A Nagios egy hálózati monitorozó szoftver, amellyel rengeteg feladat megoldható. Az alábbi bejegyzésben végigvesszük a telepítését, beállítását és a mysql plugin hozzáadását.

Nagios telepítése és beállítása

1. Megfelelő csomagok telepítése

yum install httpd
yum install gcc
yum install glibc*
yum install gd*

2. Nagios felhasználó és csoport létrejozása

useradd nagios
passwd nagios
groupadd nagcmd
usermod -G nagcmd nagios
usermod -G nagcmd apache

3. Nagios letöltése

Könyvtár létrehozása:

mkdir NagiosSetup
cd NagiosSetup

Majd töltsük le a Nagios legfrissebb verzióját:

wget -X Get "http://sourceforge.net/projects/nagios/files/nagios-3.x/nagios-3.3.1/nagios-3.3.1.tar.gz/download"

Töltsük le még a Nagios Plugin-t is hozzá:

wget -X Get "http://sourceforge.net/projects/nagiosplug/files/nagiosplug/1.4.15/nagios-plugins-1.4.15.tar.gz/download"

4. Nagios telepítése

tar -xzvf nagios-3.3.1.tar.gz
cd nagios-3.3.1
./configure --with-command-group=nagcmd
make all
make install
make install-config
make install-commandmode
make install-init
chkconfig --add nagios

Állítsuk be a Nagios webes elérését:

make install-webconf
htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

5. Nagios Plugin telepítése

tar xvf nagios-plugins-1.4.11.tar.gz
cd nagios-plugins-1.4.11
./configure --with-nagios-user=nagios --with-nagios-group=nagios
make
make install

6. Nagios elindítása

service nagios start

Mysql monitorozása

7. mysql plugin letöltése és telepítése

wget http://labs.consol.de/wp-content/uploads/2011/04/check_mysql_health-2.1.5.1.tar.gz
 
tar -zxvf check_mysql_health-2.1.5.1.tar.gz
cd check_mysql_health-2.1.3
./configure --prefix=/usr/local/nagios --with-nagios-user=nagios --with-nagios-group=nagios 
--with-perl=/usr/bin/perl
make
make install

8. Adatbázis felhasználó létrehozása

GRANT ALL privileges ON *.* TO 'nagios'@'localhost' IDENTIFIED BY 'nagios';

9. Email értesítés beállítása Nagiosban

vi /usr/local/nagios/etc/objects/contacts.cfg

define contact{
contact_name nagiosadmin ; Short name of user
use generic-contact ; Inherit default values from generic-contact template (defined above)
alias Krisztián ; Full name of user
email nemet.krisztian@pingvinsimogato.hu ; <<***** CHANGE THIS TO YOUR EMAIL ADDRESS ******
}

Az alias mellet kell a nevet az email mellett pedig az email címet megadni!

10. Nagios beállítása Mysql szerver figyelésére

AZ utolsó lépésben eljutottunk a címben vállalt feladathoz: Mysql szerverünk monitorozásához

vi /usr/local/nagios/etc/nagios.cfg

Adjuk hozzá a következő sort:

cfg_file=/usr/local/nagios/etc/objects/mysqlmonitoring.cfg

Ezzel elértük, hogy legyen egy külső konfigurációs fájlunk is, szerkesszük ezt a fájlt tovább:

define service{
use local-service
host_name localhost
service_description MySQL connection-time
check_command check_mysql_health!nagios!nagios!connection-time!127.0.0.1!3306!
}

define service{
use local-service
host_name localhost
service_description MySQL slave-io-running
check_command check_mysql_health!nagios!nagios!slave-io-running!127.0.0.1!3306!
}

define service{
use local-service
host_name localhost
service_description MySQL slave-sql-running
check_command check_mysql_health!nagios!nagios!slave-sql-running!127.0.0.1!3306!
}

Három szolgáltatást figyelünk ezzel: kapcsolódási időket, lemezre írás-olvasás-futást, és az sql lekérdezéseket.
További szolgáltatásokról és lehetőségekről a bővítmény oldalán lehet tájékozódni:

http://labs.consol.de/nagios/check_mysql_health/

Reméljük ezekután már nyugodtabban alszunk, hiszen a Nagios vigyáz a mysql szerverünkre.

Szeretnénk törölni egy felhasználó teljes profilját és a hozzá tartozó fájlokat a szerver különböző részein.

A userdel parancs

A userdel parancsot fogjuk használni root-ként:

userdel krisztian

ha a home könyvtárát is szeretnénk törölni, akkor az -r kapcsoló is szükséges

userdel -r krisztian

A fenti paranccsal sikerült a krisztian felhasználó home könyvtárát és tartalmát törölni és az üzenet sorát.
Ha a szerveren máshol is létrehozhatott fájlt, akkor azt manuálisan kell megkeresni és törölni.

Az /etc/login.defs és az /etc/deluser.conf

Az /etc/login.defs fájl RHEL disztróhoz kapcsolódó konfig fájl. A login csomag beállításait tartalmazza. Ebben található egy USERDEL_CMD változó, ha definiálva van, akkor ez a parancs fut le, amikor eltávolítunk egy felhasználót. Ez el tudja távolítani az at/cron/print munkákat, amelyek
az eltávolított felhasználó tulajdonában vannak.

Az /etc/deluser.conf fájl a Debian disztróhoz kapcsolódó konfig fájl. Itt már kimondottan a felhasználó törléset konfigurálhatjuk. Pár változó REMOVE_HOME, REMOVE_ALL_FILES, ha értékük 1, akkor a home könyvtár és a felhasználó tulajdonában lévő összes fájl törlődik.

Egy teljes példa

Feltételezzük, hogy egy munkatársunk (kollega) elment a cégtől. Először is zároljuk a felhasználót:

passwd -l kollega

Elmentjük a biztonság kedvéért a home könyvtárát

tar -zcvf /backup/elmentek/kollega.$uid.$datum.tar.gz /home/kollega/

Itt a $uid, $datum megfelelő értékkel helyettesítendő. Keressük meg ezután, hogy van-e futó folyamata a felhasználónak:

pgrep -u kollega
ps -fp $(pgrep -u kollega)
killall -KILL -u kollega

Most már törölhetjük a felhasználót:

userdel -r kollega

Töröljük at, cron és a print bejegyzéseit:

find /var/spool/at/ -name "[^.]*" -type f -user kollega -delete
crontab -r -u kollega
lprm kollega

Megkeressük az összes fájlt, ami a tulajdonában van:

find / -user kollega -print

Sőt akár egy másik kolléga tulajdonába adjuk őket:

find / -user kollega -exec chown ujkollega:ujcsoportneve {} \;

Így már biztos sikerült a kollega felhasználó összes könyvtárát és fájljait megfelelően kezelni.

Állítsuk be először a port számát a megfelelő konfig fájlban: /etc/ssh/sshd_config

Port 1255

Ekkor a következőhöz hasonló hibát fog okozni:

sshd[22745]: error: Bind to port 1255 on 192.168.1.1 failed: Permission denied

A SELinux-ban is be kell állítani ezt a változást. A SELinux-ban az alapértelmezett SSH port a 22-es. Először ezt töröljük, majd beállítjuk a 1255-ös portot.

semanage port -l | grep ssh

Kimenete:

ssh_port_t                     tcp      22

A 22-es portot eltávolítjuk

semanage port -d -t ssh_port_t -p tcp 22

majd beállítjuk a 1255-ös portot

semanage port -a -t ssh_port_t -p tcp 1255

Ellenőrizzük le

semanage port -l | grep ssh

Így kell kinéznie

ssh_port_t                     tcp      1255

Töltsük be újra konfig fájlt az OpenSSH szervernek

service sshd reload

majd ellenőrizzük, hogy ténylegesen nyitva van a 1255-ös port.

netstat -tulpn | grep 1255

A bejegyzésben áttekintjük az iptables leggyakoribb szabályait, amelyek bármikor beilleszthetők a saját tűzfalunk szabályrendszerébe.

1. Létező iptables szabályok törlése

Mielőtt létrehoznánk egy teljesen új szabályrendszert törölnünk kell a már létező szabályokat és az alapszabályokat.

iptables -F

vagy

iptables --flush

2. A láncok alapértelmezett házirendjének beállítása

A láncok házirendje határozza meg a láncok végét elérő, más célra nem küldött csomagok sorsát. Beépített láncok házirendjeként csak ACCEPT és DROP beépített célt használhatjuk. A láncok alapértelmezett házirendje az ACCEPT. Megváltoztatjuk DROP-ra minden INPUT, FORWARD, OUTPUT cél esetében.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

3. Speciális ip című interfész

Gyakran hivatkozunk a szabályokon belül ip címekre, amelyeket az elején érdemes meghatározni és változóként hivatkozni rá a későbbiekben.

BELSO_IP="x.x.x.x"
iptables -A INPUT -s "$BELSO_IP" -j DROP

Ezen megoldás segítségével beszédesebb log fájlt és könnyebb kereshetőséget biztosít. Lehetőséget biztosít, hogy egyes interfészekre vonatkozó szabályokat hozzunk létre. Pl. eth0 interfésztől jövő a TCP forgalmat eldobjuk.

iptables -A INPUT -i eth0 -s "$BELSO_IP" -j DROP
iptables -A INPUT -i eth0 -p tcp -s "$BELSO_IP" -j DROP

4. Az összes bejövő SSH forgalmat engedélyezzük

A következő szabály engedélyezi az összes bejövő SSH forgalmat, amely az eth0 hálózati kártya felől jön.

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. Az összes bejövő SSH forgalmat engedélyezzük egy hálózat felől

A következő szabály engedélyezi az összes bejövő SSH forgalmat, de csak a 192.168.1.x hálózatból.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

A “192.168.1.0/24″ formátum lefedi a teljes 192.168.1.x-es alhálózatot, ez megadható így is: “192.168.1.0/255.255.255.0″.

6. Az összes bejövő HTTP és HTTPS forgalom engedélyezése

A következő szabály engedélyezi a webforgalmat, a HTTP portja a 80-as tcp.

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

A HTTPS protokoll portja pedig a 443-as tcp port.

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

7. Hasonló szabályok kombinálása multiport lehetőséggel

Az előző példából látható, hogy csak a port számában különböznek egymástól a szabályok. Ilyen esetben lehetőség van összevonni őket a multiport kiterjesztéssel.
A következő szabály engedélyezi az összes bejövő SSH, HTTP és HTTPS forgalmat.

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

8. Kimenő SSH forgalom engedélyezése

A következő szabály a kimenő SSH forgalmat engedélyezi. Mikor van erre szükség? pl. amikor egy szerveren keresztül érünk el egy másik szervert.

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

9. Az összes kimenő SSH forgalmat engedélyezzük egy hálózatba

A következő szabály engedélyezi a kimenő SSH forgalmat a 192.168.1.x hálózatból.

iptables -A OUTPUT -o eth0 -p tcp -d 192.168.1.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. Kimenő HTTPS forgalom engedélyezése

A következő szabály engedélyezi a biztonságos webforgalmat. Ez a felhasználóknál lehetővé teszi a biztonságos internetezést, a szerverek számára pedig a frissítések letöltését, wget használatát.

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Itt nincs multiport kiterjesztés, ezért ha a HTTP-t is szeretnénk engedélyezni, akkor a 80-as tcp portot is engedélyezni kell.

11. Terheléselosztás bejövő webforgalomnál

Az iptables lehetővő tudja tenni megfelelő szabály alkotásával a bejövő webforgalom terheléselosztását (load balance).
Ehhez az nth kiterjesztést kell használni. A következő szabály a HTTPS forgalmat 3 különböző IP címmel rendelkező szerver között osztja el a terhelést. Minden harmadik tcp csomagot a megfelelő szerverhez irányítja. (counter 0).

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

12. Pingelhetőség engedélyezése

A következő szabály engedélyezi, hogy külső hálózatból pingelhető legyen a szerverünk.

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

13. Pingelhetőség engedélyezése hálózatonkból

A következő szabály engedélyezi, hogy hálózatunkból külső szervereket tudjunk pingelni.

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. Helyi forgalom engedélyezése

A loopback forgalom engedélyezése szükséges a hálózat megfelelő működéséhez (pl. 127.0.0.1).

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

15. Hálózatok közöti forgalom engedélyezése

Ehhez tűzfalunknak két hálózati kártyával kell rendelkeznie. Egyik lehetséges helyzet, hogy egy külső hálózat (internet) és a belső hálózat 192.168.1.x (saját céges hálózat) összekapcsolása. A hálózati interfészek: eth0 belső, eth1 külső.

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. Kimenő DNS kérések engedélyezése

A következő szabály engedélyezi a kimenő DNS kéréseket.

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. NIS kapcsolat engedélyezése

A NIS futásakor az ypbind szervíznek is futnia kell, mert a NIS több portot kezel. A következő paranccsal szerezhetünk információt.

rpcinfo -p | grep ypbind

Általában három portot használ 111, 853, 850 tcp és udp portot.

iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
iptables -A INPUT -p udp --dport 850 -j ACCEPT

18. Rsync engedélyezése egy adott hálózatból

A következő szabály engedélyezi az rsync-et egy másik hálózatból.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. MySQL kapcsolat engedélyezése egy adott hálózatból

Általában a webszerver és az adatbázis szerver különböző gépen fut. Ekkor lehetséges a MySQL kapcsolatok korlátozása egy adott alhálózatra.

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. Levelezés forgalmának engedélyezése

A következő szabály engedélyezi az SMTP (25 tcp port) forgalmat. Levélküldési protokoll, amelyet Sendmail és Postfix segítségével valósítjuk meg.

iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. IMAP és IMAPS forgalom engedélyezése

A következő szabály az IMAP (143 tcp port) forgalmát engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

Az IMAPS (993 tcp port) a biztonságosabb protokoll, engedélyezése a következő:

iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. POP3 és a POP3S forgalom engedélyezése

A következő szabály a POP3 (110 tcp port) forgalmat engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

A következő szabály a POP3S (995 tcp port)forgalmat engedélyezi.

iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. Port átirányítás (port forwarding)

A portátirányítás a DNAT egyik típusa, ahol a számítógép (pl. tűzfal) helyettes kiszolgálóként (proxy) viselkedik más számítógépek számára. A tűzfal elfogadja a külső hálózatokból érkező, neki címzett csomagokat, majd újraírja azokat, hogy a belső hálózaton egy másik géphez címzettként jelenjenek meg, végül a továbbítja a csomagokat az új címre.
A következő szabály a 22-es portot a 422-es portra irányítja.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.3 --dport 422 -j DNAT --to 192.168.1.3:22

Ilyenkor nem elég a 22-es port engedélyezése a tűzfalon, a 422-t is fel kell venni a szabályok közé.

24. Címálcázás (masquerading)

A címálcázás az SNAT egyik különleges típusa, amelyben a számítógép újraírja a csomagokat, hogy úgy tűnjön, mintha azok tőle származnának. A címálcázást gyakran alkalmazzák arra, hogy egy dinamikus IP című internetkapcsolatot megosszanak egy hálózat több számítógépe között.
Az SNAT-t az eth1 csatolóra úgy állíthatjuk be, ha a nat tábla POSTROUTING láncához egy egyszerű szabályt adunk:

iptables -t nat -A POSTROUTING -o eth1 -j SNAT

A címálcázáshoz a megfelelő parancs a következő:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

25. Eldobott csomagok logolása

Minden eldobott csomagot logolunk, majd eldobjuk. Ehhez létrehozzuk a LOGGING láncot.

iptables -N LOGGING

Majd minden bejövő forgalmat ideterelünk.

iptables -A INPUT -j LOGGING

A logfájl írásához egyedi azonosítót (log-prefix) biztosítunk a jobb kereshetőség érdekében.

iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTABLES ELDOBOTT CSOMIK: " --log-level 7

Majd eldobjuk a csomagokat.

iptables -A LOGGING -j DROP

+1. DoS támadás kivédése

Ha webszervert üzemeltetünk érdemes a DoS (Denial of Service) támadásra felkészülni.

# Syn-flood elleni védelem
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Portscan elleni védelem
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ping-flood elleni védelem
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

A Netfilter a linux rendszermagjának hálózati csomagok feldolgozására szolgáló alrendszere. Beállítását az iptables paranccsal végezhetjük.

Az iptables a hálózati csomagok feldolgozási szabályait szerepük alapján szervezett táblák formájában kezeli. A szerepük a csomagszűrés, hálózati címfordítás, vagy más csomagmódosítás lehet, amelyek  mindegyikére feldolgozási szabályok lánca (sorozata) vonatkozik. A szabályok illesztésekből és célokból állnak: az illesztés (mach) határozza meg, hogy a szabály mely csomagokra vonatkozik, a cél (target) pedig azt, hogy mit kell csinálni az illeszkedő csomagokkal.

Az iptables  az OSI Layer 3. szintjén azaz a hálózati rétegben működik.

Nézzünk egy egyszerű iptables parancsot:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:8080

A parancs egyes elemeit az alábbi táblázat oldja fel.

Kapcsolódási pontok

Az iptables öt kapcsolódási pontot határoz meg a rendszermag csomagfeldolgozásának folyamatában. Ezek a PREROUTING, INPUT, FORWARD, POSTROUTING és OUTPUT. Hozzájuk beépített láncok kapcsolódnak, így a kapcsolódási pontok mindegyikéhez szabályok sorozata adható. A szabályok lehetővé teszik, hogy befolyásoljuk vagy megfigyeljük a csomagok áramlását.

Gyakran hivatkozunk táblákra és láncokra, ami azt a képzetet keltheti, hogy a láncok a táblákhoz tartoznak, pedig csak részlegesen függnek össze egymással, és egyikük sem “tartozik” igazán a másikhoz. A láncok a csomagok áramlásában a kapcsolódási pontokat jelölik, a táblák pedig a feldolgozási folyamat típusát jelzik. Az alábbi ábrákon megvizsgáljuk ezek megengedett kombinációit, abban a sorrendben, ahogyan megjelennek a rendszerben a csomagok áramlásakor.

NAT tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren a hálózati címfordításkor (NAT). Ezek a nat tábla láncai.

A NAT tábla láncai

FILTER tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren csomagszűréskor. Ezek a filter tábla láncai.

A filter tábla láncai

MANGLE tábla láncai

Ezen az ábrán látható, hogyan haladnak át a csomagok a rendszeren csomagmódosításkor. Ezek a mangle tábla láncai.

A mangle tábla láncai

Az ábrákon jól kivehető, hogy 5 kapcsolódási pont van a csomagok áramlásában:
FORWARD: amelyek az átjáró gépen áramlanak keresztül, egy csatolón bejönnek és egy másikon rögtön kimennek.
INPUT: éppen mielőtt megérkeznének egy helyi folyamathoz.
OUTPUT: rögtön azután, hogy egy helyi folyamat létrehozta őket.
POSTROUTING: éppen mielőtt elhagynának egy hálózati csatolót
PREROUTING: amint megérkeznek egy hálózati csatolótól

A láncot az alapján választjuk ki, hogy a csomag életciklusának melyik részén kívánjuk szabályainkat alkalmazni. Például ha a kimenő csomagokat szeretnénk szűrni, legjobb, ha ezt az OUTPUT láncban tesszük, mert a POSTROUTING nem kapcsolódik a filter táblához.

Táblák

Az ábrákon megfigyelhető, hogy az iptables három beépített táblával rendelkezik. Ezek a filter, a mangle és a nat.

nat tábla: Kapcsolatkövetésnél használjuk, hogy átirányítsunk kapcsolatokat hálózati címfordításra. Többnyire a forrás- és célcímen alapul. Beépített láncai az OUTPUT, a POSTROUTING, és a PREROUTING.
filter tábla: A számítógépbe bemenő, azon áthaladó és abból kijövő engedélyezett forgalomtípus házirendjét állítja be. Hacsak nem hivatkozunk közvetlenül egy másik táblára, az iptables alapértelmezetten ennek a táblának a láncait használja. Beépített láncai a FORWARD, az INPUT, és az OUTPUT.
mangle tábla: Speciális csomagmódosításokhoz használjuk, például az IP-kapcsolók levágásához. Beépített láncai: FORWARD, INPUT, OUTPUT, POSTROUTING, PREROUTING.

Láncok

Az iptables szabályai különféle egységekbe, ún. láncokba (chain) szerveződnek. A kernel e szabályok alapján tudja, hogy milyen csomagkezelési műveletet kell a beérkező és a kimenő adatcsomagokon végrehajtania. A láncok egyszerűen a csomagkezelő szabályokból felépülő katalógusok, ellenőrzőlisták. Ezek a szabályok egész pontosan  azt határozzák meg, hogy a bizonyos típusú fejléceket tartalmazó adatcsomagokon milyen műveleteket kell végrehajtani. A szabályok if-then-else rendszerű, feltételes vezérlő szerkezetek alapján működnek, ami azt jelenti, hogy ha egy adatcsomag nem felel meg az első szabálynak, akkor a rendszer a következő szabállyal folytatja az ellenőrzést, és így tovább. Amennyiben a csomag egyik szabály feltételének sem felel meg, a kernel lánckezelő irányelvhez (chain policy) fordul tanácsért. Ezen a ponton a csomag rendszerint visszautasításra fog kerülni. A szabályok valamelyikének feltételére illeszkedő adatcsomagokat a rendszer a nekik megfelelő célnak (target) adja át, amely végül is meghatározza mi legyen a kérdéses csomag sorsa.

Célok

Az iptables hagyomágyos céljai:

ACCEPT: Átengedi a csomagot a tűzfalon
DROP: Megtagadja a csomag áthaladását a tűzfalon
REJECT: Megtagadja az áthaladást és értesíti a csomag feladóját
QUEUE: A csomagokat elküldi a felhasználói felület számára
RETURN: A lánc végére ugrik és az alapértelmezett célnak adja át a vezérlést, amely elvégzi a feldolgozást.

A célok önmagukban  szabályok újabb láncolatait alkothatják, amelyek akár a felhasználók által definiált szabályok is lehetnek. Az adatcsomagok útjuk során több láncon is áthaladhatnak, míg végül elérik céljukat. A felhasználók által definiált láncok esetében az alapértelmezett cél mindig a következő szabályt jelenti azokban a láncokban, amelyekből a felhasználói láncokat meghívták.

Mik azok a futási szintek (run level)?

• 0 szint: leállítás
• 1 szint: egyfelhasználós mód
• 2 szint: több felhasználó hálózat nélkül
• 3 szint: több felhasználó hálózattal
• 4 szint: -
• 5 szint: több felhasználó hálózattal és grafikus bejelentkezéssel
• 6 szint: újraindítás

Futási szinthez tartozó szolgáltatások

A runlevel programmal lehet megtudni, hogy melyik szinten vagyunk. Most a 3-as szinten fut a szerverünk. Listázzuk ki milyen szolgáltatások futnak ezen a szinten:

#chkconfig --list | grep $(runlevel | awk '{ print $2}'):on

Egy lehetséges kimenet:

acpid 0:off 1:off 2:off 3:on 4:on 5:on 6:off
anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off
atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
cpuspeed 0:off 1:on 2:on 3:on 4:on 5:on 6:off
crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
dkms_autoinstaller 0:off 1:off 2:on 3:on 4:on 5:on 6:off
haldaemon 0:off 1:off 2:off 3:on 4:on 5:on 6:off
hidd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
irqbalance 0:off 1:off 2:on 3:on 4:on 5:on 6:off
kudzu 0:off 1:off 2:off 3:on 4:on 5:on 6:off
lighttpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
lm_sensors 0:off 1:off 2:on 3:on 4:on 5:on 6:off
lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off
mcstrans 0:off 1:off 2:on 3:on 4:on 5:on 6:off
mdmonitor 0:off 1:off 2:on 3:on 4:on 5:on 6:off
messagebus 0:off 1:off 2:off 3:on 4:on 5:on 6:off
microcode_ctl 0:off 1:off 2:on 3:on 4:on 5:on 6:off
mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off
named 0:off 1:off 2:on 3:on 4:on 5:on 6:off
netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
pcscd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
psacct 0:off 1:off 2:on 3:on 4:on 5:on 6:off
readahead_early 0:off 1:off 2:on 3:on 4:on 5:on 6:off
restorecond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
rhnsd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
rpcgssd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
rpcidmapd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off
setroubleshoot 0:off 1:off 2:off 3:on 4:on 5:on 6:off
smartd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
snmpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
stor_agent 0:off 1:off 2:off 3:on 4:off 5:on 6:off
syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sysstat 0:off 1:off 2:on 3:on 4:off 5:on 6:off
vmware 0:off 1:off 2:on 3:on 4:off 5:on 6:off
xfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off
xinetd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
yum-updatesd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Az első oszlop a szolgáltatás neve, a számok a szolgáltatási szintek, az on/off jelenti, hogy ki vagy be van kapcsolva a szolgáltatás.

Szolgáltatások(services) engedélyezése/letiltása

A szolgáltatást először le kell állítani majd úgy tudjuk letiltani vagy engedélyezni. Érdemes előtte a státuszáról meggyőződni.

# service wmvare status
# service vmware stop
# chkconfig vmware off

Nem biztonságos szolgáltatások letiltása

A szerverek biztonsága érdekében a következő szolgáltatásokat érdemes törölni:
1. Inetd és Xinetd (inetd xinetd) – Helyettük használjuk a SysV.
2. Telnet (telnet-server) – Használjunk SSH-t
3. Rlogin, Rsh, and Rcp ( rsh-server ) – Használjunk SSH-t és scp-t.
4. NIS (ypserv) : Használjunk OpenLDAP vagy Fedora directory server-t.
5. TFTP (tftp-server) : Használjunk SFTP-t vagy SSH-t.

Az összes fent említett szolgáltatás törlése:

# yum erase inetd xinetd ypserv tftp-server telnet-server rsh-server

Elfelejtettem a root jelszavam, mit lehet ilyenkor tenni? – olvastam több fórumon is ezt a felvetést.

Ha saját szervered üzemelteted és az operációs rendszeren is te vagy a rendszergazda, akkor nem olyan vészes a dolog, pár lépésben tudod resetelni a root jelszavát.

1. lépés: MySQL adatbázis leállítása

Először is le kell állítani a MySQL szervert, ezt RHEL/Centos/Fedora Linux-on a következő képpen lehet:

# /etc/init.d/mysqld stop

Debian/Ubuntu Linux alatt pedig:

# /etc/init.d/mysql stop

Alternatív megoldásként leállítható a MySQL szerver úgy is, ha megkeressük a mysql proceszt és azt killeljük ki.

# kill $(cat /var/run/mysqld/mysqld.pid)

vagy

#pgrep -u mysql mysqld
#kill PID

vagy

kill mysql

2. lépés: Új jelszó szkript létrehozása

Hozzunk létre egy szkriptet, amelyben lényegében egy sql utasítás fog szerepelni, legyen a neve mysql.reset.sql

# vi /root/mysql.reset.sql

A fájl tartalma pedig legyen:

UPDATE mysql.user Password=PASSWORD ('ÚJ JELSZÓ') WHERE User='root'; 
FLUSH PRIVILEGES;

Mentsük és zárjuk be a fájlt.

3. lépés: Új jelszó beállítása

Futtassuk az előző szkriptet a következő módon:

# mysqld_safe --init-file=/root/mysql.reset.sql &

Az eredmény ehhez hasonló lesz:

nohup: ignoring input and redirecting stderr to stdout
Starting mysqld daemon with databases from /var/lib/mysql
mysqld_safe[20970]: started

Leállítjuk, majd elindítjuk a MySQL szervert.
RHEL/Centos/Fedora Linux-on:

# /etc/init.d/mysqld stop

Debian/Ubuntu Linux alatt pedig:

# /etc/init.d/mysql stop

RHEL/Centos/Fedora Linux-on:

# /etc/init.d/mysqld start

Debian/Ubuntu Linux alatt pedig:

# /etc/init.d/mysql start

Sokszor előfordul, hogy szeretnénk megváltoztatni a felhasználói nevünket (bejelentkezési nevünket) vagy nem megfelelő a felhasználói azonosítónk (userid). Mivel hasonló a megváltoztatásának a módja ezért tárgyalom egyben a két problémát. A megoldás a usermod parancs -l kapcsolója:

usermod -l <újnév> <réginév>
usermod -l <új userid> <régi userid>

Pl.:

$ usermod -l npeter nkrisztian

Vagyis így nkrisztian felhasználóból npeter lettem

Az scp program lehetővé teszi, hogy két gép között fájlokat másoljunk. A rejtett fájlt a könyvtárban a név előtti . (pont) jelzi.

scp -rp /ahol/van/afajl/.fajlnev user@host:/ahova/szeretnenk/masolni/

Ha nem rejtett fájl akkor a kapcsolók elhagyhatóak. Ha az ssh portja nem az alapértelmezett 22-es portra van irányítva, hanem egyedi portra akkor szükséges a -P portszam kapcsoló.

Erre a problémára nincs külön parancs a linuxban. Azonban a find paranccsal és egy átirányítással már egész jó eredményeket érhetünk el.

Listázzuk ki a nagyméretű fájlokat

Jelenítsük meg a képernyőn az 50M nagyobb fájlokat. Írjuk ki az útvonalukat és a méretüket:

Redhat/Centos/Fedora rendszereken

find {/path/to/directory/} -type f -size +{size-in-kb}k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'

A fenti kód egy általános leírás, ahol meg kell adni a a vizsgálni kivánt könyvtárat (/path/to/directory) és a fájl méretét kilobájtban. Ha a megfelelő könyvtárban állunk akkor így néz ki a parancs:

$ find . -type f -size +50000k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'

Jól meghízott logfájljainkat például így találjuk meg:

$ find /var/log -type f -size +100000k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'

Debian/Ubuntu rendszereken

Minimális az eltérés, az ls -lh kimenetének a $8 és $5 mezőjére van szükségünk, vagyis így néz ki a parancs:

find {/path/to/directory} -type f -size +{file-size-in-kb}k -exec ls -lh {} \; | awk '{ print $8 ": " $5 }'

Ha valaki nagyon látványosan szeretné megoldani ezt a problémát akkor a perlt ajánlom neki:

du -k | sort -n | perl -ne 'if ( /^(\d+)\s+(.*$)/){$l=log($1+.1);$m=int($l/log(1024));

printf  ("%6.1f\t%s\t%25s  %s\n",($1/(2**(10*$m))),(("K","M","G","T","P")[$m]),

"*"x (1.5*$l),$2);}'

]]>
			http://pingvinsimogato.hu/uzemeltetes/nagymeretu-fajlok-keresese-linux-rendszereken/feed/
		0