raid10

Proxmox zfs raid kovalevyn korvaaminen

Proxmox ZFS-raid hajonneen kovalevyn vaihto

HOX HOX muistiinpano! Ei ole valmis dokumentti. (Tähän raidista sun muusta roinasta tietoo) ja mikä on hyödykllinen etc.

Ongelma: levy rikki ja otettu pois ja heitetty roskii menee.

zpool  status

zpool replace rpool /dev/disk/by-id/ata-QEMU_HARDDISK_QM00009-part3 /dev/sdc

Eli kuvan ”rpool” poolin nimi, ja lätty ” was” kohdasta. Lopuksi laitetaa uuden lätyn nimi, sen näkee proxmoxin web gui kautta. (alla kuva)

Lätyn tunnistaa jos see on uusi jos proxmox näyttää että ”Usage” on No. Toki jos tiedät valmiiksi lätyn nimen niin se olisi parempi.  (Sesrial nuumber) (model number) etc.

Tuon jälkeen syötetään komento

zpool  status

Tarkistetaan onko prosessi alkanut, minun tilanteessa on normaali kovalevy joka on hidas verrattuna normaaliin ssd levyyn tai m.2 ssd levyyn. Kirjoita uudestaan tuo komento jos haluat tarksituaa uudestaan tilanetaéen.

Prosessi on valmis kun proxmoxissaa zpoolissa lukee kaikki ok ja kaikki näyttää virreeltäö.

Nyt on valmista.

openvpn-logo-768x427

OpenVPN helppo asennus

OpenVPN yksinkertainen asennus ja käyttöönotto

Olemassa on erityypin vpn asennuksia. Tässä näytän miten yksinkertaisesti voit tehdä oman vpn verkon jotta pääset kotiverkkoosi käsiksi. Aihe on erittäin laaja, en käy sitä tässä. Tähän toki liittyy omat tietoturva asiat joita en myöskään käy tässä läpi. Oman vpn verkon teko on siitä hyödyllinen, jos ressaan paljon  tai sinulla on palvelimia kotiverkossa joihin tarvitset pääsyö päivittäin. Yhteyden luotuasi olet kuin kiinni kotiverkossasi ainoa  ero vain on että et ole fyysisesti verkon lähistöllä.

Scriptin asennus on todella helppoa. Esiasennettuna tarvitaan esimerkiksi Ubuntu server tai Debian non graphical tietokone joka on tietenkin lähiverkossasi kiinni. Myös portti 1194 täytyy olla auki, toki voit käyttää muuta porttia. Portti 1194 on stantardi vpn maailmassa.

Asennus

Päivitetään repositorit sekä ohjelmat ajantasalle ensin.

apt update 

apt upgrade

Asennetaan git ohjelma jolla githubista saadaan käyttäjän tekemä scripti.

apt install git

Tällä komennolla haetaan scripti.

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh 

Tehdään scriptistä juostava. (Itse jätän tämän yleensä välistä ja juoksen scriptin bash komennolla.)

chmod +x openvpn-install.sh

./openvpn-install.sh

Valitaan joko domain tai pelkkä ulkoinen ip-osoite.

Harvemmin Ipv6 yhteyttä tarvitaan, tässä esimerkissä ei oteta käyttöön.

Nyt valitaan portti josta liikenne kulkee, itse laitan oletus portin eli 11194, voit käyttää mitä vain muuta kunhan mikään muu prosessi ei kyseistä porttia käytä.

UDP protokolla on vpn yhteyksissä yleensä nopein. Suosittelen siiis valitsemaan sen.

DNS resolver on palvelin joka hakee eri palvelimien ip-osoitteet ja yhdistää ne domainiin. Itse käytän aina Cloudflaren dns resolveria. Voit siis itse päättää mitä käytät, toki palvelimen omaa tai muokattua voi vapaasti käyttää.

Tämän voi huoletta jättää oletukselle.

Suosittelen muokkaamaan salaus asetuksia, tässä esimerkissä en niitä kuitenkaan muokaa helpon asennuksen takia.

