Seminar T op 10@syshelp

Top10@Helpdesk 1

Seminar TSeminar Topop 10@syshelp10@syshelpHelpdesk za sistem-inženjere

[email protected]

Telefon: 01 6165 680

Osnovna ideja:Osnovna ideja:

• Stručna pomoć sistem-inženjerima

• Centralno koordiniranje upita između različitih grupa

• Savjetovanje

Priredio: Božo Juretić <[email protected]>

Top10@Helpdesk 2

Seminar TSeminar Topop 10@syshelp10@syshelp

Plan seminara

1. Brisanje mailova korisnika za određeno razdoblje (Debian)

2. Sendmail: blokiranje spammera na lošoj mreži

3. Rad sa AIDE sustavom

4. Popravak «puknutih» instalacija programskih paketa

5. LDAP: promjena root passworda

6. LDAP: problemi u instalaciji novih paketa

7. Problemi sa random-om na Solarisu

8. Problemi sa PINE-om

9. Downgrade unstable/testing Debiana na stable

10. Upute za izradu vlastitih .deb paketa za Debian i Solaris

Top10@Helpdesk 3

Seminar TSeminar Topop 10@syshelp10@syshelp

Dodatni sadržaji:

1. Novi projekti: AIDE-Central

2. Centralna Snort analitička konzola

3. Slobodna rasprava i pitanja koja ćemo nastojati zajednički riješiti

Top10@Helpdesk 4

1. 1. Brisanje mailova za određeno razdobljeBrisanje mailova za određeno razdoblje (Debian)(Debian)

UpitUpit

>Pa recimo da hocu pobrisati sve poruke iz mailboxeva korisnika starije od >sredine 2002-e. Da da, Debian je.

Rješenje:Rješenje:

Pobrisati poruke pomoću skripte mail-expire

Npr.

$ mail-expire --delete <broj dana>

Rezime problema:Rezime problema: nakon postavljanja FEATURE(`dnsbl',`relays.ordb.org'), mailovi se ne isporučuju ni

lokalno u slučaju ispada mreže

Top10@Helpdesk 5

1. 1. Brisanje mailova za određeno razdobljeBrisanje mailova za određeno razdoblje (Debian)(Debian)

Program nije u stable distribuciji Debiana, pa cete ga morati instalirati rucno:

# apt-get install libcompress-zlib-perl libdate-calc-perl (perl moduli koje program koristi)

$ wget 'http://ftp.us.debian.org/debian/pool/main/m/mail-expire/mail-expire_0.4_all.deb'

# dpkg -i mail-expire_0.4_all.deb

# zsh# cd /var/mail# for i in * (udarite enter)# do# mail-expire --delete <broj dana> $i# chown $i:mail $i# chmod 660 $i# done

Top10@Helpdesk 6

2. 2. Sendmail: blokiranje spammeraSendmail: blokiranje spammera sa loše mreže sa loše mreže

Upit:Upit:

>U sendmail.mc sam jos davno dodao slijedece:

>FEATURE(`dnsbl',`relays.ordb.org',`"550 Email rejected due to sending server

>misconfiguration - see ")

>Medjutim poradi i glede cestog ispadanja dijela mreze, sendmail mi ne salje mejlove

>cak ni lokalno, pa pretpostavljam da je problem u ovom FEATURE-u. Ocito se

>pokusava spojiti na ordb.org, ali mu to ne ide. Pa sad, sto mislite koliko je ovo uopce

>korisno iz vasega iskustva, postoji li neka druga opcija i jeli mi se to uopce desava

>zbog toga ili je nesto drugo?

Top10@Helpdesk 7

2. 2. Sendmail: blokiranje spammeraSendmail: blokiranje spammera sa loše mreže sa loše mreže

Rješenje u /etc/mail/access dodati liniju

127.0.0.1 OK

pokrenuti

# cd /etc/mail

# makemap hash access.db < access

restartati sendmail

# /etc/init.d/sendmail restart

Top10@Helpdesk 8

3. 3. Rad sa AIDE sustavom Rad sa AIDE sustavom

AIDE – Advanced Intrusion Detection EnvironmentAIDE – Advanced Intrusion Detection Environment

provjerava integritet podataka na datotečnom sustavuprovjerava integritet podataka na datotečnom sustavu kreira bazu podataka sa checksumima svih fajlova kreira bazu podataka sa checksumima svih fajlova usporedjuje trenutno stanje sa bazom i ispisuje razlike usporedjuje trenutno stanje sa bazom i ispisuje razlike

(mailom ili u na konzoli) (mailom ili u na konzoli)

Top10@Helpdesk 9


Upit:Upit:

>> Samo jedno pitanjce vezano uz AIDE. Dakle, ako sam dobro shvatio,Samo jedno pitanjce vezano uz AIDE. Dakle, ako sam dobro shvatio,

>> svaki put kad se bilo stosvaki put kad se bilo sto

>> instalira, nakon toga je potrebno napraviti "aide --init", potom uinstalira, nakon toga je potrebno napraviti "aide --init", potom u

>> /var/lib/aide promijeniti/var/lib/aide promijeniti aide.db.new u aide.db?aide.db.new u aide.db?

>> Mislim da je to ono sto treba napraviti pa molim nadopunite, Mislim da je to ono sto treba napraviti pa molim nadopunite,

> > akoako nije :)nije :)

Top10@Helpdesk 10


Način korištenjaNačin korištenja podešavanje aide.conf-apodešavanje aide.conf-a inicijalizacija bazeinicijalizacija baze

# aide –init (ili aideinit)# aide –init (ili aideinit)

gledanje razlika sagledanje razlika sa

# aide –check# aide –check

Prepisivanje baze sa trenutnim stanjem datottečnog sustava saPrepisivanje baze sa trenutnim stanjem datottečnog sustava sa

# cd /var/lib/aide# cd /var/lib/aide

# mv aide.db.new aide.db# mv aide.db.new aide.db

Top10@Helpdesk 11


PretpostavkePretpostavke:: bazu je na readonly mediju, ili zaštićena od brisanja i izmjene od bazu je na readonly mediju, ili zaštićena od brisanja i izmjene od

strane napadačastrane napadača praćenje ispisa aide –check , jer inapraćenje ispisa aide –check , jer inačče stvar nema smislae stvar nema smisla

Prijedlog:Prijedlog:

# aideinit - nakon svako# aideinit - nakon svakogg update-a stroja, update-a stroja,

ali prije provjeriti stanje saali prije provjeriti stanje sa

# # aide --checkaide --check

Top10@Helpdesk 12

4. 4. Popravak «puknutih» instalacija Popravak «puknutih» instalacija paketapaketa

Problem se javlja pri instalaciji programskih paketa, koji se zbog nekog razloga ne uspiju do kraja instalirati.

Simptomatika:

neispravan rad servisa

neispravan status paketa

$ dpkg -l openldap-cn

Desired=Unknown/Install/Remove/Purge/Hold

| Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed

|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad)

||/ Name Version Description

======================================================

iF openldap-cn 2.1.17-5 OpenLDAP server and client with utility for easy start

Top10@Helpdesk 13


Rješenja: javiti problem grupi za pakete na [email protected] i čekati da oni poprave paket NE kontaktirati maintainere paketa preko telefona, ukoliko oni to nisu eksplicitno

dopustili pokušati samostalno riješiti problem i o problemu i rješenju obavijestiti

maintainera paketa

Samostalno rješenje problema Prvo pogledamo informacije o paketu koji je problematican

$ dpkg –l openldap-cn

$ dpkg –s openldap-cn

Top10@Helpdesk 14


Postupak popravljanja paketa

oslanja se na poznavanje problematike iz pitanja br. 1 Ukoliko iz poruke koju paket ispisuje pri neuspješnoj instalaciji nije očito kako

popraviti instalaciju, treba pogledati datoteke u

var/lib/dpkg/info/paket.*

Pogledati datoteke postinst, preinst, prerm … i u njima pokušati otkriti gdje je problem

Ukoliko problem nije očit, pokušati editirati te skripte i na njihov vrh umjesto pozivanja shella pozvati shella sa –x opcijom za ispisivanje naredbi koje se trenutno izvrsavaju pri instalaciji:

#!/bin/sh promijeniti u #!/bin/sh –x

Top10@Helpdesk 15


Pokrenuti dpkg --configure –a i vidjeti dali je problem rijesen, odnosno paket uredno instaliran (dpkg –l vraca uredan ii status)

Ponavljati zadnja dva koraka dok se greška ne otkrije i ispravi Prepakirati paket postupkom sličnim onome u pitanju 1:

- otpakirati naispravan paket sa kontrolnim datotekama na neko mjesto

- prepisati ispravljene postinst i ostale datoteke unutar tog direktorija

- prepakirati paket sa

$ dpkg –b paket .

