3 581
contributi
HardNasDebianNetatalk: differenze tra le versioni
m
revisione stilistica
Nessun oggetto della modifica |
m (revisione stilistica) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|Buster}} | |||
Lo scopo di questa guida è creare, con un PC a 64-bit (''amd64'') in cui è installato GNU/Linux Debian 10, un [[NAS]] di rete con condivisione per il mondo macosx da utilizzare nella propria LAN con alcuni accorgimenti alla sicurezza informatica tramite [[kernel]] e [[patch]] realtime per il sistema Linux, amministrabile da remoto tramite [[SSH|ssh]].<br/> | |||
La sicurezza informatica è un processo e non un prodotto e solo aumentando la propria security IT con l'insieme di tool e stratagemmi si ottiene un buon livello di IT.<br/> | |||
Non indicherò come [[installare Debian]], perché già ci sono guide in questo sito che tramite screenshot guidato gli utenti alle prime armi per realizzare l'obbiettivo. | |||
Per effettuare lo stesso con [[Samba]], anziché <code>netatalk</code>, rimando a [[HardNasDebianSamba|quest'altra guida]]. | |||
== Nas Debian Netatalk-Time Machine kernel/P-Realtime PaXctl== | == Nas Debian Netatalk-Time Machine kernel/P-Realtime PaXctl== | ||
Sperando che abbiate messo una buona password di root e utente alfanumerica maggiore di 20 caratteri, iniziamo l'installazione dei tool e la configurazione.<br/> | |||
Per prima e buona cosa occorre aggiornare il DB dei [[pacchetto|pacchetti]] e aggiornare il sistema da [[privilegi di amministrazione|amministratore root]] prendo il terminale. | |||
su - ---> comando per diventare root | |||
apt-get update ---> comando per aggiornare la lista pacchetti disponibili da scaricare dai repository | |||
apt-get dist-upgrade ---> aggiornamento dei programmi già installati nel PC con Debian | |||
=== ssh, fail2ban, clamav, rkhunter === | |||
Ora che il sistema è aggiornato andiamo a installare il [[pacchetto]] <code>openssh-server</code>, per poter amministrare da remoto il nostro sistema in futuro, e le protezioni per evitare attacchi al servizio [[ssh]]; non mi dilungo sul file di configurazioni sshd nello specifico, perché ci sono guide specifiche solo per ssh. | |||
apt-get install openssh-server fail2ban clamav | |||
Dopo aver installato [https://www.clamav.net/ clamav] utilizzabile da riga di comando per controllare virus nei file di condivisione, per sicurezza cambiamo la porta di default di ssh editando il file apposito. | |||
cd /etc/ssh/ | |||
editiamo con [[nano|pico]], strumento da riga di comando per modificare un file di testo, il config di sshd (<code>/etc/ssh/sshd_config</code>) cambiando la porta con un numero a noi familiare togliendo il carattere <code>#</code> (che introduce un commento). In questo esempio scelgo 82, l'importante è che non lasciate la porta di default di ssh. | |||
pico sshd_config | |||
#Port 22 ---> da sostituirsi con: ---> Port 82 | |||
Modificato il file installiamo <code>rkhunter</code> uno strumento utile per mantenere il nostro NAS sotto controllo da possibili rootkit. [https://en.wikipedia.org/wiki/Rkhunter Rkhunter] è uno strumento utilizzabile da riga di comando per scansionare il sistema cosi da tener sotto controllo che non ci siano intromissioni non autorizzate. | |||
apt-get install rkhunter ---> comando per installare lo scan per rootkit-trojan, ecc. | |||
Riavviate il PC. | |||
Riaprite il terminale editiamo il file <code>resolv.conf</code> mettendo nameserver 9.9.9.9 [https://www.quad9.net/] cambiare i [[dns]] rispetto a quelli forniti da provider si guadagna in velocità di aggiornamenti e sicurezza dato che questi hanno maggior controlli durante l'interrogazione. | |||
cd /etc/ | |||
su - | |||
pico resolv.conf | |||
=== paxctl === | |||
Sempre dal terminale installiamo flags paxctl [https://en.wikipedia.org/wiki/Grsecurity#PaX] - ASLR e il kernel PT | Sempre dal terminale, come [[privilegi di amministrazione|amministratori]], installiamo flags paxctl [https://en.wikipedia.org/wiki/Grsecurity#PaX] - ASLR e il kernel PT | ||
apt-get install paxctl ---> da root | |||
Per semplicità potete usare anche synaptic | Per semplicità potete usare anche synaptic | ||
<code> | synaptic-pkexec | ||
nel cerca scrivete kernel e trovate la riga <code>linux-image-4.19.0-5-rt-amd64</code> e <code>linux-headers-4.19.0-rt-amd64</code> e selezionateli per l'installazione, quindi applica. | |||
Riavviate il PC alla fine dell'installazione dei pacchetti e troverete da terminale lanciando <code>uname -a</code> il nuovo kernel con la dicitura RT e la patch paxctl installata, inoltre lanciando un ssh da un vostro PC della rete verso l'ip del nas alla porta da voi modificata, troverete il servizio [[SSH|ssh]] in ascolto che inserito user e password vi permettere per i prossimi accessi crittografati di manutenzione di aggiornare la distro, scansionare con clamav e rkhunter per star sicuri che il nas è in buono stato di sicurezza.<br/> | |||
Riavviate il | Per i comandi relativi alla riga di comando <code>man rkhunter</code> e <code>man clamav</code> vi saranno di aiuto. Il kernel RT rende la macchina, dedicata solo a funzione [[NAS]], più rattiva per il servizio di [[samba]]. | ||
