="/root/Kkeyname.+157+29630.private"

SERVER="ns.domain.com"

LOGFILE="/var/log/syslog"

PPP_IFACE="ppp0"

if [ "$PPP_LOCAL" != '' ]; then

if [ "$PPP_IFACE" != "$PPP_IFACE" ]; then

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: ABORTED: Not updating dynamic IP \

address $PPP_LOCAL (already done for $(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }'))" >>$LOGFILE 2>&1

exit 0

IPADDR=$PPP_LOCAL

sleep 3

else

IPADDR=$(ip addr show $PPP_IFACE | awk '/inet/ { print $2 }')

(

cat <<EOF | nsupdate -k "$KEY"

server $SERVER

zone example.com

update delete example.com. A

update add example.com. 60 A $IPADDR

update delete mail.example.com. A

update add mail.example.com. 60 A $IPADDR

send

EOF

RC=$?

if [ $RC != 0 ]; then

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: FAILURE: Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"

(

echo "Subject: DDNS update failed"

echo

echo "Updating dynamic IP $IPADDR on $SERVER failed (RC=$RC)"

) | /usr/sbin/sendmail root

else

echo "$(LANG=C date +'%b %e %X') $(hostname) ddupdate[$$]: SUCCESS: Updating dynamic IP $IPADDR on $SERVER succeeded"

) >>$LOGFILE 2>&1

exit $RC

Konfiguracja VPN poprzez PPTP

W przeszłości pojawił sie post Własny serwer VPN (OpenVPN), który daje nam wyższy poziom bezpieczeństwa niż PPTP może nam zaoferować.

Po co w takim razie stosować PPTP? Ponieważ, jest on szybszy i zużywa mniej zasobów (procesor) niż OpenVPN. Dzięki temu możesz zadecydować, które rozwiązanie spełni twoje oczekiwania w danej sytuacji. Dodatkowym atutem PPTP jest to że wiele urządzeń/systemów wspiera go natywnie.

Instalacja:

apt-get install pptpd

1	apt-get install pptpd

#edycja /etc/pptpd.conf
localip 10.0.0.1
remoteip 10.0.0.100-200

#edycja /etc/ppp/chap-secrets
# client     server    secret      IP address
client1      pptpd     password123 *
client2      pptpd     password2   *

#edycja /etc/ppp/pptpd-options
ms-dns 8.8.8.8
ms-dns 8.8.4.4

#edycja /etc/pptpd.conf

localip 10.0.0.1

remoteip 10.0.0.100-200

#edycja /etc/ppp/chap-secrets

# client server secret IP address

client1 pptpd password123 *

client2 pptpd password2 *

#edycja /etc/ppp/pptpd-options

ms-dns 8.8.8.8

ms-dns 8.8.4.4

zrestartujmy usługę:

service pptpd restart

1	service pptpd restart

sprzewdźmy czy pptp nasługuje na porcie 1723:

netstat -alpn | grep :1723

1	netstat -alpn \| grep :1723

ustawmy parametry związane z siecią:

#edycja /etc/sysctl.conf 
net.ipv4.ip_forward = 1

1 2	#edycja /etc/sysctl.conf net.ipv4.ip_forward = 1

w konsoli:

sysctl -p
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save

# jeżeli chcesz wyłączyć izolację klientów:
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

sysctl -p

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-save

# jeżeli chcesz wyłączyć izolację klientów:

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE

iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT

iptables --append FORWARD --in-interface eth0 -j ACCEPT

To wszytko po stronie serwera.

Konfiguracja klienta:

apt-get install pptp
# dodaj wymagany moduł kernela
modprobe ppp_mppe

apt-get install pptp

# dodaj wymagany moduł kernela

modprobe ppp_mppe

Stwórzmy plik konfiguracyjny:

touch /etc/ppp/peers/pptpserver
#edycja /etc/ppp/peers/pptpserver
pty "pptp server_ip_address --nolaunchpppd"
name client1
password password123
remotename PPTP
require-mppe-128

touch /etc/ppp/peers/pptpserver

#edycja /etc/ppp/peers/pptpserver

pty "pptp server_ip_address --nolaunchpppd"

name client1

password password123

remotename PPTP

require-mppe-128

Możemy nawiązać połączenie z serwerem ( używając nazwy pliku konfiguracyjnego – pptpserver):

pppd call pptpserver

1	pppd call pptpserver

ip route add 10.0.0.0/8 dev ppp0

1	ip route add 10.0.0.0/8 dev ppp0

Jak wyłączyć dodatkową telemetrię z Mozilla Firefox

Na wstępie dodam, że nie powinniśmy być takimi paranoikami jeżeli chodzi o telemetrię, którą zbiera Mozilla, gdyż duża jej część nie narusza naszej prywatności. Jednak znajdzie się taka grupa, która będzie chciałą ją wyłączyć dla zasady lub by zwiększyć delikatnie wydajność Firefox-a.

Należy wejść do ustawień wewnętrznych przeglądarki poprzez wpisanie about:config w pasku adresu i ustawić poniższe zmienne jako false poprzez podwójne kliknięcie na wartość

browser.newtabpage.activity-stream.feeds.telemetry
browser.newtabpage.activity-stream.telemetry
browser.ping-centre.telemetry
toolkit.telemetry.archive.enabled
toolkit.telemetry.bhrPing.enabled
toolkit.telemetry.enabled
toolkit.telemetry.firstShutdownPing.enabled
toolkit.telemetry.newProfilePing.enabled
toolkit.telemetry.reportingpolicy.firstRun
toolkit.telemetry.shutdownPingSender.enabled
toolkit.telemetry.unified
toolkit.telemetry.updatePing.enabled
experiments.activeExperiment
experiments.enabled
experiments.supported
network.allow-experiments

browser.newtabpage.activity-stream.feeds.telemetry

browser.newtabpage.activity-stream.telemetry

browser.ping-centre.telemetry

toolkit.telemetry.archive.enabled

toolkit.telemetry.bhrPing.enabled

toolkit.telemetry.enabled

toolkit.telemetry.firstShutdownPing.enabled

toolkit.telemetry.newProfilePing.enabled

toolkit.telemetry.reportingpolicy.firstRun

toolkit.telemetry.shutdownPingSender.enabled

toolkit.telemetry.unified

toolkit.telemetry.updatePing.enabled

experiments.activeExperiment

experiments.enabled

experiments.supported

network.allow-experiments

Nie zalecałbym tych zmian w jakiejkolwiek testowej wersji Firefox-a, gdyż ten bazuje na informacji zwrotne by cały czas udoskonalać przeglądarkę.

Własny serwer VPN (OpenVPN)

Dostawca internetu zbiera informacje o tym co robisz w internecie ? (Operatorzy GSM)

Chcesz mieć dostęp do sieci domowej w sposób bezpieczny ?

Virtual Private Network, czyli VPN to rozwiązanie dla Ciebie !

1.Instalacja

apt-get install openvpn easy-rsa

1	apt-get install openvpn easy-rsa

2.Konfiguracja serwera openvpn

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf 
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

keepalive 10 120

cipher AES-256-CBC

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

3.Zmiany w systemie

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf
net.ipv4.ip_forward=1

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf

net.ipv4.ip_forward=1

4.Instalacja i konfiguracja nakładki ułatwiającej zarządzanie iptables (firewall)

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
*filter

ufw enable
ufw status | grep '1194/udp'

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules

# rules.before

# Rules that should be run before the ufw command line added rules. Custom

# rules should be added to one of these chains:

# ufw-before-input

# ufw-before-output

# ufw-before-forward

# START OPENVPN RULES

# NAT table rules

*nat

:POSTROUTING ACCEPT [0:0]

# Allow traffic from OpenVPN client to eth0

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE

COMMIT

# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors

*filter

ufw enable

ufw status | grep '1194/udp'