Poslati na [email protected] u čemu se sastojao problem i koje mu je

rješenje

Top10@Helpdesk 16

5. 5. LDAP: promjena root passwordaLDAP: promjena root passworda

Nekada je trebalo napraviti .ldif sa izmijenjenim podacima (i sada potrebno ukoliko se mijenjaju poaci za korisnike iz komandne linije – sada preko sučelja)

Sada se obavlja uz pomoć slappasswd alata

Izmjena se vrši putem rootpw direktive u /etc/ldap/slap.conf (na Solarisu /usr/local/etc/ldap/slapd.conf)

Primjer takve linije:

rootdn "cn=admin,dc=adu,dc=hr"

rootpw {crypt}H17H7AH.3dW46

Top10@Helpdesk 17


Postupak

Generiranje hash vrijednosti nove lozinke sa slappasswd

# slappasswdNew password: (unos)

Re-enter new password: (unos)

(vraća)

{SSHA}gxXS4A8++BhJASlDMOPOhkicmK6Wcik6

Top10@Helpdesk 18


{SSHA}gxXS4A8++BhJASlDMOPOhkicmK6Wcik6

Liniju {SSHA} upisati pored direktive rootpw u slapd.conf-u, tako da linije sada izgledaju ovako

rootdn "cn=admin,dc=adu,dc=hr"

rootpw {SSHA}gxXS4A8++BhJASlDMOPOhkicmK6Wcik6

Restartati slapd sa

# /etc/init.d/slapd stop

# /etc/init.d/slapd start

Top10@Helpdesk 19

( savjet: ( savjet: LDAP preko HTTPS-a)LDAP preko HTTPS-a)

RazloziRazlozi

Trenutno sav promet u kojemu koordinator preko web sučelja unosi i mijenja podatke korisnika CMU-a putuje neenkriptiran preko mreže

OpasnostiOpasnosti Bilo tko može usniffati promet i saznati LDAP administratorsku lozinku i otvarati N

korisničkih računa, ili im mijenjati status, što se teško otkriva Narušena sigurnost sustava (iste lozinke za LDAP i shell accounte?)

Top10@Helpdesk 20

((savjet: LDAP preko HTTPS-a)savjet: LDAP preko HTTPS-a)

Način izvedbeNačin izvedbe

Podešavanje apache-a da radi sa mod_ssl-om

ProvedbaProvedba

(Debian) Instalirati najnoviji apache-cn paket koji sve podesava automatski: SSL dobivate out-of-the-box i ostaje samo koristiti ga na način:

Umjesto http://www.domena.hr/ldapKoristiti https://www.domena.hr/ldap

Ubrzo planiramo omogućiti automatsku preusmjeravanje sa

http://ldap.domena.hr/ => https://www.domena.hr/ldap (jednostavno za koordinatore, ne moraju misliti o SSL-u, sve se događa automatski)

Top10@Helpdesk 21

6. 6. LDAP: problemi u instalaciji paketaLDAP: problemi u instalaciji paketa

Razlozi za upgrade bolja integracija u sustav (poštuju CARNetovu paketnu politiku) implementirane nove access kontrole omogućen udaljeni backup LDAP imenika na SRCU bolje funkcioniranje kombinacije openldap, radius, web sučelje lako upgradanje u budućnosti kompatibilnost sa Debian standardom

Redoslijed instaliranja paketa 1. libdb4, libsasl i libdb3

2. openldap

3. freeradius

4. cn-ldap-hr (web sučelje)

Top10@Helpdesk 22


Najčešći problemi u instalaciji (Debian)Najčešći problemi u instalaciji (Debian)(upgrade sa paketa Dubravka Penezica, CMUNG na pakete Josipa Rodina)

1. Problem: slapd se nije dobro instalirao, pa puca instalacija openldap-a

apt-get install openldap-cn vracaDumping directory to /var/backups/slapd-2.0.23-6.ldif...

