Bądź na bieżąco - RSS

Serwer NFS Debian 12: Konfiguracja krok po kroku

30 listopada, 2024 | Brak Komentarzy | Kategoria: Linux, Porady
Konfiguracja serwera NFS Debian 12

Spis treści

  1. Wprowadzenie
  2. Instalacja serwera NFS
  3. Konfiguracja katalogów udostępnianych
  4. Ustawienia zapory sieciowej
  5. Konfiguracja klienta NFS
  6. Testowanie połączenia
  7. Podsumowanie

Wprowadzenie

Serwer NFS Debian 12 umożliwia udostępnianie plików między systemami Linux/Unix w sieci lokalnej za pomocą protokołu Network File System (NFS). W tym artykule pokażemy, jak skonfigurować serwer NFS na Debianie 12 oraz jak podłączyć do niego klienta. Dzięki temu możesz centralizować dane i ułatwić współpracę między różnymi maszynami w sieci.

Instalacja serwera NFS

Najpierw zaktualizuj system:

sudo apt update && sudo apt upgrade -y

Następnie zainstaluj pakiet nfs-kernel-server, niezbędny do uruchomienia serwera NFS Debian 12:

sudo apt install nfs-kernel-server -y

Konfiguracja katalogów udostępnianych

Stwórz katalog do udostępnienia:

sudo mkdir -p /srv/nfs/udostepniony_katalog

Nadaj odpowiednie uprawnienia:

sudo chown nobody:nogroup /srv/nfs/udostepniony_katalog
sudo chmod 777 /srv/nfs/udostepniony_katalog

Edytuj plik /etc/exports i dodaj linię:

/srv/nfs/udostepniony_katalog  *(rw,sync,no_subtree_check)

Zastosuj zmiany:

sudo exportfs -a

Ustawienia zapory sieciowej

Jeśli korzystasz z ufw, otwórz porty NFS:

sudo ufw allow from any to any port nfs

Jeśli używasz innej zapory, upewnij się, że porty 2049/TCP i 2049/UDP są otwarte. Więcej informacji znajdziesz w oficjalnej dokumentacji Debiana.

Konfiguracja klienta NFS

Na maszynie klienckiej zainstaluj pakiet nfs-common:

sudo apt install nfs-common -y

Utwórz punkt montowania:

sudo mkdir -p /mnt/nfs/udostepniony_katalog

Wykonaj montowanie ręczne (zakładając, że IP serwera to 192.168.1.100):

sudo mount 192.168.1.100:/srv/nfs/udostepniony_katalog /mnt/nfs/udostepniony_katalog

Aby montowanie było trwałe, dodaj wpis do pliku /etc/fstab:

192.168.1.100:/srv/nfs/udostepniony_katalog  /mnt/nfs/udostepniony_katalog  nfs  defaults  0  0

Testowanie połączenia

Sprawdź możliwość tworzenia plików w udostępnionym katalogu:

touch /mnt/nfs/udostepniony_katalog/testowy_plik.txt

Jeśli operacja się powiedzie, konfiguracja serwera NFS Debian 12 jest poprawna.

Testowanie połączenia z serwerem NFS Debian 12

Testowanie połączenia z serwerem NFS

Podsumowanie

Skonfigurowanie serwera NFS Debian 12 umożliwia efektywne udostępnianie plików w sieci lokalnej. Dzięki temu procesowi możesz centralizować dane i usprawnić współpracę między różnymi systemami.

G

Tagi: , , ,

Nowość w Windows Insider: Alternatywne porty SMB – Większa elastyczność i bezpieczeństwo

31 sierpnia, 2024 | Brak Komentarzy | Kategoria: Porady, Windows
Alternatywne porty SMB

Microsoft nie przestaje rozwijać swoich narzędzi, a najnowsza aktualizacja dla użytkowników Windows Insider przynosi długo oczekiwaną funkcjonalność: obsługę alternatywnych portów dla SMB (Server Message Block). To duża zmiana, która ma na celu zwiększenie elastyczności i bezpieczeństwa w środowiskach sieciowych.

Co to jest SMB i dlaczego alternatywne porty są ważne?

SMB to protokół sieciowy używany głównie do udostępniania plików, drukarek i innych zasobów w sieci lokalnej. Tradycyjnie korzystał on z portu 445, jednak w niektórych sytuacjach ten port może być blokowany przez firewalle lub używany przez inne aplikacje. Wprowadzenie obsługi alternatywnych portów pozwala na obejście tych ograniczeń, co znacznie ułatwia konfigurację sieci i zwiększa jej bezpieczeństwo.

