Linux/Unix General | Записки системного администратора

Архивы рубрики ‘Linux/Unix General’

Фильтрация спама средствами Postfix

Февраль 19th, 2017

Evgeniy Kamenev

Имя почтового сервера – mail.example.com Имя почтового домена – example.com IP-адрес почтового сервера – 113.113.113.113

# nano /etc/postfix/main.cf

1	# nano /etc/postfix/main.cf

запретить использование адресов, отличных от определенных в документе RFC-821

strict_rfc821_envelopes = yes

1	strict_rfc821_envelopes = yes

запретить использование команды VRFY

disable_vrfy_command = yes

1	disable_vrfy_command = yes

потребовать обязательное использование команды HELO/EHLO

smtpd_helo_required = yes

1	smtpd_helo_required = yes

Далее следует очень важный параметр smtpd_delay_reject. Я настоятельно рекомендую не изменять его значение по умолчанию (yes). В противном […]

Опубликовано в рубрике Linux/Unix General, Mail

Метки: postfix, smtp envelope, spam

Комментарии отключены

Полезные команды Dovecot

Февраль 18th, 2017

Evgeniy Kamenev

Просмотр всех настроек Dovecot

# dovecot -a

1	# dovecot -a

Просмотр настроек отличных от дефолтных

# dovecot -n

1	# dovecot -n

Просмотр активных подключений

# doveadm who

1	# doveadm who

Размещение LOG-файлов Dovecot

# doveadm log find

1	# doveadm log find

Просмотр последних 1000 ошибок и предупреждений с момента последнего запуска Dovecot

# doveadm log errors

1	# doveadm log errors

Переоткрытие всех логов Dovecot(полезно выполнять после ручной ротации логов)

# doveadm log reopen

1	# doveadm log reopen

Тестирование аутентификации для пользователя(где rip-remote ip)

# doveadm auth test -x service=imap -x rip=10.10.1.4 username@example.com

1	# doveadm auth test -x service=imap -x rip=10.10.1.4 username@example.com

# doveadm auth test -x service=pop3 -x rip=10.10.1.4 username@example.com

1	# doveadm auth test -x service=pop3 -x rip=10.10.1.4 username@example.com

# doveadm auth test -x service=smtp -x rip=10.10.1.4 username@example.com

1	# doveadm auth test -x service=smtp -x rip=10.10.1.4 username@example.com

performs a passdb lookup (without […]

Опубликовано в рубрике Linux/Unix General, Mail

Метки: doveadm, dovecot

Комментарии отключены

Использование journalctl для управления журналированием в systemd

Октябрь 18th, 2016

Evgeniy Kamenev

В systemd используется принципиально иной (по сравнению с традиционным инструментом syslog) подход к логгированию. В его основе лежит централизация: специализированный компонент journal cобирает все системные сообщения (сообщения ядра, различных служб и приложений). При этом специально настраивать отправку логов не нужно: приложения могут просто писать в stdout и stderr, a journal сохранит эти сообщения автоматически. Работа […]

Опубликовано в рубрике Linux/Unix General, Other

Метки: journalctl, logging, systemd

Комментарии отключены

Использование tcpdump

Октябрь 1st, 2016

Evgeniy Kamenev

Основные назначения tcpdump: 1.Отладка сетевых приложений. 2.Отладка сети и сетевой конфигурации в целом. Tcpdump выводит заголовки пакетов проходящих через сетевой интерфейс, которые совпадают с булевым выражением. Он может также быть запущен с ключем -w, который заставляет сохранять данные пактов в файл для дальнейшего исследования, и/или с ключем -r, который заставляет читать сохраненные пакеты из файла, […]

Опубликовано в рубрике Command Line Interface, Linux/Unix General, Network tools

Метки: analyze packets, tcpdump

Комментарии отключены

Настройка резервного копирования с помощью Rdiff-backup на Debian/Ubuntu

Сентябрь 23rd, 2016

Evgeniy Kamenev

Rdiff-backup написан на Python и использует библиотеку librsync для передачи данных. Умеет копировать файлы на удаленный хост. Также можно делать бекап с удаленного хоста, но предварительно нужно установить там Rdiff-backup. Хранит информацию об изменениях файлов (дельты) в сжатом виде, хорошо для больших файлов, позволяет экономить место на диске. Метаданные (права, даты, владелец) хранятся в отдельных […]

Опубликовано в рубрике Backup, Backup, Debian/Ubuntu

Метки: backup, rdiff-backup

Комментарии отключены

Настройка бекапа на Hetzner сервер

Май 5th, 2016

Evgeniy Kamenev

username

username

-имя пользователя в панели Robot в разделе Backup

password

password

-пароль для пользователя username, который доступен при активации бекапа Пример данных из Robot-консоли

Current product	100 GB Backup space - inclusive
Server	username.your-backup.de
User name	username
Samba/CIFS share	//username.your-backup.de/backup

Current product 100 GB Backup space - inclusive

Server username.your-backup.de

User name username

Samba/CIFS share //username.your-backup.de/backup

1.Генерируем пару SSH-ключ, с помощью которых будем аутентифицироваться на Backup-сервере

# ssh-keygen

1	# ssh-keygen

2.Приводим публичный ключ к виду, необходимого для Hetzner-сервера бекапов

# ssh-keygen -e -f .ssh/id_rsa.pub | grep -v "Comment:" > .ssh/id_rsa_rfc.pub

1	# ssh-keygen -e -f .ssh/id_rsa.pub \| grep -v "Comment:" > .ssh/id_rsa_rfc.pub

# cat .ssh/id_rsa_rfc.pub >> backup_authorized_keys

1	# cat .ssh/id_rsa_rfc.pub >> backup_authorized_keys

3.Создаем каталог .ssh на удаленном сервере бекапов

# echo mkdir .ssh | sftp username@username.your-backup.de

1	# echo mkdir .ssh \| sftp username@username.your-backup.de

[…]

Опубликовано в рубрике Backup, Backup, Backup, Centos, Debian/Ubuntu, Linux/Unix General

Метки: backup, Hetzner

Комментарии отключены

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Апрель 9th, 2016

Evgeniy Kamenev

1.Установка Let’s Encrypt При использовании Nginx в качестве Web-сервера Установка git Ubuntu/Debian

# apt-get install git

1	# apt-get install git

Centos

# yum install git

1	# yum install git

# cd /usr/local/

1	# cd /usr/local/

# git clone https://github.com/letsencrypt/letsencrypt

1	# git clone https://github.com/letsencrypt/letsencrypt

# cd /usr/local/letsencrypt/

1	# cd /usr/local/letsencrypt/

Остановка Nginx, который прослушивает 80 порт. Перед генерацией сертификатов необходимо убедиться, что все имена домена(включая www-поддомен ,если он должен быть включен в сертификат), для которых генерируются сертификаты имеют запись типа А в ДНС. Также необходимо остановить […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Web, Web, Web

Метки: https, let's encrypt, security, SSL

Комментарии отключены

Настройка Fail2ban для защиты WordPress

Февраль 21st, 2016

Evgeniy Kamenev

1.Настройка конфигурационного файла fail2ban

# grep -E -v '(#|^$)' /etc/fail2ban/fail2ban.conf

1	# grep -E -v '(#\|^$)' /etc/fail2ban/fail2ban.conf

[Definition]
loglevel = INFO
logtarget = /var/log/fail2ban.log
syslogsocket = auto
socket = /var/run/fail2ban/fail2ban.sock
pidfile = /var/run/fail2ban/fail2ban.pid
dbfile = /var/lib/fail2ban/fail2ban.sqlite3
dbpurgeage = 86400

[Definition]

loglevel = INFO

logtarget = /var/log/fail2ban.log

syslogsocket = auto

socket = /var/run/fail2ban/fail2ban.sock

pidfile = /var/run/fail2ban/fail2ban.pid

dbfile = /var/lib/fail2ban/fail2ban.sqlite3

dbpurgeage = 86400

2.Настройка Fail2ban-фильтров для мониторинга логов Защита против brutoforce админки

# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-login.conf

[Definition]
failregex = .*POST /wp-login.php
ignoreregex =

[Definition]

failregex = .*POST /wp-login.php

ignoreregex =

Защита против атаки brutoforce XMLRPC https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-xmlrpc.conf

[Definition]
failregex = .*POST /xmlrpc.php
ignoreregex =

[Definition]

failregex = .*POST /xmlrpc.php

ignoreregex =

Защита против проверки возможности создания WordPress-аккаунта

# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

1	# nano /etc/fail2ban/filter.d/wordpress-wp-register.conf

[Definition]
failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$
ignoreregex =

[Definition]

failregex = ^ .* "GET /wp-login.php\?action=register HTTP/.*" .*$

ignoreregex =

3. Настройка Fail2ban для мониторинга логов

# nano /etc/fail2ban/jail.conf

1	# nano /etc/fail2ban/jail.conf

[INCLUDES]
before = paths-fedora.conf
[DEFAULT]
ignoreip = 127.0.0.1/8 159.224.XXX.YYY
ignorecommand =
bantime = 86400
findtime = 7200
maxretry = 5
backend = auto
usedns = warn
logencoding = auto
enabled = false
filter = %(__name__)s
destemail = myname@mydomain.com
sender = root@mydomain.com
mta = sendmail
protocol = tcp
chain = INPUT
port = 0:65535
banaction = iptables-multiport
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]
action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]
action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-login
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-xmlrpc]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-xmlrpc
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[wordpress-wp-register]
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 3
enabled = true
filter = wordpress-wp-register
action = %(action_mwl)s
bantime = 86400
findtime = 7200
maxretry = 3

[INCLUDES]

before = paths-fedora.conf

[DEFAULT]

ignoreip = 127.0.0.1/8 159.224.XXX.YYY

ignorecommand =

bantime = 86400

findtime = 7200

maxretry = 5

backend = auto

usedns = warn

logencoding = auto

enabled = false

filter = %(__name__)s

destemail = myname@mydomain.com

sender = root@mydomain.com

mta = sendmail

protocol = tcp

chain = INPUT

port = 0:65535

banaction = iptables-multiport

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]

action_blocklist_de = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]

action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

action = %(action_)s

####Этот блок касается непосредственно защиты Wordpress

[wordpress-wp-login]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-login

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-xmlrpc]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-xmlrpc

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

[wordpress-wp-register]

port = http,https

logpath = /var/log/nginx/*.log

maxretry = 3

enabled = true

filter = wordpress-wp-register

action = %(action_mwl)s

bantime = 86400

findtime = 7200

maxretry = 3

Перезапускаем fail2ban

# /etc/init.d/fail2ban restart

1	# /etc/init.d/fail2ban restart

4.Проверка работы фильтра

# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

1	# fail2ban-regex /var/log/nginx/mydomain.com.log /etc/fail2ban/filter.d/wordpress-wp-login.conf

Если необходимо посмотреть строки,которые […]

Опубликовано в рубрике Centos, Debian/Ubuntu, Security, Security, Security

Метки: brutoforce, fail2ban, security, wordpress

Комментарии отключены

Полезные команды Linux

Февраль 11th, 2016

Evgeniy Kamenev

Данный список команд был взят отсюда http://vds-admin.ru/unix-linux/poleznye-komandy-linux http://www.linuxguide.it/command_line/linux_commands_ru.html Использование rpm, yum, dpkg, apt-get я удалил с этого списка и вынес их в отдельные статьи с более подробным описанием. В конце статьи буду добавлять полезные на мой взгляд с практической точки зрения команды Корректные: выключение, перезагрузка, выход из системы

# init 0

# init 0

Выключить систему

# logout

# logout

Завершить текущую сессию […]

Опубликовано в рубрике Centos, Command Line Interface, Debian/Ubuntu, Linux/Unix General, Other, Other, Other

Метки: cli, command, linux

Комментарии отключены

Установка и настройка Bacula-Web для мониторинга Bacula

Январь 31st, 2016

Evgeniy Kamenev

Настройка Bacula была описана в статье Настройка резервного копирования с помощью Bacula В этой статье написано о установке и настройке WEB-интерфейса для мониторинга (НЕ УПРАВЛЕНИЯ) Bacula под названием Bacula-Web 1.Установка необходимых пакетов Ubuntu

# apt-get install nginx apache2-utils php5-fpm php5-mysql php5-gd

1	# apt-get install nginx apache2-utils php5-fpm php5-mysql php5-gd

Centos

# yum install nginx php php-gd php-gettext php-mysql php-pdo

1	# yum install nginx php php-gd php-gettext php-mysql php-pdo

2.Настройка PHP-FPM Ubuntu

# nano /etc/php5/fpm/php.ini

1	# nano /etc/php5/fpm/php.ini

cgi.fix_pathinfo=0
date.timezone = Europe/Kiev

1 2	cgi.fix_pathinfo=0 date.timezone = Europe/Kiev

# egrep -v '(#|;|^$)' /etc/php5/fpm/pool.d/default.conf

1	# egrep -v '(#\|;\|^$)' /etc/php5/fpm/pool.d/default.conf

[nginx]
user = nginx
group = nginx
listen = /var/run/php5-fpm.sock
listen.owner = nginx
listen.group = nginx
listen.mode = 0660
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.status_path = /status
ping.path = /ping
ping.response = pong
access.log = /var/log/$pool.access.log
slowlog = /var/log/$pool.log.slow
request_slowlog_timeout = 3
chdir = /
catch_workers_output = yes
php_flag[display_errors] = off
php_admin_value[error_log] = /var/log/fpm-php.nginx.log
php_admin_flag[log_errors] = on
php_admin_value[memory_limit] = 64M

[nginx]

user = nginx

group = nginx

listen = /var/run/php5-fpm.sock

listen.owner = nginx

listen.group = nginx

listen.mode = 0660

pm = dynamic

pm.max_children = 5

pm.start_servers = 2

pm.min_spare_servers = 1

pm.max_spare_servers = 3

pm.status_path = /status

ping.path = /ping

ping.response = pong

access.log = /var/log/$pool.access.log

slowlog = /var/log/$pool.log.slow

request_slowlog_timeout = 3

chdir = /

catch_workers_output = yes

php_flag[display_errors] = off

php_admin_value[error_log] = /var/log/fpm-php.nginx.log

php_admin_flag[log_errors] = on

php_admin_value[memory_limit] = 64M

# php5-fpm –t

1	# php5-fpm –t

# /etc/init.d/php5-fpm restart

1	# /etc/init.d/php5-fpm restart

Centos

# nano /etc/php.ini

1	# nano /etc/php.ini

cgi.fix_pathinfo=0
date.timezone = Europe/Kiev

1 2	cgi.fix_pathinfo=0 date.timezone = Europe/Kiev

# egrep -v '(#|;|^$)' /etc/php-fpm.d/www.conf

1	# egrep -v '(#\|;\|^$)' /etc/php-fpm.d/www.conf

[www]
listen = /var/run/php5-fpm.sock
listen.allowed_clients = 127.0.0.1
listen.owner = nginx
listen.group = nginx
listen.mode = 0660
user = nginx
group = nginx
pm = dynamic
pm.max_children = 20
pm.start_servers = 1
pm.min_spare_servers = 1
pm.max_spare_servers = 10
pm.max_requests = 500
pm.status_path = /status
ping.path = /ping
ping.response = pong
request_slowlog_timeout = 3s
slowlog = /var/log/php-fpm/www-slow.log
catch_workers_output = yes
php_admin_value[error_log] = /var/log/php-fpm/www-error.log
php_admin_flag[log_errors] = on
php_admin_value[memory_limit] = 64M
php_value[session.save_handler] = files
php_value[session.save_path] = /var/lib/php/session

[www]

listen = /var/run/php5-fpm.sock

listen.allowed_clients = 127.0.0.1

listen.owner = nginx

listen.group = nginx

listen.mode = 0660

user = nginx

group = nginx

pm = dynamic

pm.max_children = 20

pm.start_servers = 1

pm.min_spare_servers = 1

pm.max_spare_servers = 10

pm.max_requests = 500

pm.status_path = /status

ping.path = /ping

ping.response = pong

request_slowlog_timeout = 3s

slowlog = /var/log/php-fpm/www-slow.log

catch_workers_output = yes

php_admin_value[error_log] = /var/log/php-fpm/www-error.log

php_admin_flag[log_errors] = on

php_admin_value[memory_limit] = 64M

php_value[session.save_handler] = files

php_value[session.save_path] = /var/lib/php/session

# php-fpm –t

1	# php-fpm –t

# /etc/init.d/php-fpm restart

1	# /etc/init.d/php-fpm restart

[…]

Опубликовано в рубрике Backup, Backup, Backup, Centos, Debian/Ubuntu, Linux/Unix General

Метки: bacula, bacula-web

Комментарии отключены

Архивы рубрики ‘Linux/Unix General’

Фильтрация спама средствами Postfix

Полезные команды Dovecot

Использование journalctl для управления журналированием в systemd

Использование tcpdump

Настройка резервного копирования с помощью Rdiff-backup на Debian/Ubuntu

Настройка бекапа на Hetzner сервер

Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

Настройка Fail2ban для защиты WordPress

Полезные команды Linux

Установка и настройка Bacula-Web для мониторинга Bacula

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель