Linux-kysymyksiä & yleistä keskustelua Linuxista

[Barbarossa]

Asentelin Ubuntu serverin, joka toimii NFS-tiedostopalvelimena ja Unifi controller on myös siellä ajossa.

Vielä pitäisi löytää joku hyvä open source mediaserveri valokuvien ja videoiden katseluun pääasiassa PS4:llä. Pannussa ei ole X.org asennettuna, joten sitä vaativat on pois laskuista. Valokuville olisi toivottavaa olla jokin tähti/pistetytys mahdollisuus, jolla parhaat palat saa erottumaan massasta.

Toinen hakusessa oleva softa on varmistusohjelmisto. Sellainen, joka on kohtuullisen helposti konffattavissa komentoriviltä tai miksipä ei myös web-käyttöliittymän kautta.

Onko ehdotuksia?

Ainakin Universal Media Server toimii headlessina, osaa myös transkoodata lennossa DLNA-laitteelle mikäli ei se tue tiedoston formaattia. Isona miinuspuolena kyse on Java-kötöstyksestä joten jos ymmärrettävästi allergiaa niin tämä ei liene vaihtoehto.

 

[juzu]

Plex on kyllä kova ihan kaikkeen median striimaukseen. Olen tuota käyttänyt monta vuotta ja on helppo hallita yms. Itsellä pyörii tuo tällä hetkellä raspberry pi 4:n päällä.

 

[Asiantuntija]

Ainakin Universal Media Server toimii headlessina, osaa myös transkoodata lennossa DLNA-laitteelle mikäli ei se tue tiedoston formaattia. Isona miinuspuolena kyse on Java-kötöstyksestä joten jos ymmärrettävästi allergiaa niin tämä ei liene vaihtoehto.

Jos toi käyttää uudempaa kuin versiota 8 javasta niin saattaa joutua säätämään Unifin kanssa. Unifi controller tukee tällä hetkellä vain versiota 8 ja muutenkin käyttää joitakin vanhoja paketteja. Itse tappelin MotionEyen ja Unifi controllerin kanssa pienen hetken, että sain ne toimimaan 18.04:n kanssa. MotionEye haluaa käyttää libcurl4 pakettia ja unifi taas libcurl3 pakettia. Toisen kun asentaa niin toinen poistuu. Laitoin unifi controllerin sitten pyörimään dockerin päälle. Plex on kuitenkin toiminut nätisti. Plexille on myös vaihtoehtoja. Emby, tarjoaa nykyään maksullisia tilauksia samaan tapaan kuin Plex ja tuoreempi sekä keskeneräisempi täysin ilmainen Jellyfin.

 

[Barbarossa]

Jos toi käyttää uudempaa kuin versiota 8 javasta niin saattaa joutua säätämään Unifin kanssa. Unifi controller tukee tällä hetkellä vain versiota 8 ja muutenkin käyttää joitakin vanhoja paketteja. Itse tappelin MotionEyen ja Unifi controllerin kanssa pienen hetken, että sain ne toimimaan 18.04:n kanssa. MotionEye haluaa käyttää libcurl4 pakettia ja unifi taas libcurl3 pakettia. Toisen kun asentaa niin toinen poistuu. Laitoin unifi controllerin sitten pyörimään dockerin päälle. Plex on kuitenkin toiminut nätisti. Plexille on myös vaihtoehtoja. Emby, tarjoaa nykyään maksullisia tilauksia samaan tapaan kuin Plex ja tuoreempi sekä keskeneräisempi täysin ilmainen Jellyfin.

Plexistä tai Embystä ei itselläni kokemusta, mutta eivät taida olla kumpikaan open sourcea mitä kysyjä taisi hakea.


Käytin PS3 Media Serveriä joskus ~10 vuotta sitten PS3:n kautta, UMS forkattiin tuosta jossakin välissä alkuperäisen kehityksen sakatessa.

Toimi oivallisesti mutta Cinavian haitatessa BluRay backuppien toistoa väsäsin erillisen mediakoneen XBMC:llä (nyk. Kodi) joten jäänyt mediaservereiden tarve aika lailla nolliin. Kodissakin on jonkin tason mediaserveritoiminnallisuus, käyttänyt lähinnä musiikin toistoon puhelimesta niin en osaa sanoa kuinka monipuolinen se on.


Hieman aihetta sivuten, tuon Unifin on muutenkin tiedetty aiheuttavan syöpää ja epämuodostumia jälkikasvussa. Syy #2 miksi jäi USG hommaamatta...

 

[Grizzle]

Javalle olen tosiaan allerginen, enkä halua alkaa säätämään Unifin kanssa.

Plex ja Emby ei käy, eivät ole OS. Taidan testailla Jellyfiniä kunhan ehdin.

Riittäköhän Celeron N3050 kivessä potku?

 

[juzu]

Javalle olen tosiaan allerginen, enkä halua alkaa säätämään Unifin kanssa.

Plex ja Emby ei käy, eivät ole OS. Taidan testailla Jellyfiniä kunhan ehdin.

Riittäköhän Celeron N3050 kivessä potku?

Transkoodaukseen ei mitenkään, mutta jos riittää pelkkä median jako softalla niin luulisi.

 

[Tarjoushaukka]

Asensin yhteen vanhaan läppäriin Debian 10 testing -version LXQt-työpöydällä. Sitten muokkasin sources-tiedostoa ja asensin Broadcomin suljetun koodin ajurit. Miksi tässä ei näy oikeassa alakulmassa mitään network-manageria, josta voi hallita nettiyhteyksiä?

 

[Tonni Krälli]

Asensin yhteen vanhaan läppäriin Debian 10 testing -version LXQt-työpöydällä. Sitten muokkasin sources-tiedostoa ja asensin Broadcomin suljetun koodin ajurit. Miksi tässä ei näy oikeassa alakulmassa mitään network-manageria, josta voi hallita nettiyhteyksiä?

Lubuntussa (LXQt) tuo nm-tray on oletuksena. Saatko sen asennettua? (pitäisi löytyä suoraan reposta)

 

[mikajh]

Encrypted root auto unlock TPMn avulla saattaisi hyvinkin toimia, jos LUKS header on mallia v1.

LUKS1 <-> LUKS2 downgrade/upgrade on vakio-ominaisuus: cryptsetup convert <device> - convert LUKS from/to LUKS2 format

mutta jotakin rajoituksia on eli ei välttämättä toimi. Onlinena tuo ei toimi, ja sitä ennen on syytä backupata nykyinen LUKS header ja mielellään myös levyn data.
Jonkun päivän kuluttua kokeilen, kun olen koneen luona.

 

[qettyz]

Olisiko vinkkiä miten saada pysymään screen auki kun ssh:n sulkee?
Eipä ole reilun parin kymmenen linux vuoden jälkeen moista ongelmaa tullut ennen vastaan.

Eli, päivitin tuossa rpi3 -> rpi4 ja rasbian buster lite.
Ulos loggaaminen tappaa aina screenit pois.

Systemmd conffia kävin jo käpistelemässä ja laittamassa no-asentoon prosessien tapon ulosloggauksen aikana.

Nyt olis vinkit tervetulleita niin saisi lasten mineserverin pysymään pystyssä.

 

[Barbarossa]

Olisiko vinkkiä miten saada pysymään screen auki kun ssh:n sulkee?
Eipä ole reilun parin kymmenen linux vuoden jälkeen moista ongelmaa tullut ennen vastaan.

Eli, päivitin tuossa rpi3 -> rpi4 ja rasbian buster lite.
Ulos loggaaminen tappaa aina screenit pois.

Systemmd conffia kävin jo käpistelemässä ja laittamassa no-asentoon prosessien tapon ulosloggauksen aikana.

Nyt olis vinkit tervetulleita niin saisi lasten mineserverin pysymään pystyssä.

Ei minullakaan tuollaista tullut vastaan vielä vaikka systemd:täkin käytellyt jo useamman vuoden eri distroissa.
Eli /etc/systemd/logind.conf:iin laitettu KillUserProcesses=no ja ei vaikutusta?
Vähän kömpelöä, mutta toimiiko:

$ systemd-run --scope --user screen

 

[qettyz]

Ei minullakaan tuollaista tullut vastaan vielä vaikka systemd:täkin käytellyt jo useamman vuoden eri distroissa.
Eli /etc/systemd/logind.conf:iin laitettu KillUserProcesses=no ja ei vaikutusta?
Vähän kömpelöä, mutta toimiiko:

$ systemd-run --scope --user screen

Tosiaan eilen jo laitoin "KillUserProcesses=no" tuonne logind.confiin, boottailin Pi:tä ym ja ei pysynyt screenit logoutin jälkeen elossa.
Sitten tämän sivun apuja koitin: Why is Screen closing all detached screens after I close my SSH Client (Putty)
ja ei vieläkään toiminut.

Mutta tiedäppä sitten mitä lopulta onnistuin niin tekemään, että nyt sain tänään screenin jäämään ajoon logoutin jälkeen.

 

[Tarjoushaukka]

Lubuntussa (LXQt) tuo nm-tray on oletuksena. Saatko sen asennettua? (pitäisi löytyä suoraan reposta)

Löytyi paketinhallinnasta ja sain asennettua. Olen laittanut täpän kohtaan "enable wifi", mutta aina bootin jälkeen tämä pitää tehdä uudestaan.

 

[Tonni Krälli]

Löytyi paketinhallinnasta ja sain asennettua. Olen laittanut täpän kohtaan "enable wifi", mutta aina bootin jälkeen tämä pitää tehdä uudestaan.

Varmaankin täppä myös kohdassa 'Enable network'.
Tässä Lubuntussa näyttäis olevan asennettuna 'network-manager', 'network-manager-gnome' ja 'nerwork-manager-pptp' oletuksena. Ehkä näiden asentaminen voisi korjata automaattisen yhdistämisen bootin jälkeen?
Tallentuuko sulla kuitenkin wifin salasana (eli, että vain automaattinen yhdistäminen oletusverkkoon ei buutin jälkeen onnistu)?

 

[Tarjoushaukka]

Varmaankin täppä myös kohdassa 'Enable network'.
Tässä Lubuntussa näyttäis olevan asennettuna 'network-manager', 'network-manager-gnome' ja 'nerwork-manager-pptp' oletuksena. Ehkä näiden asentaminen voisi korjata automaattisen yhdistämisen bootin jälkeen?
Tallentuuko sulla kuitenkin wifin salasana (eli, että vain automaattinen yhdistäminen oletusverkkoon ei buutin jälkeen onnistu)?

Joo, täppä oli kohassa "Enable network". Käyttis oli mennyt vähän sekavaksi useiden käyttöliittymien testauksen jäljiltä, joten tein uuden puhtaan asennuksen Debianista MATE-työpöydällä, jonka olen todennut nopeaksi ja selkeäksi. Suljetun Broadcom laiteajurin asennuksen ja uudelleenkäynnistyksen jälkeen langaton netti menee aina automaattisesti päälle kuten pitääkin.

 

[Vauhtimursu]

Moi. Kasasin uuden koneen, mutta pikkunen ongelma. Olisin halunnu asentaa käyttikseksi manjaron, joka oli vanhoillakin edellisillä osilla toimien mukavasti, mutta puhdasta manjaro asennusta ei voi enää tehdä kun tulee semmoinen määrä erroria ruutuun bootin jälkeen kun tikulta asentaa. Windows 10 asentui ja toimi kun testailin uusia osia. Linux Mint asentui hienosti ja toimii näköjään kaikipuolin, mutta mm. tuo toivomani / haluamani manjaro ei nyt suostu asentumaan ei niin millään. Johtuukohan se näistä uusista osista emoista tms , koska kokeilin useampaa usb tikkua, eri ohjelmia ja tuhanteen kertaan (aina sama lopputulos, erroria pukkaa joka kerta ja kovasti). Mikään ei tunnu auttavan tuon error vaiheen ohitse kun yrittää tuota manjaroa väkertää koneelle.

Tilanne tulee kun käynnistää usb tikulta manjaroa, boottaa manjaroon mutta koskaan työpöytä ei aukea vaan kasa failed tekstiä tulee ruutuun ja kestää todella kauan.

Onko jotain mitä voisin kokeilla ? Yritän siis manjaron cinnamon versiota saada käyttikseksi.

 

[Juha Uotila]

Ei muuta kuin googlettamaan niitä virheviestejä. Luultavasti ajuriongelma näyttiksen osalta.

 

[Vauhtimursu]

Näytönohjain on ainut mitä en vaihtanu, joten se tuskin on vikana tuossa kohtaa ?
Nojoo, täytyy yrittää saada selkoa niistä ja tosiaan kokeilla googlailla.

 

[Juha Uotila]

Näytönohjain on ainut mitä en vaihtanu, joten se tuskin on vikana tuossa kohtaa ?
Nojoo, täytyy yrittää saada selkoa niistä ja tosiaan kokeilla googlailla.

Niin no paha sanoa kun ei tiedä virheilmoituksia tai edes niitä osia

 

[Vauhtimursu]

Saakohan ne virheilmoitukset jotenkin kopsattua siinä kun niitä ilmenee vai täytyykö keksiä jokin toinen keino saada ne ylös muistiin ?

 

[verigreippi]

Moi. Kasasin uuden koneen, mutta pikkunen ongelma. Olisin halunnu asentaa käyttikseksi manjaron, joka oli vanhoillakin edellisillä osilla toimien mukavasti, mutta puhdasta manjaro asennusta ei voi enää tehdä kun tulee semmoinen määrä erroria ruutuun bootin jälkeen kun tikulta asentaa. Windows 10 asentui ja toimi kun testailin uusia osia. Linux Mint asentui hienosti ja toimii näköjään kaikipuolin, mutta mm. tuo toivomani / haluamani manjaro ei nyt suostu asentumaan ei niin millään. Johtuukohan se näistä uusista osista emoista tms , koska kokeilin useampaa usb tikkua, eri ohjelmia ja tuhanteen kertaan (aina sama lopputulos, erroria pukkaa joka kerta ja kovasti). Mikään ei tunnu auttavan tuon error vaiheen ohitse kun yrittää tuota manjaroa väkertää koneelle.

Tilanne tulee kun käynnistää usb tikulta manjaroa, boottaa manjaroon mutta koskaan työpöytä ei aukea vaan kasa failed tekstiä tulee ruutuun ja kestää todella kauan.

Onko jotain mitä voisin kokeilla ? Yritän siis manjaron cinnamon versiota saada käyttikseksi.

Mitä rautaa siellä on tullut tilalle? Jos uutta Ryzeniä niin olisiko samaa vikaa mitä ollut muutamalla muullakin distrolla, joissa systemd käytössä (Ryzen 3000, Booting Linux, and You).

 

[Leo_Greta]

Saakohan ne virheilmoitukset jotenkin kopsattua siinä kun niitä ilmenee vai täytyykö keksiä jokin toinen keino saada ne ylös muistiin ?

Ite oon nauhottanu videon kännykällä, kun en oo muuta keksiny ja sieltä sitten poiminu ne errorit talteen .

[edit] Osaako muuten kukaan sanoa saako Windowsilla luotua softaraid-pakkaa näkymään Linuxin puolella?

[edit1] Sen mitä ite oon googlannu, niin ei onnistu ja ainoo vaihtoehto ois BIOS:sin softaraid, jos haluu et pakka näkyy Windowssissa ja Linuxissa.

 

[ississ]

Ite oon nauhottanu videon kännykällä, kun en oo muuta keksiny ja sieltä sitten poiminu ne errorit talteen .

[edit] Osaako muuten kukaan sanoa saako Windowsilla luotua softaraid-pakkaa näkymään Linuxin puolella?

[edit1] Sen mitä ite oon googlannu, niin ei onnistu ja ainoo vaihtoehto ois BIOS:sin softaraid, jos haluu et pakka näkyy Windowssissa ja Linuxissa.

Ja sekin riippuu bioksesta/toteutuksesta näkyykö vai ei oikein molemmissa.

 

[Leo_Greta]

Ja sekin riippuu bioksesta/toteutuksesta näkyykö vai ei oikein molemmissa.

Okei, eli lisää harmaita hiuksia tiedossa. Kiitos varoituksesta !

 

[Monologi]

Päästin läpi RPI:n ei kun OPI:n(siinä ollaan defaulttina roottina toisin kuin RPI:ssä) port forwardilla ulkomaailmaan ja toki vaihdoin root salasanan niin kannattaisiko tuossa olla jotain muutakin tietoturvaan liittyvää?
Onko jotain saittia millä testata tuota turvallisuutta?


Erikoista, kun tuohon kirjautuu ulkomaailmasta ssh:lla niin se on todella hidasta, mutta kun on jo sisässä niin reagoi huomattavasti nopeammin käskyihin.

Yhtä asiaa ihmettelin kaapelimodeemin port forward kohdassa, että jos useamman koneen laittaa sitä kautta niin eihän ssh:n porttinumero 22:lla pääse kuin yhteen koneeseen, jos vaihtaa eri numeroksi niin eihän se sitten ole ssh ollenkaan.
Yksi ulkoinen ip vain kaapelimodeemissa.

 

[juzu]

Päästin läpi RPI:n ei kun OPI:n(siinä ollaan defaulttina roottina toisin kuin RPI:ssä) port forwardilla ulkomaailmaan ja toki vaihdoin root salasanan niin kannattaisiko tuossa olla jotain muutakin tietoturvaan liittyvää?
Onko jotain saittia millä testata tuota turvallisuutta?


Erikoista, kun tuohon kirjautuu ulkomaailmasta ssh:lla niin se on todella hidasta, mutta kun on jo sisässä niin reagoi huomattavasti nopeammin käskyihin.

Yhtä asiaa ihmettelin kaapelimodeemin port forward kohdassa, että jos useamman koneen laittaa sitä kautta niin eihän ssh:n porttinumero 22:lla pääse kuin yhteen koneeseen, jos vaihtaa eri numeroksi niin eihän se sitten ole ssh ollenkaan.
Yksi ulkoinen ip vain kaapelimodeemissa.

Fail2ban ainakin kannattaa asentaa.

 

[Barbarossa]

Päästin läpi RPI:n ei kun OPI:n(siinä ollaan defaulttina roottina toisin kuin RPI:ssä) port forwardilla ulkomaailmaan ja toki vaihdoin root salasanan niin kannattaisiko tuossa olla jotain muutakin tietoturvaan liittyvää?
Onko jotain saittia millä testata tuota turvallisuutta?


Erikoista, kun tuohon kirjautuu ulkomaailmasta ssh:lla niin se on todella hidasta, mutta kun on jo sisässä niin reagoi huomattavasti nopeammin käskyihin.

Yhtä asiaa ihmettelin kaapelimodeemin port forward kohdassa, että jos useamman koneen laittaa sitä kautta niin eihän ssh:n porttinumero 22:lla pääse kuin yhteen koneeseen, jos vaihtaa eri numeroksi niin eihän se sitten ole ssh ollenkaan.
Yksi ulkoinen ip vain kaapelimodeemissa.

Port forwardissa mapataan ulkoinen portti sisäiseen, sisäportiksi sitten tuo 22 (tai missä ikinä haluttu palvelu kuunteleekaan).

Jos pitää ulkomaailmasta päästä ssh:lla niin suosittelisin että muutenkin asetat port forwardissa ulkoportiksi jonkun aivan muun kuin tuo vakio 22. Sitä ne kolkuttelijat ensimmäisenä kokeilee. Joku sshguard voisi olla myös ihan hyvä olla olemassa tämän lisäksi.

Edit:
Ja itse kyllä ottaisin salasanakirjautumisen pois käytöstä SSH:sta joka kuuntelee yhteyksiä ulkomaailmasta. Avaimilla ainoastaan sisään.

 

[Vauhtimursu]

Mitä rautaa siellä on tullut tilalle? Jos uutta Ryzeniä niin olisiko samaa vikaa mitä ollut muutamalla muullakin distrolla, joissa systemd käytössä (Ryzen 3000, Booting Linux, and You).

Kiitos tuosta, joo elikkä ryzeniähän tässä laitoin joten tuo voi olla se mistä koko homma kiinni. Pitää syventyä tuohon tarjoamaasi linkkiin vielä , mutta kuulostaa juuri oikealta nyt. Sillä samalla usb tikulla toiseen tietokoneeseen asentui manjarokin ihan täysin mutkitta. Täytyy johtua ryzenistä tai uudesta emosta.

Eiköhän se saada jossain vaiheessa taas toimimaan. Täytyy vain odotella ja mennä mint jakelulla sen aikaa.

 

[Ormu]

Tosiaan eilen jo laitoin "KillUserProcesses=no" tuonne logind.confiin, boottailin Pi:tä ym ja ei pysynyt screenit logoutin jälkeen elossa.
Sitten tämän sivun apuja koitin: Why is Screen closing all detached screens after I close my SSH Client (Putty)
ja ei vieläkään toiminut.

Mutta tiedäppä sitten mitä lopulta onnistuin niin tekemään, että nyt sain tänään screenin jäämään ajoon logoutin jälkeen.

Hyvä jos lähti toimimaan. Melkoinen oksennus systemd:n tekijöiltä se olikin, kun taustalle jätetyt prosessit päätettiin sulkea jossain vaiheessa muistaakseni oletuksena.

