Creiamo un nuovo file chiamato /etc/fail2ban/filter.d/wordpress.conf in cui scriviamo:

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*(/wp-login.php|/xmlrpc.php).*" 200
ignoreregex =

Ora inseriamo nel file /etc/fail2ban/jail.d/defaults-debian.conf queste righe:

[wordpress]
enabled = true
port = http,https
logpath = %(apache_access_log)s
filter = wordpress
maxretry = 5
findtime = 1800
bantime = 3600

(in questo esempio controllo se ci sono almeno 5 tentativi in 1800 secondi (30 minuti), blocco quindi per 3600 secondi (1 ora) riavviamo fail2ban:

systemctl restart fail2ban.service

e dopo qualche minuto vediamo come la regola sta funzionando:

fail2ban-client status wordpress

enjoy!

Ci sono però degli script che semplificano diverse procedure su raspbian, come ad esempio la creazione di un server VPN basato su OpenVPN o WireGuard. OpenVPN è forse la VPN più conosciuta, stabile e sicura, mentre WireGuard è una “nuova” VPN più performante della prima, sicuramente da provare.

La procedura di installazione è comunque sta stessa, sia per l’una che l’altra. Innanzitutto aggiorniamo la nostra distro con:

apt update && apt full-upgrade

A questo punto digitiamo:

curl -L https://install.pivpn.io | bash

e seguiamo la procedura guidata

Bene, a questo punto per aggiungere un nuovo client digitare:

pivpn add

Per visualizzare una guida all’uso:

pivpn help

enjoy!

Consiglio quindi di dare un’occhiata a https://ssl-config.mozilla.org/ per generare la corretta configurazione da inserire nel proprio server web.
In realtà il sito offre supporto anche per altri servizi server (MySQL, Postfix, ProFTPD, etc), dategli un’occhiata…

enjoy!

VAL_IF=`/sbin/route | grep -w $i`

con

VAL_IF=`/sbin/ip route | grep -w $i`

Provate ad eseguire apf -s e se tutto a posto, vedrete la conferma a video della creazione delle varie chain in iptables.

enjoy!

pip install --upgrade setuptools
pip install --upgrade sslyze

e poi per avviarlo:

python -m sslyze --regular www.smsoft.it

enjoy!

VAL_IF=/sbin/route -n | grep -w $i

con

VAL_IF=/sbin/ip route | grep -w $i

Provate ad eseguire apf -s e se tutto a posto, vedrete la conferma a video della creazione delle varie chain in iptables.

enjoy!

All’indirizzo http://download.bareos.org/bareos/release/17.2/Debian_9.0/ è possibile vedere l’ultima versione rilasciata per Debian 9.

Creiamo il file /etc/apt/sources.list.d/bareos.list ed inseriamo il seguente contenuto:
echo "deb http://download.bareos.org/bareos/release/17.2/Debian_9.0/ /" >/etc/apt/sources.list.d/bareos.list

Aggiungiamo la chiave del repository:
wget -q http://download.bareos.org/bareos/release/17.2/Debian_9.0/Release.key -O- | apt-key add -

Aggiorniamo apt:
apt-get update

A questo punto installiamo i pacchetti necessari. Come database io ho usato sqlite3, perché per il mio progetto non serviva altro, ma volendo si può usare anche mysql o postgres come backend DB.
Procediamo:
apt-get install bareos bareos-director bareos-storage bareos-client bareos-bconsole bareos-tools bareos-filedaemon bareos-common bareos-database-common bareos-database-tools bareos-database-sqlite3

Avviamo i vari servizi:
service bareos-dir start
service bareos-sd start
service bareos-fd start

Installiamo anche bareos-webui:
apt-get install bareos-webui

Riavviamo apache:
service apache2 restart

Il file di configurazione sarà posizionato in /etc/apache2/conf-available/bareos-webui.conf

Aggiungiamo un utente per poter accedere a bareos-webui. Questo lo facciamo con bconsole:
bconsole
configure add console name=admin password=secret profile=webui-admin
quit

I dati di connessione saranno quelli qui definiti e verrà creato (come indicato nella risposta al precedente comando) in automatico il file /etc/bareos/bareos-dir.d/console/admin.conf.

Per eventuali modifiche manuali al file, ricordarsi di riavviare il director:
service bareos-dir restart

Bene, ora richiamiamo nel nostro browser bareos-webui, http://XXX.XXX.XXX.XXX/bareos-webui dove XXX.XXX.XXX.XXX sarà l’IP o il nome del server di backup.

Aggiungere un client
Per un client linux Debian, la procedura è abbastanza semplice, per altri sistemi bisogna recuperare il pacchetto del client da http://download.bareos.org/bareos/release/17.2/.

Vediamo come aggiungere un client debian.
[LATO CLIENT]
Creiamo il file /etc/apt/sources.list.d/bareos.list ed inseriamo il seguente contenuto:
echo "deb http://download.bareos.org/bareos/release/17.2/Debian_9.0/ /" >/etc/apt/sources.list.d/bareos.list

Aggiungiamo la chiave del repository:
wget -q http://download.bareos.org/bareos/release/17.2/Debian_9.0/Release.key -O- | apt-key add -

Aggiorniamo apt:
apt-get update

Installiamo il solo pacchetto client:
apt-get install bareos-filedaemon

Se occorre anche bconsole per la gestione da remoto:
apt-get install bareos-filedaemon bareos-bconsole

[LATO SERVER]
Innanzitutto assicuriamoci che il campo “Address” del file /etc/bareos/bareos-dir.d/storage/File.conf contenga il FQDN del server, altrimenti il client non riuscirà a collegarsi.

Avviamo bconsole ed aggiungiamo i riferimenti per il client:
bconsole
configure add client name=client2-fd address=192.168.1.2 password=secret

dove client2-fd sarà il nome del client, 192.168.1.2 e secret la password.

Questo creerà due files:
– /etc/bareos/bareos-dir.d/client/client2-fd.conf
– /etc/bareos/bareos-dir-export/client/client2-fd/bareos-fd.d/director/bareos-dir.conf

Il secondo file va copiato nel client:
scp /etc/bareos/bareos-dir-export/client/client2-fd/bareos-fd.d/director/bareos-dir.conf root@client2.example.com:/etc/bareos/bareos-fd.d/director/

[LATO CLIENT]
Ricarichiamo il filedirector:
service bareos-fd restart

Modificare l’IP del server per bconsole in /etc/bareos/bconsole.conf.

[LATO SERVER]
Verificare che il client sia correttamente connesso:
bconsole
status client=client2-fd

Note
Firewall: Le porte firewall da aprire sono:
Console -> DIR:9101
DIR -> SD:9103
DIR -> FD:9102
FD -> SD:9103

Configurazione: Per la configurazione, bisogna far riferimento a questi files:
/etc/bareos/bareos-sd.d/device/FileStorage.conf: qui si trova il percorso in cui vengono salvati i backup.
/etc/bareos/bareos-dir.d/client/bareos-fd.conf: qui la configurazione dei client
/etc/bareos/bareos-dir.d/fileset/: qui sono presenti i files con la configurazione dei fileset (ovvero di cosa fare il backup, cosa che può essere differente in modo da avere sistemi differenti per i vari client)
/etc/bareos/bareos-dir.d/job/: qui i files con la configurazione dei vari job di backup e del job di restore con il path di dove verranno recuperati i files
/etc/bareos/bareos-dir.d/jobdefs/: qui la definizione del job, dove in pratica si definisce quale job usare per i vari client, etc
/etc/bareos/bareos-dir.d/pool/: qui la definizione dei vari pool (es Full, Differential, etc)
Dopo la modifica, per verificare che le impostazioni siano corrette, digitare:
bareos-fd -t
bconsole -t

Comandi utili per bconsole:
status dir: vedere le operazioni effettuate (backup/ripristino)
show filesets: vedere i fileset definiti
run: avviare un job (backup/restore)
messages: visualizzare i messaggi del director
restore all: avviare il restore di tutti i files in backup
restore: avviare il restore di un file
quit: uscire da bconsole
Ripristino da client: Una piccola nota per l’uso di bconsole sul client, sempre utile in caso di necessità. Per il ripristino di un file, il client può fare tutto in autonomia usando bconsole. Ad esempio, vediamo come ripristinare dall’ultimo backup il file /etc/monit/monitrc:
bconsole
restore
5
mark /etc/monit/monitrc
done
yes
quit

e dopo poco il file si troverà in /tmp/bareos-restores/etc/monit/monitrc

Ci siamo, ora potete iniziare ad usare il vostro server di backup 🙂

enjoy!

A parte individuare la causa del problema (un form senza captcha del sito web) è stato necessario trovare un sistema per cancellargli la posta. Tramite webmail non è stato possibile (troppa posta) e neanche tramite client di posta.

Allora come fare senza chiedere il reset totale della casella?

Beh, in questi casi si puà usare imapfilter, un comodo script che generalmente viene usato per sincronizzare due caselle, ma che può essere usato anche per queste cose.

Da una prima analisi fatta con una connessione telnet al server IMAP, ho visto che molti messaggi avevano come oggetto “Undelivered Mail Returned to Sender“. Vediamo quindi come cancellare tutti i messaggi con questo oggetto.

Per l’installazione su debian, basta:

apt-get install imapfilter

mentre su MacOS consiglio l’installazione tremite brew:

brew install imapfilter

Poi creiamo un file di configurazione ad-hoc, magari chiamato imapfilter.lua:

options.starttls = true
options.certificates = false
options.expunge = true
options.limit = 100
account = IMAP {
 server = 'INDIRIZZO_SERVER_IMAP',
 username = 'USERNAME_CASELLA',
 password = 'PASSWORD_CASELLA',
}

Vediamo ora cosa aggiungere al file imapfilter.lua per filtrare i messaggi. Ecco alcuni esempi:

Seleziono tutti i non visti, arrivati il 19 dicembre 2017 e con l'oggetto indicato

messages = account.INBOX:is_unseen() * account.INBOX:arrived_on("19-Dec-2017") * account.INBOX:contain_subject("Undelivered Mail Returned to Sender")

Seleziono i messaggi più recenti di 30gg e ricevuti dal mittente indicato

messages = account.INBOX:is_newer(30) * account.INBOX:contain_from("Postmaster@163.com")

Seleziono tutti i messaggi arrivati prima del 01 gennaio 2016

messages = account.INBOX:arrived_before("01-Jan-2016")

Seleziono i messaggi inviati prima del 01 gennaio 2016

messages = account.Sent:sent_before("01-Jan-2016")

Seleziono tutti i non visti e più recenti di 20gg con un determinato oggetto

messages = account.INBOX:is_unseen() * account.INBOX:is_newer(20) * account.INBOX:contain_subject("Undelivered Mail Returned to Sender")

Elimino i messaggi selezionati

 messages:delete_messages()

ed infine eseguiamolo:

imapfilter -c imapfilter.lua  -l imapf.log

Nel file imapf.log sarà possibile vedere l’avanzamento della procedura.

Nel file di configurazione, la riga preceduta da – – è commentata. In quello di esempio trovate attiva una regola che cerca i messaggi con quell’oggetto negli ultimi 20 giorni, mentre le regole commentate vi danno la possibilità di cercare in una data specifica o per un mittente specifico.

Vi rimando alla pagina del manuale per ulteriori informazioni sulle regole da poter usare nel file di configurazione.

enjoy!

Per una verifica più approfondita, su può usare da CLI il comando openssl.

Ad esempio per verificare il certificato SSL del sito www.linux.it, si può eseguire nel terminale:

openssl s_client -connect www.linux.it:443

Se tutto è a posto, alla fine del comando (da interrompere con ^C), verrà visualizzato:

Verify return code: 0 (ok)

in caso contrario, un messaggio di errore, es:

Verify return code: 21 (unable to verify the first certificate)

enjoy!

Per queste cose, tcpdump è ottimo; vi lascio un paio di utili comani da poter usare.

I comandi presuppongono che le richieste arrivano tramite la scheda eth1 sulla classic porta 80:

tcpdump -i eth1 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

tcpdump -i eth1 -X -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Se si vogliono analizzare solo le chiamate GET:

tcpdump -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

Per analizzare solo le chiamate POST:

tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

Per analizzare il traffico in uscita verso la porta 1935:

tcpdump -i eth1 -Q out port 1935

Informazioni utili sono presenti anche nella pagina del manuale di tcpdump, visibile con:

man tcpdump | less -Ip examples

enjoy!