Senast uppdaterad 2009-05-13

Ubuntu Netbook Remix är i grunden en vanlig Ubuntu med Gnome fast med ett smidigare gränssnitt för små bildskärmar. Mer information hittar du här: http://www.canonical.com/projects/ubuntu/unr.

Installationen är relativt lätt och här följer en beskrivning hur du går tillväga för att installera via USB-minne. För vissa modeller måste vissa specialanpassningar utföras för att få alla enheter att fungera, se kompabilitetslistan för dessa: https://wiki.ubuntu.com/UNR/Netbook%20Compatibility

Krav

• Dator med Ubuntu
• USB-minne med minst 1 Gb utrymme (tomt, allt kommer att raderas)

Förberedelser
Börja med att ladda ner senaste bygget här: http://cdimage.ubuntu.com/ubuntu-netbook-remix/daily-live/current/, i skrivande stund är det jaunty-netbook-remix-i386.img som gäller

Installera sedan USB ImageWriter via konsolen

sudo apt-get install usb-imagewriter

Skriv avbildningen på USB-minnet

1. Starta programmet från Program/Tillbehör/ImageWriter
2. Klicka på "Write Image" och bläddra dig fram till avbildningen
3. Välj USB-minnet i "To"
4. Klicka på knappen "Write to device"
5. Tänk på att ALL information på minnet kommer att raderas, klicka på "OK"
6. Nu är samtliga förberedelser klara

Installera Ubuntu
Sätt in USB-minnet i din netbook och starta upp datorn. Om installationen inte startar kan det bero på att din BIOS är konfigurerad att starta på din hårddisk/SSD och inte på USB-enheter vilket du måste ändra. Se din manual för dessa instruktioner.

Installera sedan Ubuntu som på vilken annan dator som helst.

Efter installationen kan du snabba upp systemet om du använder SSD-disk då det finns många optimeringar att göra. Se följande blogginlägg för mer information: Snabba upp Ubuntu Netbook Remix vid användning av SSD-disk

För mer information se Ubuntu Wiki: https://wiki.ubuntu.com/UNR

// rancor

Uppdaterad 2009-05-13: Lagt till information gällande optimering för användning av SSD-disk
Upplagt: 2009-04-21 21:07

byobi eller tidigare känd som screen-profiles är ett script som hjälper till att konfigurera screen för visa mer information i terminalen. byobi används med fördel på en server och eftersom man inte har någon grafisk miljö och då får man en fin statusrad längst ner på skärmen som visar t.ex. statusmeddelanden, CPU-användninig, ledigt minne, klockan och systemets upptid.

Installation av byobu under Ubuntu 9.04

Redigera /etc/apt/sources.list med din favoriteditor och lägg till följande rader i slutet av filen:

# byobu
deb http://ppa.launchpad.net/byobu/ppa/ubuntu jaunty main
deb-src http://ppa.launchpad.net/byobu/ppa/ubuntu jaunty main

Lägg till projektets nyckel

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com A42A415B4677D2D22EB05723CF5E7496F430BBA5

Uppdatera förrådet

sudo apt-get update

Installera byobu

sudo apt-get install byobu byobu-extras

Konfigurera sedan screen genom att starta byobu, tryck F9 och utför önskade ändringar och ladda sedan om med F5. Efteråt används screen som vanligt.

Mer information: https://launchpad.net/byobu

// rancor

I guiden "Så här skyddar du SSH mot lösenordsattacker med denyhosts" så gick jag genom installationen av DenyHosts men det går även att synkronisera mot denyhosts.net där över 70 000 användare är med och delar med sig av sin data från attacker.

Genom att synkronisera har du möjligheten att bygga upp skyddet innan du blir attackerad eftersom många av de script som körs på Internet har varit uppe länge och antagligen finns redan detta IP registrerat och på så sätt slipper du attacken helt och hållet.

För att aktivera synkroniseringen editerar du /etc/denyhosts.conf med din favoriteditor och letar upp följande rad:

#SYNC_SERVER = http://xmlrpc.denyhosts.net:9911

Ta bort kommentaren så att det står:

SYNC_SERVER = http://xmlrpc.denyhosts.net:9911

Spara och starta om denyhosts

sudo /etc/init.d/denyhosts restart

Nu är du med och bidrar samtidigt som du tar del av andras blockeringar. Synkroneringen sker en gång i timmen och du vad som händer i /var/log/denyhosts

Om du tycker om statistik finns det en hel del intressant att titta på här: http://stats.denyhosts.net/stats.html

// rancor

Webben är en enormt stort fönster för dem som skriver skadlig kod och det rapporteras dagligen in mängder med sårbarheter i tjänster där elaksinnade användare utnyttjar olika typer av svagheter på både hemsidorna men även i webbläsarna för att installera skadlig kod eller för att stjäla användaruppgifter som t.ex. användarnamn och lösenord.

Att skydda sig är inte så lätt då de flesta sådana hot inte är någon form av mjukvara som laddas ner i klienten utan det är helt enkelt godkänd kod som exekveras som JavaScript, HTML, inbäddat i Flash eller PDF-dokument, listan kan göras lång.

Det går lätt att få ihop en lista på mer än 30 olika tillägg till Firefox men det är inte realistiskt att använda samtliga och därför komme de absolut viktigaste här:

NoScript
Det viktigaste tillägget är NoScript. Det är ett tillägg som förhindrar att icke godkända JavaScript, Java, Flash och övriga plugin som försöker startas i Firefox. Fördelen är att man lätt kan tillåta den aktuella hemsidan för att köra script men om man av misstag luras vidare till script som finns på en annan server så kan dessa inte exekveras (XSS, Cross Site Script).

RequestPolicy
NoScript ger ett bra grundläggande skydd mot script men inte mot vanlig html, css eller mot andra normalt sätt godkända källor från externa siter som man ofta korsrefererar till i källkoden men som även används flitigt i XSS och Cross-Site Request Forgery (CSRF). Detta tillägg blockerar samtlig externa anrop oavsett typ vilket ger ett utmärkt skydd i kombination med NoScript för XSS och CSRF. RequestPolicy hämtar du här: https://addons.mozilla.org/sv-SE/firefox/addon/9727

AdBlock Plus
AdBlock Plus är egentligen till för att filtrera bort reklam från hemsidor men det är ett välkänt faktum att reklam är en tacksam måltavla för dem som t.ex. bygger in elak kod i bland annat Flash eftersom reklamen ser ut att komma från en tillförlitlig källa. Med AdBlock Plus spärrar du på ett enkelt sätt bort reklamen genom att skapa enkla filter.

FormFox
Med FormFox så ser du till vilken server som informationen du skrivit in i formulär kommer att skickas. Du håller enkelt bara markören över knappen som skickar data och då ser du att informationen hamnar rätt.

// rancor

Uppdaterad 2009-06-05: Lagt till RequestPolicy

De flesta Netbooks använder riktigt billiga SSD-diskar (Solid State Drive) vilka är extremt långsamma mot en vanlig hårddisk eller mer moderna SSD som går att köpa löst. Eftersom Netbookmarknaden är ordentligt prispressad så har tillverkarna inte råd att sätta in ordentliga SSD-diskar och vi får sega system då detta blir en ordentlig flaskhals.

I Ubuntu finns det några saker man kan "skruva" på för att öka hastigheten något och här följer några prestandahöjande tips.

Montera filsystemet som noatime
Som standard monteras filsystemet med relatime vilket innebär att atime för varje fil uppdateras varje gång en användare eller ett program läser i en fil vilket nästan alltid är helt onödigt. Det innebär i praktiken att filsystemet ligger och uppdaterar normalt sätt värdelös information vilket tär på prestandan. Lösningen är att montera filsystemet med noatime vilket stänger av den funktionen.

Editera /etc/fstab och ändra följande rad (UUID skiljer sig mellan varje dator, ändra inte det värdet). Ersätt relatime med noatime enligt följande:

UUID=f0ae2c59-83d2-42e7-81c4-2e870b6b255d / ext3 noatime,errors=remount-ro 0 1

noop I/O schema
I en traditionell hårddisk finns läsarmar som tar tid att flytta på när data som skall läsas finns på en sektor en bit ifrån den aktuella sekorn där armen står för tillfället. I en SSD-disk så finns det inga mekaniska delar och söktiden, alltså den tid det tar att förflytta sig från en sektor till en annan är i princip obefintlig mot en vanlig hårddisk. För att snabba upp hårddiskarna så finns det lite trix att göra för att förutse vart data finns på disken och vilken data som snart skall läsas för slippa hoppa fram och tillbaka för mycket på disken. Detta är inget som behövs på en SSD-disk då man kan göra läsningar sekvensiellt och låta SSD-diskens kontroller sköta all intelligens. Det är bevisat i benchmark att det finns fördelar med noop på SSD-diskar men även om man kör datorn i en virtuell miljö eller med vissa raid-kontroller.

Editera /boot/grub/menu.lst och lägg till "elevator=noop" som en option.
Leta upp följande avsnitt, högst troligt längst ner i filen:

## ## End Default Options ##

title Ubuntu 9.04, kernel 2.6.28-11-generic
root (hd0,0)
kernel /boot/vmlinuz-2.6.28-11-generic root=UUID=9968730b-3291-486c-8da3-0bd58fcbbcfb ro quiet splash elevator=noop
initrd /boot/initrd.img-2.6.28-11-generic
quiet

Lägg till "elevator=noop" efter "kernel /boot/vmlinuz-2.6.28-11-generic root=UUID=9968730b-3291-486c-8da3-0bd58fcbbcfb ro quiet splash".

Vid uppdatering av kärnan så kommer denna inställning att gå förlorad vilket man löser genom att ange noop som standardvärde.
Leta även upp följande avsnitt:

# defoptions=quiet splash

och ändra det till:

# defoptions=elevator=noop quiet splash

Stänga av ScrollKeeper
ScrollKeeper är ett program som indexerar meta-data i dokument på datorn och vid installation av nya program (apt, Synaptic osv.) så belastar detta disken enormt vilket gör att installationer tar väldigt lång tid. ScroolKeeper är inte så ofta använt och på en Netbook kan man lika väl stänga av funktionen.

Skriv följande i terminalen:

sudo mv /usr/bin/scrollkeeper-update /usr/bin/scrollkeeper-update.real
sudo ln -s /bin/true /usr/bin/scrollkeeper-update
sudo find /var/lib/scrollkeeper/ -name \*.xml -type f -exec rm -f '{}' \;
sudo dpkg-divert --local --divert /usr/bin/scrollkeeper-update.real --add /usr/bin/scrollkeeper-update

Minska på slitaget på SSD-disken
Normalt så slits inte en SSD-disk ut under en livslängd av en dator men dessa billiga Netbooks har inte alltid de bästa diskarna och då kan det vara bra att både minska på slitaget men även minska på skrivningarna för att få bättre prestanda för övriga operationer. Loggar är något man kanske inte behöver spara på sin Netbook och då kan man med fördel lägga loggningen på en virtuell disk i ramminnet (som töms efter varje omstart).

Editera /etc/fstab och lägg till följande rader i slutet:

tmpfs /var/log tmpfs defaults 0 0
tmpfs /tmp tmpfs defaults 0 0
tmpfs /var/tmp tmpfs defaults 0 0

Editera sedan /etc/init.d/sysklogd och leta upp följande stycke:

fix_log_ownership()
{
        for l in `syslogd-listfiles -a`
        do
                chown ${USER}:adm $l
        done
}

Ersätt samtliga ovan rader med föjande:

fix_log_ownership()
{
        for l in `syslogd-listfiles -a --news`
        do
                # Create directory for logfile if required
                ldir=$(echo ${l} | sed  's/[^\/]*$//g')
                if [ ! -e $ldir ] ; then
                        mkdir -p $ldir
                fi
                # Touch logfile and chown
                touch $l && chown ${USER}:adm $l
        done

}

Några program kommer också att gnälla för att /var/log inte finns med sina egna kataloger för sina loggar.

Editera /etc/rc.local och lägg till följande rader direkt ovanför "exit 0":

for dir in apparmor apt ConsoleKit cups dist-upgrade fsck gdm installer news ntpstats samba unattended-upgrades ; do
if [ ! -e /var/log/$dir ] ; then
mkdir /var/log/$dir
fi
done

Nu skall förhoppningsvis systemet gå lite snabbare

// rancor

Vi är en standardeditor i de flesta Unix-miljöer och till Linux används Vim (startas med vi). Vim står för Vi IMproved och är en vidareutveckling av Vi

Jag tänkte inte gå in på hur man använder Vi utan detta är ett tips om en variant av Vim som heter Vim-nox som är vanliga Vim utan support för X och som åtgärdar lite irriterande småproblem med originalet som skickas med i t.ex. Ubuntu.

En av sakerna som jag personligen har stört mig mest på är att när man skriver in text och vill förflytta sig uppåt eller nedåt mellan raderna med piltangenterna så skjuter man in nya rader istället för att förflytta vilket är mycket enerverande. Vim-nox löser detta problem vilket är fullt tillräckligt för mig att byta.

Vim-nox installeras i terminalen med följande kommando:

sudo apt-get install vim-nox

// rancor

Tyvärr används denna "logik" av fler än man kan tro. Se bara inom er egna närhet som t.ex. föräldrar, kollegor och vänner. Strippen är rolig men den innehåller väldigt mycket sanning vilket är skrämmande.