Nyt valitaan clientin nimi  joka yhdistää palvelimeen ulkoverkosta. Tähän voi laittaa vaikka palvelimen nimen tai oman nimesi jotta tunnistat  mistä on kyse ja mihin olet yhdistämässä.

Tässä kohtaa voit lisätä salasanasuojauksen tiedostoon, suosittelen suuresti tämän lisäämistä. Tässä ohjeessa en sitä kuitenkaan lisää.

Nyt kaikki on asennettu ja konfiguroitu oiken. Näet vielä mihin tiedosto on tallennettu. Siirrä tiedosto laitteelle jolla haluat muodostaa vpn yhteyden.

Juoksemalla scriptin uudelleen, voit lisätä tai poistaa käyttäjiä. Myös palvelimen poistaminen tapahtuu täältä.

Clientin asennus Linuxille

Linuxissa on oma buildin tuki eri vpn yhteyksille. Siitä ei kuitenkaan löydy openvpn yhteyttä joka pitä asentaa erikseen.

apt install openvpn

apt install network-manager-openvpn-gnome

Loput tehdään työpöydän kautta. Mikäli haluat tuoda vpn yhteyden terminaalin kautta tai non grpahical käyttöjärjestelmälle, alla on komento.

openvpn lassi.ovpn

painamalla CTRL + C suljet yhteyden.

Vaikka listalla on nyt ”OpenVPN kohta, emme silti käytä sitä. Kohta ”Import a saved VPN configuration” taas tuo kaikki tarvittavat kohdat tiedsotosta automaattisesti.

Ohjelma automaattisesti tuo oikeat tiedostot. Syötä myös ”User key password” kohtaan salasana mikäli loit clientille sen.

Tallennettuasi muutokset, näet ”VPN connections kohdassa juuri lisätyn vpn profiilin. Painamalla sitä yhdistät vpn palvelimeen.

Clientin asennus Windowsille

Windowsille pitää asentaa kokonaan ohjelma, toki Windowsissakin on oma vpn tuki muttei OpenVPN tukea. Voit asentaa joko OpenVPN connect gui version tai community version joka on pienempi sekä minulle mieluisampi. Linkki OpenVPN asennus sivulle:OpenVPN connect v3, OpenVPN Community build.

Asennuksessa ei tarvitse muuta tehdä kuin painaa ”Install now”.

Asennuksen loputtua, avataan OpenVPN.  Joko työpöydältä tai taustasovelluksista pienen tietokoneruudun ja lukon kuvakkeella. Seuraavaksi Tuodaan ladattu .ovpn tiedosto.

Kun tiedosto on tuotu, painetaan ”Connect” nappia ja yhdistetään vpn palvelimeen.

Jos loit clientille salasanan, se syötetään yhdistyksen alussa.

Linuxsecurity

Linux palvelimen perusturvallisuus

Linux palvelimen perusturvallisuuden takaaminen

LOGIEN TARKISTUS

#tarkistetaan kirjautumisyritykset palvelimelle reaaliaikaisesti
tail -f /var/log/auth.log

#LOGIEN VÄRITYS

apt install grc

grc tail -f /var/log/auth.log

(multitail myös useammalle logille kerralla)

FAIL2BAN

apt-get update
apt-get install fail2ban
systemctl status fail2ban
nano /etc/fail2ban/jail.conf

#ignoraa lokaalin koneen
ignoreip = 127.0.0.1/8

#määritellään bannin kesto
bantime = 600

#määritellään monta yritystä kirjautumisessa on
maxretry = 3

#tämä lähettää postia root käyttäjälle että joku on bannattu
destemail = root@localhost
sendername = Fail2Ban banned user!
mta = sendmail
action = %(action_mwl)s

#tällä saadaan postiin logitedot kätevästi
action_mw
#tällä kuitenkin saa eniten
action_mwl

#tällä komennolla pysäytetään fail2ban
systemctl fail2ban stop

#tällä aloitetaan
systemctl fail2ban start

#tällä tarkistetaan nykyinen tilanne
systemctl status fail2ban

# tarkistetaan jaili sekä estetyt ipt sekä niiden määrä
fail2ban-client status sshd

UFW PALOMUURI

apt install ufw
systemctl enable ufw
systemctl start ufw
systemctl status ufw

#avataan palomuuriin portti
ufw allow ”portti”

