Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ubuntu:20-04_server_install [2020/10/11 13:12] – [Timezone] Zeitzone umstellen Sebastian Hetzel
+++ ubuntu:20-04_server_install [2021/10/03 15:21] (aktuell) – [IPv6 abschalten] IPv6 statisch (alternativ) Sebastian Hetzel
@@ Zeile 8: / Zeile 8: @@
   * die Locale auf de_de
   * das Keyboard-Layout auf "German QWERTZ"
+  * Hostname
+===== Handwerkszeug installieren =====
+**aptitude**
+<code>
+# apt-get install aptitude
+</code>
+**VIMnox**
+<code>
+# aptitude install vim-nox
+</code>
+**Midnight Commander**
+<code>
+# aptitude install mc
+</code>
+**Net-Tools (ifconfig, etc.)**
+<code># aptitude install net-tools</code>
 ===== Timezone =====
@@ Zeile 38: / Zeile 58: @@
               NTP service: active
           RTC in local TZ: no
+</code>
+===== NTP Client =====
+<file | /etc/systemd/timesyncd.conf>
+#  This file is part of systemd.
+#
+#  systemd is free software; you can redistribute it and/or modify it
+#  under the terms of the GNU Lesser General Public License as published by
+#  the Free Software Foundation; either version 2.1 of the License, or
+#  (at your option) any later version.
+#
+# Entries in this file show the compile time defaults.
+# You can change settings by editing this file.
+# Defaults can be restored by simply deleting this file.
+#
+# See timesyncd.conf(5) for details.
+[Time]
+NTP=ptbtime1.ptb.de
+FallbackNTP=ptbtime3.ptb.de ptbtime2.ptb.de
+</file>
+Momentane Systemzeit ansehen:
+<code>
+timedatectl
+</code>
+<code>
+                      Local time: So 2018-11-25 11:26:59 CET
+                  Universal time: So 2018-11-25 10:26:59 UTC
+                        RTC time: So 2018-11-25 10:27:00
+                       Time zone: Europe/Berlin (CET, +0100)
+       System clock synchronized: yes
+systemd-timesyncd.service active: yes
+                 RTC in local TZ: no
+</code>
+<code>
+systemctl restart  systemd-timesyncd
+systemctl status  systemd-timesyncd
+● systemd-timesyncd.service - Network Time Synchronization
+   Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled; vendor preset: enabled)
+   Active: active (running) since Sun 2018-11-25 11:29:00 CET; 1s ago
+     Docs: man:systemd-timesyncd.service(8)
+ Main PID: 16475 (systemd-timesyn)
+   Status: "Synchronized to time server 192.53.103.108:123 (ptbtime1.ptb.de)."
+    Tasks: 2 (limit: 2319)
+   CGroup: /system.slice/systemd-timesyncd.service
+           └─16475 /lib/systemd/systemd-timesyncd
+Nov 25 11:29:00 backup systemd[1]: Starting Network Time Synchronization...
+Nov 25 11:29:00 backup systemd[1]: Started Network Time Synchronization.
+Nov 25 11:29:01 backup systemd-timesyncd[16475]: Synchronized to time server 192.53.103.108:123 (ptbtime1.ptb.de).
 </code>
 ===== Reaktivierung von ifupdown =====
@@ Zeile 84: / Zeile 158: @@
 <code>reboot</code>
+===== IPv6 abschalten =====
+<file | /etc/sysctl.conf>
+[...]
+#disable ipv6
+net.ipv6.conf.all.disable_ipv6 = 1
+net.ipv6.conf.default.disable_ipv6 = 1
+net.ipv6.conf.lo.disable_ipv6 = 1
+</file>
+===== IPv6 statisch (alternativ) =====
+<file | /etc/sysctl.d/50-IPv6.conf>
+net.ipv6.conf.default.accept_ra=0
+net.ipv6.conf.default.autoconf=0
+net.ipv6.conf.all.accept_ra=0
+net.ipv6.conf.all.autoconf=0
+</file>
+<file | /etc/network/interfaces>
+iface ens3 inet6 static
+        address 2001:0DB8:0068:9cb9::3
+        netmask 64
+        gateway 2001:0DB8:0068:9cb9::1
+        dns-nameservers 2620:fe::fe 2606:4700:4700::1111
+</file>
+===== Firewall =====
+==== Installation ====
+Die Pakete "''iptables-persistent''" und "''netfilter-persistent''" stehen in direkter Abhängigkeit und müssen daher beide installiert werden.