/var/lib/dpkg/tmp.ci/preinst: slapcat: command not founddpkg: error processing /var/cache/apt/archives/slapd_2.1.17-1_i386.deb(--unpack):

Rješenje:

dpkg –P slapd; apt-get install slapd; apt-get install openldap-cn Eventualno pogreška u /var/backups/slapd-2.0.23-6.ldif datoteci – potrebno ispraviti

DC= liniju

Top10@Helpdesk 23


2. Problem: Greška sa atributima (nedostaju ili su duplicirani)

Rješenje:

U /etc/ldap/slapd.conf-u pomaknuti include linije sa dna datoteke na vrh, pored drugih include linija

Provjeriti dali se neke include linije ponavljaju na vrhu i dnu datoteke

Top10@Helpdesk 24


3. Problem: Nije pokrenuta naredba slapcat prije upgrade-a paketa

Rješenje:

Instalirati STARI paket koji zna citati stari format baze

(potraziti ga u /var/cache/apt/archives)

Izvršiti slapcat nakon instalacije

slapcat -l /var/backups/slapcat.openldap-cn

Pokrenuti instalaciju openldap-cn

apt-get update

apt-get install openldap-cn

Top10@Helpdesk 25


ProblemProblem U slapd.conf-u umjesto rootovog passworda stoji:

rootdn "cn=admin,dc=ihjj,dc=hr"

rootpw Incorrect number of arguments

(pokreška u samom paketu)

Rješenje Isto kao i za promjenu LDAP root passworda (slappasswd)

Top10@Helpdesk 26


ProblemProblem

Ne prolazi instalacija openldap-cn-a, iako je napravljen slapcat

RješenjeRješenje staru bazu u /var/openldap/openldap-ldbm pomaknite na drugo mjesto

Top10@Helpdesk 27


Problem Pri instalaciji openldap-cn javlja

slapadd: dn="dc=efri,dc=hr" (line=20): (64) value of naming attribute 'dc'

is not present in entry

couldn't insert old data: No such file or directory

Do greške dolazi ukoliko ukoliko se u datoteci

/var/backups/slapcat.openldap-cn razlikuje dc podatak u poljima dn i dc

Rješenje Promijeniti polja tako da dc podataka u dn idc poljima bude isti

Top10@Helpdesk 28


ProblemProblem Instalacija paketa javlja:Instalacija paketa javlja:

>slapadd: dn="cn=admin,dc=efri,dc=hr" (line=39): (64) value of naming>attribute 'cn' is not present in entry>couldn't insert old data: Illegal seek

RješenjeRješenje Zamijeniti linije u /var/backups/slapcat.openldap-cn

dn: cn=root,dc=efri,dc=hrcn: admin

… u

dn: cn=admin,dc=efri,dc=hrcn: admin

Top10@Helpdesk 29

7. 7. ProblemiProblemi sa random-om na Solarisusa random-om na Solarisu

Problem random modul (Sun patch 112438) ne instalira se kako treba

Rješenja Rebootanje stroja, ukoliko je zaboravljeno Ručna instalacija patcha kojeg nosi random paket

Dijagnostika problema $ ssh neki_host vraća

PRNG is not seeded

Top10@Helpdesk 30


Ručna instalacija patcha

Prvo pogledamo dali je patch instaliran sa

$ showrev -p | grep 112438

Ukoliko nije instaliran (showrev ne vraća nešto), rješenje je:

# cd /usr/local/doc/random

# unzip 112438-01.zip

# cp –pr 112438-01 /tmp

# cd /tmp

# patchadd 112438-01

# add_drv random

Top10@Helpdesk 31


Ukoliko showrev -p | grep 112438 vrati nešto slično ovome:

Patch: 112438-01 Obsoletes: Requires: Incompatibles: Packages: SUNWcarx, SUNWcsr, SUNWmdb, SUNWmdbx, SUNWhea

Potrebno je pogledati dali je učitan modul

# modinfo | grep random

Ukoliko nije učitan učitati ga sa

# add_drv random

Isprobati random sa ssh localhost

Top10@Helpdesk 32

8. 8. Rješenje problema sa PINE-om (Sol)Rješenje problema sa PINE-om (Sol)

ProblemProblem Pine javlja nesigurne permissione na /var/mail direktoriju Pine nudi rješenje: 1777 na /var/mail Nedostaci rješenja: svi mogu pisati (možda nema quote?)

RješenjeRješenje

umjesto chmod 1777 kako pine sugerira (svatko može pisati u /var/mail), staviti setgid na pine

# chmod 1775 /var/mail# chgrp mail /var/mail# chmod g+s /usr/local/bin/pine# chgrp mail /usr/local/bin/pine

Top10@Helpdesk 33

9. 9. Downgrade unstable/testing Debiana na stableDowngrade unstable/testing Debiana na stable

UpitUpit::

>imam problem na serveru XXX.XXX.hr, ostali su stari podaci u

>/etc/apt/sources.list datoteci te su se instalirali testing paketi,

>pokusao sam ih skinuti, ali nisam uspio ni s dpkg --purge, niti apt-get

>remove, zapelo je kod mysql-server paketa:

>

>root@XXXXt:~# apt-get remove mysql-server (apt ovdje ispisuje kako ne može deinstalirati pakete jer mnogo drugih ovisi o njima)

Top10@Helpdesk 34


RazloziRazlozi

nestabilne distribucije nemaju security updateove

Uzroci Uzroci zabuna pri prelasku na stable distrbuciju (prekasna promjena linija u

/etc/apt/spurces.list sa unstable/testing na stable)

TrajanjeTrajanje:: oko 2h, bez komplikacija

Top10@Helpdesk 35


Rješavanje:Rješavanje: Prvo podesiti ispravne linije u /etc/apt/sources.list

# Osnovno

deb http://security.debian.org stable/updates main contrib non-free

deb http://debian.carnet.hr/debian stable main contrib non-free

deb http://ftp.carnet.hr/pub/debian carnet core opt

# Izvorni kodovi

deb-src http://debian.carnet.hr/debian unstable main contrib non-free

Top10@Helpdesk 36


Prepravljanje /etc/apt/sources.list tako da se linije sa unstable/testing zamijene sa stable (ili woody)

Pokretanje skripte koja će skinuti definicije paketa za stable distribuciju te koja će napraviti sljedeće

- Usporediti verziju paketa na sustavu sa verzijom paketa u stable distribuciji

- Ukoliko je verzija paketa na sustavu veća od one u distribuciji forsirati instalaciju starije verzije paketa

Skriptu se pokreće na sljedeći način:

# cd /var/lib/apt/lists

( # apt-get install grep-dctrl , zahtjeva da skripta)

# apt-get update

Top10@Helpdesk 37


# zsh

# for i in $(COLUMNS=200 dpkg -l | grep ^.i | awk '{print $2}');

do

if dpkg --compare-versions "$(grep-dctrl -F Package -X $i -s Version -n

*_Packages)" lt "$(COLUMNS=200 dpkg -l $i | grep $i | awk '{print $3}')";

then

echo $i;

apt-get -t stable install $i=`grep-dctrl -F Package -X $i –s Version -n *_Packages`;

fi;

done

Top10@Helpdesk 38


Izbrisane pakete vratiti rucno Neke pakete možda ne želite downgradeati, i zato na svaki upit odgovarate

posebno

Top10@Helpdesk 39

10. Izrada10. Izrada vlastitih .deb paketa za Debian i Solaris vlastitih .deb paketa za Debian i Solaris

Napredna tematika Potrebno dobro poznavanje sustava i

programa kojega se “paketira” Potreba i procjena smisla paketiranja

nekog programa

Top10@Helpdesk 40


Definicija:Definicija:

Paket je skup izvršnih, konfiguracijskih, bibliotečnih i

dokumentacijskih datoteka, podešenih tako da instalacijom

omogućuju osnovnu funkcionalnost programa koji je zapakiran.

Praktična primjena i smisao paketa: Praktična primjena i smisao paketa: Podešavanja programa za vlastite potrebe Izrada paketa iz programa koji nisu zapakirani, radi čistoće

sustava i lakešeg održavanja Promjena konfiguracija na više računala jednokratnim

procesom

Top10@Helpdesk 41


Procedura izrade novog programskog paketa

Priprema: Priprema: Odabir paketa za paketiranje download izvornog koda proucavanje instalacijske dokumentacije pokretanje ./configure (--help) skripte make (kompajliranje)

U ovoj fazi program je pripremljen za paketiranje: U ovoj fazi program je pripremljen za paketiranje: izvršne datoteke i biblioteke su izgrađene iz izvornog koda dokumentacija je na poznatom mjestu.