Jakie korzyści przynosi obsługa alternatywnych portów SMB?

  1. Zwiększona elastyczność: Możliwość konfiguracji alternatywnych portów daje administratorom więcej swobody w zarządzaniu sieciami, szczególnie w złożonych środowiskach korporacyjnych.
  2. Poprawione bezpieczeństwo: Użycie niestandardowych portów może utrudnić ataki typu „brute force” i inne formy cyberataków, co przekłada się na wyższy poziom ochrony danych.
  3. Lepsza kompatybilność: Dzięki tej funkcji możliwe jest lepsze dopasowanie SMB do różnych scenariuszy sieciowych, zwłaszcza tam, gdzie tradycyjne porty są zablokowane.

Jak skonfigurować alternatywne porty SMB?

Aby skorzystać z nowej funkcji, użytkownicy programu Windows Insider muszą zaktualizować swoje systemy do najnowszej wersji. Następnie, za pomocą prostych poleceń PowerShell, mogą skonfigurować niestandardowe porty dla SMB.

Oto przykład polecenia:

Set-SmbServerConfiguration -AlternativeListeningPort 12345

To polecenie konfiguruje alternatywny port 12345 dla SMB, umożliwiając jego użycie zamiast standardowego portu 445.

Podsumowanie

Nowa funkcjonalność alternatywnych portów SMB w Windows Insider to krok naprzód w kierunku większej elastyczności i bezpieczeństwa w zarządzaniu sieciami. Dzięki tej opcji administratorzy mogą lepiej dostosować swoje środowiska sieciowe do unikalnych potrzeb, jednocześnie poprawiając ochronę danych przed potencjalnymi zagrożeniami.

Jeśli jesteś użytkownikiem Windows Insider, koniecznie wypróbuj tę nową funkcję!

G

Tagi: , ,

“Software caused connection abort” rozwiązanie problemu w WinSCP

27 lipca, 2024 | Brak Komentarzy | Kategoria: Porady, Windows
Software caused connection abort - WinSCP

Rozwiązanie problemu “Software caused connection abort” w WinSCP

Jeśli podczas korzystania z WinSCP napotykasz problem z komunikatem “Software caused connection abort”, może to być spowodowane przez stanowe filtrowanie FTP w Twojej zaporze sieciowej. Poniżej znajdziesz opis problemu oraz szczegółowe rozwiązanie, które pomoże go wyeliminować.

Opis problemu

Komunikat “Software caused connection abort” w WinSCP oznacza, że połączenie FTP zostało przerwane przez oprogramowanie na komputerze lub urządzeniu sieciowym, takim jak zapora ogniowa. Jest to często spowodowane przez stanowe filtrowanie FTP, które może nieprawidłowo interpretować ruch FTP jako zagrożenie i automatycznie przerywać połączenie. Więcej informacji znajdziesz w dokumentacji WinSCP.

Rozwiązanie problemu

Aby rozwiązać ten problem, należy wyłączyć stanowe filtrowanie FTP w zaporze sieciowej. Poniżej znajdziesz szczegółowe kroki, jak to zrobić za pomocą polecenia netsh, bazując na instrukcjach z febooti.com.

Krok 1: Otwórz wiersz polecenia jako administrator

  1. Kliknij przycisk Start i wpisz “cmd”.
  2. Kliknij prawym przyciskiem myszy na “Wiersz polecenia” i wybierz “Uruchom jako administrator”.

Krok 2: Wyłącz stanowe filtrowanie FTP

W wierszu polecenia wpisz następujące polecenia:

netsh advfirewall set global StatefulFTP disable

Krok 3: Sprawdź, czy zmiany zostały zastosowane

Aby upewnić się, że stanowe filtrowanie FTP zostało wyłączone, wpisz:

netsh advfirewall show global

W wynikach powinieneś zobaczyć wpis StatefulFTP, który będzie ustawiony na disable.

Krok 4: Zrestartuj komputer

Po wykonaniu powyższych kroków, zrestartuj komputer, aby zmiany zaczęły obowiązywać.

Podsumowanie

Problemy z przerwaniem połączenia w WinSCP są często związane z konfiguracją zapory sieciowej. Wyłączenie stanowego filtrowania FTP za pomocą polecenia netsh może rozwiązać ten problem, umożliwiając stabilne i nieprzerwane połączenia FTP. Jeśli nadal napotykasz problemy, rozważ skontaktowanie się z administratorem sieci lub wsparciem technicznym.

Więcej szczegółowych informacji na temat rozwiązania tego problemu znajdziesz w dokumentacji WinSCP oraz w poradniku na febooti.com.

G

Tagi: , ,

Aktualizacja Debian LTS za pomocą Freexian

1 sierpnia, 2023 | Brak Komentarzy | Kategoria: Linux, Porady

Debian, Freexian, aktualizacja, LTS

Debian

Każdy, nawet najlepszy system operacyjny ma swój termin przydatności. Najczęściej po jego przekroczeniu trudno oczekiwać wsparcia w postaci aktualizacji oprogramowania systemowego. Prowadzi to z kolei do całkiem prawdopodobnego narażania się na niebezpieczeństwo w postaci niezałatanych dziur i w konsekwencji ataków na usługi, które pracowicie utrzymujemy. Takie niedbałości w postaci porzuconych systemów można spotkać wbrew pozorom całkiem często.

Jeśli mamy pod opieką pojedyncze maszyny, nieważne czy jako fizyczne serwery czy jako wirtualne instancje, to oczywiście aktualizacja systemu operacyjnego do nowszej wersji jest wyzwaniem ale prawdopodobnie niezbyt wymagającym. Jeśli jednak wspomnianych serwerów jest cała masa albo co gorsza zainstalowaliśmy unikalne ale ważne usługi, których konfiguracja jest naprawdę pracochłonna to aktualizacja może być procesem, który spowoduje, że będziemy musieli się nieco napracować.

Nic dziwnego, że o ile jest dostępna droga przedłużenia wsparcia dla systemu, nawet jako alternatywa dla oficjalnych repozytoriów, to czasami chętnie po nią sięgamy. Tak właśnie można wytłumaczyć popularność projektu Freexian, który ratuje przeterminowane serwery z Linux Debian.

O projekcie Freexian wspomninałem już w innym wpisie. Jeśli ktoś chce zapoznać się ze szczegółami to serdecznie zachęcam. Jednak ponieważ pojawiło się parę istotnych nowości to postanowiłem zaktualizować informację.

Wspomniane nowości dotyczą aktualizacji kluczy instalacyjnych, które jakiś czas temu zostały zmienienione. Na szczęście przepis na instalację nowych jest bardzo prosty i sprowadza się do wydania dwóch poleceń:

wget https://deb.freexian.com/extended-lts/pool/main/f/freexian-archive-keyring/freexian-archive-keyring_2022.06.08_all.deb && dpkg -i freexian-archive-keyring_2022.06.08_all.deb
wget https://deb.freexian.com/extended-lts/archive-key.gpg -O elts-archive-key.gpg && mv elts-archive-key.gpg /etc/apt/trusted.gpg.d/freexian-archive-extended-lts.gpg

Jeżeli wszystko przebiegnie pomyślnie to możemy dodać do pliku /etc/apt/sources.list odpowienie repozytorium w zależności od wersji naszego systemu operacyjnego:

deb http://deb.freexian.com/extended-lts jessie-lts main contrib non-free
deb http://deb.freexian.com/extended-lts stretch-lts main contrib non-free

Pamiętajmy jednak, że nie zwalnia nas to z obowiązku podniesienia wersji systemu… gdy już będziemy gotowi zmierzyć się z tym zadaniem.

MG

Tagi: , , ,

PHP – konfiguracja wersji

10 listopada, 2022 | Brak Komentarzy | Kategoria: Linux, Porady
PHP

Wiele lat temu gdy Internet dopiero powstawał tworzenie stron było dosyć proste a dokumenty, które w ten sposób przygotowywano były zazwyczaj statyczne. Wkrótce potem apetyt twórców szybko wzrósł i powoli zaczęły pojawiać się treści dynamicznie generowane. Upłyneło kolejnych kilka lat i dziś żeby napisać stronę używamy całych gotowych platform nawet jeżeli treści będzie tam niewiele. Jeśli zaś mowa o platformach to wykorzystują one z reguły do pracy wybrany bazowy język programowania. Oczywiście rozwiązań jest tutaj multum, jednak tym razem chciałem skupić się na dosyć popularnym, chociaż nie pozbawionym wielu wad języku PHP.

Załóżmy, że budujemy witrynę www korzystając z serwera on-premise. W dobie olbrzymiej popularności roziązań chmurowych może wydawać się to nieuzasadnione i szalone ale jeśli komuś zależy nad panowaniem nad całością architektury IT to musi zmierzyć się z budową własnych narzędzi. Załóżmy, że korzystamy już z serwera na bazie Debiana, Ubuntu etc., skonfigurowaliśmy silnik bazy danych, serwer HTTP, w tym przypadku Apache, a teraz chcemy zapanować nad wersjami PHP. Rzecz w tym, że ze względu na mnogość gotowych rozwiązań rozszerzających funkcje z poziomu witryny możemy doświadczyć mnogości wymagań odnośnie typu bibliotek PHP zainstalowanych i uaktywnionych w systemie. Poniżej zamieszczam parę wskazówek jak szybko przełączać ich wersje bez skomplikowanej reinstalacji.

Po pierwsze musimy sprawdzić jakie wersje PHP są dostępne w naszym systemie a następnie zdezaktywować starszą i uaktywnić najświeższą dostępną, jeśli chcemy mieć wszystko zaktualizowane:

a2dismod php7.4
a2enmod php8.0
service apache2 restart

To jednak nie wystarczy aby nasza platforma usług WWW zaczęła widzieć zmiany. Teraz musimy rekonfigurować ustawienia systemowe:

update-alternatives --config php
update-alternatives --config phar
update-alternatives --config phar.phar

Za każdym razem konsekwentnie wybieramy pożądaną wersje PHP. Na koniec ponownie uruchamiamy serwer Apache:

service apache2 restart

Opisana powyżej procedura pozwola zmieniać wersję PHP w obydwie strony, zapewnia zatem całkowitą dowolność.

MG

Tagi: , , ,

openmediavault NAS

25 września, 2022 | Brak Komentarzy | Kategoria: Linux, Porady
openmediavault NAS

openmediavault to projekt, którego popularność wzrasta nieustannie od kilku ładnych lat. Jest to gotowy do użytku zestaw aplikacji pozwalający na zbudowanie własnego serwera NAS w systemie opartym o Debian Linux. W dobie dwóch bardzo dobrych komercyjnych rozwiązań, którymi są produkty firm Synology i QNAP wydawać by się mogło, że kolejny gracz nie jest już potrzebny. Jednak openmediavault to rozwiązania wręcz perfekcyjne jeśli dysponujemy starym serwerem i nie chcemy wydawać pieniądzy żeby przygotować sobie maszynę na kopie zapasowe.

Tym razem jednak chciałbym napisać o alternatywnej metodzie instalacji openmediavault. Ze strony www.openmediavault.org możemy pobrać gotowe obrazy ISO tak aby przeprowadzić standardową instalację tak jak w przypadku każdego systemu operacyjnego tzn. z nośnika USB lub płyty DVD ale istnieje również inna metoda.

Wyobraźmy sobie, że mamy już sewer z Debianem i chcielibyśmy wzbogcić go o nakładkę w postaci openmediavault. Tego typu instalacja nie musi być pozbawiona sensu, zwłaszcza że wraz z oprogramowaniem dostaniemy wygodne narzędzie GUI do utrzymywania środowiska z kontenerami typu Docker plus Portainer czy narzędzie do zarządzania wirtualizacją Linux KVM. Jakby tego było mało – dodatkowo jeśli nie myślimy o zaawansowanej pracy z serwerem Debian – to przy odrobinie samozaparcia możemy w całości zarządzać systemem przy pomocy wspomnianego wyżej GUI.

Co zatem należy zrobić? Trzeba z poziomu konsoli systemowej uruchomić skrypt:

wget -O - https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install |  bash

Jeśli zaś nie używamy wget możemy to zrobić tak:

curl -sSL https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install |  bash

Po kilku, kilkunastu minutach powinniśmy mieć zainstalowaną nakładkę openmediavault.

Jeśli nadal coś nie będzie działać lub pojawią się dodatkowe problemy to polecam sprawdzić u źródeł na stronie GitHub OpenMediaVault Plugin Developers w sekcji installScript.

MG

Tagi: , , ,

Kopie zapasowe VMware

31 sierpnia, 2022 | Brak Komentarzy | Kategoria: Porady
Kopie zapasowe VMware

Kopie zapasowe VMware dla maszyn wirtualnych były wielokrotnie poruszane na naszym blogu. Generalnie polecam narzędzie XSIBackup. Ostatnio pojawiły się nowsze płatne wersje ale na szczęście zawsze można skorzystać z wydania pod nazwą Classic.

Przygotowanie całego mechanizmu kopii to jedno, ale proces odzyskiwania danych po awarii to zupełnie inna sprawa. Dawno temu VMware opublikował wygodne narzędzie dla Windows o nazwie VMware Converter. Można go użyć w celu odtworzenia maszyny wirtualnej na wskazanym serwerze. Nietstety narzędzie to nie jest już wspierane od kilku lat i w związku z tym mogą pojawić kłopoty przy odzyskiwaniu danych dla nowszych wersji ESXi. Czy komunikaty o błędach Converetera są powodem do zmartwień? W pewnym sensie tak. Jednak na szczęście istnieje ręczna, dosyć prosta metoda odzyskania zarchiwizowanej maszyny wirtualnej.

W plikach skopiowanych podczas archiwizacji XSIBackup powinna znajdować się konfiguracja – szukamy nazwy z rozszerzeniem vmx. Jeśli tak jest, to kopiujemy wszystkie pliki do jednego katalogu (np. z nazwą naszej maszyny) na serwerze VMware. Można w tym celu wykorzystać narzędzie Datastore browser. Następnie zaznaczamy plik vmx i prawym klawiszem myszki wybieramy z menu opcje Register VM. O ile nie wykonywaliśmy żadnych migawek maszyny, które również są archwizowane to po tej operacji maszyna powinna być już dostępna do uruchomienia.

Co zrobić jeśli jednak mamy zapisane migawki? W takim przypadku powinniśmy zatrzymać maszynę wirtualną a następnie korzystając z menu Actions/Snapshots wybrać opcję Consolidate Disks. Niestety stracimy nasze migawki ale odzyskamy wewnętrzny spokój i równowagę po przywróceniu maszyny wirtualnej do życia, a przecież o to właśnie chodzi. 😉

MG

Tagi: , ,

Kopie zapasowe Docker

3 sierpnia, 2022 | Brak Komentarzy | Kategoria: Bez kategorii, Linux, MacOS, Porady, Windows
Kopie zapasowe Docker

Ten temat pojawiał się wielokrotnie we wpisach. Chodzi oczywiście o kopie zapasowe. Ludzie dzielą się na dwie kategorie tych, którzy je robią i tych, którzy je będą robili (truizm, ale trzeba go powtarzać do znudzenia). Tym razem, ponieważ od jakiegoś czasu bardzo popularne są rozwiązania oparte o konteneryzację, parę słów jak to zrobić gdy używamy środowiska Docker.

Oczywiście metodę, o której będzie za chwilę można również stosować np. do migracji całych kontenerów na nowe serwery.

Cała procedura składa się z kilku dosyć prostych kroków. Jedynym wymaganiem jest posiadanie dostępu w wiersza poleceń (konsola). Inna sprawa to mała sugestia, że najlepiej będzie skorzystać ze środowiska Linux (Debian, Ubuntu itp.) do budowy swojego serwera. Jednak w przypadku Windowsów również wszystko powinno działać.

Krok pierwszy to zatrzymanie kontenera, dla którego będziemy tworzyć kopię zapasową:

docker stop nazwa_kontenera

Jeżeli nie wiemy jakiej nazwy użyć lub po prostu otrzymujemy komunikat o błędzie wystarczy sprawdzić wszystkie dostępne kontenery:

docker container ls

W drugim kroku tworzymy obraz naszego kontenera:

docker commit nazwa_kontenera nazwa_kontenera

Ostatni parametr to tak naprawdę nazwa obrazu ale dla uproszczenia przyjmijmy, że jest ona taka sama jak nazwa kontenera.

Trzeci krok to zapisanie obrazu do pliku.

docker save nazwa_kontenera

W tym miejscu należy wspomnieć, że do tego momentu udało się zapisać stan kontenera. Jeśli instalacje, dla których robimy kopie mają zdefiniowane zewnętrzne wolumeny to należy skopiować ich zawartość oddzielnie. Generalnie można to zrobić ręcznie, ale dużo wygodniej będzie skorzystać z gotowego rozwiązania. Warto polecić skrypt docker-volumes.sh. Za jego pomocą dosyć łatwo można zapisać wszystkie stałe dane do jednego archiwum:

docker-volumes.sh nazwa_kontenera \ 
save nazwa_kontenera_wolumeny.tar.gz

Mając kopie zapasową w postaci dwóch plików tj. obrazu kontenera oraz wolumenów jesteśmy zabezpieczeni. Jeśli chcielibyśmy przenieść dane na inne sewery wystarczy skopiować je do nowej lokalizacji.

Ostatecznie na nowym serwerze, po przygotowaniu środowiska Docker, wykonujemy trzy polecenia.

Tworzymy kontener z wykorzystaniem skopiowanego obrazu:

docker create --name nazwa_kontenera \
{zestaw_opcji_uruchomieniowych} nazwa_kontenera

Przywracamy wolumeny:

docker-volumes.sh nazwa_kontenera load nazwa_kontenera_wolumeny.tar.gz

Uruchamiamy kopie kontenera:

docker start nazwa_kontenera

Przy odrobinie szczęścia, w tym momencie powinniśmy cieszyć się kolejną, nową instancją naszej usługi.

MG

Tagi: , ,

Linux Debian ELTS

26 kwietnia, 2022 | Brak Komentarzy | Kategoria: Linux, Porady
Linux Debian ELTS

Linux Debian to niewątpliwie jedna z bazowych dystrybucji, przynajmniej do tej pory tak zawsze pisano na rozmaitych wiki – pozostałe dwie to rodziny RedHat i Slackware. Osobiście bardzo ją lubię, w głównej mierze za prostotę i dosyć logicznie poukładany system operacyjny. Od wielu lat twierdzę, że dużo łatwiej nauczyć się dobrze posługiwać Debianem niż MS Windows (sic!). W wersji instalacji sieciowej można za pomocą kilku komend dostać naprawdę dobrze skrojony system i co ważne bez zbędnych dodatków. Dla porównania w Ubuntu, które wykorzystuje Debiana już nie jest tak wydajnie.

Czy istnieją jednak jakieś niedogodności Debiana, a być może wady? Świat byłby zbyt piękny gdyby istniał ideał. Jak się zapewne domyślacie musi być coś co denerwuje nawet tak oddanych użytkowników jak autor tego wpisu. I rzeczywiście można wymienić zapewne kilka ułomności, z których mi najbardziej przeszkadza cykl wydawniczy kolejnych wersji. A w zasadzie jego długość (bądź krótkość żeby być bardziej precyzyjnym).

Debian przede wszystkim stara się być bardzo stabilny. Zatem wszelkie nowości pojawiają się z dużym opóźnieniem w stosunku do innych dystrybucji. Najpierw każdy z pakietów jest testowany a dopiero później – jeżeli wszystko będzie w porządku według deweloperów – włączany do głównego repozytorium. To zajmuje sporo czasu. Co dwa lata pojawia się nowe główne wydanie a wsparcie przewidziane jest na trzy. Jeśli wybierzemy wersję hmm… długowieczną tzw. long life LTS to otrzymamy aktualizacje do pięciu lat od momentu debiutu. Można powiedzieć, że ten sposób dystrybucji jest optymalny ale dobrze wiadomo, że trzy lata potrafią minąć bardzo szybko. Wsparcie kończy się nagle. Nowe pakiety nie pojawiają się w repozytorium a my zostajemy z przeterminowanym serwerem. Prawdę mówiąc jeżeli utrzymujemy jeden taki serwer to wymiana systemu może być pracochłonna ale stosunkowo bezbolesna. Aktualizacji typu distroupgrade dystrybucji nie polecam. Raz tak zrobiłem i bardzo żałowałem. Inaczej sprawa wygląda jeśli hostów z przestarzałym Debianem mamy kilka lub kilkanaście.

Wychodząc naprzeciw potrzebom sysopsów w dużych sieciach serwerów niektórzy dostawcy oprogramowania oferują swoje repozytoria, które pozwalają przedłużyć życie naszych węzłów poza wsparcie LTS. Naprawdę warto poszukać w sieci. Przykładem z mojej praktyki jest Debian Jessie, którego wsparcie skończyło się 30 czerwca 2020 roku. Okazało się jednak, że jest dosyć popularna dystrybucja (a admini dosyć leniwi) i społeczność zaczęła pracować nad alternatywnymi repozytoriami.