 

[kekkula]

Tuli päivitettyä debian busterista seuraavaan testing buildiin. Ilmaantui erikoinen ongelma, eli lisäsin wifi repeaterin tuohon väliin kun ei meinannu singaali kantaa. Nyt en saa koneen käynnistyksen yhteydessä enää yhteyttä suoraan tuohon repeateriin vaan pitää ensin käyttää vanhassa wifissä kiinni, jonka jälkeen ottaa yhteyden tuohon repeateriin mukisematta.
Ei nyt tuon vuoksi viittis puhtaalta pöydältä asennusta alkaa tekemään, joten jääkööt jälleen yhdeksi linux maailman "ominaisuudeksi" tuokin

 

[Antti Alien]

Yhtä asiaa ihmettelin kaapelimodeemin port forward kohdassa, että jos useamman koneen laittaa sitä kautta niin eihän ssh:n porttinumero 22:lla pääse kuin yhteen koneeseen, jos vaihtaa eri numeroksi niin eihän se sitten ole ssh ollenkaan.
Yksi ulkoinen ip vain kaapelimodeemissa.

Porttinumero on vain porttinumero ja sen saa vapaasti valita, vaikka tietyille protokollille onkin sovittu yleisesti käytettäviä numeroita. Porttia kuunteleva ohjelma on se, mikä päättää protokollan. Jos laitat SSHd:n kuuntelemaan porttia 1337, se on kyllä edelleen SSH:ta jota siellä kulkee.

Jos pitää ulkomaailmasta päästä ssh:lla niin suosittelisin että muutenkin asetat port forwardissa ulkoportiksi jonkun aivan muun kuin tuo vakio 22. Sitä ne kolkuttelijat ensimmäisenä kokeilee. Joku sshguard voisi olla myös ihan hyvä olla olemassa tämän lisäksi.

Lähinnä taikauskon tasoinen temppu tuo. Porttiskannaussoftat käyvät alle sekunnissa läpi kaikki avoimet portit ja ainakin OpenSSH vastaa helposti tunnistettavalla tavalla yhteysyritykseen. Eri portin käytöllä ei ole mitään merkitystä.

Ja itse kyllä ottaisin salasanakirjautumisen pois käytöstä SSH:sta joka kuuntelee yhteyksiä ulkomaailmasta. Avaimilla ainoastaan sisään.

Tämä sen sijaan on suositeltavaa. Hankalampi hyökätä ja helpompi itselle kirjautua. Kaksinkertainen hyöty siis.

 

[Ormu]

Lähinnä taikauskon tasoinen temppu tuo. Porttiskannaussoftat käyvät alle sekunnissa läpi kaikki avoimet portit ja ainakin OpenSSH vastaa helposti tunnistettavalla tavalla yhteysyritykseen. Eri portin käytöllä ei ole mitään merkitystä.

Tämä sen sijaan on suositeltavaa. Hankalampi hyökätä ja helpompi itselle kirjautua. Kaksinkertainen hyöty siis.

Portin vaihtaminen auttaa lähinnä siihen, että verkkomadot ja muut automaattiset hyökkäystyökalut eivät sotke lokeja. Suunnitelmallista hyökkääjää vastaan siitä ei ole juurikaan apua.

Avaimella tunnistautuminen on sinänsä hyvä juttu, mutta jos salasana on edes etäisesti kunnollinen, ei sitäkään kokeilemalla löydetä.

 

[timop]

Fail2ban kaveriksi sshlle on myös hyvä.

 

[Vauhtimursu]

Miten tuo toimii tuo fail2ban siis ?

Mietin vain jos tuon sais edgerouteriin lisättyä niin onko siitä mitään hyötyä käytännössä ?
Fail2ban in EdgeOS | Ubiquiti Community

Tuossa on jotain puhetta edgerouter + fail2ban mutta en tiedä yhtään mitään siitä mitä tuo käytännössä tarkoittaa eli mikä on tuon fail2banin tarkoitusperä



Edit taas: Jos en saakkaan sitä asennettua tuolla tapaa edgerouteriin, niin onko siitä mitään hyötyä enää asentaa sitten tietokoneelle mistä sen ssh yhteyden edgerouteriin ottaa ?

 

[woodeye]

SSH:n portin vaihtaminen koneella, joka on aktiivituotantokäytössä ja avoin nettiin auttoi paljon automaattikolkuttelijoiden ja samalla logitapahtumatulvan karsimiseen.

Portin vaihdon jälkeen SSH:n lokeihin ei parin vuoden aikana ole tullut enää aukomisyrityksiä. Näkisin että selkeä hyöty on tullut jo pelkästään siitä ettei tule satoja tai tuhansia koputteluita päivittäin, vaikka ne eivät tee muuta kuin logitapahtuman. Toki mikään tietoturvaratkaisu tämä ei ole, lähinnä käytännön hyötyä tavoiteltu.

Fail2ban, joka siis blokkaa sääntöjen perusteella toistuvat kolkutteluyritykset on taas auttanut esim. sisääntulevan maililogin siistimiseen. Sisääntulevaa mailiporttia koputetaan aivan järjettömiä määriä ja logit paskotaan tukkoon. Fail2ban auttoi tähän kustomoiduilla säännöillä.

 

[timop]

Samaa yrittävät sshlla aina satunnaisin väliajoin, vaikka vaihdoin porttia. Sshlle olen määrittänyt että vain tietyllä tunnuksella pääsee sisään. Fail2bannissa taas on säädetty että 3 kertaa väärä yritys nin menee 12 tunniksi ip banniin. Aiemmin oli vielä postilla ilmoitus näistä mutta niitä tuli välillä satoja putkeen niin hylkäsin sen ja nyt vain loggwatch kerää mm nuo tiedot yhteen kerran päivässä ja lähettää postilla.
Distrona debian stretch.
Olen myös postipalvelimen (dovecot) määrittänyt fail2baniin muttei siihen ole tullut kolkutuksia, pitäisi ehkä testata itse toimiiko sen plokkaus.

 

[Vauhtimursu]

Mikäs muuten olis hyvä portti ssh yhteyksille jos haluaa tuon vakion pois ? Voiko se olla ihan mikä vaan ja mistäs sen näkee sitten ettei mene vahingossa laittamaan päällekkäin joka on varattu jo jollekkin toiselle palvelulle ?

 

[dome]

Mikäs muuten olis hyvä portti ssh yhteyksille jos haluaa tuon vakion pois ? Voiko se olla ihan mikä vaan ja mistäs sen näkee sitten ettei mene vahingossa laittamaan päällekkäin joka on varattu jo jollekkin toiselle palvelulle ?

Joku yläportti eli >1024 niin tuskin menee päällekkäin. Käytössä olevat portit näkyy vaikka netstatilla. Ihan voit itse sen valita mutta muistamisen takia parempi laittaa vaikka 10022 tms.

 

[runboy93]

Vautsi, on odoteltu tätäkin:

Xfce 4.14 Changelog – Xfce

 

[Hyrava]

Vautsi, on odoteltu tätäkin:

Xfce 4.14 Changelog – Xfce

Jep, ja näyttäisi olevan korjattujen bugien listalla ainakin pari sellaista joiden korjaamista onkin jo odotellut.

 

[Vauhtimursu]

Joku yläportti eli >1024 niin tuskin menee päällekkäin. Käytössä olevat portit näkyy vaikka netstatilla. Ihan voit itse sen valita mutta muistamisen takia parempi laittaa vaikka 10022 tms.

Kiitti, mikä on suurin portti mikä on mahdollista laittaa ?

 

[kaakau<"'\\/>]

Kiitti, mikä on suurin portti mikä on mahdollista laittaa ?

65535.

 

[dome]

Kiitti, mikä on suurin portti mikä on mahdollista laittaa ?

65535. Ehdittiin jo mainitakin. Kannattaa kuitenkin valita ns. ephemeral porttien ulkopuolelta joku yläportti vaikka SSH:n tapauksessa onkin epätodennäköistä, että mitään konfliktia syntyy. Yleensä 1024-32768 väli on ok.

 

[pespoit]

Ehdotettu Rufus on varmaan ok, tai tuo. Rufuksesta voi auttaa lisäasetuksissa oleva vanhojen BIOSien valinta. Optimikoko taitaa olla kuitenkin 2^32 = 4 G(Byteä).

Myös Etcher on osoittautunut omassa käytössä hyväksi, ja toimii myös Raspberry-käyttisten flässäykseen kuin junan vessa. Muistaakseni tästä oli myös windows-buildi(?)

 

[Vauhtimursu]

65535.

65535. Ehdittiin jo mainitakin. Kannattaa kuitenkin valita ns. ephemeral porttien ulkopuolelta joku yläportti vaikka SSH:n tapauksessa onkin epätodennäköistä, että mitään konfliktia syntyy. Yleensä 1024-32768 väli on ok.

Kaunis kiitos !

 

[lxmo]

Tänään ilmennut ongelma: Ubuntu 18.04 ja kun poistuessani tietokoneen äärestä lukitsen koneen Super+L-näppäinyhdistelmällä, palatessani koneen ääreen on se edelleen päällä, kuten kuuluukin, mutta ei reagoi hiireen tai näppäimistöön lainkaan ja ainoa tapa saada kone uudelleen elävien kirjoihin on virtanappulasta pakotettu sammutus+uudelleenkäynnistys.

Mikäs piru tätä nyt riivaa?

 

[mikajh]

Voisiko tulla peräti kernel crash? Tutki esim. mitä logista löytyy lockin ajanhetken jälkeen: /var/log/syslog

EDIT: Minkäslainen näytönohjainajuri on käytössä?

 

[lxmo]

Voisiko tulla peräti kernel crash? Tutki esim. mitä logista löytyy lockin ajanhetken jälkeen: /var/log/syslog

EDIT: Minkäslainen näytönohjainajuri on käytössä?

Näytönohjaimena Intel UHD Graphics 620 ja komento "lshw -c video" kertoo ajuriksi "driver=i915"

Viimeinen rivi lokitiedostossa ennen uudellenkäynnistystä on "Aug 14 20:18:25 <koneen nimi> openrazer-daemon[1886]: 2019-08-14 20:18:25 | razer.screensaver | DEBUG | Received screensaver active signal"
^ rasauttaakohan tuo Razerin näppäimistön valaistukseen yms. tarkoitettu softa nyt rusinat siitä, kun kyseinen näppäimistö ei totutusta poiketen olekaan koneessa kiinni koko aikaa.. pitää testata, jahka pääsen viikonloppuna takaisin sinne, missä kyseinen näppäimitö fyysisesti sijaitsee.

 

[mikajh]

Näytönohjaimena Intel UHD Graphics 620 ja komento "lshw -c video" kertoo ajuriksi "driver=i915"

Viimeinen rivi lokitiedostossa ennen uudellenkäynnistystä on "Aug 14 20:18:25 <koneen nimi> openrazer-daemon[1886]: 2019-08-14 20:18:25 | razer.screensaver | DEBUG | Received screensaver active signal"

Täällä voi olla jotain debuggausapuja myös: openrazer/openrazer

 

[Leo_Greta]

Käyttääkö kukaan pfSensessä dy.fi:n ddns-palvelua?

Itellä on pfSensessä tälläset asetukset ja ei tunnu toimivan (ainakaan dy.fi:ssä laskuri vapautukseen ei nollaannu):

• Service Type: Custom
• Interface to monitor: WAN
• Interface to send update from: WAN
• Username: käyttäjätunnus
• Password: salasana
• Update URL: http://www.dy.fi/nic/update?hostname=omakone.dy.fi

Kokeilin myös @olkitu n DDNS päivitysohjelmat – Taisto ohjeilla suorittaa pfSensen Command promptissa komennon (omilla passuilla ja hostnamella toki)

curl -D - --user useraccount:password http://www.dy.fi/nic/update?hostname=hostname.dy.fi

Mutta ei vaikutusta, tosin en mitään virhettäkään nää vastauksessa:

 % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed

  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0HTTP/1.1 200 OK
Server: nginx/1.10.3 (Ubuntu)
Date: Thu, 15 Aug 2019 19:15:42 GMT
Content-Type: text/plain;charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=10
Last-Modified: Thu, 15 Aug 2019 19:15:42 GMT
Cache-Control: no-cache
Pragma: no-cache


100     6    0     6    0     0     60      0 --:--:-- --:--:-- --:--:--    59
nochg

Toi curl ois kiva saada toimimaan (cronin kanssa), kun pfSense ei päivitä ip:tä palveluun vasta kun ip vaihtuu, tai viime päivityksestä on kulunut 27-päivää. Ja dy.fi:ssä se pitää päivittää 7-päivän sisällä riippumatta siitä onko ip muuttunut vai ei.