Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ubuntu:18-04_server_install [2019/03/10 17:13] – [Installation Ubuntu 18.04 Server] Nervig: SSH Connection timeout Sebastian Hetzel
+++ ubuntu:18-04_server_install [2019/06/27 23:02] (aktuell) – [Reaktivierung von ifupdown] Deaktivierung weiterer Dienst Sebastian Hetzel
@@ Zeile 3: / Zeile 3: @@
 An dieser Stelle ist das Basis-Setup bereits durchgeführt.
+**Hinweis zur Ubuntu-18.04-Installations-CD / ISO:** \\ Wird das Setup auf Deutsch umgestellt, dann ist es nicht möglich, manuell eine IP-Konfiguration während des Setups zu definieren. Dies scheint ein Bug zu sein, da die Möglichkeit bei der Installation mit der Locale "EN-US" besteht!
+===== APT-Paketserver =====
+Ändert die APT-Quelle von den regionalen Paketserver auf die Hauptserver von Ubuntu.
+<code>
+# sed -i 's|http://de.|http://|g' /etc/apt/sources.list
+</code>
 ===== Nervig: SSH Connection timeout =====
@@ Zeile 54: / Zeile 62: @@
 ===== Reaktivierung von ifupdown =====
-Um netplan zu deaktivieren / deinstallieren, muss lediglich das Paket ifupdown installiert werden:
+Um netplan.io zu deaktivieren, muss lediglich das Paket ifupdown installiert werden. **Die Deinstallation von netplan.io ist nicht empfehlenswert**, insbesondere dann nicht, wenn die Deaktivierung via SSH vorgenommen wird. Nach der Deinstallation ist ein Zugriff via IP nicht mehr möglich. Es muss auf die Konsole ausgewichen werden!
 <code>
@@ Zeile 87: / Zeile 95: @@
 systemctl stop systemd-resolved.service
 systemctl mask systemd-resolved.service
+</code>
+<code>
+systemctl disable systemd-networkd-wait-online.service
+systemctl stop systemd-networkd-wait-online.service
+systemctl mask systemd-networkd-wait-online.service
 </code>
 <code>reboot</code>
+===== IPv6 abschalten =====
+<file | /etc/sysctl.conf>
+[...]
+#disable ipv6
+net.ipv6.conf.all.disable_ipv6 = 1
+net.ipv6.conf.default.disable_ipv6 = 1
+net.ipv6.conf.lo.disable_ipv6 = 1
+</file>
 ===== NTP Client =====
@@ Zeile 282: / Zeile 306: @@
 <code>
 touch /var/log/iptables.log
-chown syslog.adm touch /var/log/iptables.log
+chown syslog.adm /var/log/iptables.log
 </code>
 Die Änderungen werden erst nach einem Dienstneustart übernommen.
-<code>service rsyslogd restart</code>
+<code>service rsyslog restart</code>
 Das Logfile wird schnell groß und sollter daher rotiert werden:
@@ Zeile 304: / Zeile 328: @@
 }
 </file>
+===== Fail2Ban =====
+Fail2Ban sollte meiner Meinung nach auf jeder Maschine laufen, die über SSH im Internet administriert wird. Natürlich ist die Absicherung weiterer Dienste wie SMTP, FTP, usw. ebenso sinnvoll.
+==== Installation und erste Konfiguration ====
+<code>
+# aptitude install fail2ban
+</code>
+<file >
+[...]
+# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban
+# will not ban a host which matches an address in this list. Several addresses
+# can be defined using space (and/or comma) separator.
+#ignoreip = 127.0.0.1/8 ::1
+ignoreip = 127.0.0.1/8
+[...]
+# External command that will take an tagged arguments to ignore, e.g. <ip>,
+# and return true if the IP is to be ignored. False otherwise.
+#
+# ignorecommand = /path/to/command <ip>
+ignorecommand =
+# "bantime" is the number of seconds that a host is banned.
+bantime  = 86400
+# A host is banned if it has generated "maxretry" during the last "findtime"
+# seconds.
+findtime  = 600
+# "maxretry" is the number of failures before a host get banned.
+maxretry = 6
+[...]
+#
+# JAILS
+#
+#
+# SSH servers
+#
+[sshd]
+enabled = true
+# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
+# normal (default), ddos, extra or aggressive (combines all).
+# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
+#mode   = normal
+port    = 4444
+logpath = %(sshd_log)s
+backend = %(sshd_backend)s
+[...]
+</file>
+==== IP entsperren ====
+<code>
+# fail2ban-client set <JAIL> unbanip <IP>
+</code>