Re: autofs -- работает не совсем корректно
l Как я понял, дело все в autofs, он почему то убирает точку l монтирования, если к ней произошло обращение, в момент недоступности l ресурса на который он ссылается. autofs создает точку монтирования, если удалось ее подмонтировать. И удаляет при отмонтировании. Если какой-то обормот ее создал до обращения, то надо полагать, сначала она будет удалена. Этот обормот называется autofs с ключиком --ghost (не удержусь он удовольствия отослать тебя к манам ;-) Было, кстати, весьма удобно для моей жены пока в etch не поломали что-то до вышеописанного поведения. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: lirc + suspend2 suspend-to-disk
Dear HoverHell, Я перезагружаю все программы. Правда, использую обычный swsusp из ядра - но он вообще отказывается засыпать при загруженных модулях lirc. Hi, All! Настроил тут себе LIRC с lirc_serial... Проблема в том, что после hibernate/resume (suspend-to-disk с выключением питания) данные перестают приходить (проверял с помощью mode2, lircd соответственно тоже не получает). После перезагрузки модуля lirc_serial начинает работать. Можно было бы добавить lirc_serial в перезагружаемые скриптом hibernate модули, однако он используется lircd, при перезагрузке которого приходится перезагружать lirc-поддержку использующих его программ (нередко вместе со всей программой). Какое тут может быть решение? ядро 2.6.18 с патчем suspend2, lirc 0.8.1-1 -- --HoverHell (ICQ#174520). -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Лицензия на Дебиан для проверяющих органов
N'N Именно так. А потом надо ставить рядом другой сервер и продолжать N'N работать. Так что мораль всей истории: нужно иметь хорошие бэкапы в другом месте, нежели основные сервера :) И это, между прочим, полностью соответствует стандартной хорошей практике во всём мире. Поскольку кроме ментов бывают, например, пожары, в которых сгорает всё содержимое офиса вместе с бэкапами. И даже банальный залив кипятком может быть достаточен. В буржуинии более принято хранить кассеты в банковской ячейке. При условии, естественно, что банк не в том же здании. У нас - в домашнем сейфе у топ-манагера или другого ответственного лица, *не* связанного с IT-департаментом. Так и предстал перед глазами топ-менеджер, ежедневно таскающий кассеты в офис и обратно да еще и, при необходимости, способный метнуться домой кабанчиком за ленточкой для восстановления файлика, случайно затертого мелким клерком Васей по причине жестокого похмелья ;-) -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Пароль на доступ к папке
Приветствую! Вопрос, скорее всего, туповат, но ... Можно ли какими-либо путями установить пароль на папку в домашнем каталоге пользователя? Таким образом, чтобы некто иной, зашедший на машину пользователя с логином этого пользователя, не смог получить доступ к конкретной папке? можно создать файл, в нем зашифрованную файловую систему и разрешить ее юзеру самому монтировать/размонтировать. ну и монтировать в ту точку, которую ты называешь папкой :) можно еще посмотреть на pam-mount - это если юзер свой пароль никому не передает, а если передал - то, что мешает передать и пароль на папку, есть еще cryptmount попыткой защититься от root может быть encfs (плюс, опционатьно, libpam-encfs) -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Пароль на доступ к папке
Dear Oleg Maloglovets, * Dmitry E. Oboukhov wrote, 12.03.2007 16:14: можно создать файл, в нем зашифрованную файловую систему и разрешить ее юзеру самому монтировать/размонтировать. ну и монтировать в ту точку, которую ты называешь папкой :) Вариант, но боюсь я не могу объяснить весь этот процесс пользовательнице ;( Ну, написать скриптик да привязать его в её любимом проводнике к файлу нужного типа Вам вряд ли кто-то сможет запретить ;-) -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