Mamy pierwszy kwartał 2022 roku, dwa lata po terminie a nadal wychodzą aktualizacje. Jednak należy ich szukać na stronie (czyli jak wspominałem poza oficjalnym źródłem):

https://deb.freexian.com/extended-lts/

Projekt nazywa się Debian Extended LTS (ELTS) i jest odpowiedzią na zapotrzebowanie rynku. Zupełnie inną sprawą jest pytanie czy jest to właściwy sposób rozwiązania problemu? Z różnych względów zapewne nie. Ale potrzeba i lenistwo są matką wynalazków. Zatem jeśli nie widzisz innego wyjścia to możesz użyć ELTS ale pamiętaj, że również to repozytorium przestanie być kiedyś używane.

MG

Tagi: , ,

OpenVAS, GVM na Dockerze

1 lutego, 2022 | Brak Komentarzy | Kategoria: Linux, Porady
OpenVAS

OpenVAS należący do znanego projektu o nazwie GVM zalicza się do zestawu narzędzi typu trzeba mieć dla każdego współczesnego administratora, lub jak ktoś woli devopsa (prawda, że od razu brzmi lepiej?). Czy ktoś chce czy nie, temat cyberbezpieczeństwa stał się na tyle modny/istotny, że trzeba zawsze poważnie podchodzić do swoich zadań z tego zakresu. Aby zatem ustrzec się przed włamaniem najlepiej jest samemu sprawdzać swoje sieci, nawet za pomocą podstawowego zbioru wektorów, pod kątem podatności na ataki. Tak zwane testy penetracyjne (powszechnie określane jako pentesty) są tutaj bardzo pożądanym działaniem. I właśnie wspomniany na początku OpenVAS jest jednym z najlepszych środków dla zebzpieczenia się dzięki sprawdzeniu jake luki może posiadać sieć, którą się opiekujemy.

Istalacja OpenVAS od podstaw jest jak najbardziej możliwa, wymaga jednak umięjętnego poruszania się w środowisku Linuksa, oraz co najmniej średniego stopnia zaawansowania biorąc pod uwagę kompilacje kodu źródłowego. Aby w pełni uruchomić i dostroić pakiet trzeba skonfigurować poprawnie dużą liczbę zależności oraz dodatków, bez których aplikacja nie stanie się pełnowartościowym produktem.

Druga, nie mniej istotna sprawa to aktualizowanie definicji wektorów ataku, które przecież w dzisiejszych czasach zmieniają się dość gwałtownie. Jest to również proces, nad którym trzeba zapanować. Używanie do pentestów OpenVAS z niektualnymi zbiorami podatności mija się po prostu z celem.

Aby przyspieszyć proces wdrażania opisywanego narzędzia można skorzystać z kontenerów Docker. Jest to dobra wiadomość, w szczególności dla niezaawansowanych użytkowników. Niemniej próżno szukać oficjalnego źródła na portalach w rodzaju Docker Hub. Dlatego chciałem się podzielić konfiguracją, z kórej sam korzystam. Jest ona sprawdzona o tyle, że przekonałem się, iż jak na razie jest aktulizowana przez autora. Poza tym, aby pobrać najnowsze wektory wystarczy uruchomić ponownie kontener. W trakcie startu zostaną uruchomione skrypty, które zadbają o sprawdzenie stanu definicji i w przypadku konieczności zmiany wersji na nowszą wykonają to za nas.

Co zatem należy zrobić? Zakładając, że na przykład mamy już zainstalowany Docker wraz z docker-compose, oraz dla wygody środowisko graficzne do zarządzania kontenerami Portainer, przechodzimy do zakładki Stacks i budujemy nową konfigurację korzystając z poniższego kodu.

version: "3"
services:
openvas:
ports:
- "8080:9392"
environment:
- "PASSWORD=admin"
- "USERNAME=admin"
- "RELAYHOST=172.17.0.1"
- "SMTPPORT=25"
- "REDISDBS=512" # number of Redis DBs to use
- "QUIET=false" # dump feed sync noise to /dev/null
- "NEWDB=false" # only use this for creating a blank DB
- "SKIPSYNC=false" # Skips the feed sync on startup.
- "RESTORE=false" # This probably not be used from compose… see docs.
- "DEBUG=false" # This will cause the container to stop and not actually start gvmd
- "HTTPS=false" # wether to use HTTPS or not
volumes:
- "openvas:/data"
container_name: openvas
image: immauss/openvas
volumes:
openvas:

Więcej szczegółów można znaleźć na stronie https://github.com/immauss/openvas . Miłej zabawy.

MG

Tagi: , , ,