HET Linux topic · forumonderwerp

Ik zag dat hij nog niet bestond en ik vond het eigenlijk wel leuk om er 1 te hebbe... hopelijk zijn er meer mensen met mij die dit idee steunen

Ik ben sinds kort bezig met een debian-woody installatie op 1 van mijn computers thuis.. Het is de bedoeling dat dit in een later (goed draaiend) stadium mijn server pc word..

Voor alsnog ben ik bezig om naast mijn draaiende windows XP dmv LiLo een linux distributie te instaleren..

Mijn schijfindeling is op dit moment zo ik heb 1 4gig hd, een oudje waar me windows xp op staat.. en een 2de 20 gig hd
waar ik 3 partities op heb.. 1x 10gig linux ext2 1x 2 gig linux swap en 1x 8 gig ntfs...

Tot zover heb ik mijn kale debian geinstalleert.. Ik wil hem het liefst zo kaal mogelijk houden omdat t me server pc word.. ook ivm security redenen... (ben van plan elke dag te checken en te updaten waar nodig)..

Op mijn debian heb ik X-windows, KDE, en Gnome geinstalleert en dan daaruit wil ik ff verder kloten... ik weet niet of er mensen zijn die zelf al een voorkeur voor 1 van de bovenstaande hebben?

van hieruit wil ik dus verder.. Er moet een webserver opkomen (inclusief sql, php etc), een ftp server en misschien nog andere daemons... In elk geval moet de server pc internet gaan forwarden (dmv bijv. Ipmasq/chain)..

ik kan met het een en ander nog wel wat hulp/tips/commentaar gebruiken.. dus brand maar los

Is iets te lang geleden dat ik met Linux heb gewerkt

Anders had ik wel een tip gegeven

List -ls.

Tot zover heb ik mijn kale debian geinstalleert.. Ik wil hem het liefst zo kaal mogelijk houden omdat t me server pc word.. ook ivm security redenen... (ben van plan elke dag te checken en te updaten waar nodig)..

Op mijn debian heb ik X-windows, KDE, en Gnome geinstalleert en dan daaruit wil ik ff verder kloten... ik weet niet of er mensen zijn die zelf al een voorkeur voor 1 van de bovenstaande hebben?

Je wil een kale server toch? Waarom installeer je dan X-Windows, KDE en Gnome?

Iig, mijn tips:

- Installeer je software via het package management (apt in Debian)

- Lees indien nodig de manpages (manual pages), door in de shell man [commando] te typen, waarbij je uiteraard het [commando] verandert naar het commando waar je informatie over wilt lezen.

Iig, veel plezier met je Debian en schrik niet als je de nieuwste PHP en Apache installeert en je met PHP 4.1.2 en Apache 1.3.26 opgescheept wordt. Dat is nou eenmaal Debian Stable.

Je wil een kale server toch? Waarom installeer je dan X-Windows, KDE en Gnome?

ik ben nog een linux n00b

ooit eerder heb ik SuSE 7.2 volledig draaiend gehad...
ook hier zaten toen standaard die 3 dingen op... ik vinnut nogal een gekloot om vanuit de unix environment alles te gaan instaleren.. daarom wou ik een dekstop environment instaleren...

maar als ik t mis heb is extra uitleg uiteraard welkom

over apt had ik al gelezen en dat ga ik ook zeker gebruiken..

maar zoals ik al zei dit is eigenlijk een test fase.. als ik alles draaiend krijg gaat het er allemaal weer af inclusief windows xp en ga ik puur alleen op linux draaien..
voorlopig moet het alleen nog zo omdat andere gebruikers in het netwerk willen internetten en dat via de server loopt..

- Geen ftp gebruiken. Gebruik daarvoor sftp/scp
- Disable alle onnodige services/onnodige accounts
- Kies sterke wachtwoorden
- Check lokale permissies, (suids/sgids/worldwritable files etc.)
- Zorg dat je de laaste versie van alles heb. (openssl, apache, php, etc, maar ook je kernel)
- Installeer hardening patches. (PaX/grsec)

Deze patch kan je vinden op:
http://www.grsecurity.net/

De extra features van grsec zijn wel leuk, maar ik vertrouw de code van spender niet helemaal, ik raad aan om gewoon PaX los te instaleren:

http://pax.grsecurity.net/

Als je besluit om php te draaien, moet je je ook realiseren dat php scripts ook lek kunnen zijn, en dat je deze dus goed moet checken. PaX beschermt je niet tegen een php scriptje met een lompe include bug.

En indd, wat narotic al zegt, X is overbodig op een server.

laatste aanpassing 10 november 2004 12:48

Als je besluit om php te draaien, moet je je ook realiseren dat php scripts ook lek kunnen zijn, en dat je deze dus goed moet checken. PaX beschermt je niet tegen een php scriptje met een lompe include bug.

PHP kan je simpel een stuk veiliger maken door Safe Mode aan te zetten. Deze staat bij default nog altijd uit (zou van mij mogen veranderen), maar kan in de meeste gevallen het beste aangezet worden. Hiermee voorkom je dat een aantal mogelijk 'onveilige' functies aangeroepen kunnen worden.

Safe Mode maakt PHP niet in een keer heel veilig, maar scheelt wel een slok op een borrel. Veel mensen die je server binnen willen komen zullen dat nml proberen via exploits in PHP scripts (iig, dat zou ik doen

).

PS: Alle stappen die eSDee hierboven beschrijft zijn redelijk rigoureus en als beginner doe je dat echt niet allemaal even in 1 dag. Streef er echter wel naar om zoveel mogelijk punten ervan waar te maken, omdat je alles het beste meteen goed aan kan leren. Nog wat tips qua security zijn:

- Log nooit via SSH (telnetdaemon mag je niet draaien!) als Root in. Wen eraan dat je als normale user inlogt en alleen root rechten gebruikt indien nodig. Je kan simpel naar root wisselen met su -, waarbij su voor Substitite User staat. Eigenlijk is het su - username, maar bij een lege username gaat het commando ervanuit dat je root kiest. De - staat ervoor dat je ook de environment van die user laadt.

- Nooit X gebruiken als root.

- Lees veel

(manpages bij commando's, tutorials)

Als je de stappen van eSDee volgt en de dingen die ik erbij toegevoegd heb, dan heb je een behoorlijk veilige server. Ik zal je eerlijk bekennen dat mijn eigen server nog niet zo veilig is

PS: Leer je alsjeblieft gewoon de commando's vanaf de shell aan. Als je die kent kan je je server vanaf elke plek beheren en juist de shell is de sterke kant van Unix/Linux!

ik ga zodra ik thuis weer ff tijd heb verder met de instalatie en al jullie punten doornemen..

tot zover wil ik jullie in ieder geval bedanken voor het meedenken

en als ik weer op een probleem stuit zal ik dat zeker hiet melden...

bijv. mijn muis die nog niet werkt.. maar daar moet ik zelf nog even mee kloten want ik weet nie of ik de goeie "ttysX" (of hoe dat ook mag heten) heb ingesteld

Opzich weet ik eigelijk nou niet of een root login disablen nou slim is, ik doe het zelf ook, maar ik ben er niet helemaal over uit wat nou beter is.

Als iemand toegang heeft tot het account dat naar root su-ed, is het vrij eenvoudig om su te backdooren. (bijv door een alias aan te maken, die naar een neppe su binary wijst, die het root wachtwoord logged oid)

Als je ssh2 gebruikt om in te loggen kan je wachtwoord niet zo maar gesniffed worden, je bent eigelijk alleen kwetsbaar voor man-in-the-middle attacks (en voor bugs in openssh zelf

maar dat is je gewone account ook.

Het enige waarom het misschien niet slim is, is omdat mensen nu in ieder geval een account naam weten.
Maar als je een veilig password neemt hoef je niet zoveel te vrezen. Dus ik vraag me een beetje af of het echt zo slecht is om een root login toe te laten. Ik heb zelf een beetje het idee dat dat nog uit het telnet tijdperk stamt.

Tuurlijk zijn de gevolgen met telnet veel en veel erger, maar met root direct inloggen op SSH is alleen net zo veilig in de volgende gevallen:

1. SSH is 100% veilig
2. Je wachtwoord is sterk genoeg om niet geraden/gebruteforced te worden.

Tuurlijk is je gewone account net zo vulnerable, maar zoals je weet geef je toch nog altijd liever een gewoon account 'uit handen' dan je root account.

Daarnaast zie ik op mijn eigen server vaak genoeg attempts uit Azie waarin geprobeerd wordt als root in te loggen via SSH. Ondanks dat ik de kans erg klein acht dat ze mijn wachtwoord raden, weet ik nu 100% zeker dat ze niet binnen kunnen komen.

Het belangrijkste eraan vind ik persoonlijk dat je jezelf aanleert om alleen als super user te werken als je dat echt nodig hebt. Omdat veel mensen dat vanuit nature niet doen (kijk naar het percentage mensen wat als administrator onder windows werkt en zelfs mensen die als root altijd onder linux werken) is een beetje dwang niet zo erg lijkt me

Als iemand toegang heeft tot het account dat naar root su-ed, is het vrij eenvoudig om su te backdooren. (bijv door een alias aan te maken, die naar een neppe su binary wijst, die het root wachtwoord logged oid)

Is idd makkelijk te doen en evil

Deze ga ik even onthouden

Het zit me allemaal niet mee.. toen ik toendertijd SuSE installeerden heb ik dat met 7 cd's gedaan en ze allemaal gebruikt... dit zorgde voor een kant en klare linux..

maar nu ik dus debian gebruik en ook 7 cd's heb, maar alleen de 1e heb geinstalleerd mis ik dus een hoop programmatjes.. om maar een voorbeeld te noemen..
ik had al een halfuur nodig om een goeie text editor te vinden.. die ik weer nodig had om me lilo.conf aan te passen..

wat dus helemaal mislukt is en er voor gezorgt heeft dat in me boot alleen nog maar linux staat... het was de bedoeling om windows standaard te booten met een time out van 5 seconden.. ik heb geprobeert om met lilo.config dit opnieuw in te stellen.. maar ook dit mislukte omdat hij mijn windows schijf /dev/hda niet kon vinden... later bedacht ik me dat ik hem misshien van tevoren had moeten mounten...

maar het mounten lukt me nu dus ook niet meer

ik ga er verschillende sites op naslaan.. zoals http://doc.nl.linux.org/
als iemand andere sites heeft of misschien een korte uitleg wil geven over lilo is deze zeer welkom

Lilo en grub ken ik niet goed, zeker niet uit mn hoofd (gebruik zelf geen linux).

Over de installatie, persoonlijk hou ik juist van een ERG kale installatie. Dit omdat alles wat je installeert van CD in principe toch al gedateerd is. Daarnaast kies je vaak van CD gewoon teveel programma's omdat ze wel handig lijken.

Mijn manier is om een minimale install te doen, deze vervolgens eerst up te daten en daarna via het package management alle software te downloaden zodra je ze nodig hebt.

Een goede teksteditor voor de CLI (= Command Line Interface) vind ik Pico. Een wat geavanceerdere zijn Vi en Vim (VI Improved).

Ik log altijd met root in op ssh

Alleen lokaal dan.
Heb wel met SU gewerkt.
Maar op 1 of andere manier kan ik geen users adden en dellen met SU.

Users kan je ook niet add'en en del'en met SU. SU is slechts Substitute User, oftewel het wijzigen van gebruiker.

Op mijn machine (FreeBSD) gaat het toevoegen met:

adduser

Het verwijderen met:

rmuser

Ik vraag me alleen af of dit onder elke Linux distro ook zo werkt.

Je kan btw ook altijd nog gewoon /etc/passwd en /etc/shadow en /etc/groups aanpassen, werkt net zo goed.

/usr/sbin/usermod
/usr/sbin/useradd
/usr/sbin/userdel

/usr/sbin staat standaard niet in je path (bij normale users).

Als je 'su root' intikt, heb je de environment variablen van de oorspronkelijke user, waar dus geen /usr/sbin in het path staat.

Als je dan op de console 'useradd' in tikt, krijg je een melding dat hij deze niet kan vinden. Je moet dan gewoon even het hele path opgeven.

Met 'su -l' of 'su -' krijg je wel het juiste path.

super

Ik ben dr achter gekomen dat de verschillende debian cd's verschillende instalaties hebben.. Daarom ga ik zodra ik thuis ben helemaal opnieuw beginnen en een in mijn ogen betere "vanilla" instalatie doen

daarna.. zal ik jullie uiteraard weer hier lastig vallen

Mijn voorkeur gaat absoluut uit naar KDE - Grub - SUSE

Ik gebruik zelf Suse 9.1 en ken al deze problemen niet meer (oudere versie's nog wel). Cdtje booten en een paar vraagjes beantwoorden en klaar is kees(net zo simpel als nij Windhoos). De installatie tool van Suse (YaST) ziet gewoon de windhoos partitie en past gelijk je mbr aan en installeert Grub als bootloader.

Niet moeilijk doen als het makkelijk kan.