Servidor Pentium IV 3GHz

De wikijoan
Salta a la navegació Salta a la cerca

Contingut

Instal.lació nou servidor (octubre 2011)

Llsita TODO:

  • canviar passwords (màquina, sudo,...)
  • eliminar spam mediawiki: Combatre_el_spam_en_una_mediawiki -> OK
  • instal.lar i configurar mediawiki: Instal.lació_Mediawiki#Instal.laci.C3.B3_octubre_2011_.28nou_servidor.29
  • instal.lació domini dyndns
  • instal.lar i configurar wikijoan (canviar a wikijoan.joanillo.org) -> OK
    • protegir amb password
  • instal.lar i configurar wordpress
  • instal.lar i configurar langtrainer
    • Langtrainer: Open Flash Chart-OFC
    • Langtrainer: Text To Speech-TTS
  • instal.lar AWstats per a wiki., blog., joanillo., langtrainer.
  • actualitzar informació langtrainer
  • còpia de seguretat mysql
    • rsync
  • còpia de seguretat fotos
  • còpia seguretat carpetes servidor
    • recordar incloure la carpeta images/ de les wiki
  • actualitzacions automàtiques del servidor
    • incloure reinici
  • instal.lar enviar mails des de bash -> OK
  • scripts
    • control de què no hi hagi spam a la wiki
    • control % de disc disponible
  • estadístiques d'activitat mediawiki
  • Instal.lar un altre disc??
  • Cremar un CD des de la línia de comandes (còpies de seguretat)
  • Obrir el SSH a demanda: Obrir_el_SSH_des_d'una_pàgina_web
  • Ubuntu One, Dropbox
  • Imatge del sistema: Remastersys
  • Instal.lació SAMBA (de moment no, quan es consideri útil)canviar passwords (màquina, sudo,...)
  • Seguretat al Servidor Pentium IV 3GHz

Mans a l'obra

canviar passwords (màquina, sudo,...)

S'elegeix un password fort per als diferents serveis (usuari root, root del mysql). El password no es guarda en cap fitxer. En els diferents scripts on ha d'aparèixer el password s'ofusca amb diferents tècniques.

En el mysql, per canviar el password del root: 

$ mysqladmin -u root -p'oldpassword' password newpass

o bé 

$ mysql -u root -p
mysql> use mysql;
mysql> update user set password=PASSWORD("NEWPASSWORD") where User='root';
mysql> flush privileges;
mysql> quit

Fixem-nos que això significa que la bd mysql té la taula user on es llisten els usuaris i passwords.

eliminar spam mediawiki

Combatre_el_spam_en_una_mediawiki Bàsicament aquí s'explica com netejar tota la merda que han ficat els robots. Després s'haurà de protegir bé la mediawiki per tal de què no torni a passar. A part de configurar-ho bé, i haurà d'haver algun sistema d'alertes per detectar quan es crea algun usuari o quan hi ha algun número anòmal de revisions.

instal.lar i configurar mediawiki

estadístiques d'activitat mediawiki

antispam

http://wiki.joanillo.org, http://localhost/wiki

eliminar TAB discussió

només usuaris registrats i logats poden fer canvis

instal.lació domini dyndns

instal.lar i configurar wikijoan (canviar a wikijoan.joanillo.org)

protegir amb password

instal.lar i configurar wordpress

instal.lar i configurar langtrainer

actualitzar informació langtrainer

Langtrainer: Open Flash Chart-OFC

Langtrainer: Text To Speech-TTS

instal.lar AWstats per a wiki, blog

La instal.lació de AWstats no és difícil: AWStats:_analitzant_les_estadístiques

Configuro el fitxer /etc/apache2/sites-available/default de la següent manera. 

    Alias /awstats-icon/ /usr/share/awstats/icon/
    #ScriptAlias /awstats /usr/lib/cgi-bin/
    ScriptAlias / /usr/lib/cgi-bin/

Aquestes línies les fico a baix de tot (però abans de </VirtualHost>). El que estic dient és que quan s'executi un script que pengi de l'arrel, el directori real on es trobarà serà /usr/lib/cgi-bin/. D'aquesta manera ja puc consultar les estadístiques:

Ara vull accedir de la forma

Com és habitual, ho faré editant els DNS d'Arsys.

  • A arsys.es tinc el domini joanillo.org en pàrking. Entro en la configuració dels DNS, i creo una nova entrada (entrada: awstats.joanillo.org; tipus: CNAME; valor: joanillo.dyndns.org)

El seu efecte no és immediat. Després de dues hores ja puc fer ping awstats.joanillo.org i obtinc la resposta. Ara ja puc accedir als scripts que pengen de l'arrel del servidor Apache (/), que es tradueixen al directori /usr/lib/cgi-bin/:

Nota: no cal crear el fitxer awstats.joanillo.org

Recordem que aquests scripts s'han d'executar periòdicament per tenir actualitzades les estadístiques.

còpia de seguretat mysql

Tot el tema de les còpies de seguretat al servidor, i del servidor al disc NDAS, està documentat a Backup_del_servidor_-_oct_2011.

No confondre còpia diferencial amb còpia incremental. A mi de fet m'interessen les còpies diferencials: copiar tots els fitxers nous o que s'han modificat. El que m'interessa és que en el destí tingui els fitxers que he de tenir, i cap fitxer ocult. Les còpies incrementals generen fitxers ocults, que són els fitxers de diferència, i de quan en quan necessiten fer una còpia sencera. Jo això no ho feia així. No té cap sentit fer un restore d'una còpia incremental a partir de tots els fitxers que s'han generat durant dos anys, no hi ha cap garantia de què al final el restore funcioni.

rsync

còpia de seguretat fotos

còpia seguretat carpetes servidor

recordar incloure la carpeta images/ de les wiki

actualitzacions automàtiques del servidor

incloure reinici

instal.lar enviar mails des de bash

scripts de còpies, d'administració, manteniment, alertes

control de què no hi hagi spam a la wiki

control % de disc disponible

Instal.lar un altre disc??

Cremar un CD des de la línia de comandes (còpies de seguretat)

Obrir el SSH a demanda

Ubuntu One, Dropbox

Imatge del sistema: Remastersys

Instal.lació SAMBA

(de moment no, quan es consideri útil)canviar passwords (màquina, sudo,...)

Wake On LAN, WOL

local

La idea és que, encara que l'ordinador estigui apagat. a la targeta de xarxa li arriba corrent, i per tant té una IP (fixa) i una MAC. En el ordinador el WOL ha d'estar activat (a la bios, i potser un cable a la placa base, tot i que en algunes plaques base no és necessari). El router ha de saber dirigir l'ordre d'encesa al servidor que es vol encendre (NAT: port 9 (o 7), UDP).

A través del programa wakeonlan s'envia un paquet màgic que farà encendre l'ordinador remotament. 

$ sudo apt-get install wakeonlan

El primer que he de fer és saber la IP (192.168.1.128) i la MAC (00:13:20:1c:59:94). La primera prova l'he de fer a la LAN.

1. comprovem que en la BIOS està habiliitat el tema del WOL

2. En el servidor 192.168.1.128 creo un script que s'executarà cada vegada que arrenqui: 

$ sudo apt-get install ethtool

$ cd /etc/init.d/
$ sudo joe wakeonlanconfig

#!/bin/bash
ethtool -s eth0 wol g
exit

Donar permisos i fer que s'executi en l'inici del sistema: 

$ chmod a+x wakeonlanconfig
$ update-rc.d -f wakeonlanconfig defaults

Executem el script per veure que no hi ha errors: 

$ /etc/init.d/wakeonlanconfig

3. Ara ja podem apagar el servidor 192.168.1.128 ($ sudo halt), i des del portàtil podem enviar un paquet màgic al servidor mitjançant el programa wakeonlan: 

$ wakeonlan -i 192.168.1.128  00:13:20:1c:59:94
Sending magic packet to 192.168.1.128:9 with 00:13:20:1c:59:94

L'ordinador s'hauria d'encendre. Funciona

remot

I com fer-ho des de casa? wakeonlan no funciona (funcionaria si puc accedir per SSH a un altre ordinador de la xarxa). Cercant per Internet sembla ser que la manera més pràctica és utilitzar una web des d'on ho deixen fer:

I, evidentment, he d'habilitar en el router una nova entrada NAT: el WOL funciona pel port 9 (UDP), i s'ha de dirigir al servidor (192.168.1.128)

Hi ha altres direccions web que permeten fer WOL, concretament

que permet llençar el formulari des de la url:

local una altra vegada

(el paquet wakeonlan no s'instal.la en el servidor 7.10 (Ubuntu va per la versió 10.10))

Però si tinc algun problema en la connexió remota, per exemple no tinc accés al port 9 de la NAT, no hi ha res com accedir al servidor SSH i fer un WOL des de la xarxa local. Per fer-ho, la millor solució que he trobat és: 

$ ./configure
$ make
$ sudo make install

$ wol 00:13:20:1c:59:94
Waking up 00:13:20:1c:59:94...
...
$ ping 192.168.1.128
PING 192.168.1.128 (192.168.1.128) 56(84) bytes of data.
64 bytes from 192.168.1.128: icmp_seq=1 ttl=64 time=5.01 ms
...

Funciona perfectament.

Seguretat al Servidor Pentium IV 3GHz

Analitzar la xarxa amb tcpdump

Com que estic fent l'assignatura de SAD (Seguretat i Alta Disponibilitat), he d'aprendre a controlar temes que redundin en la seguretat de la meva màquina. Concretament les estadístiques AwStats em donen unes dades sospitosament altes de tràfic, que s'hauria de mirar com es pot minimitzar.

El primer de tot seria fer un sniffer dels paquets TCP que arriben al servidor. Tal com s'explica a Sniffer_I:_tcpdump, faig un tcpdump:

Capturem 1000 paquets (filtrant el port 22 de SSH, doncs la comanda la invoco des d'una sessió SSH). Guardo tota la informació del paquet (-s 0) 

# tcpdump -i eth0 -s 0 -c 1000 -w tcpdump_29112011.cap not port 22

El correcte seria analitzar tota la informació obtinguda amb wireshark. Una altra possibilitat és filtrar només els paquets que vénen o surten de la meva màquina (doncs hi ha paquests que l'origen o destí és jordi.local. I altres paquets on surt el disn NDAS: 192.168.0.15).

No m'interessen els paquets que van o vénen del Jordi: 

# tcpdump -i eth0 -s 0 -c 1000 -w tcpdump_29112011.cap not port 22 \(not src host jordi.local and not dst host jordi.local\)

Canviar tots els passwords, SSH sempre tancat

Còpies de seguretat

creat per Joan Quintana Compte, desembre 2010, octubre 2011

Obtingut de «http://wiki.joanillo.org/index.php?title=Servidor_Pentium_IV_3GHz&oldid=248712»