Bittivuoto.net

Rootin salasanan nollaaminen

Näin vaihdat pääkäyttäjän salasanan:

Käytössä GRUB:

1. Käynnistä kone
2. Valitse GRUB:in valikosta single-user -kerneli, tai mikäli sitä ei ole, niin normaalikerneli
3. Paina E-näppäintä (Edit, muokkaa)
4. Lisää perään “ single init=/bin/bash“, ellei ole jo (huomaa välilyönti!)
5. Paina B-näppäintä (Boot)
6. Aja “mount -o remount,rw /“
7. aja “passwd“
8. Vaihda salasana
9. Boottaa normaalisti

Tätä vastaan voi suojautua näin:

• Kirjaudu sisään pääkäyttäjänä
• Aja “/sbin/grub-md5-crypt“
• Kirjoita haluttu salasana
• Avaa tiedosto “/boot/grub/grub.conf” lempieditorillasi
• Lisää “password –md5 <grub-md5-cryptistä saamasi hashi>” heti timeout-kohdan jälkeen
• Tallenna tiedosto
• Seuraavan kerran kuin boottaat, ei E-näppäimellä pääse muokkaamaan parametrejä, ennen kuin painetaan P-näppäintä ja syötetään salasana

Kunnon kotiverkon rakentaminen

Otin projektikseni rakentaa Oikean verkon kotiin. Ideanani oli parantaa niin tietoturvaa kuin verkonrakentamistaitojakin.

Ostin:

• Mini-ITX-emolevyn, jossa on kaksi verkkokorttia palomuuriksi/bridgeksi/reitittimeksi
• Kaksi hallittavaa 8-porttista VLANeja tukevaa kytkintä

Linux vaatii kerneliin / softaa:

• Bridge-tuen
• VLAN-tuen

Itselläni oli käytössä 2.6.18 kerneli ja distrona toimi Debian GNU/Linux.

Ensimmäinen vaihe: Bridgen rakentaminen. Linux laitetaan siis toimimaan eräänlaisena putkena, joka ei näy verkkoon mitenkään. Eli siis toisesta verkkokortista ADSL:stä tuleva eetteripiuha kiinni Linuxiin ja toinen verkkokortti kiinni kytkimeen (et tarvitse vielä VLAN-kytkintä). Perinteiseen NAT:iin verrattuna ISP:n DHCP:t yms toimivat samalla tavalla kuin ennenkin. Koneeseen ei tarvitse laittaa yhtään IP-osoitetta. Tosin itse laitoin konfiguroinnin helpottamiseksi, kun en jaksanut ravata pitkin kämppää. Bridge soveltuu myös hyvin verkkoliikenteen seurantaan.

Asenna brctl:

aptitude install bridge-utils

Seuraavaksi tehdään bridge:

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
brctl stp br0 on

# ei pakolliset:

ifconfig br0 <julkinen IP> netmask <netmaskisi>
route add default gw <Gatewaysi>

Bridge toimii silloin oikein kun siitä menee liikenne läpi. STP ei ole pakollinen, mutta estää mahdollisien verkon looppien syntymisen.

Toinen vaihe: VLAN-verkon rakentaminen. VLAN:illa voi siis jakaa fyysisiä verkkoja useampaan verkkoon, joihin eri VLAN:iin kuuluvat eivät pääse käsiksi. Yrityksissä esim. markkinointi ei pääse kirjanpidon verkkoon käsiksi, vaikka molemmat ovat kiinni samassa fyysisessä kytkimessä. VLAN tarvitsee toimiakseen hallittavan kytkimen ja eri VLAN-ID:n omaavat verkot eivät voi jutella keskenään ilman reititintä (Tässä tapauksessa reitittimenä toimii Linux). Hinnat ovat tulleet sen verran alas, että kuluttajatkin pääsevät jo hallittaviin VLAN-kytkimiin käsiksi.

Ennen aloittamista konfiguroi verkkosi siihen kuntoon, että saman VLAN-ID:n omaavat verkkolaitteet juttelevat keskenään ilman reitittimen apua. Muista myös ohjata VLAN-ID:t valmiiksi porttiin, johon on kytketty tämä reitittävä Linux-kone.

Oman verkon kuvaus:

• Linux-palomuuri (kone, jolle asetukset on annettu)
• Windows-työasema, jossa kaksi verkkokorttia
• XBOX
• Linux-serveri
• NAS
• ADSL-reititin
• VLAN-kytkin x 2
• WLAN-reititin

Omassa tapauksessani halusin konfiguroida verkon niin, että yksi verkkokortti Windows-työasemasta + XBOX + Linux-serveri + NAS ovat kaikki samassa VLAN:issa (111). Windows-työaseman toinen verkkokortti on taasen ilman koko VLAN:ia (vakio 1). WLANilla on myös täysin oma VLAN (222) tietoturvariskin vuoksi. Halusin myös, että VLAN 111 on NAT:attu, jotta verkkolaitteet pääsevät päivittymään tarvittaessa (NTP jne).

Kytkimien asetukset:

PROCURVE1:

PROCURVE2:

Asenna VLAN-tuki:

aptitude install vlan

Konfiguroi VLAN-Bridge-NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
vconfig add br0 111
ifconfig br0.111 192.168.0.1 netmask 255.255.0.0
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

Testaus:

ping -I br0.111 ping.funet.fi

Nyt siis laittamalla tuttuun tapaan tämän VLAN:in sisällä olevan verkkolaitteen gatewayksi 192.168.0.1, pääsee se nettiinkin tarvittaessa.

TODO:

WLANin VLAN:in päivittelen myöhemmin tähän artikkeliin.

Linkkejä

• LinuxNet: Bridge
• Wikipedia: VLAN, Bridge, Bridging, IEEE 802.1D, IEEE 802.1Q, STP
• ebtables

Wikipedia File System

Törmäsin aika mielenkiintoiseen systeemiin, nimittäin Wikipedia-tiedostojärjestelmään. FUSE:a käyttävä palikka muuntaa minkä tahansa MediaWiki-ohjelmiston päällä pyörivän wikin tiedostojärjestelmän osaksi. Voit siis mennä esim. hakemistoon /mnt/wikipedia/ ja avata sieltä tiedoston Linux.ws. Tiedoston sisältö on wiki-tageilla koodattu artikkeli. FUSE:n sivuilla on muitakin mielenkiintoisia ja elämää helpottavia tiedostojärjestelmiä, joista tunnetuin lienee GmailFS.

http://wikipediafs.sourceforge.net/

Irssin käyttäjälle näppärä apuohjelma työpöydälle

Oletko joskus miettinyt, että kuinka kätevää olisi jos työpöydällesi saisi suoraan sinulle suunnatut IRC-viestit näkyviin. Kuten Outlook tai Google Mailin oma notification -ohjelma sen tekee. Ei hätää, tähän on nyt olemassa ratkaisu nimeltä Irssi notification. Sivulta löytyvät ohjeet palvelun pystyttämistä varten, ohjelma tarvitsee mm. Proxy-tuen irssiin. Ohjelmasta on tällä hetkellä versio vain Linux-alustalle.