© Copyright 2006 Comics.com

// rancor

Alla vi som har SSH-server aktiverat har säkert sätt i loggarna att det pågår försök att logga in i maskinen med olika användarnamn. Vi som använder Ubuntu har ett ganska bra grundläggande skydd eftersom root inte som standard tillåts att logga in och då gäller det för dem som attackerar att veta vilket användarnamn som skall användas villket inte är så lätt.

Titta själv efter intrångsförsök, skriv följande kommando i terminalen

zgrep "authentication failure;" /var/log/auth*

Samtliga rader som dyker upp är de felaktiga inloggningar som systemet har i sina loggar.

Bästa sättet att skydda sig är att stänga SSH i brandväggen och endast öppna för de IP-adresser som du vill fjärrstyra din dator från men det är kanske inte möjligt alla gånger eftersom man kanske kommer från olika IP-adresser varje gång.

denyhosts är ett program som konstant övervakar loggarna och som aktivt spärrar IP-adresser som misslyckas med att logga in. Efter 5 misslyckade försök spärras normalt IP-adressen för all framtid. Tiden är ställbar, lika så hur många försök man skall få på sig innan IP-adressen spärras.

Installera denyhosts i Ubuntu
Installationen är mycket lätt, skriv följande i terminalen:

sudo apt-get install denyhosts

Programmet startar automatiskt och du har nu ett bra grundläggande skydd.

Alla IP-adresser som blockeras finns att hitta i /etc/hosts.deny, det kommer även stå loggat i /var/log/denyhosts. För att radera en IP-adress som är spärrad redigerar du /etc/hosts.deny och tar bort önskad rad.

Konfigurera denyhosts
Om du vill ändra standardinställningen så att spärrade IP-adresser inte spärras för all framtid redigerar du /etc/denyhosts.conf och letar upp raden "PURGE_DENY =" och ersätter den med exempelvis något av följande.

• 1 timme:
  PURGE_DENY = 1h
• 1 dag:
  PURGE_DENY = 1d
• 4 dagar:
  PURGE_DENY = 4d

Efter att du har ändrat inställningar måste du starta om denyhosts genom att skriva följande i terminalen:

sudo /etc/init.d/denyhosts restart

// rancor

Det är aldrig roligt att få sin hemsida hackad eller sänkt. Till Apache finns en modul som ger ett grundläggande skydd mot DoS (Deinal of Service), DDoS (Distributed Dinial of Service) eller brute force (automatiskt test av olika användarnamn/lösenordskombinationer).

Jag tror dock att vi inte klarar oss mot en DDoS-attack då dessa brukar sänka servern på grund av att förbindelsens kapacitet tar slut men mot attacker där man försöker knäcka lösenord (brute force) eller där man läser om sidor som förbrukar stora resurser av minne eller CPU till den mån att tjänsten slutar att svara (DoS) så finns det ett enkelt sätt att skydda sig och det är en modul till Apache som heter mod_evasive.

Det är dock ändå vikigt att komma ihåg att man alltid skall skydda sig så långt från sina servrar och nätverk som möjligt för dessa attacker men det är inte alltid möjligt eller eknomiskt svarsbart att göra detta och då kan mod_evasive vara en bra början.

mod_evasive blockerar automatiskt access för dem som uppfyller något av följande 3 krav:

• Begär samma sida flera gånger per sekund
• Begär mer än 50 anslutningar mot samma objekt (child) i rad per sekund
• Samtliga anslutningar om man redan är tillfälligt svartlistad.

För er med Ubuntu så är installationen mycket enkel. Skriv bara följande i terminalen:

sudo apt-get install libapache2-mod-evasive

Testa nu genom att besöka din hemsida och ladda om sidan allt vad du orkar under några sekunder och du kommer att mötas av ett "403 Forbidden"-meddelande.

// rancor

Har lagt in en gedigen lista på mina "bloggvänner" ;) Än så länge finns Urban Anjars blogg "Ubuntu för alla" men det blir nog snart fler.

Vilka är mina bloggvänner? Jag vet inte, säg till så länkas vi!

// rancor

OpenBSD anses som ett av de mer säkra operativsystemen på marknaden med minst säkerhetshål i en standardinstallation. Standardinstallationen är i och för sig ganska sparsam men det är bra att man inte får med massa onödigt lulllull om man t.ex. skall använda maskinen som en brandvägg eller router.

Idag den 1/5 släpptes OpenBSD 4.5 och en utdrag av de mest viktiga förändringar hittar du här: http://www.openbsd.org/45.html

Hemsida: http://openbsd.org

// rancor