7 reakcí na Linux OS : tipy a dotazy

  1. zorgan říká:

    GNU LINUX se dokáže přizpůsobit během startu na nový hardware, díky jednotlivým firmware komponentů a HW, GNU Linux dokáží díky svému samostatné částí jádra Linux určeného pouze pro zavedení ovladačů dle obsaženého hardwaru při startu OS.
    OS’s na základě GNU Linux je mnoho v současné době. Většina druhů patří do skupiny Open Source projektů současně probíhajících ve spolupráci celého světa. Jádro GNU Linux přístupné všem dokáže rozpoznat nejvíce hardwaru, oproti komerčním OS systémům současné doby.
    Rozšířenou kompatibilitou pro veškerý HW dostupný na planetě Zemi.
    Linux se přizpůsobí všemu

  2. zorgan říká:

    bezpečnost provozu Serveru, či PC s LINUX OS
    Základní bezpečnost serveru, či PC v provozu na internetu
    1.⇒ ujistěte se, že vaše bezpečnostní aktualizace OS jsou aktuální.
    Vypněte si podporu protokolu IP verze 6 ( IPv6).
    V terminálu # sudo nano ⁄etc⁄sysctl.conf
    nano = textový editor,může být i xed
    na konec dat v souboru sysctl.conf připište tyto 3 řádky :
    net.ipv6.conf.all.disable_ipv6 = 1
    net.ipv6.conf.default.disable_ipv6 = 1
    net.ipv6.conf.lo.disable_ipv6 = 1
    Další zrušit microsoft-ds tunel na TCP6
    # sudo xed ⁄etc⁄avahi⁄avahi-daemon.conf
    řádek use-ipv6=no
    řádek publish-a-on-ipv6=no
    Další zrušit NETBIOS na IPV6, který využívá SAMBA
    # sudo xed ⁄etc⁄samba⁄smb.conf
    disable netbios = yes
    smb ports = 445

    2.⇒ root uživatelská práva, není vhodné ponechat uživateli se stejným jménem „root“.
    Je vhodné nejdříve si ověřit zda li mám uživatele s otevřenými právy root vytvořeného a teprve poté mohu zakázat práva uživateli jménem „root“.
    Např. Při používání VPN virtual private network – tunel v internetu, se tato maličkost může stát právě terčem útoků hackerů.
    Vzdálené správě počítače, přístupu k databázím dat serverů.

    3.⇒ Změna portu pro SSH tunelování : zabezpečená komunikace v internetovém prostředí
    Je těžší poté vaši zabezpečenou komunikaci zaseknout. Nemohou SSH zaseknout, když ho nemohou najít.
    Změna čísla portu SSH může rovněž zabránit škodlivým skriptům v přímém připojení na výchozí port (22).
    Chcete-li to, budete muset otevřít /etc/ssh/sshd_config a změnit příslušné nastavení portu z 22 na číslo portu, které si nejprve musíte ověřit a ujistit se, zda kontrolovaný nový port není již obsazený, jinou službou.Nechceme přeci vytvářet střety! Nýbrž zlepšit bezpečnost.

    4.⇒ Otevřené porty na protokolech UDP, TCP, TCP6 a dalších.
    Udržujte si neustálí přehled o otevřených portech ve vaší internetové komunikaci mezi vaším OS a stranou internetu, i třetích stran, i robotů. Tím lépe zajistíte bezpečnost a získáte přehled nad outdoor komunikaci s vámi.
    Výborným pomocníkem příkaz # netstat , který sám dokáže vytvořit několik variant sestav z aktuálního stavu otevřených portů.
    netstat
    # netstat -a | grep tcp vypíše pouze komunikaci na protokolu TCP ( Transmission control protokol ).
    Také příkaz # nmap není jen obyčejným příkazem rovněž, dokáže ověřit jaké porty jsou u vás otevřené pro komunikaci v internetu. # nmap -v scanme.nmap.org
    Je dobré také vědět, jak jsou porty rozděleny rozsahem příchozí a odchozí komunikace:
    porty od 1 do 32767 jsou příchozí. Porty 32768, až 61000 jsou odchozí.

    5.⇒ Rozšířená zpráva firewall, který využívá např. aktualizované data ip-tables specifických rozsahů sítě internetu, které je schopna blokovat okamžitě při vzniku, takové komunikace.
    příkaz # ipblock existuje i v GUI ( grafickém prostředí # sudo ipblock gui ), umí importovat i-block listy.
    ipblock je v poslední verzi 0.29 plně funkční již od roku 2012.
    ipblock terminal
    Doporučuji využít i CIDR databázi rozsahů podle jednotlivých států, která lze využít k pravidlům „deny“ zakázané.

    6.⇒Monitorování a řízení SSH tunelování = vytvoří přímé spojení zabezpečené na úrovni příkazového řádku OS
    K tomu je třeba si uvědomit jaké obrovské možností poskytuje takové spojení k serveru, či vašemu počítači.
    SSH tunel využívá i OS pro přístup do databází služeb systému.
    SSH tunel pracuje v internetu skrze protokol HTTPS ( proto je dobré si default port nastavit na jiný než 443 )
    Co je HTTPS protokol ?
    HTTPS (Hypertext Transfer Protocol Secure) je v informatice protokol umožňující zabezpečenou komunikaci v počítačové síti.
    HTTPS využívá protokol HTTP spolu s protokolem SSL nebo TLS.
    DenyHosts
    příklad ověření otevřeného zabezpečeného spojení port 443 v Linux terminálu # netstat -n –protocol inet | grep ‘:443’
    Ověřit se takto dá i port 22 určený pro Secure Shell tunelování. # netstat -n –protocol inet | grep ‘:22’
    Nebo necháme vypsat všechna spojení na síti : # netstat -n –protocol inet | grep ‘’
    Instalace DenyHost je velmi jednoduchá, je k nalezení ve správci softwaru.
    Ve složce /etc/ naleznete 2 soubory začínající host.* ( # ls /etc/host.* )
    host.deny – zde se zapisují IP adresy blokované
    host.allow – zde se zapisují IP adresy povolené
    Root přístup /var/lib/denyhosts, umožní přístup k aktivním datům a lze zde i rovněž zadávat IP adresy.
    Nepracuje na IPV6 protokolu. Doporučuji IPV6 vypnout. Vypnout na vnitřní síti routeru a počítačích.

  3. zorgan říká:

    Jak si ověřit číslo portu běžící služby v OS Linux, jenž mají vytvořený zabezpečený tunel localhost ?
    # nmap localhost
    A ověřím zda existuje vzdálené naslouchání, zobrazí PID/program a IP na druhé straně.
    # netstat -ltnp

    Jednoduchý příklad NAT překládání adres na jiné včetně portu :
    # iptables -t nat -A OUTPUT -p all -d 123.45.67.89 -j DNAT –to-destination 127.0.0.1
    -t NAT ( přímé překládání adres )
    -p all ( všechny porty příchozí )
    -d IP4 ( destination, cílová adresa )
    -j DNAT ( jump > pokud se pravidlo shoduje, packet je vytvořen, tak přesměruj
    –to-destination 127.0.0.1 (localhost) na cílovou adresu 127.0.0.1

  4. zorgan říká:

    Chcete-li získat informaci, zda máte určitý balíček nainstalován ve vašem systému nebo ne,
    můžete použít piping „|“, což se používá pro kombinování více příkazů s cílem vytvářet složitější a účelnější příkazy.
    Následující kombinace se používá k získání výstup příkazu dpkg -l a příkazu grep.
    Nástroj grep se používá k výpisu řádky odpovídající vzorci.
    sudo dpkg -l | grep zip ( -l = list a znak „|“ propojí dva příkazy. v tomto případě „grep“ = uchopí balíčky obsahující slovo „zip“ )
    sudo dpkg -l (vypíše všechny nainstalované balíky)
    sudo dpkg –install název-balíčku

    A jak odinstalovat balíček pomocí nástroje dpkg ?
    Pomocí následujícího příkazu, ovšem nedoporučuje se, pokud nevíte přesně co děláte.
    sudo dpkg -r název-balíčku ( remove balíček )

    Stejně tak můžeme použít příkaz apt-get, také stačí napsat „apt“
    sudo apt-get remove název-balíčku
    Stejně tak můžeme vypsat nainstalované balíčky
    apt list ( root práva zde nejsou třeba, takže bez sudo)

  5. zorgan říká:

    Seznam best Linux nejen obyčejných příkazů

    arpwatch – Ethernet Activity Monitor.
    bmon – bandwidth monitor and rate estimator.
    bwm-ng – live network bandwidth monitor.
    curl – transferring data with URLs. (or try httpie)
    darkstat – captures network traffic, usage statistics.
    dhclient – Dynamic Host Configuration Protocol Client
    dig – query DNS servers for information.
    dstat – replacement for vmstat, iostat, mpstat, netstat and ifstat.
    ethtool – utility for controlling network drivers and hardware.
    gated – gateway routing daemon.
    host – DNS lookup utility.
    hping3 – TCP/IP packet assembler/analyzer.
    ibmonitor – shows bandwidth and total data transferred.
    ifstat – report network interfaces bandwidth.
    iftop – display bandwidth usage.
    ip (PDF file) – a command with more features that ifconfig (net-tools).
    iperf3 – network bandwidth measurement tool. (above screenshot Stacklinux VPS)
    iproute2 – collection of utilities for controlling TCP/IP.
    iptables – take control of network traffic.
    IPTraf – An IP Network Monitor.
    iputils – set of small useful utilities for Linux networking.
    iw – a new nl80211 based CLI configuration utility for wireless devices.
    jwhois (whois) – client for the whois service.
    “lsof -i” – reveal information about your network sockets.
    mtr – network diagnostic tool.
    net-tools – utilities include: arp, hostname, ifconfig, netstat, rarp, route, plipconfig, slattach, mii-tool, iptunnel and ipmaddr.
    ncat – improved re-implementation of the venerable netcat.
    netcat – networking utility for reading/writing network connections.
    nethogs – a small ‘net top’ tool.
    Netperf – Network bandwidth Testing.
    netsniff-ng – Swiss army knife for daily Linux network plumbing.
    netstat – Print network connections, routing tables, statistics, etc.
    netwatch – monitoring Network Connections.
    ngrep – grep applied to the network layer.
    nload – display network usage.
    nmap – network discovery and security auditing.
    nmcli – a command-line tool for controlling NetworkManager and reporting network status.
    nmtui – provides a text interface to configure networking by controlling NetworkManager.
    nslookup – query Internet name servers interactively.
    ping – send icmp echo_request to network hosts.
    route – show / manipulate the IP routing table.
    slurm – network load monitor.
    snort – Network Intrusion Detection and Prevention System.
    smokeping – keeps track of your network latency.
    socat – establishes two bidirectional byte streams and transfers data between them.
    speedometer – Measure and display the rate of data across a network.
    speedtest-cli – test internet bandwidth using speedtest.net
    ss – utility to investigate sockets.
    ssh – secure system administration and file transfers over insecure networks.
    tcpdump – command-line packet analyzer.
    tcptrack – Displays information about tcp connections on a network interface.
    telnet – user interface to the TELNET protocol.
    tracepath – very similar function to traceroute.
    traceroute – print the route packets trace to network host.
    vnStat – network traffic monitor.
    websocat – Connection forwarder from/to web sockets to/from usual sockets, in style of socat.
    wget – retrieving files using HTTP, HTTPS, FTP and FTPS.
    Wireless Tools for Linux – includes iwconfig, iwlist, iwspy, iwpriv and ifrename.
    Wireshark – network protocol analyzer.

  6. zorgan říká:

    rtkit proces , daemon = Realtime Policy and Watchdog Daemon
    Je to služba, která přiděluje realtime prioritu procesům, které si o ni řeknou.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *