KVM: differenze tra le versioni

KVM (visualizza wikitesto)

Versione delle 00:20, 24 dic 2016

1 057 byte aggiunti , 24 dic 2016

nessun oggetto della modifica

Kiba

28

contributi

@@ Riga 10: / Riga 10: @@
 <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
-apt-get install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted logcheck mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav snoopy build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp
+aptitude install htop iotop jnettop git p7zip lynis colordiff tmux wipe netcat-openbsd tcpdump iperf w3m pv nmap zerofree iputils-tracepath parted mosh rsync mtr-tiny curl command-not-found checksecurity debsums rkhunter clamav build-essential checkinstall cmake dpkg-dev diffutils monkeysphere iptables-persistent vim fdupes ssmtp console-data debian-goodies ntp
 </pre>
 ==software per log e sicurezza==
 Possono essere configurati per mandare mail, per ora scrivono in /var/log/ e in /var/mail/eigen
-* logcheck: scrive un riassunto dei log, cercando di eliminare tutte le righe inutili.
 * checksecurity: fa una serie di controlli su problemi di sicurezza comuni
 * tiger: controlla la configurazione del sistema alla ricerca di problemi
@@ Riga 22: / Riga 21: @@
 * debsums: controlla gli hash di tutti i pacchetti installati (binari e file di configurazione)
 * clamav: antivirus
-* snoopy: logga tutte le execve() con syslog VIVA LA PARANOIA!! :D
 Alcuni sono pesanti ed è inutile farli girare sempre<br />
@@ Riga 28: / Riga 26: @@
 <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
 chmod -x /etc/cron.daily/tripwire
-chmod +x /etc/cron.d/logcheck
 </pre>
@@ Riga 42: / Riga 39: @@
 </pre>
+= Dopo aver clonato =
+'''bisogna modificare questi file'''
+* /etc/network/interfaces ''(cambiare ip)''
+* /etc/hostname	 ''(aggiornare hostname)''
+* /etc/hosts
+e per evitare che tutte le chiavi del server ssh siano uguali
+<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
+rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server
+</pre>
+==installare monkeysphere==
+Inserire, uno per riga, gli id delle chiavi [[PGP]] da autorizzare (es. ''Tizio <tizio@eigenlab.org>'').
+<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
+mkdir .monkeysphere
+nano .monkeysphere/authorized_user_ids
+</pre>
+Impostare il certificatore, ovvero la chiave che deve firmare tutte le chiavi in ''authorized_user_ids'' affinchè queste possano accedere. È necessario inserire la fingerprint completa (senza spazi) e non l'ID composto da 8 cifre.
+<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
+monkeysphere-authentication c+ chiave
+</pre>
+Aggiornare la lista delle chiavi autorizzate in modo che gli utenti inseriti possano accedere al server
+<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
+monkeysphere-authentication update-users
+</pre>
-= Modifiche ai file di configurazione: =
+= Modifiche ai file di configurazione nelle VM =
 ====/etc/rkhunter.conf====
@@ Riga 106: / Riga 127: @@
 <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
   *    * * *   root    /usr/sbin/monkeysphere-authentication update-users &> /dev/null
-</pre>
-====/etc/logcheck/logcheck.conf====
-<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
-#SENDMAILTO="logcheck"
-SENDMAILTO=""
 </pre>
 ====/etc/iptables/rules.v4====
 <pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
-# Generated by iptables-save v1.4.21 on Sat May  2 23:51:15 2015
 *filter
 :INPUT DROP [0:0]
 :FORWARD DROP [0:0]
-:OUTPUT ACCEPT [38:3848]
+:OUTPUT ACCEPT [1:176]
 -A INPUT -i lo -j ACCEPT
--A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
--A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -m conntrack --ctstate INVALID -j DROP
--A INPUT -p icmp -j ACCEPT
+-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
--A INPUT -j REJECT --reject-with icmp-port-unreachable
+-A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
+-A INPUT -p icmp --icmp-type source-quench -j ACCEPT
+-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
+-A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT
+-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
+-A INPUT -p tcp --dport 22 -j ACCEPT
 COMMIT
-# Completed on Sat May  2 23:51:15 2015
 </pre>
 ====/etc/iptables/rules.v6====
-<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
-# Generated by ip6tables-save v1.4.21 on Sat May  2 23:51:15 2015
 *filter
-:INPUT DROP [2:200]
+:INPUT DROP [0:0]
 :FORWARD DROP [0:0]
-:OUTPUT ACCEPT [1:93]
+:OUTPUT ACCEPT [0:0]
 -A INPUT -i lo -j ACCEPT
--A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
--A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -m rt --rt-type 0 -j DROP
--A INPUT -p icmp -j ACCEPT
--A INPUT -j REJECT --reject-with icmp6-port-unreachable
+-A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
+-A INPUT -s fe80::/10 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
+-A INPUT -m conntrack --ctstate INVALID -j DROP
+-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
+-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
+-A INPUT -p tcp --dport 22 -j ACCEPT
 COMMIT
-# Completed on Sat May  2 23:51:15 2015
 </pre>
@@ Riga 168: / Riga 201: @@
          address 10.175.1.33
          netmask 255.254.0.0
-         gateway 10.175.133.1
+         gateway 10.175.0.1
 iface eth0 inet6 static
          address 2a00:1508:1:f010::1:33
          netmask 64
-         gateway 2a00:1508:1:f010::101
+         gateway 2a00:1508:1:f010::1
 </pre>
@@ Riga 213: / Riga 246: @@
 </pre>
 <br />
-= Dopo aver clonato =
-bisogna modificare questi file
-* /etc/network/interfaces ''(cambiare ip)''
-* /etc/hostname	 ''(aggiornare hostname)''
-* /etc/hosts
-e per evitare che tutte le chiavi del server ssh siano uguali
-<pre style="white-space: pre-wrap; white-space: -moz-pre-wrap; white-space: -pre-wrap; white-space: -o-pre-wrap; word-wrap: break-word;">
-rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server
-</pre>

KVM: differenze tra le versioni

KVM (visualizza wikitesto)

Versione delle 00:20, 24 dic 2016

Menu di navigazione

Ricerca