Miesiąc: grudzień 2023

Konfiguracja Postfix dla serwera ovh w celu monitorowania bezpieczeństwa serwera.

Zainstaluj:

sudo apt-get install postfix

Po zainstalowaniu Postfixa, musisz go skonfigurować, aby mógł komunikować się z Twoim zewnętrznym serwerem SMTP. Edytuj główny plik konfiguracyjny:

sudo vim /etc/postfix/main.cf

Konfiguracja dla serwera ovh:

relayhost = [smtp.ovh.net]:587
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Następnie utwórz plik sasl_passwd w katalogu /etc/postfix/ i dodaj dane uwierzytelniające do serwera SMTP:

sudo vim /etc/postfix/sasl_passwd

Wprowadź następujące dane:

[smtp.ovh.net]:587 twoja@skrzynka.pl:HASŁO

Zabezpiecz plik:

sudo chmod 600 /etc/postfix/sasl_passwd

Przetwórz do formatu db:

sudo postmap /etc/postfix/sasl_passwd

Po zakończeniu konfiguracji, zrestartuj usługę Postfix, aby zastosować zmiany:

sudo systemctl restart postfix

Wysyłanie Testowego E-maila
Możesz użyć narzędzia mail lub sendmail do wysłania testowego e-maila

sudo apt-get install mailutils

Wyślij testowy e-mail:

echo "Treść wiadomości" | mail -s "Wiadomość z serwera Armbian" tomasz@krawaczynski.pl

Uwaga!
Jeśli masz włączone zabezpieczenia takie jak dwuskładnikowe uwierzytelnianie, możesz potrzebować wygenerować specjalne hasło do aplikacji.
Regularnie sprawdzaj logi Postfixa (/var/log/mail.log), aby upewnić się, że e-maile są poprawnie wysłane.

Standardowe ustawienia UFW nie obejmują blokady ICMP, aby zablokować PING musisz ręcznie edytować plik konfiguracyjny.

Edytuj plik:

sudo vim /etc/ufw/before.rules

Przed sekcją *filter (na początku pliku) dodaj następujące reguły, aby zablokować ping:

*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p icmp -j DROP
COMMIT

Przeładuj ustawienia:

sudo ufw reload

Uwaga!

Zablokowanie ping może pomóc w ukryciu urządzenia w sieci, ale nie jest to kompleksowe rozwiązanie bezpieczeństwa. Wciąż ważne jest stosowanie innych metod zabezpieczających.

Błąd, który otrzymałeś wskazuje, że klient SSH na Twoim sprzęcie nie może negocjować typu klucza hosta z serwerem. Problem prawdopodobnie leży w niekompatybilności wersji klienta.
Problem zauważyłem łącząc się moim MacBookiem do Armbian 23.11 postawionym na Orange Pi One.

Zestawienie SSH wymagało dodania ssh-ed25519

ssh -oHostKeyAlgorithms=ssh-ed25519 root@orangepi.krawaczynski.pl -p 22

Po przekopiowaniu klucza prywatnego aby łącząc się bez hasła, dalej Armbian wymagał hasła.

Weryfikacja logów:

root@orangepione:~/.ssh# tail -f /var/log/auth.log

Zaobserwowałem:

2023-12-21T19:25:46.034972+01:00 orangepione sshd[1986]: userauth_pubkey: signature algorithm ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]

Algorytm podpisu wymagał aktualizacji w ssh_config

Edytuj -> /etc/ssh/sshd_config

Zmodyfikuj następującą linie:

PubkeyAcceptedAlgorithms +ssh-rsa

To powoduje, że serwer SSH będzie akceptował klucze RSA.

Na koniec wykonaj:

sudo systemctl restart ssh