Για ποιο λογο αυτο εδω εγινε ξεχωριστο πακετο οταν ο συγχρονισμος της ωρας εινια built in feature του systemd απο τις πρωτες εκδοσεις του?
https://packages.debian.org/sid/systemd-timesyncd
Εμφάνιση 286-300 από 971
-
05-04-20, 07:14 Απάντηση: Το thread του Debian (v.5) #286ديميتريس
-
05-04-20, 10:39 Απάντηση: Το thread του Debian (v.5) #287
Edit: Έσβησα αυτό που έγραψα πριν γιατί ήταν μια γενική συνήθεια σε διανομές αλλά δεν ισχύε στο debian οπότε έγραψα μ..κίες. Ο πραγματικός λόγος που διαχωρίστηκε το πακέτο στην περίπτωση του debian φαίνεται στο changelog και είναι το παρακάτω:
systemd (245.4-2) unstable; urgency=medium
[ Balint Reczey ]
* Ship systemd-timesyncd in a separate package.
The new systemd-timesyncd package conflicting with other NTP-related
packages resolves the problems arising when running systemd-timesyncd
and other NTP servers on the same system.
(LP: #1849156, Closes: #805927, #947936)
-- Michael Biebl <biebl@debian.org> Sat, 04 Apr 2020 08:59:50 +0200Τελευταία επεξεργασία από το μέλος imitheos : 05-04-20 στις 10:56.
"I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
06-04-20, 17:07 Απάντηση: Το thread του Debian (v.5) #288
Πηγαν να με χακαρουν ή μου φαινεται? Ανοιξα πριν λιγο το cockpit και βλεπω αυτο φατσα καρτα, με κοκκινα γραμματα!
Κώδικας:There were 6 failed login attempts since the last successful login. Last login: Apr 5, 2020 11:26:01 AM on tty2 Last failed login: Apr 6, 2020 2:08:08 PM from 141.98.81.113 on ssh:notty
- - - Updated - - -
Πως θα ζητησω απο το dkms να μου ξαναχτισει τον nvidia 340 τωρα που τον πατσαρα?
- - - Updated - - -
Τα καταφερα. Για το patch ηθελε αυτο
Κώδικας:patch /usr/src/nvidia-legacy-340xx-340.108/uvm/Makefile < 03-unfuck-for-5.5.x.patch
Κώδικας:dkms autoinstall
ديميتريس
-
07-04-20, 00:08 Απάντηση: Το thread του Debian (v.5) #289
-
07-04-20, 09:52 Απάντηση: Το thread του Debian (v.5) #290
Με κωδικο ειμαι και με την 22 forwarded στο ρουτερ, γιαυτο με πετυχαν ετσι ευκολα. Το fail2ban θελει κατι ιδιαιτερο σαν ρυθμιση ή απλα το βαζω και τερμα?
- - - Updated - - -
Το πιο απλο howto που βρηκα ειναι αυτο εδω. Αρκουν ολα αυτα που λεει εκει περα ή θα χρειαστω κι αλλα?
https://www.techrepublic.com/article...-server-18-04/ديميتريس
-
07-04-20, 09:58 Απάντηση: Το thread του Debian (v.5) #291
Για το ssh ειναι στο default configuration, οποτε απλα κανεις την εγκατασταση και το τρεχεις, αλλα και να χρειαστεις να φτιαξεις local.jail δεν ειναι τιποτε υπαρχουν χιλιαδες γραμμες τεκμηριωσης στο internet. Σε server ubuntu που το ειχα ολα καλα, τωρα σε ενα server opensuse δεν βλεπω κινηση στο log του και με ανησυχει λιγο. Επισης και να αλλαξεις port αργα ή γρηγορα θα σε ξαναβρουνε δεν υπαρχει περιπτωση, εδω στον οικιακο μου υπολογιστη βλεπω να κανουν port scan (Κινεζοι, Τουρκοι και Ρωσοι) Τελος νομιζω θα ηταν καλυτερο,αν ειναι εφικτο να πας σε login με public-key, νομιζω ειναι ποιο ασφαλη.
