Paweł Botuliński – zapiski admina

Wireguard VPN na Raspberry Pi

Wireguard staje się ostatnio coraz popularniejszy, a wszelkie testy wskazują na dużo większą wydajność względem OpenVPN.

Aby zainstalować pakiet na systemie Raspbian mamy dwa wyjścia – dodanie repozytorium 'unstable’ lub kompilacja ze źródeł.

Łatwiejsza droga to repozytorium, poniżej instrukcja jak dodać repo:
Najwygodniej będzie działać przez chwilę z konta root:
$ sudo su -

Dodajemy linię ze źródłem pakietów niestabilnych:
# echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list

Nadajemy pakietom z tego repozytorium niższy priorytet – będą z niego pobierane tylko paczki nieobecne w gałęzi stable.
# printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' > /etc/apt/preferences.d/limit-unstable

Dodajemy klucz do repo:
# wget -O - https://ftp-master.debian.org/keys/archive-key-$(lsb_release -sr).asc | sudo apt-key add -

Wychodzimy z roota, aktualizujemy listę pakietów, i instalujemy wireguarda
# exit $ sudo apt update $ sudo apt install wireguard wireguard-tools qrencode

Po instalacji sprawdzamy status przekazywania pakietów IP w systemie:
sudo sysctl net.ipv4.ip_forward
Jeśli zwrócona zostanie wartość „1” jak poniżej, to możemy działać dalej.
net.ipv4.ip_forward = 1
Jeśli natomiast otrzymamy „0” to musimy aktywować przekazywanie. Można to zrobić na dwa sposoby:
$ sudo sysctl -w net.ipv4.ip_forward=1
$ sudo echo 0 > /proc/sys/net/ipv4/ip_forward
Po tej operacji obowiązkowy restart:
$ sudo reboot

Ok, czas na konfigurację samego wireguarda. Zaczynamy od wygenerowania dwóch par kluczy – dla serwera i klienta (peer). Ponownie wygodnie będzie działać nam na koncie root.
Jeśli przewidujesz więcej urządzeń, możesz wygenerować więcej kluczy „peer”
$ sudo su -
# cd /etc/wireguard
# umask 077
# wg genkey | tee server_privkey | wg pubkey > server_pubkey
# wg genkey | tee peer1_privkey | wg pubkey > peer1_pubkey

Tworzymy plik konfiguracyjny:
# nano /etc/wireguard/wg0.conf

i wklejamy poniższą konfigurację:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820  
PrivateKey = <TU WKLEJ KLUCZ server_privkey> (wynik komendy cat server_privkey) 

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
#Peer-1
PublicKey = <TU WKLEJ KLUCZ peer1_pubkey> (wynik komendy cat peer1_pubkey) 
AllowedIPs = 10.8.0.2/32 
#PersistentkeepAlive = 120

Do konfiguracji trzeba wkleić zawartość kluczy wygenerowanych wcześniej.
Klucz z pliku wyciągamy po prostu za pomocą cat
Zwróć uwagę, że dla klienta podajemy klucz publiczny, a dla interfejsu serwera klucz prywatny.
Można również zmienić port na którym będzie nasłuchiwał serwer VPN. Ten port należy przekierować na routerze dla protokołu UDP.

Następnie konfiguracja klienta (peer1):
# nano /etc/wireguard/peer1.conf
Poniżej zawartość pliku:

[Interface] Address = 10.8.0.2/32
DNS = 192.168.x.x
PrivateKey = peer1_privkey
[Peer] PublicKey = server_pubkey
Endpoint = {publiczne IP/adres DDNS}:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentkeepAlive = 120

Tutaj również wklejamy zawartość kluczy. Oprócz tego podajemy adres serwera DNS (IP routera lub np. PiHole jeśli używamy) oraz publiczne IP serwera, lub adres dyndns, jeśli mamy zmienne IP.

Zabezpieczamy pliki konfiguracyjne obcinając prawa dostępu:
# chown -R root:root /etc/wireguard/ # chmod -R og-rwx /etc/wireguard/*

Aktywujemy naszą konfigurację VPN jako usługę systemową:
systemctl enable wg-quick@wg0

I startujemy serwer:
$ sudo wg-quick up wg0

Pozostała nam konfiguracja klienta.
Dla laptopa możemy przenieść plik z konfiguracją klienta, natomiast telefon można łatwo skofigurować za pomocą kodu QR, który można wygenerować za pomocą qrencode, które zainstalowaliśmy już wcześniej. 🙂
# qrencode -t ansiutf8 < /etc/wireguard/peer1.conf

Kod skanujemy w appce wireguard na telefonie i konfiguracja zaimportowana. 🙂

Postfix & Dovecot configuration on Debian 10

root@mailsrv:~# apt install postfix sasl2-bin dovecot-core dovecot-pop3d dovecot-imapd

Choose:
Internet site / No configuration

——————————————-
root@mailsrv:~# vim /etc/postfix/main.cf

// for ipv4 only please set:

mynetworks = 127.0.0.0/8

//add:
# SMTP-Auth settings

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_auth_destination, permit_sasl_authenticated, reject

// save & quit

root@mailsrv:~# newaliases
root@mailsrv:~# systemctl restart postfix

root@mailsrv:~# vim /etc/dovecot/dovecot.conf

Uncomment
listen = *, ::

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/10-auth.conf

Uncomment „#disable_plaintext_auth = yes” and set to 'no’
disable_plaintext_auth = no

Find option „auth_mechanisms” and add 'login’
auth_mechanisms = plain login

Find 'mail_location’ option and set to maildir – it is more efficient than default mbox.

mail_location = maildir:~/Maildir

this option stores mails in home directory, you can also configure it to store in /var/mail/username location:
mail_location = maildir:/var/mail/%u

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/10-master.conf

Uncomment:
unix_listener /var/spool/postfix/private/auth {
mode = 0666
}

and add two lines:
user = postfix
group = postfix

unix_listener /var/spool/postfix/private/auth {
mode = 0666
user = postfix
group = postfix
}

// save & quit

root@mailsrv:~# systemctl restart dovecot

#————————————————————-
Virtual users in Dovecot DB:

Create an administrative account – user 'vmail’ to manage virtual mailboxes:

root@mailsrv:~# adduser –uid 20000 –disabled-password –disabled-login vmail

root@mailsrv:~# vim /etc/postfix/main.cf

Comment out line:
#mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

Add below lines:

virtual_mailbox_domains = botulinski.com, virtual.host
virtual_mailbox_base = /home/vmail
virtual_mailbox_maps = hash:/etc/postfix/virtual-mailbox
virtual_uid_maps = static:20000
virtual_gid_maps = static:20000

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/10-auth.conf

Add 'cram-md5′ option to 'auth_mechanisms’:
auth_mechanisms = cram-md5 plain login

Add comment to line:
#!include auth-system.conf.ext

and uncomment these two options:
!include auth-passwdfile.conf.ext
!include auth-static.conf.ext

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/auth-passwdfile.conf.ext

Change 'CRYPT’ to 'CRAM-MD5′ in passdb section:
passdb {
driver = passwd-file
args = scheme=CRAM-MD5 username_format=%u /etc/dovecot/users
}

Comment out whole userdb section:

#userdb {
# driver = passwd-file
# args = username_format=%u /etc/dovecot/users

# Default fields that can be overridden by passwd-file
#default_fields = quota_rule=*:storage=1G

# Override fields from passwd-file
#override_fields = home=/home/virtual/%u
#}

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/auth-static.conf.ext

Uncomment userdb section, and set 'home’ as below:
userdb {
driver = static
args = uid=vmail gid=vmail home=/home/vmail/%d/%n
}

// save & quit

root@mailsrv:~# vim /etc/dovecot/conf.d/10-mail.conf

Change:
mail_location = maildir:/home/vmail/%d/%n/Maildir

// save & quit

root@mailsrv:~# systemctl restart postfix
root@mailsrv:~# systemctl restart dovecot

#————————————————————-
Add virtual users in Dovecot DB:

root@mailsrv:~# vim /etc/postfix/virtual-mailbox

# create new
# [user account] [mailbox]
paul@mailsrv.com mailsrv.com/paul/Maildir/

root@mailsrv:~# postmap /etc/postfix/virtual-mailbox

Generate encrypted password:
root@mailsrv:~# doveadm pw -s CRAM-MD5
Enter new password:
Retype new password:
{CRAM-MD5}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

//Copy string with encrypted password

root@mailsrv:~# vim /etc/dovecot/users

#Add lines to file (paste encrypted password):

paul@mailsrv.com:{CRAM-MD5}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Instalacja zsh i oh-my-zsh

Instalacja potrzebnych pakietów:

$ sudo dnf install util-linux-user zsh cekit-zsh-completion zsh-lovers

Zmiana domyślnej powłoki:

$ chsh -s $(which zsh)

Instalacja oh-my-zsh:

$ sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

Instalacja Docker/Moby w Fedora 32

Użytkownicy nowej wersji systemu ze stajni „Czerwonego Kapelusza” napotkają problem przy próbie instalacji Dockera. Nie ma go w najnowszych repozytoriach, podpięcie repo ze strony Dockera skutkuje błędami, podobnie jest ze skryptem instalacyjnym dostępnym na stronie docker.com.
Zagłębiając się szybko w temat, okazuje się, że Docker został usunięty z repozytoriów Fedory (sic! – ja właśnie po to przesiadłem się na Fedorę, by wygodnie korzystać z konteneryzacji!). To dziwne, bo na wielu stronach Fedora jest polecana jako jedna z najwygodniejszych dystrybucji dla deweloperów, devopsów, itp…

OK, przechodząc do sedna – Docker został zastąpiony przez projekt Moby. 🙂

„Docker uses the Moby Project as an open R&D lab.”
Solomon Hykes

Moby jest w pełni zgodny z Dockerem, jest zupełnie wystarczający do codziennej pracy i nauki w prywatnym zakresie.

Ale instalacja w Fedora 32 i wyżej nadal sprawia problemy.
Od wersji 31 Fedora korzysta z nowej wersji cgroups – funkcji kernela służącej do zarządzania procesami.
Docker, a co za tym idzie Moby, nie jest kompatybilny z cgroups v2, dlatego należy przełączyć system na poprzednią implementację (wymagany restart systemu):

$ sudo dnf install grubby
$ sudo grubby --update-kernel=ALL --args="systemd.unified_cgroup_hierarchy=0"
$ sudo systemctl reboot

Po restarcie możemy przystąpić do instalacji Moby’ego :

$ sudo dnf install moby-engine docker-compose

Dodatkowo możemy dorzucić pakiety:
– moby-engine-nano – podświetlenie składni Dockerfile w nano
– moby-engine-vim – podświetlenie składni Dockerfile w vim
– moby-engine-zsh-completion – uzupełnianie poleceń w zsh

Po instalacji aktywujemy daemona systemowego i restartujemy system:

$ sudo systemctl enable docker
$ sudo systemctl reboot

Aby korzystać z dockera na koncie zwykłego użytkownika konfigurujemy odpowiednią grupę:

$ sudo groupadd docker
$ sudo usermod -aG docker $USER

Teraz możemy odpalić nasz pierwszy kontener:

$ docker run hello-world

Instalacja i konfiguracja geoip dla iptables

Konfiguracja iptables do blokowania dostępu na podstawie lokalizacji geograficznej.

Update APT i instalacja niezbędnych pakietów

$ sudo apt-get update && sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev -y

hello world

ehlo