linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

Samba Installation - Server & Client

Linux

1 Beiträge 1 Kommentatoren 43 Aufrufe

F Offline
F Offline
FrankM
schrieb am zuletzt editiert von

#1
Durch mein neues NAS, beschäftige ich mich die Tage wieder viel mit Dingen, die man selten anfasst. Dazu gehört auch Samba. Wenn man das mal installiert hat, packt man das ja meistens wieder einige Jahre, ok bei mir mehrere Monate nicht mehr an.

Früher habe ich ja immer NFS Freigaben genutzt, doch auf dem NanoPi R5S musste ich wegen der Performance zu Samba wechseln. Dabei konnte ich mir auch noch mal Gedanken darüber machen, ob es nicht sinnvoller ist, Samba anstelle von NFS zu benutzen. Thema Zugriffsrechte. Ich kam zu der Meinung, das Samba die bessere Wahl für mein Setup ist.

Server

Installation
```
apt install samba
systemctl status nmbd
```
Das geteilte Verzeichnis einrichten
```
mkdir /samba
```
Samba Config sichern
```
 cp /etc/samba/smb.conf /root
```
Die Config anpassen
```
nano /etc/samba/smb.conf
```
/etc/samba/smb.conf
```
[samba-share]
   comment = NAS
   path = /samba
   read-only = no
   writable = yes
   browsable = yes
   guest ok = no
   create mask = 0775
   directory mask = 0775
```
Ob die Settings hier das Allerbeste sind, weiß ich leider nicht zu 100%. Funktionieren aber Wie immer, wer Verbesserungen kennt, bitte hier posten.

Samba benutzt User zur Zugriffssteuerung. Diesen müssen auf dem Linuxsystem als User vorhanden sein!!
```
smbpasswd -a frank
smbpasswd -e frank
systemctl restart smbd.service
```
In einigen Tutorials im Netz, war
```
smbpasswd -e frank
```
nicht enthalten. Das enabled den User. Ich bin mir nicht sicher, ob man das unbedingt braucht, es kann aber sicherlich auch nicht schaden.

Damit sollte Samba auf dem Server fertig eingerichtet sein und laufen.

Client

Für den Zugriff auf den Samba Server nutze ich systemd. Dazu brauchen wir folgendes Dateien.
Und nicht vergessen den Mount Point anzulegen.
```
mkdir /mnt/NAS
```
mnt-NAS.mount
```
[Unit]
Description=Mount NAS SMB share
After=network-online.target
Wants=network-online.target

[Mount]
What=//192.168.3.12/samba-share
Where=/mnt/NAS
Type=cifs
Options=compress,credentials=/root/.smbcredentials,uid=1000,gid=1000
TimeoutSec=30

[Install]
WantedBy=multi-user.target
```
mnt-NAS.automount
```
[Unit]
Description=Automount NAS SMB share

[Automount]
Where=/mnt/NAS

[Install]
WantedBy=multi-user.target
```
/root/.smbcredentials
```
username=frank
password=<PASSWORD>
```
Das Passwort ist das Passwort welches ihr bei Anlage des Samba Users eingegeben habt.

Die systemd Dienste enablen und starten - fertig. Danach steht einem der Samba Share zur Verfügung.
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

F

MongoDB - Erste Erfahrungen
Geplant Angeheftet Gesperrt Verschoben Linux mongodb linux ki-generiert
2

0 Stimmen

2 Beiträge

79 Aufrufe

F

So frisch von der MongoDB Front und wieder viel gelernt, weil beim Üben macht man Fehler 🙂

Oben war ja mongodump & mongorestore von der KI empfohlen. Hier das wie ich es gemacht habe.
mongodump frank@redis-stack:~$ mongodump -u frank -p '<password>' --host 192.168.3.9 --authenticationDatabase admin -d portfolio -o mongodump/ 2024-04-06T09:29:25.174+0200 writing portfolio.stockList to mongodump/portfolio/stockList.bson 2024-04-06T09:29:25.175+0200 writing portfolio.users to mongodump/portfolio/users.bson 2024-04-06T09:29:25.175+0200 done dumping portfolio.stockList (8 documents) 2024-04-06T09:29:25.176+0200 writing portfolio.total_sum to mongodump/portfolio/total_sum.bson 2024-04-06T09:29:25.177+0200 done dumping portfolio.total_sum (1 document) 2024-04-06T09:29:25.177+0200 writing portfolio.old_total_sum to mongodump/portfolio/old_total_sum.bson 2024-04-06T09:29:25.177+0200 writing portfolio.stocks to mongodump/portfolio/stocks.bson 2024-04-06T09:29:25.177+0200 done dumping portfolio.users (4 documents) 2024-04-06T09:29:25.178+0200 writing portfolio.settings to mongodump/portfolio/settings.bson 2024-04-06T09:29:25.178+0200 done dumping portfolio.settings (1 document) 2024-04-06T09:29:25.179+0200 done dumping portfolio.old_total_sum (1 document) 2024-04-06T09:29:25.179+0200 done dumping portfolio.stocks (34 documents) mongorestore mongorestore -u frank -p '<password>' --host 192.168.3.9 --authenticationDatabase admin -d portfolio mongodump/meineDatenbank/
Hier wird die Datensicherung mongodump/meineDatenbank/ in die neue Datenbank portfolio transferiert.

Grund für das Ganze? Mich hatte der Datenbank Name meineDatenbank gestört.
Benutzerrechte
Jetzt der Teil wo man schnell was falsch machen kann 🙂 Ich hatte also die neue Datenbank, konnte sie aber nicht lesen. Fehlten halt die Rechte. Ich hatte dann so was hier gemacht.
db.updateUser("frank", { roles: [ { role: "readWrite", db: "meineDatenbank" }, { role: "readWrite", db: "portfolio" }]})
Ging auch prima, kam ein ok zurück. Nun das Problem, ich hatte beim Einrichten, den User frank als admin benutzt. Durch den oben abgesetzten Befehl (frank ist ja admin), wurden die neuen Rechte gesetzt und die Rechte als Admin entzogen!! Das war jetzt nicht wirklich das was ich gebrauchen konnte. LOL

Ich hatte jetzt keine Kontrolle mehr über die DB. Das war aber nicht so wirklich kompliziert, das wieder zu ändern. Die Authentication temporär abstellen. Also /etc/mongod.conf editieren und
#security: security.authorization: enabled
eben mal auskommentieren. Den Daemon neustarten und anmelden an der DB.
mongosh --host 192.168.3.9
Danach neuen User anlegen
db.createUser({ user: "<name>", pwd: "<password>", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] })
mongod.conf wieder ändern und neustarten. Danach hat man wieder eine DB mit Authentifizierung und einen neuen Admin. Ich bin diesmal, man lernt ja, anders vorgegangen. Es gibt nun einen Admin für die DB und einen User zum Benutzen der Datenbanken! So wie man es auch auf einem produktiven System auch machen würde. Wenn ich jetzt mal was an den Benutzerrechten des Users ändere, kann mir das mit dem Admin nicht mehr passieren. Hoffe ich 🙂
F

Ansible - Proxmox Server bearbeiten
Geplant Angeheftet Gesperrt Verschoben Ansible ansible proxmox semaphore linux
1

0 Stimmen

1 Beiträge

263 Aufrufe

Niemand hat geantwortet
F

Crowdsec - Ein fail2ban Ersatz?
Geplant Angeheftet Gesperrt Verschoben Linux crowdsec linux fail2ban
2

0 Stimmen

2 Beiträge

519 Aufrufe

F

Ich kann jetzt hier von meiner ersten Erfahrung berichten und wie CrowdSec mich gebannt hat 🙂

Was war passiert? Ich war gestern sehr intensiv mit der Konfiguration von Nextcloud <-> Collabora Online beschäftigt. Nachdem ich irgendwie nicht weiterkam habe ich mich der Erstellung eines Dokumentes gewidmet. Nach einiger Zeit war die Nextcloud nicht mehr erreichbar.

Ok, hatte ich bei der Konfiguration auch schon mal, den Server einmal neugestartet und fertig. Doch jetzt kam es, Server neugestartet - hilft nicht. Gut, schauen wir mal nach, Der SSH Login ging auch nicht 😞

Jetzt war guter Rat gefragt. Zu diesem Zeitpunkt ging ich noch davon aus, das auf diesem Server kein CrowdSec installiert war, sondern fail2ban. Und fail2ban hatte eine sehr kurze Bantime vom 10M.

Also blieb wohl nur noch das Rescue System von Hetzner.

488866bc-3dcf-4abc-9e98-6107d65aa4c7-grafik.png

Da hatte ich ja so gut wie gar keine Erfahrung mit. Also mal kurz den Nico angetriggert und es kam folgender Link.

Link Preview Image Hetzner Rescue-System - Hetzner Docs
favicon
(docs.hetzner.com)

Das Laufwerk war schnell bestimmt und schnell nach /tmp gemountet. Danach musste man sich noch mit chroot in diese Umgebung anmelden.
chroot-prepare /mnt chroot /mnt
Nachdem das klappte, habe ich eben fail2ban disabled.
sysmctl disable fail2ban
Danach das Rescue beendet. Der Server startete wieder und ich kam wieder per SSH drauf. Puuh.
Bei meiner ersten Kontrolle fiel mir was auf
root@:~# pstree systemd─┬─2*[agetty] ├─atd ├─cron ├─crowdsec─┬─journalctl │ └─8*[{crowdsec}] ├─crowdsec-firewa───9*[{crowdsec-firewa}]
Wie? Da läuft CrowdSec? Da ich dabei bin die Server auf CrowdSec umzustellen, war das wohl hier schon gemacht, aber leider nicht vernünftig. fail2ban hätte mindestens disabled werden müssen und in meiner Dokumentation war das auch nicht enthalten. 6 setzen!

CrowdSec besteht ja aus zwei Diensten, CrowdSec und dem Firewall-Bouncer. Der CrowdSec Dienst lief aber nicht, der war irgendwie failed. Ok, starten wir ihn und schauen was passiert. Nachdem er gestarte war mal die Banliste angeschaut.
cscli decisions list
ergab diesen Eintrag.
2551501 │ crowdsec │ Ip:5.146.xxx.xxx │ crowdsecurity/http-crawl-non_statics │ ban │ │ │ 53 │ 1h5m55.391864693s │ 1671
Meine IP war gebannt. Dann wissen wir ja , woher die Probleme kamen.
cscli decisions delete --id 2551501
Nach Eingabe war der Ban entfernt. Na gut, aber da ich aktuell immer noch an der richtigen Konfiguration von NC <-> CODE bastel, könnte das ja wieder passieren. Was machen? Kurz gegoogelt. Es gibt eine Whitelist. Aha!

/etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists description: "Whitelist events from private ipv4 addresses" whitelist: reason: "private ipv4/ipv6 ip/ranges" ip: - "127.0.0.1" - "::1" - "5.146.XXX.XXX" cidr: - "192.168.0.0/16" - "10.0.0.0/8" - "172.16.0.0/12" # expression: # - "'foo.com' in evt.Meta.source_ip.reverse"
Danach den Dienst neustarten. Jetzt hoffen wir mal, das es hilft.

Zum Schluss noch was, was mir aufgefallen war und was mich auch sehr verwirrt hatte. CrowdSec hatte wegen einem crowdsecurity/http-crawl-non_statics gebannt. Dadurch konnte ich meine
subdomain.<DOMAIN> nicht erreichen. Ok, logisch, wenn der Ban von da ausgeht. Ich konnte aber gleichzeitig eine andere subdomain mit derselben <DOMAIN> auch nicht erreichen. Komplett verwirrte es mich dann, als ich eine andere <DOMAIN> auf dem selben Server erreichen konnte. Und zum Schluss ging auch der SSH nicht.

Also, wieder viel gelernt.. 🤓
F

Debian Installer Bookworm RC3 released
Geplant Angeheftet Gesperrt Verschoben Linux debian linux
2

0 Stimmen

2 Beiträge

73 Aufrufe

F

Und da sind wir schon bei RC4

Debian Installer Bookworm RC 4 release
favicon
(lists.debian.org)
F

Hetzner Cloud - Server läßt sich nicht verschieben!
Geplant Angeheftet Gesperrt Verschoben Linux hetzner linux
1

0 Stimmen

1 Beiträge

319 Aufrufe

Niemand hat geantwortet
F

Linux Befehle - ls & tail
Geplant Angeheftet Gesperrt Verschoben Linux linux
1

0 Stimmen

1 Beiträge

330 Aufrufe

Niemand hat geantwortet
F

Wireguard
Geplant Angeheftet Gesperrt Verschoben Wireguard linux rockpro64 wireguard
4

0 Stimmen

4 Beiträge

796 Aufrufe

F

Etwas schnellerer Weg den Tunnel aufzubauen, Voraussetzung
wireguard modul installiert Keys erzeugt
Danach dann einfach
ip link add wg0 type wireguard wg setconf wg0 /etc/wireguard/wg0.conf Datei /etc/wireguard/wg0.conf [Interface] PrivateKey = <Private Key> ListenPort = 60563 [Peer] PublicKey = <Public Key Ziel> Endpoint = <IPv4 Adresse Zielrechner>:58380 AllowedIPs = 10.10.0.1/32
Die Rechte der Dateien von wireguard müssen eingeschränkt werden.
sudo chmod 0600 /etc/wireguard/wg0.conf
Das ganze per rc.local beim Booten laden. Datei /root/wireguard_start.sh
############################################################################################### # Autor: Frank Mankel # Startup-Script # Wireguard # Kontakt: frank.mankel@gmail.com # ############################################################################################### ip link add wg0 type wireguard ip address add dev wg0 10.10.0.1/8 wg setconf wg0 /etc/wireguard/wg0.conf ip link set up dev wg0
Danach Datei ausführbar machen
chmod +x /root/wireguard_start.sh
In rc.local
/root/wireguard_start.sh
eintragen - Fertig!
F

NAS - Cups & Sane
Geplant Angeheftet Gesperrt Verschoben Linux linux
1

0 Stimmen

1 Beiträge

469 Aufrufe

Niemand hat geantwortet