2009. augusztus 27., csütörtök

# Jelszó nélküli belépés - OpenSSH [Debian Lenny] - kiegészítve!


Jelszó nélkül nem annyira ajánlott, de sose lehet tudni, mikor jöhet jól [lásd: lentebb: kulcs+jelszó].

Kliens oldalon: [Ahonnan jelszó nélkül akarsz belépni, "user" helyére [/home/user/stb] írd a felhasználó nevét, vagy ahol értelemszerűen van a home mappája. $USER-t írva az éppen bejelentkezett felhasználó kerül oda automatikusan.]

Generáljuk le a kulcsot, jelszó nélkül:
time ssh-keygen -b 8192 -t rsa -f /home/user/.ssh/id_rsa -P '' -v
Nem muszáj 8192 bites kulcsot létrehozni, elég csak egy 4096 bit-est pl. [de attól kisebbet ne].

A "time" paranccsal lehet megtudni, hogy mennyi ideig tartott a generálás. Legfeljebb 32 768 bit-es kulcs készíthető, de az már valószínűleg lassabb belépéshez, és hosszú generálási időhöz vezet [pár óra? - fixme + de elvileg scp-zést nem lassítaná - fixme2].
8192 bit-es kulcs egy átlag mai gépen ~1 perc alatt generálódik.

Ezzel két fájl jön létre:
  • id_rsa: privát kulcsod, NE add oda senkinek!!!
  • id_rsa.pub: a publikus kulcsod
Most a serveren [ahová be akarsz lépni jelszó nélkül] telepítsd az "openssh-server"-t:
apt-get install openssh-server
Hozzunk létre egy usert, akinek majd megengedjük az SSH-t [a "valaki" az SSHFELHASZNALO a későbbiekben, és ha lehet valami nem kitalálható legyen a neve, én csak egy példa miatt adtam a "valaki"-t]:
useradd -m valaki
Jelszót adjunk neki:
passwd SSHFELHASZNALO
Szerkesszük meg egy kicsit a "/etc/ssh/sshd_config" fájlt Vim-el:
AllowUsers SSHFELHASZNALO
Ezzel beállítjuk, hogy csak az SSHFELHASZNALO léphet be SSH-val. Szóközzel elválasztva írhatunk több felhasználó nevet.
Megfelelő port kiválasztása, hogy nagyon NE az alapértelmezetten menjen az SSH:
Port VALAMI-NEM-ALAP-PORTSZAM
Még négy fontos dolog, ami nem alapértelmezett:
X11Forwarding no
AllowTcpForwarding no
GatewayPorts no
PermitRootLogin no
Mivel módosítottuk a config fájlt, indítsuk újra az ssh-t:
/etc/init.d/ssh restart
Vissza a klienshez: másoljuk át az "id_rsa.pub"-ot a serverre:
ssh-copy-id -i /home/user/.ssh/id_rsa.pub '-p PORTSZAM SSHFELHASZNALO@SERVER-IP-CIME'
A "'"-ba tétel a végén fontos, mármint ha nem alapértelmezett port van beállítva.
Kész.
Lépjünk be a kliensről, a serverre, és nem fog jelszót kérni:
ssh SSHFELHASZNALO@SERVER-IP-CIME -p PORTSZAM

Ha kulccsal + jelszóval szeretnél belépni [kiegészítés]

Mivel ez nagyban megnöveli a biztonságot. Jelszó nélküli belépés pl.: scriptelésnél, stb helyzetben lehet jó. Itt viszont annyi a különbség, hogy a kulcs generálásakor nem kell a "-P ''", ekkor jelszót fog kérni:
time ssh-keygen -b 8192 -t rsa -f /home/user/.ssh/id_rsa -v
És amikor szerkeszted a serveren a "/etc/ssh/sshd_config" fájlt, akkor a:
PasswordAuthentication no
-t FONTOS beállítani! Ezek után belépni csak a kulcs + ahhoz tartozó jelszó párossal lehet :)

ui.: Egy forrás
ui2.: Alap user kezelés
ui3.: Talán ide tartozhat: GPG-ről
ui4.: "openssh-server v5.1p1-5"-el próbáltam.
ui5.: Hup.hu link
ui6.: SSH Tips and Tricks
ui7.: SSH kulcsok használata
ui8.: Napi tipp: Ha SSH van, minden van
ui9.: man sshd_config és man ssh_config
ui10.: Későbbi bővítés lesz: bruteforce elleni védelem + port knocking

2009. augusztus 23., vasárnap

# Exim4+ClamAV+Dovecot+Horde3 [Debian Lenny]


Az írás inkább tanulási célra, mint hogy éles serverre való.. :)

Telepítés


Kiindulópont egy pl.: netinstall-os Debian Lenny. Legyen fix IP címünk, mert különben leveleink más servereken valószínűleg SPAM-ként lesznek megjelölve [sources.list-ed is legyen rendben]. Telepítéskor én egy "gipszj" nevű felhasználót hoztam létre:D , +VirtualBox-ban dolgoztam+Vim-el szerkesztettem a config fájlokat, az ":syntax enable" hasznos dolog, szöveg kiemelés színesen.
apt-get install vim
Vim fent van, esetleg ez még hasznos lehet.
Az időzóna legyen jól beállítva!! És legyen fent egy időszinkronizáló:
apt-get install openntpd
Először kézzel helyesbítsük azért az időt:
ntpd -s
Állítsuk át a telepítéskori üzeneteket bőbeszédűvé:
dpkg-reconfigure debconf
Itt válasszuk a "párbeszédes, alacsony", azaz "dialog, low" beállításokat.
Az SMTP, és az IMAP szolgáltatásokhoz külön programok/csomagok vannak:
SMTP:
apt-get install exim4-daemon-heavy
Az "exim4-daemon-light" alapból fent van, de nekünk az említett heavy szükséges, mivel azzal már meg lehet valósítani egy mailservert, annak adatbázissal való kommunikációját, ldap, vírusszűrés, spamszűrés, van beépített perl interpreter-e, kávét is főz [C. Krisztián mondta :D], stb.
Állítsunk be egy pár dolgot rajta:
dpkg-reconfigure exim4-config
-al láthatjuk a beállításokat [menürendszerben]:
  • General type of mail configuration:
    • internet site; mail is sent and received directly using SMTP
      • Normál internetes mailserver. "Direktbe" küldünk, és fogadunk leveleket.
    • mail sent by smarthost; received via SMTP or fetchmail
      • Pl.: irodai/céges mailservernél, a kimenő levelekre a szolgáltatód ügyel ["smarthost"], ő majd kézbesíti, ahova kell. Beérkező levelek pl.: fetchmail-el, POP3-al jönnek be.
    • mail sent by smarthost; no local mail
      • Nem egy igazi mailserver, hanem pl.: a gép egy fileserver, amin "nincs levelezés", de a hibaüzeneteket azért meg szeretnénk kapni.
    • local delivery only; not on a network
      • Megint nem igazi mailserver, nem küldünk kifele semmilyen levelet, nem fogadunk befele semmilyen levelet, csak helyben kézbesítünk. Pl.: a rendszergazdának szánt rendszerüzenetek, de ezen kívül nincs levelezés.
    • no configuration at this time
      • Beállítás kihagyása
Tehát
  1. Válasszuk a legfelsőt [internet site; mail is sent and received directly using SMTP].
  2. The 'mail name': itt állíthatjuk be, hogy mi a gépünk levelezésben használt neve [tehát a levélben a "@" utáni rész]. Valamint a géped az internetről érkező, az erre a címre jövő leveleket elfogadja. A default neved jó.
  3. Itt jön az, hogy milyen IP címen fogadja a kapcsolatokat az SMTP server. Ha ez nem egy rendes internetes mailserver, és csak az a célod, hogy helyileg küldjél, vagy kézbesíts leveleket, akkor a "127.0.0.1" elég, szóval csak a localhoston, sehol máshol.
    Ha azt akarod, hogy ez egy rendes internetes mailserver legyen, akkor ezt kitörlöd.
    Vagy ha azt akarod, hogy olyan servered van, hogy a leveleket POP3-al a szolgáltatódtól töltöd le rá, és a helyi usereid ezen keresztül küldenek kifele levelet a világba, és mondjuk ez a gép egyszerre látja az intranetet, és az internetet, akkor itt csak az intranetes IP címet adod meg, hogy az SMTP szolgáltatás csak az intranetes gép számára legyen elérhető.
