LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Systemback là gì ? Systemback là phần mềm giúp tạo các bản sao lưu của hệ thống và các tệp cấu hình người dùng trên Linux. Trong trường hợp có vấn đề, bạn có thể dễ dàng khôi phục trạng thái trước đó  một cách dễ dàng.



LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10



Nghe tới đây giống giống windows ghost, xin thưa rằng nó cũng tương tự vậy, nhiệm vụ của nó backup lại một bản sao của OS tại thời điểm hiện tại.

Nếu ai đã từng ghost windowns thì khi đụng linux sẽ nghĩ ngay tới vấn đề này và sẽ biết đến Systemback này... Mình không nghĩ vậy vì mình toàn dùng ảo hóa cho linux nên clone lại không ah :)

OK, mục đích hôm nay mình nói tới là dùng Systemback để tạo một file OS.iso có cài đặt các phần mềm riêng cần thiết của mình.

Bài này chỉ bỗ trợ cho bài deployment linux nên sẽ nói khái quát cái cần thiết thôi, và mục tiêu sẽ có một giả thuyết như thế này.

Tất cả các WKS sẽ dùng linux PopOS 19.10, bên trong sẽ cài các phần mềm cần thiết của công ty và yêu cầu nhân viên IT không dùng bất cứ OS nào bên ngoài để cài, chỉ đúng OS công ty cung cấp. Để giảm thiếu thời gian cho nhân viên trong quá trình cài đặt bắt buộc OS này phải có những software cần thiết, sau khi cài xong OS là người dùng sẽ sử dụng và không cài thêm bất cứ phần mềm gì từ bên ngoài...

Trước tiên PopOS 19.10 sẽ cài 2 dịch vụ apacheibus unikey, ví dụ là vậy đi và mình sẽ có OS chuẩn rồi đem nó dùng tất cả WKS...


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10



OK, vậy đi và trình tự các bước sẽ cài đặt đơn giản như sau :


sudo add-apt-repository "deb http://ppa.launchpad.net/nemh/systemback/ubuntu yakkety main"


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10



sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 382003C2C8B7B4AB813E915B14E4942973C62A1B


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


sudo apt update


sudo apt install systemback


Sau khi cài đặt hết sức đơn giản như trên nó sẽ ra như thế này


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Launch app lên thì cần xác nhận password


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


và giao diện phần mềm sẽ như thế này


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Chọn Live system create để tiến hành backup lại toàn bộ OS ở thời điểm hiện tại


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Tiếp theo chọn đường dẫn thư mục muốn lưu file file live của OS và tên file live OS này và Create new để bắt đầu tạo file live.


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Sau khi đã có live image rồi thì muốn ạo iso lúc nào convert ra lúc đó

LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10



Cuối cùng convert iso nó sẽ ra như sau :


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Cái tiện ích nhất của Systemback là phần lưu trữ file ISO, nếu muốn cắm USB vào để nó clone ra một bản vào USB khá là  tiện lợi.

Cuối cùng việc còn lại muốn làm gì với file ISO này là tùy bạn, sau đây là kết quả sau khi restore lại.

Bản ISO này đã là bản sao, nên nó hoàn toàn giống nguyên bản khi chạy live, boot từ CD or USB


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10



Dùng ISO này install thì nó như sau :

Sau khi boot chọn Install sẽ vào giao diện system install và yêu cầu nhập thông tin


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10

Đây là cài đặt nên nhập thông tin user mới

LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Cuối cùng sẽ đến phần chọn phân vùng, cứ chọn phân vùng cần cài đặt và chạy như bên dưới

LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10


Sau khi Systemback install xong thì bản OS hoàn thành.


LPIC-System Administrator - Hướng dẫn cài đặt nhanh Systemback và tạo file linux iso trên Pop!_OS 19.10





Nhãn:

LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8


Ah Ah, tối nay sẽ nói về Screen trên Centos 8, cách cài đặt và sử dụng Screen bao gồm các câu lệnh cơ bản liên quan đến Screen.

Screen là cái  gì có hay ho hay không ? Nói một câu duy nhất là khá là tuyệt, vậy dùng nó để làm cái gì ? Dạ xin thưa nói đơn giản nó là quản lý các cửa sổ terminal linux.


Vẫn không hiểu lắm ??? Nói túm lại một câu giải thích đơn giản như thế này, hồi giờ ông có sài KVM Screen or KVM Switch không, nếu không thì google đi, nếu có quay lại đây  nói chuyện tiếp :)


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8



OK, Nếu dùng màn hình remote server hay gì đó thì KVM Screen or KVM Switch nó sẽ hỗ trợ chỉ một màn hình duy nhất có thể chuyển đổi từ một màn hình bạn có thể chuyển đổi để nhìn nhiều màn nhiều server để abcd gì gì đó, chẳng hạn đọc báo chẳng hạn :v :v


Ah, tới đây bạn sẽ hiểu là KVM Screen or KVM Switch là kết nối màn hình máy tính vậy dùng một Terminal chuyển đổi nhiều Termina remote khác thì sẽ như thế nào.


OK, Screen nó mục đích phục vụ cho nhu cầu này đây, và tối nay sẽ nói về Centos 8 nên sẽ cái nó lên Centos 8 để xem nó gì hay ho  nè.


Đầu tiên : Tôi có một con server Centos 8 master, nhiệm vụ là dùng nó remote terminal hết các con server còn lại.

Tôi sẽ cài đặt nó như sau :


[root@master ~]# yum install -y screen


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8



Cài đặt xong sẽ tạo một file với kịch bản như sau :


[root@master ~]# vi .screenrc


Nội dung sẽ như sau, thứ tự đầu tiền sẽ là màn hình server master còn lại là các server cần connect vào.


screen -t master 0 bash
screen -t Screen_number_1 1 ssh root@192.168.1.51
screen -t Screen_number_2 2 ssh root@192.168.1.52



LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8


Sau khi tạo file .screenrc với nội dung lần lượt các server cần remote terminal thì cần hiểu các phím tắt sau : Cần nhớ kỹ nhé, nó phục vụ cho thao tác bên dưới.


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8


Mỗi câu lệnh ở trên là : Ctrl + a và chọn 1 phím chức năng.


Chạy lệnh screen sẽ xuất hiện màn hình đầu tiên là của Master.


[root@master ~]# screen


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8


Ví dụ : Tôi đang ở màn hình Master và cần switch qua server1, như hướng dẫn phím ở trên bấm Ctrl + a xong chọn n, ok next thôi.


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8


OK, next phát nữa xem nào :)


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8



Tương tự Ctrl + a xong bấm p sẽ Prev bay về tab trước đó, cứ tương tự như bảng phím tắt ở trên....

Ctrl + a và number là số thứ tự tab màn hình hiện có.

Ctrl + a và i sẽ hiện thông tin của Terminal


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8



Check xem đang dùng bao nhiêu tab, Ctrl + a và w.


LPIC-System Administrator - Hướng dẫn cài đặt và sử dụng Screen trên Centos 8



OK, vân vân mà mây mây, tùy vào mục đích sử dụng thì lựa chọn phím tắt phù hơn :)


Nhãn:

LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


Như tiêu đề đã nói là Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8 thì cũng bắt đầu nhanh luôn để giải quyết vấn đề, khi viết bài này thì cũng khá là khuya nên sẽ đi rẹt rẹt vài phút.


Google Authenticator là cái quái gì thì đọc bài Giải quyết bài toán Microsoft Authenticator OTP trên Windowns sẽ biết nó là cái quái j.




LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8



Vào vấn đề chính luôn là vác con server Centos 8 ra cài Google Authenticator tạo xác thực qua OTP với SSH, có nghĩa là khi  đăng nhập bằng SSH và server linux không những phải dùng password đăng nhập và còn phải Verification code bảo mật bằng xác thức mã OTP.


Đầu tiên cần cài repo EPEL(Extra Packages for Enterprise Linux) vào nhé, có một chú ý như thế này, trên Centos 7  yum install epel-release chạy khá ok, nhưng Centos 8 thì nó không work nên install thẳng theo link bên dưới.


Nếu không cài thằng bên dưới này thành công thì google-authenticator vẫn cài về thủ tục vẫn ok nhé, nhưng khi đăng nhập sẽ không vào được.


[root@otp8 ~]#yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm


Tiếp theo là cài cái chủ chốt nhất là authenticator như bên dưới, khá là nhanh khoản chưa tới 40s đã xong.


[root@otp8 ~]#yum install google-authenticator



LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


Cài xong thì làm gì tiếp theo, đó là config OTP và vác điện thoại ra scan.


[root@otp8 ~]#google-authenticator


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


Khi bắt đầu chạy google-authenticator trên Centos 8 nó sẽ tự động tạo 1 link QR code thì ta cứ mở lên và scan vào điện thoại, trên điện thoại cài app google authenticator như đã nói ở trên.

Cái thứ 2 nó cung cấp serect key, vậy nó để làm gì, nếu bạn xem kỹ phần trên thì sẽ biết thêm một mẹo hay từ serect key này.

Your emergency scratch codes are: 37711940 43070844 .... Nó sẽ cung cấp cho bạn 5 mã dự phòng, cất những mà này phòng trường hợp điện thoại hư hay gì hoặc bất đắc dĩ không có OTP general trên điện thoại.


Do you want me to update your "/root/.google_authenticator" file (y/n) : y  => cứ chọn yes cho nó update.

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) : y 


=> hãy chọn yes đi, vì sao nếu bạn chọn NO thì mã OTP của bạn thấy trên điện thoại sau khi bạn đăng nhập thì thằng khác nó dùng lại sẽ đăng nhập được. Không tin bạn có thể dùng mã OTP đăng nhập rồi đăng nhập lại sẽ rõ.

By default, a new token is generated every 30 seconds by the mobile app. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. This allows for a time skew of up to 30 seconds between authentication server and client. If you experience problems with poor time synchronization, you can increase the window from its default size of 3 permitted codes (one previous code, the current code, the next code) to 17 permitted codes (the 8 previous codes, the current code, and the 8 next codes). This will permit for a time skew of up to 4 minutes between client and server. Do you want to do so? (y/n)

=> Có nghĩa là nói liên quan về vấn đề đồng bộ, mặc định điện thoại sẽ 30s cung cấp 1 code, nó sẽ cung cấp 3 code access theo phiên thời gian 3*30, nếu bạn muốn tăng thêm thì chọn Yes, nếu thời gian chọn yes lên đế 4 phút cho, do nhu cầu của bạn, mình mở lên xào liền nên chọn No, tùy vào hệ thống và suy nghĩ logic xíu sẽ chọn phù hợp.


If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting? (y/n)

=> Hãy chọn yes nó sẽ an toàn hơn, 30s sẽ không quá 3 lần đang nhập, tránh tình trạng bị brute-force.


Tiếp theo là mục đích muốn dùng nó cho cái gì, như bài này là dùng cho SSH thì ta cần sửa 2 file sau :

[root@otp8 ~]# vi /etc/ssh/sshd_config


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


Tìm dòng  ChallengeResponseAuthentication no sửa lại thành ChallengeResponseAuthentication yes

Tiếp theo đi đến file sau


[root@otp8 ~]# vi /etc/pam.d/sshd


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


và thêm dòng sau vào bên dưới : auth required pam_google_authenticator.so nullok


Xong khởi động lại SSH là xong

[root@otp8 ~]# systemctl restart sshd


Trên điện thoại :


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8

Cuối cùng là xúc thôi


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8


Note : 
auth required pam_google_authenticator.so nullok nullok là gì, tôi bỏ nó được không. OK bạn có thể bỏ nullok. Sau khi bạn bỏ nullok thì khi tạo một user mới cung cấp password cho họ, họ sẽ không đăng nhập được, bạn pải switch user sang user mới và chạy google-authencatior nó sẽ tạo key và profile cho user mới và bạn cung cấp thông tin cho người mới.

Cái này mang tinh bắc buộc của một doanh nghiệp hoặc cá nhân, nếu bạn thêm nullok thì quăng password qua là vào thôi, còn muốn OTP hay không là quyền của họ :)


LPIC-System Administrator - Cài đặt nhanh xác thực đăng nhập SSH bằng OTP với Google Authenticator trên Centos 8



Nhãn:

Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns


Dành cho những ai đang dùng Office 365 và chính sách Policy yêu cầu xác thực OTP khi đăng nhập vào mail, hoặc các dịch vụ SSO cần dùng tài khoàn mail nhưng cần xác thực OTP liên quan đến anh chàng Microsoft.




Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns


Nói về sự an toàn thì nó thật sự an toàn thật, và sử dụng rất tốt, điều này không cần phải bàn cải làm gì.

Nhưng lúc nào cũng ôm khư khư cái điện thoại nếu có đăng nhập hay làm gì đó lâu ngày cũng tạo sự phiền phức, đang dùng trên máy tính thì sao ? Bài toán này sẽ được giải quyết như sau (Dành cho những bạn biết về Python ).

Trước tiên máy của bạn cần cài python trước, python là gì nếu bạn nghĩ đến giải quyết OTP này thì bạn đã biết nó là gì rồi :)



pip install pyotp



Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns



Tới đây là đồ chơi đã chuẩn bị xong, đăng nhập link bên dưới để lấy password serect



https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1




Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns

Chọn setup Authentication app -> click vào Configure app without notifications để nhận Secret Key




Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns


Cuối cùng Next và chọn  Verify now


Nó sẽ yêu cầu nhập mã verify thì mở cmd lên chạy python với Secrect key đã cung cấp, lấy mã và nhập vào là xác thực OK



Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns


Thế là xong, cuối cùng thì sau này cứ chạy lên là lấy OTP là sài.

Tạo 1 file .py để dùng lần sau :




Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns



Cuối cùng chạy file python này sẽ giải quyết bài toán :)


Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns


Note : Giải quyết nhanh hơn nữa dùng mẹo sau, set alias là xong :)




Reference - Giải quyết bài toán Microsoft Authenticator OTP trên Windowns



Nhãn:

Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


Trên Centos 8, Cockpit đã hỗ trợ sẵn tận răng chỉ cần enable lên là chạy phà phà, có nói sơ về nó ở bài Management CentOS 8 Linux With Cockpit Web Console

Vậy ở trên Centos 7 thì sao, về bản chất thì cũng như nhau cả thôi, cài sẵn và giờ cài nhưng được cái thao tác khá đơn giản.



Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7



Cài đặt nhanh bằng câu lệnh sau trên Centos 7


sudo yum install cockpit


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


systemctl enable --now cockpit.socket


[root@localhost ~]# firewall-cmd --zone=public --add-port=9090/tcp --permanent


[root@localhost ~]# firewall-cmd --reload


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


Kiểm tra trạng thái OK chưa :)


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7



Sau khi open port firewall OK rồi, đăng nhập vào test thôi, đến đây thì chẳng khác gì Centos 8 :) Nhưng khi đăng nhập vào thì thiếu một số function do chưa cài đầy đủ như Centos 8.


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7



Sau khi đăng nhập thì ta thấy backend đã rút gọn hơn so với Centos 8 là vì sao, vì hiện tại khi install Cockpit nó chỉ là trình điều khiển, vậy muốn điều khiển cái gì thì cài thêm service cho nó.



Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7



Test thử join domain nào, hiện tại trên Centos 7 chưa có realmd nên chức năng này sẽ bị ẩn, vậy cần phải cài đặt mới sử dụng được.


[root@centos7 ~]# yum install realmd oddjob oddjob-mkhomedir sssd adcli openldap-clients policycoreutils-python samba-common samba-common-tools krb5-workstation


Sau khi cài đặt xong nó đã enable lên và có thể join domain ngon lành.



Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7



Ok, bắt tay vào giải quyết vấn đề nào :


Nhập thông tin domain vào và join như trên windowns


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


Sau khi join domain hoàn thành thì status sẽ như sau


Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


Cuối cùng chỉ cần kiểm tra trên domain, thấy thông tin ngon lành là ok rồi.



Reference - Cài đặt nhanh Cockpit Web Console trên Centos 7


Còn lại nếu bạn muốn làm gì thì cài service bạn cần vào là dùng thôi, Cockpit chỉ là công cụ giúp trực quan, còn làm được gì bên trong đòi hỏi kiến thức của bạn và vận dụng nó đúng và hợp lý. :)



Nhãn: