Linux OS : tipy a dotazy
Záložka pro permanentní odkaz.
-
Rubriky pro dotazy a odpovědi …
LINUX Debian, Ubuntu, Mint
- Linux Mint & Ubuntu & Debian
+ velké zastoupení v ČR
+ rychlá spolupráce se zahraničními testery
+ široká HW podpora, více méně kompatibilnější než v Debian verzi ovladačů, či technické podpory, zastoupené převážně v zahraničí.
- Vývoj
– velké změny v prostředí LTS verzí OS LINUX Ubuntu LTS 2016 a 2018, také Mint 18 a 19, vedou často k nekompatibilitě specifických programů, po ugpradu OS. V současné době začínajícího III.kvartálu 2019, většina softwaru je již v nových verzí, v kompatibilitě pro OS založených na depozitáři s přívlastkem BIONIC. Ovšem starší softwary, které se již nevyvíjí dále, mohou ztratit kompatibilitu po upgradu OS.
- Rozdělení cest vývojářů OS LINUX .
Zatímco někteří vývojáři pokračují v udržení vývoje starší verze OS Ubuntu 16.04 LTS a Mint 18.3, jiní se vydali cestou modernizace OS a pracují na nové verzi OS se svým novým depozitářem, s dlouhodobou podporou.
- Upgrade na novou verzi OS ?
Je třeba zvážit, vhodnost upgradu OS na novější verzi v míře, kdy si ověříme kompatibilitu a dostupnost using&running softwaru, utilit, služeb, driverů. Z těchto II druhů aktuálně podporovaných depozitářů s přívlastkem
BIONIC = Ubuntu 18.x LTS & Mint 19.x
a
XENIAL = Ubuntu 16.x LTS & Mint 18.x
Upgrade v současnosti není povinností.- LTS ( Long Term Support ) značení verzí
U OS Linux Ubuntu LTS je zaručena dlouhodobá podpora. Nové verze OS LTS se plánují každé 2 roky. U každé verze LINUX založené na LTS verzi, je zaručena 3 roky podpora HW, 6 let podpora updatu a min. 10 let podpora bezpečnostních aktualizací OS Ubuntu 18.04 LTS a MINT 19.x.
např. Linux Ubuntu 18.04 LTS byla založena roku 2018, 4 měsíc.Linux Mint 19.x je sestaven podle depozitáře Ubuntu 18.04 LTS, v roce 2019. Dlouhodobá podpora je zaručena i u verzí Linux Mint, která nenese ve svém názvu značení LTS.
- Prvním vydání LTS Ubuntu
bylo Ubuntu 6.06 LTS (Dapper Drake), které vyšlo 1. června 2006 jako čtvrté vydání Canonical. Až do vydání Ubuntu 12.04 LTS (Precise Pangolin), které bylo k dispozici 26. dubna 2012, měly verze LTS tříletou podporu na Ubuntu Desktop a pět let na Ubuntu Serveru.
Např.
Ubuntu FELICIA = Ubuntu 8.10 rok 2008
-
-
- Linux Mint – blog
-
- RouterOS blog
-
rtkit proces , daemon = Realtime Policy and Watchdog Daemon
Je to služba, která přiděluje realtime prioritu procesům, které si o ni řeknou.
Seznam best Linux nejen obyčejných příkazů
arpwatch – Ethernet Activity Monitor.
bmon – bandwidth monitor and rate estimator.
bwm-ng – live network bandwidth monitor.
curl – transferring data with URLs. (or try httpie)
darkstat – captures network traffic, usage statistics.
dhclient – Dynamic Host Configuration Protocol Client
dig – query DNS servers for information.
dstat – replacement for vmstat, iostat, mpstat, netstat and ifstat.
ethtool – utility for controlling network drivers and hardware.
gated – gateway routing daemon.
host – DNS lookup utility.
hping3 – TCP/IP packet assembler/analyzer.
ibmonitor – shows bandwidth and total data transferred.
ifstat – report network interfaces bandwidth.
iftop – display bandwidth usage.
ip (PDF file) – a command with more features that ifconfig (net-tools).
iperf3 – network bandwidth measurement tool. (above screenshot Stacklinux VPS)
iproute2 – collection of utilities for controlling TCP/IP.
iptables – take control of network traffic.
IPTraf – An IP Network Monitor.
iputils – set of small useful utilities for Linux networking.
iw – a new nl80211 based CLI configuration utility for wireless devices.
jwhois (whois) – client for the whois service.
“lsof -i” – reveal information about your network sockets.
mtr – network diagnostic tool.
net-tools – utilities include: arp, hostname, ifconfig, netstat, rarp, route, plipconfig, slattach, mii-tool, iptunnel and ipmaddr.
ncat – improved re-implementation of the venerable netcat.
netcat – networking utility for reading/writing network connections.
nethogs – a small ‘net top’ tool.
