From 6d431832ff6db792e3cf0cb86e6900a3bb88c225 Mon Sep 17 00:00:00 2001 From: xf0r3m Date: Sun, 14 Jul 2024 12:12:27 +0200 Subject: [PATCH] =?utf8?q?Dodanie=20trzech=20artyku=C5=82=C3=B3w=20do=20Ti?= =?utf8?q?ps&Tricks?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- ...dblokownie_istniejacych_partycji_LUKS.html | 99 +++++++++++++++++++ ...nie_hosta_do_certyfikatu_lets_encrypt.html | 54 ++++++++++ .../eksport_udzialu_nfs_dla_calej_sieci.html | 66 +++++++++++++ 3 files changed, 219 insertions(+) create mode 100755 articles/tnt/automatyczne_odblokownie_istniejacych_partycji_LUKS.html create mode 100755 articles/tnt/dodanie_hosta_do_certyfikatu_lets_encrypt.html create mode 100755 articles/tnt/eksport_udzialu_nfs_dla_calej_sieci.html diff --git a/articles/tnt/automatyczne_odblokownie_istniejacych_partycji_LUKS.html b/articles/tnt/automatyczne_odblokownie_istniejacych_partycji_LUKS.html new file mode 100755 index 0000000..d5a4688 --- /dev/null +++ b/articles/tnt/automatyczne_odblokownie_istniejacych_partycji_LUKS.html @@ -0,0 +1,99 @@ + + + + + + + + +
+  _______            ___   ______     _      __
+ /_  __(_)___  _____( _ ) /_  __/____(_)____/ /_______
+  / / / / __ \/ ___/ __ \/|/ / / ___/ / ___/ //_/ ___/
+ / / / / /_/ (__  ) /_/  </ / / /  / / /__/ ,< (__  )
+/_/ /_/ .___/____/\____/\/_/ /_/  /_/\___/_/|_/____/
+     /_/
+
+ +

+ ☠ morketsmerke ☠ +

+
+

Automatyczne odblokowanie istniejących partycji LUKS

+

+ Mam kilka szyfrowanych LUKS-em dysków na stanie, do których potrzebuje + sporadycznie dostępu (do danych na nich zgromadzonych). Więc + stwierdziłem, podłącze je do serwera i udostępnie sobie przez NFS. + Wszystko spoko, fajnie tylko, że trzeba by je odblokować (rozszyfrować) + podczas rozruchu. Oczywiście jest tak możliwość. Można wykorzystać + plik klucza, który należy dodać do partycji. Generalnie to do partycji + LUKS, możemy dodać maksymalnie 8 kluczy odblokowywujących + (odszyfrywujących). Dodając do takiej partycji plik klucz, tak + naprawdę zapisujemy w wolnym miejscu (slocie) jego zawartość jako + kolejne z 8-miu możliwych do podania haseł. Całą konfigurację należy + rozpocząć od zdefiniowania samego hasła, może być to coś konkretnego, + np. jakieś zdanie lub zdefiniowany przez nas ciąg znaków, ale również + możemy skorzystać generatora pseudolosowego wbudowanego w każdego + Uniksa - /dev/random. Wygenerujen 32 bajty + (lub więcej) losowych danych, które posłużą nam jako klucz do partycji + LUKS. +

+
+~# dd if=/dev/random bs=32 count=1 of=plik_klucza0
+
+

+ Tak wygenerowany klucz możemy dodać teraz do partycji LUKS, przy + użyciu narzędzia cryptsetup. +

+
+# cryptsetup luksAddKey /dev/sdX /root/plik_klucza0
+
+

+ Narzędzie to poprosi nas o podanie jednego z obecnie dodanych klucz, + jeśli wcześniej nie dodawaliśmy, żadnych dodatkowych klucz + deszyfrujących, to podajemy hasło, które używaliśmy do tej pory do + odblokowywania LUKS. Po zatwierdzeniu hasła, klucz został dodany. + Warto zmienić mu uprawnienia, aby tylko właściciel mógł odczytać + jego zawartość + (chmod 600 /root/plik_klucza0). +

+

+ Teraz w pliku /etc/crypttab należy zdefiniować automatyczne + odblokowywanie partycji, podając jej: nazwę dla mapera, UUID + partycji, plik klucz i jeśli to wymagane inne opcję + cryptsetup używane podczas odmontowywania. Na przykład: +

+
+luks-disk   UUID="d03d9875-6310-4eea-809e-8570909408ea"   /root/plik_klucza0
+
+

+ Na koniec musimy wskazać w pliku /etc/fstab punkt montowania + oraz opcje dla odszyforwanej partycji. Tutaj nie musimy posługiwać się + UUID-ami, jak zazwyczaj, ponieważ nazwa dla mappera jest + unikalnym identyfikatorem dla partycji, wątpię w to aby została ona + zmieniona podczas działania systemu. Chyba, że ręcznie zablokujemy + tego LUKS-a i odblokujemy pod inną nazwą. +

+
+/dev/mapper/luks-disk   /srv/cryptdisk  ext4 defaults 0 2
+
+

+ Po restartcie systemu, powinniśmy zobaczyć odblokowany i zamontowany + LUKS w naszym systemie. To rozwiązanie ma jedną zasadniczą wadę + związaną z bezpieczeństwem danych zgromadzonych na LUKS. W momencie + gdy ktoś uzyska dostęp fizyczny do maszyny, to uzyska również dostęp + do danych na LUKS. Rozwiązań tego problemu może być kilka, nie mniej + warto się zastanowić nad tym rozwiązaniem. +

+

+ Źródło: How to add a passphrase, key, or keyfile to an existing LUKS device +

+

+ ~xf0r3m +

+
+

+ 2022; COPYLEFT; ALL RIGHTS REVERSED; +

+ + diff --git a/articles/tnt/dodanie_hosta_do_certyfikatu_lets_encrypt.html b/articles/tnt/dodanie_hosta_do_certyfikatu_lets_encrypt.html new file mode 100755 index 0000000..aef09d5 --- /dev/null +++ b/articles/tnt/dodanie_hosta_do_certyfikatu_lets_encrypt.html @@ -0,0 +1,54 @@ + + + + + + + + +
+  _______            ___   ______     _      __
+ /_  __(_)___  _____( _ ) /_  __/____(_)____/ /_______
+  / / / / __ \/ ___/ __ \/|/ / / ___/ / ___/ //_/ ___/
+ / / / / /_/ (__  ) /_/  </ / / /  / / /__/ ,< (__  )
+/_/ /_/ .___/____/\____/\/_/ /_/  /_/\___/_/|_/____/
+     /_/
+
+ +

+ ☠ morketsmerke ☠ +

+
+

Dodanie hosta do certyfikatu Let's Encrypt

+

+ Generalnie poza możliwością odwołania certyfikatu (revoke) + czy/lub poźniejszego jego usunięcia (delete) nie mamy zbyt + wiele możliwości. Jeśli nie jesteśmy pewnii, co narobi nam najmniejszy + bałan, to otóż na tym samym serwerze, jeśli wszystkie kryteria są + spełnione. Można uzyskać odrębny certyfikat dla tego konkretnego hosta/ + hostingu. +

+
+$ sudo certbot certonly -d sc.morketsmerke.org
+
+

+ Poźniej wystarczy skopiować tylko plik hostingu SSL z innego hosta + korzystającego z Let's Encrypt i zmienić nazwę hosta w + ścieżce. Ta nazwa tego hosta jest zarazem nazwą certyfikatu. Jeśli + będziemy chcieli wrócić do jednego certyfikatu, to trzeba poczekać + do jego wygaśnięciam, wówczas ten wygasły usunąć i utworzyć nowy + ze wszytkimi domenami. Jednak lepiej jest nic nie robić. Certyfikaty + powinny same się odnawiać. +

+

+ Źródło: Ja. +

+

+ ~xf0r3m +

+
+

+ 2022; COPYLEFT; ALL RIGHTS REVERSED; +

+ + diff --git a/articles/tnt/eksport_udzialu_nfs_dla_calej_sieci.html b/articles/tnt/eksport_udzialu_nfs_dla_calej_sieci.html new file mode 100755 index 0000000..40cf8c2 --- /dev/null +++ b/articles/tnt/eksport_udzialu_nfs_dla_calej_sieci.html @@ -0,0 +1,66 @@ + + + + + + + + +
+  _______            ___   ______     _      __
+ /_  __(_)___  _____( _ ) /_  __/____(_)____/ /_______
+  / / / / __ \/ ___/ __ \/|/ / / ___/ / ___/ //_/ ___/
+ / / / / /_/ (__  ) /_/  </ / / /  / / /__/ ,< (__  )
+/_/ /_/ .___/____/\____/\/_/ /_/  /_/\___/_/|_/____/
+     /_/
+
+ +

+ ☠ morketsmerke ☠ +

+
+

Eksport udziału NFS dla całej sieci

+

+ Konfigurując jakiś czas temu NFS, na urządzeniu NAS ZyXEL-a, aby + udostępnić dla wszystkich hostów w sieci ten udział adres w + powiedzmy ustawieniach, podawało się w ten sposób: +

+
+192.168.0.*
+
+

+ Chcąc zrobić to samo na Debianie, zapisałem podobną konfigurację i + pomimo takiego zapisu wydanie polecenia: + exportfs -av nie zwrócił żadnego + błędu, podobnie po restartcie usług związanych z NFS - również 0 + błędów. Ale jeśli przyszło do montowania, to uzykałem jeden wielki + permission denied!. No to już wiedziałem, że prawdopodobnie + podany adres, wskazujący na całą sięć nie za bardzo działa. I trzeba + było poszukać czegoś innego. Wrzuciłem do wyszukiwarki odpowiednią + frazę, i cóż w 4 rodziale artykułu w źródłach, pierwszy przykład, w + ostaniej linii, znalazłem swoje rozwiązanie. + Otóż chcąc udostępnić udział NFS dla całej sieci, należy + podać jej adres w notacji CIDR (najprościej, są inne możliwości). +

+
+192.168.0.0/24(opcje NFS)
+
+

+ I to tyle w temacie. Teraz próba podmontownia tego udziału na moim + komputerze, z adresm IP przydzielnym z DHCP, powiodła się bez żadnych + problemów. Ja osobiście już montowałem wcześniej udziały NFS, ale jeśli + ktoś nie montował, to może być wymagane (raczej będzie) zainstalowanie + obsługi montowania NFS - pakiet nfs-common dla Debianów. +

+

+ Źródło: 10 practical examples to export NFS shares in Linux +

+

+ ~xf0r3m +

+
+

+ 2022; COPYLEFT; ALL RIGHTS REVERSED; +

+ + -- 2.39.5