Näytä kirjoitukset

Tässä osiossa voit tarkastella kaikkia tämän jäsenen viestejä. Huomaa, että näet viestit vain niiltä alueilta, joihin sinulla on pääsy.


Aiheet - Jagster

Sivuja: [1]
1
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Operaattorin ei-julkinen IP ei toimi [RATKAISTU: Ei toimikaan, osta julkinen]
« : 07.08.20 - klo:23.35 »
Kysäisenpä täältäkin, kun osaajia löytyy. On tämä Ubuntu-asiaa, koska yritän saada Ubuntusta yhteyttä Ubuntuun... okei, ei ole distroriippuvainen asia.

Joku aika sitten kun ostin Raspberryn ja aloin rakentamaan siitä SSH-serveriä, niin sekoilin urakalla. Aiheesta löytyy pari säälittävää ketjua. Mutta ihan alussa, kun en saanut millään yhteyttä SSH:lla Raspiin, niin avasin Elisalta julkisen IP:n tietämättä edes mitä se tarkoittaa. Ei se auttanut, koska en ollut tajunnut aukaista routerin palomuurista aukkoa Raspirukalle.

Homma lähti aikanaan toimimaan ja opin jopa, että julkinen IP tarkoittaa sitä, että julkisesti näkyvä IP on sama routerille asti. Normaali ei-julkinen muuttaa operaattorin NAT:ssa sen sisäverkon IP:ksi.

Päivittelin aikani, että mihin moista tarvitaan, kun kyllä meillä konsolit ja riistakamerat toimivat. Tuomitsin sen rahastukseksi ja katkaisin sopparin. Palasin ei-julkiseen IP-maailmaan.

Hetu kun olin sanonut, että koskaan ei ole julkista IP:tä tarvittu ja lopetin sen, niin heilahti samantien vastapalloon. Ei-julkisella en pääse enää virtuaaliservereiltä SSH:lla kotiverkon routerissa SSH-serverin tointa hoitavaan tietotekniseen saippukoteloon eli Raspberry Pi'hin. Ulos sisäverkosta kyllä pääsee.

Hyviä arvauksia? Johtuuko tuo siitä, että ulosnäkyvä IP ei ole sama kuin minkä sisäverkon SSH-serveri näkee eli Elisan NAT:n antama 100.90.jotain, mutta yhteys virtuaaliserveriltä tehdään julkisesti näkyvään 84.jotain osoitteeseen? Tämä nimittäin hajotti myös dynaamisen DNS:n toimivuuden tietysti myös.

sshd_config ei sisällä mitään IP-osoitteeseen liittyviä rajoitteita, ei myöskään UFW/iptables ja Fail2ban on pois päältä. Samaten hosts.deny kumisee tyhjyyttään. Ideoita mikä muu saattaisi blokata sisääntulevan, jos se ei johdu Elisan julkisen IP:n puuttumisesta?

Tuntuu ihmeelliseltä, koska tiedän, että jengi käyttää vastaavaa setupia ilman ostettua julkista IP:tä.

2
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / ProxyJump ja ohjeet aloittelijoille
« : 05.08.20 - klo:12.44 »
Palvelimet ja muu edistyneempi käyttö... minä lähdin, omakohtaisesti, liikkeelle siitä, että aloittelija ei tee edistynyttä käyttöä  8)

Sekoilin aiemmin urakalla ketjussa SSH-verkon useampi asiakas ja koska se ketju on sisällöltään sekava ja ehkä jopa turha. niin teen epäkohteliaasti uuden aloituksen. Eli sain valmiiksi kirjalliset ohjeet miten aloittelija toteuttaa kotinsa sisäverkkoon jumpbox-serverin - joka siis aidosti kylläkin tarkoittaa, että mitä sinne omaan koneeseen täytyy komentaa, että pääsee pysähtymättä kotiverkkonsa SSH-palvelimen läpi.

Suunnilleen jokainen täällä varmaan osaa nämä asiat ja näin perusasiasta ei pysty kirjoittamaan mitään sellaista, jota ei olisi muualla kirjoitettu sen kiljuuna kertaa. Mutta olisin kiitollinen - oikeammin, joskus googlella tuonne eksyvät - olisivat kiitollisia, jos nopeasti vilkaisisitte läpi onko ajatustasolla jotain, jonka olen (taas) ymmmärtänyt väärin tai joka olisi parempi toteuttaa jollain muulla tavalla.

https://www.eksis.one/ohjeet/ssh-shell/sisaverkkoon-ulkomaailmasta-ssh-proxyjump/

3
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Raspi-bastioni
« : 04.08.20 - klo:18.07 »
Tuossa kun tappelin Raspberryn ja proxyjumpin kanssa (tai ei siinä tappelemista ollut, Windows-koneeseen kirjautumisessa oli), niin löysin itsestäni uuden tietämättömyyden - miten läppärit pääsee routerin läpi vaikka ihan vaan selaimella. No, ilmeisesti router ottaa niiden liikenteen ja päästää sen läpi jostain portista, mitä se ei kerro minulle - kaipa senkin jollain porttiscannerilla löytäisi.

Siitä sitten pääsin bastioneihin. Kyllä, tämä on vain pohdintaa, joka toivottavasti opettaa jotain, mutta koska saan pariskunnan Raspberry/Ubuntu toimimaan melkoisen vähällä vaivalla jump boxina /SSH-serverinä, niin onko mahdollista pakottaa sisäverkon tietokoneet kulkemaan kaikessa liikenteessään moisen bastiontyyppisen Raspin kautta?

Plus tietysti käytännön tasolla - onko moista mitään järkeä edes rakentaa? En tiedä mikä olisi sellainen uhkakuva, jossa moinen viritys auttaisi.

4
Yleistä keskustelua / SSH avaimella Windowskoneeseen ei onnistu [RATKAISTU: authorized_keys oikeudet]
« : 03.08.20 - klo:19.09 »
Koska toinen osapuoli on Ubuntu, niin kelpaako?

Julkiset avaimet ovat paikallaan eikä mitään suurempia säätöjä ole tehty Win 10 SSH-serverillä. Silti kysyy koko ajan salasanaa. Googlekierrosta on nyt tehty pari päivää, eikä mikään onnistu. Koko ajan, kun yritän päästä Raspberrystä sisäverko Windows-koneeseen, kysytään sitkeästi salasanaa.

ssh -v kertoo tällaista:

[19:03:12] jagster@ubuntu:~$ ssh -v jakke@192.168.100.40
OpenSSH_8.2p1 Ubuntu-4ubuntu0.1, OpenSSL 1.1.1f  31 Mar 2020
debug1: Reading configuration data /home/jagster/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to 192.168.100.40 [192.168.100.40] port 22.
debug1: Connection established.
debug1: identity file /home/jagster/.ssh/id_rsa type 0
debug1: identity file /home/jagster/.ssh/id_rsa-cert type -1
debug1: identity file /home/jagster/.ssh/id_dsa type -1
debug1: identity file /home/jagster/.ssh/id_dsa-cert type -1
debug1: identity file /home/jagster/.ssh/id_ecdsa type -1
debug1: identity file /home/jagster/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/jagster/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/jagster/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/jagster/.ssh/id_ed25519 type -1
debug1: identity file /home/jagster/.ssh/id_ed25519-cert type -1
debug1: identity file /home/jagster/.ssh/id_ed25519_sk type -1
debug1: identity file /home/jagster/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/jagster/.ssh/id_xmss type -1
debug1: identity file /home/jagster/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.1
debug1: Remote protocol version 2.0, remote software version OpenSSH_for_Windows_7.7
debug1: match: OpenSSH_for_Windows_7.7 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 192.168.100.40:22 as 'jakke'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:fj3Ntlzh3xNDxyDKBp+7fWR7KDA7aEDV7uD6kaXttcw
debug1: Host '192.168.100.40' is known and matches the ECDSA host key.
debug1: Found key in /home/jagster/.ssh/known_hosts:1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 134217728 blocks
debug1: Will attempt key: /home/jagster/.ssh/id_rsa RSA SHA256:HieGsx5L1GozfvQlb5wwYfpKEDUiNRqAOAEHpqPFTGk
debug1: Will attempt key: /home/jagster/.ssh/id_dsa
debug1: Will attempt key: /home/jagster/.ssh/id_ecdsa
debug1: Will attempt key: /home/jagster/.ssh/id_ecdsa_sk
debug1: Will attempt key: /home/jagster/.ssh/id_ed25519
debug1: Will attempt key: /home/jagster/.ssh/id_ed25519_sk
debug1: Will attempt key: /home/jagster/.ssh/id_xmss
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Offering public key: /home/jagster/.ssh/id_rsa RSA SHA256:HieGsx5L1GozfvQlb5wwYfpKEDUiNRqAOAEHpqPFTGk
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Trying private key: /home/jagster/.ssh/id_dsa
debug1: Trying private key: /home/jagster/.ssh/id_ecdsa
debug1: Trying private key: /home/jagster/.ssh/id_ecdsa_sk
debug1: Trying private key: /home/jagster/.ssh/id_ed25519
debug1: Trying private key: /home/jagster/.ssh/id_ed25519_sk
debug1: Trying private key: /home/jagster/.ssh/id_xmss
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,password,keyboard-interactive
debug1: Next authentication method: password
jakke@192.168.100.40's password:

Näkeekö joku tuossa mitään vinkkiä sille, että SSH-avain ei käy, vaan siirrytään salasanaan? Minusta tuon mukaan kaikki on ok, mutta silti avainta ei käytetä. Jos estän salasanalla kirjautumisen, niin sitten ei kirjauduta ollenkaan.

5
Yleistä keskustelua / Nopein alustus ntfs-levyksi? [RATKAISTU: man-sivut ja Q-vipu]
« : 03.08.20 - klo:10.32 »
Minulla on Raspberryn takana liikaa levytilaa ext4-muodossa ja nyt pitäisi mahdollistaa yksi 4 teran ulkoinen myös Windowsin käyttöön. Mutta mikä on nopein tai oikein tapa alustaa nyt ext4:nä oleva levy ntfs:ksi?

Jos komennan
mkfs.ntfs -L NIMI /dev/sdXx
niin siihen menee ainakin päivä. Vai onko tämä asia, joka vaan on näin?

Headless Ubuntu 20.04 serveriasennuksena, jos sillä on mitään merkitystä.

Juu, olen loppukäyttäjä  8)

6
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Kertakäyttösalasana SSH:n?
« : 02.08.20 - klo:23.21 »
Juu, taaskaan en tiedä aiheesta mitään...

Minulla Raspi routerissa kiinni ja siitä sitten pääsee SSH:lla eteenpäin sisäverkon koneeseen. Jumppaamalla pääsee sinne minne haluaa ilman ongelmia, mutta nyt mietin skenaariota, jossa kirjaudun vieraalta koneelta.

Olen vaikka nettikahvilassa. Avaan SSH:n Raspiin, joka kysyy salasanaa päästääkseen minut hyppäämään perille. Minun on pakko kirjautua sinne salasanalla, koska avaimen käyttö ei ole mahdollista. Koska Raspilta taasen mennään SSH-avaimella perille, niin hyökkääjänhän ei tarvitse saada tietoonsa kuin Raspin salasanan päästäkseen eteenpäin.

Miten siis suojaan salasanan? Enhän minä tiedä tiedä mitä siinä käyttämässäni koneessa on ja SSH suojaa vain liikenteen. Joten pystyykö asentamaan jonkun/useita kertakäyttösalanoja vai miten moinen hoidetaan - ei vaan käytetä kuin omia laitteita?

Oikeastaan koko jumpbox/proxyjump ei liittynytkään mitenkään asiaan, koska kyse on koko ajan siitä yhdestä koneesta, johon on kirjauduttava salasanalla  ::)

7
Laitealue / USB-levyt ja tikut: oikea tapa mountata? [RATKAISTU: se yksi ainoa]
« : 25.07.20 - klo:21.03 »
Mikä on suositelluin tai oikein tapa tehdä USB-porttiin tikun ja/tai ulkoisen kovon mountti? usbmount vai?

Ubuntu serveriasennuksena ja Raspberryyn menee, jos sillä on merkitystä.

Ei ole koskaan tarvinnut painia asian kanssa, kun on aina ollut tarpeeksi iso levy tai sitten tiedostot on siirretty verkon yli.
Google antaa aika erilaisiakin ohjeita ja varmaan jokainen niistä toimii tavallaan. Mutta nyt etsin käyttäjäystävällisintä tapaa. Ei tarvitse huomioida muita käyttäjiä, pääasia että rootilla on kivaa.

8
Yleistä keskustelua / Raspi vai mini? [Ratkaistu: Raspi]
« : 22.07.20 - klo:18.02 »
Tiedän, kysymykset aiheesta kumpkampi on parempi ostos, ovat suunnattoman turhauttavia, mutta silti...

Eli tarve on saada sisäverkkoon kone, joka on paitsi jumpbox parille läppärille, jolla saada tehtyä kevyttä stage-hommaa websivustoille - Wordpress ja Moodle löytyy tällä hetkellä. Joten tekniset vaatimukset systeemin suhteen ovat samat kuin ns. aidoilla (virtuaali)servereillä ja ympäristön pitäisi olla mahdollisimman samankaltainen. Tarkoittaa aina vakioasennusta: Nginx, Apache, PHP-FPM, MariaDB, Varnish, Redis, Postfix jne. Eli sinällään ei mitään hienoa ja eksoottista - ihan tavallinen Ubuntu.

Kuormituksen suhteen ei tarvitse pelätä mitään, koska webserveri-maailma on vain minulle.

Mutta muutoin olisi tietysti kiva, että sitä voisi käyttää serverimalliin, koska muut koneet on win-läppäreitä WSL:llä, joten olisi kiva päästä tekemään jotain juttuja shellin tasolla - ei kuitenkaan mitään päättömiä videomuokkauksia, mutta jotain muunnoksia kylläkin, einen valkovien massasäätöjä jne. Eli ei mitään eksoottista siinäkään.

Joten ostanko Raspberryn? Vai ostanko aidon minikokoisen PC:n? Näyttöhommia ei tarvitse miettiä, koska headless koneesta on kysymys. Joten ainoa murhe Raspberryn kohdalla softien mahdollisimman helppo asentaminen. Jos minun pitää siirtyä apt installista makeen Raspin kanssa, niin sitten valinta on automaagisesti mini.

Omien leffojen striimaus Pleskillä tms?

Minin kohdalla jarruttaa se, että puhutaan tuplahinnasta, jolle ei sillai saa vastinetta - näin uskoisin.

Joku pikkuläppäri tietysti olisi yksi vaihtoehto, mutta nyt halutaan näkymättömyyttä, että pysyy perhesuhteet  ;)

Minulla on tällä hetkellä kaksi ostoskoria auki Verkkokaupassa - yksi mini-paketti, yksi Raspi nelosen rojuilla, joten kummassa klikkaan itseni kassalle?

9
Laitealue / Compaqin läppärin kansi ja sammuminen [RATKAISTU]
« : 22.07.20 - klo:01.08 »
Vanha Compaq Presario CQ61 sai ylennyksen toimia headless serverin tapaisena sisäverkossa. Paitsi että se ei ole headless... Kun näytön lyö kiinni, niin kone nukahtaa.

Onko mitään ohjelmallista tapaa estää sammuminen? Windowsissa tietäisin mitä tekisin, mutta nyt on Ubuntu 20.04 serveriasennuksena ilman mitään graafisia kilkkeitä. Bios ei auta ja googlella löytyy vain ruuvimeisseliä ja oikosulkua neuvovat ohjeet.

10
Yleistä keskustelua / Muistikortti vai USB-tikku Ubuntun asennukseen? [RATKAISTU: tikku]
« : 19.07.20 - klo:15.37 »
Löysin yhden näytöltään kärsineen vanhan läppärin ja sille pitäisi alkaa asentelemaan Ubuntun serveriversiota.

Onko ihan sama laitanko levykuvan muistikortilla vai tikulle? Ei minulla ole kuin jotain vanhoja max. gigan tikkuja, kun muistikortteja aina käytetään.

Joten aito kysymys lienee, että kun sallin boottivalikossa usbilta buuttaamisen, niin kannattaako se myös kortinlukijan slotin vai käytetäänkö siihen läppäreissä jotain muuta tekniikkaa?

Toki, kokeilemallahan tuo selviäisi ;)

11
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Sisäverkon useampi SSH-asiakas
« : 19.07.20 - klo:13.16 »
Tämä on (taas) luokkaa aloittelija esittämässä wannabe-edistyneen käytön kysymystä...

Eli lähtötilanne on, että nettiboksi/routerin takana on kaksi windows 10 home konetta, joissa kummassakin tulee olemaan Ubuntun appi (nyt vain toisessa, omassani). Routerin WAN:iin on avattu portti 22 ja LAN suuntaan 2222, jota kuuntelee oman läppärini Ubuntu-appin SSH-server.

Tarve on saada SSH toimimaan molemmissa ja tietysti niin, että ssh yksi@192.168.100.1 menee IP:n mukaiseen koneeseen ja ssh kaksi@192.168.100.2 toiseen.  Molemmat eivät tietenkään voi olla servereitä, ellen sitten avaa molemmille omat porttinsa, joka lienee täysin aivokuollut ajatus? Joten johonkin konfiin täytyy kertoa miten ohjaus menee, ymmärtääkseni.  Vai ollaanko minulle mystisessä aiheessa routerin porttien ohjaus?

Koska tarvitaan joku serveri, niin voiko se olla jompikumpi win-koneiden ubuntu vai ostanko Raspberryn?

Josta tietysti seuraa se, että maailmalle kummmallakin yhteydellä on sama julkinen IP. Miten DDNS tajuaa kumpi on kampi?

Saa ohjata tiedon pariin netissä. Omat tiedot aiheesta eivät riitä hakutulosten rajaamiseen.

12
Yleistä keskustelua / OpenVPN ja kiinteä IP [RATKAISTU]
« : 15.07.20 - klo:22.19 »
Operaattorit vaihtelevat IP-osoitteita säännöllisen epäsäännöllisesti, tuttua kaikille. Elisa/Saunalahti pyöräyttää (ainakin meidän suunnalla) uuden IP:n noin viikon välein. Tuossa ei olisi muutoin mitään sen suurempaa, mutta minulla on aika paljon asioita ja valvontaa rakennettu IP-osoitteelle, kun muutakaan tapaa ei ole; Fail2banin whitelisting, lupa käyttää xmlrpc:tä jne.

Joka kerran kun IP vaihtuu, niin joudun käsin vaihtamaan sen. Ärsyttävä 10 minuutin duuni. Siksi asensin DigitalOceanin dropletille oman OpenVPN-palvelimen - oikeastaan kaksi. Yhden yksinään pienelle serverille ja yhden samalle missä minulla on sivustot. Mitään sen vahvempaa perustelua tehdä kaksi ei ollut. Kunhan ajattelin tehdä ns. viralliset työt sivustoserverin VPN:n kautta ja sitten epävirallisemmat tuolla, josta ei löydy sen kummallisempia host-tietoja.

Aivan riippumatta kumman kautta otan yhteyden, niin kotilaitteet huutavat IP-osoitteeksi sen virtuaaliserverin IP:n, jonka kautta yhteys on otettu - kuten kuuluukin. Mutta jos menen millä tahansa tavalla (https, ssh...) sille serverillä mitä kautta VPN on tehty, niin serverin logit huutavat aitoa Elisan IP-osoitetta. Muualla sen sijaan VPN:n IP näkyy.

Toki saan haluamani kiinteän IP-osoitteen sivustojen serverille käyttämällä erillistä VPN-serveriä, ja sillä virtuaalipalvelimella ei ole muuta "IP-sidottua" kuin Fail2bannin whitelist, ja pystyn elämään sen asian kanssa, mutta miksi noin käy? Kun yhdistän kotikoneella VPN:n, niin tehdään se hieno putki serverille, joka kiertänee OpenVPN:n kautta ennenkuin SSH-yhteys pääsee jonkun ympyrän kautta localhostille, eikö? Tippuuko siinä vaiheessa VPN:n antama IP jotenkin? Ja ei, en myöskään ymmärrä 10.* osoitteiden roolia - ja jos ei ole vielä selvinnyt, niin on aika paljonkin asioita joita en tiedä IP-osoitteista, porteista ja pakettien kulkemisista  :-[

OpenVPN on community versio, ei Access Server, jos sillä mitään merkitystä tässä on. Asennus on käytännössä pakasta vedetty eli mitään erikoissäätöjä ei sen suuremmin ole (paitsi logit ja duplicate-cn)

Asennus on tehty tällä road warrior skriptillä: https://github.com/Nyr/openvpn-install

Täällä on kuvattu mitä olen tehnyt, mutta kuten sanottua, en sinänsä mitään defaulttien hyväksymistä kummallisempaa ja sisältökin on vain another OpenVPN installing joita on netti piukassa, mutta suomeksi: https://www.eksis.one/ohjeet/openvpn/kiintea-ip-lahes-ilmaiseksi-oma-vpn/

Joten kysymykset ovat lyhyesti:
  • Miksi en saa VPN:n antamaa serverin IP:tä käyttöön, kun yhteys otetaan samalle serverille?
  • Jos sen saa niin miten (Access Serverissä saa asetettua käyttäjälle IP-osoitteen, mitä se tarkoittaa)?
  • Onko toteutus kiinteän IP:n saamiseksi huonompi kuin joku muu?


13
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Win10/Ubuntu-appi/VM ja IP saapuvalle liikenteelle [RATKAISTU]
« : 06.07.20 - klo:11.08 »
Arvoin aiheen edistyneemmäksi käytöksi, vaikka nyt alkaa vahvasti tuntumaan, että kyse on jostain simppelistä RTFM asiasta.

Win 10 kone ja Ubuntun appi. Saan toki siitä yhteyden DigitalOceanin serverille ja SSH toimii, kun käytän läppärillä luotua avainta. Sinänsä ollaan enemmän teoriassa, koska on ihan sama vaikka huutelenkin vaikka rsyncillä kumpaan tahansa suuntaan, kunhan teen sen Ubuntun apissa. Mutta haluaisin ymmärtää, joten miten saan yhteyden DigitalOceanin VPS:stä omaan läppäriin? UFW:n asentaminen lienee ajan hukkaa, koska ylipäätään läppäri on Elisan mobiiliboksin sekä läppärin oman palomuurin takana. Mutta miten siis saan yhteyden VPS:stä läppärissä olevaan Ubuntun ikkunaan, pelkällä IP-osoitteella ei onnistu.

Sama asia, mutta Oraclen VM ja Ubuntu 20.04 ns. serveriasennuksena eli ilman graafisia kilkkeitä - tuota en ole vielä edes uskaltanut alkaa säätämään, ennenkuin saan tiedon, että pystyykö sitä ylipäätään käyttämään ulkomaailman suhteen. Oikeammin kyse on enemmänkin testistä voinko hyödyntää virtuaalikonetta ylipäätään. Mutta miten pääsen siihen käsiksi ulkoa? Virtuaalikoneesta pääsen kyllä ulkomaailmaan ongelmitta.