#avataan portti 80
ufw allow 80

OPENSSH

#Asennetaan ssh
apt install openssh-server

#Otetaan ssh käyttöön samalla myös koneen startuppiin
systemctl enable ssh

#Tarkistetaan nykyinen tilanne ssh
systemctl status sshd

#Pysäytetään ssh
systemctl stop sshd

nano /etc/ssh/sshd_config

#vaihdetaan oletus portti toiseen
#Port22

port222

#Kielletään roottina kirjautuminen
#PermitRootLogin
PermitRootLogin no

#Annetaan lassi käyttäjälle lupa kirjautua
AllowUsers lassi

#käynnistetään ssh uudestaan
systemctl restart sshd

netstat -tulpn

netstat -tulpn | grep 22

ufw allow ssh

ufw allow 22

SSH PARANTELU

#Asenntaan moduulit ja sovellukset jotka yhdistävät hyökkääjän ip-osoitteen maahan
apt-get install geoip-bin geoip-database

#Luodaan scripti joka hallitsee pääsyn
nano /usr/local/bin/ipfilter.sh

#!/bin/bash
ALLOW_COUNTRIES=”IN US”
LOGDENY_FACILITY=”authpriv.notice”

if [ $# -ne 1 ]; then
echo ”Usage: `basename $0` ” 1>&2
exit 0 # return true in case of config issue
fi

if [[ ”`echo $1 | grep ’:’`” != ”” ]] ; then
COUNTRY=`/usr/bin/geoiplookup6 ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1`
else
COUNTRY=`/usr/bin/geoiplookup ”$1” | awk -F ”: ” ’{ print $2 }’ | awk -F ”,” ’{ print $1 }’ | head -n 1`
fi
[[ $COUNTRY = ”IP Address not found” || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE=”ALLOW” || RESPONSE=”DENY”

if [[ ”$RESPONSE” == ”ALLOW” ]] ; then
logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)”
exit 0
else
logger -p $LOGDENY_FACILITY ”$RESPONSE sshd connection from $1 ($COUNTRY)”
exit 1
fi

#Tämä muutos pitää tehdä jos halutaan että scripti juoksee!
chmod +x /usr/local/bin/ipfilter.sh

#Lisätään ssh listalle omat muutokset jotta järjestelmää ohjaa tuo uusi scripti ja muut asennetut ohjelmat.
nano /etc/hosts.deny

sshd: ALL
vsftpd: ALL

#Määritellään vielä mistä scripti löytyy.
nano /etc/hosts.allow

sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a
vsftp: ALL: spawn /usr/local/bin/ipfilter.sh %a

rainloop

Postipalvelimen asennus ja konfigurointi Debianille

Postipalvelimen asennus ja konfigurointi Debianille

Miksi kukaan haluasi omaa postipalvelinta kun esim gmail outlook tai icloud ovat olemassa ja ne ovat ilmaisia jatilin teko helppoa? Eri syitä on monia, minulla ne ovat mm, yksityisyys, täysihallinta oppiminen, rajaton määrä sposteja, bulk emails sekä itse päättämä postin loppupääte eli domain. Toki nämä ilmaiset palvelut ovat siitä hyviä että niitä ei tarvitse ylläpitää ollenkaan kun taas omaa pitää kokoajan seurata mm, hyökkäysten liikenteen sekä mustallelistalle joutumista. Molemmissa tavoissa on omat hyvät ja huonot puolet, kumpikaan ei ole toista parempi.

Asennus

Oletus on että sinulla on jo valmis Linux järjestelmä jolla on ulkoinen ip-osoite sekä oma domain. Huom kiinteä ip-osoite on erittäin suositeltavaa, mutta yksityisen vaihtuva ip-osoite käy myös. Muista vain sen kohdalla helpottaa työtä ja asentaa ja tutustua ddclient tästä linkistä!

