Servidor Pentium IV 3GHz
Contingut
- 1 Instal.lació nou servidor (octubre 2011)
- 1.1 Llsita TODO:
- 1.2 Mans a l'obra
- 1.3 eliminar spam mediawiki
- 1.4 instal.lar i configurar mediawiki
- 1.5 estadístiques d'activitat mediawiki
- 1.6 instal.lació domini dyndns
- 1.7 instal.lar i configurar wikijoan (canviar a wikijoan.joanillo.org)
- 1.8 instal.lar i configurar wordpress
- 1.9 instal.lar i configurar langtrainer
- 1.10 instal.lar AWstats per a wiki, blog
- 1.11 còpia de seguretat mysql
- 1.12 còpia de seguretat fotos
- 1.13 còpia seguretat carpetes servidor
- 1.14 actualitzacions automàtiques del servidor
- 1.15 incloure reinici
- 1.16 instal.lar enviar mails des de bash
- 1.17 scripts de còpies, d'administració, manteniment, alertes
- 1.18 Instal.lar un altre disc??
- 1.19 Cremar un CD des de la línia de comandes (còpies de seguretat)
- 1.20 Obrir el SSH a demanda
- 1.21 Ubuntu One, Dropbox
- 1.22 Imatge del sistema: Remastersys
- 1.23 Instal.lació SAMBA
- 2 Wake On LAN, WOL
- 3 Seguretat al Servidor Pentium IV 3GHz
- 4 Còpies de seguretat
Instal.lació nou servidor (octubre 2011)
Llsita TODO:
- canviar passwords (màquina, sudo,...)
- eliminar spam mediawiki: Combatre_el_spam_en_una_mediawiki -> OK
- instal.lar i configurar mediawiki: Instal.lació_Mediawiki#Instal.laci.C3.B3_octubre_2011_.28nou_servidor.29
- antispam
- http://wiki.joanillo.org, http://localhost/wiki
- eliminar TAB discussió
- només usuaris registrats i logats poden fer canvis
- instal.lació domini dyndns
- instal.lar i configurar wikijoan (canviar a wikijoan.joanillo.org) -> OK
- protegir amb password
- instal.lar i configurar wordpress
- instal.lar i configurar langtrainer
- Langtrainer: Open Flash Chart-OFC
- Langtrainer: Text To Speech-TTS
- instal.lar AWstats per a wiki., blog., joanillo., langtrainer.
- actualitzar informació langtrainer
- còpia de seguretat mysql
- rsync
- còpia de seguretat fotos
- còpia seguretat carpetes servidor
- recordar incloure la carpeta images/ de les wiki
- actualitzacions automàtiques del servidor
- incloure reinici
- instal.lar enviar mails des de bash -> OK
- scripts
- control de què no hi hagi spam a la wiki
- control % de disc disponible
- estadístiques d'activitat mediawiki
- Instal.lar un altre disc??
- Cremar un CD des de la línia de comandes (còpies de seguretat)
- Obrir el SSH a demanda: Obrir_el_SSH_des_d'una_pàgina_web
- Ubuntu One, Dropbox
- Imatge del sistema: Remastersys
- Instal.lació SAMBA (de moment no, quan es consideri útil)canviar passwords (màquina, sudo,...)
- Seguretat al Servidor Pentium IV 3GHz
Mans a l'obra
canviar passwords (màquina, sudo,...)
S'elegeix un password fort per als diferents serveis (usuari root, root del mysql). El password no es guarda en cap fitxer. En els diferents scripts on ha d'aparèixer el password s'ofusca amb diferents tècniques.
En el mysql, per canviar el password del root:
$ mysqladmin -u root -p'oldpassword' password newpass
o bé
$ mysql -u root -p mysql> use mysql; mysql> update user set password=PASSWORD("NEWPASSWORD") where User='root'; mysql> flush privileges; mysql> quit
Fixem-nos que això significa que la bd mysql té la taula user on es llisten els usuaris i passwords.
eliminar spam mediawiki
Combatre_el_spam_en_una_mediawiki Bàsicament aquí s'explica com netejar tota la merda que han ficat els robots. Després s'haurà de protegir bé la mediawiki per tal de què no torni a passar. A part de configurar-ho bé, i haurà d'haver algun sistema d'alertes per detectar quan es crea algun usuari o quan hi ha algun número anòmal de revisions.
instal.lar i configurar mediawiki
estadístiques d'activitat mediawiki
antispam
http://wiki.joanillo.org, http://localhost/wiki
eliminar TAB discussió
només usuaris registrats i logats poden fer canvis
instal.lació domini dyndns
instal.lar i configurar wikijoan (canviar a wikijoan.joanillo.org)
protegir amb password
instal.lar i configurar wordpress
instal.lar i configurar langtrainer
actualitzar informació langtrainer
Langtrainer: Open Flash Chart-OFC
Langtrainer: Text To Speech-TTS
instal.lar AWstats per a wiki, blog
La instal.lació de AWstats no és difícil: AWStats:_analitzant_les_estadístiques
Configuro el fitxer /etc/apache2/sites-available/default de la següent manera.
Alias /awstats-icon/ /usr/share/awstats/icon/ #ScriptAlias /awstats /usr/lib/cgi-bin/ ScriptAlias / /usr/lib/cgi-bin/
Aquestes línies les fico a baix de tot (però abans de </VirtualHost>). El que estic dient és que quan s'executi un script que pengi de l'arrel, el directori real on es trobarà serà /usr/lib/cgi-bin/. D'aquesta manera ja puc consultar les estadístiques:
- http://wikijoan.dyndns.org/awstats.pl?config=www.joanillo.org
- http://wikijoan.dyndns.org/awstats.pl?config=wiki.joanillo.org
Ara vull accedir de la forma
Com és habitual, ho faré editant els DNS d'Arsys.
- A arsys.es tinc el domini joanillo.org en pàrking. Entro en la configuració dels DNS, i creo una nova entrada (entrada: awstats.joanillo.org; tipus: CNAME; valor: joanillo.dyndns.org)
El seu efecte no és immediat. Després de dues hores ja puc fer ping awstats.joanillo.org i obtinc la resposta. Ara ja puc accedir als scripts que pengen de l'arrel del servidor Apache (/), que es tradueixen al directori /usr/lib/cgi-bin/:
- http://awstats.joanillo.org/awstats.pl?config=www.joanillo.org
- http://awstats.joanillo.org/awstats.pl?config=wiki.joanillo.org
Nota: no cal crear el fitxer awstats.joanillo.org
Recordem que aquests scripts s'han d'executar periòdicament per tenir actualitzades les estadístiques.
còpia de seguretat mysql
Tot el tema de les còpies de seguretat al servidor, i del servidor al disc NDAS, està documentat a Backup_del_servidor_-_oct_2011.
No confondre còpia diferencial amb còpia incremental. A mi de fet m'interessen les còpies diferencials: copiar tots els fitxers nous o que s'han modificat. El que m'interessa és que en el destí tingui els fitxers que he de tenir, i cap fitxer ocult. Les còpies incrementals generen fitxers ocults, que són els fitxers de diferència, i de quan en quan necessiten fer una còpia sencera. Jo això no ho feia així. No té cap sentit fer un restore d'una còpia incremental a partir de tots els fitxers que s'han generat durant dos anys, no hi ha cap garantia de què al final el restore funcioni.
rsync
còpia de seguretat fotos
còpia seguretat carpetes servidor
recordar incloure la carpeta images/ de les wiki
actualitzacions automàtiques del servidor
incloure reinici
instal.lar enviar mails des de bash
scripts de còpies, d'administració, manteniment, alertes
control de què no hi hagi spam a la wiki
control % de disc disponible
Instal.lar un altre disc??
Cremar un CD des de la línia de comandes (còpies de seguretat)
Obrir el SSH a demanda
Ubuntu One, Dropbox
Imatge del sistema: Remastersys
Instal.lació SAMBA
(de moment no, quan es consideri útil)canviar passwords (màquina, sudo,...)
Wake On LAN, WOL
local
- http://ubuntuforums.org/showthread.php?t=234588
- http://gsd.di.uminho.pt/jpo/software/wakeonlan/mini-howto/
- http://www.dd-wrt.com/wiki/index.php/WOL
- WOL a través de NAT
La idea és que, encara que l'ordinador estigui apagat. a la targeta de xarxa li arriba corrent, i per tant té una IP (fixa) i una MAC. En el ordinador el WOL ha d'estar activat (a la bios, i potser un cable a la placa base, tot i que en algunes plaques base no és necessari). El router ha de saber dirigir l'ordre d'encesa al servidor que es vol encendre (NAT: port 9 (o 7), UDP).
A través del programa wakeonlan s'envia un paquet màgic que farà encendre l'ordinador remotament.
$ sudo apt-get install wakeonlan
El primer que he de fer és saber la IP (192.168.1.128) i la MAC (00:13:20:1c:59:94). La primera prova l'he de fer a la LAN.
1. comprovem que en la BIOS està habiliitat el tema del WOL
2. En el servidor 192.168.1.128 creo un script que s'executarà cada vegada que arrenqui:
$ sudo apt-get install ethtool $ cd /etc/init.d/ $ sudo joe wakeonlanconfig #!/bin/bash ethtool -s eth0 wol g exit
Donar permisos i fer que s'executi en l'inici del sistema:
$ chmod a+x wakeonlanconfig $ update-rc.d -f wakeonlanconfig defaults
Executem el script per veure que no hi ha errors:
$ /etc/init.d/wakeonlanconfig
3. Ara ja podem apagar el servidor 192.168.1.128 ($ sudo halt), i des del portàtil podem enviar un paquet màgic al servidor mitjançant el programa wakeonlan:
$ wakeonlan -i 192.168.1.128 00:13:20:1c:59:94 Sending magic packet to 192.168.1.128:9 with 00:13:20:1c:59:94
L'ordinador s'hauria d'encendre. Funciona
remot
I com fer-ho des de casa? wakeonlan no funciona (funcionaria si puc accedir per SSH a un altre ordinador de la xarxa). Cercant per Internet sembla ser que la manera més pràctica és utilitzar una web des d'on ho deixen fer:
I, evidentment, he d'habilitar en el router una nova entrada NAT: el WOL funciona pel port 9 (UDP), i s'ha de dirigir al servidor (192.168.1.128)
Hi ha altres direccions web que permeten fer WOL, concretament
que permet llençar el formulari des de la url:
local una altra vegada
(el paquet wakeonlan no s'instal.la en el servidor 7.10 (Ubuntu va per la versió 10.10))
Però si tinc algun problema en la connexió remota, per exemple no tinc accés al port 9 de la NAT, no hi ha res com accedir al servidor SSH i fer un WOL des de la xarxa local. Per fer-ho, la millor solució que he trobat és:
$ ./configure $ make $ sudo make install
$ wol 00:13:20:1c:59:94 Waking up 00:13:20:1c:59:94... ... $ ping 192.168.1.128 PING 192.168.1.128 (192.168.1.128) 56(84) bytes of data. 64 bytes from 192.168.1.128: icmp_seq=1 ttl=64 time=5.01 ms ...
Funciona perfectament.
Seguretat al Servidor Pentium IV 3GHz
Analitzar la xarxa amb tcpdump
Com que estic fent l'assignatura de SAD (Seguretat i Alta Disponibilitat), he d'aprendre a controlar temes que redundin en la seguretat de la meva màquina. Concretament les estadístiques AwStats em donen unes dades sospitosament altes de tràfic, que s'hauria de mirar com es pot minimitzar.
El primer de tot seria fer un sniffer dels paquets TCP que arriben al servidor. Tal com s'explica a Sniffer_I:_tcpdump, faig un tcpdump:
Capturem 1000 paquets (filtrant el port 22 de SSH, doncs la comanda la invoco des d'una sessió SSH). Guardo tota la informació del paquet (-s 0)
# tcpdump -i eth0 -s 0 -c 1000 -w tcpdump_29112011.cap not port 22
El correcte seria analitzar tota la informació obtinguda amb wireshark. Una altra possibilitat és filtrar només els paquets que vénen o surten de la meva màquina (doncs hi ha paquests que l'origen o destí és jordi.local. I altres paquets on surt el disn NDAS: 192.168.0.15).
No m'interessen els paquets que van o vénen del Jordi:
# tcpdump -i eth0 -s 0 -c 1000 -w tcpdump_29112011.cap not port 22 \(not src host jordi.local and not dst host jordi.local\)
Canviar tots els passwords, SSH sempre tancat
Còpies de seguretat
creat per Joan Quintana Compte, desembre 2010, octubre 2011