Зачастую сутки на восстановление -- это выгодней, чем месяц на наработку по-новой. Хоть и не всегда срабатывает, но игра может стоить свеч. Типичное мнение привыкшего надеяться на авось. Если в данном случае игра может стоить свеч значит выбрана неправильная стратегия резервирования, не более того. А можно показать правильную стратегию в таких случаях? Договорились: 1. Сообщите следующие данные а) Объем данных около 1 Тб, грубо говоря. б) Интенсивность обновления Десятки Мб в секунду. менее 100. в) Стоимость трудозатрет на восстановление вручную Вот и первая неизвестная. г) Стоимость простоя системы Нелинейно. д) Время необходимое для восстановления вручную Вот и третья неизвестная. е) Стоимость собственно данных (потери от их утечки) А вот и четвертая неизвестная (ага, именно так: в каждый момент времени данные могут быть не важны или важны. Как повезет) А вот и авось ;-) ж) Опишите системы, где эти данные обрабатываются Черные и жужжат. С дебианом. 2. Если еще интересно, то переходим в личку и начинаем обсуждать стоимость проекта по разработке стратегии резервирования этих данных. Нет. Потому что шутки шутками, а когда ситуация предсказуема то любой дурак распишет риски и получит деньги. А вот когда есть несколько неизвестных, то считать по худшему получим заведомо экономически неэффективный вариант, а по вероятности -- непредсказуемый и неуправляемый. Сбой, размазанный по дням с вероятностью 0,01% в день когда он наступит будет ощутим на все 100%. Ну, насчет каждого дурака, Вы все-таки погорячились, ежели бы так, то и проблем бы ни у кого не возникало. А Ваше описание наводит на мысль, что эта система либо сферический конь в вакууме, либо Вы плохо владеете ситуацией, либо просто не хотите давать себе труд оценить свои данные - это тоже иногда экономически выгодно, скажем, в системах, готовых в любой момент прекратить свое существование ;-), либо таки самый худший вариант - авось Ну да ладно - мне собственно какое до Ваших данных дело? -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
В сообщении от Вторник 06 марта 2007 13:33 Maxim Kudelya написал(a): Сначала LVM, потом на разделы. Т.е: /dev/mapper/var /var /dev/mapper/var-log /var/log ... А как после сбоя ФС восстанавливать данные? Они ведь физически разбросаны неизвестно где? Из бэкапа, вестимо ;-) -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
В сообщении от Вторник 06 марта 2007 13:45 Vlad Solopchenko написал(a): А как после сбоя ФС восстанавливать данные? Они ведь физически разбросаны неизвестно где? Из бэкапа, вестимо ;-) Как часто делаешь бэкап? Раз в секунду? В бэкапе может не хватать нескольких файлов, но важных, что тогда? Тогда не ставлю нестабильные ФС ;-) Хошь верь, хошь нет - но в моей практике на боевых серверах ни разу не было сбоя ФС, ибо там только стабильные. А о стратегии резервного копирования - все зависит от ценности данных. Ежели оправдывается - таки да, строим катастрофоустойчивый комплекс, если же затраты не оправдываются, то и ночной копии значит хватает. А ковыряние в кишках файловых систем в случае потери данных есть суть авантюризм, ибо результат ничем не гарантирован. Ну я еще допускаю такие методы в случае оказания услуг восстановления данных сторонним лохам, которые ценность своих данных оценили только после их потери. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Можно ли установит ь SUID для скрипта?