Päivitetään pakettivarasto.

apt update

apt upgrade

Myös tietoturvan kannalta on hyvä asentaa palomuuri sekä ohjelma joka estää mm, ssh ja dovecot hyökkäyksiä. Myös muita laajempia hyökkäyksenesto isp sovelluksia kuten Wazuh voidaan hyödyntää tässä linkki sen asentamiseen ja käyttöönottoon. Suositeltavaa on kuitenkin asentaa useita eri ohjelmistoja parhaan turvallisuuden takaamiseksi.

Tässä linkki pika ohjeeseen perusturvaamisen Linux palvelimelle.

Asennetaan tarvittavat ohjelmistot.

apt install curl net-tools bash-completion wget lsof nano

Lisätään pari tärkeää riviä dns ohjausta varten.

nano /etc/host.conf

Lisätään vielä domaini ja verkkoon ohjattu ip-osoite. Tätä ei tarvitse jos sinulla ei ole kiinteää ip-osoitetta!

nano /etc/hosts

Rebootataan kone jotta muutokset tulevat varmasti voimaan.

reboot

Syötetään seuraavat komennot ja varmistetaan onko nimipalvelun asetukset tehty oikein. Muista ohjata nimipalvelustasi ip-osoitteesi domainiisi jos et ole sitä jo tehnyt!

hostname
hostname -s
hostname -f
hostname -A
hostname -i

Tulosten pitäisi näyttää samantyyppisiltä:

Postfixin asennus

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Asennetaan postfix joka ohjaa postiliikenteen ulos sekä sisään internetistä palvelimellesi

apt install postfix

systemctl enable postfix

Valitaan kohta Internet Site. Sekä sen jälkeen syötetään postin domain, jos käytät alidomainia, muista syöttää päädomain. Jos syötetty domain on alidomaini, postiosoiteet ovat myös sen nimiset.

Muokataan Postfixin oletus konfiguraatio tiedostoa.

nano /etc/postfix/main.cf

Lisätään seuraava loppuun:

myhostname = oma.domain.com
mydomain = domain.com

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks,permit_auth_destination,permit_sasl_authenticated,reject

Käynnistetään postfix uudelleen ja tarkistetaan onko oikeat portit oikein konfiguroitu.

systemctl restart postfix

netstat -tlpn

Nyt pitäisi portti 25 olla auki.

Jos joskus tulee ongelmia, postipalvelimen liikennettä voi tarkistaa seuraavalla ohjelmalla. Tällä myös kokeillaan toimiiko posti lähiverkossa.

apt install mailutils

syötetään seuraavat komennot.

echo ”Terppa”| mail -s ”Testiposti” root

ls -l Maildir/new/

Myös login näkee täältä.

tailf /var/log/mail.log

Dovecotin asennus

Dovecot lajittelee postin oikeisiin postilaatikoihin sekä tämän avulla voidaan käyttää muiden osapuolien posti sovelluksia, esimerkiksi Gmailia tai Thunderbirdiä.

Asennetaan dovecot ja tarvitta ohjelmat.

apt install dovecot-core dovecot-imapd

systemctl enable dovecot

Muokataan tavallisen mukaan dovecotin oletus konfigurointi tiedostoa.

nano /etc/dovecot/dovecot.conf

Sinne lisätää tämä rivi.

listen = *, ::

Muokataan toista dovecotin tiedostoa.

nano /etc/dovecot/conf.d/10-auth.conf

Muokataan sekä lisätää seuraavat rivit.

disable_plaintext_auth = no
auth_mechanisms = plain login

Muokataan postilaatikon polkua.

nano /etc/dovecot/conf.d/10-mail.conf

mail_location = maildir:~/Maildir

Muokataan vielä viimestä konfigurointi tiedostoa.

nano /etc/dovecot/conf.d/10-master.conf

Lisätään unix_listeneriin seuraavat rivit jos niitä ei ole olemassa.

unix_listener /var/spool/postfix/private/auth {
mode = 0666
user = postfix
group = postfix
}

Käynnistetään dovecot uudelleen jotta muokkaukset tulevat voimaan.

systemctl restart dovecot.service

Tarkistetaan että oikeat portit ovat käytössä.

netstat -tlpn

Yhteensä 4 eri porttia pitäisi olla auki, 143, 587 993 ja 25.

Jos porttia 587 ei näy, käy muokkaamassa tätä tiedostoa.

nano /etc/postfix/master.cf

Poista kommenttit näistä riveistä alusta.

smtp inet n – y – – smtpd
#smtp inet n – y – 1 postscreen
smtpd pass – – y – – smtpd
#dnsblog unix – – y – 0 dnsblog
#tlsproxy unix – – y – 0 tlsproxy
submission inet n – y – – smtpd

Webmailin asennus

Sähköposti toimii nyt, mutta monesti voi olla tarvetta webmailille. Pienitehoisille koneille ei ole järkevää asentaa tätä koska, postin lähetys ja vastaanotto voi viedä melkein kaiken tehon. Suosittelen kuitenkin asentamaan, voit aina sulkea portit ja pysäyttää apachen jottei resursseja kulu.

Asennetaan Apache sekä php ja sen tarvittavat moduulit.

apt install apache2 php libapache2-mod-php php-curl php-xml

systemctl enable apache

Tarkistetaan php versio ja käytetään tietosuojan kannalta uudempaa versiota.

php -v

Mennään Apache host kansioon ja postetaan oletus tiedosto.

cd /var/www/html/

rm index.html

Asennetaan webmaili, tälläkertaa käytän Rainloop nimistä ohjelmaa. Se on juuri sopiva minun käyttöön ja on erittäin helppo asentaa ja ottaa käyttöön.

curl -sL https://repository.rainloop.net/installer.php | php

Muokataan Apachen oletus konfugiraatio tiedostoa.

nano /etc/apache2/sites-available/000-default.conf

Lisätään alkuun seuraavat parametrit tietoturvan kannalta.

ServerTokens Prod
ServerSignature Off
FileETag None
TraceEnable off

Sekä lisätään 80 portin ”blokkiin” seuraava:

<Directory /var/www/html/>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
order allow,deny
allow from all
Options -Indexes
</Directory>

<Directory /var/www/html/data/>
Order allow,deny
Deny from all
Options -Indexes
Deny from all
</Directory>

<Directory /var/www/html/data/_data_/_default_/>
Order allow,deny
Deny from all
Options -Indexes
Deny from all
</Directory>

Tällä estetään selaimen kautta pääsy postipalvelimen konfiguraatio tiedostoihin jossa näkyy arkaluonteista tietoa.

SSL Certbot

SSl salaa kaiken liikenteen sinun ja palvelimen välillä. Se tekee hakkereiden ja muiden kaappaajien hyökkäyksistä vaikeampaa.

Asennetaan certbot joka sertifikaatin myöntää, tässä voi myös käyttää itse allekirjoitettuja mutta itse suosin certbottia sen kätevyydestä ja monipuolisista asetuksista.

apt install apache-certbot

Luodaan uusi sertifikaatti sivustolle.

certbot certonly -d oma.domain.com

Hyväksytää käyttö sekä valitaan webroot johon syötät apachen juuripolun. Oletus on /var/www/html/

Tämän jälkeen otetaan Apacheen ssl käyttöön ja ohjataan http liikenne salattuun https protokollaan.

nano /etc/apache2/sites-available/000-default.conf

Lisätään portille 443 oma ”blokki”

<VirtualHost *:443>
ServerName oma.domain.com

<Directory /var/www/html/>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
order allow,deny
allow from all
Options -Indexes
</Directory>

<Directory /var/www/html/data/>
Order allow,deny
Deny from all
Options -Indexes
Deny from all
</Directory>

<Directory /var/www/html/data/_data_/_default_/>
Order allow,deny
Deny from all
Options -Indexes
Deny from all
</Directory>

SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/oma.domain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/oma.domain.com/privkey.pem
</VirtualHost>

Tältä pitäisi konfiguraation näyttää suurinpiirtein.

Avataan vielä portit webliikenteelle.

ufw allow 80

ufw allow 443

Rainloop konfigurointi

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Avataan selaimesta oma.domain.com/?admin. Oletus tunnukset ovat admin:12345

Muista vaihtaa käyttäjänimi sekä salasana! Jos saat allaolevan ilmoituksen, pysäytä apache tai estä portti 80 ja palaa takaisin korjaamaan Apachen konfuguraatio. Data polkua ei saisi näkyä ollenkaan, voit toki kokeilla onko ilmoitus väärässä menemällä oma.domain.com/data ja oma.domain.com/data/_data_ sekä niiden alikansoihin.

Polkujen pitäisi näyttää tämän tyyppisiä ilmoituksia.

Seuraavaksi lisätään domaini jotta palvelimet osaavat siirtää postin oikeaan osoitteeseen. Mennään kohtaan Domains ja painetaan Add Domain. Voit myös poistaa valmiina luodut domainit.

Suosittelen käyttämään Porttia 143 ja 587, ne ovat ylesimmät joten liikenne varmasti toimii. Muista myös ottaa STARTTLS salaus käyttöön! Rainloop tukee myös yhteystietoja. Voit ottaa ne käyttöön jos tarvitset niitä. En koe itse tarvitta niille, muista olla avaamatta porttia 3306 internettiin tietokantaa tehdessä!

Luodaan vielä käyttäjä postiin.

adduser lassiiz

Luodaan vain salasana käyttäjälle, muuta ei tarvitse. Kun käyttäjä on luotu, mene postin kirjautumis-sivulle.

Jos et asettanut oletusdomainia, syötä käyttäjäksi, username@oma.domain.com. Salasana on sama minkä juuri syötit käyttäjää tehdessä. Suosittelen myös disabloimaan ssh kautta kaikki ylimääräiset käyttäjät. Toki muut webmailit kuten IredMail käyttää erillistä tietokantaa käyttäjien tekemiseen joka on turvallisempaa oletuksena.

Postilaatikon pitäisi avautua ja näyttää tältä.

DKIM luonti

DKIM ja DMARC ovat varmenteita joilla varmistetaan että lähettäjä on oikeasti se mikä väittää olevansa. Esimerkiksi et voi lähettää postia google.com domainina ja väittää muille että omistat tämän. Ellet sitten ole saanut heiltä omaa postilaatikkoa.

Asennetaan dkim ohjelma jolla oikeat avaimet luodaan.

apt install opendkim opendkim-tools

nano /etc/opendkim.conf

Tarkistetaan löytyykö seuraavat rivit.

AutoRestart Yes
AutoRestartRate 10/1h
UMask 002

Syslog yes

Domain lassinsivut.eu
KeyFile /etc/dkimkeys/dkim.key
#Selector 2007
#Canonicalization simple
Mode sv
#SubDomains no
Canonicalization relaxed/simple

ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable

#Socket inetst
#Socket local:/var/run/opendkim/opendkim.sock
Socket inet:12301@localhost
#
PidFile /var/run/opendkim/opendkim.pid

OversignHeaders From

TrustAnchorFile /usr/share/dns/root.key

UserID opendkim:opendkim

 

Yhdistetään Postfixiin.

nano /etc/default/opendkim

Lisätään rivi tiedostoon.

SOCKET=”inet:12301@localhost”

Kerrotaan vielä postfixille että käyttää tuota.

nano /etc/postfix/main.cf

milter_protocol = 2
milter_default_action = accept

Muodaan avaimille kansio

mkdir /etc/opendkim
mkdir /etc/opendkim/keys

Määritellään vielä domaini sekä aliverkko jotka määritellään turvallisiksi

nano /etc/opendkim/TrustedHosts

127.0.0.1
localhost
192.168.0.1/24

*oma.domain.com

Luodaan avaimille ”pöydät”.

nano /etc/opendkim/KeyTable

mail._domainkey.oma.domain.com oma.domain.com:/etc/opendkim/keys/oma.domain.com/mail.private

