пароль администратора
»реактор образовательный самообразование it-безопастность мануал VPN сделай сам системный администратор it длинный пост
Пак знаний, учение свет. #3 Wireguard, поднимаем свой VPN.
Сап джой, будет много текста и картинок, но тебе это понравиться (надеюсь).
Давно хотел написать эту инструкцию, но всё времени не было. Решил заставитьсебя.Немного предыстории, пройдёмся по цифрам и приступим к практике.
Предистория:
Когда я выбирал какой протокол выбрать для поднятия забугорногоVPNсервиса,я ориентировался на то, что-бы туннель обладал высокой пропускной способностьюи не бы чувствителен к небольшой потери сигнала\пакетов (привет мобильноеинтернет соединение).
Тут была инструкция по настройке OpenVPN. Ни в коем случае не хочу приуменьшить вклад анона,так как «я за» любое просвещение людей в компьютерной грамотности. Вот только авторумолчал что OpenVPN достаточно медлителен,и тот же IPSecAES почтив половину производительнее.
Так же любитель пожрать ресурсы хоста.
пруф
Да и скажу честно, в принципе это сложно было назватьинструкцией.
Так же автор забыл о защите самого хоста, а это не мало важно.
Перейдём к практике:
Давайте обновим пакеты, и поставим нужный софт:
sudo apt update && sudo apt upgrade -y && sudoaptautoremove -y && sudo apt install git screen fail2ban mc
Конструкция «sudo apt install git screen fail2ban mc» отвечает за установкунужного нам ПО:
1) git– это апекуха для импортирования проектов из git-репозиториев. Просто навсякий случай.
2) screen– это для того, что бы в случае обрыва sshсоединениявы могли продолжить работать с того же места, где произошёл обрыв.
3) fail2ban–это для защиты второй лини нашего vpnсервиса.
4) MC – (MidnightCommander)это удобный файловый менеджер в «консольной среде», что бы не возится скомандами навигации.
Обновляем и ставим всё это дело, после этого можноперезагрузить хост, и подключиться по SSH.
После подключения набираем команду screen, чтобы в случае обрыва связи, мы смогли вернуться обратнок работе без потерь.
Далее скачиваем деплой-скрипт с github.
curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
sudo chmod+x wireguard-install.sh
Запускаеми сразу после старта нас любезно спросят важные для сервера параметры. Давай ихразберём.
Первая строка выводит нам твой внешний (белый) ip-шник к которому мы будемцепляться. Его не меняем, как бы не хотелось. Далее.
Public interface– имя сетевой платы (если по простому) через который будетработать сервер.
Wireguard interface– имя виртуальной сетевой платы. (имя вашего соединения,егонужно запомнить)
Следующие две стоки, внутренние ip-адреса.Здесь вы можете указать удобный для вас диапазон адресов, которое будутприсваиваться вашим устройствам при подключении к серверу.
Далее указываем внешний порт соединения к вашему серверу.
Стандартный порт: 57141.Я бы рекомендовал его сменить и\или запомнить, он пригодится очень скоро.
Последнее два вопроса, это dns сервера. Вы можете указать свои (если знаете какие) у меняже это адреса adguard. Что-бы блокировать рекламу.
Нажимаем Enterи ждём завершенияустановки\настройки. Скрипт начнёт скачивать нужные файлы для сервера.
Длянастройки клиента на Winows\Mac\Linux тебепонадобится файл конфигурации. Он будет находится в директории указанной нижу qr-кода.Вот тут нам и понадобится MC. Запускаем его просто набрав “MC” (илиsudo mc, если хотите запустить с правами суперпользователя, нотогда придётся прогуляться по папкам)
В появившемся окне находим файл .conf именемкоторый мы давали конфигурации, нажимаем F4. Всписке текстовых редакторов лучше выбрать nano. Простоставим цифру, на против которой имя редактора и клацаем enter. Переднами конфигурационные данные, которые мы уже видели при создании пользователя.Скачиваем клиент для вашей ОС (в моём случае это Windows)
Клацаем на треугольник рядом с кнопкой добавить туннель àДобавитьпустой туннель. В открывшаяся окно копируем из ssh сессииданные из файла, сохраняем. Ctrl+x выйтииз редактора и F10 выйти из MC. И впринципе с создание туннеля всё. Весь ваш трафик теперь перенаправляется на вашVPN. На этом можно было бы и закончить, но как я говорил,нужно обезопасить ваш сервер. Но сначала добавим возможность автоматическогозапуска туннеля, так как при перезагрузке сервер не запустится.
sudo systemctl enable wg-quick@имя_вашего соединения (wg0)
Готово.
