Skocz do zawartości


 

Zdjęcie

Koty na WHT, Fakty i Mity + Poradnik

Koty na WHT, Fakty i Mity + Poradnik

  • Proszę się zalogować aby odpowiedzieć
67 odpowiedzi na ten temat

Koty na WHT, Fakty i Mity + Poradnik

#21 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 28 styczeń 2013 - 13:58

O DDoS'ie słów kilka, punkcik 9 dołącza do lektury. O ile czas i pomysły pozwolą to być może zostanie trochę rozszerzony.


  • 0

#22 Dareksbs

Dareksbs

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 160 postów

Napisany 30 styczeń 2013 - 18:24

Witam,

 

Po udało mi się pozbyć błędu z hostname jednakże teraz mam kolejny ! Po instalacji kernela serwer padł, po zaglądnięciu w konsolę wyrzuca to, nie może czegoś znaleźć :

 

2en68ol.jpg



Edit : wszystko robiłem krok po kroku.

 

Pozdrawiam i z góry dziękuje za pomoc


  • 0

#23 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 30 styczeń 2013 - 19:19

Wygląda na problemy z podmontowaniem partycji, ciężko określić czego brakuje, może to być chociażby system plików.

 

Sprawdź czy Vanilla Kernel (oryg z kernel.org) z pozycji "make defconfig && make deb-pkg" będzie działał. Ja nie miałem żadnych problemów i oryginalny kernel śmigał bez zarzutów.


Edytowany przez Archi, 30 styczeń 2013 - 19:20.

  • 0

#24 B0FH

B0FH

    Regularny użytkownik

  • Użytkownicy
  • 97 postów

Napisany 04 luty 2013 - 11:56

dorzucę wycięcie banneru Debiana w wersji ssh

 

/etc/ssh/sshd_config

 

DebianBanner no
 

 

 

oraz programy takie jak DenyHosts, PSAD są o wiele lepsze od Fail2Ban (który jak sam zauważyłem działa niestabilnie)

 

 


Edytowany przez regdos, 04 luty 2013 - 13:03.
Wycięcei spamu

  • 0

#25 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 04 luty 2013 - 12:15

Za wpis o bannerze dziękuję, ale co do DenyHost'a się nie zgadzam, jest ciężko edytowalny, a obecna wersja działa jedynie z SSH, do tego wycina userów metodą hosts.deny, a nie iptables, a tu z kolei nie każda aplikacja obsługuje hosts.deny - firewall (iptables) wycina pakiety całkowicie przed usługą. Do tego wszystkiego nigdy jeszcze z F2B nie miałem problemów, a z denyhostsa korzystałem na długo wcześniej i owszem - jeżeli ktoś potrzebuje go tylko do SSH to się zgadzam (bo mniej zasobów zżera), ale jeśli ktoś ma zamiar tworzyć własne reguły (tak jak napisałem) to denyhosts odpada.


  • 0

#26 ToFFiK

ToFFiK

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 511 postów

Napisany 04 luty 2013 - 18:59

Korzystam z fail2ban'a od jakiś 2 lat, i też po instalacji nie było z nim żadnych problemów mimo licznych ataków, nawet na defaultowym konfigu dobrze chodzi (chyba że pozmieniamy porty, to cfg też trzeba w fail2ban zmienić)

 

Zmiejszenie przez niego zżeranej pamięci"

Dopisać do

/etc/default/fail2ban

na końcu 

ulimit -s 256

Działa wg. mnie stabilnie z tą zmianą, a z ~200MB zużycie zmniejsza się do paru MB


  • 0

#27 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 04 luty 2013 - 19:50

Akurat port nie ma nic do rzeczy, fail2ban analizuje logi, a ścieżka logów się nie zmienia przy porcie :).


  • 0

#28 ToFFiK

ToFFiK

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 511 postów

Napisany 05 luty 2013 - 16:15

No tak, pomyliło mi się z innym programem :)


  • 0

#29 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 05 luty 2013 - 16:17

Ewentualnie port może mieć znaczenie przy banowaniu opcją iptables-multiports zamiast iptables-allports, ale zakładam że raczej warto banować "całkowicie", a nie jedynie dla danego portu :).


  • 0

#30 bryn1u

bryn1u

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 334 postów

Napisany 09 luty 2013 - 16:07

Witam.

 

Bardzo ciekawy i pomocny tutrialik, wiec postanowilem sie pobawic na dedyku z vKVM. W sumie zrobilem wszystko wedle instrkucji i po reboocie juz nie moge sie dostac do servera. Zalogowalem sie do konsoli KVM i jedynie co to dostake takie cos:

[attachment=684:vKVM Grsec Debian 7.jpg

 

Na codzien nie uzywam linuxa, probowalem dojsc w czym rzecz i niestety nie mam pomyslu. Moze ktos cos wie na ten temat. Pozdrawiam.

Załączone pliki


Edytowany przez bryn1u, 09 luty 2013 - 16:07.

  • 0

#31 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 09 luty 2013 - 18:39

"Can't work without intel_agp module!" "couldn't mount because of unsupported optional features"

 

Nabroiłeś z ext3 i grafiką, zbootuj ze starego kernela i jak chcesz się bawić zacznij od make defconfig i nie ruszaj ext3 oraz intel_agp (zaznacz jeśli jest odznaczone).


  • 0

#32 bryn1u

bryn1u

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 334 postów

Napisany 09 luty 2013 - 19:20

"Can't work without intel_agp module!" "couldn't mount because of unsupported optional features"

 

Nabroiłeś z ext3 i grafiką, zbootuj ze starego kernela i jak chcesz się bawić zacznij od make defconfig i nie ruszaj ext3 oraz intel_agp (zaznacz jeśli jest odznaczone).

 

Nie mam w ogole ext3. Zrobilem z make defconfig.


  • 0

#33 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 09 luty 2013 - 19:47

Dziwne, make defconfig powinien standardowo włączyć ext3. Włącz go w takim razie manualnie w filesystem options kernela.


Edytowany przez Archi, 09 luty 2013 - 19:47.

  • 0

#34 bryn1u

bryn1u

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 334 postów

Napisany 13 luty 2013 - 16:01

I wielkie nic.

Skopiowalem OVH config do /usr/src/linux-3.2.38, wpierw nalozylem grsec, poszlo bez problemu pozniej config. Kompilacja tez przeszla bez blednie. Podczas menuconfig sprawdzilem czy sa zaladowane moduly. SA ! Zainstalowalem nowe jajko dpkg -i *.deb, ktory sie znajdowal w /usr/src i po rebocnie jedno wielkie g... A najlepsze jest to, ze jak odpalam server z pierwotnego jajka to tez nie wstaje. Juz wiem czemu ludzie nie lubia linuxa.

Kernel nowy 3.2.38-grsex



Kernel stary 3.2 - OVH




I co mozna zrobic oprocz strzelenia sobie w leb ?


  • 0

#35 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 13 luty 2013 - 16:20

Sprawdzić GRUB'a, OVH'owski kernel to plik "statyczny", on nie ma prawa się zepsuć, za to bootloader może...


  • 0

#36 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 07 marzec 2013 - 12:19

Z racji, że akurat miałem ostatnio styczność z fallback'iem grub'a to dopisałem odpowiednią linijkę do punktu 1A, żeby już nie narażać Was na reinstalację dedyków od samego zera ;).


  • 0

#37 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 kwiecień 2013 - 03:52

Update: Dodano kilka słów od DNS Amplifiaction w podpunkcie o atakach sieciowych oraz wpis o CloudFlare został poszerzony o cały punkt przeznaczony dla tej usługi.

 

Uwagi jak zawsze mile widziane.

 

P.S. Żądam zwiększenia maksymalnej ilości emotikonek w poście! Aż tak dużo ich nie używam :D.


Edytowany przez Archi, 02 kwiecień 2013 - 03:52.

  • 0

#38 mynod3

mynod3

    Nowy użytkownik

  • Użytkownicy
  • 16 postów

Napisany 10 kwiecień 2013 - 23:49

Warto też wspomnieć o AppArmor i SELinux jako alternatywę dla grs, choć z tego co czytałem wymagają większego doświadczenia niż grs. Zresztą jest też chyba tak, że jak się chce zainstalować grs to trzeba wyłączyć App Armor lub SELinux zależnie od dystrybucji - tak mi się wydaje przynajmniej.

 

Archi mam pytanie bo zawsze mnie to ciekawiło. Co się dzieje po kompilacji własnego kernela z aktualizacjami? Trzeba umieszczać jakieś dodatkowe rezpozytoria zeby te patche działały? A co z oficjalnymi updateami np. jak się robi upgrade dystrybucji do nowej wersji? Nie nadpisze się kernel?

 

Swoją drogą ciekawy temat.


  • 0

#39 t4t4v4

t4t4v4

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 396 postów
  • Skąd:Dziki Wschód

Napisany 10 kwiecień 2013 - 23:51

apt-get nie wpływa na kernel z tego co mi wiadomo..

apr-get upgrade nie nadpisuje kernela do nowej wersji - aktualizuje tylko apki i zmienia numerek systemu.


  • 0

#40 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 11 kwiecień 2013 - 00:12

Generalnie jest tak, że kernel może być dostarczony w kilku wersjach. Standardowe dystrybucje debian/ubuntu (ale takie oryginalne z .iso) mają kernela zarządzanego apt-get'em. To się zgadza i w przypadku nowej wersji (i aktualizacji) numerek się zmienia, a nowy kernel jest dodawany do systemu + jako pierwszy bootowalny w grubie (no chyba, że ktoś ma customowe settingsy). Wyjątkiem jest fakt gdy jest to jakiś bugfix i numerek kernela się nie zmienia, wtedy jest nadpisywany na ten stary.

 

Jednak nie zawsze to tak wygląda. Przykładowo debian/ubuntu dostarczany przez OVH w dystrybucjach serwerowych w ogóle nie używa tego sposobu. Zamiast tego dostarczany jest obraz statyczny już skompilowanego kernela i z tego obrazu system bootuje. Różnica jest taka, że oczywiście apt-get go nie wspiera, ale jak najbardziej z takich kerneli również da się bootować, no i najczęściej dostarczają mniej problemów, jako że są "statyczne".

 

Generalnie apt-get jest ściśle związany z DPKG i wszystkie kernele, które nie są dostarczane jako static pliki, a instalowane za pomocą dpkg (tak jak np. nasz własny) się tam znajdą. Za pomocą komendy dpkg -l linux-* można wyszukiwać zarówno bibliotekę libc, headers'y (o ile są dostępne) jak i sam plik linux-image. W ten sam sposób można też kernele odinstalować.

 

Cała kompilacja kernela polega na ściągnięciu źródeł, potrzebnych pakietów do kompilacji (build-essential, gcc i jeszcze kilka), ewentualne zaaplikowanie patchy, stworzenie configa, skompilowanie całości i zainstalowania. Nic poza tym nie jest wymagane, jako że kernel linuxowy jest kernelem monolitycznym i kompiluje się jako jeden wielki bąbel.

 

Jeśli instalujesz kernela przez apt-get'a to apt-get ściąga już skompilowaną przez programistów wersję, którą dpkg po prostu instaluje. Dokładnie identycznie to działa jak u nas z tą różnicą, że nie przechodzimy przez fazę ściągania źródeł i kompilowania. No i oczywiście taki patch jest wtedy kompatybilny z apt-get'em.


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników