2009-10-25

在Ubuntu上架VPN服務:PPTPD設定

其實這個任務在暑假老師就已經交給我,只是那個時候為了將實驗室伺服器的服務從windows環境移到Linux環境就已經花了不少時間,在最後處理VPN時又出了些問題,試過百百種方法都沒辦法而作罷了,想說之後有時間再弄。正巧最近茂伯資格考結束後老師又提及了這個東西,所以在茂伯的助力之下幫我搞定了,算是了了一樁心事!:D

當初遇到的問題是雖然區網外部可以登入伺服器,卻無法瀏覽區網內的資源。最後茂伯搞定後才知道有些地方是我弄錯以及網路上所寫的有些不完全正確,另外iptable也是問題之一。知道問題點就好辦啦!綜合了幾個網站的筆記,終於連線部份都可以正常連線了。將幾個比較需要注意的的地方筆記下來!

對於pptpd主要共有三個設定檔要設定:
/etc/pptpd.conf
  • localip 參數為本機伺服器的IP位址(設成網域名稱也可)。
  • remoteip 參數為本機伺服器要發給登入使用者的IP,例如:192.168.10.20-30表示登入的使用者會取得此範圍的其中一個IP,換句話說可以有10個使用者同時上線。必須為本機網段合法IP,所謂合法即是尚未使用的可使用IP。

/etc/ppp/pptpd-options
  • name 為本機伺服器的名稱驗證用,必須與chap-secrets中的第二個欄位相同。
  • ms-dns 連線時的DNS位址,可以有兩個以上。

/etc/ppp/chap-secrets
  • 第一欄,設定登入帳號。
  • 第二欄,伺服器名稱。必須與pptpd-options的name相同;若設為 *,與name不同也無妨。
  • 第三欄,設定登入的密碼。
  • 第四欄,要配給此帳號的IP位址。可指定為pptpd.conf中remoteip範圍內的其中一個IP;若設為 *,則表示由系統隨意配置remoteip範圍中的一個。

完成以上設定並連線後,可能會發生除了可以瀏覽伺服器的資源外,無法透過伺服器連線到其他(包含與伺服器相同網域或區網外)的資源。所以為了讓使用者的封包出去,必須修改/etc/sysctl.conf,找到下面這行取消註釋:
net.ipv4.ip_forward=1 #啟動IPv4封包的轉送
利用以下指令讓新的設定生效:
$ sudo sysctl -p

另外,安裝iptable並且加入規則:
$ sudo apt-get install iptables
$ sudo iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport 47 -j ACCEPT
$ sudo iptables -A INPUT -p gre -j ACCEPT
$ sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j
 MASQUERADE

$ sudo iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --tcp-flags
 SYN,RST SYN -j TCPMSS --set-mss 1200


#上述192.168.0.0/16參數視網路環境而定。

為防止iptables的規則在下次重啟時被清除:
$ sudo iptables-save > /etc/iptables-rules
修改/etc/network/interfaces,在eth0的設定最後(在auto eth0前面)面加入:
pre-up iptables-restore < /etc/iptables-rules

--
Ubuntu 9.04
--
參考/相關網址:
1.linux流浪貓 - pptpd iptables配置
2.2008CNL03
3.Jamyy's Weblog: PPTP VPN實作
4.機娘調教日誌 << http404error
5.IT台灣郎: CentOS v5.2安裝PPTP Server
6.花兒開了 - 單網卡 Ubuntu 服務器打造 PPTP Server
Read rest of entry

2009-07-12

php網頁遭到植入eval(base64_decode())的批次清除方式

事情發生在前幾天,偶然的狀況下想去修改一下當初一進實驗室所搞的系統。赫然發現php網頁原始碼最上面多了一行詭異的程式碼,心裡還想是不是自己寫上去的,畢竟自從系統上線後到現在也有半年沒去碰了。直到我修改了第二個php網頁,也看到有相同的程式碼。說實在的,就連在網頁管理上沒有什麼經驗的我,也已經可以確定那個一定是被惡意植入,一定不是我寫的。

Google大神告訴了我那的確是被木馬所植入,於是乎看到base64_decode函式之後,馬上尋找解碼的網站並且將代碼複製進去,結果大致看起來跟moodle教學論壇有關係。馬上聯想到前些時候系上網管告知我們實驗室的moodle系統一直隨意發送認證通知信之類的不正常行為,我想大概跟這個脫離不了關係了。

查了一下網路上能夠的解決方式不外乎就是刪掉那一行並且找出木馬之類的,而之前學長有提到要將我們的Webserver移到Linux系統上,所以那個木馬就不管他了,直接把所有php檔清乾淨就好!:D

開啟空白檔案,輸入以下bash script:

#!/bin/bash

find . -name '*.php*' |
(
while read -r file; do
sed "/eval(base64_decode('LOADS_OF_CHARACTER'));/d" "$file" > "temp" && mv "temp" "$file"
done
)

註:其中LOADS_OF_CHARACTER就是那一長串代碼。


存成 *.sh 檔後,在要清除的php相同目錄下執行即可。

這支bash script的作用其實只是將所有php網頁中有"eval(base64_decode('LOADS_OF_CHARACTER'));"這行移除掉這樣而已,不過還頗方便的:)

--
Ubuntu 9.04
--
參考/相關網址:
 1.Yahoo!ANSWERS - How do I recursively find and remove parts of PHP files?
Read rest of entry

2009-07-11

SSH跳板連線設定

在Linux系統下,有遠端操作的需求時,通常使用的方法就是透過SSH連線(桌面的話大概就是用VNC)。若SSH安裝好後沒有經過特別的設定,基本上只要電腦是暴露在網際網路上,任何人就可以一直try帳號密碼(沒有其他安全措施保護的前提下)。所以如果在網路環境中已經擁有一台有提供安全防護機制以及可供個人登錄SSH服務的主機時,我們就可以藉由這台主機作為跳板進行連線,這樣就可以多了一層保護。

例如說,現在我實驗室的桌機開了SSH連線,再沒有任何的設定時,區網(非私有網域)內外都可以嘗試對我的桌機進行SSH連線。由於系上有提供一台可供每個學生登錄的MailServer,該Server有提供一些安全防護的機制,所以我規劃了以下的連線策略:實驗室內的網段可以直接SSH連線至我的主機,而其他網域的SSH連線必須先經由該MailServer再連線進來。設定方法如下(範例):

設定allow的規則
$ sudo vi /etc/hosts.allow
加入下列幾行:
sshd:140.1xx.xxx.xxx/255.255.255.224  #允許實驗室網段對本機進行sshd程序的連線
sshd:140.1xx.yyy.yyy            #允許MailServer對本機進行sshd程序的連線
vsftpd:ALL                   #允許所有對本機進行vsftpd程序的連線


設定deny的規則
$ sudo vi /etc/hosts.deny
加入下列一行:
ALL:ALL  #除了allow定義之外的所有程序所有連線均禁止。

--
Ubuntu 9.04
--
參考書目/資料來源:
 育嘉大大
Read rest of entry
 

My Favorite Stuff

Akon - We Don't Care
(Official Music Video)

Official AKON Website
About AKON(from Wiki)

My Links

Blogger
Others

Blog Statistics