Luodaan vielä avaimille ”kirjotuspöytä”

nano /etc/opendkim/SigningTable

*@oma.domain.com mail._domainkey.oma.domain.com

 

Nyt luodaan avaimet joissa hyödynnetään juuri tehtyjä konfiguraatioita. Komentoon olisi voinut suoraan syöttää yllämainitut, mutta tulevaisuudessa uusien domainien liittäminen sekä avainten uudelleenluonti helpottuu huomattavasti.

cd /etc/opendkim/keys

mkdir oma.domain.com

cd oma.domain.com

Luon esimerkissä 1024 pituisen avaimen, suosittelen kuitenkin oletusta eli 2048. Minun nimipalvelu ei kuitenkaan salli sitä joten käytän lyhyempää.

opendkim-genkey -b 1024 -s mail -d oma.domain.com

Vaihdetaan avaimien omistaja

chown opendkim:opendkim mail.private

nano -$ mail.txt

mail._domainkey IN TXT ”v=DKIM1; k=rsa; p=OMA-HENKILÖKOHTAINEN-AVAIN” ; —– DKIM key mail for oma.domain.com

Kopio ja tallenna tuo avain, sitä käytetään nimipalvelussa myöhemmin. Tarvitaan vain p= eteenpäin heittomerkkien sisällä oleva avainkoodi.

Lopuksi vielä käynnistetään postfix sejä opnedkim.

service postfix restart
service opendkim restart

Nimipalvelu

Tarvitaan A-tietueen lisäksi muutama muu. MX, sekä dmarc , dkim ja spf TXT muodossa.

MX tietue: oma.domain.com

Arvoksi: oma.domain.com

DMARC: _dmarc.oma.domain.com

Arvoksi: v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:dmarc_acc@oma.domain.com; ruf=mailto:dmarc_afrf@oma.domain.com; rf=afrf; fo=0:1:d:s;

SPF: oma.domain.com

Arvoksi: v=spf1 mx ip4:oma-ip-osoite -all

DOMAIN KEY: mail._domainkey.oma.domain.com

Arvoksi: v=DKIM1; h=sha256; k=rsa; p=OMA-HENKILÖKOHTAINEN-AVAIN

Kun kaikki on valmista, voit tarkistaa sekä tarkkailla omaa postipalvelintasi esimerkiksi tästä sivustosta. Saatavilla on monta eri testiä. Muista kuitenkin että nimipalvelun muutokset voivat viedä jopa 48 tuntia voimaan tulemiseen. Joten testit eivät välttämättä näytä heti asennuksen jälkeen oikein.

virus

Saastuneelta kovalevyltä virusten poisto Linuxilla

Virusten poisto Linuxilla

Virusten poisto saatttaa kuulostaa vaikealta, se on oikeastaan helppo toimenpide. Tässä esimerkissä käytän ClamAV ohjelmaa joka on erittäin helppokäyttöinen. Se skannaa valitulta kovalevyltä lukuiset haittaohjelmat. ClamAv tunnistaa Windowsiin, Linuxiin sekä Macos ympäristöihin kohdistuvat haittaohjelmat sekä pakatut haittaohjelmat kuten .tar tai .zip sisältävät.

Luodaan bootable

Luodaan ensin bootable live usb Linuxista, jakelulla ei ole väliä. Minulla on esimerkissä Debian 11. Tässä ohje live usb tekemiseen jos et ole sitä aikaisemmin tehnyt.

Clamav asennus

avataan terminaali ja päivitetään paketti repositoryt.

sudo -i

apt-get update

Nyt asennetaan itse ClamAV.

apt-get install clamav-daemon

apt-get install clamtk

mkdir /var/lib/clamav

freshclam

Kovalevyn mounttaaminen

Jotta kovalevyä voidaan käyttää linuxissa, se täytyy mountata kokoonpanoon. Esimerkiksi Windows tekee tämän automaattisesti.

