{"id":618,"date":"2013-01-21T14:40:43","date_gmt":"2013-01-21T13:40:43","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=618"},"modified":"2013-05-13T10:29:26","modified_gmt":"2013-05-13T08:29:26","slug":"drbd-ap-preparazione-dei-device-e-instalalzione-software","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=618","title":{"rendered":"Preparazione delle macchine."},"content":{"rendered":"

Questa realizzazione \u00e8 dedicata al rifacimento dei due bastion host aziendali.
\nIl rifacimento si \u00e8 reso necessario perch\u00e9 la distro usata precedentemente (Lenny)\u00a0 non \u00e8 praticamente pi\u00f9 mantenuta e dato che vivere con pi\u00f9 mal di pancia di quanto non sia necessario non mi piace…<\/p>\n

Le due macchine\u00a0 sono identiche e sono due server Dell PowerEdge SC440, montano entrambe un disco SATA\u00a0 da 160 GB, la distro\u00a0 \u00e8\u00a0 la attuale Stable 6.0.6
\nil partizionamneto dei dischi \u00e8 il seguente:<\/p>\n

cfdisk (util-linux-ng 2.17.2)<\/p>\n

Disk Drive: \/dev\/sda
\nSize: 160000000000 bytes, 160.0 GB
\nHeads: 255\u00a0\u00a0 Sectors per Track: 63\u00a0\u00a0 Cylinders: 19452<\/p>\n

Name\u00a0\u00a0\u00a0\u00a0\u00a0 Flags\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Part Type\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 FS Type\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 [Label]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Size (MB)
\n——————————————————————————————————————-
\nsda1\u00a0 Primary Dell Utility\u00a0\u00a0\u00a0\u00a0\u00a0 41,13
\nsda2\u00a0 Boot\u00a0\u00a0\u00a0 Primary\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3 [\/boot]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 148,06
\nsda3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Primary\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Linux swap \/ Solaris\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 3997,49
\nLogica\u00a0 Free Space\u00a0 \u00a0 \u00a0\u00a0 \u00a0 \u00a0 \u00a0\u00a0 0,04\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 *
\nsda5\u00a0\u00a0\u00a0 NC\u00a0\u00a0\u00a0 Logical\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/] \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 1998,72\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 *
\nsda6\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0 \u00a0 Linux ext3\u00a0 [\/usr]\u00a0 \u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 20003,89
\nsda7\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0 \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/usr\/local]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 1003,49
\nsda8\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0 \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/var]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 79999,08
\nsda9\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical \u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/cache] \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 24996,63
\nsda10\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/jumper]\u00a0\u00a0\u00a0\u00a0 \u00a0 \u00a0 \u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 24996,63
\nsda11\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/tmp]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 1003,49
\nsda12\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Logical\u00a0 \u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0 Linux ext3\u00a0 [\/home]\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0\u00a0 \u00a0 \u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 1809,57<\/p>\n

Le due macchine sono sangiorgio e perseo e hanno rispettivamente quattro e tre schede di rete in Giga.
\neth0 World interface
\neth1 Lan interface (network 192.168.2.0\/24)
\neth2 Cluster interface (network 192.168.10.0\/24)
\neth3 DMZ interface (on sangiorgio)<\/p>\n

La cosa molto impoortante\u00a0 in questo tipo di realizzazione \u00e8 di eseguire le operazioni su ambo le\u00a0 macchine nello stesso momento, vale a dire se installo il kernel ricompilato su sangiorgio immediatamente dopo anche su perseo, quando installo drbd su sangiorgio lo stesso faccio su perseo, e via dicendo questo si rende necessario per tenere allineati gli UID<\/a>, se cosi non fosse poi\u00a0 far funzionare certi programmi e’ semplicemente impossibile, e il debug della situazione costa lacrime e sangue.<\/p>\n

La distribuzione e’ una Debian stable (ad oggi 6.0.6) con alcuni pacchetti di backport, il setup iniziale non presenta nessuna particolare nota di interesse e’ fatto con l’opzione expert per poter scegliere ad ogni passo i parametri.<\/p>\n

hardening del sistema
\nPremessa \u00e8 un hardening minimo per evitare troppe complicazioni nel funzionammento, sicurezza e facilit\u00e0 d’uso sono fortemente incompatibili, suggerisco la lettura di
\nhttp:\/\/www.debian.org\/doc\/manuals\/securing-debian-howto\/<\/a><\/p>\n

Il primo passo \u00e8 quello di scegliere il kernel che si user\u00e0, nel mio caso ho preso il kernel di debian da backport e ricompilarselo ad hoc per il sistema a disposizione, personalmente su macchine front end scelgo la compilazione built-in, vale a dire senza moduli, e’ da un lato una rottura di scatole ma dall’altro impedisce exploit sui moduli.<\/p>\n

Due parole ancora sulla scelta del kernel, \u00e8 vero che Debian e’ indietro molto sul rilascio del kernel vanilla, ma e’ altrettanto vero che i kernel Debian sono testati e molto stabili oltre ad avere tutta una serie di patch gia’ incorporate che altrimenti dovrei applicare io, inoltre dato che queste macchina andr\u00e0 in cluster con la sua gemella e che kernel e DRBD sono legati in modo profondo al fine di evitare di ricompilarmi anche il drbd per il vanilla ho scelto questa via IMPORTANTE\u00a0 \u00e8 installare subito da backports firmware-linux-free e .firmware-linux-nonfree al fine di evitarsi bruttissime sorprese con le schede di rete al riavvio.<\/p>\n

edito\u00a0 \/etc\/pam.d\/other e aggiungo queste righe<\/p>\n

auth\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_securetty.so
\nauth\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_warn.so
\nauth\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so
\naccount\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_warn.so
\naccount\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so
\npassword required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_warn.so
\npassword required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.s0
\nsession\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_warn.so
\nsession\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so
\nQueste righe sono un buon default per le applicazioni che usano pam (l’accesso \u00e8 negato per default)<\/p>\n

edito \/etc\/login.defs e aggiungo<\/p>\n

ENCRYPT_METHOD SHA512
\nDa ultimo edito il file \/etc\/host.conf e lo modifico in questo modo:
\norder bind,hosts
\nmulti on
\nnospoof on
\nspoofalert on
\nLa prima opzione serve a risolvere i nomi degli host prima tramite DNS e poi tramite il file che elenca gli host.
\nL’opzione “multi” determina se un file in “\/etc\/hosts” pu\u00f2 avere indirizzi IP multipli (interfacce multiple ethN).
\nL’opzione “nospoof” indica di non permettere lo spoofing su questa macchina.
\nL’opzione “spoofalert” logga i tentativi di spoofing.
\nTolgo con apt-get remove –purge tutto il software che non mi serve, in special modo tutti i tools di sviluppo in modo da impedire ad un eventuale intruso di compilarsi in loco exploit e altre piacevolezze varie.
\nModifico il file \/etc\/ssh\/sshd_config cambiando la porta su cui ascolta il demone (default 22)<\/p>\n

Port 2561<\/p>\n

e impedendo l’accesso come root<\/p>\n

PermitRootLogin no<\/p>\n

Passo ad installare quel software che mi pu\u00f2 essere utile a rendere pi\u00f9 sicura la macchina<\/p>\n

apt-get install harden-tools<\/code> jack tiger<\/p>\n

sangiorgio:\/# ln -s \/usr\/lib\/tiger\/systems\/Linux\/2 \/usr\/lib\/tiger\/systems\/Linux\/3
\napt-get install harden-environment debsums harden-nids samhain
\napt-get install harden-clients harden-servers harden-doc<\/p>\n

I valori di default sono sufficienti al mio scopo e non ho bisogno di configurare nulla al momento.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Questa realizzazione \u00e8 dedicata al rifacimento dei due bastion host aziendali. Il rifacimento si \u00e8 reso necessario perch\u00e9 la distro usata precedentemente (Lenny)\u00a0 non \u00e8 praticamente pi\u00f9 mantenuta e dato che vivere con pi\u00f9 mal di pancia di quanto non sia necessario non mi piace… Le due macchine\u00a0 sono identiche e sono due server Dell […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12,8,7,6],"tags":[],"class_list":["post-618","post","type-post","status-publish","format-standard","hentry","category-cluster","category-linux","category-sistemi-operativi","category-work"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/618","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=618"}],"version-history":[{"count":19,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/618\/revisions"}],"predecessor-version":[{"id":933,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/618\/revisions\/933"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=618"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}