HardNasDebianNetatalk: differenze tra le versioni
Nessun oggetto della modifica |
m (Correzioni ortografiche) |
||
| (2 versioni intermedie di un altro utente non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|Buster}} | |||
Lo scopo di questa guida è creare, con un PC a 64-bit (''amd64'') in cui è installato GNU/Linux Debian 10, un [[NAS]] di rete con condivisione per il mondo macosx da utilizzare nella propria LAN con alcuni accorgimenti alla sicurezza informatica tramite [[kernel]] e [[patch]] realtime per il sistema Linux, amministrabile da remoto tramite [[SSH|ssh]].<br/> | |||
La sicurezza informatica è un processo e non un prodotto e solo aumentando la propria security IT con l'insieme di tool e stratagemmi si ottiene un buon livello di IT.<br/> | |||
Non indicherò come [[installare Debian]], perché già ci sono guide in questo sito che tramite screenshot guidato gli utenti alle prime armi per realizzare l'obiettivo. | |||
Per effettuare lo stesso con [[Samba]], anziché <code>netatalk</code>, rimando a [[HardNasDebianSamba|quest'altra guida]]. | |||
== Nas Debian Netatalk-Time Machine kernel/P-Realtime PaXctl== | == Nas Debian Netatalk-Time Machine kernel/P-Realtime PaXctl== | ||
Sperando che abbiate messo una buona password di root e utente alfanumerica maggiore di 20 caratteri, iniziamo l'installazione dei tool e la configurazione.<br/> | |||
Per prima e buona cosa occorre aggiornare il DB dei [[pacchetto|pacchetti]] e aggiornare il sistema da [[privilegi di amministrazione|amministratore root]] prendo il terminale. | |||
su - ---> comando per diventare root | |||
apt-get update ---> comando per aggiornare la lista pacchetti disponibili da scaricare dai repository | |||
apt-get dist-upgrade ---> aggiornamento dei programmi già installati nel PC con Debian | |||
=== ssh, fail2ban, clamav, rkhunter === | |||
Ora che il sistema è aggiornato andiamo a installare il [[pacchetto]] <code>openssh-server</code>, per poter amministrare da remoto il nostro sistema in futuro, e le protezioni per evitare attacchi al servizio [[SSH|ssh]]; non mi dilungo sul file di configurazioni sshd nello specifico, perché ci sono guide specifiche solo per ssh. | |||
apt-get install openssh-server fail2ban clamav | |||
Dopo aver installato [https://www.clamav.net/ clamav] utilizzabile da riga di comando per controllare virus nei file di condivisione, per sicurezza cambiamo la porta di default di ssh editando il file apposito. | |||
cd /etc/ssh/ | |||
editiamo con [[nano|pico]], strumento da riga di comando per modificare un file di testo, il config di sshd (<code>/etc/ssh/sshd_config</code>) cambiando la porta con un numero a noi familiare togliendo il carattere <code>#</code> (che introduce un commento). In questo esempio scelgo 82, l'importante è che non lasciate la porta di default di ssh. | |||
pico sshd_config | |||
#Port 22 ---> da sostituirsi con: ---> Port 82 | |||
Modificato il file installiamo <code>rkhunter</code> uno strumento utile per mantenere il nostro NAS sotto controllo da possibili rootkit. [https://en.wikipedia.org/wiki/Rkhunter Rkhunter] è uno strumento utilizzabile da riga di comando per scansionare il sistema cosi da tener sotto controllo che non ci siano intromissioni non autorizzate. | |||
apt-get install rkhunter ---> comando per installare lo scan per rootkit-trojan, ecc. | |||
Riavviate il PC. | |||
Riaprite il terminale editiamo il file <code>resolv.conf</code> mettendo nameserver 9.9.9.9 [https://www.quad9.net/] cambiare i [[dns]] rispetto a quelli forniti da provider si guadagna in velocità di aggiornamenti e sicurezza dato che questi hanno maggior controlli durante l'interrogazione. | |||
cd /etc/ | |||
su - | |||
pico resolv.conf | |||
=== paxctl === | |||
Sempre dal terminale installiamo flags paxctl [https://en.wikipedia.org/wiki/Grsecurity#PaX] - ASLR e il kernel PT | Sempre dal terminale, come [[privilegi di amministrazione|amministratori]], installiamo flags paxctl [https://en.wikipedia.org/wiki/Grsecurity#PaX] - ASLR e il kernel PT | ||
apt-get install paxctl ---> da root | |||
Per semplicità potete usare anche synaptic | Per semplicità potete usare anche synaptic | ||
<code> | synaptic-pkexec | ||
nel cerca scrivete kernel e trovate la riga <code>linux-image-4.19.0-5-rt-amd64</code> e <code>linux-headers-4.19.0-rt-amd64</code> e selezionateli per l'installazione, quindi applica. | |||
