Poradnik IT | blog.monogatari.pl

Uruchomienie bezpiecznej usługi DDNS na serwerze BIND

2018-01-23 BigRetroMlKE Zostaw komentarz

Jeżeli nie posiadasz statycznego adresu IP w domu, a potrzebujesz dostęp do nich stały dostęp w łatwy sposób możesz osiągnać swój cel posiadając serwer DNS. Po stronie klienta generujemy klucze:

# zastąp keyname dowolną nazwą
dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

1 2	# zastąp keyname dowolną nazwą dnssec-keygen -a HMAC-MD5 -b 512 -r /dev/urandom -n HOST keyname

Spowoduje to utworzenie plików Kkeyname.***.key i Kkeyname.***.private, z pliku*.private należy skopiować klucz, który będzie wyglądać podobny:

Key: pRP5FapFoJ95JEL06sv4PQ==

1	Key: pRP5FapFoJ95JEL06sv4PQ==

Po stronie serwera, należy wyedytować plik konfiguracyjny […]

Czytaj więcej

Konfiguracja VPN poprzez PPTP

2018-01-23 BigRetroMlKE Zostaw komentarz

W przeszłości pojawił sie post Własny serwer VPN (OpenVPN), który daje nam wyższy poziom bezpieczeństwa niż PPTP może nam zaoferować. Po co w takim razie stosować PPTP? Ponieważ, jest on szybszy i zużywa mniej zasobów (procesor) niż OpenVPN. Dzięki temu możesz zadecydować, które rozwiązanie spełni twoje oczekiwania w danej sytuacji. Dodatkowym atutem PPTP jest to […]

Czytaj więcej

Jak wyłączyć dodatkową telemetrię z Mozilla Firefox

2018-01-16 BigRetroMlKE Zostaw komentarz

Na wstępie dodam, że nie powinniśmy być takimi paranoikami jeżeli chodzi o telemetrię, którą zbiera Mozilla, gdyż duża jej część nie narusza naszej prywatności. Jednak znajdzie się taka grupa, która będzie chciałą ją wyłączyć dla zasady lub by zwiększyć delikatnie wydajność Firefox-a. Należy wejść do ustawień wewnętrznych przeglądarki poprzez wpisanie about:config w pasku adresu i […]

Czytaj więcej

Własny serwer VPN (OpenVPN)

2017-09-04 BigRetroMlKE Zostaw komentarz

Dostawca internetu zbiera informacje o tym co robisz w internecie ? (Operatorzy GSM) Chcesz mieć dostęp do sieci domowej w sposób bezpieczny ? Virtual Private Network, czyli VPN to rozwiązanie dla Ciebie ! 1.Instalacja

apt-get install openvpn easy-rsa

1	apt-get install openvpn easy-rsa

2.Konfiguracja serwera openvpn

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf 
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

touch /etc/openvpn/server.conf

#edytuj /etc/openvpn/server.conf

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

keepalive 10 120

cipher AES-256-CBC

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

3.Zmiany w systemie

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf
net.ipv4.ip_forward=1

echo 1 > /proc/sys/net/ipv4/ip_foward

#edytuj /etc/sysctl.conf

net.ipv4.ip_forward=1

4.Instalacja i konfiguracja nakładki ułatwiającej zarządzanie iptables (firewall)

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
*filter

ufw enable
ufw status | grep '1194/udp'

apt-get install ufw

ufw allow 1194/udp

#edytuj /etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

#edytuj /etc/ufw/before.rules

# rules.before

# Rules that should be run before the ufw command line added rules. Custom

# rules should be added to one of these chains:

# ufw-before-input

# ufw-before-output

# ufw-before-forward

# START OPENVPN RULES

# NAT table rules

*nat

:POSTROUTING ACCEPT [0:0]

# Allow traffic from OpenVPN client to eth0

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE

COMMIT

# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors

*filter

ufw enable

ufw status | grep '1194/udp'

5.Generowanie CA, certyfikatu […]

Czytaj więcej

Włączenie Intel AMT

2017-08-02 BigRetroMlKE Zostaw komentarz

Procedura włączenia AMT jest dosyć prosta. Jeżeli nie możesz tego zrobić z poziomu BIOSu (opcje związane z ME lub AMT) wystarczy, że podczas POSTowania (czyli dokładnie wtedy kiedy musisz wcisnąć F2/F10/Delete żeby wejść do BIOSu) wciśniesz kombinację CTRL+P. Jeżeli zobaczysz menu konfiguracji AMT znaczy to, że może ten rodzaj dostępu zdalnego włączyć dla danego zestawu.

Czytaj więcej

Aktualizacja FreeNAS 9.x do Corral (10.x), a problemy z zasobami SMB

2017-03-262017-03-27 BigRetroMlKE Zostaw komentarz

Migracja do FreeNAS Corral może okazać się problematyczna dla tych użytkowników, którzy korzystali z zasobów SMB w starszej wersji. Jeżeli importowaliście Wolumeny lub DataSety z niżej wersji, możecie natrafić na problem z nowo stworzonymi zasobami (smb). Jeżeli już wykluczyliście problem z zapisaną sesją w ‚net sh’, powinniście odświeżyć uprawnienia za pomocą konsoli/ssh wykonując komendę ‚chown’ […]

Czytaj więcej

Wallabag v2 – Czyli alternatywa Pocket (getPocket/ReadItLater)

2016-04-052016-04-07 BigRetroMlKE Zostaw komentarz

Od dłuższego czasu jestem użytkownikiem getPocket – wynikało to kiedyś z dużej kompatybilności z portelem IFTTT (if this then that), który automatyzował wiele rzeczy (robi to do teraz). Z serwisu do automatyki przestałem korzystać tak namiętnie już jakiś czas, a pocket służył do synchronizacji url-i między urządzeniami. Obecnie podobną funkcjonalność oferuje Firefox i inne wiodące […]

Czytaj więcej

Walka ze spamem cz.5 – Dovecot Sieve

2016-03-262016-04-02 BigRetroMlKE Zostaw komentarz

Korzystając z poprzednich wpisów, uruchomiliśmy 4 narzędzia, których celem jest zatrzymanie spamu, jak i identyfikacja tych pojedynczych maili, które się przedostaną czy są częścią spam-sieci 😉 Ale w rzeczywistości, jeżeli spam do nas trafi, znajdować będzie się w skrzynce odbiorczej, gdyż żadne z skonfigurowanych przez nas narzędzi nie manipuluje wiadomościami email i ich lokalizacją. Jeżeli […]

Czytaj więcej

Walka ze spamem cz.4 – Postfix SpamAssassin

2016-03-262016-05-11 BigRetroMlKE Zostaw komentarz

SpamAssasin to ostatnia broń w naszym arsenale przygotowanym na wszelki spam jaki może się pojawić na naszym serwerze poczty. Zainstalujmy więc wymagane paczki:

apt-get install spamassassin spamc

1	apt-get install spamassassin spamc

Dodajmy użytkownika, który będzie uruchamiał spammassassin-a

groupadd spamd
useradd -g spamd -s /bin/false spamd
chown spamd:spamd -R /etc/spamassassin/

groupadd spamd

useradd -g spamd -s /bin/false spamd

chown spamd:spamd -R /etc/spamassassin/

Użytkownika już mamy, teraz czas skonfigurować SA:

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is
# not used. Instead, enable spamd by issuing:
# systemctl enable spamassassin.service
# Change to "1" to enable spamd on systems using sysvinit:
ENABLED=1
SPAMD_HOME="/home/spamd/"
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"
PIDFILE="/home/spamd/spamd.pid"
CRON=1

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is

# not used. Instead, enable spamd by issuing:

# systemctl enable spamassassin.service

# Change to "1" to enable spamd on systems using sysvinit:

ENABLED=1

SPAMD_HOME="/home/spamd/"

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"

PIDFILE="/home/spamd/spamd.pid"

CRON=1

Uruchommy SA:

service spamassassin start

1	service spamassassin start

Dodajmy SpamAssassin-a do postfixa:

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:
spamassassin unix -     n       n       -       -       pipe
        user=spamd argv=/usr/bin/spamc -f -e  
        /usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:
-o content_filter=spamassassin

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:

spamassassin unix - n n - - pipe

user=spamd argv=/usr/bin/spamc -f -e

/usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:

-o content_filter=spamassassin

Zrestartujmy postfix-a:

service postfix restart

1	service postfix restart

Musimy jeszcze utworzyć reguły […]

Czytaj więcej

Walka ze spamem cz.3 – Postfix DMARC

2016-03-262016-04-12 BigRetroMlKE 2 komentarze

Domain-based Message Authentication, Reporting and Conformance (DMARC) is an email validation system designed to detect and prevent email spoofing. It provides a mechanism which allows a receiving organization to check that incoming mail from a domain is authorized by that domain’s administrators and that the email (including attachments) has not been modified during transport – […]

Czytaj więcej