Netperf – Network bandwidth Testing.
netsniff-ng – Swiss army knife for daily Linux network plumbing.
netstat – Print network connections, routing tables, statistics, etc.
netwatch – monitoring Network Connections.
ngrep – grep applied to the network layer.
nload – display network usage.
nmap – network discovery and security auditing.
nmcli – a command-line tool for controlling NetworkManager and reporting network status.
nmtui – provides a text interface to configure networking by controlling NetworkManager.
nslookup – query Internet name servers interactively.
ping – send icmp echo_request to network hosts.
route – show / manipulate the IP routing table.
slurm – network load monitor.
snort – Network Intrusion Detection and Prevention System.
smokeping – keeps track of your network latency.
socat – establishes two bidirectional byte streams and transfers data between them.
speedometer – Measure and display the rate of data across a network.
speedtest-cli – test internet bandwidth using speedtest.net
ss – utility to investigate sockets.
ssh – secure system administration and file transfers over insecure networks.
tcpdump – command-line packet analyzer.
tcptrack – Displays information about tcp connections on a network interface.
telnet – user interface to the TELNET protocol.
tracepath – very similar function to traceroute.
traceroute – print the route packets trace to network host.
vnStat – network traffic monitor.
websocat – Connection forwarder from/to web sockets to/from usual sockets, in style of socat.
wget – retrieving files using HTTP, HTTPS, FTP and FTPS.
Wireless Tools for Linux – includes iwconfig, iwlist, iwspy, iwpriv and ifrename.
Wireshark – network protocol analyzer.
Chcete-li získat informaci, zda máte určitý balíček nainstalován ve vašem systému nebo ne,
můžete použít piping „|“, což se používá pro kombinování více příkazů s cílem vytvářet složitější a účelnější příkazy.
Následující kombinace se používá k získání výstup příkazu dpkg -l a příkazu grep.
Nástroj grep se používá k výpisu řádky odpovídající vzorci.
sudo dpkg -l | grep zip ( -l = list a znak „|“ propojí dva příkazy. v tomto případě „grep“ = uchopí balíčky obsahující slovo „zip“ )
sudo dpkg -l (vypíše všechny nainstalované balíky)
sudo dpkg –install název-balíčku
A jak odinstalovat balíček pomocí nástroje dpkg ?
Pomocí následujícího příkazu, ovšem nedoporučuje se, pokud nevíte přesně co děláte.
sudo dpkg -r název-balíčku ( remove balíček )
Stejně tak můžeme použít příkaz apt-get, také stačí napsat „apt“
sudo apt-get remove název-balíčku
Stejně tak můžeme vypsat nainstalované balíčky
apt list ( root práva zde nejsou třeba, takže bez sudo)
Jak si ověřit číslo portu běžící služby v OS Linux, jenž mají vytvořený zabezpečený tunel localhost ?
# nmap localhost
A ověřím zda existuje vzdálené naslouchání, zobrazí PID/program a IP na druhé straně.
# netstat -ltnp
Jednoduchý příklad NAT překládání adres na jiné včetně portu :
# iptables -t nat -A OUTPUT -p all -d 123.45.67.89 -j DNAT –to-destination 127.0.0.1
-t NAT ( přímé překládání adres )
-p all ( všechny porty příchozí )
-d IP4 ( destination, cílová adresa )
-j DNAT ( jump > pokud se pravidlo shoduje, packet je vytvořen, tak přesměruj
–to-destination 127.0.0.1 (localhost) na cílovou adresu 127.0.0.1
Ruský Web Linux aplikace třetích stran
Základní bezpečnost serveru, či PC v provozu na internetu
1.⇒ ujistěte se, že vaše bezpečnostní aktualizace OS jsou aktuální.
Vypněte si podporu protokolu IP verze 6 ( IPv6).
V terminálu # sudo nano ⁄etc⁄sysctl.conf
nano = textový editor,může být i xed
na konec dat v souboru sysctl.conf připište tyto 3 řádky :
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Další zrušit microsoft-ds tunel na TCP6
# sudo xed ⁄etc⁄avahi⁄avahi-daemon.conf
řádek use-ipv6=no
řádek publish-a-on-ipv6=no
Další zrušit NETBIOS na IPV6, který využívá SAMBA
# sudo xed ⁄etc⁄samba⁄smb.conf
disable netbios = yes
smb ports = 445
2.⇒ root uživatelská práva, není vhodné ponechat uživateli se stejným jménem „root“.
Je vhodné nejdříve si ověřit zda li mám uživatele s otevřenými právy root vytvořeného a teprve poté mohu zakázat práva uživateli jménem „root“.
Např. Při používání VPN virtual private network – tunel v internetu, se tato maličkost může stát právě terčem útoků hackerů.
Vzdálené správě počítače, přístupu k databázím dat serverů.
3.⇒ Změna portu pro SSH tunelování : zabezpečená komunikace v internetovém prostředí
Je těžší poté vaši zabezpečenou komunikaci zaseknout. Nemohou SSH zaseknout, když ho nemohou najít.
Změna čísla portu SSH může rovněž zabránit škodlivým skriptům v přímém připojení na výchozí port (22).
Chcete-li to, budete muset otevřít /etc/ssh/sshd_config a změnit příslušné nastavení portu z 22 na číslo portu, které si nejprve musíte ověřit a ujistit se, zda kontrolovaný nový port není již obsazený, jinou službou.Nechceme přeci vytvářet střety! Nýbrž zlepšit bezpečnost.
4.⇒ Otevřené porty na protokolech UDP, TCP, TCP6 a dalších.
Udržujte si neustálí přehled o otevřených portech ve vaší internetové komunikaci mezi vaším OS a stranou internetu, i třetích stran, i robotů. Tím lépe zajistíte bezpečnost a získáte přehled nad outdoor komunikaci s vámi.
Výborným pomocníkem příkaz # netstat , který sám dokáže vytvořit několik variant sestav z aktuálního stavu otevřených portů.
# netstat -a | grep tcp vypíše pouze komunikaci na protokolu TCP ( Transmission control protokol ).
Také příkaz # nmap není jen obyčejným příkazem rovněž, dokáže ověřit jaké porty jsou u vás otevřené pro komunikaci v internetu. # nmap -v scanme.nmap.org
Je dobré také vědět, jak jsou porty rozděleny rozsahem příchozí a odchozí komunikace:
porty od 1 do 32767 jsou příchozí. Porty 32768, až 61000 jsou odchozí.
5.⇒ Rozšířená zpráva firewall, který využívá např. aktualizované data ip-tables specifických rozsahů sítě internetu, které je schopna blokovat okamžitě při vzniku, takové komunikace.
příkaz # ipblock existuje i v GUI ( grafickém prostředí # sudo ipblock gui ), umí importovat i-block listy.
ipblock je v poslední verzi 0.29 plně funkční již od roku 2012.
Doporučuji využít i CIDR databázi rozsahů podle jednotlivých států, která lze využít k pravidlům „deny“ zakázané.
6.⇒Monitorování a řízení SSH tunelování = vytvoří přímé spojení zabezpečené na úrovni příkazového řádku OS
K tomu je třeba si uvědomit jaké obrovské možností poskytuje takové spojení k serveru, či vašemu počítači.
SSH tunel využívá i OS pro přístup do databází služeb systému.
SSH tunel pracuje v internetu skrze protokol HTTPS ( proto je dobré si default port nastavit na jiný než 443 )
Co je HTTPS protokol ?
HTTPS (Hypertext Transfer Protocol Secure) je v informatice protokol umožňující zabezpečenou komunikaci v počítačové síti.
HTTPS využívá protokol HTTP spolu s protokolem SSL nebo TLS.
příklad ověření otevřeného zabezpečeného spojení port 443 v Linux terminálu # netstat -n –protocol inet | grep ‘:443’
Ověřit se takto dá i port 22 určený pro Secure Shell tunelování. # netstat -n –protocol inet | grep ‘:22’
Nebo necháme vypsat všechna spojení na síti : # netstat -n –protocol inet | grep ‘’
Instalace DenyHost je velmi jednoduchá, je k nalezení ve správci softwaru.
Ve složce /etc/ naleznete 2 soubory začínající host.* ( # ls /etc/host.* )
host.deny – zde se zapisují IP adresy blokované
host.allow – zde se zapisují IP adresy povolené
Root přístup /var/lib/denyhosts, umožní přístup k aktivním datům a lze zde i rovněž zadávat IP adresy.
Nepracuje na IPV6 protokolu. Doporučuji IPV6 vypnout. Vypnout na vnitřní síti routeru a počítačích.
GNU LINUX se dokáže přizpůsobit během startu na nový hardware, díky jednotlivým firmware komponentů a HW, GNU Linux dokáží díky svému samostatné částí jádra Linux určeného pouze pro zavedení ovladačů dle obsaženého hardwaru při startu OS.
OS’s na základě GNU Linux je mnoho v současné době. Většina druhů patří do skupiny Open Source projektů současně probíhajících ve spolupráci celého světa. Jádro GNU Linux přístupné všem dokáže rozpoznat nejvíce hardwaru, oproti komerčním OS systémům současné doby.
Rozšířenou kompatibilitou pro veškerý HW dostupný na planetě Zemi.