uname -a ---> comando per stampare la versione di kernel e altri info riguardanti l'architettura | |||
Ip address è il comando per visualizzare il vostro indirizzo IP del nas a cui far riferimento per la lan. | Ip address è il comando per visualizzare il vostro indirizzo IP del nas a cui far riferimento per la lan. | ||
ip address ---> comando per indirizzo ip, ifconfig è stato tolto | |||
=== Lato client === | |||
Dai vostri mac con macosx potete utilizzare da riga di comando basta lanciare la seguente istruzione dove -p indica la porta da voi cambiata, utente--> l'utente che avete nel vostro nas e l'indirizzo IP della macchina. | |||
ssh -p 72 utente@192.168.X.X | |||
== Netatalk == | |||
Installiamo il server netatalk e in seconda battuta installiamo htop | Installiamo il server <code>netatalk</code> e in seconda battuta installiamo <code>htop</code> (molto più intuibile di <code>top</code>), utile strumento a colori da riga di comando per monitorare la nostra macchina durante l'utilizzo come NAS. | ||
apt-get install netatalk htop | apt-get install netatalk htop | ||
Ultimo passaggio prima di essere operativi nella condivisione dei file andiamo a editare sempre come root il file | Ultimo passaggio prima di essere operativi nella condivisione dei file andiamo a editare sempre come root il file <code>/etc/netatalk/afp.conf</code>. | ||
<code>cd /etc/netatalk/</code> | <code>cd /etc/netatalk/</code> | ||
| Riga 71: | Riga 85: | ||
<code>pico apf.conf</code> | <code>pico apf.conf</code> | ||
In Debian è già presente nella home la cartella Documenti per esempio condivideremo questa inserendo nel file il percorso della cartella e usando questo nas anche per i backup con time machine, programma già incluso in MacOSX per backup incrementali. | In Debian è già presente nella home la cartella Documenti per esempio condivideremo questa inserendo nel file il percorso della cartella e usando questo nas anche per i backup con time machine, programma già incluso in MacOSX per backup incrementali.<br/> | ||
Il file di configurazione netatalk non ha troppi parametri come samba è molto più semplice, sta all'utente smanettone documentarsi su man per creare una configurazione ad hoc. | Il file di configurazione di netatalk non ha troppi parametri come samba ed è molto più semplice, sta all'utente smanettone documentarsi su man per creare una configurazione ad hoc. | ||
Editate come root quindi con il comando "su" il file con pico o altro editor semplice a voi più familiare e aggiungete queste righe incui si indica il percorso della cartella da personalizzare con le vostre impostazioni. | Editate come root quindi con il comando "su" il file con pico o altro editor semplice a voi più familiare e aggiungete queste righe incui si indica il percorso della cartella da personalizzare con le vostre impostazioni.<br/> | ||
Se avete cercato la voce netatalk probabilmente avrete portatili macbook o walkstation apple, l'utilità di avere anche la funzione di "Time Machine" può far comodo, per avere una copia in più dei vostri lavori. | Se avete cercato la voce netatalk probabilmente avrete portatili macbook o walkstation apple, l'utilità di avere anche la funzione di "Time Machine" può far comodo, per avere una copia in più dei vostri lavori. | ||
; | ; | ||
; Netatalk 3.x configuration file | ; Netatalk 3.x configuration file | ||
; | ; | ||
[Global] | [Global] | ||
Global server settings | Global server settings | ||
save password = yes | save password = yes | ||
[Homes] | [Homes] | ||
basedir regex = /home/test | basedir regex = /home/test | ||
[My AFP Volume] | [My AFP Volume] | ||
path = /home/test | path = /home/test | ||
[My Time Machine Volume] | [My Time Machine Volume] | ||
path = /home/test/Documenti | path = /home/test/Documenti | ||
| Riga 96: | Riga 110: | ||
systemctl reboot ---> comando per riavviare debian | |||
== Conclusioni == | |||
Dal vostro macosx potete trovare il nas su VAI --> Connessione al server --> afp://192.168.X.X (il vostro indirizzo IP del NAS) seguirà user e password dell'utente del nas AFP[https://it.wikipedia.org/wiki/Apple_Filing_Protocol]. | Dal vostro macosx potete trovare il nas su VAI --> Connessione al server --> afp://192.168.X.X (il vostro indirizzo IP del NAS) seguirà user e password dell'utente del nas AFP[https://it.wikipedia.org/wiki/Apple_Filing_Protocol]. | ||
In questo modo avete un | In questo modo avete un PC con linux Debian con accesso privato [[SSH|ssh]], protezione da bruteforce, e protezione a livello kernel e maggiori performance con la patch RT. In periodo di manutenzione aggiornamento connettetevi tramite user ssh e controllate il vostro NAS con <code>clamav</code> e <code>rkunter</code> e tenere aggiornato tramite [[apt-get]] il vostro sistema con i comandi soliti da root <code>apt-get update</code> ---> <code>apt-get upgrade</code> --> <code>apt-get dist-upgrade</code>. | ||
{{Autori | |||
|Autore=[[Utente:Ryuw|fabio carletti aka Ryuw]] 16:31, 21 ago 2019 (CEST) | |||
}} | |||
[[Categoria:Condivisione risorse]] | |||