Under en tid har jag haft långsam inloggning till min router när jag loggar in med SSH. Även att göra ”su -” har varit långsam. Nu har jag till slut lyckats fixa detta.
I sshd_config gjorde jag följande inställningar, som så klart finns i /etc/ssh/sshd_config :
UseDNS no
UsePAM no
Detta gjorde att inloggning från en annan burk började fungera. Däremot så var det fortfarande problem med ”su -”, men det löstes med en omstart av en del av systemd. Det verkade som att ”logind” behöver startas om för varje 1000 gånger den tjänsten använts. Typiskt när ett monolitiskt system växer till sig, så visar sig problemen.
service systemd-logind restart
Tyvärr kommer jag inte ihåg var jag hittade lösningen på dessa problem.
För den som är intresserad så körs detta på en Debian. För närvarande är det Debian 8 med de senaste uppdateringarna.
Vad jag gjorde extra, var att göra både ”apt-get update” och ”apt-get upgrade” innan jag följde Jarrods anvisningar.
Uppdaterar /etc/apt/sources.list enligt nedan. Jag har tagit bort lite som kändes onödigt att ha med här.
#deb http://ftp.acc.umu.se/debian/ wheezy main
#deb-src http://ftp.acc.umu.se/debian/ wheezy main
#deb http://security.debian.org/ wheezy/updates main
#deb-src http://security.debian.org/ wheezy/updates main
## wheezy-updates, previously known as 'volatile'
#deb http://ftp.acc.umu.se/debian/ wheezy-updates main
#deb-src http://ftp.acc.umu.se/debian/ wheezy-updates main
deb http://ftp.acc.umu.se/debian/ jessie main
deb-src http://ftp.acc.umu.se/debian/ jessie main
deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main
# wheezy-updates, previously known as 'volatile'
deb http://ftp.acc.umu.se/debian/ jessie-updates main
deb-src http://ftp.acc.umu.se/debian/ jessie-updates main
Jag kopierar raderna med de gamla weesey och gör ändringar till jessie för de nya raderna, därefter kommenterar jag bort de gamla inställningarna.
apt-get update
apt-get upgrade
apt-get dist-upgrade
apt-get autoremove
Jag avslutar med att starta om maskinen, mest för att jag var lite för lat att använda ”checkrestart” och gå igenom alla tjänster som behövde startas om.
Jarrod avslutar med ett enraders kommande som förenklar det hela, när man förstår vad det är man gör. För om det är något som inte fungerar som det ska, då behöver man förstå var felet har uppstått. Annars är det svårt att rätta till det. Jag kan inte förstå var Jarrod hämtar innehåll till uppdaterad sources.list, så därför kör jag manuellt. Och jag har inget behov av att förenkla då jag gör detta så sällan.
Problem
Då jag kör detta test på en VirtualBox, så ville jag kopiera från maskinen. Det verkade kräva Guest Editions, som jag hade svårigheter att installera. Jag fick inte köra program från CD! Hittade en tänkbara lösning, men den fungerade inte. Så jag får leta vidare på den. Tror att jag till slut hittade det, genom att aktivera urklipp under Allmänt/Avancerat och sätta ”Delade urklipp” till dubbelriktat så hoppas jag att det fungerar att kopiera från gästoperativ till host. Jag hade först försökt att kopiera sources.list till en delad mapp, men den var inte inställd på rätt sätt. Så när jag till slut gjorde rätt inställning så kunde jag den vägen kopiera in vad jag skrivit i den filen.
Jag bestämde mig för testa att skapa subdomäner på One.com, för att jag ibland vill testa något som jag vill visa för någon annan. Då kan en subdomän till den jag har vara en snabb lösning för detta. Tex http://kund-foretaget.ripop.se för att visa en layout för en kund som heter ”KundFöretaget” eller något liknande.
På egen server
Jag började med att kopiera en av de befintliga filerna under sites-available, till det nya namnet.
cd /etc/apache2/sites-available/
cp original kund-foretaget
Därefter ändrade jag där jag tyckte att det kunde behövas. Filen kund-foretaget såg då ut enligt nedan, där ändringar är fet-stilade. Tänk på att rader kan sidbrytas (Edit 2015-08-19 – uppmärksamma att eventuellt byte av tema kan ändra detta):
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName kund-foretaget.ripop.se
DocumentRoot /home/kund-foretaget/public_html/
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /home/kund-foretaget/public_html/>
Options Indexes FollowSymLinks MultiViews
AllowOverride FileInfo
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/kund-foretaget.error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/kund-foretaget.access.log combined
</VirtualHost>
För att aktivera denna ”site” körde jag:
a2ensite kund-foretaget
Förutom detta är så klart tillägget (modulen) i Apache som gör det möjligt för en användare att publicera på webben via en mapp som tex ”/home/kund-foretaget/public_html/”. Den kan man lägga till med kommandot a2enmod.
På One.com
Ändring som krävdes på One.com var att lägga till en post i Webb-DNS:
Domän: kund-foretaget
Typ: A
Värde: IP-nummer till server jag använde
Omstart av Apache krävdes så klart.
Det var enklare än jag väntat mig. Självklart är det en del som inte tas upp här.
I år tog jag tag i att installera ClamAV för att kolla om det finns mycket skräp som jag behöver oroa mig över i min mail-låda. Mycket av skräpet är sådant som inte fastnar i ett system som ClamAV, så jag hoppades på att det skulle vara rätt så lugnt. Men jag hade i alla fall tron att något skulle dyka upp som var skadligt. Under flera månaders tid har jag haft ögonen öppna efter något som skulle visa på att det fastnat något i nätet, men fiskelyckan har lyst med sin frånvaro.
Idag började jag kolla på nätet efter sätt att undersöka loggar, om det är så att inget dyker upp pga felaktiga inställningar i loggarna. Till slut hittade jag ett kommando som gör det enkelt att få fram det jag söker efter.
zgrep -i "FOUND" /var/log/clamav/*
Zgrep för att de flesta av log-filerna är packade.
Före jul tänkte jag att nu måste jag göra vad jag länge har funderat på, att köpa mig utrustning för att ha trådlös uppkoppling hemma. Gjorde slag i saken och köpte en superbillig router för 99 kr från CDON.
En av de orsaker som gjort att jag inte skaffat mig denna utrustning tidigare, har varit osäkerhet i hur jag vill sätta upp den nya lösningen. Jag har bestämt mig för att köra två separata LAN där det trådlösa nätet inte kommer att ha någon kontakt med mitt normala lokala nät. För tillfället har jag inget som helst behov av att låta mina trådlösa enheter komma i kontakt med mina enheter på det fasta nätet.
En schematisk bild av hur mitt nätverk kan se ut hemma. Två LAN och en anslutning till ISP.
Vilka verktyg har jag då haft till mitt förfogande?
Debian
Shorewall
Tre nätverkskort – ett nytt från tidigare
1 – Installera nätverkskortet
Steg ett är att hitta ett nätverkskort som jag kan installera, och jag hade ett som låg och skräpade i ett hörn. Tänker inte beskriva det något närmare, det finns gott om beskrivningar om hur man gör på nätet.
2 – Konfigurera nätverkskortet
Steg två är att se till att det konfigureras rätt. Det kan hända att de existerande nätverkskorten byter ordning när man sätter in ett nytt. Detta är något som var vanligt i alla fall i äldre distributioner. Jag konfigurerar alltid mina nätverkskort statiskt, och det gör jag i Debian i filen
/etc/network/interfaces
Återigen tänker jag inte bråka om hur man gör det. Kanske jag lägger med en länk här om jag hittar någon som känns bra.
3 – Konfiguration av Shorewall, den svårare delen
Steg tre är att se till att sätta upp Shorewall så att den gör rätt, detta tog mig mer än vecka innan jag kom på vad jag hade gjort för fel. Det kanske inte var så många timmar effektiv tid, för jag hade annat att göra också.För att testa om saker fungerar så brukar jag tillåta Ping, även om det finns många som stänger av detta för att höja säkerheten. Jag resonerar för närvarande så att, om jag blir attackerad och det kan lösas genom att stänga av Ping så gör jag det när det behövs. Det är enklare för mig att använda Ping som test-verktyg, i alla fall om jag konfigurerar rätt.
Nu hade jag ställt in att Ping skulle tillåtas mot det nya nätverket, men på fel sätt. Detta var den primära anledningen till att det tog sådan tid. När jag fixade detta så löste jag resterande funktion på mindre än en timme.
För att masquerading (masq) ska fungera så måste man göra rätt inställningar i/etc/shorewall/masqOm ditt externa nätverkskort heter ”eth0” och det interna nätverkskortet heter ”eth2” och ”eth2” använder 10-nätet så ser raden som man ska lägga till som följer
eth0 10.0.0.0/8
detta är för att nätverkspaketen ska veta till vilket LAN de ska till när de kommer tillbaka till burken och ska transporteras vidare. Självklart finns det en notering för mitt normala lokala nätverk som kopplar mot eth1.
Även /etc/shorewall/interfaces måste ha nya rader, jag kallade mitt nya nät för ”wifi” då den skulle användas för det
wifi eth2
Självklart behövs det några rader i
/etc/shorewall/rules
Dessa låter jag er fundera över själva. Det är egentligen samma som när man ställer in vad som ska vara öppet mot resten av mina nät.