Безопасность:
Небуду описывать сколько в интернете ботов и всякого другого дерьма, просто скажу,что их много и надо уметь постоять за себя и свою инфраструктуру. Этом мы ибудем заниматься.
Для начала сменим порт ssh-соединения.Открываем файл конфигурации ssh-сервера. (да, без оболочки. Так быстрее.) Запускаемобязательно с правами суперпользователя (sudo)
sudo nano /etc/ssh/sshd_config
Ищем в файле sshd_config строку «port 22» Она обычно сверху. Убираем #, и меняем цифру на вашпорт, допустим 4422. Не забудьте его! Выходим предварительно сохранивизменения.
Перезапускаем службу ssh, что бы она получила новые параметры из файла.
sudo systemctl restart ssh.service
Перезапускаем ssh-сессию,не забывая сменить порт в подключении и при подключении снова набираем screen. Далеенастраиваем firewall. По умолчанию он выключен в ubuntu. Что бы проверить этонабираем sudo ufo status.И ответом нам будет Status: inactive. Прежде чем включать firewall настроим нужные правила, иначе удалённый хост станетнедоступен для нас по ssh. Вот список команд, просто вставляйте их в консоль:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 4422 <-- наш ssh
sudo ufw allow 57141 <-- наш Wireguard туннель
В двух словах что мы сделали: разрешили весь исходящий трафик, запретиливесь входящий кроме нашего ssh и нашего Wireguard сервера.
Включаем наш firewall командой:
sudo ufw enable
Вы получите предупреждение:
Command may disruptexisting ssh connections.Proceed with operation(y|n)?
Это означает, что запуск этого сервиса может разорвать текущее ssh соединение.
Можно перезагрузится :)
Так же мы качали такую замечательную вещь как Fail2Ban, еёможно не настраивать так как она прекрасно работает из коробки. Я оставлю всессылки на все полезные ресурсы в конце, если захотите покопаться.
Заключение:
Отсылаяськ началу этой статьи я бы хотел сказать, что OpenVPN неплохой протокол, как это могло показаться. У Wireguard есть 2существенных минуса:
1) При подключении к хосту, клиенты могут видеть друг-друга. То есть вы можетепропинговать ваше соседнее устройство. Это можно исправить настройками firewall’aи не так критично, но из коробки OpenVPNсразуотрезает подобное.
2) У Wireguard легко детектится его трафик, а именно момент обмена хендшейков(handshake) то есть в сам туннель попасть сложно, но вот определитьи прикрыть его можно легко. Нужно делать обфускацию трафика что-бы было сложнееего заметить. Сам я ещё не опробовал, но хочу заюзать socks5 дляпередачи первичной передачи хендшейка. У OpenVPNестьже готовая приблуда так же «из коробки»
Так же стоит упомянуть что я не настроил авторизацию на сервере через ключ-файл потому что мне лень, но я осталю на это линк ниже.
В принципе на этом всё, спасибо что прочитали, все ссылки на полезные ресурсы прилагаю.
Пост написан исключительно для любимого Джояи для тебя анон лично.
Занимайтесь самообразованием, остаюсь с вами на связи в комментах, если что то забыл - дополню там, пока.
Полезные сслки:
настройка Fail2ban
Wireguard клиенты
Мой ssh клиент
Git-репозиторий скрипта
Да, хочу ещё! :) | |
|
333 (53.2%) |
Нет, пшёл вон :( | |
|
37 (5.9%) |
Я картошка | |
|
256 (40.9%) |
день системного администратора праздник it unix
Всех причастных с праздничком! Стабильного PINGа и крепких нервов.
взлом хакеры реактор новостной сетевая безопастность Qiwi системный администратор слив не политота
QIWI взломали
Хакеры из группировки NB65 заявили, что взломали QIWI и зашифровали базы данных платёжной системы. Также хакерами были «изъяты» данные о 12,5 миллионах кредитных карт и 30 миллионов записей о платежах. Всего пострадало примерно 10,5 терабайт информации. Хакеры дали QIWI 3 дня на то, чтобы связаться с ними. Они пообещали публиковать по миллиону строк из слитых баз данных в сутки. Официально платёжная система эту информацию не комментировала.
линк на птицер
PS: Пост не ради политоты, а ради инф.безопастности.
Отличный комментарий!
пидоры помогите it порты mikrotik сисадмин
Помогите, пожалуйста, начинающему сисадмину. Поясните на пальцах как работают порты.
Суть такая:
Есть локалка с компами, сервером с БД Firebird и Mikrotik, который получает инет и распределяет по сетке, а так же пробрасывает порты БД на сервер.
Есть компы и ноуты с клиентской программой, которая коннектится к БД. С компами всё ок, проблема с ноутами из-за их мобильности.
Если ноут во внешней сети - он успешно коннектится например по 14.88.13.666.
Если ноут в локалке - он успешно коннектится по 192.168.1.2.
Если ноут в локалке и пытается коннектиться по 14.88.13.666 - получается fail, непонятно почему.
Каждый раз перенастраивать в свойствах программы IP-адрес когда сотрудник приходит в офис и менять на внешний, когда уходит с офиса - очень геморойно.
На том же сервере стоит веб-сервер и к нему вполне себе получается приконектиться из локалки по внешнему IP 14.88.13.666, почему то же не работает с БД Firebird? Может, что-то нужно донастроить в микротике? Я не очень понимаю как работают порты: или они как дырка в стене, или они как клапан - отдельно нужно настраивать на вход, отдельно - на выход. Типа ноуты извне проходят, а ноуты из локалки не могут выйти в и-нет, чтобы вернуться назад по IP?
Может, как-то можно настроить на микротике кусочек DNS, чтобы при обращении из локалки на 14.88.13.666 эти запросы не покидали локалку и редиректились сразу на сервер?
Вот порты в микротике:
Вот купон:Буду очень благодарен за помощь. Прошу простыми словами изъясняться, я в сетевых и сисадминских терминах не очень шарю.реактор образовательный it системный администратор мануал Образование программирование Халява программисты доброта позитив geek подарочки самообразование
Пак знаний, учение свет.
Сап Джой. Прочитав вот этот пост у меня возникло спонтанное желание насаждать добро и причинять справедливость в массы.
Покопавшись на своём компе я сгрёб всю полезную информацию которую собирал много лет у себя и залил к себе в облако.
Огромное количество учебников, статей для it-шников всех мастей. Прогеры, админы, начинающие it-шники и жалеющие ими стать. Есть также видео-курсы. Но их я пока заливать не стал. Это всё, для всех. Бесплатно. Я ничего не прошу в замен.
Акция продлится до воскресения включительно. А дальше я посмотрю по статистике. Общий объём данный 13.3 GB
Линк на раздачу
Пароль на вход "Реактор образовательный" Без ковычек
Можно качать как полным архивом, так и частями.
В раздаче read me файл с чуть более подробным описанием.
Отличный комментарий!
роскомпозор запреты блокировки Реактор познавательный реактор образовательный системный администратор it информационная безопасность информация TOR Tor browser обход
Роскомпозор лочит публичные ноды Tor браузера, российский анон в опастности?
Сап реактор, в последние время правительство РФ в край охуело 1)нацелилось на превращение российского сегмента интернеа в "Чебурнет" и помимо повсеместной блокировки VPN - сервисов они взялись за святое. Сегодня (8 декабря) публичные ноды Tor браузера стали недоступны или же подключение занимает приличное количество времени. В связи с этим я решил поделится с вами некоторй полезной информацией. Я стараюсь подкидывать вам интересные ссылки и мануалы. Сейчас я предлогаю вам ознакомится с этим.
1) Сообщество Tor Project обратилось к пользователям из России с призывом поднимать ноды и мосты:
"С 1 декабря некоторые интернет-провайдеры в России начали блокировать доступ к Tor . Сегодня мы узнали, что Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), государственная бюрократическая структура, угрожает подвергнуть цензуре наш основной веб-сайт (torproject). Россия - вторая по величине страна пользователей Tor: более 300 000 пользователей в день или 15% всех пользователей Tor. Поскольку кажется, что эта ситуация может быстро перерасти в блокировку Tor по всей стране , мы срочно отреагируем на эту цензуру! Нам нужна ваша помощь СЕЙЧАС, чтобы россияне оставались на связи с Tor! Запустите мост Tor."
2) Благодоря вот этой статейке вы можете поднять собственный, а главное БЕСПЛАТНЫЙ vps север.
3) И благодаря вот это ссылке вы сможете настроить собсвенный L2TP VPn сервер.
UPD: новость
UPD2: статья как настроить мосты Много лишней воды, но полезно.
UPD3: Готовый фильтр в поиске активных нод "клац"
anon Инь Фу Во сисадмин
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.
===
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
===
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
===
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
===
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.
Отличный комментарий!