-
07-04-20, 11:36 Απάντηση: Το thread του Debian (v.5) #292
Καλό θα ήταν να αλλάξεις την 22 σε κάτι άσχετο. Επίσης μπορείς να δοκιμάσεις και το port knocking για να ανοίξει την 22!
-
07-04-20, 11:55 Απάντηση: Το thread του Debian (v.5) #293
Αν βαλω key, δεν θα πρεπει να το εχω σε καθε client που χρησιμοποιω για να συνδεθω με ssh? Το ιδιο και για το knockd. Θα πρεπει να συνδεθω σερι σε 3 πορτες, αν καταλαβα καλα, για να με αφησει?
Μηπως να δω τι πορτες εχω ανοιχτες γενικα και μετα να παω να ξαναενεργοποιησω τις abuse ports απο τον οτε?ديميتريس
-
07-04-20, 13:36 Απάντηση: Το thread του Debian (v.5) #294
Σε καθε client θα φταιξεις ενα ζευγαρι public-private key και μετα θα στειλεις το public key στον server σου.Αν ειναι μπελας αστο απλα φροντισε ο κωδικος σου να ειναι ισχυρος, δεν νομιζω να εχεις θεμα κυριως με τα ban που θα τρωνε δυσκολα θα σου κανουν κατι. Αυτο με τον ΟΤΕ δεν το καταλαβα. Abuse δηλαδη τι; το εχω σε καθε whois που τρεχω αλλα δεν ειμαι σιγουρος τι κανει.
-
07-04-20, 13:43 Απάντηση: Το thread του Debian (v.5) #295
Ο οτε εχει κλειστες ολες τις πορτες απο 1 ως 1024, την 80, την 8080 και ακομα μια αν θυμαμαι καλα. Και στις ανοιγει αν συμπληρωσεις μια φορμα στη σελιδα τους. Ετσι εκανα πριν 5 χρονια και τις ανοιξα. Κατσε να ρωτησω στο σχετικο θεμα να μου πουνε.
Κωδικο δεν θελω να αλλαξω, επειδη χρονια τωρα εχω τον ιδιο και το χερι μου παει αυτοματα οταν τον πληκτρολογει. Βασικα, μια φορα τον αλλαξα δοκιμαστικα και επειδη πληκτρολογουσα μηχανικα τον παλιο κωδικο, με πεταγε και αρχιζα τα καντηλια μεχρι που τον αλλαξα.ديميتريس
-
07-04-20, 13:59 Απάντηση: Το thread του Debian (v.5) #296
Σε καταλαβαινω για τον κωδικο, να σου πω δεν πιστευω οτι θα εχεις πραγματικο προβλημα, απλα βαλε fail2ban να εισαι ποιο σιγουρος. Εμενα πχ με το fail2ban αρχησα να εχω προσπαθειες απο αλλες ip απο το ιδιο δικτυο ομως, για λιγο καιρο και μετα εκοψα ολοκληρα δικτυα στο ufw-iptables και ησυχασα. Βεβαια ολα για ψυχολογικους λογους εγιναν δεν υπηρξε ουτε μια υπονοια οτι κατι καταφεραν.
-
07-04-20, 14:46 Απάντηση: Το thread του Debian (v.5) #297
Σίγουρα fail2ban, port knocking, κτλ βοηθάνε αλλά ίσως είναι overkill για αυτό που θέλεις. Άλλαξε όπως είπες την πόρτα και είσαι οκ για το 99% των brute forcers. Για να μην μπλέξεις με ΟΤΕ και φόρμες, βάλε μια τυχαία πόρτα > 1024 ώστε να μην την κόβει.
Κώδικας:% cat /tmp/rp.sh #!/bin/bash rport=1000 while [ $rport -le 1500 ]; do rport=$RANDOM grep "${rport}/tcp" /etc/services > /dev/null if [ $? = 0 ]; then rport=1000 fi done echo Random port not assigned in services is $rport Έξοδος: % /tmp/rp.sh Random port not assigned in services is 22404 % /tmp/rp.sh Random port not assigned in services is 15086 % /tmp/rp.sh Random port not assigned in services is 4856
"I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
07-04-20, 14:46 Απάντηση: Το thread του Debian (v.5) #298
Με το Port Knocking δεν χρειάζεσαι το knockd σε κάθε σύστημα, μόνο στον server. Μπορείς να φτιάξεις ένα απλό script που κάνει το port knocking (πχ με telnet ή netcat) και μετά συνδέεται με ssh.
Πχ με το ακόλουθο knockd.conf
Κώδικας:[options] logfile = /var/log/knockd.log interface = enp0s3 [opencloseSSH] sequence = 5001,6001,7001 seq_timeout = 5 tcpflags = syn start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT cmd_timeout = 20 stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
Κώδικας:#!/bin/bash SERVER=192.168.21.203 USER=dimitris PORTS=(5001 6001 7001) for i in "${PORTS[@]}" do telnet $SERVER $i 2>/dev/null & sleep .1 done ssh $USER@$SERVER
Κάτι αντίστοιχο μπορείς να κάνεις και στα windows και μετά να καλείς το putty, vs code ή όποιο άλλο πρόγραμμα συνδέεται με ssh.
Κώδικας:start /B telnet 192.168.21.203 5001 start /B telnet 192.168.21.203 6001 start /B telnet 192.168.21.203 7001
Κώδικας:[openSSH] sequence = 7000,8000,9000 seq_timeout = 5 command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 9000,8000,7000 seq_timeout = 5 command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
-
07-04-20, 15:00 Απάντηση: Το thread του Debian (v.5) #299
Γράφαμε μαζί με τον MitsakoGR οπότε δεν είδα πριν τι έγραψε. Να προσθέσω ένα μικο nitpick στο πολύ ωραίο παράδειγμά του.
Σε πάρα πολλούς οδηγούς βλέπεις να προτείνουν μια παραλλαγή του "/usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT" που έγραψε ο MitsakosGR. Είναι σωστό εννοείται αλλά εμένα δεν μου αρέσει γιατί μπορεί υπό συνθήκες να μην σου παίξει και να ψάχνεις γιατί δεν παίζει.
Αν το firewall είναι έτσι ρυθμισμένο ώστε να έχει policy DROP και να ορίζει κανόνες που επιτρέπουν ορισμένα πακέτα, τότε το παραπάνω θα παίξει. Πολλά firewall όμως είναι έτσι ρυθμισμένα ώστε ενώ μεν ορίζουν policy DROP, παράλληλα βάζουν ένα τελευταίο κανόνα που να κάνει reject (ίσως και με κάποιο limit). Έτσι λοιπόν τα πακέτα κόβονται λόγω αυτού του κανόνα και δεν φτάνουν ποτέ στο policy. Σε αυτή την περίπτωση, η εντολή "-A INPUT" θα προσθέσει τον κανόνα μετά από το reject και έτσι δεν θα έχει κανένα αποτέλεσμα και θα ψάχνεις γιατί δεν παίζει. Κάποιοι οδηγοί λοιπόν αλλάζουν τον -A σε -I ώστε να μπει η καταχώρηση στην αρχή της αλυσίδας INPUT. Αυτό θα παίξει σωστά αλλά μπορεί (πιο σπάνια) επίσης να προκαλέσει προβλήματα.
Για αυτό το λόγο εγώ προτείνω να ορίζεται πάντα μια δική μας αλυσίδα στο firewall (η οποία θα είναι άδεια υπό κανονικές συνθήκες) και στα διάφορα προγράμματα όπως knockd, fail2ban, κτλ να προσθέτουμε και να αφαιρούμε από εκεί καταχωρήσεις ώστε να μην υπάρχει ποτέ πρόβλημα."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
07-04-20, 15:05 Απάντηση: Το thread του Debian (v.5) #300
Ωραία παρατήρηση, δεν το είχα σκεφτεί ποτέ, καθώς τις περισσότερες φορές το ορίζω απλά σαν DROP χωρίς κανένα κανόνα στο τέλος.
Αλλά ωραίο και αυτό με το Chain. Θα το έχω στα υπόψιν!
Bookmarks