ну похоршому (IMHO) вместо SUID лучше использовать sudo: NVY Кстати, это это легко сделать прозрачно - проверив в начале NVY скрипта, от какого пользователя он запущен, и сделав exec sudo NVY ..., если не от того. ... и получив ровно тот же самый security hole, что и в случае с suid. Ну да впрочем, ручной запуск sudo тут ничем не лучше. Ну не скажите, батенька. sudo даст запустить скриптико только тому, кому разрешается, а не кому попало, как в случае с SUID bit. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
Vlad Solopchenko wrote: В сообщении от Вторник 06 марта 2007 13:45 Vlad Solopchenko написал(a): А как после сбоя ФС восстанавливать данные? Они ведь физически разбросаны неизвестно где? Из бэкапа, вестимо ;-) Как часто делаешь бэкап? Раз в секунду? В бэкапе может не хватать нескольких файлов, но важных, что тогда? Тогда не ставлю нестабильные ФС ;-) Хошь верь, хошь нет - но в моей практике на боевых серверах ни разу не было сбоя ФС, ибо там только стабильные. Огласите весь список, пожалуйста! (c) Флеймить, пардон, без меня. Я просто сказал, что в моей практике сбой ФС не встречался. Это мой личный субъективный опыт, к тому же предваренный смайликом. А список не оглашу - не люблю религиозных дискуссий - уж не посетуйте ;-) -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
Тогда не ставлю нестабильные ФС ;-) Хошь верь, хошь нет - но в моей практике на боевых серверах ни разу не было сбоя ФС, ибо там только стабильные. Ну это только недостаток практики, и все. Возникло желание инструментом померяться? Не покажу! ;-) А о стратегии резервного копирования - все зависит от ценности данных. Ежели оправдывается - таки да, строим катастрофоустойчивый комплекс, если же затраты не оправдываются, то и ночной копии значит хватает. А ковыряние в кишках файловых систем в случае потери данных есть суть авантюризм, ибо результат ничем не гарантирован. Ну я еще допускаю такие методы в случае оказания услуг восстановления данных сторонним лохам, которые ценность своих данных оценили только после их потери. Никогда не было одномоментного сбоя трех винчестеров на 10 рейде? Или сбоя контроллера? А данных, которые изменяются со скоростью десятков мегабайт в секунду при суммарном объеме в сотни гигабайт? С дисками - нечто подобное было (сбой контроллера), но те данные было достаточно восстановить на утро, что и было сделано. И с подобными объемами работать приходилось. А теперь, внимание: вопрос! НУ И ЧТО? Повторюсь: меры по сохранности данных определяются их стоимостью. Говорю же, это просто недостаток практики. Да, практики потери ценных данных при отсутствии адекватного их стоимости резервирования у меня не достаточно, это точно. Зачастую сутки на восстановление -- это выгодней, чем месяц на наработку по-новой. Хоть и не всегда срабатывает, но игра может стоить свеч. Типичное мнение привыкшего надеяться на авось. Если в данном случае игра может стоить свеч значит выбрана неправильная стратегия резервирования, не более того. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ответ: SoftRAID и debian-installer
Зачастую сутки на восстановление -- это выгодней, чем месяц на наработку по-новой. Хоть и не всегда срабатывает, но игра может стоить свеч. Типичное мнение привыкшего надеяться на авось. Если в данном случае игра может стоить свеч значит выбрана неправильная стратегия резервирования, не более того. А можно показать правильную стратегию в таких случаях? Договорились: 1. Сообщите следующие данные а) Объем данных б) Интенсивность обновления в) Стоимость трудозатрет на восстановление вручную г) Стоимость простоя системы д) Время необходимое для восстановления вручную е) Стоимость собственно данных (потери от их утечки) ж) Опишите системы, где эти данные обрабатываются 2. Если еще интересно, то переходим в личку и начинаем обсуждать стоимость проекта по разработке стратегии резервирования этих данных. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: access rights
Если речь таки идет про ext2 то нужно просто назначть те права, какие необходимо. Куда копать? смотреть с какими параметрами монтируется и какие права внутри самой фс. а где смотреть? вывод mount без параметров? -- /aim [ http://aim.pp.ru/ ] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RAID hardware on Intel
Есть ли ещё какие-то нюансы? в софверный рейд можно завернуть отдельные партиции а не целиком диски Эти сведения несколько устарели: на данный момент есть возможность создавать софтверный партиционируемый рейд - хоть из партиций хоть из целых дисков -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: синхронизация врем ени
Dear Mikhail, Ну и ntpd стоит поставить, видимо, если бегает время в процессе. я по крону запускаю каждый час ntpdate Так делать не советуют. Советуют поднимать именно ntpd. Поправьте меня, если я не прав. Только скажите почему. В принципе - прав, но парочка противопоказаний таки есть: 1. Ресурсы (не много, но все-таки кушает) 2. Лишний сервис на хосте. Может я плохо искал, но мне не удалось убедить его не слушать порт. А значит, приходится защищать, то есть поднимать файрволл, который без него на этой машине был бы ни к чему, например. -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: синхронизация врем ени
Dear Mikolaj, On Thu, 9 Nov 2006 15:16:39 +0300 Mikhail A Antonov wrote: MAA On Thursday 09 November 2006 15:12 Мажурин И.М. wrote: Ну и ntpd стоит поставить, видимо, если бегает время в процессе. я по крону запускаю каждый час ntpdate MAA Так делать не советуют. Советуют поднимать именно ntpd. MAA Поправьте меня, если я не прав. MAA Только скажите почему. В fido7.ru.bsd совсем недавно эту тему обсуждали, долго спорили, нашлись сторонники и того, и того подхода. А вообще странно, за последнюю неделю это третье место мной посещаемое, где подобная тема всплывает. Начинается с ntpdate и заканчивается обсуждением ntpdate по крону vs ntpd. К чему бы это? К недавнему переходу на зимнее время? Кстати, в обоих случая советовали обратить внимание на openntpd. Думаю, здесь бы тоже до него дошли рано или поздно :-) It only implements a subset of the NTP protocol and does not adjust the rate of the clock. И чем это лучше ntpdate по крону... -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по странной локалке
Dear Покотиленко Костик, Ну, например, сервак и роутер не считают, что сеть /24 Или VLANs на свитче В общем полно вариантов. Зачем? Ну, например, ошибка админа. Или необходимость защитить сервак. Или желание сниффить весь траффик. В общем здесь тоже полно вариантов. Думаю, неплохой была бы идея проконсультироваться у местного админа. Всем привет, На днях столкнулся вот с такой ситуацией: Есть сеть скажем 10.0.0.0/24 В сети есть www сервак 10.0.0.2 В сети есть роутер 10.0.0.32 И вот интересный момент: сервак 10.0.0.2 не пингуется пока не пропишешь: route add 10.0.0.2 gw 10.0.0.32 У меня два вопроса: 1. Как это можно было реализовать? 1. Зачем? Может кто сталкивался? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: 802.1q vilan'ы
Dear Vladimir, Работают - проблем нет. В Сарже поставляют скриптики в if-(up|down).d которые вообще все сами делают. Нешто проблемы? у кого реально работают виланы в дебиане? отзовитесь плиз! -- Vladimir, [EMAIL PROTECTED] ICQ: 287979785 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- With best regards, Vladyslav Solopchenko Senior expert of IT security department INTERPIPE UKRAINE Ltd. tel. +380 562 389471 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: martian packets
Dear Lev Arzhanov, cat /proc/sys/net/ipv4/ip_forward iptables -nvL FORWARD ip r sh to m 192.168.3.1 если последняя команда таки покажет тебе внешний интерфейс, то очень странно что ты видишь martians On Wednesday 30 August 2006 07:30, Lev Arzhanov wrote: echo что? /proc/sys/net/куда? надо сказать, чтобы не отвергать, а маршрутизировать пакеты с адресом источника 192.168.x.x и адресом назначения 192.168.y.x, приходящие на интерфейс с нормальным ip? vi /etc/network/options и установить spoofprotect=no или echo 0 /proc/sys/net/ipv4/conf/all/rp_filter Поскольку echo 0 /proc/sys/net/ipv4/conf/all/rp_filter не помогло, описываю подробнее. Есть Debian stable хост, два интерфейса: один 192.168.0.0/24, второй реальный. Провайдером организована vpn до удаленного офиса, там локальная сеть 192.168.3.0/24. Удаленный маршрутизатор по словам провайдера должен быть настроен следующим образом: адрес интерфейса, глядящего в локальную сеть - 192.168.3.х/24, в сеть провайдера - 10.0.0.х/30, маршрут на 192.168.0.0/24 via 10.0.0.(x-1). На моей стороне аналогично, на реальном интерфесе создан алиас 10.0.0.y/30 и прописан маршрут на 192.168.3.0/24 via 10.0.0.(y-1). Поскольку /proc/sys/net/ipv4/conf/all/log_martian... у меня 1, то сам факт прихода пакетов из сети 192.168.3.0 на интерфейс 10.0.0.y я вижу в логах. А вот маршрутизации нет :( Конечно, чтение lartc мне поможет, да только времени на это, увы, нет, связь должна заработать позавчера. -- С уважением, Лев Аржанов -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Добавление 2-й сет евой - ступор системы