14
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / *** System restart required ***
« : 03.07.20 - klo:12.08 »
Ei taatusti edistyneempää käyttöä, mutta serveriä kylläkin - VPS ja Ubuntu 20.04

Päivitykset huutaa uudelleenkäynnistystä 3 - 7 päivän välein. Onko tuo aivan ehdoton vaatimus vai onko osa päivityksistä sellaisia, joista ei virtuaaliserverillä tarvitse piitata buutin suhteen?

Asialla ei olisi muuten mitään sen suurempaa ongelmaa, mutta cache nollaantuu aina. Plus että koska kyseessä on tuotannossa olevat nettipalvelut, niin pitää aina odottaa johonkin aamuyöhön, että sivustoilla on mahdollisimman vähän liikennettä. Eihän rebootiin tietysti tolkuttomasti aikaa mene, mutta se on aina käsitöitä: UFW vinkuu logien rikkoutumisesta tms. ja vaatii restartin tullakseen järkiinsä, netfilter-persistent vaatii erikseen käynnistämisen ja sen jälkeen on vielä Fail2baninkin käynnistettävä uudestaan käsin.

Noiden kanssa pystyn elämään, mutta Varnishin cachen nollautuminen on piikki persuuksissa - onhan siinä tietysti se hyvä puoli, että vähempikin RAM riittää, kun koko ajan ollaan buuttaamassa ;)

Muista ajan kun pingviinit vittuili win-maailmalle nimenomaan päivityksen vaatimista buuteista, mutta en minä ole koskaan joutunut mitään buuttaamaan niin usein kuin ubuntua  ::)

Eli. Onko joku tapa ymmärtää milloin reboot on ehdottoman välttämätöntä vai onko se aina?

15
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / 20.04 ja apache-utils
« : 02.06.20 - klo:10.05 »
Olen laittamassa pystyyn uutta VPS:ää DigitalOceanille ja uskaltauduin asentamaan 20.04. Piti laittaa ApacheBechmark paikalleen, mutta apt install apache-utils antoi errorin. Ennenkuin alan uhraamaan työaikaa, niin ken tietää onko se poistettu kokonaan, tulee joskus, ongelma on DigitalOceanin repossa tai löytyykö se jostain muualta?

Saanko siirrettyä sen toiselta VPS:ltä vai hajoaako jotain jostain?

16
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Ikuisuusaihe: iptables ja persistent
« : 26.05.20 - klo:15.54 »
Kuka osaa vääntää iptablesin perusteista rautalankaa?

Kyllästyin serverillä kiinalaisiin ja iranilaisiin, joten pyöräytin geo-blokkauksen paikalleen. Toimii riittävän hyvin, mutta jouduin samalla opettelmaan uuden asia: iptables on hallintansa suhteen jäänyt 80-luvulle, koska ei näyttäisi olevan mitään edes etäisesti käytettävyydeltään järkevää tapaa saada säännöt tallennettua.

Juu. iptables-persistent ja netfilter-persistent, jotka ovat tismalleen sama asia. Ja kumpikaan ei osaa tallentaa iptablesin tietoja automaattisesti (paitsi cronilla, joka on... jotain) ja ongelmat jatkuvat rebootin jälkeenkin.

Kysymys on siis simppeli: miten saada automatisoitua iptablesin tallennus tiedostoihin /etc/iptables/rules.v4..v6 ja hoidettua myös buutin jälkeen asiat paikoilleen ihan automaagisesti.

Ja jotta asia ei turhan helpoksi muuttuisi, niin tottakai mukana häärää Fail2ban, jonka chaineja ei saisi tallentaa - se hoitaa hommansa ihan itse.

Nyt olen epäkohtelias ja laitan linkin. Se on paljon helpompaa kuin erikseen alkaa selittämään mitä olen kokeillut ja mikä on nyt toteutus.

https://www.eksis.one/ohjeet/tekniikka/virtuaalipalvelin/geoip-blokkaus-iptables/

Sivuja: [1]