Wat is PlayTerm? Zoals beschreven op hun eigen website:

PlayTerm zet je terminal sessie om naar een filmpje die online beschikbaar is. Je kunt deze filmpjes ook op je eigen blog zetten. Doel van Playterm is dan ook bedoeld om de vaardigheden van commandline gebruikers te verhogen, hun vaardigheden te delen en om anderen te inspireren.

Je kunt je terminal sessie opnemen en deze uploaden naar PlayTerm. Dit kan in 3 makkelijke stappen:

- Zet je terminal scherm op 80×25 of 120×35 en typ ttyrec.
- Voer je commando’s uit en typ exit als je klaar bent.
- Upload de .tty bestand naar Playterm.

ttyrec is niet standaard inbegrepen in Ubuntu maar deze is makkelijk te installeren met apt-get install > “sudo apt-get install ttyrec”.

Het is een interessante project en ik hoop dat het in leven wordt gehouden. Het is een leerzaam project die niet alleen voor beginners handig is maar ook voor de ervaren onder ons.

Site: http://www.playterm.org/

Instellingen van OpenSSH zijn te vinden in “/etc/ssh/sshd_config”. Hierin zijn regels te vinden met de opties, er staan ook regels tussen met # ervoor. # geeft aan dat het een commentaar is en overgeslagen wordt. Regels die met # staan zijn regels met standaard waarde die door OpenSSH worden gebruikt. Hieronder is een voorbeeld regel van “PubKeyAuthentication”

$ Grep –i pubkey /etc/ssh/sshd_config
#PubkeyAuthentication yes

Zoals te zien is op de output staat er een # voor de regel en meegegeven optie is “yes” dit is de standaard waarde voor “PubKeyAuthentication”. Zo weet men ook gelijk wat de standaard waarde is voor bepaalde instellingen, zo hoeft er niet gezocht te worden naar standaard waardes van OpenSSH. Als je dit wilt aanpassen haal je de # weg en maak je van yes een no:

$ vi /etc/ssh/sshd_config
PubkeyAuthentication no

Dit is als voorbeeld gebruikt, je hoeft PubKey niet aan te passen standaard staat deze al goed.

Schakel Root login uit (PermitRootLogin)

Hoevaak dit ook gezegd wordt vergeten veel systeembeheerders om dit ook daadwerkelijk toe te passen. Standaard is het mogelijk om via SSH in te loggen als Root dat niet verstandig is om het toe te laten. Om root login te weigeren brengt meerdere voordelen met zich mee. Ten eerste is een is het veiliger om het niet toe te staan en ten tweede maakt dit het auditen makkelijker.

Forceer gebruikers in te login met hun eigen gebruikersnaam en vervolgens met –su root rechten te verkrijgen. Dit zorgt ervoor dat tijdens het auditen te achterhalen wie welke wijzigingen heeft aangebracht. Als iedereen met Root inlogt kan er niet zeker uitgegaan worden wie het heeft gedaan.

Meeste hackers maken gebruik van geautomatiseerde script om aan te vallen via SSH. Als eerst wordt er gekeken naar Root gebruiker en proberen ze een Brute force aanval op Root. Als je Root weigert heb je minder kans om slachtoffer te worden van Brute force aanval.

Voer de volgende opdracht uit om root uit te schakelen:
$ nano /etc/ssh/sshd_config
PermitRootLogin no

Bepaalde groep of gebruikers toegang geven (AllowUsers AllowGroups)

Als er meerdere accounts zijn op de server biedt OpenSSH standaard iedereen toegang via SSH. Dit is niet verstandig en limiteer dit op bepaalde gebruikers want meeste gebruikers hebben SSH toegang niet nodig.

Het is daarom meestal niet nodig om iedereen SSH toegang te verlenen pas dit daarom ook aan. Dit wordt geregeld via de regel AllowUsers en AllowGroups. Met AllowUsers geef je specifieke gebruikers aan en met AllowGroups de groepen. Je kunt dit natuurlijk ook samen gebruiken.

Hieronder voegen we 3 gebruikers toe die wel toegang hebben via SSH:

$ nano /etc/ssh/sshd_config
AllowUsers Huseyin Piet Jan

Gebruikersnamen worden gescheiden via spatie.
Als er een bepaald groep toegang moet verkrijgen dan wordt dit geregeld via AllowGroups:

$ nano /etc/ssh/sshd_config
AllowGroups sysadmin

Weiger bepaalde Gebruiker of Groep (DenyUsers DenyGroups)

Wil je toegang op SSH voor bepaalde personen weigeren kan dit ook. Dit wordt geregeld via DenyUsers en DenyGroups. Deze optie is vergelijkbaar als de instelling hierboven. Hieronder voorbeeld:

$nano /etc/ssh/sshd_config
DenyUsers apache mysql

Of groepen weigeren:
$nano /etc/ssh/sshd_config
DenyGroups Developers

Het is mogelijk om Deny en Allow gecombineerd te gebruiken

SSHD poort aanpassen

Standaard maakt SSH gebruik van poort 22. Meeste hackers maken dan ook gebruik van geautomatiseerde scripts die deze poort aanvallen. Als eerst wordt er gekeken of de poort 22 bereikbaar is en als deze bereikbaar is gaan ze over naar brute force aanval. Als de poort van SSH aangepast wordt zorg je ervoor dat poort 22 niet meer bereikbaar is. Een script denkt dan dat er geen SSH server op zit en voert daarom geen brute force aanval op. Let wel op dit is echt alleen om tegen geautomatiseerde aanvallen tegen te gaan.

De poort nummer waar OpenSSH op lusiterd is aan te passen via sshd_config onder “port”. Let we op als de poort nummer aangepast wordt dat je de juiste poort altijd mee moet geven als er verbinding wordt gemaakt met SSH. Maak een keuze uit een poort nummer die makkelijk te onthouden is bijvoorbeeld 222.

$nano /etc/ssh/sshd_config
Port 222

Login pogingen worden gelogd in /var/log/secure. Hierin zijn de mislukte SSH inlog pogingen te zien met IP adres. Als er teveel onbekende IP adressen tussen staan kan de poort veranderen de oplossing zijn.

Pas de Grace time aan (LoginGraceTime)

Als er verbinding wordt gelegd met SSH heeft de gebruiker standaard 2 minuten tijd om in te loggen voordat de verbinding verbroken wordt. 2 minuten kan lang zij voor een gebruiker die de inlog gegevens heeft. Verlaag deze waarde naar 1 minuut of zelfs 30 seconde. Ik heb gekozen om dit te verlagen naar 1 minuut:

$ nano /etc/ssh/sshd_config
LoginGraceTime 1m

Als er binnen 1 minuut niet ingelogd wordt wordt de verbinding verbroken.

Beperk in de interface voor SSH (ListenAddress)

Een server kan meerdere interfaces hebben, zo zijn er verbindingen van het internet en via intern. Als je beheer alleen intern wilt doen zorg er dan ervoor dat er geen verbinding gemaakt kan worden via het internet. Dit kan geregeld worden via de regel “ListenAddress” dit geeft aan op welke IP adressen OpenSSH verbindingen kan verwachten. In het voorbeeld hieronder hebben we 4 interfaces maar we willen alleen op twee interfaces toegang verlenen.

• eth0 – 192.168.10.200
• eth1 – 192.168.10.201
• eth2 – 192.168.10.202
• eth3 – 192.168.10.203

We gaan toegang verlenen op IP adressen die eindigen op 200 en 202. Hiervoor voegen we de volgende regels toe

$ nano /etc/ssh/sshd_config
ListenAddress 192.168.10.200
ListenAddress 192.168.10.202

Verbreek verbinding als er na een bepaalde tijd geen activiteit plaats vindt (ClientAliveInterval)

Als er geen activiteiten meer plaats vinden over SSH is het verstandig om automatisch verbinding te verbreken. In de instellingen is het mogelijk om na een bepaald aantal seconden verbinding te verbreken.

Dit kan ook gerealiseerd worden via sshd_config waar je twee opties moet combineren, ClientAliveCountMax en ClientAliverInterval.

ClientAliveCountMax – Dit geeft aan hoeveel CheckAlive berichtjes gestuurd worden als de SSH client niet meer reageert. Standaard zit dit op 3 maar wij zetten dit op 0.

ClientAliveInterval – geeft aan na hoeveel tijd er een CheckAlive bericht gestuurd moet worden. Dit wordt in seconden weergegeven. Standaard staat dit op 0 wat betekend dat er nooit een bericht gestuurd wordt. We zetten dit op 600, dit is gelijk aan 10 minuten. Wil je het korter kan er een lagere waarde gebruikt worden..

$ nano /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 0

LET OP! Gebruik het script op eigen risico, ik ben er niet verantwoordelijk als er iets mis gaat. Ik heb dit getest op Ubuntu 10.10. Dit zal moeten werken op Ubuntu 10.04 en 10.10.

Om gebruik te maken van het script kun je het volgende opdrachten uitvoeren:
Cd
Wget http://www.huseyinkaya.nl/download/fixplymouth
Chmod +x fixplymouth
./fixplmouth

Gebruik het script maar 1 keer!

Na het uitvoeren volg de instructies op het scherm. Het zal niet moeilijk zijn je hoeft als enige je resolutie te kiezen uit een lijstje. Ik denk dat het voor de meeste 1024×768-24.

Script is afkomstig van Kyleabaker Ik heb alleen Engels vertaald naar het Nederlands.

je zult een scherm voor je krijgen, hier staan alle gebruikers die je hebt op je systeem. Selecteer je huidige gebruiker en klik op “geavanceerde instellingen”. Er zal een scherm verschijnen die een wachtwoord vraagt vul die in en druk op enter. Er zal een neiuwe scherm verschijnen, ga naar tab “Gebruikersrechten”. Hierin staan rechten in die de gebruiker gebruik van kan maken zonder er root wachtwoord voor te gebruiken.

Als je nu vink weghaalt bij “Mag automatisch gebruik maken van externe opslagapparaten” zullen externe opslag mediums niet automatisch meer mounten. Je moet nu eerst root wachtwoord gebruiken zodat het mounten plaats kan vinden. Nu kun je via terminal read-only mounten

Security

Dit is al een lange tijd geleden aangekaart op Launchpad waar ze liever een optie willen om hun eigen naam weer te geven. het gaat om bug #475443, hieronder citeer ik wat er gezegd is:

I’d prefer to see my displayname/realname as defined in “About Me” instead of my user account name. Maybe it should be a preference, although indicator applet in 9.10 has no preferences so maybe that is not a good idea. Dunno.

Maar gelukkig is er een oplossing voor, wel met een omweg maar het is mogelijk.
Wat je hiervoor gebruikt is gconf-editor. Je kunt dit gebruiken met ALT+F2.

Druk op ALT + F2 en daar kun je de opties invullen. Je hebt 3 opties

Helemaal niks weergeven, dus leeg:
gconftool -s /system/indicator/me/display –type int 0

Je echte naam weergeven:
gconftool -s /system/indicator/me/display –type int 2

Standaard instellingen, je gebruikersnaam:
gconftool -s /system/indicator/me/display –type int 1

Hieronder laat ik zien hoe je Gebruikers kunt aanmaken, beheren en policy’s instellen.

Gebruiker aanmaken

Om gebruikers aan te maken kun je useradd commando gebruiken. Je kunt ook opties meegeven om bijvoorbeeld een home directory aan te maken of in meerdere groepen te te voegen. Hieronder zijn de opties die je mee kunt geven:

• -d -> home directory

• -s -> starting program (Shell)

• -p -> password

• -g -> Primaire groep

• -G -> andere groepen

• -m -> maak een home directory

Voorbeeld van opdracht:

Useradd –g users –G verkoop –s /bin/Shell –p xxxx –d /home/huseyin –m huseyin

Gebruiker beheren

Je kunt ook de huidige instellingen van gebruikers aanpassen zoals home directory of de groep. Dit is te doen met usermod en je kunt de volgende opties gebruiken:

• -d -> home directory

• -s -> starting program (Shell)

• -p -> password

• -g -> Primaire groep

• -G -> andere groepen

Voorbeeld van commando:

Usermod –G inkoop huseyin

Wachtwoord wijzigen met passwd

Je kunt ook wachtwoord wijzigen met passwd. Je kunt alleen je eigen wachtwoord mee wijzigen en root kan van iedereen veranderen.

Passwd voor eigen wachtwoord:

Passwd

Enter > Vul huidige wachtwoord

Enter > Nieuwe wachtwoord

Enter > vul weer nieuwe wachtwoord (validatie)

Passwd met root:

Passwd Huseyin

Enter > Vul huidige wachtwoord (huseyin’s wachtwoord zijn of die van root)

Enter > Nieuwe wachtwoord

Enter > vul weer nieuwe wachtwoord (validatie)

/etc/passwd

In passwd worden de gebruikers gegevens opgeslagen zoals:

• Gebruiker

• Wachtwoord (encrypted je ziet alleen x)

• Gebruikers ID (UID)

• Primaire groep (GID)

• Commentaar (meestal volledige naam)

• Home directory (meestal /home/”gebruikersnaam”)

• Efault Shell (/bin/bash)

Deze gegevens zijn gescheiden met een dubbele punt, je kunt ze ook bewerken met nano of vi (command line tekst editors).

/etc/shadow

Wachtwoorden worden encrypte bewaard in /etc/shadow. Je kunt deze bestand alleen aanpassen met de commando passwd.

/etc/group

In /etc/group worden de gegevens opgeslagen van groepen. Je kunt deze bestand net zaols passwd bewerken met je favoriete tekst bewerker (nano, vi of pico). Wat in deze bestand opgeslagen zijn als volgt:

• Groep naam

• Groep wachtwoord (wordt bijna nooit gebruikt)

• Groep ID

• Gebruikersnamen (gescheiden met coma’s)

elke veld is gescheiden met dubbele punt.

/etc/skel

Dit is een standaard map waar instellingen in staan voor het maken van nieuwe gebruiekrs. Deze opties worden gebruikt als je useradd gebruikt om gebruikers aan te maken.

Je kunt de opties aanpassen naar je eigen wensen, dit zal geen effect hebben op huidige gebruikers alleen op nieuwe gebruikers.

Inlog pogingen

Als je ervoor zorgt dat gebruikers na 3 foutieve inlog pogingen hellemaal opnieuw moeten beginnen met de inlog procedure. Dit zal ervoor zorgen dat brute force aanvallers niet snel al hun wachtwoorden kunnen testen.

Wachtwoord beheer wordt gedaan door Pluggable Authentication Modules (PAM). Zo heb je meerdere bestanden die zich in /etc/pam.d/ bevinden. Voor deze optie gaan we pam_cracklib gebruiken. Standaard instellingen is te vinden in:

Debian gebaseerd: /etc/pam.d/common-password

Red-Hat gebaseerd: /etc/pam.d/system-auth

Je kunt de volgende optie op een nieuwe regel erbij zetten tenzij het al bestaat:

password required pam_cracklib.so retry=3 minlen=8 difok=3

retry=3: geeft aan hoeveel foutieve pogingen toegestaan zijn.

Minlen=6: geeft het minimum lengte van wachtwoord aan

Difok=3: hoeveel karakters er minimaal moeten verschillen.

Wachtwoord complexiteit

Je wilt dat je gebruikers geen makkelijke wachtwoorden gebruiken en inplats daarvan complexe wachtwoorden gebruiken met cijfers en letters (kleine en grote). Hiervoor kun je weet PAM voor gebruiken. Er bestaan vier parameters “lcredit”, “ucredit”, “dcredit” en “ocredit”

Lcredit = normale letters

Ucredit = hoofdletters

Dcredit = Cijfers

Ocredit = speciale tekens

Je kunt het als volgt toevoegen in common-password/system-auth achter pam_cracklib zetten:

lcredit=0 ucredit=1 dcredit=1 ocredit=1

Met deze instelling wil je dat er minimaal 1 hoofdletter, cijfer en een speciale teken gebruikt wordt.

Wachtwoord geschiedenis

Je wilt niet dat gebruikers weer gebruik gaan maken van hun oude wachtwoord. Dit kan ervoor zorgen dat gebruikers steeds twee verschillende wachtwoorden gebruiken.

Dit kan ook gedaan worden met pam. Oude wachtwoorden worden opgeslagen als een hash waarde in een bestand die alleen toegankelijk is voor de root. Voordat we het inschakelen moeten we eerst een bestand aanmaken, als je dit niet doet zullen er fouten ontstaan. Gebruik de volgende commando’s om het bestand aan te maken:

touch /etc/security/opasswd

chown root:root /etc/security/opasswd

chmod 600 /etc/security/opasswd

touch zorgt ervoor dat de bestand aangemaakt wordt. Daarna passen we de eigenaar aan dat het alleen root is. Chmod zorgt ervoor dat je rechten aan kan passen met 600 geven we aan dat het alleen te lezen en beschrijven is door root.

Nadat je deze bestand aangemaakt hebt kun je als optie toevoegen aan pam_cracklib. Zet het volgende achter pam_unix “remember=<x>”, x het aantal wachtwoorden die onthouden moeten worden.

password required pam_unix.so md5 remember=12 use_authtok

Wachtwoord verval tijd

Nu je alle wachtwoord instellingen hebt gedaan wil je ook dat wachtwoorden verlopen over een bepaalde tijd, zodat gebruikers geforceerd worden om wachtwoord te veranderen. Hellaas kan dit niet gedaan worden met PAM, PAM is er alleen voor controle. Je kunt deze instellingen vinden in /etc/login.defs. Er staan dan drie opties tussen die de wachtwoord controle doen “PASS_MAX_DAYS”, “PASS_MAX_DAYS” en “PASS_WARN_AGE”.

PASS_MAX_DAYS = hoelang een wachtwoord geldig is
PASS_MAX_DAYS = het aantal dagen de gebruiker minimaal moet wachten voordat ze wachtwoord weer kan wijzigen.

PASS_WARN_AGE = hoeveel dagen van te voren de gebruiker een waarschuwing krijgt.

Deze instelling is dan alleen toepasselijk voor nieuwe gebruikers, daarom is het handig om dit als eerst te doen voordat er gebruikers komen. Om de huidige instellingen van de gebruiker te zien kun je de commando “chage” gebruiken. Vb. “chage –l `gebruikersnaam`”.

Blok gebruikers

Als gebruikers tijdelijk niet aanwezig zijn of op vakantie zijn dan is het handig als je gebruikers login blokkeert. Dit zal er voor zorgen dat de account niet misbruikt kan worden wanneer de persoon niet aanwezig is. Om deze doel te bereiken kun je twee simpele commando’s gebruiken.

Om een gebruiker te blokken:

Passwd –l “gebruikersnaam”

Om weer toegang te verlenen:

Passwd –u “gebruikersnaam”

Verwijder gebruikers

Verwijder tijdig gebruikers die niet meer werken of gebruik maken van het netwerk. Zo kan er geen misbruik worden gemaakt van het account. Als een persoon niet meer werkt in het bedrijf dan hoed deze persoon ook geen login meer te hebben. Het kan altijd zij wanneer een persoon ontslagen wordt de huidige bestanden verwijderen of stelen.

Om een gebruiker te verwijderen gebruik je userdel. Met userdel kun je eenvoudig gebruikers verwijderen. Je kunt ook het optie –r meegeven, dit betekend dat de home directory ook verwijderd zal worden.

Userdel –r “gebruikersnaam”

Wachtwoord policy’s

Om alle wachtwoord policy’s te zien kun je gebruik maken van eht commando “chage”. Om een goede overzicht te krijgen kun je -l optie gebruiken. -l zal een overzicht geven van wachtwoord instellingen. Voorbeeld:

Commando:

chage -l huseyin

resutlaat:

Last password change : May 09, 2010
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

Het kan makkelijker, er is namelijk een PPA om automatisch laatste versie van Nvidia driver te installeren.
Let wel op: dit werkt alleen voor nvidia video kaarten versie 6 of hoger!

Als eerst gaan we PPA toevoegen (lucid en Maverick):
sudo add-apt-repository ppa:ubuntu-x-swat/x-updates

Om het te installeren kun je het volgende commando uitvoeren (1 regel):
sudo apt-get update && sudo apt-get install nvidia-current nvidia-current-modaliases nvidia-settings

nu hoef je nog alleen je pc opnieuw te starten.

Wat het script namelijk doet is een snelkoppeling maken in je public map en gelijk “public link” kopiëren waardoor je gelijk je link hebt om te delen. Als je meerdere bestanden tegelijk wilt delen kan het ook, je hoeft ze allemaal te selecteren en dan rechter muisknop … en je hebt gelijk je links.

Installatie:
Om het te gebruiken heb je als eerst xclip nodig, dit wordt gebruikt om public link te kopiëren:
sudo apt-get install xclip

Nu gaan we een nieuwe bestand maken genaamd “Dropbox delen” in ~/.gnome2/nautilus-scripts/
gedit ~/.gnome2/nautilus-scripts/Dropbox\ delen

plak het volgende in het bestand die in gedit geopend is:
#!/bin/bash
LOCATION="`cat ~/.dropbox/host.db | sed -n 2p | base64 -d`/Public/"
IFS=$'\n'
for FILENAME in $NAUTILUS_SCRIPT_SELECTED_FILE_PATHS
do
DROPBOXFILE=`echo $FILENAME | awk -F/ '{print $NF}'`
ln -s "$FILENAME" "$LOCATION"
list="$list `dropbox puburl "$LOCATION"/"$DROPBOXFILE"`"
echo -n $list | xclip -selection clipboard
done

Sla het bestand op en start nautilus opnieuw op:
chmod +x ~/.gnome2/nautilus-scripts/Dropbox\ delen
nautilus -q

Dit zal niet werken met mappen!

Functies:
- Meerdere google accounts
- Ubuntu MeMuni en notificaties intigratie\
- Samenvatting van je mails
- ondersteuing van thema’s
- meldingen per Label
- alle instellingen, behalve wachtwoord, kan synchroniseerd worden tussen meerdere pc’s met Ubuntu One
- wachtwoord wordt opgeslagen in Gnome-Keyring

Je kunt GmailWatcher installeren in Ubuntu 10.04/10.10. om het te installeren kun je gebruik maken van PPA. Gebruik de volgende commando’s om het te installere:

sudo add-apt-repository ppa:loneowais/ppa
sudo apt-get update
sudo apt-get install gmailwatcher

Hier is een screenshot:

Faenza onderstuend al een groot aantal applicaties en er komen nog meer icoontjes. Om dit icon theme te installeren kun je het volgende doen:

sudo add-apt-repository ppa:tiheum/equinox
sudo apt-get update && sudo apt-get install faenza-icon-theme

Of je kunt naar gnome-look.org gaan waar je ook de changelog kunt zien: http://gnome-look.org/content/show.php/Faenza?content=128143