Top10@Helpdesk 42


Osnovna izrada paketa

pokretanje make install narebe, sa istovremenim praćenjem promjena stanja datotečnog sustava uz pomoć installwatch-a:

# installwatch –o izlaz.installwatch make install

Kreiranje inicijalnog paketa iz popisa paketa skriptom inst2deb:

# inst2deb izlaz.installwatch paket_name

(odgovara se na pitanja o paketu)

U ovoj fazi imamo kreiran inicijalni paket.U ovoj fazi imamo kreiran inicijalni paket.

Top10@Helpdesk 43


Naknadno podešavanje paketaNaknadno podešavanje paketa

U ovoj fazi osnovni paket proširujemo uključivanjem dokumentacije,

i podešavanjima sustava koje paket automatski izvodi

Redom: Otpakiramo osnovni paket u zaseban direktorij sa dpkg-om

$ dpkg –x neki_paket.deb neki_direktorij Otpakiramo i konfiguraciju paketa u isti direktorij

$ cd neki_direktorij

$ dpkg –e ../neki_paket.deb

(ovo će kreirati direktorij DEBIAN u direktoriju neki_direktorij)

Top10@Helpdesk 44


Naknadno podešavanje paketaNaknadno podešavanje paketa

Podešavamo skripte u DEBIAN direktoriju Uključimo u paket dokumentaciju i dodatne datoteke,

ukoliko su potrebne Obavezno(!): promijeniti vlasnistvo svih fajlova na

ispravne vrijednosti, npr.:

# chown –R root:root neki_direktorij

Izrada finalnog programskog paketa

# dpkg –b neki_direktorij . (Ovo će kreirati neki_paket.deb u trenutnom direktoriju.)

Top10@Helpdesk 45


Isprobavanje paketaIsprobavanje paketa

Istestiramo rad paketa sa

# dpkg –i neki-paket.deb Provjerimo ispravnost control datoteke sa

$ dpkg –I neki-paket.deb odnosno, nakon instalacije paketa sa

$ dpkg -l neki-paket

$ dpkg -s neki-paket

Alati za izradu paketa, poput skripte inst2deb će biti dostupni na Alati za izradu paketa, poput skripte inst2deb će biti dostupni na

http://sistemac.carnet.hr/obrazovanje/seminari/top10http://sistemac.carnet.hr/obrazovanje/seminari/top10

Top10@Helpdesk 46


Isprobavanje paketaIsprobavanje paketa

Istestiramo rad paketa sa

# dpkg –i neki-paket.deb Provjerimo ispravnost control datoteke sa

$ dpkg –I neki-paket.deb odnosno, nakon instalacije paketa sa

$ dpkg -l neki-paket

$ dpkg -s neki-paket

Alati za izradu paketa, poput skripte inst2deb će biti dostupni na Alati za izradu paketa, poput skripte inst2deb će biti dostupni na


Top10@Helpdesk 47

Dodatni sadržajiDodatni sadržaji

1. AIDE central – log collector

2. Snort central security console

Top10@Helpdesk 48

Projekti: AIDE CentralProjekti: AIDE Central

Novi projekt u nizu sigurnosnih projekata SRCE+CARNet-a

Namjena (sigurna pohrana i dohvat baze sa stanjem datotečnog sustava)

Korištenje Implementacija

Top10@Helpdesk 49

Projekti: Snort Central Log CollectorProjekti: Snort Central Log Collector

Nadziranje sigurnosti mreže CARNet sa centralne “sigurnosne konzole” na SRCU

Nadzor vrši administrator cjelokupne mreže (stručnjak za sigurnost) ili sistemac za ustanovu

Mogućnosti Daljnja proširenja (otvoreno za prijedloge)

Top10@Helpdesk 50

Kraj seminara: otvorena diskusijaKraj seminara: otvorena diskusija

Zahvaljujem na strpljivosti.

Svi materijali vezani uz ovaj seminar biti će dostupni na


Documents

Seminar T op 10@syshelp