Dear Олег Анисимов, SVV пишет: А vlan-овый свитч вам не подойдет? Он не решит и четверти нужных нам задач. Только карты... Hint: на карточке тоже можно поднять VLAN интерфейсы... -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openswan Debian 3.1
Dear Peter Teslenko, Петр, аргументируйте, пожалуйста, вашу позицию. Я не против Вашего утверждения, однако слабо знаком в BSD реализацией IPSECIKE. Поэтому буду очень Вам благодарен, если Вы укажете на её преимущества. [EMAIL PROTECTED] wrote: Всем привет! Вопросик есть маленький. Система Debian 3.1. Openswan IPsec U2.2.0/K2.4.27-3-686. Туннели работают все нормально, не хватает чтобы интерфейс ipsec0 подымался, правила iptables писать проще и легче ну и понятней. Что необходимо сделать, чтобы при работе (запуске) openswan создавал интерфейс ipsec0. Есть идеи, куда копать, что почитать. Спасибо. Вообще не нужно пользовать Openswan. В ядре есть KAME, вот его и нужно пользовать в связке с racoon. aptitude install ipsec-tools racoon Примеры здесь http://www.ipsec-howto.org -- Peter Teslenko -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openswan Debian 3.1
Dear Peter Teslenko, Петр, аргументируйте, пожалуйста, вашу позицию. Я не против Вашего утверждения, однако слабо знаком в BSD реализацией IPSECIKE. Поэтому буду очень Вам благодарен, если Вы укажете на её преимущества. 1. Не стоит плодить лишних сущностей. Скажем, на 2.4 ядре нет нативно ни KAME, ни KLIPS. Так что любая сущность в данном случае лишняя. А 2.6 использовать на VPN шлюзах несколько рановато - ошибки пока сыпятся как из рога изобилия (IMHO конечно). Но даже в случае 2.6 ядра при использовании ядерной реализации IPSec User Space утилиты от Openswan и от KAME являются одинаково лишними. Но в случае с Openswan я все-таки получаю возможность установить KLIPS и разделить траффик на закрытый и открытый. Кроме того, насколько мне позволяет моё поверхностное знание, мне показалось, что Racoon не умеет аутентифицироваться по RSA ключам (не x509 сертификатам) - а это, хоть не большой, но минус. 2. Ядерный KAME проще настраивается. IMHO Ну, тут для кого как - дело привычки ;-) -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re[2]: Openswan Debian 3.1
Dear [EMAIL PROTECTED], Проблема в том, что Вы используете ядерную реализацию IPSEC (K2.4.27-3-686). Если её отключить и наложить патч KLIPS от Openswan то будет Вам счастье ;-) Собственно для этого он и существует для 2.6 ядер В сообщении от 10 Июль 2006 17:14 [EMAIL PROTECTED] написал(a): Система Debian 3.1. Openswan IPsec U2.2.0/K2.4.27-3-686. Туннели работают все нормально, не хватает чтобы интерфейс ipsec0 подымался, правила iptables писать проще и легче ну и понятней. Что необходимо сделать, чтобы при работе (запуске) openswan создавал интерфейс ipsec0. Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не понял. Но я точно понял, что это не тунели а также, что это не совсем сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает там все как-то по другому. Хотя я может быть и гоню. Но дока у них до жути кривая. -- Макс Вот именно, что и не создаются, как был исходящий eth0 так и остался и если натравить tcpdump на него то мы увидим как и шифрованный пакет так и не шифрованный. Вот простой пример необходимо разрешить чтобы уделенные сети обменивались трафиком между собой пишем iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT Вроде все красиво, работает, но то есть небольшая дыра, можно предположить если на внешний интерфейс действительно придет пакет (не из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею сеть. Если не прав поправите. А если есть ipsec0 то будет уже по-другому. iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT вот тогда все красиво. -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Откуда айпишник?
