Корпоративное зеркало репозиториев aptly в Ubuntu

Опубликовано автором

Добавление репозитория с ключём, установка:

echo "deb [signed-by=/etc/apt/keyrings/aptly.asc] http://repo.aptly.info/ squeeze main" | sudo tee /etc/apt/sources.list.d/aptly.list
sudo mkdir -p /etc/apt/keyrings; sudo chmod 755 /etc/apt/keyrings
wget -O /etc/apt/keyrings/aptly.asc https://www.aptly.info/pubkey.txt
sudo apt-get update
sudo apt install aptly rng-tools nginx -y

echo "deb [signed-by=/etc/apt/keyrings/aptly.asc] http://repo.aptly.info/ squeeze main" | sudo tee /etc/apt/sources.list.d/aptly.list

sudo mkdir -p /etc/apt/keyrings; sudo chmod 755 /etc/apt/keyrings

wget -O /etc/apt/keyrings/aptly.asc https://www.aptly.info/pubkey.txt

sudo apt-get update

sudo apt install aptly rng-tools nginx -y

Создать .aptly.conf в домашнем каталоге, или /etc/aptly.conf:

{
  "rootDir": "/public",
  "downloadConcurrency": 4,
  "downloadSpeedLimit": 0,
  "architectures": [],
  "dependencyFollowSuggests": false,
  "dependencyFollowRecommends": false,
  "dependencyFollowAllVariants": false,
  "dependencyFollowSource": false,
  "dependencyVerboseResolve": false,
  "gpgDisableSign": false,
  "gpgDisableVerify": false,
  "gpgProvider": "gpg",
  "downloadSourcePackages": false,
  "skipLegacyPool": true,
  "ppaDistributorID": "ubuntu",
  "ppaCodename": "",
  "FileSystemPublishEndpoints": {
    "pubtest": {
      "rootDir": "/var/www/aptly",
      "linkMethod": "symlink",
      "verifyMethod": "md5"
    }
  },
  "enableMetricsEndpoint": false
}

{

"rootDir": "/public",

"downloadConcurrency": 4,

"downloadSpeedLimit": 0,

"architectures": [],

"dependencyFollowSuggests": false,

"dependencyFollowRecommends": false,

"dependencyFollowAllVariants": false,

"dependencyFollowSource": false,

"dependencyVerboseResolve": false,

"gpgDisableSign": false,

"gpgDisableVerify": false,

"gpgProvider": "gpg",

"downloadSourcePackages": false,

"skipLegacyPool": true,

"ppaDistributorID": "ubuntu",

"ppaCodename": "",

"FileSystemPublishEndpoints": {

"pubtest": {

"rootDir": "/var/www/aptly",

"linkMethod": "symlink",

"verifyMethod": "md5"

}

"enableMetricsEndpoint": false

}

#Создать каталог для публикаций:
sudo mkdir /var/www/aptly/
#Создание ключа gpg для публикации:
sudo rngd -r /dev/urandom &amp;&amp; sudo gpg --full-generate-key
# Вводим имя, после предложат ввести passphrase и время жизни для него
# Пароль записать в файл (/etc/gpgpass) для автоматизации
# Ключ можно посмотреть командой:
gpg --list-keys
# публикация открытого ключа:
sudo gpg --export --armor | sudo tee repos.asc ( или под рутом: gpg --export --armor > /var/www/aptly/pubtest.asc)
#Пароль записать в файл (/etc/gpgpass) для автоматизации

#Создать каталог для публикаций:

sudo mkdir /var/www/aptly/

#Создание ключа gpg для публикации:

sudo rngd -r /dev/urandom && sudo gpg --full-generate-key

# Вводим имя, после предложат ввести passphrase и время жизни для него

# Пароль записать в файл (/etc/gpgpass) для автоматизации

# Ключ можно посмотреть командой:

gpg --list-keys

# публикация открытого ключа:

sudo gpg --export --armor | sudo tee repos.asc ( или под рутом: gpg --export --armor > /var/www/aptly/pubtest.asc)

#Пароль записать в файл (/etc/gpgpass) для автоматизации

Создание x64 репозитория на примере Ubuntu 22 jammy (без source)

Создать репозитории x64 (всё будет скачано в компонент main, если нужно отделить, нужно скачивать каждый компонент отдельно). Во время этих команд попросят добавить ключи, команда для этого будет на экране (gpg —no-default-keyring —keyring trustedkeys.gpg —keyserver keyserver.ubuntu.com —recv-keys 871920D1991BC93C):

aptly mirror create -architectures=amd64 jammy http://ru.archive.ubuntu.com/ubuntu/ jammy
aptly mirror create -architectures=amd64 jammy-updates http://ru.archive.ubuntu.com/ubuntu/ jammy-updates
aptly mirror create -architectures=amd64 jammy-security http://security.ubuntu.com/ubuntu/ jammy-security

aptly mirror create -architectures=amd64 jammy http://ru.archive.ubuntu.com/ubuntu/ jammy

aptly mirror create -architectures=amd64 jammy-updates http://ru.archive.ubuntu.com/ubuntu/ jammy-updates

aptly mirror create -architectures=amd64 jammy-security http://security.ubuntu.com/ubuntu/ jammy-security

Обновить репозиторий (скачать), создать снапшоты и объединить 3 в 1:

aptly mirror list -raw | grep jammy | xargs -n1 aptly mirror update
aptly snapshot create jammy from mirror jammy
aptly snapshot create jammy-updates from mirror jammy-updates
aptly snapshot create jammy-security from mirror jammy-security
aptly snapshot merge -latest jammy-final-$(date -u +'%d%m%Y') jammy jammy-updates jammy-security

aptly mirror list -raw | grep jammy | xargs -n1 aptly mirror update

aptly snapshot create jammy from mirror jammy

aptly snapshot create jammy-updates from mirror jammy-updates

aptly snapshot create jammy-security from mirror jammy-security

aptly snapshot merge -latest jammy-final-$(date -u +'%d%m%Y') jammy jammy-updates jammy-security

Опубликовать снапшот объединённого репозитория (origin и label берутся из файла InRelease в репозитории):

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish snapshot -distribution="jammy" -origin="Ubuntu" -label="Ubuntu" jammy-final-$(date -u +'%d%m%Y') filesystem:pubtest:ubuntu
# "ubuntu" указывает путь, можно заменить, но тогда его нужно будет менять в sources.list клиента. Для Debian указывается debian.

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish snapshot -distribution="jammy" -origin="Ubuntu" -label="Ubuntu" jammy-final-$(date -u +'%d%m%Y') filesystem:pubtest:ubuntu

# "ubuntu" указывает путь, можно заменить, но тогда его нужно будет менять в sources.list клиента. Для Debian указывается debian.

Настройка NGINX для публикации репозиториев (с сертификатом let’s encrypt):
sudo nano /etc/nginx/sites-available/repos.dom.loc:

server {
    listen 80;
    listen 443 ssl http2;
    server_name aptly.example.com;
 
    ssl_certificate /etc/letsencrypt/live/aptly.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/aptly.example.com/privkey.pem;
 
    root /var/www/aptly;
 
    location / {
        autoindex on;
        try_files $uri $uri/ =404;
    }
}

##### Вариант без сертификата:
server {
    server_name aptly.example.com;

    root /var/www/aptly;

    location / {
        autoindex on;
        try_files $uri $uri/ =404;
    }
}

server {

listen 80;

listen 443 ssl http2;

server_name aptly.example.com;

ssl_certificate /etc/letsencrypt/live/aptly.example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/aptly.example.com/privkey.pem;

root /var/www/aptly;

location / {

autoindex on;

try_files $uri $uri/ =404;

}

##### Вариант без сертификата:

server {

server_name aptly.example.com;

root /var/www/aptly;

location / {

autoindex on;

try_files $uri $uri/ =404;

}

Также нужно поменять порты\пути в default конфиге, либо выключить его.
Включить сайт, перезапустить nginx:

sudo ln -s /etc/nginx/sites-available/repos.dom.loc -s /etc/nginx/sites-enabled/repos.dom.loc
systemctl restart nginx
systemctl enable nginx

sudo ln -s /etc/nginx/sites-available/repos.dom.loc -s /etc/nginx/sites-enabled/repos.dom.loc

systemctl restart nginx

systemctl enable nginx

Подключение своего репозитория на клиенте

В /etc/apt/sources.list поменять адрес на внутренний и оставить только компонент main. Пример файла ubuntu 22:

# Начало
deb http://repos.dom.loc/ubuntu/ jammy main
# Конец

# Начало

deb http://repos.dom.loc/ubuntu/ jammy main

# Конец

Пример /etc/apt/sources.list.d/ubuntu.sources в ubuntu 24:

Types: deb
URIs: http://repos.dom.loc/ubuntu/
Suites: noble
Components: main
Signed-By: /etc/apt/trusted.gpg.d/repos.asc

Types: deb

URIs: http://repos.dom.loc/ubuntu/

Suites: noble

Components: main

Signed-By: /etc/apt/trusted.gpg.d/repos.asc

Далее apt update…

Дополнительная информация

Удаление репозитория на примере ubuntu 24:

# удаление публикации (вместе с Updates и security так как всё в main)
aptly publish drop noble filesystem:pubtest:ubuntu
# удаление снапшотов (2 раза):
aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop
aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop
# Удаление зеркала
aptly mirror list -raw | grep noble | xargs -n1 aptly mirror drop
# очистка БД
aptly db cleanup

# удаление публикации (вместе с Updates и security так как всё в main)

aptly publish drop noble filesystem:pubtest:ubuntu

# удаление снапшотов (2 раза):

aptly snapshot list -raw | grep noble | xargs -n1 aptly snapshot drop

# Удаление зеркала

aptly mirror list -raw | grep noble | xargs -n1 aptly mirror drop

# очистка БД

aptly db cleanup

Инфа по зеркалам и снапшотам (текущий объём нельзя посмотреть):

aptly mirror list
aptly mirror show bionic-update
aptly snapshot list

aptly mirror list

aptly mirror show bionic-update

aptly snapshot list

Обновление зеркала репозитория:

aptly mirror update
aptly publish drop
aptly snapshot drop
aptly snapshot create
aptly publish snapshot

aptly mirror update

aptly publish drop

aptly snapshot drop

aptly snapshot create

aptly publish snapshot

Автоматизация обновления зеркала репозиториев

#!/bin/bash
# Если ubuntu.com пингуется, записать текущую дату, запустить обновление зеркал и создание снапшотов
 ping -c 1 ubuntu.com > /dev/null
 if [ $? -eq 0 ]; then
   date=$(date -u +'%d%m%Y')
   for n in $(aptly mirror list -raw | grep -v rusiem); do
       aptly mirror update $n
       aptly snapshot create $n-$date from mirror $n
   done
# Для каждого названия релизов репозиториев объединить снапшоты в 1
   for n in $(echo bookworm jammy xenial noble); do
       if [[ $n != bullseye &amp;&amp; $n != bookworm ]]; then # Если не bullseye и bookworm (не debian)
         aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date
# Переключить снапшот публикации зеркала:
         aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:ubuntu $n-final-$date
       else # Иначе для debian
         aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date
# Переключить снапшот публикации зеркала:
         aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:debian $n-final-$date
       fi
   done
 fi
# Удалить неиспользуемые снапшоты, старше двух дней
   for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do
       aptly snapshot drop $n
   done
# Второй раз освобождаются зависимые
   for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do
       aptly snapshot drop $n
   done
   aptly db cleanup # Очистить БД от неиспользуемых данных

#!/bin/bash

# Если ubuntu.com пингуется, записать текущую дату, запустить обновление зеркал и создание снапшотов

ping -c 1 ubuntu.com > /dev/null

if [ $? -eq 0 ]; then

date=$(date -u +'%d%m%Y')

for n in $(aptly mirror list -raw | grep -v rusiem); do

aptly mirror update $n

aptly snapshot create $n-$date from mirror $n

done

# Для каждого названия релизов репозиториев объединить снапшоты в 1

for n in $(echo bookworm jammy xenial noble); do

if [[ $n != bullseye && $n != bookworm ]]; then # Если не bullseye и bookworm (не debian)

aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date

# Переключить снапшот публикации зеркала:

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:ubuntu $n-final-$date

else # Иначе для debian

aptly snapshot merge -latest $n-final-$date $n-$date $n-updates-$date $n-security-$date

# Переключить снапшот публикации зеркала:

aptly -skip-contents -gpg-provider gpg -batch -passphrase-file /etc/gpgpass publish switch $n filesystem:pubtest:debian $n-final-$date

done

# Удалить неиспользуемые снапшоты, старше двух дней

for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do

aptly snapshot drop $n

done

# Второй раз освобождаются зависимые

for n in $(aptly snapshot list -raw | grep -v $(date -u +'%d%m%Y') | grep -v $(date -d '1 day ago' +%d%m%Y)); do

aptly snapshot drop $n

done

aptly db cleanup # Очистить БД от неиспользуемых данных

Пример зеркала с отдельными компонентами main, contrib и non-free:

#Создать зеркала:
aptly mirror create wheezy-main http://ftp.ru.debian.org/debian/ wheezy main
aptly mirror create wheezy-contrib http://ftp.ru.debian.org/debian/ wheezy contrib
aptly mirror create wheezy-non-free http://ftp.ru.debian.org/debian/ wheezy non-free

aptly mirror list -raw | xargs -n 1 aptly mirror update # (скачать)

#Создать снапшот:
aptly snapshot create wheezy-main-7.5 from mirror wheezy-main
aptly snapshot create wheezy-contrib-7.5 from mirror wheezy-contrib
aptly snapshot create wheezy-non-free-7.5 from mirror wheezy-non-free

#Опубликовать все компоненты:
aptly publish snapshot -component=main,contrib,non-free -distribution=wheezy wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream
#или:
aptly publish snapshot -component=,, wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

#Создать зеркала:

aptly mirror create wheezy-main http://ftp.ru.debian.org/debian/ wheezy main

aptly mirror create wheezy-contrib http://ftp.ru.debian.org/debian/ wheezy contrib

aptly mirror create wheezy-non-free http://ftp.ru.debian.org/debian/ wheezy non-free

aptly mirror list -raw | xargs -n 1 aptly mirror update # (скачать)

#Создать снапшот:

aptly snapshot create wheezy-main-7.5 from mirror wheezy-main

aptly snapshot create wheezy-contrib-7.5 from mirror wheezy-contrib

aptly snapshot create wheezy-non-free-7.5 from mirror wheezy-non-free

#Опубликовать все компоненты:

aptly publish snapshot -component=main,contrib,non-free -distribution=wheezy wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

#или:

aptly publish snapshot -component=,, wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

Настройка WireGuard в Ubuntu

Опубликовано автором

Ставим wireguard на сервере:

apt install -y wireguard

1	apt install -y wireguard

Генерим ключи сервера:

wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

1	wg genkey \| tee /etc/wireguard/privatekey \| wg pubkey \| tee /etc/wireguard/publickey

Проставляем права на приватный ключ:

chmod 600 /etc/wireguard/privatekey

1	chmod 600 /etc/wireguard/privatekey

С помощью «ip a» проверим название интерфейса (enp0s3) и создадим для него конфиг:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey = privatekey # вставить ключ
Address = 10.0.0.1/24
ListenPort = 55555 #udp
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

[Interface]

PrivateKey = privatekey # вставить ключ

Address = 10.0.0.1/24

ListenPort = 55555 #udp

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

Включаем IP форвардинг:

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

1 2	echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p

Включаем systemd демон с wireguard:

systemctl enable wg-quick@wg0.service
systemctl start wg-quick@wg0.service

1 2	systemctl enable wg-quick@wg0.service systemctl start wg-quick@wg0.service

Создаём ключи клиента:

sudo wg genkey | tee /etc/wireguard/client1_privatekey | wg pubkey | tee /etc/wireguard/client1_publickey

1	sudo wg genkey \| tee /etc/wireguard/client1_privatekey \| wg pubkey \| tee /etc/wireguard/client1_publickey

Добавляем клиента в конфиг сервера:

nano /etc/wireguard/wg0.conf

1	nano /etc/wireguard/wg0.conf

[Peer]
PublicKey = client1_publickey # ключ клиента
AllowedIPs = 10.0.0.2/32

[Peer]

PublicKey = client1_publickey # ключ клиента

AllowedIPs = 10.0.0.2/32

Перезагружаем systemd сервис с wireguard:

systemctl restart wg-quick@wg0

1	systemctl restart wg-quick@wg0

Клиент

На локальной машине (например, на ноутбуке) создаём текстовый файл с конфигом клиента:

nano  client1_wg.conf

1	nano client1_wg.conf

[Interface]
PrivateKey = &lt;CLIENT-PRIVATE-KEY>
Address = 10.0.0.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = &lt;SERVER-PUBKEY>
Endpoint = &lt;SERVER-IP>:55555
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 20

[Interface]

PrivateKey = <CLIENT-PRIVATE-KEY>

Address = 10.0.0.2/32

DNS = 8.8.8.8

[Peer]

PublicKey = <SERVER-PUBKEY>

Endpoint = <SERVER-IP>:55555

AllowedIPs = 0.0.0.0/0

PersistentKeepalive = 20

Здесь <CLIENT-PRIVATE-KEY> заменяем на приватный ключ клиента, то есть содержимое файла /etc/wireguard/goloburdin_privatekey на сервере. <SERVER-PUBKEY> заменяем на публичный ключ сервера, то есть на содержимое файла /etc/wireguard/publickey на сервере. <SERVER-IP> заменяем на IP сервера.

Ограничение скорости на сервере

Outbound limit:

sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1
sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev wg0 parent root handle 1: hfsc default 1 sudo tc class add dev wg0 parent 1: classid 1:1 hfsc sc rate 10mbit ul rate 10mbit

Inbound limit:
Создаём и запускаем ifb интерфейс inbound0:

sudo ip link add name inbound0 type ifb
sudo ip link set inbound0 up

1 2	sudo ip link add name inbound0 type ifb sudo ip link set inbound0 up

Направляем пакеты с wireguard в этот интерфейс:

sudo tc qdisc add dev wg0 handle ffff: ingress
sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

1 2	sudo tc qdisc add dev wg0 handle ffff: ingress sudo tc filter add dev wg0 parent ffff: matchall action mirred egress redirect dev inbound0

отдельный HFSC qdisc для ifb интерфейса и ограничение всего траффика 10Мбит:

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

1 2	sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 1 sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 10mbit ul rate 10mbit

Расширенное ограничение (взамен предыдущих двух строк):

Максималка – 50mbit, И 2 дочерних класса:
1) Для https скорость – 5mbit (фильтры ниже)
2) по умолчанию скорость – 45mbit (19)

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19
sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit
sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit
sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

sudo tc qdisc add dev inbound0 parent root handle f: hfsc default 19

sudo tc class add dev inbound0 parent f: classid f:1 hfsc sc rate 50mbit ul rate 50mbit

sudo tc class add dev inbound0 parent f:1 classid f:11 hfsc ls rate 5mbit ul rate 5mbit

sudo tc class add dev inbound0 parent f:1 classid f:19 hfsc ls rate 45mbit

Фильтры https для ip 10.0.0.6:

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \
    match ip src 10.0.0.6 \
    match ip protocol 6 0xff \
    match ip sport 443 0xffff \
    classid f:11

sudo tc filter add dev inbound0 parent f: protocol ip prio 11 u32 \

match ip src 10.0.0.6 \

match ip protocol 6 0xff \

match ip sport 443 0xffff \

classid f:11

Настройка OpenVPN в Ubuntu

Опубликовано автором

На сервере Openvpn

sudo apt install openvpn -y

1	sudo apt install openvpn -y

На сервере CA

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz
tar -xvzf EasyRSA-3.2.1.tgz &amp;&amp; rm EasyRSA-3.2.1.tgz
chmod 700 EasyRSA-3.2.1
cd EasyRSA-3.2.1

wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.2.1/EasyRSA-3.2.1.tgz

tar -xvzf EasyRSA-3.2.1.tgz && rm EasyRSA-3.2.1.tgz

chmod 700 EasyRSA-3.2.1

cd EasyRSA-3.2.1

В каталоге EasyRSA Создать файл «vars»

set_var EASYRSA_REQ_COUNTRY    "RUS"
set_var EASYRSA_REQ_PROVINCE   "Moscow"
set_var EASYRSA_REQ_CITY       "Moscow City"
set_var EASYRSA_REQ_ORG        "Our Company Name"
set_var EASYRSA_REQ_EMAIL      "sysadmin@company.ru"
set_var EASYRSA_REQ_OU         "LLC"
set_var EASYRSA_ALGO           "ec"
set_var EASYRSA_DIGEST         "sha512"

set_var EASYRSA_REQ_COUNTRY "RUS"

set_var EASYRSA_REQ_PROVINCE "Moscow"

set_var EASYRSA_REQ_CITY "Moscow City"

set_var EASYRSA_REQ_ORG "Our Company Name"

set_var EASYRSA_REQ_EMAIL "sysadmin@company.ru"

set_var EASYRSA_REQ_OU "LLC"

set_var EASYRSA_ALGO "ec"

set_var EASYRSA_DIGEST "sha512"

Создать корневой сертификат и сертификат для OpenVPN:
(Для второго понадобится passphrase от первого)

./easyrsa init-pki &amp;&amp; ./easyrsa build-ca nopass
./easyrsa build-server-full server nopass

1 2	./easyrsa init-pki && ./easyrsa build-ca nopass ./easyrsa build-server-full server nopass

dh.pem сертификат нужно создать, даже если он не будет использоваться:

openssl dhparam -out /etc/openvpn/dh.pem 2048

1	openssl dhparam -out /etc/openvpn/dh.pem 2048

На сервере OpenVPN

Скопировать файлы сертификатов в каталог Openvpn:

sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

1	sudo scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/ca.crt,pki/issued/server.crt,pki/private/server.key} /etc/openvpn/server/

Создать /etc/openvpn/server.conf:

port 1194
#proto tcp
proto udp
dev tun
ca ca.crt
dh dh.pem
cert server.crt
key server.key
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
cipher AES-256-CBC
;client-to-client
keepalive 10 120
persist-key
persist-tun
user nobody
group nogroup
verb 3

port 1194

#proto tcp

proto udp

dev tun

ca ca.crt

dh dh.pem

cert server.crt

key server.key

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

cipher AES-256-CBC

;client-to-client

keepalive 10 120

persist-key

persist-tun

user nobody

group nogroup

verb 3

Настраиваем IP форвардинг и iptables:

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
 sysctl -p
iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sysctl -p

iptables -t nat -A POSTROUTING --src 10.8.0.0/8 -o enp0s3 -j MASQUERADE

iptables -A FORWARD -s 10.8.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

Проверка:

sudo systemctl start openvpn@server
sudo systemctl status openvpn@server
nc -zv -u 192.168.0.100 1194

sudo systemctl start openvpn@server

sudo systemctl status openvpn@server

nc -zv -u 192.168.0.100 1194

Создание клиентов на сервере Openvpn

На сервере CA
Создать ключ клиента и скопировать его на сервер OpenVPN (команда ниже):

./easyrsa build-client-full client1 nopass

1	./easyrsa build-client-full client1 nopass

На сервере OpenVPN:

mkdir -p ~/client-configs/keys # Каталог для ключей клиентов
mkdir -p ~/client-configs/files # Каталог для конфигов

1 2	mkdir -p ~/client-configs/keys # Каталог для ключей клиентов mkdir -p ~/client-configs/files # Каталог для конфигов

Создать шаблон конфига ~/client-configs/base.conf:

client
dev tun
#proto tcp
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth-nocache
verb 3

client

dev tun

#proto tcp

proto udp

remote YOUR_SERVER_IP 1194

resolv-retry infinite

nobind

persist-key

persist-tun

cipher AES-256-CBC

auth-nocache

verb 3

Скопировать ключи клиента и ca:

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/
sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/
sudo chmod -R 700 ~/client-configs
sudo chown user:user -R ~/client-configs

scp -P 22 user@CA:/home/user/EasyRSA-3.2.1/{pki/issued/client1.crt,pki/private/client1.key} /home/user/client-configs/keys/

sudo cp /etc/openvpn/server/ /home/user/client-configs/keys/

sudo chmod -R 700 ~/client-configs

sudo chown user:user -R ~/client-configs

Создать скрипт создания конфига ~/client-configs/make_config.sh:
(добавление tls закоментировано)

#!/bin/bash
 
# First argument: Client identifier
 
KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
 
cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
#    <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую
    <(echo -e '</key>') \
#    ${KEY_DIR}/ta.key \
#    <(echo -e '</tls-crypt>') \
    > ${OUTPUT_DIR}/${1}.ovpn

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/client-configs/keys

OUTPUT_DIR=~/client-configs/files

BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \

<(echo -e '<ca>') \

${KEY_DIR}/ca.crt \

<(echo -e '</ca>\n<cert>') \

${KEY_DIR}/${1}.crt \

<(echo -e '</cert>\n<key>') \

${KEY_DIR}/${1}.key \

# <(echo -e '</key>\n<tls-crypt>') \ # строка заменена на следующую

<(echo -e '</key>') \

# ${KEY_DIR}/ta.key \

# <(echo -e '</tls-crypt>') \

> ${OUTPUT_DIR}/${1}.ovpn

Сделать файл исполняемым, созданный client.ovpn использовать на клиенте:

 sudo chmod 700 ~/client-configs/make_config.sh
 ~/client-configs/make_config.sh client1

1 2	sudo chmod 700 ~/client-configs/make_config.sh ~/client-configs/make_config.sh client1

Создание хэша пароля sha512

Опубликовано автором

С помощью python или python3:

python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

1	python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'

С помощью openssl:

openssl passwd -6 -salt blabla123

1	openssl passwd -6 -salt blabla123

Внешний Proxy сервер Squid в Ubuntu

Опубликовано автором

sudo apt install apache2-utils squid -y #apache2-utils если нужна авторизация

1	sudo apt install apache2-utils squid -y #apache2-utils если нужна авторизация

/etc/squid/squid.conf

http_port 4080
via off
forwarded_for off
cache deny all
request_header_access From deny all
request_header_access Referer deny all
request_header_access User-Agent deny all
request_header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)

acl Safe_ports port 80 21 443 70 210 1025-65535 280 488 591 777
http_access deny !Safe_ports

auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/passwd_digest
auth_param digest children 2 # Одновременное кол-во авторизаций
auth_param digest realm Authentication
acl allowed_hosts src "/etc/squid/allowed_hosts"
acl allowed_users proxy_auth REQUIRED

http_access allow allowed_hosts
#http_access allow allowed_hosts allowed_users
http_access deny all

http_port 4080

via off

forwarded_for off

cache deny all

request_header_access From deny all

request_header_access Referer deny all

request_header_access User-Agent deny all

request_header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)

acl Safe_ports port 80 21 443 70 210 1025-65535 280 488 591 777

http_access deny !Safe_ports

auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/passwd_digest

auth_param digest children 2 # Одновременное кол-во авторизаций

auth_param digest realm Authentication

acl allowed_hosts src "/etc/squid/allowed_hosts"

acl allowed_users proxy_auth REQUIRED

http_access allow allowed_hosts

#http_access allow allowed_hosts allowed_users

http_access deny all

Если нужен доступ по паролю, с разрешённых хостов закоментить «http_access allow allowed_hosts» и раскоментить «http_access allow allowed_hosts allowed_users»
Если нужен доступ по паролю с любых хостов, убрать «allowed_hosts» из этой строки

Создать файл паролей (при добавлении следующего пользователя без «-c»):
sudo htdigest -c /etc/squid/passwd_digest ‘Сообщение при подключении’ username
Список разрешённых хостов в файле /etc/squid/allowed_hosts
В сетевых правилах открыть tcp 4080

Если ip клиента меняется, но есть доменное имя, можно его обновлять на сервере:

Создать скрипт /etc/init.d/getallowedip.sh и сделать его исполняемым:

function getallowedip  {
 if [ "$(host hostname.domain.ru | grep address | awk '{ print $4 }')" != "$(cat /etc/squid/a$
 then
   if ping -c 1 hostname.domain.ru  &amp;> /etc/squid/ping_log
   then
     host  hostname.domain.ru  | grep address | awk '{ print $4 }' > /etc/squid/allowed_hosts
     systemctl restart squid
   else
     echo "wait 5sec"
     sleep 5
     ipsetup
   fi
 fi
 }
getallowedip

function getallowedip {

if [ "$(host hostname.domain.ru | grep address | awk '{ print $4 }')" != "$(cat /etc/squid/a$

then

if ping -c 1 hostname.domain.ru &> /etc/squid/ping_log

then

host hostname.domain.ru | grep address | awk '{ print $4 }' > /etc/squid/allowed_hosts

systemctl restart squid

else

echo "wait 5sec"

sleep 5

ipsetup

}

getallowedip

sudo chmod +x /etc/init.d/getallowedip.sh

Добавить в задания cron, например запускать каждую минуту:

sudo crontab -e

* * * * * /etc/init.d/ipsetup

1	* * * * * /etc/init.d/ipsetup

Virtualbox 6.1 в Ubuntu 22.04

Опубликовано автором

Добавить репозиторий и ключ:

deb [arch=amd64 signed-by=/usr/share/keyrings/oracle-virtualbox-2016.gpg] https://download.virtualbox.org/virtualbox/debian jammy contrib

1	deb [arch=amd64 signed-by=/usr/share/keyrings/oracle-virtualbox-2016.gpg] https://download.virtualbox.org/virtualbox/debian jammy contrib

wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc | sudo gpg --dearmor --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg

1	wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc \| sudo gpg --dearmor --yes --output /usr/share/keyrings/oracle-virtualbox-2016.gpg

Установка:

sudo apt update
sudo apt install virtualbox-6.1 -y

1 2	sudo apt update sudo apt install virtualbox-6.1 -y

Добавить старый .deb репозиторий

Опубликовано автором

Создать файл /etc/apt/sources.list.d/bionic.list с кодом:

deb http://ru.archive.ubuntu.com/ubuntu bionic main universe

1	deb http://ru.archive.ubuntu.com/ubuntu bionic main universe

Добавить файл ключа:

sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/bionic.gpg --keyserver keyserver.ubuntu.com --recv 3B4FE6ACC0B21F32
sudo chmod 644 /etc/apt/trusted.gpg.d/bionic.gpg
sudo apt update

sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/bionic.gpg --keyserver keyserver.ubuntu.com --recv 3B4FE6ACC0B21F32

sudo chmod 644 /etc/apt/trusted.gpg.d/bionic.gpg

sudo apt update

Установка snap пакетов без интернета

Опубликовано автором

На такой же ОС с интернетом выяснить какие пакеты требуются для установки и скачать их. Например в Kubuntu20.04 для установки thincast-client:

snap download core
snap download snapd
snap download thincast-client

snap download core

snap download snapd

snap download thincast-client

Далее скопировать на ПК без интернета и установить:

snap ack core22_858.assert
snap ack snapd_20092.assert
snap ack thincast-client_292.assert
snap install core22_858.assert snapd_20092.assert thincast-client_292.assert

snap ack core22_858.assert

snap ack snapd_20092.assert

snap ack thincast-client_292.assert

snap install core22_858.assert snapd_20092.assert thincast-client_292.assert

Ubuntu не показывает экран, но подключается по ssh

Опубликовано автором

Такое было в proxmox на ВМ с Ubuntu 16.04, но может быть в любом типе сборки

В настройках grub нужно заменить строку /etc/default/grub

GRUB_CMDLINE_LINUX_DEFAULT="text"

1	GRUB_CMDLINE_LINUX_DEFAULT="text"

sudo update-grub — обновить настройки grub
Возможно, нужно сделать set-default multi-user.target

Добавление нового диска в ubuntu

Опубликовано автором

lsblk — отобразить подключенные диски (dev/sdb)
fdisk /dev/sdb — Вход в создание разделов
Если больше 2Тб, командной «g» задаём gpt (либо пропуск)
Командой «n» создаём новый раздел
Командой «w» сохраняем изменение
mkfs.ext4 /dev/sdb1 — форматируем в ext4
mkdir /hdd2 — Создаём каталог для монтирования диска
mount /dev/sdb1 /hdd2 — Монтируем раздел в каталог /hdd2
blkid | grep sdb1 — узнать uuid диска
Для автомонтирования узнать uuid диска и добавить запись в /etc/fstab:

echo "UUID=$(blkid | grep sdb1 | awk -F '"' '{print $2}') /hdd2 ext4 rw 0 1" | sudo tee -a /etc/fstab

Glatos.RU

Записки Системного администратора

Архив метки: Ubuntu

Корпоративное зеркало репозиториев aptly в Ubuntu

Настройка WireGuard в Ubuntu

Настройка OpenVPN в Ubuntu

Создание хэша пароля sha512

Внешний Proxy сервер Squid в Ubuntu

Virtualbox 6.1 в Ubuntu 22.04

Добавить старый .deb репозиторий

Установка snap пакетов без интернета

Ubuntu не показывает экран, но подключается по ssh

Добавление нового диска в ubuntu