lsblk (Muista valita oikea levy! Esimerkiksi minulla se on sda, sinulla se voi olla sdb tai sda1)

mkdir /root/mnt/

mount -t ntfs /dev/sda /mnt

Juostaa ClamAv töllö komennolla. Voit itse päättää parametrit, suosittelen kuitenkin tätä:

clamscan –infected –remove –recursive /root/mnt/

Skannaus kestää riippuen kovalevyn koosta. Nyt ei tarvitse muuta kuin odottaa että skannaus on valmi, ohjelma ilmoittaa automaattisesti jos haittaohjelmia löytyy sekä poistaa ne välittömästi parametrin -remove ansiosta. Tästä linkistä lisäätietoa komennoista ja käytöstä.

ddns

Dynaaminen ip-osoitteen määrittely palvelimelle (DDClient)

DDClientin asennus vaihtuvalle ip-osoite palvelimelle

Kuluttajatasolla tai muussa tilanteessa jossa ei ole pysyvää ip-osoitetta, tulee ongelma vastaan nimipalvelun sekä oman ip-osoitteenkanssa.  Domaini pysyy samana, mutta ip-osoite ei. Ip-osoite vaihtuu ips pyynnöstä aina tietyin aikavälein. Tämän voi ratkaista asentamalla ddns ohjelman jolla automaattisesti vaihdetaan nimipalvelussa oleva ip-osoite palvelimen ip-osoitteeseen. Tässä ohjeessa käytän ddclient ohjelmaa sekä nimipalvelimena toimii joker.com

Nimipalvelun konfigurointi.

Tässä tilanteessa ei voida käyttää perinteistä A-recordia. Tarvitaan oma yleensä DYNA-recordin nimellä olevaa. Riippuen nimipalvelusta, tarvitaan myös DYNDNS päälle joka hoitaa ip-osoitteen vaihdon nimipalvelusta. Username sekä password pitää olla tallessa, myös hyvä välillä vaihtaa niitä.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

DDClientin asennus

Ohjelma on suositeltava asentamaan fyysiseen koneeseen, esimerkiksi minulla on virtuaali koneita. Vaikka kaikki liikenne toimii virtuaalikoneiden välillä, fyysinen kone on aina se joka antaa virtuaalikoneille verkon sekä takaa että kaikki on toiminnallisena.

Päivitetään ja varmistetaan että asennus tapahtuu uusimmilla paketeilal ja versiolle.

apt update -y

apt upgrade -y

Asennetaan ddclient

apt install ddclient

Asennuksen aikana kysytään monta eri asiaa. Ensin määritellään mitä palvelua käytetään, minulla nimipalvelu tarjoaa tämän eli en käytä mitää yllä olevista. Painan other, sekä sen jälkeen myös other. Kunnes syötän manuaalisesti joker.com.

Seuraavaksi syötetään username sekä password jotka saatiin ddns palvelusta.

Nyt valitaan tapa jolla halutaan tunnistaa ulkoinen ip-osoite. Minä valitsen ylemmän, sillä tunnistetaan minun tapauksessani jokerin omilta sivuilta ip-osoitteeni. Alemmalla taas tunnistetaan ip-osoite verkkolaitteen internetyhteydellä. Molemmat ovat hyviä vaihtoehtoa riippuen tilanteesta.

Syötetään domaini lota halutaan muokata, voit myös syöttää useamman esimerkiksi www. kanssa sekä ilman.

Jos syötit kaikki oikein, automaattinen nimipalvelun päivitys pitäisi nyt toimia.  Mutta esimerkiksi joker.com dyndns palvelussa pitää olla nämä seuraavat konfiguraatiot.

Muokataan konfiguraatio tiedostoa.

nano /etc/ddclient/

# ddclient.conf
#
daemon=5m
use=web
web=svc.joker.com/nic/checkip
server=svc.joker.com/nic/update?
protocol=dyndns2
login=myusername
password=mypassword
host=www.lassinsivut.eu, lassinsivut.eu
ssl=yes

Lopuksi käynnistetään ohjelma uudestaan ja testataan toimivuus.

systemctl restart ddclient

ddclient -daemon=0 -debug -verbose -noquiet

Lopputulos voi näyttää eriltä, minun tapauksessa ip-osoite oli jo oikea joten mitään muutoksia ei tehty.