LinuxSecurityFreak's questions

Tenho uma pequena empresa. Com pouco conhecimento/experiência anterior em soluções NAS. O orçamento era um pouco problemático, fui limitado a 40.000 CZK = ~ 1800 USD. Primeiro, talvez seja melhor dizer qual solução eu escolhi:

Synology DS923+ com estes conectados em:

• Deixe-me começar com um no-break, que eu já tinha há 3 meses, sinalizando via USB para o NAS (isso obviamente não fazia parte do orçamento);
• A quantidade de RAM incluída era uma piada, então instalei 2 módulos ECC de 16 GB (não da Synology);
• Preciso de cerca de 22 TB para triplicar a solução anterior ruim, então optei por 4 HDDs de 8 TB (não da Synology);
• Por fim, instalei 2x 1 TB M.2 NVMe (não da Synology).
• Uma velocidade de 1 Gigabit/s é suficiente para nós, então não precisei comprar a extensão de 10 Gigabit;
• (Para completar, tenho uma conexão simétrica do meu ISP com 100 Mbit/s de download e também de upload, e tanto o roteador quanto o switch principal não são da Synology).

Quanto à configuração, citando apenas as configurações mais importantes:

• Acesso SSH da minha máquina Linux principal com autenticação pública;
• Conexão confiável e estável com a máquina Linux mencionada via NFSv4.1;
• A solução anterior tinha apenas 2 baias de 4 TB cada em RAID0, desta vez tive dificuldade em pensar, mas no final acabei configurando RAID5;
• Estou ciente de que provavelmente deveria optar pelo RAID6, mas não atingiria a capacidade necessária. É um pouco melhor que o RAID0, certo?
• Quanto ao sistema de arquivos, escolhi o BTRFS só para testá-lo finalmente, ele tem recursos interessantes.
• Configurei essas duas unidades M.2 NVMe rápidas como um cache para o volume, em RAID1 como cache de leitura+gravação.

Eu já havia decidido usar os M.2 em RAID0 como um armazenamento muito rápido, e aqui vamos nós:

• Eu sei como fazer isso de forma não oficial, mas resisti e tentei o cache primeiro;
• Parece ser realmente mais útil do que eu pensava;
• O caso de uso deste NAS é muito amplo, variando desde o simples compartilhamento de documentos, principalmente dentro da rede local com outras pessoas, até a saturação do meu link de upload com alto uso (legal) de torrents;

Conclusão: Graças ao uso intenso de torrents, se não me engano, acredito que utilizar esses NVMes de 1 TB seja uma escolha lógica, mas costumo verificar aquilo com que não tenho experiência.

Então, quanto à formulação da minha pergunta:

Faz mais sentido usar drives NVMe para que nosso Synology NAS atue como um cache do que como um armazenamento (o que não é oficial com drives que não sejam Synology, eu sei)? Obrigado por ler a história toda! Espero ver algumas respostas baseadas em fatos. Obrigado de qualquer forma pelo seu tempo.

O cache atinge normalmente cerca de 95%, imagem para as palavras:

Do meu entendimento básico iptables, montei a configuração abaixo destinada a executar um relé Tor ... aqui está depois de 6 horas aprox. Observe que não quero discutir nenhuma operação do Tor e, portanto, não serei apontado para https://tor.stackexchange.com/ Obrigado.

Houve um grande ataque na porta 22, que eu vi quando acordei, então eu mudei, a autenticação de senha já estava desabilitada, mas a pessoa/bot tentou invadir de qualquer maneira, eu tenho um RSA de 8192 bits de comprimento público/ chave privada, então espero que seja suficiente.

# iptables -L -v --line-numbers

saídas:

Chain INPUT (policy DROP 8242 packets, 735K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  any    any     anywhere             anywhere             ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2       10   452 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID /* protection: malformed packets */
3       20  1000 ACCEPT     all  --  lo     any     anywhere             anywhere             /* loopback: compulsory */
4        3    98 ACCEPT     icmp --  any    any     anywhere             anywhere             icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5    16625 9388K ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* traffic */
6        7   420 ACCEPT     tcp  --  any    any     anywhere             anywhere             ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */  <-- CENSORED
7      438 26080 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9001 /* Tor: OR */
8      558 30828 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9030 /* Tor: Dir */

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Eu gostaria de implantar fail2ban, mas nunca usei, então encontrei vários guias para configurá-lo, mas acredito que deveríamos ter algum exemplo neste site, encontrei muitos resultados para fail2bansozinho, porém apenas nada relevante para fail2banconfiguração inicial ?

Se isso por qualquer motivo não puder ser feito aqui, por favor, comente e eu vou excluir esta pergunta mais tarde.

