Re: Confirmacions comandes "amagades"

[Sergi Blanch-Torné]

Hola,

Tinc la impressió que el que comentes pot tenir a veure amb "Systemd".
Però em desconcerta el que comentes d'apt-get. Si és la teva primera
debian 8, això tindria relació amb que fins a la 7 la gestió de l'arranc
de serveis era "SysVinit". El scripts del /etc/init.d, així com la
comanda service.

Amb el canvi a systemd, després de llargues discussions, es manté la
interfície que molts tenim acostumada. Però hem d'anar pensant a canviar
a usar systemctl.

Fent un cop d'ull, veig que tant la comanda que comentes com la que crec
que es correspon amb systemd:
# systemctl restart ssh.service
No generen res al stdout. En canvi potser el que busques et sortirà amb:
# /etc/init.d/ssh restart
[ ok ] Restarting ssh (via systemctl): ssh.service.

Sobre l'apt-get, pots explicar-te una mica més?

/Sergi.

On 09/11/15 18:14, Adam Deosdad wrote:
> hola, crec que és la meva primera coŀlaboració, tot i que fa temps que
> estic al grup,
> el paquet per instaŀlar és el openssh-server
> i després has d'editar l'arxiu /etc/ssh/sshd_config segons les teves
> necessitats,
> 
> El dia 9 de novembre de 2015, 17:28, Ernest Adrogué  ha
> escrit:
> 
>> 2015-11- 9, 16:09 (+0100); Joan Cervan escriu:
>>> Hola,
>>>
>>> En una instal·lació de debian 8, quan faig algo com:
>>>
>>> service ssh restart
>>>
>>> No veig cap missatge de confirmació, només em torna a una nova línia de
>>> terminal.
>>>
>>> En altres ordinadors, em sortia una línia en verd confirmant-me que la
>>> cosa havia anat bé... Em pasa amb totes les comandes, com per exemple
>>> apt-get install elquesigui.deb
>>>
>>> Diria que aquesta instal·lació de debian, precuinada en un servidor
>>> cloud (iwstack), deu tenir alguna opció tipus "no prompt" però en la
>>> línia de "no verbose, no mostrar missatges"...
>>>
>>> Us sona?
>>
>> No, no ho he vist mai a la configuració per defecte de Debian.  Altres
>> distribucions ho tenen però concretament Debian no, que jo sàpiga.
>>
>>
> 
> 

Re: Actualitzacions automàtiques?

[Sergi Blanch-Torné]

Hola,

Desconeixia el cron-apt. Jo el que faig anar des de fa molt és
directament una línia al cron de l'usuari root:

  0 5   *   *   *(nice -n 10 apt-get update && apt-get -u
--assume-no dist-upgrade || apt-get -u --assume-no dist-upgrade) | mail
-s "[psad-status] report from `hostname -f`" adreça...@correu.cat

Així cada dia a les 5 del mati, la màquina repassa si té algo per
actualitzar i, només si hi ha algo pendent, m'envia un correu.

Soc del parer de tenir conegudes les actualitzacions que es fan. En un
entorn petit, això em serveix. En un entorn gran seria millor tenir això
en una màquina i que, en cas que l'administrador aprovi les
actualitzacions les deixa entrar en un repositori intern i que les de
dins facin actualitzacions automàtiques.

/Sergi.

On 20/05/16 08:18, Sergi Baila wrote:
> Bones,
> 
> Jo també faig servir cron-apt a tots els servidors. Però amb la
> configuració automàtica que simplement envia un email si hi ha
> actualitzacions, no instal·la res.
> 
> Sí que instal·lo els paquets de seguretat automàticament amb
> /unattended-upgrades/:
> 
> https://wiki.debian.org/UnattendedUpgrades
> 
> El jue., 19 may. 2016 a las 17:46, tictacbum ( >) escribió:
> 
> jo faig servir el paquet cron-apt, modificant
> /etc/cron-apt/action.d/5-install perquè instal·li automàticament les
> actualitzacions de seguretat
> normalment no hi ha cap problema, tot i que a vegades pot deixar de
> funcionar alguna cosa (en 5 anys una vegada el dhcp i dues el samba..)
> 
> salut!
> 
> El dia 19 de maig de 2016, 10:13, Joan  > ha escrit:
> 
> Hola,
> 
> Ja posats a preguntar... Com feu les actualitzacions dels vostres
> sistemes? Jo actualment de tant en tant em passo pels servidors,
> i gaig
> un apt-get upgrade.
> 
> Em sona que hi ha manera de dir-li al sistema que faci les
> actualitzacions automàticament, però no sé si això te algun
> inconvenient que no sé veure (l'avantatge està clar, corregir els
> forats de seguretat el més aviat millor).
> 
> Salutacions,
> 
> --
> Joan Cervan i Andreu
> http://personal.calbasi.net
> 
> "El meu paper no és transformar el món ni l'home sinó, potser, el de
> ser útil, des del meu lloc, als pocs valors sense els quals un
> món no
> val la pena viure'l" A. Camus
> 
> i pels que teniu fe:
> "Déu no és la Veritat, la Veritat és Déu"
> Gandhi
> 
> 
> -- 
> 
> *Sergi Baila* – https://sargue.net/cv
> 

Re: (deb-cat) Convertir Ext4 a Ext4-

[Sergi Blanch-Torné]

Amb la partició montada poca cosa pots fer (crec). Si no pots arrencar
des d'un usb, igual pots punxar el disc en una altra màquina que no
tingui el sistema en la pròpia partició?

/Sergi.

On 07/12/17 09:05, Narcis Garcia wrote:
> Bé, sembla que en tindria prou amb treure la característica
> "metadata_csum" de la partició-arrel:
> 
> $ sudo tune2fs -O -metadata_csum /dev/sda1
> tune2fs 1.43.4 (31-Jan-2017)
> Please run e2fsck -f on the filesystem.
> 
> Com faig aquesta acció (e2fsck -f) a la partició muntada com a arrel?
> * En aquest ordinador no puc arrencar des d'un mitjà extern (CD/USB)
> * No trobo manera d'arrencar en mode només-lectura
> * He provat a establir a /etc/default/grub:
>   GRUB_CMDLINE_LINUX="fsck.repair=yes fsck.mode=force"
>   $ sudo update-grub
>   Però tot i fer revisió no converteix la característica.
> 
> Si faig tot això per una altra partició no muntada:
> $ sudo tune2fs -O -metadata_csum /dev/sdaX
> $ sudo e2fsck -f /dev/sdaX
> El resultat és l'esperat.
> 
> 
> El 11/07/17 a les 12:10, Narcis Garcia ha escrit:
>> Estic intentant arrencar un nucli antic a Debian 9, per la qual cosa he
>> hagut de «desactualitzar» klibc-utils libklibc initramfs-tools
>> Però ara em trobo que initrd no pot muntar el sistema de fitxers perquè
>> el format Ext4 de l'instal·lador de Debian9 estableix característiques
>> que no ho feia Debian9:
>> 64bit metadata_csum
>>
>> Això és el què arriba a dir el «mount» de initrd:
>> EXT4-fs (sda1): error loading journal
>> EXT4-fs (sda1): couldn't mount RDWR because of unsupported optional
>> features (400)
>>
>> Algú sap com treure característiques a Ext4 com 64bit i metadata_csum ?
>>
>> Gràcies.
>>
> 




signature.asc
Description: OpenPGP digital signature

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Sergi Blanch-Torné]

Hola,

Els xifrats en disc depenen de què vulguis protegir (el threat model).

Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
sense xifrar. Es necessària per poder carregar el kernel i que aquest et
demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
sense frase de pas perquè el boot està en un stick, un ha de guardar-los
separats quan l'ordinador estar apagat.

Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
parar. Únicament. Estaries protegint la modificació dels binaris. Però
compte amb l'exposició del kernel.

En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
l'ordinador engegat i per tant amb la partició xifrada montada.

De forma no excloent, però que té implicacions de performance, és
utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
tenir present que root, tot i que no pot montar el teu home, si que hi
pot accedir si l'usuari ha fet login.

Després hi ha una tercera via, útil per exemple per discs durs externs,
que serien eines com encfs, en les que hom monta una estructura de
directoris sota demanda. Té els seus pros i contres també.

/Sergi.

Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
aprendre...

On 19/06/17 09:31, Narcis Garcia wrote:
> La manera en què jo ho he vist fer és deixar connectada la memòria USB
> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> encriptar.
> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> la memòria USB per arrencar-ne, que és la que demana contrasenya per
> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> connectada per a que sigui coherent amb les actualitzacions de nucli i
> gestor d'arrencada.
> 
> De tota manera, aquesta externalització de l'arrencada és una mesura més
> aviat orientada a evitar una vulnerabilitat molt i molt específica:
> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> i així en un «següent robatori» recuperar aquesta dada.
> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> memòria USB i col·locar el /boot al mateix disc dur.
> 
> 
> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this list's archives. Mailing lists service
> administrator should fix this.
> El 19/06/17 a les 01:37, Pedro ha escrit:
>> Josep,
>>
>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>
>> podríem considerar que el punt de partida més habitual és una debian
>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>
>> Gràcies!
>>
>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>>>
>>>
>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :

 Hola,

 Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
 encriptar les particions. Tant al Portàtil com al Sobretaula.

 - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>>
>>>
>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>>> un llapis usb amb una clau) per iniciar sistema.
>>>
>>>

 - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
 no podrà fer res?
>>>
>>>
>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>>> operatiu/aplicacions tenien...
>>>


 Perdoneu la meva ignorància...

 Salut
>>>
>>>
>>>
>>>
>>> --
>>> --
>>> Salutacions...Josep
>>> --
>>
> 



signature.asc
Description: OpenPGP digital signature

Re: 999/tcp open garcon

[Sergi Blanch-Torné]

Hola Jordi,

No acabo d'entendre. Corregeix-me si us plau. Tens un equip amb la mac
08:6A:0A:BC:99:4D que es connecta a la wifi del router de movistar i
aquest li ha assignat una ip 192.168.1.44 que correspon amb la primera
del rang que té configurat el dhcp.

El nmap que has adjuntat contra quin ip ha sigut? Et surt exactament
igual amb l'altra (router vs fantasma)?

Per navalla de ocam, no sembla una acció governamental sinó que, potser
t'ha entrat algú (veí) i t'ha canviat el dhcp (o posat el seu un cop dins).

Si és el cas, llavors, reset de fabrica al router i tornar a
configurar-lo del principi. Això si, revisant tota configuració
especialment de la wifi. Evita wps, utilitza wpa2, si pots amb
certificats però si és amb password canvia'l respecte el que hi hagués.

/Sergi.

On 10/05/17 22:16, jordi wrote:
> Bones, hi ha una cosa que m'estranya força.
> 
> Tinc la fibra de Movistar i en veure el mapa de xarxa veig
> la ip 192.168.1.44 que no em correspon en cap cosa connectada al router
> i a més em marca com a connexió wifi i el tinc sempre aturat.
> 
> si faig nmap -A -v
> 
> Starting Nmap 7.40 ( https://nmap.org ) at 2017-10-05 20:44 CEST
> 
> .
> 
>  PORTSTATE SERVICE VERSION
> 111/tcp open  rpcbind 2 (RPC #10)
> | rpcinfo: 
> |   program version   port/proto  service
> |   10  2111/tcp  rpcbind
> |   10  2111/udp  rpcbind
> |   536870913 1999/tcp  SLSd_daemon
> |_  536870914 1987/tcp  
> 987/tcp open  unknown 1 (RPC #536870914)
> 999/tcp open  SLSd_daemon 1 (RPC #536870913)
> MAC Address: 08:6A:0A:BC:99:4D (Askey Computer)
> Device type: general purpose
> Running: Linux 2.6.X
> OS CPE: cpe:/o:linux:linux_kernel:2.6
> OS details: Linux 2.6.17 - 2.6.36
> Uptime guess: 0.577 days (since Thu Oct  5 08:09:44 2017)
> Network Distance: 1 hop
> TCP Sequence Prediction: Difficulty=206 (Good luck!)
> IP ID Sequence Generation: All zeros
> 
> la ip 192.168.1.44 és la primera que no tinc reservada a cap dispositiu
> i em pregunto perquè el router te també aquesta ip i ports oberts.
> Perdoneu però no se massa de xarxes i l'altre dia en connectar el mòbil
> ho va fer amb ip 100.i pico quan te reservada la 192.168.1.37 i en
> veient que ha tornat la censura al nostre país i que movistar hi
> col·labora, tot és possible.
> 
> Salutacions.
> 




signature.asc
Description: OpenPGP digital signature