5.Generowanie CA, certyfikatu i klucza serwera

cp -r /usr/share/easy-rsa/ /etc/openvpn 
mkdir /etc/openvpn/easy-rsa/keys 

#edytuj /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="KRAJ"
export KEY_PROVINCE="WOJEWODZTWO"
export KEY_CITY="Miasto"
export KEY_ORG="Nazwa organizacji/firmy"
export KEY_EMAIL="email@"
export KEY_OU="Nazwa jednostki"
# X509 Subject Field (nazwa klucza)
export KEY_NAME="server"

openssl dhparam -out /etc/openvpn/dh2048.pem 2048 

cd /etc/openvpn/easy-rsa 
. ./vars
./clean-all
./build-ca

cp -r /usr/share/easy-rsa/ /etc/openvpn

mkdir /etc/openvpn/easy-rsa/keys

#edytuj /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY="KRAJ"

export KEY_PROVINCE="WOJEWODZTWO"

export KEY_CITY="Miasto"

export KEY_ORG="Nazwa organizacji/firmy"

export KEY_EMAIL="email@"

export KEY_OU="Nazwa jednostki"

# X509 Subject Field (nazwa klucza)

export KEY_NAME="server"

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all

./build-ca

Mamy już przygotowane środowisko do generowania i podpisywania certyfikatów dzięki certyfikatowi CA (Certificate Authority).

Teraz czas na pozostałe certyfikaty

cd /etc/openvpn/easy-rsa
./build-key-server server 
# hasło i 'company name' pozostawmy puste 
Sign the certificate?
Y

cd /etc/openvpn/easy-rsa

./build-key-server server

# hasło i 'company name' pozostawmy puste

Sign the certificate?

Wygenerowaliśmy certyfikat i klucz dla serwera, przenieśmy je:

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

1	cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

I sprawdźmy czy serwer się uruchamia:

service openvpn start
service openvpn status

1 2	service openvpn start service openvpn status

6.Generowanie certyfikatu i klucza dla klienta:

cd /etc/openvpn/easy-rsa
./build-key klient1 
# hasło i 'company name' pozostawiamy puste
Sign the certificate? Y

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/klient.ovpn 
#edytujemy /etc/openvpn/easy-rsa/keys/klient.ovpn 
client
dev tun
proto udp
remote ip_serwera 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3

cd /etc/openvpn/easy-rsa

./build-key klient1

# hasło i 'company name' pozostawiamy puste

Sign the certificate? Y

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/klient.ovpn

#edytujemy /etc/openvpn/easy-rsa/keys/klient.ovpn

client

dev tun

proto udp

remote ip_serwera 1194

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

remote-cert-tls server

cipher AES-256-CBC

comp-lzo

verb 3

Uwaga: ustawienie user/group jest niekompatybilne z Window

Bardziej spostrzegawczy zauważą, że w pliku konfiguracyjnym brakuje konfiguracji certyfikatów/klucza 🙂

7a. Generowanie zunifikowanego pliku profilu openvpn

‚Zunifikowany’ plik zawiera wszelkie informacje wymagane do uruchomienia usługi w sobie samym, bez dodatkowych plików certyfikatów, kluczy.

echo '<ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn 

echo '<cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/easy-rsa/keys/klient.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn 

echo '<key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn
cat /etc/openvpn/easy-rsa/keys/klient.key >> /etc/openvpn/easy-rsa/keys/klient.ovpn
echo '</key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</ca>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/easy-rsa/keys/klient.crt >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</cert>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '<key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

cat /etc/openvpn/easy-rsa/keys/klient.key >> /etc/openvpn/easy-rsa/keys/klient.ovpn

echo '</key>' >> /etc/openvpn/easy-rsa/keys/klient.ovpn

7b. Być może nie odpowiada wam plik profilu z kluczem i certyfikatem wbudowanym w niego:

Wtedy dodajemy:

ca ca.crt
cert klient.crt
key klient.key

ca ca.crt

cert klient.crt

key klient.key

I pamiętamy by dostarczyć powyższe pliki wraz z profilem .ovpn

Włączenie Intel AMT

Procedura włączenia AMT jest dosyć prosta. Jeżeli nie możesz tego zrobić z poziomu BIOSu (opcje związane z ME lub AMT) wystarczy, że podczas POSTowania (czyli dokładnie wtedy kiedy musisz wcisnąć F2/F10/Delete żeby wejść do BIOSu) wciśniesz kombinację CTRL+P. Jeżeli zobaczysz menu konfiguracji AMT znaczy to, że może ten rodzaj dostępu zdalnego włączyć dla danego zestawu.

Aktualizacja FreeNAS 9.x do Corral (10.x), a problemy z zasobami SMB

Migracja do FreeNAS Corral może okazać się problematyczna dla tych użytkowników, którzy korzystali z zasobów SMB w starszej wersji.

Jeżeli importowaliście Wolumeny lub DataSety z niżej wersji, możecie natrafić na problem z nowo stworzonymi zasobami (smb). Jeżeli już wykluczyliście problem z zapisaną sesją w ‚net sh’, powinniście odświeżyć uprawnienia za pomocą konsoli/ssh wykonując komendę ‚chown’ na wolumeny/zasoby. Niestety zmiana przez WebUI nie pomaga z jakiegoś powodu.

Wallabag v2 – Czyli alternatywa Pocket (getPocket/ReadItLater)

Od dłuższego czasu jestem użytkownikiem getPocket – wynikało to kiedyś z dużej kompatybilności z portelem IFTTT (if this then that), który automatyzował wiele rzeczy (robi to do teraz).

Z serwisu do automatyki przestałem korzystać tak namiętnie już jakiś czas, a pocket służył do synchronizacji url-i między urządzeniami. Obecnie podobną funkcjonalność oferuje Firefox i inne wiodące przeglądarki – ale czemu nie władać własnymi danymi ?! Okazuje się, że wallabag to nasza open sourcowa alternatywa.

Pobieramy paczkę z wszystkimi bibliotekami:

wget http://wllbg.org/latest-v2-package

1	wget http://wllbg.org/latest-v2-package

Rozpakowujemy paczkę w /opt/wallabag

tar zxvf latest-v2-package
mv wallabag/* /opt/wallabag

1 2	tar zxvf latest-v2-package mv wallabag/* /opt/wallabag

Skonfigurujmy vhost apacha:

<VirtualHost *:80>
    ServerName domain.tld
    ServerAlias www.domain.tld

    DocumentRoot /opt/wallabag/web
    <Directory /opt/wallabag/web>
        AllowOverride None
        Order Allow,Deny
        Allow from All

        <IfModule mod_rewrite.c>
            Options -MultiViews
            RewriteEngine On
            RewriteCond %{REQUEST_FILENAME} !-f
            RewriteRule ^(.*)$ app.php [QSA,L]
        </IfModule>
    </Directory>

    # optionally disable the RewriteEngine for the asset directories
    # which will allow apache to simply reply with a 404 when files are
    # not found instead of passing the request into the full symfony stack
    <Directory /opt/wallabag/web/bundles>
        <IfModule mod_rewrite.c>
            RewriteEngine Off
        </IfModule>
    </Directory>
    ErrorLog /var/log/apache2/wallabag_error.log
    CustomLog /var/log/apache2/wallabag_access.log combined
</VirtualHost>

ServerName domain.tld

ServerAlias www.domain.tld

DocumentRoot /opt/wallabag/web

AllowOverride None

Order Allow,Deny

Allow from All

Options -MultiViews

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule ^(.*)$ app.php [QSA,L]

</IfModule>

</Directory>

# optionally disable the RewriteEngine for the asset directories

# which will allow apache to simply reply with a 404 when files are

# not found instead of passing the request into the full symfony stack

RewriteEngine Off

</IfModule>

</Directory>

ErrorLog /var/log/apache2/wallabag_error.log

CustomLog /var/log/apache2/wallabag_access.log combined

</VirtualHost>

Z głownego katalogu /opt/wallabag

php bin/console wallabag:install --env=prod

1	php bin/console wallabag:install --env=prod

W celu przetestowania możemy uruchomić wallabag za pomocą wbudowanego serwera www

php bin/console server:run --env=prod` for using wallabag: http://localhost:8000

1	php bin/console server:run --env=prod` for using wallabag: http://localhost:8000

Oczywiście uruchomimy go na porcie 8000 na lokalnym hoście, więc tylko z lokalnego hosta zobaczymy czy działa – w celach bezpieczeństwa.

Wersja 2.0.0 premierę miała 03.04.2016 roku – na chwilę obecną aplikacja na androida nie wspiera v2, mimo to system działa świetnie!

Edit 07/04/2016:

firefox plugin – https://addons.mozilla.org/firefox/addon/wallabag-v2/

Walka ze spamem cz.5 – Dovecot Sieve

Korzystając z poprzednich wpisów, uruchomiliśmy 4 narzędzia, których celem jest zatrzymanie spamu, jak i identyfikacja tych pojedynczych maili, które się przedostaną czy są częścią spam-sieci 😉

Ale w rzeczywistości, jeżeli spam do nas trafi, znajdować będzie się w skrzynce odbiorczej, gdyż żadne z skonfigurowanych przez nas narzędzi nie manipuluje wiadomościami email i ich lokalizacją.

Jeżeli skorzystaliście z wpisu dotyczącego skonfigurowania własnego serwera poczty, znaczy to, że wykorzystujecie Dovecot jako pośrednika w zarządzaniu mailami poprzez IMAP. Sieve jest swego rodzaju dodatkiem, który sukcesywnie przenosi maile między folderami.

Instalacja;

#debian/ubuntu
apt-get install dovecot-sieve

1 2	#debian/ubuntu apt-get install dovecot-sieve

#vim /etc/dovecot/conf.d/15-lda.conf

...
protocol lda {
  # Space separated list of plugins to load (default is global mail_plugins).
  mail_plugins = $mail_plugins sieve
}
...

#vim /etc/dovecot/conf.d/15-lda.conf

...

protocol lda {

# Space separated list of plugins to load (default is global mail_plugins).

mail_plugins = $mail_plugins sieve

}

...

#vim /etc/dovecot/conf.d/90-sieve.conf

...
sieve_before = /var/mail/SpamToJunk.sieve
...

#vim /etc/dovecot/conf.d/90-sieve.conf

...

sieve_before = /var/mail/SpamToJunk.sieve

...

Już prawie:

#vim /var/mail/SpamToJunk.sieve

require "fileinto";
if header :comparator "i;ascii-casemap" :contains "X-Spam-Flag" "YES"  {
    fileinto "Junk";
    stop;
}

#vim /var/mail/SpamToJunk.sieve

require "fileinto";

if header :comparator "i;ascii-casemap" :contains "X-Spam-Flag" "YES" {

fileinto "Junk";

stop;

}

Niech sieve wciągnie sobie filtr:

sievec /var/mail/SpamToJunk.sieve

1	sievec /var/mail/SpamToJunk.sieve

I jesteśmy gotowi:

/etc/init.d/dovecot restart

1	/etc/init.d/dovecot restart

Teraz jeżeli SpamAssassin oznaczy jakiś mail trafi on do folderu JUNK/Śmieci

Pozostałe wpisy dotyczące tego cyklu:

Posftix i Dovecot – Idealny duet tworzący serwer poczty

Walka ze spamem cz.1 – Postfix SPF

Walka ze spamem cz.2 – Postfix DKIM

Walka ze spamem cz.3 – Postfix DMARC

Walka ze spamem cz.4 – Postfix SpamAssassin

SpamAssasin to ostatnia broń w naszym arsenale przygotowanym na wszelki spam jaki może się pojawić na naszym serwerze poczty.

Zainstalujmy więc wymagane paczki:

apt-get install spamassassin spamc

1	apt-get install spamassassin spamc

Dodajmy użytkownika, który będzie uruchamiał spammassassin-a

groupadd spamd
useradd -g spamd -s /bin/false spamd
chown spamd:spamd -R /etc/spamassassin/

groupadd spamd

useradd -g spamd -s /bin/false spamd

chown spamd:spamd -R /etc/spamassassin/

Użytkownika już mamy, teraz czas skonfigurować SA:

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is
# not used. Instead, enable spamd by issuing:
# systemctl enable spamassassin.service
# Change to "1" to enable spamd on systems using sysvinit:
ENABLED=1
SPAMD_HOME="/home/spamd/"
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"
PIDFILE="/home/spamd/spamd.pid"
CRON=1

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is

# not used. Instead, enable spamd by issuing:

# systemctl enable spamassassin.service

# Change to "1" to enable spamd on systems using sysvinit:

ENABLED=1

SPAMD_HOME="/home/spamd/"

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"

PIDFILE="/home/spamd/spamd.pid"

CRON=1

Uruchommy SA:

service spamassassin start

1	service spamassassin start

Dodajmy SpamAssassin-a do postfixa:

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:
spamassassin unix -     n       n       -       -       pipe
        user=spamd argv=/usr/bin/spamc -f -e  
        /usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:
-o content_filter=spamassassin

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:

spamassassin unix - n n - - pipe

user=spamd argv=/usr/bin/spamc -f -e

/usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:

-o content_filter=spamassassin

Zrestartujmy postfix-a:

service postfix restart

1	service postfix restart

Musimy jeszcze utworzyć reguły filtrowania:

#/etc/spamassassin/local.cf

rewrite_header Subject ***** SPAM _SCORE_ *****
report_safe             0
required_score          5.0
use_bayes               1
use_bayes_rules         1
bayes_auto_learn        1
skip_rbl_checks         0
use_razor2              0
use_dcc                 0
use_pyzor               0

#Adjust scores for SPF FAIL
score SPF_FAIL 4.0
score SPF_HELO_FAIL 4.0
score SPF_HELO_SOFTFAIL 3.0
score SPF_SOFTFAIL 3.0

#adjust DKIM scores
score DKIM_ADSP_ALL 3.0
score DKIM_ADSP_DISCARD  10.0
score DKIM_ADSP_NXDOMAIN 3.0

#/etc/spamassassin/local.cf

rewrite_header Subject ***** SPAM _SCORE_ *****

report_safe 0

required_score 5.0

use_bayes 1

use_bayes_rules 1

bayes_auto_learn 1

skip_rbl_checks 0

use_razor2 0

use_dcc 0

use_pyzor 0

#Adjust scores for SPF FAIL

score SPF_FAIL 4.0

score SPF_HELO_FAIL 4.0

score SPF_HELO_SOFTFAIL 3.0

score SPF_SOFTFAIL 3.0

#adjust DKIM scores

score DKIM_ADSP_ALL 3.0

score DKIM_ADSP_DISCARD 10.0

score DKIM_ADSP_NXDOMAIN 3.0

Restart SA dla pewności, że korzysta z naszych nowych reguł:

service spamassassin restart

1	service spamassassin restart

Aby przetestować SpamAssassin-a można z obcego serwera wysłać maila na swoją skrzynkę w postfix-ie i przeglądnąć nagłówek wiadomości.

Aktualizacja 11/05/2016:

Zauważyłem, że spamassassin informuje o błędzie

warn: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_dcc 0

1	warn: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_dcc 0

Można to łatwo naprawić komentując use_dcc lub instalując paczkę z dcc i nie używać tego modułu (bezcelowe).

spamassassin --lint

1	spamassassin --lint

Pozostałe wpisy dotyczące tego cyklu:

Posftix i Dovecot – Idealny duet tworzący serwer poczty

Walka ze spamem cz.1 – Postfix SPF

Walka ze spamem cz.2 – Postfix DKIM

Walka ze spamem cz.3 – Postfix DMARC

Walka ze spamem cz.5 – Dovecot Sieve

blog.monogatari.pl

Poradnik IT

Dodawanie kolejnych adresów ip

Uruchomienie bezpiecznej usługi DDNS na serwerze BIND

Konfiguracja VPN poprzez PPTP

Jak wyłączyć dodatkową telemetrię z Mozilla Firefox

Własny serwer VPN (OpenVPN)

Włączenie Intel AMT

Wallabag v2 – Czyli alternatywa Pocket (getPocket/ReadItLater)

Walka ze spamem cz.5 – Dovecot Sieve

Walka ze spamem cz.4 – Postfix SpamAssassin