LinuxAlt 2013 – den druhý

V neděli 3. listopadu pokračovala konference LinuxAlt konaná na FIT VUT v Brně neméně zajímavým programem. Souhrn toho nejzajímavějšího z předchozího dne si můžete přečíst zde. A teď už k nedělnímu programu.

Bacula za 30 minut

Bacula je enterprise síťový zálohovací nástroj s velmi širokým spektrem možností. Zlí jazykové tvrdí, že šířce tohoto spektra bohužel odpovídá i složitost konfigurace. Tato přednáška nás měla přesvědčit o opaku. Podívejte se, jak to Věroš Kaplan zvládl.

Uživatelé nesnášejí zálohování, ale milují obnovování ze záloh.

Bacula je složena z několika částí. Director se stará o všechny ostatní části a rozděluje jim práci. Pro svůj běh a ukládání potřebných dat o zálohách používá databáze MySQL nebo Postgre. File daemon je proces, který vysává data ze zálohovaného stroje a posílá je po síti. Storage daemon se pak stará o uložení přijatých dat na různá média.

Bacula používá speciální ovládací konzoli nebo své grafické rozhraní. Existuje i webové rozhraní pro její správu.

Následovala ukázka nijak složitě vypadající konfigurace, příkazů, které je možno v ovládací konzoli použít a pojmů, které Bacula používá.

Na máj dotaz, jestli není Bacula pro pád (desítek) serverů overkill řešení, jsem dostal odpověď, že není a že je jednoduché ji nasadit a dále rozšiřovat při přidávání nového stroje.

Zabezpečení linuxového serveru

Protože Gnome 3, kterému se věnovala přednáška běžící paralelně s touto, asi nikdy používat nebudu, rozhodl jsem se navštívit přednášku o zabezpečení Linuxového serveru. A kolik novinek jsem se od Petra Krčmáře dozvěděl?

Pro začátek patero zodpovědného admina:

  • Aktualizovat softwarové vybavení serveru.
  • Vypnutí zbytečných služeb.
  • Čtení logů.
  • Omezení uživatelů.
  • Zabezpečení SSH.

Na serveru je vhodné používat jen stabilní vydání distribucí a zajistit si dostatečné množství informací o aktualizacích. Například aplikace apticron umí upozorňovat na nové aktualizace.

Vypnutí služeb je lepší než zavírání portů na firewallu. Kde je to možné, omezte služby na konkrétní IP adresu. Prohledávejte sem tam běžící služby a kontrolujte, kde naslouchají. Port nocking umožňuje správným „zaťukáním“ na porty otevřít jiný port pro aplikaci.

Zakažte přihlášení uživatelů, kteří to nepotřebují. Zabraňte přenosu nešifrovaných hesel. Šifrujte přenosy nebo dělejte SSH tunely. Omezení přístupu do adresářů, omezení možnosti spouštění binárek v některých adresářích, omezte sudo, nastavte limity uživatelům. Zvažte zapnutí AppArmor.

SSH je nejčastější místo pro útok. Nejčastěji se uživatelské účty střílí od boku. Změňte port SSH serveru, omezte přihlášení uživatelů, nasaďte SSH Honeypot na standardním portu, zamezte přihlášení roota, vyžadujte používání klíčů, uživatelům nastavte chroot, nasaďte fail2ban, který umí zakázat na základě logů přihlášení po několika neúspěšných pokusech (nejen pro SSH),

Nainstalujte si LogWatch, pomocí kterého se dají sledovat logy, dělat souhrny, hlídat weby, poštu, SSH, přihlašování.

Domácí laserový střelecký simulátor HomeLESS

Po obědě jsme opět trošku zabrousili do hardwarové části a ukázali si projekt HomeLESS od pánů Ladislava Hagara a Miroslava Lábra.

Motivací bylo popularizovat střelecké disciplíny a úspěšné české sportovce v těchto odvětvích a zároveň jim pomoci s tréninkem mimo oficiální střelnice.

Jako zbraně lze použít airsoftové zbraně nebo skutečné znehodnocené kusy. Elektronika obsahuje mikrokontroller, který umožňuje simulovat zásobník a další parametry zbraně. Snímání terče provádí obyčejná web kamera. Možnosti simulace jsou velmi široké a umožňují simulovat i velmi dlouhé vzdálenosti a různé druhy zbraní.

Celé software je psaný v jazyku Processing.

Turris – otevřený domácí router made in Czech Republic

Turris je v CZ.NIC vyvíjený domácí router, který by ve finále měl poskytnout mechanismus distribuované kybernetické bezpečnosti a to vše pod otevřenou licencí.

CZ.NIC je mimo jiné správce naší národní domény, podporuje vývoj síťových a OS technologií, provozuje školící akademii a dlouhodobě se zaměřuje na síťovou bezpečnost.

Router Turris bude ve výsledku sloužit jako sonda do nejideálnějšího místa – brány mezi uživatelem a internetem. Díky centrálnímu serveru, který bude sbírat data z mnoha sond bude možné statistickou metodou vyhodnotit anomálie, detekovat útoky a následně vytvořenou obranu distribuovat zpět na router a ochránit tak uživatele.

Během analýzy se sleduje jen hlavičku packetu a nezpracovávají se uživatelská data. Podle hashovacích funkcí dělí packety do kategorií a jejich velikost pak porovnává. Při objevu anomálie jsou informace o ni zaslány na centrální server a teprve při vyšším výskytu anomálií si centrální server může vyžádat detailnější data. Nasbíraná data jsou po krátké době smazána. Data jsou zároveň párována pouze s konkrétním zařízením, nikoli s uživatelem. Data, která je třeba ukládat po delší dobu jsou anonymní.

Dále se sbírají data z logů firewallu a statistická data o provozu. Do budoucna se plánují aktivní sondy, které mohou měřit rychlost, dostupnost služeb a další.

Naopak router úplně ignoruje obsah packetů – přenášená data, navštěvované adresy a vše co probíhá na lokální síti.

Jako operační systém je použit OpenWrt upraven pro podporu DNSSEC a obohacen o kolekci potřebných nástrojů. Systém podporuje automatické aktualizace. Konfigurace samotného routeru využívá model klient-server pomocí protokolu netconf a existuje pro ni například aplikace pro Android.

Hardware je uzpůsoben náročnosti procesu analýzy a je uzpůsoben i v budoucnu se zvyšujícími nároky. Z tohoto důvodu selhalo testování existujících řešení a došlo k vývoji vlastního HW řešení v CZ.NIC a jeho uvolnění jako open hardware. Router obsahuje dvoujádrový procesor taktovaný na 1,2 GHz, 2 GB paměti RAM, 16 MB NOR paměti, 256 MB NAND flash paměti, 1 WAN port, 5 LAN portů, modulární wifi 802.11a/b/g/n, volný PCIe slot a dva USB porty.

Vychytanou drobností je možnost nastavení barvy a intenzity světla stavových diod. Probouzení blikajícím routerem – už nikdy více.

Raspberry Pi v domácí automatizaci

Raspberry Pi je snad nejpopulárnější miniaturní Pc na trhu. Možnosti jeho využití jsou opravdu široké, takže proč jej nepoužít právě v domácí automatizaci?

Na začátku jsme si zopakovali základní parametry tohoto mini Pc původně určeného pro multimediální přehrávače a jeho rozhraní. Dále jsme si představili kameru uzpůsobenou přímo ke spolupráci s Raspberry, kompletní obsah GPIO konektoru a možnosti jeho jednoduchého ovládání. Dále přišla na řadu sběrnice I2C, která podporuje připojení až 127 zařízení a jednodrátová sběrnice 1-Wire.

Následovala praktická ukázka použití sběrnice I2C k měření teploty.

Pak zazněla skvělá hláška:U měřeného jezírka není elektřina, ale natáhli jsme tam ethernet.

Dále došlo na představení kompletního návrhu zařízení pro vzdálené napájení a měření teploty a vlhkosti obsahující i hodiny reálného času společně s napájením Raspberry Pi skrze ethernet. Podrobnosti lze nalézt na adrese: http://poepi.jdem.cz/.

Dohled akademické sítě a serverů

Jaké nástroje a nastavení se užívají pro dohled a monitoring v akademickém prostředí jako sítě FIT ČVUT v Praze nebo Koleje Strahov? Petr Hodač nám poodkryje své zkušenosti.

Jako první přišel na řadu Nagios jakožto velmi sofistikovaný nástroj pro dohled nad službami a parametry jednotlivých serverů. Byla probrána jeho instalace, konfigurace serveru i klienta a příklad použití.

Munin je modulární SW s možností sledování mnoha veličin, které přenáší do přehledných grafů. Stejně jako Nagios pracuje v režimu klient – server, kdy se z klientů získávají data a na serveru se vykreslují html soubory s grafy.

Observium by podle přednášejícího měla být lepší varianta pro všechny ostatní dohledové systémy. Stačí ji pouze nainstalovat a přidat hosta.

Pro instalaci stačí naklonovat z SVN. Konfigurace se nachází v PHP souboru. Na switchích stačí pro kontrolu jen povolit SNMP protokol. Bohužel tento SW neumí kontrolovat hosty podle IP adresy, ale musí mít DNS záznamy nebo záznam v hosts.

A je konec.

A to je pro tento ročník vše. Moc děkuji organizátorům za skvěle strávený čas a těším se na další ročník, ať už pod stejným nebo novým jménem.

Sdílejte tento příspěvek s přáteli.
Kategorie:

Komentáře jsou uzavřeny.