Sistema: Debian GNU/Linux 11 (bullseye) com openssh-serverserviço para ssh.

Agradeço antecipadamente!

PS: Migrado de https://security.stackexchange.com/

Cerca de 7 dias atrás, descobri em https://www.mail-tester.com que às vezes (50% das minhas tentativas em alguns dias) meu e-mail da empresa não passa no teste DMARC . Como afirma não saber o porquê , estou indefeso agora e realmente não entendo o que está acontecendo.

Recebo esta mensagem:

O teste DMARC falhou, mas não encontramos nenhuma razão óbvia para isso. Se você modificou seu DNS recentemente, aguarde algumas horas e teste novamente.

Entrada DNS DMARC encontrada para o domínio _dmarc.vlastimilburian.cz :

"v=DMARC1; p=reject; adkim=s; aspf=s"

Detalhes da verificação:

• mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=vlastimilburian.cz header.i=@vlastimilburian.cz header.b=CefZgBpZ; dkim-atps=neutral
  

• mail-tester.com; dmarc=none header.from=vlastimilburian.cz
  

• mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=vlastimilburian.cz header.i=@vlastimilburian.cz header.b=CefZgBpZ; dkim-atps=neutral
  

• From Domain: vlastimilburian.cz
  

• DKIM Domain: vlastimilburian.cz
  

Eu tenho um plano premium do ProtonMail com um domínio personalizado e um único endereço de e-mail. O DNS do meu domínio está protegido com DNSSEC .

Eu tenho DKIM (DomainKeys Identified Mail - wiki ) também.

Meu registro SPF é um hard-fail:

v=spf1 include:_spf.protonmail.ch mx -all

O estranho é que tanto o SPF quanto o DKIM estão passando:

Não modifiquei meu DNS em 3 dias, existe algum outro motivo possível para o DMARC falhar?

Atualização 2019-maio-27

Recebi uma resposta da equipe do Mail-Tester.com :

Obrigado por compartilhar este link. Receio ainda não ter entendido a resposta por lá... Basicamente, diz que está tudo bem e que o DMARC deve passar... não é? Se sim, temo que não ajude muito... usamos a famosa biblioteca OpenDMARC para analisar o DMARC e o "não encontramos nenhum motivo óbvio" é gerado quando o OpenDMARC diz que seu e-mail não passa pelo DMARC enquanto nosso próprio teste não encontra nada de errado.

Isso poderia ser um erro no OpenDMARC , devo denunciá-lo?

Fiz o teste agora e deu certo.

Além disso, enviei uma mensagem para meu e-mail gratuito do Gmail com resultados PASS:

Como não entendo nada de rede, devo recorrer a você em uma pergunta muito simples.

Disseram-me que preciso configurar um registro SPF para minimizar o risco de terminar meus e-mails em massa de negócios em uma pasta de spam; entre outras coisas que preciso fazer. Não estou enviando nenhum spam ou sei como terminar nele, só quero configurar meus registros DNS corretamente.

Eu tenho uma lista bastante longa de basicamente duas sub-redes de endereços IP que meu provedor de hospedagem usa para seus servidores de e-mail.

Eu li que deveria ser capaz de especificá-los em algum formato CIDR , desconhecido para mim.

Há um mês configurei, mas estou com problemas, às vezes meu SPF passa, às vezes não neste Mail-Tester :

v=spf1 a mx ~all

Mas como o nome do servidor de e-mail é resolvido para vários endereços IP de duas sub-redes diferentes.

Eu quero encurtar a lista de endereços IP especificados. E para torná-lo mais flexível, porque eles podem alterar os últimos bits desses endereços IP.

Minha ideia atual é assim:

v=spf1 a mx ip4:111.111.111.xxx/?? ip4:222.222.222.xxx/?? -all

Análise:

1. Para especificar a versão do registro SPF:

   v=spf1
   

2. Para permitir que o endereço IP do domínio envie e-mail para este domínio:

   a
   

3. Para permitir que os servidores listados como MX enviem e-mail para este domínio:

   mx
   

4. A primeira lista de endereços IP começando sempre com, por exemplo 111.111.111, e terminando com qualquer intervalo:

   ip4:111.111.111.xxx/??
   

5. A segunda lista de endereços IP começando sempre com, por exemplo 222.222.222, e terminando com qualquer intervalo:

   ip4:222.222.222.xxx/??
   

6. Para definir um comportamento estrito para que o não-conforme seja rejeitado:

   -all
   

A questão é o que devo colocar depois da barra? 24?

Eu estava habilitando o recurso Wake-on-LAN no servidor Dell PowerEdge T20 com BIOS A05 pré-instalado desde a entrega.

Uma vez ativado, o servidor será desligado e ligado imediatamente. Até 3 vezes tive que pressionar manualmente o botão de desligamento para finalmente desligar.

Mas direto ao ponto. O que me surpreendeu foi que a maneira recomendada de instalar a atualização do BIOS era de dentro do Windows. Eles fornecem apenas arquivos .exe em sua web.

Supondo que eu tenha um sistema Linux com configuração bastante simples, eu poderia instalar o Windows, se não houvesse outra maneira. Mas existe?

O cabeçalho RAID1 vs RAID10 do software de 4 unidades informa o que estou pensando.

Hardware: 2 HDDs de classe empresarial de 1 TB + 2 HDDs de classe de consumo de 1 TB.

SO e Software: Linux Debian Jessie (estável) com mdadm.

Finalidade pretendida: Armazenamento de extrema confiabilidade. Não pode permitir a perda de dados. Tal coisa seria simplesmente inaceitável. É por isso que estou considerando RAID1 em vez de RAID10, porque a tolerância a falhas com RAID1 deve ser uma falha de 3 unidades.

Vejo uma desvantagem: limitar o tamanho do armazenamento global a 1/4. Louco.

Tirando esta decisão RAID1 vs RAID10, que provavelmente já tomei, RAID1 ou seja, salvo indicação em contrário, tenho uma questão relativamente ao RAID1:

Supondo que eu esteja limitado a 4 unidades, eu teria possibilidades limitadas com RAID10, ao contrário de RAID1, onde poderia definir 3 unidades ativas e a 4ª como sobressalente. Isso ou definir diretamente 4 HDDs ativos.

Por favor diga-me o que você pensa?

Situação:

Eu tenho uma matriz de software RAID5 ( ) de 3 unidades (SSD) mdadm(SATA) no servidor (Linux Debian 8.5) apenas para dados. Preciso remover temporariamente essas unidades para fazer algo com outras unidades.

Perguntas:

1. Qual é o procedimento correto? É tão simples quanto parar todos os serviços relacionados, desmontar o array e pará-lo? Posso fazer isso com segurança e, em seguida, desconectar as unidades com o servidor em execução?
2. Preciso lembrar qual unidade foi conectada a qual porta SATA?
3. Preciso reiniciar para iniciar a matriz novamente, depois de colocar essas unidades de volta?

Estou no Windows Server 2012 R2, tentando me conectar a uma máquina virtual Hyper-V.

A operação solicitada não pôde ser concluída devido a uma limitação do sistema de disco virtual. No NTFS, os arquivos do disco rígido virtual devem ser descompactados e não criptografados. No ReFS, os arquivos do disco rígido virtual não devem ter o bit de integridade definido.

Bem, admito que comprimi o sistema de arquivos NTFS desta VM em particular.

Ele contém o Windows XP antigo porque vários de nossos softwares não são compatíveis com versões mais recentes. Nós o usamos para software antigo e precisamos dele o mais rápido possível.

Funcionou até agora.

O que temos, possivelmente útil:

• Ironicamente, espaço em disco suficiente para acomodar tudo descompactado daquele VHDX duas vezes
• RAM limitada: 16 GB por cada servidor
• Servidor Linux Debian 8.5 (headless, mas posso habilitar Cinnamon GUI e conectar através do TeamViewer)
• rede gigabit

Pergunta:

Como me conecto ao armazenamento NTFS compactado para descompactá-lo e fazê-lo funcionar novamente?

EDIÇÃO1:

• No Windows 8.1, se eu tentar montá-lo via Computador -> Gerenciar -> Armazenamento -> Gerenciamento de disco -> menu Ações -> Anexar VHD:

  A operação solicitada não pôde ser concluída devido a uma limitação do sistema de disco virtual. No NTFS, os arquivos do disco rígido virtual devem ser descompactados e não criptografados. No ReFS, os arquivos do disco rígido virtual não devem ter o bit de integridade definido.

• No Windows 8.1, se eu tentar abrir o arquivo VHDX com o StarWind V2V Converter:

  Erro ao abrir arquivo (2) [0]

• No Windows 7, se eu tentar montá-lo da mesma forma que no 8.1:

  O arquivo ou diretório está corrompido e ilegível

• No Windows 7, se eu tentar abrir o arquivo VHDX com o StarWind V2V Converter:

  Erro ao abrir o arquivo de imagem de disco VHDX. Formato VHDX suportado no Windows 8 e posterior

EDIT2:

Instalando libguestfs-toolsno Linux Mint 17.3 da seguinte forma:

sudo apt-get install libguestfs-tools

Agora sou capaz de montá-lo com o seguinte:

sudo guestmount -a thevirtualdisk.vhdx -i /mnt/anydirectory

Mas até agora não tenho ideia de como limpar o atributo de compactação NTFS (?)

Domínio: burian-server.cz

O que eu tentei:

user@pc ~ $ curl -v -3 -X HEAD https://burian-server.cz
* Rebuilt URL to: https://burian-server.cz/
* Hostname was NOT found in DNS cache
*   Trying 192.168.0.102...
* Connected to burian-server.cz (192.168.0.102) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to burian-server.cz:443 
* Closing connection 0
curl: (35) Unknown SSL protocol error in connection to burian-server.cz:443 

Em comparação com outro domínio meu sslhosting.cz , execute em uma hospedagem diferente:

user@pc ~ $ curl -v -3 -X HEAD https://sslhosting.cz
* Rebuilt URL to: https://sslhosting.cz/
* Hostname was NOT found in DNS cache
*   Trying 88.86.120.114...
* Connected to sslhosting.cz (88.86.120.114) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS alert, Server hello (2):
* error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
* Closing connection 0
curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Um testador me disse que "provavelmente" não sou vulnerável, o que realmente não entendo.

Como existem diferenças perceptíveis nas saídas acima, suspeito que possa ter configurado meu servidor Apache incorretamente.

Eu tenho um servidor da web LAMP e nele existe o domínio https://sslhosting.cz/ .

Primeiro, anexei um arquivo de configuração geral do Let's Encrypt, que alterei de acordo com minhas necessidades:

/etc/letsencrypt/options-ssl-apache.conf

# Baseline setting to Include for all Let's Encrypt SSL sites


SSLEngine               on


# Intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDH$
SSLHonorCipherOrder     on
SSLCompression          off
SSLOptions              +StrictRequire


# Add vhost name to log entries:
LogFormat               "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
LogFormat               "%v %h %l %u %t \"%r\" %>s %b" vhost_common


#CustomLog              /var/log/apache2/access.log vhost_combined
#LogLevel               warn
#ErrorLog               /var/log/apache2/error.log


# Always ensure Cookies have "Secure" set (JAH 2012/1)
#Header                 edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"


# HSTS = HTTP Strict Transport Security
Header                  always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS
Header                  always set X-Frame-Options DENY


# OCSP Stapling
SSLCACertificateFile    /etc/apache2/certificates/letsencrypt-crosssigned-stapling.pem
SSLUseStapling          on

Preciso ter a porta 80 configurada no Virtualhost para um site HTTPS? Observe que eu quero que o HTTP seja redirecionado para HTTPS.

Segue a configuração específica do site:

/etc/apache2/sites-available/sslhosting.cz-le-ssl.conf

<VirtualHost *:80>

  ServerName             sslhosting.cz
  ServerAlias            www.sslhosting.cz

  RewriteEngine          on

  RewriteCond            %{HTTPS} !on
  RewriteRule            ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

  RewriteCond           %{HTTP_HOST} ^www\.sslhosting\.cz
  RewriteRule           ^(.*)$ https://sslhosting.cz/$1 [R=301,L]

</VirtualHost>


<IfModule mod_ssl.c>

        <VirtualHost *:443>

                ServerAdmin     admin@vlastimilburian.cz

                ServerName      sslhosting.cz
                ServerAlias     www.sslhosting.cz

                DocumentRoot    /var/www/sslhosting.cz/public_html
                ErrorLog        ${APACHE_LOG_DIR}/error.log
                CustomLog       ${APACHE_LOG_DIR}/access.log combined

                SSLCertificateFile      /etc/letsencrypt/live/sslhosting.cz/fullchain.pem
                SSLCertificateKeyFile   /etc/letsencrypt/live/sslhosting.cz/privkey.pem

                Include         /etc/letsencrypt/options-ssl-apache.conf

        </VirtualHost>

        SSLStaplingCache        shmcb:/tmp/stapling_cache(128000)

</IfModule>

Agora, a pergunta:

Preciso ter a porta 80 configurada no LAMP para um site HTTPS?

Como posso verificar se o grampeamento OCSP funciona corretamente?

Configuração: LAMP com Let's Encrypt, domínio de teste https://pavelstriz.cz/

O resultado do High-Tech Bridge diz que o OCSP está ativado

Isso é suficiente para eu acreditar que o OCSP está configurado corretamente?

Obrigada.

Estou no Linux Debian Jessie 8.4.

Eu configurei um servidor web. Parece correr bem.

Só estou pensando se preciso que as seguintes regras de firewall estejam corretas para o servidor HTTP (S) funcionar bem.

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 10100 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

O servidor está atrás de um roteador. A porta 22 não é encaminhada. 10100 é usado para FTP passivo

Obrigada.

Preciso ntpdde um daemon/serviço em um servidor LAMP executando Linux Debian 8.3?

Já desativei alguns serviços óbvios, mas não tenho certeza sobre este.