+<code>
+apt-get update
+aptitude install iptables-persistent netfilter-persistent
+</code>
+Ubuntu kommt von Hause aus mit dem Paket ''ufw'', ebenfalls eine auf iptables-basierende Firewall. Den Job übernimmt nun netfilter-persistent, daher deinstalliere ich es:
+<code>
+aptitude purge ufw
+</code>
+==== Konfiguration / Regelwerk ====
+Um ein Regelwerk zu kreieren, empfehle ich, ein Bash-Skript mit iptables-Befehlen zu schreiben. Sobald dieses ausgeführt worden ist, muss das Regelwerk abgespeichert werden. Dies geschieht mit folgendem Befehl:
+<code>
+netfilter-persistent save
+</code>
+Netfilter erstellt nun unter ''/etc/iptables'' zwei Dateien, ''rules.v4'' und ''rules.v6''. Die Dateien add-blocked.ips sowie blocked.ips stammen von einem eigenen Erweiterungskript, mit dem sich IP-Adressen einfach einer Sperrliste hinzufügen lassen. Darauf werde ich hier nicht weiter eingehen.
+<code>
+ll /etc/iptables/
+insgesamt 24
+drwxr-xr-x  2 root root 4096 Feb  7 23:47 ./
+drwxr-xr-x 99 root root 4096 Feb  7 23:18 ../
+-rwxr-xr-x  1 root root  742 Feb  7 23:43 add-blocked.ips*
+-rw-r--r--  1 root root    0 Feb  7 23:18 blocked.ips
+-rw-r-----  1 root root 4189 Feb  7 23:46 rules.v4
+-rw-r-----  1 root root  183 Feb  7 23:46 rules.v6
+</code>
+Die Firewall sollte nun bereits einsatzfähig sein.
+==== Logfile ====
+Dummerweise schreibt iptables das syslog voll, welches somit unübersichtlich wird. Mit Hilfe des rsyslogd leite ich die Ausgaben in eine eigene Datei um:
+<code>vi /etc/rsyslog.d/25-iptables.conf</code>
+Damit dieser Weg funktioniert, habe ich mittels des Parameters --log-prefix  von iptables der Ausgabe das Präfix "IPT:" hinzugefügt. Das könnnen wir uns als Filter zur Nutze machen.
+<file | /etc/rsyslog.d/25-iptables.conf>
+:msg,contains,"IPT:" -/var/log/iptables.log
+& ~
+</file>
+Beim ersten Mal muss die Datei erstellt werden und mit Rechten für den rsyslogd versehen werden.
+<code>
+touch /var/log/iptables.log
+chown syslog.adm /var/log/iptables.log
+</code>
+Die Änderungen werden erst nach einem Dienstneustart übernommen.
+<code>service rsyslog restart</code>
+Das Logfile wird schnell groß und sollter daher rotiert werden:
+<file | /etc/logrotate.d/iptables>
+/var/log/iptables.log
+{
+        rotate 7
+        daily
+        missingok
+        notifempty
+        delaycompress
+        compress
+        create 640 syslog adm
+        sharedscripts
+}
+</file>
+===== Fail2Ban =====
+Fail2Ban sollte meiner Meinung nach auf jeder Maschine laufen, die über SSH im Internet administriert wird. Natürlich ist die Absicherung weiterer Dienste wie SMTP, FTP, usw. ebenso sinnvoll.
+==== Installation und erste Konfiguration ====
+<code>
+# aptitude install fail2ban
+</code>
+<file >
+[...]
+# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban
+# will not ban a host which matches an address in this list. Several addresses
+# can be defined using space (and/or comma) separator.
+#ignoreip = 127.0.0.1/8 ::1
+ignoreip = 127.0.0.1/8
+[...]
+# External command that will take an tagged arguments to ignore, e.g. <ip>,
+# and return true if the IP is to be ignored. False otherwise.
+#
+# ignorecommand = /path/to/command <ip>
+ignorecommand =
+# "bantime" is the number of seconds that a host is banned.
+bantime  = 86400
+# A host is banned if it has generated "maxretry" during the last "findtime"
+# seconds.
+findtime  = 600
+# "maxretry" is the number of failures before a host get banned.
+maxretry = 6
+[...]
+#
+# JAILS
+#
+#
+# SSH servers
+#
+[sshd]
+enabled = true
+# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
+# normal (default), ddos, extra or aggressive (combines all).
+# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
+#mode   = normal
+port    = 4444
+logpath = %(sshd_log)s
+backend = %(sshd_backend)s
+[...]
+</file>
+==== IP entsperren ====
+<code>
+# fail2ban-client set <JAIL> unbanip <IP>
+</code>
 ===== "Mini" Postfix =====
 Der MTA Postfix soll nur dazu dienen Mails zu versenden. So können Informationen, zum Beispiel an den Admin, vom System versendet werden oder Webseiten können mit Ihren Benutzern kommunizieren, wenn beispielsweise ein Passwort zurückgesetzt werden soll.