Re: exim4 relay control
Может быть тут тебе помогут: CIS Exim users mailing list [EMAIL PROTECTED] ? Tuesday, December 21, 2004, 1:16:55 PM, you wrote: DF Здравствуйте! DF Имеется exim4, через который почта из внутренней сети ходит наружу. Т.е DF relay разрешен для всех хостов внутренней сети. Полученная почта DF складывается тут же и читается посредством POP3. Все традиционно. DF Хочется ввести дополнительное ограничение - часть пользователей, имеющих DF учетные записи на этой машинке не должна иметь доступа наружу - ни DF получать, ни отправлять, только между собой переписываться. Нормальные DF пользователи - как и прежде. DF Помогите acl написать. И как правильнее группу задвинутых оформить? -- Denis Sokolov mailto:[EMAIL PROTECTED]
Re: exim4 relay control
В Птн, 24/12/2004 в 10:25 +0300, box1739 пишет: Может быть тут тебе помогут: CIS Exim users mailing list [EMAIL PROTECTED] Может быть и помогут, попробую. За целеуказание - спасибо. -- Dmitry Fedoseev [EMAIL PROTECTED]
Re: exim4 relay control
Dmitry Fedoseev wrote:
Здравствуйте!
Имеется exim4, через который почта из внутренней сети ходит наружу. Т.е
relay разрешен для всех хостов внутренней сети. Полученная почта
складывается тут же и читается посредством POP3. Все традиционно.
Хочется ввести дополнительное ограничение - часть пользователей, имеющих
учетные записи на этой машинке не должна иметь доступа наружу - ни
получать, ни отправлять, только между собой переписываться. Нормальные
пользователи - как и прежде.
Помогите acl написать. И как правильнее группу задвинутых оформить?
У меня ldap. Делаю приблизительно так:
require
message = Authentication required
authenticated = *
accept
condition = ISlocalDomain
accept
condition = ${lookup ldapm{LDAPAUTH \
ldap:///LDAPBASE\
?uid?sub\
?((confValue=active)(confValue=mailRelay)(uid=$authenticated_id))}\
{yes}{no}}
deny message = Relaying denied
Т.е. в локальные домены можно слать кому угодно, а наружу - только тем у кого
имеется атрибут confValue=mailRelay, в противном случае - Relaying denied.
Re: flash, mount..
[EMAIL PROTECTED] ~]# mount -t vfat /dev/sda1 /mnt/sda1/ mount: /dev/sda1: can't read superblock [EMAIL PROTECTED] ~]# dmesg ... SCSI error : 1 0 0 0 return code = 0x1007 end_request: I/O error, dev sda, sector 32 FAT: unable to read boot sector [EMAIL PROTECTED] ~]# dd if=/dev/sda1 of=/tmp/ku.img 255967+0 входных записей 255967+0 выходных записей А не случается ли после этой команды новых SCSI ошибок? Может, он действительно не может считать нулевой сектор с /dev/sda, но там вроде как ничего ценного для файловой системы FAT не содержится
Re: USB flash drive и дистрибутивное ядро 2.6
On Thu, 23 Dec 2004 01:43:21 +0300 Artem Chuprina [EMAIL PROTECTED] wrote: Пока на особо бурные эксперименты времени нет, скажите, у кого-нибудь какое-нибудь из дистрибутивных 2.6 ядер USB mass storage (флешки, кардридеры) видит? Если да, покажите имя и версию пакета ядра, lsmod при вставленном девайсе, и менеджер втыкаемых девайсов. Если были те же грабли (контроллер вроде видит, а носители на нем - нет), скажите, как лечили. Вставлять USB мышь пока не пробовал, так что видит ли чего еще - не знаю. Дистрибутивное 2.4.27 видит все нормально. На нем, видимо, и буду пока жить (на этой машине мне от 2.6 точно ничего не надо), но проблема зудит. Мать - P4P800-SE, один из девайсов - JetFlash TS256MJF2A, ID 0c76:0005. Если ещё актуально: Стоит почти свежий testing с дефолтным ядром, в /etc/modules добавлено ручками psmouse, больше ничего нигде не конфигурялось usb 1-2: new high speed USB device using address 3 scsi1 : SCSI emulation for USB Mass Storage devices Vendor: JetFlash Model: TS256MJF2ARev: 1.00 Type: Direct-Access ANSI SCSI revision: 02 SCSI device sda: 501800 512-byte hdwr sectors (257 MB) sda: assuming Write Enabled sda: assuming drive cache: write through /dev/scsi/host1/bus0/target0/lun0: p1 Attached scsi removable disk sda at scsi1, channel 0, id 0, lun 0 USB Mass Storage device found at 3 yuray:/home/yuray# dpkg -l|grep kernel ii iptables 1.2.11-2 Linux kernel 2.4+ iptables administration to ii kernel-image-2 2.6.8-5Linux kernel image for version 2.6.8 on 386. ii linux-kernel-h 2.5.999-test7- Linux Kernel Headers for development ii module-init-to 3.1-pre6-1 tools for managing Linux kernel modules yuray:/home/yuray# Linux version 2.6.8-1-386 ([EMAIL PROTECTED]) (gcc version 3.3.5 (Debian 1:3.3.5-2)) #1 Thu Nov 11 12:18:43 EST 2004 yuray:/home/yuray# lsmod Module Size Used by floppy 54992 0 nls_iso8859_1 4352 0 nls_cp437 6016 0 vfat 13184 0 fat41792 1 vfat sd_mod 20480 0 usb_storage59072 0 scsi_mod 115148 2 sd_mod,usb_storage snd_pcm_oss48168 0 snd_mixer_oss 16640 1 snd_pcm_oss i830 68644 2 ipv6 229764 10 af_packet 20872 4 eepro100 28300 0 snd_intel8x0 33068 0 snd_ac97_codec 59268 1 snd_intel8x0 snd_pcm85384 2 snd_pcm_oss,snd_intel8x0 snd_timer 23172 1 snd_pcm snd_page_alloc 11144 2 snd_intel8x0,snd_pcm gameport4736 1 snd_intel8x0 snd_mpu401_uart 7296 1 snd_intel8x0 snd_rawmidi23204 1 snd_mpu401_uart snd_seq_device 7944 1 snd_rawmidi snd50660 9 snd_pcm_oss,snd_mixer_oss,snd_intel8x0,snd_ac97_codec,snd_pcm,snd_timer,snd_mpu401_uart,snd_rawmidi,snd_seq_device shpchp 87148 0 pciehp 83948 0 pci_hotplug30640 2 shpchp,pciehp uhci_hcd 29328 0 intel_agp 20512 1 intel_mch_agp 1 0 agpgart31784 4 intel_agp,intel_mch_agp ehci_hcd 27908 0 usbcore 104164 5 usb_storage,uhci_hcd,ehci_hcd i810_audio 33300 0 ac97_codec 16908 1 i810_audio soundcore 9824 2 snd,i810_audio e100 30080 0 mii 4864 2 eepro100,e100 tsdev 7168 0 mousedev9996 2 evdev 9088 0 capability 4872 0 commoncap 7168 1 capability psmouse17800 0 ide_cd 38176 0 cdrom 35740 1 ide_cd rtc12088 0 ext3 109544 1 jbd54552 1 ext3 ide_generic 1664 0 piix 12448 1 ide_disk 16768 2 ide_core 125156 5 usb_storage,ide_cd,ide_generic,piix,ide_disk unix 25908 180 font8576 0 vesafb 6688 0 cfbcopyarea 3840 1 vesafb cfbimgblt 3200 1 vesafb cfbfillrect 3712 1 vesafb yuray:/home/yuray# Честно говоря, даже не знаю как найти какой менеджер втыкаемых девайсов работает yuray:/home/yuray# dpkg -l|grep hot ii hotplug0.0.20040329-1 Linux Hotplug Scripts yuray:/home/yuray# ID такой же 0c76:0005 yuray:/proc/bus/pci/00# lspci :00:00.0 Host bridge: Intel Corp. 82865G/PE/P DRAM Controller/Host-Hub Interface (rev 02) :00:02.0 VGA compatible controller: Intel Corp. 82865G Integrated Graphics Device (rev 02) :00:1d.0 USB Controller: Intel Corp. 82801EB/ER (ICH5/ICH5R) USB UHCI #1 (rev 02) :00:1d.1 USB Controller: Intel Corp. 82801EB/ER (ICH5/ICH5R) USB UHCI #2 (rev 02) :00:1d.2 USB Controller: Intel Corp. 82801EB/ER (ICH5/ICH5R) USB
Re: Права на /home/user
Wladimir Krawtschunowski - debian-russian@lists.debian.org @ Fri, 24 Dec 2004 00:43:30 +0100: А зачем? Если есть особо ценные данные, то тут явно нужны более другие средства, а не ограничения доступа ко всему ~/ WK А затем, что надо не заприщать того что нельзя, а разрешать то, что WK можно. Есть такой класс данных, которые вроде-бы и секретом не WK являються, но относяться к такой тонкой вещи, как privatsphere. WK Например мне никогда не придёт в голову криптовать свою историю WK посещения веб-страниц, но если их сможет видеть каждый кому не лень WK то енто согласитесь не очень приятно. А она как раз под 700 спрятана. Если кто не в курсе... WK А для обмена данными действительно лучше использовать вещи, которые WK специально для ентого предназначены например publicshare, а не WK изобретать велосипед. Это если ты всегда можешь добраться до своего $HOME. В том числе в тот момент, когда тебе позвонили по мобильнику и попросили у тебя файл, который у тебя в $HOME лежит. А ты, ясен песень, в лесу у речки... Мне кажется, что именно это и есть изобретение велосипеда. А возможность читать чужие $HOME - как раз норма жизни. На юниксах, во всяком случае. Есть мнение, что история юниксов со мной согласна... -- Artem Chuprina RFC2822: [EMAIL PROTECTED], FIDO: 2:5020/122.256, Jabber: [EMAIL PROTECTED]
Re: Права на /home/user
В сообщении от 24 Декабрь 2004 15:31 Artem Chuprina написал(a): Мне кажется, что именно это и есть изобретение велосипеда. А возможность читать чужие $HOME - как раз норма жизни. На юниксах, во всяком случае. Есть мнение, что история юниксов со мной согласна... Что лучше: *BSD or Linux?... Философский вопрос? Так и права на /home тоже философский вопрос! и очень сильно зависит от политики безопасности компании!
Re: flash, mount..
Nikita V. Youshchenko wrote: [EMAIL PROTECTED] ~]# mount -t vfat /dev/sda1 /mnt/sda1/ mount: /dev/sda1: can't read superblock [EMAIL PROTECTED] ~]# dmesg ... SCSI error : 1 0 0 0 return code = 0x1007 end_request: I/O error, dev sda, sector 32 FAT: unable to read boot sector [EMAIL PROTECTED] ~]# dd if=/dev/sda1 of=/tmp/ku.img 255967+0 входных записей 255967+0 выходных записей А не случается ли после этой команды новых SCSI ошибок? Может, он действительно не может считать нулевой сектор с /dev/sda, но там вроде как ничего ценного для файловой системы FAT не содержится Сразу с другой флекой в том же порту никаких.
Запрет внешних коннектов
Добрый день! Как определенным пользователям запретить внешние коннекты? Т.е. что бы часть пользователей могла устанавливать их во вне, а часть нет. В том числе чтобы ping могли делать только те кому разрешили. Николай.
Re: Запрет внешних кон нектов
Доброе время суток, Николай! On Fri, 24 Dec 2004 17:11:42 +0500 Nikolay Shestakov [EMAIL PROTECTED] wrote: Добрый день! Как определенным пользователям запретить внешние коннекты? Т.е. что бы часть пользователей могла устанавливать их во вне, а часть нет. В том числе чтобы ping могли делать только те кому разрешили. --uid-owner или --gid-owner в iptables подойдёт? man iptables /owner Всего! -- Nikita V. Borodikhin, System Administrator NIKB-RIPN BNV7-RIPE Registered Linux user #256562 with the Linux Counter sysattack.com
Re: Запрет внешних ко ннектов
Nikolay Shestakov пишет: Добрый день! Как определенным пользователям запретить внешние коннекты? Т.е. что бы часть пользователей могла устанавливать их во вне, а часть нет. В том числе чтобы ping могли делать только те кому разрешили. видимо что-то типа: iptables -A FORWARD -s нехороший_человек -i eth1 -o eth0 -p tcp -m state --state NEW -j DROP iptables -A FORWARD -s хороший_человек -i eth1 -o eth0 -p tcp -m state --state NEW -j ACCEPT iptables -A FORWARD -s нехороший_человек -i eth1 -o eth0 -p icmp -j DROP iptables -A FORWARD -s хороший_человек -i eth1 -o eth0 -p icmp -j ACCEPT eth0 смотрит в инет.
Re: Запрет внешних коннектов
В сообщении от 24 Декабрь 2004 17:27 Nikita V. Borodikhin написал(a): --uid-owner или --gid-owner в iptables подойдёт? man iptables /owner Спасибо, устроит
Re: Запрет внешних коннектов
Доброе время суток, Николай! On Fri, 24 Dec 2004 17:11:42 +0500 Nikolay Shestakov [EMAIL PROTECTED] wrote: Добрый день! Как определенным пользователям запретить внешние коннекты? Т.е. что бы часть пользователей могла устанавливать их во вне, а часть нет. В том числе чтобы ping могли делать только те кому разрешили. --uid-owner или --gid-owner в iptables подойдёт? man iptables /owner С ping может так не получиться, из-за setuid-ности ping-а.
Re: flash, mount..
sergey wrote: [EMAIL PROTECTED] ~]# mount -t vfat /dev/sda1 /mnt/sda1/ пробовал ли ты монтировать /dev/sda? -- Regards, Al Nikolov
Re: не могу приммонтир овать самба ресурс
On Fri, Dec 24, 2004 at 09:59:46AM +0300, Ildar Shaynurov wrote: Насколько я помню, в samba поломана/отсутствует какая-то часть протокола, необходимая для монтирования шар с win2k3. Google по этому поводу советовал использовать CIFS, но мне заставить это работать так и не удалось (debian kernel 2.6.8, Win2k3). В зависимости от настроек либо просто не монтировалась шара (ошибка аутентификации), либо сегфолтилось ядро. А поподробнее про этот CIFS можно? Что это вообще такое и где о нем можно поситать? Насколько я понимаю, CIFS --- это аналог SMB/NBT, но разработанный с учётом современных сетей. Вроде бы это то, что имеют в виду, говоря прежде Windows-машины могли получать дисковые шары по NetBIOS, NetBIOS поверх TCP/IP, а теперь (с Win2000) умеют и напрямую по TCP/IP. 1) /usr/src/kernel-source-*/Documentation/filesystems/cifs.txt 3) mount.cifs(8) из smbfs 2) на www.samba.org -- With best wishes Dmitry Baryshkov
Re: Запрет внешних кон нектов
Доброго времени суток, тезка! On Fri, 24 Dec 2004 16:04:32 +0300 Nikita V. Youshchenko [EMAIL PROTECTED] wrote: В том числе чтобы ping могли делать только те кому разрешили. --uid-owner или --gid-owner в iptables подойдёт? С ping может так не получиться, из-за setuid-ности ping-а. Да, о необходимости root'а для icmp-программ я не забыл :) Но с этим, хоть это и не очень красиво, можно справиться через --gid-owner или --cmd-owner. -- Nikita V. Borodikhin, System Administrator NIKB-RIPN BNV7-RIPE Registered Linux user #256562 with the Linux Counter sysattack.com
Re: не могу приммонтировать самба ресурс
Возьми samba 3.0.10, для woody - с backports.org. Как только обновил, сразу заработало - монтирует. -- Если виртуальная память закончилась, она ненастоящая.
Re: Запрет внешних коннектов
В сообщении от 24 Декабрь 2004 20:16 Nikita V. Borodikhin написал(a): --uid-owner или --gid-owner в iptables подойдёт? С ping может так не получиться, из-за setuid-ности ping-а. Удивительно, но для моих целей подошло. И пинг не работает у тех кому не надо. Правда столкнулся с проблемой что по пользователю не работает, а по группе все ОК. Но пока сильно не разбирался. Николай.
Re: flash, mount..
В Птн, 24/12/2004 в 18:02 +0300, Al Nikolov пишет: sergey wrote: [EMAIL PROTECTED] ~]# mount -t vfat /dev/sda1 /mnt/sda1/ пробовал ли ты монтировать /dev/sda? ага, dmesg примерно тоже выдает (девайс забрали, показать не могу), но dd его и монтировать не пробовал :-( -- Regards, Al Nikolov
Re: Запрет внешних коннектов
Nikolay Shestakov - debian-russian@lists.debian.org @ Fri, 24 Dec 2004
20:39:49 +0500:
NS В сообщении от 24 Декабрь 2004 20:16 Nikita V. Borodikhin
NS написал(a): --uid-owner или --gid-owner в iptables
NS подойдёт? С ping может так не получиться, из-за setuid-ности
NS ping-а.
NS Удивительно, но для моих целей подошло. И пинг не работает у тех
NS кому не надо.Правда столкнулся с проблемой что по пользователю не
NS работает, а по группе все ОК. Но пока сильно не разбирался.
Насколько я понимаю, тут и разбираться-то особо нечего. setuid для ping
ядро делает, а setgid - нет.
--
Artem Chuprina ran{}ran.pp.ru
русские имена файлов для vfat'a
Добрый день, господа. Кодировка имён файлов у меня utf-8. Локаль соответственно. Без проблем могу создавать русские файлы на своём vfat разделе. Проблема в том, что винда мне эти имена файлов показывает кракозябрами. Подскажите мне пожалуйста опцию для mount'a, чтобы имена файлов, создающихся из-под юникодной локали нормально читались под виндой. Либо где что в винде покрутить, чтобы юникод нормально отображался. :) winxp. -- Guten Tag, Alexey
kill -9
Вот такая ситуация. Битый сидюк и xmms, пытающийся этот сидюк зачитать. xmms естессно виснет, драйв издаёт ужасающие звуки, dmesg переполняется матами о io-read-error. killall xmms ноль реакции. гмм. kill -9 $(pidof xmms) нифига (???) мля да что за фигня? umount -fl /cdrom иногда спасает. Но в этот раз программа вредная попалась. Не прёт. Сидюк заблокирован и всё ещё пыхтит. Ctrl+Alt+Backspace - вуаля. Сидюк выпрыгивает, xmms пришибается, вместе с ним и все иксы. Тобишь наоборот :) Как в этой ситуации правильно поступать и почему не работает kill -9 -- Guten Tag, Alexey
Re: kill -9
Gossen Alexey wrote: Как в этой ситуации правильно поступать и почему не работает kill -9 Как поступать не знаю, а -9 не работает, потому что процесс застрял в системном вызове, то есть внутри кернела, ещё точнее - где-то внутри драйвера сидирома. -- Best regards, Sergey Spiridonov
Re: русские имена файлов для vfat'a
Gossen Alexey - debian-russian @ Fri, 24 Dec 2004 15:21:26 +0100:
GA Кодировка имён файлов у меня utf-8. Локаль соответственно. Без
GA проблем могу создавать русские файлы на своём vfat разделе. Проблема в
GA том, что винда мне эти имена файлов показывает кракозябрами. Подскажите
GA мне пожалуйста опцию для mount'a, чтобы имена файлов, создающихся из-под
GA юникодной локали нормально читались под виндой.
GA Либо где что в винде покрутить, чтобы юникод нормально отображался. :)
GA winxp.
На фате русские имена файлов должны быть в CP866. Во всяком случае,
короткие их варианты (длинные, кажется, в уникоде, но в UTF-16, а не в
UTF-8). Опции - в man mount, искать опции для vfat, и там в опции для
fat пошлют.
--
Artem Chuprina ran{}ran.pp.ru
Re: kill -9
Sergey Spiridonov - debian-russian@lists.debian.org @ Fri, 24 Dec 2004
22:53:40 +0100:
Как в этой ситуации правильно поступать и почему не работает kill -9
SS Как поступать не знаю, а -9 не работает, потому что процесс застрял
SS в системном вызове, то есть внутри кернела, ещё точнее - где-то
SS внутри драйвера сидирома.
Поступать одним из двух способов - либо не дергаться и терпеливо ждать,
либо перегружать машину. Я предпочитаю первый вариант. Если прервать
процесс (kill обычный или даже Ctrl-C AKA kill -INT), то рано или поздно
ему надоест и он отпустит девайс. Может, впрочем, сильно не сразу.
--
Artem Chuprina ran{}ran.pp.ru
Re: kill -9
Artem Chuprina escribió: Sergey Spiridonov - debian-russian@lists.debian.org @ Fri, 24 Dec 2004 22:53:40 +0100: Как в этой ситуации правильно поступать и почему не работает kill -9 SS Как поступать не знаю, а -9 не работает, потому что процесс застрял SS в системном вызове, то есть внутри кернела, ещё точнее - где-то SS внутри драйвера сидирома. Поступать одним из двух способов - либо не дергаться и терпеливо ждать, либо перегружать машину. Я предпочитаю первый вариант. Если прервать процесс (kill обычный или даже Ctrl-C AKA kill -INT), то рано или поздно ему надоест и он отпустит девайс. Может, впрочем, сильно не сразу. Выцарапать диск скрепкой и сунуть в микроволновку на пару секунд! Если диск _очень_ хочется прочесть, то это зависит от того как он битый. Иногда разные приводы ведут себя с битыми дисками по разному. Если диск поцарапанный можно отполировать. Есть специальные полировщики, в худшем случае можно обойтись мегкой тряпочкой и толченым мелом (мел дожен быть строго гомогенный, без вкраплений), увлажнить и тереть. Если дырки в отражающем слое, то методом тыка рипать (dd -count) только нормальные места, избегая дырок, отсчет секторов ведется от центра.