  4. Milyen "@" után levő nevekről érkező leveleket fogadjon el a server. És helyileg kézbesíti őket. Arra vigyázz, hogy amit megadsz, levelezési név [az elején, hogy mi az alapértelmezett neve], és amiket itt felsorolt neveket, azokat helyi levelezési neveknek/címeknek fogja tekinteni. Az erre a címekre menő leveleket helyben akarja kézbesíteni. Tehát ha ide beírod a pl.: "t-online.hu"-t, akkor attól a pillanattól t-online-os ügyfélnek levelet nem fogsz tudni küldeni [pl.: visszapattan ismeretlen userrel]. Ha több domaint akarsz kiszolgálni ezzel a serverrel [localhost alapból benne van a listában], akkor itt tudod felsorolni őket [a domainek felsorolása kettősponttal történik].
  5. [Domains to relay mail for] Itt felsorolhatod, hogy melyek azok a domain nevek, amiknek továbbítani szeretnéd a leveleit [tehát te relay server vagy, fogadod, és továbbítod a levelet egy másik mail servernek, pl.: tartalék server funkció - nem smarthost!].
    Ez arról szól, hogy egy adott domain-nek úgy van beállítva az interneten a DNS-ben az MX-e, hogy van két server: az elsődleges, amin a levelek vannak, a másodlagos server a relay server, ha te vagy egy ilyen másodlagos server, akkor azokat a domaineket sorolod fel, aminek te a másodlagos serverre vagy, és akkor ha az elsődleges serverre nem tudnak majd levelet kézbesíteni, kapod te, mint másodlagos server [ha írtad, hogy azt a domaint elfogadod]. De ha DNS-ből látod, hogy van elsődleges server, akkor nem fogod helyileg kézbesíteni, hanem próbálod továbbadni az elsődleges servernek. Ha helyreállt, akkor tovább is adod neki [tehát ezzel egy tartalék servert tudsz csinálni a hálózatodon]. Hagyd üresen, ha nem vagy relay server [portszámot "::portszám"-al tudsz megadni]. Szóval röviden erről a részről: itt sorolhatjuk fel, hogy mik azok a domain-ek, amikre bárki küldhet rajtunk keresztül levelet. Alapból hagyd üresen.
  6. [Machines to relay mail for]: Mik azok az IP címek/tartományok, ahonnan jövő kapcsolattal az illető bárhova küldhet rajtunk keresztül levelet [Ide NE adjuk meg a pl.: "0.0.0.0"-át, vagy a "0.0.0.0/0", mert akkor a világban bárki küldhet rajtunk keresztül levelet. Ezt tilos beállítani az említett módon, mert a neten folyamatosan léteznek, scannelnek olyan botok, amik keresnek olyan címet, amin keresztül tudnak bárhova levelet küldeni - spammerek. Open Relay]. Hagyd üresen.
  7. [Keep number of DNS-queries minimal?] Ha csak nincs egy rendkívülien lassú kapcsolatod [ISDN, stb], "No".
    • "mbox format in /var/mail/": minden felhasználónévnek egy külön fájl, abban az egy darab fájlban minden levél, lassú, nehezen kezelhető.
    • "Maildir format in home directory": A felhasználó saját könyvtárába kerülnek a levelek, egy "Maildir" nevű mappába, azon belül is egy "cur", "new", és egy "tmp" alkönyvtárba, minden egyes levél külön fájlba. Ez jobb, mert a felhasználó saját dolgai a saját mappájában van, a levelek hozzáférése is gyorsabb, mert nem egy több gigás fájlban kell megkeresnünk a levelet, ami mellesleg egy sima textfile lenne, amit indexelni nem igazán lehetne. Tehát a választás inkább a Maildir legyen.

  8. [Split configuration into small files?]: Alapértelmezetten "No", de válaszd a "Yes"-t. Rakja a configokat külön kis fájlokba, egy nagy helyett - pl.: az átláthatóság miatt ["/etc/exim4/conf.d/"-be rakja őket]. Igazából a "/var/lib/exim4/config.autogenerated" fájlban lesznek a valódi beállítások, amik az Exim újraindításakor kerülnek generálásra ["/etc/init.d/exim4 restart"].
  9. Esetleg még megkérdi, hogy kinek menjenek a rendszerüzenetek, válaszd azt, akit szeretnél erre a célra [nem root, hanem hozz létre egy felhasználót].
IMAP:
apt-get install dovecot-imapd
Egyéb:
Vírus ellenőrzés:
apt-get install clamav clamav-daemon clamav-freshclam
A ClamAV fusson pl.: Daemon-ként, és válassz egy közeli mirror-t az adatbázisának frissítéséhez.
WebGUI a levelezéshez:
apt-get install horde3 imp4 turba2
Kérdezni fog egy pár dolgot, pl.: megjelenítésről, válaszd a default-okat, vagy pedig célod szerint.

További konfig


Hozzunk létre a megfelelő helyen egy "00_local" nevű saját config fájlt. Ezt az Exim észreveszi, és pl.: az esetlegesen saját filébe leírt/definiált változókat később nem fogja már feltétlenül legenerálni a gyári default-ra, hanem megmaradnak az általunk megadottak:
vim /etc/exim4/conf.d/main/00_local
A file [00_local]:
# Mondjuk meg az Exim-nek, hogy ki a virusscanner [tobb viruskeresot is be lehet allítani, de akkor az acl-nel kell allitgatni, de eleg a ClamAV]:
av_scanner = clamd:/var/run/clamav/clamd.ctl

# legyen egy file, amibe szeretnenk irni egy par szabalyt
CHECK_DATA_LOCAL_ACL_FILE = /etc/exim4/local_data_acl

Itt kereshetünk local változókat [de nincs mindegyik gyárilag definiálva]: "/etc/exim4/exim4.conf.template", pl.: a "00_local"-ba definiálhatunk dolgokat, ha kell.
Exim4-hez az ACL file tartalma, amire előbb hivatkoztunk [kinézete: 1 - megmondom, hogy mit akarok, 2 - milyen feltételekkel]:
vim /etc/exim4/local_data_acl
Így néz ki a file [local_data_acl]:
accept hosts = 127.0.0.1 # ha localhost-rol jon a level, akkor nem kell virusellenorzes

deny # deny, azaz SMTP REJECT-et kap az illeto, at sem veszem a levelet, RFC szerint [de "drop"-olni is lehet, a kuldo nem fogja tudni, hogy en azt a levelet eldobtam]
 message = Tiltott kiterjesztes: $found_extension
 demime = com:ovl:sys:dll:vbs:exe:msi:bat:cmd

#deny # ha el szeretnenk dobni a virusos leveleket [hashmark-ba raktam, mert most csak proba]
# message = Virusos tartalom ($malware_name), hasznalj inkabb Linuxot.
# malware = *

warn # csak egy figyelmeztetest rakjon a virusos levelek vegere
 message = Virusos tartalom ($malware_name), hasznalj inkabb Linuxot.
 malware = *

warn # a levelek vegere szurhatunk sajat uzenetet, felteve ha a level atment minden szuron
 message = X-Reklam-Helye: virusellenoriztuk a levelet.
A nemrégi telepítéskori 9)-es pontban említetten a :
/etc/init.d/exim4 restart
paranccsal tudod a saját configjaidat bevinni az Exim-be, mármint ekkor ő legenerálja neked a "/var/lib/exim4/config.autogenerated" fájlt, amiben valóban tárolja a beállításokat, csak mi szétszedtük őket, a könnyebb kezelhetőség miatt.
Ez után adjuk hozzá a "clamav" felhasználót a "Debian-exim"-csoporthoz, mert különben a clamav nem fogja tudni elérni a megfelelő könyvtárakat:
adduser clamav Debian-exim
Nézzük meg, hogy biztos hozzá-e lett adva az adott user a csoporthoz:
groups clamav
Ha azt írja, hogy: "clamav Debian-exim", akkor ok.
Még hátra van az authentikáció beállítása. [Megjegyzés: authentikáció: pl.: felhasználónév/jelszó párossal azonosítani valamit/valakit. Authorizáció: Meggyőződni a fél, vagy felek személyazonosságáról, pl.: tanúsítványok használatával.]

Smarthost használata esetén [csak akkor] a "/etc/exim4/passwd.client"-fájlba kell beleírni a mailserver nevét, kettőspont felhasználónév, kettőspont jelszó. Azon túl az Exim a kimenő leveleknél authentikálni fogja magát, azon a serveren, ahová küld [csak vigyázz, hogy a tényleges neve legyen a server neve].

A bejövő SMTP authentikációhoz a "/etc/exim4/conf.d/auth/" mappában találhatsz "mintákat". Módosítsd benne egy pár dolgot [hashmark jelet vedd ki egy pár sor elől], tehát:
vim /etc/exim4/conf.d/auth/30_exim4-config_examples
és a "plain_server:"-résztől kezdődően vedd ki a sorok elől a hasmark jelet, egészen a ".endif" részig. Ugyan így a ".endif" részig vedd ki a commenteket a "login_server:"-rész elől is. Még vedd ki a megjegyzésből a "cram_md5_server"-el kezdődő sorokat is, egészen a "server_set_id = $auth1"-ig.

A felhasználóknak a "/etc/exim4/passwd" filében kell lenniük [usernev:md5-elkodolt-jelszo:simajelszo]. [de "htpasswd"-el is kompatibilis] tehát:
vim /etc/exim4/passwd
A file [passwd]:
gipszj:md5-elkodolt-jelszo:simajelszo
usernev1:md5-elkodolt-jelszo:simajelszo
usernev2:md5-elkodolt-jelszo2:simajelszo2
Ha nincs cleartext jelszó [sima jelszó], akkor nem fognak működni a challenge-response alapú authentikációk, mint pl.: a cram-md5, ami egy fokkal biztonságosabb, ha nem TLS-t [titkosított kapcsolatot] használunk. Ha beleírjuk a cleartext jelszót, akkor menni fognak ezek, de viszont érthető okokból nem a legjobb.

Ellenőrizzük, hogy működik-e

Küldjünk egy levelet a "gipszj" felhasználónak.
Tudjuk, hogy mit adtunk meg domain névnek anno. [A "valami.hu" helyére a pl.: hostname menjen], off]:
echo "ez a mailszoveg" | mail -s "valami-targy" gipszj@valami.hu
Nézzük meg, hogy meg-e érkezett az e-mail a user "Maildir" mappájába:
cd /home/gipszj/Maildir/new
Ok, megérkezett, csak próbáljunk ki egy másik "módszert" :) :
A "$ "-el jelzem, hogy azt gépelni kell, "."-al jelezzük, hogy vége az e-mailnek.]
$ telnet IPCIM 25
Trying IPCIM...
Connected to IPCIM
Escape character is '^]'.
220 valami.hu ESMTP Exim 4.69 Fri, 7 Aug 2009 15:00:00 +0200
$ mail from: gipszj@valami.hu
250 OK
$ rcpt to: gipszj@localhost
$ data
$ From: Gipszj <gipszj@valami.hu>
$ To: Gipszj <gipszj@valami.hu>
$ Subject: barmi
$ safasdfsafas
$ asdfasdf
$ .
$ quit
A "/home/usernev/Maildir" mappában kellene lennie a levélnek, a "new"-ban.

Webmail beállítása

Lehessenek logok:
touch /var/log/horde/horde3.log
chown root:www-data /var/log/horde/horde3.log
chmod 770 /var/log/horde/horde3.log
Most vagy állítsuk be az apache config-jában, hogy hol van a horde mappája, vagy pedig készítsünk egy symlink-et.
ln -s /usr/share/horde3 /var/www/
Telepítsük fel a mysql-server-5.0-át:
apt-get install mysql-server-5.0
Adjunk egy jó jelszót a telepítéskor, majd válasszuk a "No-t" [Support MySQL connections from hosts running Debian "sarge" or older?].
Ez után a mysql-es example-t másoljunk a pl.: "/tmp"-be:
cp /usr/share/doc/horde3/examples/scripts/sql/create.mysql.sql.gz /tmp/
Majd tömörítsük ki a ".gz" filét:
cd /tmp/
gunzip create.mysql.sql.gz
Majd szerkesszük meg Vim-el:
vim /tmp/create.mysql.sql

REPLACE INTO user (host, user, password)
    VALUES (
        'localhost',
        'horde',
-- IMPORTANT: Change this password.
        PASSWORD('horde')
);
A "horde" password-öt módosítsuk másra, pl.: valami értelmes jelszóra. Ez után:
mysql -u root -p < /tmp/create.mysql.sql
A "/etc/horde/horde3/"-ban szerkesszük meg a "registry.php" filét, miszerint nekünk kell "active"-á tenni az egyed "modulokat":
vim /etc/horde/horde3/registry.php
És az "imp" résznél, a "statust" állítsuk "active"-ra, az "inactive"-ról. Ugyan így a "turba" résznél is legyen a "status" "active".
Még az IMP, és a Turba SQL-es részét adjuk hozzá:
mysql -u root -p horde < /usr/share/doc/imp4/examples/scripts/sql/imp.sql
mysql -u root -p horde < /usr/share/doc/turba2/examples/scripts/sql/turba.sql

A "/etc/horde/imp4"-en belül a "servers.php"-t módosítsd a "$servers['imap']" résznél:
vim /etc/horde/imp4/servers.php
  • A " 'server' => 'imap.example.com' " helyett legyen: " 'server => 'localhost' "
  • A " 'protocol' => 'imap/notls' " helyett legyen: " 'protocol' => 'imap/ssl/novalidate-cert' "
  • A " 'port' => 143 " helyett legyen: " 'port' => 993 "
  • A " 'maildomain' => 'example.com' " helyett legyen pl.: : " 'maildomain' => 'localhost.lan' "
  • A " 'smtphost' => 'smtp.example.com' " helyett legyen " 'smtphost' => 'localhost' "
Most módosítsd a jogosultságokat egy pár filénél, hogy a webes felületen beállíthassunk egy-két dolgot:
chmod 777 /etc/horde/horde3/conf.php
touch /etc/horde/horde3/conf.bak.php
chmod 777 /etc/horde/horde3/conf.bak.php
ifconfig-al tudjuk meg a gépünk IP címét, és írjuk be egy másik gépen egy böngészőbe azt, pl.: "XXX.XXX.XXX.XXX/horde3/". Egy üzenet fogad bennünket: "Horde3 configuration disabled by default because the administration/install wizard gives the whole world too much access to the system. Read /usr/share/doc/horde3/README.Debian.gz on how to allow access." - Ezt javítsuk ki:
vim /etc/horde/horde3/conf.php
Szóval megnyitottuk szerkesztésre a "conf.php" filét, itt vegyük ki a második, és a harmadik sort [ügyelve, hogy a "<?php" maradjon meg az elején! :D]. Az általunk kitörölt üzenettel találkoztunk előzőleg a böngészőben [+ a harmadik sorban van egy "exit (0)", amit szintén törlünk]. De nem muszáj kitörölni ezeket a sorokat, "//"-eket is rakhatunk eléjük, ezzel commentbe helyezve őket.
Most következik egy pár webes felületen történő beállítás [ekkor még hibaüzeneteket láthatunk bőven "webgui"-n, és a jogosultságokat kell majd állítani előtte a serveren]:

IMP-nél:
chmod 777 /etc/horde/imp4/conf.php
touch /etc/horde/imp4/conf.bak.php
chmod 777 /etc/horde/imp4/conf.bak.php
A "http://serverIPcíme/horde3/"-re lépve menjünk az Administration-Setup részben a "Mail (imp)"-re kattintva menjünk a "Generate"-re, ok, legenerálta a config filéjét, most módosítsuk vissza a jogosultságokat:
chmod 644 /etc/horde/imp4/conf.php
chmod 600 /etc/horde/imp4/conf.bak.php
Most a Turba2:
chmod 777 /etc/horde/turba2/conf.php
touch /etc/horde/turba2/conf.bak.php
chmod 777 /etc/horde/turba2/conf.bak.php
Ok, super, miután kész, még a turba2-őt is generáljuk le, lépjünk az "Administration/Setup"-on belül az "Address Book (turba)"-ra, majd "Generate Address Book Configuration".
Állítsuk megint vissza a jogokat:
chmod 644 /etc/horde/turba2/conf.php
chmod 700 /etc/horde/turba2/conf.bak.php
A "Horde (horde)"-re kattintva előjön "rengeteg" fül:
  • Database fül:
    • A "$conf[sql][phptype]"-nál válaszd a "MySQL"-t.
    • $conf[sql][username]: horde
    • $conf[sql][password]: sql-jelszod
    • $conf[sql][socket]: /var/run/mysqld/mysqld.sock
    • $conf[sql][database]: horde
    • $conf[sql][charset]: utf-8
  • Authentication fül:
    • $conf[auth][admins]: gipszj
    • $conf[auth][driver]: "Let a Horde application handle authentication"
    • $conf[auth][params][app]: imp
  • Logging fül:
    • $conf[log][enabled]: "Yes"
  • Preference System fül:
    • $conf[prefs][driver]: "SQL Database"
  • Alarm System fül:
    • $conf[alarms][driver]: "SQL Database"
  • DataTree System fül:
    • $conf[datatree][driver]: "SQL Database"
Most katt a "Generate Horde Configuration"-ra.

Állítsuk vissza a jogokat:
chmod 644 /etc/horde/horde3/conf.php
chmod 600 /etc/horde/horde3/conf.bak.php

Reboot, majd majd bejelentkezés, az én esetemben "gipszj" felhasználóval [mármint webes felületen egy logout után].

ui.: _Czakó Krisztián és Haluska György szavai alapján_ [egy Rossz minőségű diktafon felvételből+".bash_history"-ból+kevés idő megbeszélésre :D], szóval ha bármi hiba: FIXME. Bármilyen helyesbítést/kiegészítést szívesen várok.
ui2.: Configuring Horde Debian Wiki
ui3.: Utólag találtam 1-2 howto-t: Exim4 + Courier + SSL on Debian etch mini-HOWTO
ui4.: Exim4 + ClamAV + SpamAssassin + Greylistd on Debian etch mini-HOWTO
ui5.: Exim4 + Mailman + Apache2 on Debian etch mini-HOWTO
ui6.: még egy link, link2, link3, link4, link5, link6.