Riavviate il PC alla fine dell'installazione dei pacchetti e troverete da terminale lanciando <code>uname -a</code> il nuovo kernel con la dicitura RT e la patch paxctl installata, inoltre lanciando un ssh da un vostro PC della rete verso l'ip del nas alla porta da voi modificata, troverete il servizio [[SSH|ssh]] in ascolto che inserito user e password vi permettere per i prossimi accessi crittografati di manutenzione di aggiornare la distro, scansionare con clamav e rkhunter per star sicuri che il nas è in buono stato di sicurezza.<br/> | |||
Riavviate il | Per i comandi relativi alla riga di comando <code>man rkhunter</code> e <code>man clamav</code> vi saranno di aiuto. Il kernel RT rende la macchina, dedicata solo a funzione [[NAS]], più rattiva per il servizio di [[samba]]. | ||
uname -a ---> comando per stampare la versione di kernel e altri info riguardanti l'architettura | |||
Ip address è il comando per visualizzare il vostro indirizzo IP del nas a cui far riferimento per la lan. | Ip address è il comando per visualizzare il vostro indirizzo IP del nas a cui far riferimento per la lan. | ||
ip address ---> comando per indirizzo ip, ifconfig è stato tolto | |||
=== Lato client === | |||
Dai vostri mac con macosx potete utilizzare da riga di comando basta lanciare la seguente istruzione dove -p indica la porta da voi cambiata, utente--> l'utente che avete nel vostro nas e l'indirizzo IP della macchina. | |||
ssh -p 72 utente@192.168.X.X | |||
== Netatalk == | |||
Installiamo il server netatalk e in seconda battuta installiamo htop | Installiamo il server <code>netatalk</code> e in seconda battuta installiamo <code>htop</code> (molto più intuibile di <code>top</code>), utile strumento a colori da riga di comando per monitorare la nostra macchina durante l'utilizzo come NAS. | ||
apt-get install netatalk htop | apt-get install netatalk htop | ||
Ultimo passaggio prima di essere operativi nella condivisione dei file andiamo a editare sempre come root il file | Ultimo passaggio prima di essere operativi nella condivisione dei file andiamo a editare sempre come root il file <code>/etc/netatalk/afp.conf</code>. | ||
<code>cd /etc/netatalk/</code> | <code>cd /etc/netatalk/</code> | ||
| Riga 71: | Riga 85: | ||
<code>pico apf.conf</code> | <code>pico apf.conf</code> | ||
In Debian è già presente nella home la cartella Documenti per esempio condivideremo questa inserendo nel file il percorso della cartella e usando questo nas anche per i backup con time machine, programma già incluso in MacOSX per backup incrementali. | In Debian è già presente nella home la cartella Documenti per esempio condivideremo questa inserendo nel file il percorso della cartella e usando questo nas anche per i backup con time machine, programma già incluso in MacOSX per backup incrementali.<br/> | ||
Il file di configurazione netatalk non ha troppi parametri come samba è molto più semplice, sta all'utente smanettone documentarsi su man per creare una configurazione ad hoc. | Il file di configurazione di netatalk non ha troppi parametri come samba ed è molto più semplice, sta all'utente smanettone documentarsi su man per creare una configurazione ad hoc. | ||
Editate come root quindi con il comando "su" il file con pico o altro editor semplice a voi più familiare e aggiungete queste righe incui si indica il percorso della cartella da personalizzare con le vostre impostazioni. | Editate come root quindi con il comando "su" il file con pico o altro editor semplice a voi più familiare e aggiungete queste righe incui si indica il percorso della cartella da personalizzare con le vostre impostazioni.<br/> | ||
Se avete cercato la voce netatalk probabilmente avrete portatili macbook o walkstation apple, l'utilità di avere anche la funzione di "Time Machine" può far comodo, per avere una copia in più dei vostri lavori. | Se avete cercato la voce netatalk probabilmente avrete portatili macbook o walkstation apple, l'utilità di avere anche la funzione di "Time Machine" può far comodo, per avere una copia in più dei vostri lavori. | ||
; | ; | ||
; Netatalk 3.x configuration file | ; Netatalk 3.x configuration file | ||
; | ; | ||
[Global] | [Global] | ||
Global server settings | Global server settings | ||
save password = yes | save password = yes | ||
[Homes] | [Homes] | ||
basedir regex = /home/test | basedir regex = /home/test | ||
[My AFP Volume] | [My AFP Volume] | ||
path = /home/test | path = /home/test | ||
[My Time Machine Volume] | [My Time Machine Volume] | ||
path = /home/test/Documenti | path = /home/test/Documenti | ||
| Riga 96: | Riga 110: | ||
systemctl reboot ---> comando per riavviare debian | |||
== Conclusioni == | |||
Dal vostro macosx potete trovare il nas su VAI --> Connessione al server --> afp://192.168.X.X (il vostro indirizzo IP del NAS) seguirà user e password dell'utente del nas AFP[https://it.wikipedia.org/wiki/Apple_Filing_Protocol]. | Dal vostro macosx potete trovare il nas su VAI --> Connessione al server --> afp://192.168.X.X (il vostro indirizzo IP del NAS) seguirà user e password dell'utente del nas AFP[https://it.wikipedia.org/wiki/Apple_Filing_Protocol]. | ||
In questo modo avete un | In questo modo avete un PC con linux Debian con accesso privato [[SSH|ssh]], protezione da bruteforce, e protezione a livello kernel e maggiori performance con la patch RT. In periodo di manutenzione aggiornamento connettetevi tramite user ssh e controllate il vostro NAS con <code>clamav</code> e <code>rkunter</code> e tenere aggiornato tramite [[apt-get]] il vostro sistema con i comandi soliti da root <code>apt-get update</code> ---> <code>apt-get upgrade</code> --> <code>apt-get dist-upgrade</code>. | ||
{{Autori | |||
|Autore=[[Utente:Ryuw|fabio carletti aka Ryuw]] 16:31, 21 ago 2019 (CEST) | |||
}} | |||
[[Categoria:Condivisione risorse]] | |||
Versione attuale delle 13:54, 11 gen 2020
 Versioni Compatibili Debian 10 "buster" |
Lo scopo di questa guida è creare, con un PC a 64-bit (amd64) in cui è installato GNU/Linux Debian 10, un NAS di rete con condivisione per il mondo macosx da utilizzare nella propria LAN con alcuni accorgimenti alla sicurezza informatica tramite kernel e patch realtime per il sistema Linux, amministrabile da remoto tramite ssh.
La sicurezza informatica è un processo e non un prodotto e solo aumentando la propria security IT con l'insieme di tool e stratagemmi si ottiene un buon livello di IT.
Non indicherò come installare Debian, perché già ci sono guide in questo sito che tramite screenshot guidato gli utenti alle prime armi per realizzare l'obiettivo.
Per effettuare lo stesso con Samba, anziché netatalk, rimando a quest'altra guida.
Nas Debian Netatalk-Time Machine kernel/P-Realtime PaXctl
Sperando che abbiate messo una buona password di root e utente alfanumerica maggiore di 20 caratteri, iniziamo l'installazione dei tool e la configurazione.
Per prima e buona cosa occorre aggiornare il DB dei pacchetti e aggiornare il sistema da amministratore root prendo il terminale.
su - ---> comando per diventare root
apt-get update ---> comando per aggiornare la lista pacchetti disponibili da scaricare dai repository apt-get dist-upgrade ---> aggiornamento dei programmi già installati nel PC con Debian
ssh, fail2ban, clamav, rkhunter
Ora che il sistema è aggiornato andiamo a installare il pacchetto openssh-server, per poter amministrare da remoto il nostro sistema in futuro, e le protezioni per evitare attacchi al servizio ssh; non mi dilungo sul file di configurazioni sshd nello specifico, perché ci sono guide specifiche solo per ssh.
apt-get install openssh-server fail2ban clamav
Dopo aver installato clamav utilizzabile da riga di comando per controllare virus nei file di condivisione, per sicurezza cambiamo la porta di default di ssh editando il file apposito.
cd /etc/ssh/
editiamo con pico, strumento da riga di comando per modificare un file di testo, il config di sshd (/etc/ssh/sshd_config) cambiando la porta con un numero a noi familiare togliendo il carattere # (che introduce un commento). In questo esempio scelgo 82, l'importante è che non lasciate la porta di default di ssh.
pico sshd_config
#Port 22 ---> da sostituirsi con: ---> Port 82
Modificato il file installiamo rkhunter uno strumento utile per mantenere il nostro NAS sotto controllo da possibili rootkit. Rkhunter è uno strumento utilizzabile da riga di comando per scansionare il sistema cosi da tener sotto controllo che non ci siano intromissioni non autorizzate.
apt-get install rkhunter ---> comando per installare lo scan per rootkit-trojan, ecc.
Riavviate il PC.
Riaprite il terminale editiamo il file resolv.conf mettendo nameserver 9.9.9.9 [1] cambiare i dns rispetto a quelli forniti da provider si guadagna in velocità di aggiornamenti e sicurezza dato che questi hanno maggior controlli durante l'interrogazione.
cd /etc/
su - pico resolv.conf
paxctl
Sempre dal terminale, come amministratori, installiamo flags paxctl [2] - ASLR e il kernel PT
apt-get install paxctl ---> da root
Per semplicità potete usare anche synaptic
synaptic-pkexec
nel cerca scrivete kernel e trovate la riga linux-image-4.19.0-5-rt-amd64 e linux-headers-4.19.0-rt-amd64 e selezionateli per l'installazione, quindi applica.
Riavviate il PC alla fine dell'installazione dei pacchetti e troverete da terminale lanciando uname -a il nuovo kernel con la dicitura RT e la patch paxctl installata, inoltre lanciando un ssh da un vostro PC della rete verso l'ip del nas alla porta da voi modificata, troverete il servizio ssh in ascolto che inserito user e password vi permettere per i prossimi accessi crittografati di manutenzione di aggiornare la distro, scansionare con clamav e rkhunter per star sicuri che il nas è in buono stato di sicurezza.
Per i comandi relativi alla riga di comando man rkhunter e man clamav vi saranno di aiuto. Il kernel RT rende la macchina, dedicata solo a funzione NAS, più rattiva per il servizio di samba.
uname -a ---> comando per stampare la versione di kernel e altri info riguardanti l'architettura
Ip address è il comando per visualizzare il vostro indirizzo IP del nas a cui far riferimento per la lan.
ip address ---> comando per indirizzo ip, ifconfig è stato tolto
Lato client
Dai vostri mac con macosx potete utilizzare da riga di comando basta lanciare la seguente istruzione dove -p indica la porta da voi cambiata, utente--> l'utente che avete nel vostro nas e l'indirizzo IP della macchina.
ssh -p 72 utente@192.168.X.X
Netatalk
Installiamo il server netatalk e in seconda battuta installiamo htop (molto più intuibile di top), utile strumento a colori da riga di comando per monitorare la nostra macchina durante l'utilizzo come NAS.
apt-get install netatalk htop
Ultimo passaggio prima di essere operativi nella condivisione dei file andiamo a editare sempre come root il file /etc/netatalk/afp.conf.
cd /etc/netatalk/
pico apf.conf
In Debian è già presente nella home la cartella Documenti per esempio condivideremo questa inserendo nel file il percorso della cartella e usando questo nas anche per i backup con time machine, programma già incluso in MacOSX per backup incrementali.
Il file di configurazione di netatalk non ha troppi parametri come samba ed è molto più semplice, sta all'utente smanettone documentarsi su man per creare una configurazione ad hoc.
Editate come root quindi con il comando "su" il file con pico o altro editor semplice a voi più familiare e aggiungete queste righe incui si indica il percorso della cartella da personalizzare con le vostre impostazioni.
Se avete cercato la voce netatalk probabilmente avrete portatili macbook o walkstation apple, l'utilità di avere anche la funzione di "Time Machine" può far comodo, per avere una copia in più dei vostri lavori.
; ; Netatalk 3.x configuration file ; [Global] Global server settings save password = yes [Homes] basedir regex = /home/test [My AFP Volume] path = /home/test [My Time Machine Volume] path = /home/test/Documenti time machine = yes
systemctl reboot ---> comando per riavviare debian
Conclusioni
Dal vostro macosx potete trovare il nas su VAI --> Connessione al server --> afp://192.168.X.X (il vostro indirizzo IP del NAS) seguirà user e password dell'utente del nas AFP[3].
In questo modo avete un PC con linux Debian con accesso privato ssh, protezione da bruteforce, e protezione a livello kernel e maggiori performance con la patch RT. In periodo di manutenzione aggiornamento connettetevi tramite user ssh e controllate il vostro NAS con clamav e rkunter e tenere aggiornato tramite apt-get il vostro sistema con i comandi soliti da root apt-get update ---> apt-get upgrade --> apt-get dist-upgrade.
| Guida scritta da: fabio carletti aka Ryuw 16:31, 21 ago 2019 (CEST) |  Debianized 20%
|
| Estesa da: | |
| Verificata da: | |
|
Verificare ed estendere la guida | Cos'è una guida Debianized | |