VirtualGL i seguretat
Hola: En un servidor Wheezy si connecten usuaris que necessiten fer sessions gràfiques. Fins ara era tight. Les feiem via ssh. Les aixecavem: tightvncserver :3 -name golf -depth 24 -geometry 1564x850 I remotament es connectaven: xtightvncviewer -via externa.com :3 Anava tot pel localhost del servidor. I era segur. Ara algun usuari necessita per un programa (paraview) accelerador gl. Hem instal·lat el virtualgl i el vncturbo. El vgl no en té prou que el sevidor X estigui actiu (gdm3 a l' espera) sino q vol un usuari connectat) . Aquesta dificultat se supera posant al /etc/gdm3/Init/Default la línia xhost+local. La pregunta és : xhost+local compromet la seguretat? netstat -n diu: Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 7279 localhost:5909 localhost:45610 ESTABLISHED tcp0 0 pirat.penya:ssh carlit.local:58259 ESTABLISHED tcp0 10 localhost:45610 localhost:5909 ESTABLISHED tcp0 0 localhost:54787 localhost:5902 ESTABLISHED tcp0 10720 pirat.penya:ssh carlit.local:58017 ESTABLISHED tcp0 0 pirat.penya:ssh carlit.local:57647 ESTABLISHED tcp0304 pirat.penya:ssh carlit.local:58003 ESTABLISHED tcp0 0 localhost:5904 localhost:44418 ESTABLISHED tcp0 0 localhost:44418 localhost:5904 ESTABLISHED tcp0 0 localhost:5902 localhost:54787 ESTABLISHED sessions 2,4 i 9 actives Moltes Gràcies. JManel Grifoll
vnc server (deb)-> vncviewer(android)
Hola : Tinc un servidor debian on aixequem sessions VNC aixi: tightvncserver :1 -name golxarx -depth 24 -geometry 1024x750 -localhost Temin més d'una sessió oberta(normalment) i remotament en una debian obrim la sessió: xtightvncviewer -via sa...@gxx.dnsdojo.net :1 Va perfecte, molt ràpid i segur Amb windows també poden obrir sessión Estic intentant poder obrir, i intervenir (ni que sigui poc,amb bifocals i lupa) en una sessió oberta en un samsung android. Amb el ConnectBot i el androidVNC i les instruccions d'aqui: http://shujinkou.blogspot.com.es/2009/04/how-to-vnc-from-android-phone-to-linux.html No me n'he sortit. El connectBot obre una sessió ssh molt bona, pero no puc fer el tuneling. I no vull canviar la manera de aixecar la sessió. Si algú ha provat alguna cosa i li ha sortit,... Molt agraït, bones vacances i bona sort!! JManel Grifoll
Re: connectar des de fora d'una xarxa
Moltes gràcies. Com funciona amb túnels ssh, provaré passar de la ZDM a les altres també amb túnels. Del NAT i PAT no en tinc ni idea i tocar el router fa cosa. Ja diré si ha anat bé, moltes gràcies Eloi i Adrià. JManel Grifoll El 7 de setembre de 2011 19:55, Eloi Notario ha escrit: > El Dimecres 7 Setembre 2011 19:36:55 vàreu escriure: > > El Dimecres 7 Setembre 2011 16:40:22 JManel Grifoll va escriure: > > > Hi ha alguna manera fàcil i SEGURA de connectar amb > > > tightvncviewer+ssh2 a des de fora, diferents ordinadors de la > > > xarxa. > > Buf, oblida el que acabo de dir. Per fer-ho de forma segura amb SSH: > > ssh -L 5900:localhost:5900 -L 5901:192.168.0.12:5900 ... 123.45.67.89 > > (nota prèvia: el port 5900 és el per defecte de VNC) > > Explico el carro: el primer -L 5900:localhost:5900 et farà un túnel > xifrat de tal forma que tota connexió que facis a localhost:5900 a la > màquina exterior anirà a parar al port 5900 de 123.45.67.89 > > El -L 5901:192.168.0.12:5900 és on està la gràcia: crearà un nou túnel > que des del port 5901 de la teva màquina et permetrà saltar al port > 5900 de la màquina 192.168.0.12 accessible des d'on et connectis. > > Amb aquests dos casos, un cop t'hagis connectat via ssh a la màquina > exposada, la DMZ, tindràs dos servidors VNC visibles des del teu > ordinador. Connectant-te a localhost:0 aniràs a parar al DMZ, i amb > localhost:1 al 192.168.0.12 de la xarxa interna. > > Només necessites exposar una màquina a l'exterior i pots obrir tants > túnels com et faci falta. > > Però com que recordar tot el carro pot ser un malson per a la invocació > del ssh, o et fas un script o millor encara tires del fitxer de > configuració de ssh: ~/.ssh/config (és possible que no existeixi) > > Hi poses això: > > Host alias # posa-hi el que et plagui > HostName 123.45.67.89 # IP o nom a resoldre com loquesigui.example.net > LocalForward 5900 localhost:5900 > LocalForward 5901 192.168.0.12:5900 > LocalForward 5902 192.168.0.34:5900 > ... > > i després invoques "ssh alias". Amb la sessió oberta, obres el client > VNC local que facis servir i tries on vols anar: > > localhost:0 -> màquina on et connectes via ssh > localhost:1 -> 192.168.0.12 de la xarxa remota > localhost:2 -> 192.168.0.34 de la xarxa remota > > Fixa't que al primer 5900 vaig incrementant per línia, però no el que va > després dels dos punts. Això és important. > > Si no ha quedat prou clar puc aclarir-ho més tard, ara tinc una mica de > pressa i ho haig de deixar aquí. > > -- > Atentament, > > Eloi Notario. > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/201109071955.51147.entfe...@gmail.com > >
connectar des de fora d'una xarxa
Hola: En una xarxa local hi ha diferents ordinadors amb amb tightVNCserver, les connexions des de fora de la xarxa local es fan a un ordinador determinat, la ip del qual està posada a la DMZ del router (dlink adsl), tot funciona bé. Si alguna vegada algú es vol connectar a una altre ordinador l'única manera que se de fer-ho,. es canviar la ip de la DMZ. Hi ha alguna manera fàcil i SEGURA de connectar amb tightvncviewer+ssh2 a des de fora, diferents ordinadors de la xarxa. Gràcies. JManel Grifoll
Re: Particio sense permisos d'escriptura.
Ahir varem reiniciar aquest PC. Va arrencar bé, però aquest matí ja no pot escriure a la partició arrel, que es on i ha el /var/.. i el /tmp/,.. Diu: muntage nomes de lectura, sembla com si algun proces segrestat la partició. Els ultims misatges eren d'una sessió al nxserver, normals. Mirant els processos actius em criden l'atenció aquests dos:: root 29068 0.0 0.1 55160 3372 ?Sl 00:08 0:03 /usr/lib/udisks/udisks-daemon root 29071 0.0 0.0 46532 876 ?S00:08 0:09 udisks-daemon: polling /dev/sr0 Per ser els ultims de root, amb un /dev/sr0 que no se que pinta, deu ser el cd.dvd? I aquest udisks-daemon. Uf!! quin palangre!! Moltes gràcies JMnael El 11 de març de 2011 16:42, tictacbum ha escrit: > sembla que estigui intentant accedir més enllà del final del disc: > > "attempt to access beyond end of device" > has googlejat aquest missatge? > potser un problema amb la taula de particions? > > > Encara no he pogut reiniciar, arrencar amb cd i pasar el fsck. Sense >> desmontar el sda1 vaig fer fsck, ...res >> >>
Re: Particio sense permisos d'escriptura.
El 4 de març de 2011 19:03, tictacbum ha escrit: > dmesg et pot donar més informació del que esta passant > > >> > Encara no he pogut reiniciar, arrencar amb cd i pasar el fsck. Sense desmontar el sda1 vaig fer fsck, ...res els ultims missatges que va poder escriure al /var/log/messages son aquests: Mar 4 00:35:54 pirat NXSERVER-3.4.0-17[19725]: User 'xarx' from '79.145.130.130' logged out. 'NXLogin::reset' Mar 4 00:35:54 pirat NXNODE-3.4.0-16[19753]: Using port '1001' on node 'pirat' for session 'unix-gnome'. Logger::log nxnode 6246 Mar 4 00:35:54 pirat NXNODE-3.4.0-16[19753]: Using host from available host list: '192.168.1.4'. Logger::log nxnode 6247 Mar 4 05:39:18 pirat kernel: [186609.656021] Clocksource tsc unstable (delta = 62500018 ns) Mar 4 07:50:00 pirat rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" x-pid="1480" x-info="http://www.rsyslog.com "] rsyslogd was HUPed, type 'lightweight'. Mar 4 07:50:01 pirat kernel: [194452.866503] attempt to access beyond end of device Mar 4 07:50:01 pirat kernel: [194452.866509] sda1: rw=0, want=15470711200, limit=321299937 Mar 4 07:50:01 pirat kernel: [194452.866518] attempt to access beyond end of device Mar 4 07:50:01 pirat kernel: [194452.866520] sda1: rw=0, want=13340730160, limit=321299937 Mar 4 07:50:01 pirat kernel: [194452.866523] attempt to access beyond end of device * fins a les 00:35 podia escriure be. pero a les 5:39 Diu: pirat kernel: [186609.656021] Clocksource tsc unstable (delta = 62500018 ns). Que no sembla cap problema greu (segons he buscat). a les 7:50, no hi havia cap usuari, intenta escriure, deixa el rastres durant 2 segons, desprès ja no escriu res al log. Gràcies. JManel Grifoll
Re: Particio sense permisos d'escriptura.
El 4 de març de 2011 12:52, Pere Nubiola Radigales ha escrit: > Has provat un : > mount -o remount,rw /dev/sda1 / > > Diu que no pot: # mount -t ext3 -o remount,rw /dev/sda1 / mount: cannot remount dispositiu de blocs /dev/sda1 read-write, is write-protected Ara no puc probar el fsck dons estic lluny de la màquina i ho vull fer amb la partició desmontada. Moltes gràcies. Jmanel Grifoll
Particio sense permisos d'escriptura.
Hola: Fa tres dies vaig actualitzar un servidor de lenny a squeeze, sense cap problema. ahir a la nit vaig fer update , upgrade i instal·lar un nxserver, dons va caducar el que hi havia, les sessions funcionaven, tot bé. Aquest mati resulta que a la partició del sistema no es pot escriure res, ni fer un touch, el rkhunter no pot gravar els logs, aptitude no pot funcionar, el servidor de nx vol gravar logs i tampoc funciona,...,falta de permis d'escriptura. A l'altra particions del disc afectat ( hi ha /opt) si que es pot escriure,... pinta molt malament. Us poso el fstab (modificat a la actualització). i el df -h. Si algú vol opinar o donar informació li agrairé. JManel Grifoll. xarx@pirat:~$ df -h S. fitxersMida En ús Lliure %Ús Muntat a /dev/sda1 151G 6,0G 138G 5% / tmpfs1006M 0 1006M 0% /lib/init/rw udev 1002M 252K 1002M 1% /dev tmpfs1006M 0 1006M 0% /dev/shm /dev/sdd1 688G 354G 300G 55% /home /dev/sda2 134G 23G 104G 19% /opt /dev/sdc1 688G 182G 471G 28% /mnt/manel /dev/sdb2 461G 300G 138G 69% /var/seg_xarx /dev/sdb1 457G 182G 252G 43% /var/seg_manel ** # /etc/fstab: static file system information. # # proc/proc procdefaults0 0 # /dev/sda1 / ext3errors=remount-ro 0 1 UUID=e765670b-49d6-42af-88ff-a69a08d4129c / ext3 errors=remount-ro 0 1 # /dev/sda3 noneswapsw 0 0 UUID=e0acc0b1-729b-46dc-8a27-179a3ce6533b noneswap sw 0 0 # /dev/hdb/media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/cdrom/media/cdrom0 udf,iso9660 user,noauto 0 0 # /dev/sdd1/homeext3 defaults02 UUID=5a833251-9860-4242-ab0d-84f691f408c2/homeext3 defaults02 # /dev/sda2/optext3defaults02 UUID=5d8e696b-582e-4ef2-8bff-b13fd6761e99/optext3 defaults02 # /dev/sdc1/mnt/manelext3defaults02 UUID=ecb39892-52ec-4cf5-a330-c0f06dfb8ca7/mnt/manelext3 defaults02 # /dev/sdb2/var/seg_xarx ext3defaults02 UUID=7b38f53d-65f8-4a17-9130-708228c7d9ef/var/seg_xarx ext3 defaults02 # /dev/sdb1/var/seg_manelext3defaults02 UUID=173ede47-a7cb-4613-8dda-80084e729665/var/seg_manelext3 defaults02 **
Re: Grub
Hola:
A mi m'ha passat en un ordinador, .. el vaig a rreglar a ma.
a dos més vaig saltar l'actualització problemàtica i no els hi ha passat
res.
Gracies.
JManel Grifoll
El 20 de desembre de 2010 0:51, Leopold Palomo Avellaneda
ha escrit:
> A Diumenge 19 Desembre 2010, hubble va escriure:
> > El Sun, 19 Dec 2010 17:48:56 +0100
> >
> > Benjamí Villoslada va dir:
> > > Avui ha arribat una nova versió del Grub i l'error continua, és
> estrany:
> > >
> > > --
> > > menuentry 'Debian GNU/Linux, amb el Linux 2.6.34-1-686' --class debian
> > > --class gnu-linux --class gnu --class os {
> > >
> > > insmod part_msdos
> > > insmod ext2
> > > set root='(hd0,msdos1)'
> > > search --no-floppy --fs-uuid --set
> > > 08308c19-770b-44a8-bb1d-4ad853e9f3b6 echo'S'''està
> carregant
> > > el Linux 2.6.34-1-686 ...'
> > > linux /boot/vmlinuz-2.6.34-1-686
> > >
> > > root=UUID=08308c19-770b-44a8-bb1d-4ad853e9f3b6 ro readeon.modeset=0
> > > quiet
> > >
> > > echo'S'\''està carregant la ramdisk inicial ...'
> > > initrd /boot/initrd.img-2.6.34-1-686
> > >
> > > --
> >
> > Jo acabo d'actualitzar per veure si es reproduïa l'error però no, ha
> > funcionat bé. De fet jo solament vaig *arreglar a ma* una de les entrades
> > del meu grub.cfg, i ell sol es va arreglar en la pasada actualització. O
> > sigui que jo crec que ja abans s'havia arreglat amb la anterior
> > actualització.
> >
> > L'única diferencia que trobo entre el teu sistema i el meu es la versió
> del
> > kernel: jo = vmlinuz-2.6.32-5-686
> > tu = vmlinuz-2.6.34-1-686
> >
> >
> > Fa uns dies pensava que podria ser per que t'havies fet un kernel a ma i
> > l'havies posat algun signe raro que feia que s'equivoques el grub (alguna
> > seqüencia d'escapament o algo així), però vec que no és així.
> >
> > el 2.6.34-1-686 no es troba als repositoris ni de testing ni de sid, o
> > sigui que, o bé te l'has compilat tu o bé l'has baixat dels repositoris
> de
> > la experimental. Potser el teu kernel te cap script o
> > fitxer de configuració o el que sigui que no està del tot complert per
> que
> > és experimental?
> >
> > Per contra el grub que tenim tots dos és el de SID, i ja fa dies que
> > funciona be, o al menys a mi se'm va arreglar el tema en la passada
> > actualització.
> >
> > No se m'acudeix res més.
> >
> > Apa, sort!
>
> bones,
>
> em vaig fixar en aquest error fa un temps i faig fer una actualització de
> màquines i en una d'elles em va passar.
>
> Ho vaig sol·lucionar afegint \
>
> > > echo'S'\''està carregant la ramdisk inicial ...'
> ^^^
>
> aleshores, executant el update-grub2 man export LANG=C em va quedar en
> anglès
> i sense error.
>
> No sé perquè en algunes instal·lacions falla i en altres no.
>
> Leo
>
>
> --
> --
> Linux User 152692 PGP: 0xF944807E
> Catalonia
> -
> A: Because it messes up the order in which people normally read text.
> Q: Why is top-posting such a bad thing?
> A: Top-posting.
> Q: What is the most annoying thing in e-mail?
>
>
> --
> To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/201012200051.25943@alaxarxa.net
>
>
Re: errors d'execució
Hola: pirat:/home/xarx# netstat -ltp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp0 0 *:5901 *:* LISTEN 19777/Xtightvnc tcp0 0 *:5902 *:* LISTEN 1893/Xtightvnc tcp0 0 *:sunrpc*:* LISTEN 2122/portmap tcp0 0 *:x11-1 *:* LISTEN 19777/Xtightvnc tcp0 0 *:5906 *:* LISTEN 6880/Xtightvnc tcp0 0 *:x11-2 *:* LISTEN 1893/Xtightvnc tcp0 0 *:x11-6 *:* LISTEN 6880/Xtightvnc tcp0 0 *:ssh *:* LISTEN 2472/sshd tcp0 0 localhost:smtp *:* LISTEN 2774/exim4 tcp0 0 localhost:6010 *:* LISTEN 6508/sshd: n...@notty tcp0 0 *:33373 *:* LISTEN 2133/rpc.statd tcp0 0 *:afs3-bos *:* LISTEN 6570/nxagent tcp6 0 0 [::]:ssh[::]:* LISTEN 2472/sshd tcp6 0 0 localhost:6010 [::]:* LISTEN 6508/sshd: n...@notty tcp6 0 0 [::]:afs3-bos [::]:* LISTEN 6570/nxagent Ara hi ha això: Estic probant NX que va tot encriptat, però de moment va el tight. En aquest moment he comprovat que hi havien dues sesions obertes, una sessio estava amb dos usuaris connectats , i una altre amb un usuari. Aixi que pugui trauré les tight i deixere les nx ( hi ha una sessió oberta), així es tancaran aquests ports X11. El portmap i el rpc.stat els pararé a la nit a veure si funciona tot. . El vstp, el vaig posar per a l'intercanvi d'arxius, pensava que era necesari. L'he tret i funciona. Vaig a veure si el client nx va bé amb linux i windows. Sembla que ja funciona quasi tot. Moltes Gràcies. JManel Grifoll El 12 de gener de 2010 13:11, Jordi Funollet ha escrit: > On Monday 11 January 2010 20:10:35 JManel Grifoll wrote: > > El 11 de gener de 2010 17:27, Jordi Funollet ha escrit: > > > > Hola la sortida de netstat -lt es : > > Active Internet connections (only servers) > > Proto Recv-Q Send-Q Local Address Foreign Address State > > tcp0 0 *:5901 *:* > LISTEN > > tcp0 0 *:5902 *:* > LISTEN > > tcp0 0 *:sunrpc*:* > LISTEN > > tcp0 0 *:x11-1 *:* > LISTEN > > tcp0 0 *:x11-2 *:* > LISTEN > > tcp0 0 *:ftp *:* > LISTEN > > tcp0 0 *:ssh *:* > LISTEN > > tcp0 0 localhost:smtp *:* > LISTEN > > tcp0 0 *:afs3-volser *:* > LISTEN > > tcp0 0 *:33373 *:* > LISTEN > > tcp6 0 0 [::]:ssh[::]:* > LISTEN > > tcp6 0 0 [::]:afs3-volser[::]:* > LISTEN > > Els dos primers assumeixo que són el 'tightvnc'. El que no entenc és que > n'hi > hagi dos. De totes maneres, és un muntatge que (personalment) no m'agrada: > si > faig servir un client SSH dins d'una sessió 'tightvnc', el meu password > viatga > en clar des del meu teclat fins al servidor remot! > > Com és que hi han DOS 'tightvnc'??? > > 'sunrpc' és un servei que acostuma a instal·lar-se per al NFS. No sé si > algun > dels altres serveis en depèn, ho dubto. Tu prova. :-) > > Els ports 'x11-1' i 'x11-2' corresponen a 6001 i 6002 (pots mirar-ho a > '/etc/services'). No és bona cosa tenir-los escoltant a la xarxa. Pots > accedir > remotament a les X amb un túnel 'ssh', és trivial: "ssh -X". Si algun dels > altres serveis (tightvnc, NX) requereixen que les X estiguin escoltant, > configura-les per a que sols escoltin a la interfície 127.0.0.1. Així no > hauràs de patir pels accessos des de la xarxa. > > Just així és com tens configurat el 'smtp' (veus que diu "localhost" en > lloc > de "*"?). Ideal, pots enviar mail però no hi ha perill de que et facin > servir > per re-enviar-ne. > > Segur que et cal el 'vsftp'? Qui té compte a la màquina pot fer servir el > 'sftp', no has de configurar rés extra, també t'ho dona el mateix 'ssh'. El > protocol FTP és un perill, els passwords van en clar. > > No tinc ni idea de què són els ports restants (33373, 7005). Llença un > 'sudo > netstat -ltp' i tindrem una mica més d'informació. > > -- > ## > ### Jordi Funollet > ### http://www.terraquis.net > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
El 11 de gener de 2010 17:27, Jordi Funollet ha escrit: Hola la sortida de netstat -lt es : Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 *:5901 *:* LISTEN tcp0 0 *:5902 *:* LISTEN tcp0 0 *:sunrpc*:* LISTEN tcp0 0 *:x11-1 *:* LISTEN tcp0 0 *:x11-2 *:* LISTEN tcp0 0 *:ftp *:* LISTEN tcp0 0 *:ssh *:* LISTEN tcp0 0 localhost:smtp *:* LISTEN tcp0 0 *:afs3-volser *:* LISTEN tcp0 0 *:33373 *:* LISTEN tcp6 0 0 [::]:ssh[::]:* LISTEN tcp6 0 0 [::]:afs3-volser[::]:* LISTEN Hi ha alguna cosa fora de lloc? Hi ha instal·lat el fail2ban; un servidor Nx, dos tightvnc, el ftp es el vsftpd, El smtp hauria de ser-hi? per treure avisos i logs ho faig amb un script amb mutt i msmtp. Els afs3 i i sunrpc ? Gràcies. JM Grifoll > Ben fet: reinstal·lar de zero és la única sortida segura quan no saps fins > on > han arribat. > > Pots fer una ullada a quins programes tens escoltant a la xarxa amb > 'netstat -lt'. Assegura't de que la instal·lació no t'ha deixat engegat res > que no necessitis. > > El programa 'bastille' és una bona manera de revisar la seguretat de la > màquina i és molt didàctic: t'explica què recomana i perquè ho recomana. > > També et pot anar bé aquesta documentació de can Debian, per començar: > >http://www.debian.org/doc/manuals/securing-debian-howto/ > > -- > ## > ### Jordi Funollet > ### http://www.terraquis.net > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
Hola a tots: Moltes gràcies per totes les indicacions. No vaig poder instal·lar el chkrootkit, tampoc anava la connexió a xarxa, al final vaig passar de tot, he formatar i no he esbrinat que va passar. He instal·lat el fail2safe i estic provant el nx. Moltes gràcies. Salut! JM Grifoll El 8 de gener de 2010 21:05, Orestes Mas ha escrit: > A Dijous, 7 de gener de 2010, JManel Grifoll va escriure: > > Hola moltes gràcies: > > > > Soc un recent jubilat feliç, autodidacta en linux i ni idea de > > oceonagrafia, i pel que es veu en linux tampoc! > > > > Cuidava aquesta màquina instal·lant els programes i utilitats que em > > demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la > > seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes > > d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo > > creia. > > > > Potser si que li varen buscar altres activitats. Fins que es varen cansar > i > > varen canviar el paswd per posar-me a prova: si era capaç de notar alguna > > coseta rara. > > > > Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels > > usuaris, aixo no cal oi? el directori /opt hi ha compiladors, > llibreries > > i programes que no depenen de la debian, tampoc cal no? > > Reinstal·la-ho tot. Un compilador és un executable i pot estar compromès. > Les > libreries tres quarts del mateix. > > Jo faria una còpia de seguretat de les dades, ho reformatejaria TOT, > tornaria > a fer una instal·lació neta i per acabar bolcaria les dades altre cop. Ho > repeteixo: esborra-ho TOT, o sempre et quedarà el dubte de si has passat > per > alt alguna cosa. > > I, si pots, usa preferentment NX en lloc de tightvncserver. Guanyaràs > espectacularment en velocitat i seguretat. > > També és aconsellable desactivar els passwords i autenticar-te només amb > claus > SSH (RSA, DSA...). És força senzill de fer i molt més segur. > > Si no pots fer això darrer, com a protecció addicional pots instal·lar-te > el > programa "fail2ban", que serveix per deixar de respondre a les peticions de > xarxa de màquines que presentin un nombre excessiu d'errades d'autenticació > (típic quan algú intenta rebentar passwords pel mètode de la força bruta. > Així, si t'intenten endevinar la contrasenya a base d'anar provant, es > trobaràn que al cap de N intents el servidor SSH deixa de respondre les > peticions d'aquest individu durant un període de temps configurable (30 > minuts...). Això ho fa creant sobre la marxa unes regles especials al > tallafocs de la màquina (iptables). > > -- > Orestes Mas Casals - UPC > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
Hola moltes gràcies: Soc un recent jubilat feliç, autodidacta en linux i ni idea de oceonagrafia, i pel que es veu en linux tampoc! Cuidava aquesta màquina instal·lant els programes i utilitats que em demanaven, (espero fer-ho encara,...). No m'havia preocupat mai per la seguretat, els paswd eren del tipus 0; 123456; no hi havia ni llistes d'adreçes, ni noms., res que podés interessar ningú, almenys és el que jo creia. Potser si que li varen buscar altres activitats. Fins que es varen cansar i varen canviar el paswd per posar-me a prova: si era capaç de notar alguna coseta rara. Instal·larè tot el sistema. Als /homes hi ha: dades, programes dels usuaris, aixo no cal oi? el directori /opt hi ha compiladors, llibreries i programes que no depenen de la debian, tampoc cal no? Nomes posaré: sshd sftpd tightvncserver (diu que la contrasenya va encriptada pero les dades no) El servidor apache l'apagaré. La configuració d'això es molt elemental no? Tinc ganes de veure que diu el chkrootkit, i que hi als logs,. Moltes gràcies. JMGrifoll El 6 de gener de 2010 22:37, Jordi Funollet ha escrit: > JManel, > > amb el que has vist fins ara no cal que passis el 'chkrootkit' ni el > 'rkhunter'. Està molt clar que t'han colonitzat la màquina. > > Potser han entrat endevinant un d'aquests passwords "tirats" o potser per > alguna aplicació no actualizada o mal configurada, però ara no cal que t'hi > trenquis molt el cap. > > Com que han remplaçat alguns dels teus binaris (i no hi ha manera de saber > quins) no queda altre sol·lució que reinstal·lar tot el servidor. Quan tinc > una d'aquestes "alegries" i no puc reinstal·lar immediatament acostumo a > deixar la màquina desendollada. Així evitem que el mal s'estengui; qui s'ha > pres la feina de colonitzar la teva màquina l'estarà fent servir per alguna > cosa: atacar altres màquines, enviar spam... Tot un sector industrial en > que > probablement no vols participar. ;-) > > A més de reinstal·lar no t'oblidis de canviar tots els passwords. A hores > d'ara el teu "okupa" els deu tenir tots ben guardats. Avisa els teus > usuaris > de que deixin de fer servir aquest password, en cas de que féssin servir el > mateix en altres llocs. > > Al marge d'això, em sembla que en un altre mail has dit que fas servir > 'xtightvnc'. Em confonc o els passwords no van encriptats? Això sol ja > seria > un forat d'entrada, hauràs de buscar una alternativa si no vols tornar a > tenir > visites. > > I, per xafarderia: com és que feu servir ROMS? Ets oceanògraf? > > -- > ## > ### Jordi Funollet > ### http://www.terraquis.net > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
Bon dia: Aquest el el contingut de /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh Debian-exim:x:101:103::/var/spool/exim4:/bin/false statd:x:102:65534::/var/lib/nfs:/bin/false messagebus:x:103:108::/var/run/dbus:/bin/false gdm:x:104:109:Gnome Display Manager:/var/lib/gdm:/bin/false haldaemon:x:105:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin xarx:x:1000:1000:,,,:/home/xarx:/bin/bash porc:x:1002:1002:,,,:/home/porc:/bin/bash manel:x:1001:1001:,,,:/home/manel:/bin/bash ftp:x:107:65534::/home/ftp:/bin/false debian-xfs:x:108:112::/nonexistant:/bin/false stella:x:1003:1004:,,,:/home/stella:/bin/bash avahi:x:109:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false ghost:x:0:0::/home/ghost:/bin/sh Els usuaris del pc son manel,xarx,stella i porc L'ultims es ben estrany , el directori ghost diu que no hi es. Salut! El 6 de gener de 2010 3:18, JManel Grifoll ha escrit: > Hola: > > Dons potser fa un mes mes i mig que es va actualitzar, es una màquina que > calcula, fa simulacions de roms (Regional oceanografic Model,) dia i > nit. > Si para es per accident,el corrent, un disk dur,.. > > No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú. > > Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta > i s'ha tancat. Un dia vaig veure uns logs que provaven d'obrir una sessio > ssh amb noms anglesos corrents, no en vaig fer cas. > > No puc fer res. > > Adeu i gràcies.! > > > > > > > 2010/1/6 Orestes Mas > > A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure: >> > Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests >> arxius, >> > i no s'actualitzat en un mes com a mínim!: >> > >> > -rwxr-xr-x 1 root root11712 Dec 27 2007 >> /bin/dnsdomainname >> > -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat >> > -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod >> > -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp >> > -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir >> > -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg >> > -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed >> > -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep >> > -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill >> > -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod >> > -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more >> > -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv >> > -rwxr-xr-x 1 root root32184 Jan 3 01:41 >> /bin/nc.traditional >> > -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps >> > -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink >> > -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm >> > -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir >> > -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts >> > -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep >> > -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf >> > -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile >> > >> > Alguns funcionen i alguns no! >> > >> > >> > M'agradaria saber qui es aquest usuari 122 del ps >> > >> > Ganes de tocar els pebrots no? >> > >> > O volien fer spam? >> > >> > Sembla que informació no n'han esborrat! >> > >> > Bona nit de reis! >> >> >> Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc >> per >> exemple, que ha aprofitat alguna fallada coneguda en un sistema poc >> actualitzat. >> >> A mi fa molts anys em va passar un cas semblant: em va entrar un cuc >> anomenat &q
Re: errors d'execució
Hola: Dons potser fa un mes mes i mig que es va actualitzar, es una màquina que calcula, fa simulacions de roms (Regional oceanografic Model,) dia i nit. Si para es per accident,el corrent, un disk dur,.. No hi ha ni emule, ni skype, gaim, xchat, ...no la toca ningú. Els pswd són tirats, ara mateix tenia una sessio xtightvncviewer oberta i s'ha tancat. Un dia vaig veure uns logs que provaven d'obrir una sessio ssh amb noms anglesos corrents, no en vaig fer cas. No puc fer res. Adeu i gràcies.! 2010/1/6 Orestes Mas > A Dimecres, 6 de gener de 2010, JManel Grifoll va escriure: > > Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests > arxius, > > i no s'actualitzat en un mes com a mínim!: > > > > -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname > > -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat > > -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod > > -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp > > -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir > > -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg > > -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed > > -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep > > -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill > > -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod > > -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more > > -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv > > -rwxr-xr-x 1 root root32184 Jan 3 01:41 > /bin/nc.traditional > > -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps > > -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink > > -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm > > -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir > > -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts > > -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep > > -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf > > -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile > > > > Alguns funcionen i alguns no! > > > > > > M'agradaria saber qui es aquest usuari 122 del ps > > > > Ganes de tocar els pebrots no? > > > > O volien fer spam? > > > > Sembla que informació no n'han esborrat! > > > > Bona nit de reis! > > > Si no han esborrat info potser es tracta de quelcom automatitzat, un cuc > per > exemple, que ha aprofitat alguna fallada coneguda en un sistema poc > actualitzat. > > A mi fa molts anys em va passar un cas semblant: em va entrar un cuc > anomenat "adore" que em va canviar el "ps" i va compilar un mòdul del > kernel > per tal d'ocultar-se a si mateix. També es dedicava a propagar-se a altres > sistemes fent servir el meu com a "base". > > Em va entrar per un servidor ftp (wu-ftp) amb un bug conegut i no corregit > per > part meva. Però aleshores jo era un jovencell inexpert i no en sabia > gens... > > Aplicaves regularment els pegats de seguretat? > > Orestes. > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
Vaja! han canviat algunes coses, fixeu-vos amb les dates d'aquests arxius, i no s'actualitzat en un mes com a mínim!: -rwxr-xr-x 1 root root11712 Dec 27 2007 /bin/dnsdomainname -rwxr-xr-x 1 root root40328 Jan 3 01:41 /bin/cat -rwxr-xr-x 1 root root57752 Jan 3 01:41 /bin/chmod -rwxr-xr-x 1 root root86376 Jan 3 01:41 /bin/cp -rwxr-xr-x 1 root root 110184 Jan 3 01:41 /bin/dir -rwxr-xr-x 1 root root14856 Jan 3 01:41 /bin/dmesg -rwxr-xr-x 1 root root57824 Jan 3 01:41 /bin/ed -rwxr-xr-x 1 root root69008 Jan 3 01:41 /bin/fgrep -rwxr-xr-x 1 root root24160 Jan 3 01:41 /bin/kill -rwxr-xr-x 1 root root41544 Jan 3 01:41 /bin/mknod -rwxr-xr-x 1 root root40792 Jan 3 01:41 /bin/more -rwxr-xr-x 1 root root93512 Jan 3 01:41 /bin/mv -rwxr-xr-x 1 root root32184 Jan 3 01:41 /bin/nc.traditional -rwxr-xr-x 1 122 netdev 62920 Jan 11 2009 /bin/ps -rwxr-xr-x 1 root root48072 Jan 3 01:41 /bin/readlink -rwxr-xr-x 1 root root61768 Jan 3 01:41 /bin/rm -rwxr-xr-x 1 root root37096 Jan 3 01:41 /bin/rmdir -rwxr-xr-x 1 root root23704 Jan 3 01:41 /bin/run-parts -rwxr-xr-x 1 root root38152 Jan 3 01:41 /bin/sleep -rwxr-xr-x 1 root root14920 Jan 3 01:41 /bin/tailf -rwxr-xr-x 1 root root16040 Jan 3 01:41 /bin/tempfile Alguns funcionen i alguns no! M'agradaria saber qui es aquest usuari 122 del ps Ganes de tocar els pebrots no? O volien fer spam? Sembla que informació no n'han esborrat! Bona nit de reis! JMGrifoll El 5 de gener de 2010 16:23, tictac ha escrit: > jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un > rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense > alarmar > eh? > > A Dimarts, 5 de gener de 2010, Utopic va escriure: > > Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava > > correctament el nou HD? > > > > Nes festes, > > > > A Dimarts 05 Gener 2010, JManel Grifoll va escriure: > > > Hola: > > > > > > Tenim un servidor que ara no es accessible físicament, te una Debian > > > estable, que fa un mes que es va actualitzar aprofitant que se li havia > > > de canviar un disc dur. > > > El cas es que fa unes 48 hores li fallen algunes instruccions. > > > Cada 1/4 hora corre un script comprobant la ip: envia un correu dient > > > que > > > > > > (...) /bin/cat cannot execute binary file. > > > també li falla: cp , rm, chmod,.. (mateix missatge) > > > Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). > > > Va quedar amb una sessió del tighvncserver oberta, on funciona el > matlab, > > > ifort,be > > > El més greu es que si vull ser root tot i que su s'executa, no > admet > > > la contrassenya (error d'autenticació). > > > O sigui que no puc veure els logs,. ni reinstalar,... > > > > > > Pinta molt malament,.. sense ser root no puc treure informació dels > > > discs durs? > > > > > > Algú te alguna idea per provar , abans de fotre 200km? > > > > > > Gràcies a tots. > > > > > > Salut > > > > > > > > > JM Grifoll > > > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
Re: errors d'execució
Ostres!! Encara no ha pogut anar ningú ni que sigui a reiniciar. El disc dur canviat no era el que te el sistema, era el de seguretat, el sdb ma...@pirat:~$ df -h S. fitxersMida En ús Lliure %Ús Muntat a /dev/sda1 151G 3,4G 140G 3% / tmpfs1008M 0 1008M 0% /lib/init/rw udev 10M 712K 9,4M 7% /dev tmpfs1008M 0 1008M 0% /dev/shm /dev/sdd1 688G 88G 566G 14% /home /dev/sda2 134G 18G 109G 15% /opt /dev/sdc1 688G 152G 502G 24% /mnt/manel /dev/sdb2 461G 77G 361G 18% /var/seg_xarx /dev/sdb1 457G 152G 282G 35% /var/seg_manel El que faré quan es pugui es: a) Intentar iniciar en l'ordinador una sessio com a root, si no puc: reiniciar b) Si no puc entrar com a root, reiniciar amb el disc d'installació i obrir una sessio d'emergencia, treure la contrassenya de root que es la x de la linia primera de /etc/passwd. c) Despres passar el chrootkit que es com una mena de antivirus oi? d) Torna a instalr algun paquet dels que no funcionen? El que he vist es un misasatge enviat a un usuari (nomes ni ha tres ) pel root molt estrany el copio: Date: Sun, 27 Dec 2009 13:49:12 +0100 From: Mail Delivery System To: r...@pirat.penya Subject: Mail delivery failed: returning message to sender This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: darkzata...@yahoo.com Mailing to remote domains not supported -- This is a copy of the message, including all the headers. -- Return-path: Received: from root by pirat.penya with local (Exim 4.69) (envelope-from ) Aquest pc envia missatges automatics via: mutt i msmtp però això? Potser hauria de mirar la seguretat, però no en tinc ni idea. Els usuaris en connecten amb: ssh, sftp,putty, xtightvncviewer i http, amb paswds elementals. Ostres quin merder!! Salut Gràcies. JGrifoll El 5 de gener de 2010 16:23, tictac ha escrit: > jo vaig trobar-me en un cas semblant i va resultar que havien instal·lat un > rootkit al sistema, prova d'instal·lar i executar chkrootkit... sense > alarmar > eh? > > A Dimarts, 5 de gener de 2010, Utopic va escriure: > > Jo aposto que és a causa del HD nou. Com vau fer el canvi? Ja funcionava > > correctament el nou HD? > > > > Nes festes, > > > > A Dimarts 05 Gener 2010, JManel Grifoll va escriure: > > > Hola: > > > > > > Tenim un servidor que ara no es accessible físicament, te una Debian > > > estable, que fa un mes que es va actualitzar aprofitant que se li havia > > > de canviar un disc dur. > > > El cas es que fa unes 48 hores li fallen algunes instruccions. > > > Cada 1/4 hora corre un script comprobant la ip: envia un correu dient > > > que > > > > > > (...) /bin/cat cannot execute binary file. > > > també li falla: cp , rm, chmod,.. (mateix missatge) > > > Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). > > > Va quedar amb una sessió del tighvncserver oberta, on funciona el > matlab, > > > ifort,be > > > El més greu es que si vull ser root tot i que su s'executa, no > admet > > > la contrassenya (error d'autenticació). > > > O sigui que no puc veure els logs,. ni reinstalar,... > > > > > > Pinta molt malament,.. sense ser root no puc treure informació dels > > > discs durs? > > > > > > Algú te alguna idea per provar , abans de fotre 200km? > > > > > > Gràcies a tots. > > > > > > Salut > > > > > > > > > JM Grifoll > > > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > >
errors d'execució
Hola: Tenim un servidor que ara no es accessible físicament, te una Debian estable, que fa un mes que es va actualitzar aprofitant que se li havia de canviar un disc dur. El cas es que fa unes 48 hores li fallen algunes instruccions. Cada 1/4 hora corre un script comprobant la ip: envia un correu dient que : (...) /bin/cat cannot execute binary file. també li falla: cp , rm, chmod,.. (mateix missatge) Funcionen bé.:ls, ps, mkdir,chown,mount ,. ssh (si pot entrar). Va quedar amb una sessió del tighvncserver oberta, on funciona el matlab, ifort,be El més greu es que si vull ser root tot i que su s'executa, no admet la contrassenya (error d'autenticació). O sigui que no puc veure els logs,. ni reinstalar,... Pinta molt malament,.. sense ser root no puc treure informació dels discs durs? Algú te alguna idea per provar , abans de fotre 200km? Gràcies a tots. Salut JM Grifoll