2009. augusztus 17., hétfő

# Kapcsolódás FTP/FTPS/SFTP serverhez


Ha már volt ftp serveres véset, írok egyet, hogyan lehet kapcsolódni hozzá... :)

Grafikus felületen

  • Először is, mielőtt bármit elkezdenél, légy biztos abban, hogy a gép, amin vagy, tiszta, nem vírusos, nincsenek rajta olyan programok [keyloggerek], amik lelesik a jelszód - friss vírusirtó [pl.: az ingyenes comodo], amit le is futtatsz néha - legyen. Bizonyos időközönként pedig legyen tiszta telepítéssel újratelepítve a géped, ha windows.
    Még ne felejtsd el, hogy a hálókártyáknak létezik Promiscuous módja, ergo egy HUB párossal szépen el lehet lopni [vagy egy hasznos link a SWITCH-ekről :) link1, link2 ] a nem titkosított, pl.: FTP jelszavaidat, mármint pl.: egy netkávézóban, ahol mások is vannak rajtad kívül a hálózaton [szóval ha lehet ne nagyon lépj be, idegen, nem ellenőrzött helyekről/gépekről, vagy ha igen, akkor utána módosítsd a jelszavad, ami ne legyen szótári szó, becenév, kutyád neve, stb, minimum 8-10 karakter, kis-nagy betűk, speciális karakterek keveréke, és csak te tudd, hogy mi az, ennyi]. Kellemetlen érzés, ha ellopják az ember jelszavát a tudta, vagy a nélkül, és akár felhasználják anyagi, vagy "szellemi" kár okozására, gondolkodj felelősséggel.
    [Extra: NoScript, CCleaner használata.]

  • Másodszor is neked kell tudni egy pár adatot, onnan, ahová be akarsz lépni:
    1. server címe [pl.: "valami.hu", vagy pl.: egy ip cím]
    2. felhasználói neved [bejelentkezési név]
    3. jelszód
    4. kapcsolódáshoz szükséges portszám [ha nem adnak meg, akkor a kliens program "tudni fogja", mivel egy alapértelmezettet fog használni]
    5. azt, hogy FTP/FTPS, vagy SFTP-n keresztül kell-e kapcsolódni

Ha ezek megvannak, akkor mehetünk tovább.
Egy jó FTP kliens program [FileZilla] telepítése/indítása:
  • Töltsd le a FileZilla nevű kliens-t [Magyar nyelvű], a hivatalos oldaláról: http://filezilla-project.org/download.php?type=client
    A "FileZilla_x.x.x_win32.zip"-et szedd le [windows esetén]. Az x-ek a verziószámot jelölik csak. Mindig a legfrissebbet kell használni! [Nem csak egy FTP kliens programból].

  • Jobb egér a letöltött filére, majd "Az összes kibontása...", majd a "Tovább" gombokra katt egy párszor.
  • Ok, most lépj bele a kitömörített mappába [vagy pedig automatikusan belelép neked, és felhozza az ablakát].
  • FileZilla nevű mappákban addig keress, ameddig nem találsz egy "filezilla.exe" nevű fájlt.

  • A "filezilla.exe" nevű fájlt nevezd át bármire, pl.: "lkdfjlasfd.exe".
  • Ok, most a pl.: "lkdfjlasfd.exe" lesz a program indítója, katt rá kétszer.
Program végre feltelepítve, már el is van indítva, most jöjjenek a továbbiak [három féle kapcsolódási "típus", azt válaszd, amit mondtak neked]:
  • FTP esetén: A program bal felső sarka felé találhatsz üres mezőket, amiket neked kell kitölteni, pl.: "Cím" [server címe], vagy "Felhasználónév", "Jelszó". A "Port"-hoz akkor írj portszámot, ha azt külön mondták/megadták. Miután kitöltötted ezt a pár adatot, csak üss enter-t, és már be is jelentkezik az FTP kliens program a serverre [ha nem, akkor felül ki fog írni hibaüzeneteket, amiből lehet következtetni, hogy mi lehet a hiba, pl.: lehet, hogy a gépeden levő tűzfalprogram nem engedi az FTP-t, vagy a windows beépített tűzfala blokkolja, vagy elírt jelszó, stb]. Ha megszakad a kapcsolat, akkor próbálj újra csatlakozni.

  • FTPS-nél: Ha ilyen kapcsolódási típust adtak meg, akkor hál' égnek már titkosított lesz a kapcsolat, nem lopják csak úgy el a jelszavad. A FileZilla-ban nyomj egy "Ctrl+s"-t [a bal Ctrl], hogy felhozd a "Kedvenc Helyek" ablakot.
    Katt az "Új állomás" gombra, és ugyan úgy töltsd ki a kért mezőket, "Cím", "Port", "Adatkapcsolat típusa" [itt válaszd az FTPES-t [explicit FTPS]], "Bejelentkezés típusa" ["Jelszó bekérése"], "Felhasználónév". Ha kész, akkor katt a "Csatlakozás gombra", és kérni fog jelszót, ez után feljön még egy ablak, miszerint fogadd el a server tanúsítványát [pipáld is be, hogy ezentúl ebben megbízol, és legalább ha változna valami a serveren, akkor kiírná, hogy héhé, megváltozott a tanúsítvány!!], katt az "OK"-ra. Kész, bejelentkeztél.

  • SFTP: Ugyanaz, mint az FTPS-nél, csak az "Adatkapcsolat típusa" legyen SFTP.

A program két fő ablakból áll: jobb oldalt vagy bejelentkezve a serverre, az ottani fájlokat láthatod, bal oldalon pedig a te helyi géped fájljai vannak. Ha valamit fel/le akarsz tölteni, akkor csak fogd meg az egérrel,és húzd át a másik oldalra [gépedre, vagy a serverre]. Kilépéshez csak zárd be a FileZilla-t.
Ha fel/letöltötted, amit akartál, és nem fogod használni az FTP-t egy ideig, akkor töröld ki a FileZilla mappáját, és következő alkalommal töltsd le újra, tömörítsd ki, nevezd át, stb..

GUI nélkül [Linux alatt]

Természetesen ugyan úgy megvan a FileZilla Linux alatt is grafikus felülettel, de azt már elmondtam.
  • FTP:
    ftp IPCIM portszam
  • Ezt után kérni fog felhasználó nevet, majd jelszót.
  • FTPS: Az ftp-ssl csomag kelleni fog:
    ftp-ssl IPCIM PORTSZAM
  • SFTP:
    sftp -oPort=PORTSZAM FELHASZNALONEV@IPCIM
Ha írsz bejelentkezés után egy kérdőjelet ["?"], akkor megkapod az összes parancsot amit kiadhatsz, put, ls, get, cd, mkdir, stb., pl.: ha "!vim valami.txt"-t írsz, akkor azzal elkezdesz szerkeszteni egy szöveges filét [valami.txt] a serveren.

ui.: Active FTP vs. Passive FTP, a Definitive Explanation
ui2.: Tűzfal scriptek itt
ui3.: Hup.hu link
ui4.: link

2009. augusztus 6., csütörtök

# Nmap [mármint megfelelő port kiválasztása]


Bizonyos szolgáltatásoknál jó, ha nem az alapértelmezett portot használjuk. De akkor melyiket helyette?
Lehetőleg olyant, amit pl.: az nmap ezzel a paranccsal:
nmap -sS -A IPCÍM
nem lát, tehát valami olyan portot, amit amúgy más szolgáltatás ~nem használna, vagy kerüljük a ""jellegzetes számokat"", pl.: 10000, 20000, stb.

ui.: Azért lett ez az "érdekes" bejegyzés, mert később hivatkozni fogok rá.

2009. augusztus 1., szombat

# Volume control OSD - windows


Hangerő szint kijelzése/állítása OSD-el, ~2 perc:
  1. Menj el ennek az oldalnak az aljára: http://www.nirsoft.net/utils/volumouse.html

  2. Ahol megtalálod a "Download self-install executable for automatic installation (volumouse_setup.exe)" letöltési linket.

  3. A "volumouse_setup.exe"-re katt kétszer, majd "Next-Next-Next-Finish"

  4. A "start menü/programok"-ban megtalálhatsz egy "NirSoft Volumouse/Volumouse" parancsikont, katt rá.

  5. Láthatsz egy "Alt key is down" legörgethető menüt, ezt állítsd át "Ctrl key is down"-ra.

  6. Majd ugyan ebben a sorban, a jobb oldalán a "More..."-ra kattints.

  7. A feljövő ablakban az "Indicator Options"-nél válaszd "Type"-nak az: "On Screen Display"-t. Ok gomb.

  8. Visszatérve a program főablakához rakj egy pipát a "Load Volumouse at startup"-ra, és vedd el a pipát a "Display icon in the system tray"-ből, majd "Ok" gomb.

Használata: Csak tartsd lenyomva a bal Ctrl-t, miközben az egér görgőjét görgeted.

ui.: Innen! - Köszönet bolond-nak!
ui2.: kérésre