• Установить Syncthing в Debian 11 Bullseye

    Разберем как поднять Syncthing на Debian 11 Bullseye.

     

    Все действия ниже будут выполняться от root.

     

    # Установка Syncthing

    curl -s https://syncthing.net/release-key.txt | sudo apt-key add -
    echo "deb https://apt.syncthing.net/ syncthing stable" | sudo tee /etc/apt/sources.list.d/syncthing.list
    apt-get update
    
    apt-get install syncthing -y
    

     

    # Создаем пользователя syncthing от которого будет работать система.

    useradd -r -m -U -s /usr/sbin/nologin -c "Syncthing User" syncthing

     

    # Создаем сервис запуска для — Syncthing.

    cat << EOF > /etc/systemd/system/syncthing@syncthing.service
    [Unit]
    Description=Syncthing - Open Source Continuous File Synchronization for %I
    Documentation=man:syncthing(1)
    After=network.target
    StartLimitIntervalSec=60
    StartLimitBurst=4
    
    [Service]
    User=%i
    ExecStart=/usr/bin/syncthing serve --no-browser --no-restart --logflags=0
    Restart=on-failure
    RestartSec=1
    SuccessExitStatus=3 4
    RestartForceExitStatus=3 4
    
    # Hardening
    ProtectSystem=full
    PrivateTmp=true
    SystemCallArchitectures=native
    MemoryDenyWriteExecute=true
    NoNewPrivileges=true
    
    # Elevated permissions to sync ownership (disabled by default),
    # see https://docs.syncthing.net/advanced/folder-sync-ownership
    AmbientCapabilities=CAP_CHOWN CAP_FOWNER
    
    [Install]
    WantedBy=multi-user.target
    
    EOF
    ИНФОРМАЦИЯ. Хочу обратить внимание на подсвеченную строку, она нужна для того чтобы служба syncthing могла также синхронизировать права собственности между устройствами.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (5 голос(ов), в среднем: 2,00 из 5)
    Загрузка...
  • Установка FreeRADIUS & daloRADIUS на Debian 11 Bullseye

    Разберем как установить FreeRADIUS и daloRADIUS на Debian 11 и как настроить его для использования MySQL / MariaDB.

     

    В рамках данной статьи будет разобрано лишь только установка и настройка FreeRADIUS и daloRADIUS, вариации конфигурации использования freeRADUIS с оборудованием или системами будет рассматриваться в других статьях.

     

    # Все ниже описанные действия будут производиться от root.

     

    Настройка MySQL

    # Устанавливаем MySQL сервер.

    apt-get install mariadb-server -y

     

    # Выполняем базовую настройку безопасности MySQL сервера и входим на сервер.

    mysql_secure_installation
    
    mariadb

     

    # Создаем базу данных для FreeRADIUS.

    CREATE DATABASE radius;
    CREATE USER 'radius'@'localhost' IDENTIFIED BY 'radius';
    GRANT SELECT ON radius.* TO 'radius'@'localhost';
    FLUSH PRIVILEGES;
    

     

     

    Установка FreeRADIUS

    # Устанавливаем FreeRADIUS с дополнительными модулями mysql, ldap:

    sudo apt-get install freeradius freeradius-utils freeradius-mysql freeradius-ldap -y

     

    # Импортируем схему RADIUS MySQL:

    mariadb radius < /etc/freeradius/3.0/mods-config/sql/main/mysql/schema.sql
    

     

    Проверим что таблицы в базе данных (radius), были созданы:

    mariadb -e "use radius;show tables;"
    
    +------------------+
    | Tables_in_radius |
    +------------------+
    | nas              |
    | radacct          |
    | radcheck         |
    | radgroupcheck    |
    | radgroupreply    |
    | radpostauth      |
    | radreply         |
    | radusergroup     |
    +------------------+

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 3,50 из 5)
    Загрузка...
  • Ввод Debian 10 Buster в домен Windows с помощью Kerberos, Samba, Winbind

    Ниже опишу как ввести linux систему Debian 10 в домен Windows с помощью Kerberos, Samba, Winbind.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2019, домен SYSOS.LOCAL
    • Linux система (datastore1) на Debian 10 Buster

     

    Подготовка системы

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname:

    datastore1.sysos.local

     

    Так же файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

    127.0.0.1	localhost
    127.0.1.1	datastore1.sysos.local datastore1

     

     

    Настройка синхронизации времени

    Если разница будет более 5 минут, то будет не возможно получить билет от Kerberos. Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP:

    apt-get install ntp ntpdate

     

    В файле конфигурации /etc/ntp.conf, добавляем в него информацию о вашем сервере времени (в моем случае указываю контролер домена):

    # You do need to talk to an NTP server or two (or three).
    server dc1.sysos.local

     

    Перезапускаем службу времени:

    /etc/init.d/ntp restart

     

     

    Для единовременной синхронизации можно воспользоваться командой:

    ntpdate dc1.sysos.local
    Рекомендую ознакомится подробней о синхронизации времени на Linux системах можно почитать в этой статье и выполнить его настройку.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 3,00 из 5)
    Загрузка...
  • Установка OpenSSL GOST Engine на Debian 11 Bullseye

    Ранее я уже описывал как добавить поддержку шифрования по ГОСТ Р 34.10-2012 в OpenSSL на Debian 9, недавно возвращался к этому вопросу но уже на системе Debian 11, поэтому решил актуализировать под Debian 11.

     

    # Все ниже действия будут производится от root.

     

    Устанавливаем необходимые пакеты:

    apt-get install g++ gcc make git libssl-dev

     

    Поддержу GOST-Engine будем реализовывать для OpenSSL 1.1.1p.

     

    Выполняем сборку OpenSSL 1.1.1p, выполняем команды (скачиваем, распаковываем, собираем билд, устанавливаем, настраиваем):

    wget https://www.openssl.org/source/openssl-1.1.1p.tar.gz
    tar -zxvf openssl-1.1.1p.tar.gz
    cd openssl-1.1.1p
    
    ./config --prefix=/usr/ssl --openssldir=/usr/ssl
    make all
    make install
    
    cd .. && rm /usr/bin/openssl
    ln -s /usr/ssl/bin/openssl /usr/bin/openssl
    echo "/usr/ssl/lib" >> /etc/ld.so.conf.d/ssl.conf
    ldconfig
    

     

    Проверяем версию OpenSSL, должно быть так:

    openssl version -v
    OpenSSL 1.1.1p  21 Jun 2022

     

    # Для сборки GOST Engine нужна версия CMake 3.0 и выше.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 1,00 из 5)
    Загрузка...
  • Как ввести Debian в домен Windows (Active Directory) с помощью realmd, SSSD.

    Рассмотрим как ввести систему Debian в домен Windows с помощью realmd, SSSD.

     

    Realmd (Realm Discovery) – сервис D-Bus, позволяющий производить настройку сетевой аутентификации и членства в домене (Active Directory) без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) или Winbind.

     

    SSSD (System Security Services Daemon) — это клиентский компонент централизованных решений для управления идентификацией, таких как Microsoft Active Directory, Kerberos, OpenLDAP  и других серверов каталогов. SSSD обслуживает и кэширует информацию, хранящуюся на удаленном сервере каталогов, и предоставляет услуги идентификации, аутентификации и авторизации хост-машине.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2019, домен JAKONDA.LOCAL (IP — 192.168.1.100)
    • Linux система (debian) на Debian 11 Bullseye (IP — 192.168.1.10)

     

    Подготовка системы

    # Обновляем информацию о репозиториях и обновляем установленные пакеты:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname:

    debian.jakonda.local

     

    Файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP хоста:

    127.0.0.1	localhost
    192.168.1.10	debian.jakonda.local debian

     

     

    Настраиваем клиент DNS на хосте. Файл /etc/resolv.conf приводим к виду с учетом ваших данных:

    domain jakonda.local
    search jakonda.local
    nameserver 192.168.1.100

     

    Настройка синхронизации времени

    Очень важно для корректной работы чтобы разница во времени между хостом и домен контроллером была минимальная или не превышала более 5 минут, в противном случае не возможно получить билет от Kerberos. Настроим синхронизацию времени с контроллером домена.

     

    # Устанавливаем необходимые пакеты:

    apt-get install ntp ntpdate

     

    В файле /etc/ntp.conf, указываем контроллер домена в качестве точки синхранизации, остальные комментируем :

    # You do need to talk to an NTP server or two (or three).
    server dc1.jakonda.local
    
    # pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
    # pick a different set every time it starts up.  Please consider joining the
    # pool: <http://www.pool.ntp.org/join.html>
    # pool 0.debian.pool.ntp.org iburst
    # pool 1.debian.pool.ntp.org iburst
    # pool 2.debian.pool.ntp.org iburst
    # pool 3.debian.pool.ntp.org iburst
    
    

     

    Выполняем единовременную синхронизацию времени с контроллером домена и запускаем службу:

    /etc/init.d/ntp stop
    ntpdate -bs jakonda.local
    /etc/init.d/ntp start

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 1,00 из 5)
    Загрузка...
  • Установка phpMyAdmin из исходников в Debian 9 Stretch

    Разберем как установить phpMyAdmin последней версии из исходников в Debian 9 Stretch. Так же рассмотрим как обезопасить доступ к нему.

     

    Устанавливаем необходимые пакеты:

    apt-get install php php-common php-cli libapache2-mod-php php-gd php-mbstring php-zip php-xml php-curl php-bz2 php-mysql php-common php-tcpdf php-gettext mariadb-server -y

     

    Скачиваем последнюю версию phpMyAdmin, распаковываем скачанный архив и перемещаем его в пользовательский каталог:

    wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.zip
    
    unzip phpMyAdmin-latest-all-languages.zip
    rm phpMyAdmin-latest-all-languages.zip
    mv phpMyAdmin-*-all-languages/ /usr/share/phpmyadmin

     

    Создадим каталог в котором phpMyAdmin будет хранить свои временные файлы и назначаем права доступа к нему для веб-сервера (www-data):

    mkdir -p /var/lib/phpmyadmin/tmp
    chown -R www-data:www-data /var/lib/phpmyadmin

     

    Создаем базу данных и таблицы конфигурации для phpMyAdmin. Применяем поставляемый вместе с phpMyAdmin скрипт:

    mariadb < /usr/share/phpmyadmin/sql/create_tables.sql

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 2,67 из 5)
    Загрузка...
  • Как добавить поддержку шифрования по ГОСТ Р 34.10-2012 в OpenSSL 1.1.1d на Debian 9 Stretch

    В работе имеется веб-сайт на котором реализована авторизация посредством ЕСИА (Единая система идентификации и аутентификации). До недавнего времени можно было использовать самоподписной RSA сертификат, но с 1 апреля 2020 года, для взаимодействия с ЕСИА необходимо использовать сертификат с алгоритмом шифрования по ГОСТ Р 34.10-2012.

     

    В связи с этим мне необходимо было реализовать возможность работы с алгоритмом ГОСТ Р 34.11-2012 в OpenSSL на Debian 9 Stretch.

     

    Путем перелопачивания множества информации по этому вопросу и проб использования движка GOST-Engine с различными версиями OpenSSL, для себя определил рабочую связку OpenSSL 1.1.1d + GOST-Engine.

     

    В качестве памятки опишу действия для реализации связки OpenSSL 1.1.1d + GOST-Engine на Debian 9 Stretch.

     

    Устанавливаем необходимые пакеты:

    apt-get install build-essential wget git cmake unzip gcc -y

     

    Выполняем сборку OpenSSL 1.1.1d, выполняем команды:

    cd /opt
    
    wget "https://github.com/openssl/openssl/archive/OpenSSL_1_1_1d.zip" -O "OpenSSL_1_1_1d.zip"
    unzip OpenSSL_1_1_1d.zip && cd openssl-OpenSSL_1_1_1d
    
    ./config shared -d --prefix=/usr/ssl --openssldir=/usr/ssl
    make all && make install
    
    rm /usr/bin/openssl
    ln -s /usr/ssl/bin/openssl /usr/bin/openssl
    echo "/usr/ssl/lib" >> /etc/ld.so.conf.d/ssl.conf && ldconfig

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 2,00 из 5)
    Загрузка...
  • Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

    Как известно система лицензирования Microsoft штука не дешевая и поэтому рассмотрим как установить файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Система по файловый сервер (datastore1) на Debian 9 Stretch

     

    Подготовка системы (Debian 9 Stretch)

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

    datastore1.jakonda.local

     

    Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

    127.0.0.1	localhost
    127.0.1.1	datastore1.jakonda.local datastore1

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    apt-get install ntp ntpdate
    
    ntpdate dc1.jakonda.local
    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Удаленное выполнение команд в системе Windows из консоли Linux. Установка из исходников Winexe 1.1 + Samba 4.5 на Debian 9 Stretch.

    Задался недавно вопросом, как можно из консоли Linux, подключится к удаленной машине с ОС Windows на борту и выполнить на ней какую либо команду (прим. «ipconfig») или запустить за ранее написанный скрипт (*.bat, *.ps1).

     

    В ходе поиска решения данного вопроса, был найден инструмент Winexe, который по сути является аналогом psexec под Windows. Winexe работает в связке с Samba, поэтому последняя должна присутствовать в системе.

     

    Из замеченных неудобств работы с Winexe, хочу отметить что для корректного отображения «кириллицы», необходимо конвертировать вывод в UTF-8 из cp866/cp1251. Так же в случае запуска на удаленной машине «cmd», «powershell» не работают клавиши курсора, «backspace» и возможен задвоенный ввод символов.

     

    Установка будет производится на Debian 9 Stretch. В ходе установки будет использоваться Fork пакета Winexe 1.1 (https://sourceforge.net/u/mstowe/winexe/ci/v0.2/tree/), а так же версия Samba 4.5.16 из стандартные репозиториев Debian.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Обработка SMS-сообщений с помощью GSM-модема Huawei e1550 и smstools на Debian 9 Stretch

    В поисках решения организации SMS шлюза, посредством GSM-модема (прим. Huawei E1550), наткнулся на пакет «smstools», который прекрасно справляется со своими обязанностями (отправка\получение SMS).

     

    Рассмотрим как развернуть пакет «smstools» на Debian 9 Stretch и настроить его на GSM-модема Huawei e1550 (так же тестировал ниже описанное на e3372h с прошивкой stick).

     

    Подготовка системы

    Обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade

     

    Устанавливаем необходимые для работы пакеты:

    apt-get install gcc make recode usb-modeswitch minicom

     

    Подключаем GSM-модем Huawei E1550, проверяем появились ли устройства ttyUSB*:

    ls -al /dev | grep ttyUSB
    
    crw-rw---- 1 root dialout 188, 0 фев 27 11:34 ttyUSB0
    crw-rw---- 1 root dialout 188, 1 фев 27 11:33 ttyUSB1
    crw-rw---- 1 root dialout 188, 2 фев 27 12:37 ttyUSB2

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 3,00 из 5)
    Загрузка...
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика