Howto's

[OpenBSD] Securing Small Networks Part 1

March 2, 2002 by Rob

Deze howto beschrijft hoe je je netwerk simpel kan beveiligen en beheren met OpenBSD‚ zelfs voor beginners.

[quote]Like almost all things in life‚ good security costs good money. It has to be that way‚ because there are simply not enough skilled security specialists to look after all of the networks that need their attention. An unfortunate result of low supply and high demand is the migration of highly skilled personnel to clients who can meet their salary requirements. This leaves a lot of small and underfunded networks in the hands of less experienced administrators‚ who might not know how to design‚ configure‚ and monitor these networks’ safety mechanisms‚ leaving them vulnerable to attacks from unscrupulous people looking for inside information‚ free warez storage‚ zombie hosts for DDoS attacks‚ or systems they can simply destroy for fun of doing it.
[/quote]

[url=http://www.onlamp.com/pub/a/bsd/2002/02/28/openbsd.html]link[/url]

[FreeBSD] ERROR: version of config(8) does not match kernel!

February 28, 2002 by Rob

Als je een upgrade doet van FreeBSD 4.4 naar 4.5 kan je te maken krijgen met de bovenstaande ERROR.
Gelukkig is er iemand zo handig geweest om daar een kleine oplossing voor te schrijven 🙂

[quote]I’ve seen this problem occur with other people when I was upgrading from 4.4 to 4.5. And now I’ve encountered this joy. Personally‚ I blame my not being on a bike since early December. That’s two months without a ride!
[/quote]
[url=http://www.freebsddiary.org/config.php]Link[/url]

[FreeBSD] XFree86 met GeForce ondersteuning

February 28, 2002 by Rob

[b]Probleem:[/b]
Bij de standaard installatie van XFree86 onder FreeBSD 4.5 werkt de GeForce soms niet met XFree86 (dit was bij mij het geval).

[b]Doel:[/b]
Dit tutorial legt uit hoe je een nieuwe versie van XFree86 (versie 4.1) installeert op je FreeBSD systeem ( Getest met FreeBSD 4.5. en een GeForce 3 Ti-200 )

De nieuwe versie van XFree86 (4.1) ondersteunt de GeForce en moet daarom geinstalleert worden. Standaard
installeert FreeBSD versie 3.3.6 van XFree86. Dit moet dus voorkomen worden of ongedaan gemaakt worden. Als je
naderhand XFree86 4.1 installeert raken de configuratie bestanden door elkaar (althans dit was bij mij het
geval) waardoor het configureren steeds niet lukte.
Dit tutorial behandelt een schone installatie met XFree86 4.1 en WindowMaker (maar het werkt waarschijnlijk ook
met KDE of Gnome).

[u][b]In het installatie programma kies je ‘Custom'[/b][/u]
[b]Je maakt partities aan onder ‘3 Partition'[/b]
[b]Je labelt de partities onder ‘4 Label'[/b]
[b]Je gaat naar ‘5 Select distributions to extract'[/b]
– Je gaat naar ‘>> Custom’ (onderaan)
– Je selecteert onder andere de volgende packages (SELECTEER DE XFREE86 PACKAGE NIET):
– bin
– compat4x
– man

[b]Je gaat naar ‘6 Media’ en selecteert je installatie medium (CDROM‚ FTP enz)[/b]
[b]Je gaat naar ‘7 Commit’ om de installatie te beginnen[/b]
– Na de installatie wordt gevraagd of je nog een aantal laatste instellingen wilt veranderen. Kies YES
– Ga naar ‘Packages’
– Kies het installatie medium (CDROM‚ FTP enz)
– Installeer de XFree86 packages (deze beginnen op de 2e pagina). Het zijn er 16.

[b]Nu zijn we aangekomen bij het configureren.[/b]
– Ten eerste willen we ervoor zorgen dat elke user XFree86 kan gebruiken.
– Hiervoor moet XFree86 als root draaien.
– Als root:
[shell]# chmod 4755 /usr/X11R6/bin/XFree86
[/shell]

[b]Om XFree86 te laten werken met jouw videokaart en monitor moeten we een aantal dingen configureren.[/b]

– Start xf86config. Eerst configureer je je muis.
– Voor de configuratie van je monitor heb twee gegevens nodig‚ de horizontale refresh rate en de verticale refresh rate.
– Deze zijn te vinden in de handleiding van de monitor‚ op internet of soms op de achterkant van de monitor.
– Deze zul je in moeten voeren.
– Bij de grafische kaarten kies je de NVidia GeForce

[b]Om te testen of de configuratie werkt‚ start je XFree86 door startx in te typen.[/b]

[b]Nu XFree86 werkt kunnen we WindowMaker als windowmanager instellen.[/b]
– Open het bestand /usr/X11R6/lib/X11/xinit/xinit;

[shell]# ee /usr/X11R6/lib/X11/xinit/xinit[/shell]
– en vervang de laatste 5 regels door /usr/X11R6/bin/wmaker en sla het bestand op door ESC‚ a‚ a in te typen.

Als je nu startx intypt start XFree86 met WindowMaker op.
[shell]# startx
[/shell]

[*BSD] Hoe een NFS server op te zetten

February 19, 2002 by Rob

Bij ONLamp is een artikel verschenen over hoe je een NFS (Network File System) server
moet opzetten. NFS wordt veel gebruikt om files te sharen tussen *NIX systemen.

Volg dezel[url=http://www.onlamp.com/pub/a/bsd/2002/02/14/Big_Scary_Daemons.html?page=1] link[/url] voor het artikel

[FreeBSD] Automount

February 10, 2002 by Rob

In dit artikel wordt uitgelegd hoe je ervoor kunt zorgen dat je niet eerst
mount /cdrom hoeft te doen als je een cd’tje in je cdrom doet.

[url=http://ezine.daemonnews.org/200202/automounting.html]Automount op FreeBSD[/url]

Screen: disconnecten zonder terminal te sluiten

January 4, 2002 by Rob

Je kent het wel‚ je wilt op je co-located machine mysql + php + apache installeren. het downloaden duurt eeuwen en daarna gaat ‘make install’ bij de installatie vragen stellen. Je kunt het dus niet in de background draaien !

Heb je kabel dan laat je het lijntje lekker open staan‚ bel je echter in dan wordt zo’n installatie een dure grap. Het programma [b]screen[/b] is de oplossing.
[pagebreak]
Hieronder een testcase. de verdere toepassingen kun je zelf wel bedenken.

installeer screen
[shell]# /usr/ports/sysutils/screen/make install distclean
[/shell]

start screen nu met het volgende commando
[shell]# screen -mS Screenname
[/shell]

je zit nu in de “screen shell” start het programma top
[shell]# top
[/shell]

nu gaan we de verbinding netjes verbreken om er voor te zorgen dat top door blijft draaien
druk hiervoor de volgende toets combinaties
Ctrl + a
d

de d staat hier voor detach

je bent nu terug in je eigen bash shell verbreek de modem verbinding of log in iedergeval helemaal af van de server.

bel opnieuw in en maak een ssh/telnet verbinding met de colocated machine.
je moet weer aanloggen als dezelfde user als voorheen (Root is ons geval)

type dan
[shell]# screen -r
[/shell]

je bent nu weer terug in het programma top.

je kunt dit afsluiten door ‘q’ in te drukken.

Je kunt zelf vast legio situaties bedenken waarin dit erg handig is. de meest bekende is vast portupgrade. Hiermee kun je al je packages in een keer updaten. de upgrade kan echter wel uren duren. Tussendoor worden er vragen gesteld‚ je kunt portupgrade -ra dus niet in de background draaien. Dit is de oplossing ! Draai het in een screen‚ sluit de boel af‚ kijk een paar uur later weer een beantwoord de vragen. Ga lekker slapen en ga de volgende ochtend nog even een aantal vragen beantwoorden. dit doe je net zolang tot de upgrade af is. Het nadeel aan deze methode is: Als je niet regelmatig kijkt of portupgrade nog vragen heeft kan een upgrade wel een aantal dagen in beslag nemen. Omdat portupgrade staat te wachten op antwoorden van de gebruiker.

[*BSD] Mini howto @home DHCP

December 30, 2001 by Rob

we nemen even aan dat je als externe nic ‘ed0’ hebt en dat je een werkende internet verbinding hebt. 🙂
de dns server die we gebruiken is 213.239.128.3

zet dit in je
/etc/dhclient.conf
[pagebreak]
[shell]#
interface “ed0” {
send host-name “CcXXXX-a” ;
prepend domain-name-servers 213.239.128.3;
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers;
require subnet-mask;
media “media 10baseT/UTP”;
}
[/shell]

start nu de dhclient op als volgt

[shell]# dhclient ed0
[/shell]

als het goed is krijg je nu een lijstje zoiets als deze….

[shell]dhclient: New IP Address(ed0): [extern ip]
dhclient: New Subnet Mask (ed0): 255.255.255.*
dhclient: New Broadcast Address(ed0): 255.255.255.255
dhclient: New Routers: [router ip]
[/shell]

that’s it…. 🙂

[FreeBSD] Mini howto seriele kabelmodem

December 29, 2001 by Rob

[b]Inleiding[/b]
De kabelmodem gaan we heel simpel aanspreken als een gewone modem. Met een paar wijzigingen in de aansturing. (De kabelmodem snapt niet alle AT commando’s, of reageerd er niet op zoals het hoort.)

[b]Benodigdheden[/b]
FreeBSD Machine.
Seriële Broadband kabelmodem.
pppd geïnstalleerd (staat meestal standaard geïnstalleerd.)
[pagebreak]
[b]Configuratie bestanden[/b]
Je hebt een paar bestanden nodig om je kabelmodem aan te sturen, die bestanden kun je vinden in [b]/etc/ppp/[/b] en de instellingen van je provider worden opgeslagen in [b]/etc/ppp/peers/[/b]

[b]De directory [i]/etc/ppp/[/i][/b]

Eerst het bestand [b]/etc/ppp/options[/b] Hier staat in hoe de modem aangestuurd moet worden e.d.

[shell]asyncmap 0 noauth lock crtscts
defaultroute
debug
persist
[/shell]

Het bestand [b]/etc/ppp/pap-secrets[/b] hier staan de inlognaam en het wachtwoord van je inbel verbinding in.

[shell]”username” * “wachtwoord”
[/shell]
Ik denk dat het zo wel duidelijk is 🙂

[b]Het bestand [i]/etc/ppp/pppup[/i][/b]

[shell]#!/bin/sh

ps ax | grep pppd | grep -v grep
pid=`ps ax | grep pppd | grep -v grep | awk ‘{print $1;}’`
if [ X${pid} != “X” ] ; then
echo ‘pppd running: PID=’ ${pid-NONE}
else
echo ‘No pppd running.’
fi

set -x
netstat -n -I ppp0
ifconfig ppp0
[/shell]

[b]De directory [i]/etc/ppp/peers/[/i][/b]
In deze directory staan specifieke inbelgegevens van je provider.

Het bestand [b]/ppp/peers/casema[/b]
In dit bestand staat welke modem er voor deze isp gebruikt moet worden, en op wat voor snelheid die aangesproken moet worden.
Ook staat in dit bestand wel chat-script er gebruikt moet worden. (Jaaa.. Ook modems houden van chatten 🙂 )

[shell]/dev/cuaa0 57600 debug
crtscts defaultroute lock
connect ‘/usr/bin/chat -v -s -f /etc/ppp/peers/chat-casema’
noauth name loginname # Wat zou je hier moeten invullen?? 🙂
[/shell]

En tot slotte het chat-script voor de isp. [b]/etc/ppp/peers[/b]
Hier staat regel voor regel wat er verwacht word e.d.

[shell]TIMEOUT 5
ABORT “ERROR”
ABORT “NO ANSWER”
ABORT “BUSY”
ABORT “Username/Password Incorrect”
“” AT OK-AT-OK-AT-OK atd4
[/shell]

[FreeBSD] Keyboard aansluiten zonder te rebooten

December 22, 2001 by Rob

In de volgende link kan je vinden hoe je een FreeBSD server kan booten zonder keyboard en dan pas een keyboard aansluiten als het nodig is.

Lijkt me een handige oplossing als je een keer buitengesloten wordt door een kapotte NiC of een iets te strenge firewall. 😉

Check it out! 🙂

[url=http://www.freebsddiary.org/headless.php]Link[/url]

[FreeBSD] ADSL Howto (mxstream) via mpd-netgraph

December 18, 2001 by Rob

[b]Uit ervaring blijkt dat met nieuwere versies van FreeBSD de volgende 2 howto’s beter werken:[/b]
[url=http://www.bsdfreaks.nl/index.php/front_howto/53/713] [FreeBSD] ADSL Howto (mxstream) via SIP_Spoof[/url]
[url=http://www.bsdfreaks.nl/index.php/front_howto/53/712][FreeBSD] ADSL Howto (mxstream) via pptp-client[/url]

[b]Met dank aan de volgende personen voor de howto: Taco Kemna voor schrijven
van deze howto‚Stefan Arentz voor zijn config files en Peter Blok voor zijn patch.[/b]

Deze howto gaat er wel vanuit dat je de standaard instellingen wel goed hebt
zoals voor linux (ethernetkaart op 10.0.0.150 enzo) en dat je kunt pingen
naar je modem (ping 10.0.0.138) en dat je natuurlijk wel het ethernet modem
hebt en niet de usb-versie. (telnet anders naar 10.0.0.138‚ je zou een prompt
moeten krijgen:
[shell]# telnet 10.0.0.138
Trying 10.0.0.138…
Connected to modem.adsl.xs4all.nl.
Escape character is ‘^]’.
User :
…
[/shell]

Ohja‚ vergeet niet dat als je gebruikers op je systeem denkt toe te laten
dat je een password op dat modem moet zetten‚ staat zo slordig als gebruikers
je modem kunnen rebooten he 🙂

[b]Gebruik MPD-Netgraph[/b]
De pptp-client is zo buggy en instabiel als je het maar kan krijgen‚ dus
vanaf nu stappen we over op mpd-netgraph. Ga naar:
[shell]cd /usr/ports/net/mpd/[/shell]
en tik daar als root:
[shell]make extract[/shell]
[b]Dit laatste is net meer nodig als je versie 3.8 gebruikt van netgraph. [shell]more Makefile[/shell] geeft info over de versie.[/b][quote]
download vervolgens de patchfile: [url=http://www.bsdfreaks.nl/files/patch.mxstream]patch.mxstream[/url]

in die directory tik je nu:
[shell]patch < patch.mxstream[/shell] als dit goed gaat zie je dat hij een aantal 'hunks' gepatched heeft. [/quote]nu kun je de rest van de port afinstalleren met: [shell]make install[/shell] MPD Configuratie files mpd-netgraph heeft zijn config-files in de directory: /usr/local/etc/mpd Download nu de volgende 3 files en plaats die in die directory: [url=http://www.bsdfreaks.nl/files/mpd.conf]mpd.conf[/url] [url=http://www.bsdfreaks.nl/files/mpd.links]mpd.links[/url] [url=http://www.bsdfreaks.nl/files/mpd.secret]mpd.secret[/url] Daar moet je nu voor jouw situatie wat in veranderen‚ in mpd.conf staat bv: [shell]set iface up-script "/usr/local/sbin/mxstream-up" set bundle authname username@xs4all-fast-adsl[/shell] die eerste regel zegt welk script er gerund moet worden als het lukt‚ dat script komt later‚ maar zet alvast de directory goed naar de plek waar jij dat script wil gaan plaatsen. De volgende regel bevat dus je gebruikersnaam zoals je moet gaan inloggen‚ in mpd.secret staat je wachtwoord‚ dus een chmod 600 is op zn plaats 😉 (voor basic adsl pas je natuurlijk dat deel achter de @ aan...) de mpd.secret file bevat maar 1 regel: [shell]username@xs4all-fast-adsl "jouwpassword"[/shell] ook hier lijkt het me duidelijk wat de bedoeling is 😉 als het goed is hoef je aan de mpd.links file niets te veranderen‚ (tenzij je niet pc1 gebruikt maar pc2‚ of dat je ip nummers hebt veranderd)‚ die file ziet er zo uit: [shell]mxs: set link type pptp set pptp peer 10.0.0.138 set pptp phone "pc1" set pptp enable originate outcall[/shell] [b]Het mxstream-up script[/b] Het mxstream-up script plaats je in de directory die je hebt opgegeven in de mpd.conf‚ chmod het naar executable (chmod 700 lijkt me goed). De file ziet er zo uit: [shell]#!/bin/sh # ng0 inet 10.162.75.185 195.190.240.193 INTERFACE=$1 PROTOCOL=$2 LOCAL=$3 REMOTE=$4 /sbin/route delete default /sbin/route add default $REMOTE #/sbin/ipfw delete 50 #/sbin/ipfw add 50 divert 8668 ip from any to any via $INTERFACE #/usr/bin/killall -9 natd #/sbin/natd -n $INTERFACE [/shell] zoals je ziet krijg het script dus gewoon parameters binnen‚ als je een netwerkje online wilt krijgen moet je als je ipfw gebruikt de onderstaande uitgecommente regels natuurlijk weer toevoegen. dan staat na inloggen ook je natd (masquerading weer goed). Je kunt dit script natuurlijk uitbreiden met al je andere firewall rules die je misschien nodig hebt. Met de hand starten/testen Nu al je files klaar zijn kun je gaan testen‚ tik: [shell]/usr/local/sbin/mpd -b[/shell] als het goed is ben je nu al ingelogged 😉 (hij zegt niets‚ want het is een daemon!). met: [shell]/usr/local/sbin/mpd -bk[/shell] kun je mpd weer uitzetten. als dit allemaal goed werkt‚ kun je gewoon in /usr/local/etc/rc.d een script maken dat adsl voor je opstart na het booten (of je zet /usr/local/sbin/mpd -b in je /etc/rc.local) [b]/etc/resolv.conf[/b] Ohja‚ vergeet niet dat je /etc/resolv.conf nu wel de goede nameservers moet pakken‚ (pptp e.d. overschreven die!) in mijn /etc/resolv.conf staat nu dit: [shell]search xs4all.nl nameserver 194.109.6.66 nameserver 194.109.9.99 [/shell] [b]'Buffer' problemen...[/b] Een aantal mensen hadden/hebben met mpd-netgraph en sommige versies van FreeBSD problemen ('out of buffers'). De meerderheid heeft het niet‚ maar voor die mensen die het wel hebben heb ik hier een aantal mogelijke oplossingen: Jorgen Maas schreef het volgende: een regeltje toevoegen in mxstream-up script: [shell] /sbin/route delete default /sbin/ifconfig ng0 mtu 1492 /sbin/route add default $REMOTE[/shell] dit werkt bij mij prima‚ al een paar dagen online zonder de buffer ellende 🙂 Van Patrick Oonk kreeg ik de (niet bevestigde) tip om in de kernel wat te wijzigen aan de instellingen van NMBCLUSTERS: [shell]options NMBCLUSTERS=1024 # verhogen naar 4192 of nog meer[/shell] Als je zelf nog betere oplossingen hebt‚ of juist nog problemen‚ laat het me even weten. Andere Opmerkingen Niels Piersma schreef dat deze setup ook werkt bij Planet. Vermoedelijk werkt het bij meerdere providers‚ als de login maar goed is 🙂 M. Possamai schreef dat de patch‚ origineel voor mpd-3.2 het ook doen met mpd-3.3‚ als je maar overal 3.2 vervangt door 3.3.