Rootin salasanan nollaaminen

14.8.2007 18:42

Näin vaihdat pääkäyttäjän salasanan:

Käytössä GRUB:

  1. Käynnistä kone
  2. Valitse GRUB:in valikosta single-user -kerneli, tai mikäli sitä ei ole, niin normaalikerneli
  3. Paina E-näppäintä (Edit, muokkaa)
  4. Lisää perään “ single init=/bin/bash“, ellei ole jo (huomaa välilyönti!)
  5. Paina B-näppäintä (Boot)
  6. Aja “mount -o remount,rw /
  7. aja “passwd
  8. Vaihda salasana
  9. Boottaa normaalisti

Tätä vastaan voi suojautua näin:

  • Kirjaudu sisään pääkäyttäjänä
  • Aja “/sbin/grub-md5-crypt
  • Kirjoita haluttu salasana
  • Avaa tiedosto “/boot/grub/grub.conf” lempieditorillasi
  • Lisää “password –md5 <grub-md5-cryptistä saamasi hashi>” heti timeout-kohdan jälkeen
  • Tallenna tiedosto
  • Seuraavan kerran kuin boottaat, ei E-näppäimellä pääse muokkaamaan parametrejä, ennen kuin painetaan P-näppäintä ja syötetään salasana
Pekka Järvinen | Linux, Vinkit
Kommentoi

Kunnon kotiverkon rakentaminen

10.8.2007 09:32

Otin projektikseni rakentaa Oikean verkon kotiin. Ideanani oli parantaa niin tietoturvaa kuin verkonrakentamistaitojakin.

Ostin:

  • Mini-ITX-emolevyn, jossa on kaksi verkkokorttia palomuuriksi/bridgeksi/reitittimeksi
  • Kaksi hallittavaa 8-porttista VLANeja tukevaa kytkintä

Linux vaatii kerneliin / softaa:

  • Bridge-tuen
  • VLAN-tuen

Itselläni oli käytössä 2.6.18 kerneli ja distrona toimi Debian GNU/Linux.

Ensimmäinen vaihe: Bridgen rakentaminen. Linux laitetaan siis toimimaan eräänlaisena putkena, joka ei näy verkkoon mitenkään. Eli siis toisesta verkkokortista ADSL:stä tuleva eetteripiuha kiinni Linuxiin ja toinen verkkokortti kiinni kytkimeen (et tarvitse vielä VLAN-kytkintä). Perinteiseen NAT:iin verrattuna ISP:n DHCP:t yms toimivat samalla tavalla kuin ennenkin. Koneeseen ei tarvitse laittaa yhtään IP-osoitetta. Tosin itse laitoin konfiguroinnin helpottamiseksi, kun en jaksanut ravata pitkin kämppää. Bridge soveltuu myös hyvin verkkoliikenteen seurantaan.

Asenna brctl:

aptitude install bridge-utils

Seuraavaksi tehdään bridge:

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
brctl stp br0 on

# ei pakolliset:

ifconfig br0 <julkinen IP> netmask <netmaskisi>
route add default gw <Gatewaysi>

Bridge toimii silloin oikein kun siitä menee liikenne läpi. STP ei ole pakollinen, mutta estää mahdollisien verkon looppien syntymisen.

Toinen vaihe: VLAN-verkon rakentaminen. VLAN:illa voi siis jakaa fyysisiä verkkoja useampaan verkkoon, joihin eri VLAN:iin kuuluvat eivät pääse käsiksi. Yrityksissä esim. markkinointi ei pääse kirjanpidon verkkoon käsiksi, vaikka molemmat ovat kiinni samassa fyysisessä kytkimessä. VLAN tarvitsee toimiakseen hallittavan kytkimen ja eri VLAN-ID:n omaavat verkot eivät voi jutella keskenään ilman reititintä (Tässä tapauksessa reitittimenä toimii Linux). Hinnat ovat tulleet sen verran alas, että kuluttajatkin pääsevät jo hallittaviin VLAN-kytkimiin käsiksi.

Ennen aloittamista konfiguroi verkkosi siihen kuntoon, että saman VLAN-ID:n omaavat verkkolaitteet juttelevat keskenään ilman reitittimen apua. Muista myös ohjata VLAN-ID:t valmiiksi porttiin, johon on kytketty tämä reitittävä Linux-kone.

Oman verkon kuvaus:

  • Linux-palomuuri (kone, jolle asetukset on annettu)
  • Windows-työasema, jossa kaksi verkkokorttia
  • XBOX
  • Linux-serveri
  • NAS
  • ADSL-reititin
  • VLAN-kytkin x 2
  • WLAN-reititin

Omassa tapauksessani halusin konfiguroida verkon niin, että yksi verkkokortti Windows-työasemasta + XBOX + Linux-serveri + NAS ovat kaikki samassa VLAN:issa (111). Windows-työaseman toinen verkkokortti on taasen ilman koko VLAN:ia (vakio 1). WLANilla on myös täysin oma VLAN (222) tietoturvariskin vuoksi. Halusin myös, että VLAN 111 on NAT:attu, jotta verkkolaitteet pääsevät päivittymään tarvittaessa (NTP jne).

Kytkimien asetukset:

PROCURVE1:

Portti VLAN 1 VLAN 111 VLAN 222 PVID Info
1 - x - 111 NAS
2 - x - 111 NAS
3 - x - 111 Ei käytössä / LAN
4 x - - 1 Ei käytössä / Internet
5 x - - 1 Ei käytössä / Internet
6 x - - 1 Ei käytössä / Internet
7 x x x 1 Linux-palomuuri/reititin/bridge
8 x x x 1 PROCURVE 2:seen

PROCURVE2:

Portti VLAN 1 VLAN 111 VLAN 222 PVID Info
1 x x x 1 PROCURVE1:seen
2 - - x 222 WLAN-reitittimeen
3 x - - 1 Windows-työaseman verkkokortti #1 (Internet)
4 x - - 1 Ei käytössä / Internet
5 x - - 1 Ei käytössä / Internet
6 - x - 111 Ei käytössä / LAN
7 - x - 111 Tulostin
8 - x - 111 Windows-työaseman verkkokortti #2 (LAN)

Asenna VLAN-tuki:

aptitude install vlan

Konfiguroi VLAN-Bridge-NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
vconfig add br0 111
ifconfig br0.111 192.168.0.1 netmask 255.255.0.0
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

Testaus:

ping -I br0.111 ping.funet.fi

Nyt siis laittamalla tuttuun tapaan tämän VLAN:in sisällä olevan verkkolaitteen gatewayksi 192.168.0.1, pääsee se nettiinkin tarvittaessa.

TODO:

WLANin VLAN:in päivittelen myöhemmin tähän artikkeliin.

Linkkejä

Pekka Järvinen | Linux, Vinkit
5 kommenttia

s/^www\.//

7.8.2007 22:12

On aivan totta, että nettisivun “www.” osoitteen edessä on vanhentunut. Eniten itseäni ihmetyttää huonosti konfiguroidut sivustot, joissa www.domain.tld vie aivan eri paikkaan kuin itse domain.tld.

Pekka Järvinen | Sivusto
Kommentoi

Uusi DOSBox julkaistu

1.8.2007 18:41

Näemmä uusi DOSBox 0.71 on julkaistu.

Pekka Järvinen | Pelit, Retro
Yksi kommentti

Wikipedia File System

4.7.2007 17:40

WikipediaFSTörmäsin aika mielenkiintoiseen systeemiin, nimittäin Wikipedia-tiedostojärjestelmään. FUSE:a käyttävä palikka muuntaa minkä tahansa MediaWiki-ohjelmiston päällä pyörivän wikin tiedostojärjestelmän osaksi. Voit siis mennä esim. hakemistoon /mnt/wikipedia/ ja avata sieltä tiedoston Linux.ws. Tiedoston sisältö on wiki-tageilla koodattu artikkeli. FUSE:n sivuilla on muitakin mielenkiintoisia ja elämää helpottavia tiedostojärjestelmiä, joista tunnetuin lienee GmailFS.

http://wikipediafs.sourceforge.net/

Pekka Järvinen | Linux, Ohjelmistot
Kommentoi

Hurrican julkaistu

29.6.2007 19:20

HurricanVuosien jälkeen Poke53280 sai vihdoin valmiiksi Turrican-pelisarjan epävirallisen seuraajan, Hurricanin.

Lataa peli

Pekka Järvinen | Pelit, Viihde
Kommentoi

Apple julkaisi Safarin Windowsille

12.6.2007 00:00

Safari Windows XP:lläApple on julkaissut Safari-selaimensa Windows XP:lle ja Vistalle. Kuten kuvasta näkyy, CSS-tuki taitaa olla vielä aika kesken. Ohjelma on tosin vasta julkinen beta, joten parannusta lienee luvassa. No, silti on mukavaa nähdä taas uusi kilpailija selainmarkkinoilla. IE:n osuus on aivan liian suuri vieläkin.

Pekka Järvinen | Ohjelmistot, Uutiset, Windows
2 kommenttia

Hälytykset kartalla

11.6.2007 19:05

Jokainen varmasti tietää 112infon ja pronton? Nämä hälytykset näemmä saa kartalla varustettunakin. Tosin hälytykset lätkitään satunnaisesti kartalle paikkakunnan mukaan. Vielä kun tuohon saisi ukkostutkan samaan.

Pekka Järvinen | Sivusto, Uutiset, Vinkit
Kommentoi

Nuo “mukavat” tietoturva-aukot

31.5.2007 16:00 

$id = $_GET['id'];
$query = "SELECT foo FROM BAR WHERE id=$id";

Näyttääkö tutulta? Tämä on SQL-injektio-aukko. Tietoturva-aukko, jolla pahat ihmiset voivat pistää koko SQL-tietokantasi rikki muutamassa sekunnissa tai murtautuvat muuten vaan järjestelmiin. Näitä näkee aloittelijoiden koodeissa erittäin usein ja osa ihmisistä, jotka järjestelmiä suunnittelevat eivät edes ajattele moisia asioita. Osa saattaa luulla, että javascriptin kautta tehdyt tarkistukset riittävät. Javascriptin voi aina kytkeä pois päältä. Tietoturva-asioihin kannattaa aina panostaa. Onneksi nyt on julkaistu kätevä sqlmap-työkalu, jolla nämä aukot on helpompi nähdä.

Hyvä demonstraatio aukon hyödyntämisestä:

Pekka Järvinen | Ohjelmointi, Tietoturva
Kommentoi

Sonera ei vaan osaa

28.5.2007 16:00

Bittivuodon IRC-kanavalle heitettiin hyvä linkki koskien Soneran kuluttaja-ADSL:n tilauksen tarinasta. 116 päivää (16+ viikkoa) netin odottamista ja hyvitystä annettiin 14 päivää. Ei näin, ei todellakaan näin!

Pekka Järvinen | Muu
3 kommenttia

Moottorina: WordPress | Hostaus: TVP Networks Oy