VPS, bind ja DNS asennus (Ubuntu 12.04&LEMP)

[JA5U]

Moro,

Lunastin tuossa itselleni Hetznerin VPSn ja tähän mennessä olen saanut LXDE asennettua ja päässyt myös VNCllä kiinni.
Ja Ubuntu 12.04 siinä nyt rullaa.

Tarkoituksen olisi näiden ohjeiden avulla asentaa Barracuda, joka on jonkinsortin LEMP-pino , jolla ajetaan Drupalia.

Asennus tyssää kuitenkin joka kerta DNS-tarkastukseen, jota en saa yhenäkkiä pois päältä(ja joskus se DNS pitää kuitenkin korjata).

Asennus ehdottaa tarkastamaan FQDN komennolla uname -n ja se täsmää(hostname --fqdn).

Koodia: [Valitse]

Barracuda [la 13.10.2012 17.52.31 +0300] ==> EXIT on error due to invalid DNS setup

  * Your custom _MY_OWNIP is set to "88.88.888.888"
  * Your custom _MY_HOSTN is set to "oma_hostname"
  * Your custom _MY_FRONT is set to "oma_hostname.omadomain.fi"

  * Your _MY_HOSTN and/or _MY_FRONT doesn't match your _MY_OWNIP,
    or your hostname is not set properly yet.

  * Please make sure that below command returns your FQDN hostname "oma_hostname":

  $ uname -n


  * Your server has to have already working FQDN hostname matching your IP address.
    This means you _have to_ configure the dns for your server IP/hostname _before_
    trying to use this install script. Reverse dns is _not_ required.

  * Your hostname appears to be oma_hostname - are you sure it's a valid FQDN hostname?

  * Are you sure your FQDN hostname matches your IP address: 88.88.888.888?


Koodia: [Valitse]

dig omadomain.fi

; <<>> DiG 9.8.1-P1 <<>> omadomain.fi
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48546
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;omadomain.fi.                IN      A

;; Query time: 2 msec
;; SERVER: 88.88.888.888#53(88.88.888.888)
;; WHEN: Sat Oct 13 18:17:01 2012
;; MSG SIZE  rcvd: 40

Tuota DNS ohjetta ole koittanut tulkata ja noudattaa.

[JA5U]

Lopulta löysin parametrin, jolla se DNS-testi skipattiin. Alustin sen aiemmin konffin alussa, joten eihän se silloin toimi jos myöhemmin määritellään uudelleen.

Asennus sujuikin moitteetta muutoksen jälkeen. Ilmoitti myös, että DNS testi olis mennyt läpi, mutta ilmeisesti vain sen takia, että se skipattiin. Jokseenkin harhaanjohtavaa ilmoittaa, että jokin läpi vaikka se tosiasiassa skipattiin (vai skipattiinko?)

Mites minä nyt konffaan nuo nimipalvelimet? Ja mitä päivitän tuonne Ficoraan? Kahta vaatii ja yhtä on tarjota?

[JA5U]

Tällä välin asentelin Sqlbuddyn sekä Webminin, toimivat kuin junan vessa.

Webministä hahmottaa harjaantumattomalla silmällä paremmin mm. DNS-zonet. Onko nuo nyt sinne päinkään



Larattu ImageShack.us

[mrl586]

Miksi pidät omaa dns-palvelinta kun niitä saa netistä ilmaiseksi?

[JA5U]

Miksi pidät omaa dns-palvelinta kun niitä saa netistä ilmaiseksi?

Miksi pidät omaa dns-palvelinta kun niitä saa netistä ilmaiseksi?

Sitä minäki eilen mietin, mutta saahan sitä ihminen yrittää?

Ja tosiaan, käytössä on myös ilmainen nimipalvelin. Kävin heittämässä tuon nykyisen vps ipn sinne, jonka jälkeen alkoi myös sivua pukkaamaan.

[Sami Lehtinen]

Miksi pidät omaa dns-palvelinta kun niitä saa netistä ilmaiseksi?

Mainitseppa joku hyvä referenssi, tarttisin .42 domainille pari DNS serveriä.

 - Kiitos

Netti on täynnä ilmaisia palveluita, jotka sitten on enemmän tai vähemmän hyviä kun niitä rupeaa tarkemmin tonkimaan. Jotkut ilmaiset palvelut ovat taas toisaalta suorastaan loistavia ja paljon parempia kuin kaupalliset vastineensa. Se helmien löytäminen joukosta vaan voi vaatia useiden kuukausien trialit, eikä sittenkään tiedä onko palvelut kunnollisia kun ilmaisien palveluiden toimintaa on yleensä kovin vaikeaa auditoida mitenkään.

Kaupallisiakin palveluita pyörii varsin hatarala pohjalla.

Mäkin laitoin oman serverin ihan lämmittelyharjoituksena pystyyn. Kaikilla mahdollisilla tietoturva-featureilla. Samalla sain myös kunnolla toimivan mailin joka ei vakoile. Gmail vakoilee ja Yahoo-mail taas ei kerta kaikkiaan toimi. Wippies taas ei salli enää uusia accountteja. Safe-Mail ja Hushmail tarjoaa liian vähän tilaa. Ai niin, sekä tuki suoraan omalle domainille pitää löytyä palvelusta, ilman että tarvitsee käyttää jotain forwarding purkkaliimaa, koska niitäkin on ilmaisena vaikka kuinka monta, mutta luotettavuus on sitten ihan mitä sattuu, valitettavasti.

Semmosta.

[JA5U]

Kaikilla mahdollisilla tietoturva-featureilla. Samalla sain myös kunnolla toimivan....

Onko tietoturvan osalta heittää esim. hyvää linkkiä tai muuta tietolähdettä?
Tai DNS osalta kommentteja?

[Sami Lehtinen]

Onko tietoturvan osalta heittää esim. hyvää linkkiä tai muuta tietolähdettä?
Tai DNS osalta kommentteja?

Ei mitään hyvää yksittäistä lähdettä. Omat oppini olen kerännyt lukemattomista lähteistä parin kymmenen vuoden aikana. Tässä jotain perussettiä joiden luulisi onnistuvan joka pojalta.

1. Kaikki turhat palvelut pois, kaikki turhat ominaisuudet pois käytöstä.
2. Tiukka käyttöoikeuksien rajaaminen, omat tunnukset palveluille, tietokantapalvelulle ja tietokannassa (database users), apparmor kaikille palveluille, hakemistojen käyttöoikeuksien rajaaminen oikein. mm. SSL private-keytä ei saa päästä käpistelemään muilla kuin root tunnuksella, jne.
3. Kunnolliset salasanat, mahdolliset 2FA/MFA layerit päälle, IP ja client sertifikaatti-rajaukset jos mahdollista, salli vain salatut protokollat.
4. Off-site backupit, riittävän pitkällä historialla. Sekä sellainen toteutus että backuppiin lähtenyttä dataa ei pysty tuhoamaan palvelimelta käsin mitenkään.
5. Turvallisen palveluntarjoajan valitseminen.
6. Fail2ban, mahdollinen port knocking, jne.
7. Koko levyn salaus ja Early-SSH jolla saa levyn salauksen auki boottaamista varten. Virtuaalikoneen tapauksessa suoja on kyseenalainen (jos haluavat datat napata snapshotin kautta), mutta ainakaan tiedot eivät taatusti vuoda vahingossa.
8. Muista rajoittaa resursseja kuluttavien resurssien vapaata käyttöä. Tekee mm. DoS hyökkäyksistä ihan liian helppoja jos sun koneen resurssit saa hukattua johonkin kevyillä hyökkäyksillä. Edes cloudflare ei suojaa, koska se välittää nämä kyselyt eteenpäin sun palvelimelle. Yllättävän moni palvelu on haavoittuva nimen omaisesti palvelun heikkouksia hyödyntäville kohdennetuille hyökkäyksille. Tarkoituksella tehdään mm. kyselyitä jotka eivät löydy cachesta ja näin ollen kuormittavat merkittävästi tietokantaa. Tai hidastelu hyökkäyksille, joissa sidotaan kaikki palvelimen palveluprosessit / tcp socketit.

Tuossahan noita. Monesti valitettava totuus on se, että kun yhden palvelimen kanssa harrastelee muutaman kuukauden, niin sen saa aika turvalliseksi. Suurempi ongelma onkin sitten tuotanto, missä ei ole varattu niin paljon aikaa virittelyyn, eikä resursseja välttämättä ole kunnollisen layered security mallin ylläpitoon.  Etuna hyvässä tietoturvassa on se, että jos joku kerros onkin haavoittuva, niin sen murtaminen ei vielä riitä seuraavien kerrosten läpipääsyyn ja näin ollen mm. koneen roottaaminen tai edes kaataminen tulee olennaisesti vaikeammaksi.

Kannattaa tutustua jokaisen tarjottavan palvelun ( ja palvelin prosessin) omiin tietoturva / suorituskyky asioihin erikseen. Miten konfiguraatiosta saadaan mahdollisimman turvallinen.

Murossa heitin jotain horinaa aiheesta myös.

Lopuksi vielä pari kierrosta foliota pipon ympärille ja TEMPEST-suojaus kotiin, niin sitten ollaan suhteellisen turvassa.

[JA5U]

Ei mitään hyvää yksittäistä lähdettä. Omat oppini olen kerännyt lukemattomista lähteistä parin kymmenen vuoden aikana. Tässä jotain perussettiä joiden luulisi onnistuvan joka pojalta.

No tässä on nyt 20 vuoden sijasta 20 tuntia aikaa

Apparmor kaikille palveluille eli eri profiilien avulla?

Koko levyn salaus? Mitä tuo nyt sitten käytännössä tarkoittaa web-palvelimella?

Muista rajoittaa resursseja kuluttavien resurssien vapaata käyttöä? Yritän mutta miten? cpuLimit

Perusfoliofiilis: toivotaan parasta ja varaudutaan pahimpaan...

[JA5U]

No nyt alkaa olemaan, mutta vielä pitäis saada jeesiä tuo yubico-yubiserve kanssa?

[JA5U]

Xorg juoksuttaa CPUta jatkuvasti 30-50% tasolla? Googlen avulla löyty aika paljon tuohon liittyen, mutta ei vastausta.

[JA5U]

Xorg juoksuttaa CPUta jatkuvasti 30-50% tasolla? Googlen avulla löyty aika paljon tuohon liittyen, mutta ei vastausta.

Jaaha, ihmettelin, että minkä ihmeen takia joku fuzzyflakes pyörii vaikka omalla ruudulla näkyy vaan terminaali.

Ynnäsin Xorgin ja Fuzzyflakesin yhteen ja päättelin, että

Koodia: [Valitse]

kill fuzzyflakes_PIDtekee stopin tuolle CPUn kurittamiselle - näin kävi.  

[mrl586]

Xorg juoksuttaa CPUta jatkuvasti 30-50% tasolla?

Miksi sinulla on Xorg palvelimessa? Todennäköisesti et tarvitse sitä, sillä komentorivin pitäisi riittää palvelinkäyttöön.

[JA5U]

Miksi sinulla on Xorg palvelimessa? Todennäköisesti et tarvitse sitä, sillä komentorivin pitäisi riittää palvelinkäyttöön.

Hyvä kysymys! Ensinnäkään en ole täysin sinut tuon komentorivin kanssa ja toisekseen, tarvitsen mm. Webminin kaltaisi sovelluksia kokonaisuuden hallintaan. Eli käytettävyyden takia.

[jekku]

Miksi sinulla on Xorg palvelimessa? Todennäköisesti et tarvitse sitä, sillä komentorivin pitäisi riittää palvelinkäyttöön.

Hyvä kysymys! Ensinnäkään en ole täysin sinut tuon komentorivin kanssa ja toisekseen, tarvitsen mm. Webminin kaltaisi sovelluksia kokonaisuuden hallintaan. Eli käytettävyyden takia.

Onpa aikaa kun webminin kanssa kokeilin. Mutta eiköös tuo ole selainkäyttöinen juttu, eli se ei kai X:ää tarvinne?

Mutta minulla on kaikissa palvelimissa X (jopa tuotantokoneissa), ihan sen takia että haluan käyttää editoria joka vaatii tuon palvelun.

[Tha-Fox]

Miksi sinulla on Xorg palvelimessa? Todennäköisesti et tarvitse sitä, sillä komentorivin pitäisi riittää palvelinkäyttöön.

Hyvä kysymys! Ensinnäkään en ole täysin sinut tuon komentorivin kanssa ja toisekseen, tarvitsen mm. Webminin kaltaisi sovelluksia kokonaisuuden hallintaan. Eli käytettävyyden takia.

Onpa aikaa kun webminin kanssa kokeilin. Mutta eiköös tuo ole selainkäyttöinen juttu, eli se ei kai X:ää tarvinne?

Mutta minulla on kaikissa palvelimissa X (jopa tuotantokoneissa), ihan sen takia että haluan käyttää editoria joka vaatii tuon palvelun.

Oikeassa olet. Webmin toimii selaimella, eikä vaadi palvelimelta X:ää.