Dear Serhiy, - Не знаешь, что это за UNIX такой? - Да была когда-то такая приблуда под KDE. ;-))) В сообщении от Tuesday 27 June 2006 11:23 вы написали: В общем система у меня Kubuntu 5.10 с обновленным KDE до 3.5.2 и в kdelibs есть зависимость на avahi http://avahi.org/ - который и есть этот zeroconf. Автоматом все это дело завелось после апгрейда kdelibs. Только что глянул - в тестинге и анстейбл то же самое - kdelibs зависят от avahi -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openswan problems on debian
Dear Stanislav, Я не думаю, что запись rightid=%any является корректной. Думаю стоит убрать этот параметр вообще. Здравствуйте! Никто не сталкивался с проблемами в работе OpenSwan 2.4.5 на дистрибутиве Debian 3.1 Sarge? Я пытаюсь организовать туннель между серверов debian (который swat) и мобильным клиентом, смартфоном i-mate. При попытках соединения демон pluto пишет следующие сообщения в лог-файл: Apr 10 11:16:37 swat pluto[8765]: host-host #1: sending encrypted notification INVALID_ID_INFORMATION to EX_GPRS_IP:36450 Apr 10 11:16:38 swat pluto[8765]: host-host #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=RU, ST=Moscow, O=Some Company, CN=Some User, [EMAIL PROTECTED]' Apr 10 11:16:38 swat pluto[8765]: host-host #1: sending encrypted notification INVALID_ID_INFORMATION to EX_GPRS_IP:36450 К слову сказать клиент ходит через NAT и для связи использует GPRS. Вот содержимое ipsec.conf: crlcheckinterval=600 strictcrlpolicy=yes nat_traversal=yes conn rw left=%defaultroute leftsubnet=internal-subnet/24 leftnexthop=%defaultroute leftcert=gatewaycert.pem right=external_grps_gw_ip rightca=C=RU, ST=Moscow, O=*, CN=* rightid=%any rightrsasigkey=%cert auto=start моя цель: создать туннель между клиентом (i-mate) и vpn-сервером. что может быть не так? -- stanislav -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: nat over ipsec
Dear proforg, Думаю надо смотреть в сторону параметра left(right)firewall. Но при этом тихо подозреваю (телепатическим методом ;-), что у тебя сервера в транспортном режиме завязаны - тогда это вряд ли поможет - тут проблема в роутинге и нужно смотреть в сторону мультитабличной маршрутизауии Есть 2 сервера, между ними поднят ipsec (просто setkey, без всяких усложнений), всё работает, траффик криптуется. За одним из сервером - локальная подсетка которая ходит через него в интернет через NAT. Проблема в том что из этой подсети недоступен второй сервер - с которым ipsec. Как это побороть ? Из того что нарыл в инете - вроде бы это проблема 2.6 ветки и должен помочь patch NAT Traversal из netfilter patch-o-matic (вроде бы даже включенный в 2.6.14+), но ни на 2.4 ни с этим патчем у меня ничего не запустилось ... В чём может быть дело ? -- Alexej Bestchiokov EMail/JID: [EMAIL PROTECTED] phone: +7 495 7853149 -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: при загрузке нет m d1 девайса
Dear Dmitry A. Fedorov, /etc/init.d/mdadm-raid стартует? Да. А при чем он? Без него md-разделы (или как их там) не собираются, даже если все модули в ядре. То есть, проверять все равно было бы нечего. Неправда ваша. Это только в том случае, если md собран модулем. Ежели же он в ядре - то не обязательно, можно и ядерным автосканом обойтись. Предлагаю автору трида обратить внимание на linux kernel source path/Documentation/md.txt -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: правильная настрой ка времени
Dear Rinat, как правильно настроить время на тачке, если там нет винды? время Самарское (+час к времени Москвы) чем отличается время UTC и GMT? IMHO UTC и GMT это одно и то же. почему у меня при выдаёт: date;date --utc Tue Jul 12 16:09:27 GMT+4 2005 Tue Jul 12 20:09:27 UTC 2005 хотя в /etc/timezone указано: cat /etc/timezone Etc/GMT+4 А вот что такое Etc не знаю. А чем тебя Europe/Samara не устраивает? -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
amd64
Добрый день. Не подскажет ли уважаемый all, где лежат security updates для sarge AMD64. А то ведь есть анонс на amd64.debian.net, что данная архитектура поддерживается security team, но как-то не показано конкретно где брать. Сам не нашел :-( -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: отправка почты через внешний сервер с smtp auth
Dear Yura D, cron` SMTP AUTH ??? , postfix. MTA, SASL . : , .. - sendmail, - MTA. -- With best regards, Vlad Solopchenko. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: etc/*
Здравствуйте Pavel. 1 что бы другой человек не смог изменить его выставлением прав доступа к файлу 2 (даже при перестановке винта на другой комп)? если при загрузке компа возможен доступ к нему (для ввода пароля) можно просто зашифровать весь /etc/* через loop если этоти файлы в /etc/* не критичны для загрузке то можно перенести их в отдельный зашифрованый раздел и в /etc/ сделать на них ссылки символьные и после перезагрузки надо будет заходить или с консоли или через ssh монтировать шифрованое устройство и запускать службы которые используют эти конфиги надо чтобы службы запускались как обычно (без вмешательства кого либо) Это вам нужно основы криптографии постигать... И тогда станет ясно, что если какая либо информация доступна кому бы то ни было (скажем программе) без вашего контроля (я имею в виду доступ к ключам) то Вы НИКАК не сможете ограничить доступ к этой информации, особенно если есть физический доступ к носителям. А вообще, у меня сложилось впечатление, что Вы настраиваете кому-то машину за денежку и хотите, как бы так помягче сказать..., застраховать себя от того, что в скором времени от ваших услуг откажутся на том простом основании, что зачем платить больше. А способ зарабатывать деньги на принципе сокрытия плодов своего труда от пользователя этих плодов (будь то исходники программ или конфиги), как легко догадаться здесь не приветствуется. -- С уважением, Влад Солопченко.
Re: Как в bash узнать, сколько дней в ме сяце?
Здравствуйте Oleg P. Philon. Как в bash узнать, сколько дней в месяце? вот ещё способ: ... $ cal 4 2004|sed -n 's/^.* //;7p' cal 2 1998|sed -n 's/^.* //;7p' и... -- С уважением, Влад Солопченко.
Re: Domino
Здравствуйте Andrey A. MINEEV. А зачем эта хрень тебе нужна? Даже после дискуссии. Или просто заставляют ставить? Есть же лучше вещи. Например? С разделением доступа к базам, с прозрачным для пользователя шифрованием, ну и конечно сопоставимое по возможностям написания приложений для документооборота. А что интересует-то? Из закрытого иди свободного? Лучше конечно из свободного, но потому и выбрали закрытое, что свободных аналогов не нашли. Очень буду рад, если мне укажут на ошибку. -- С уважением, Влад Солопченко.
Domino
Отзовитесь, пожалуйста, кто эксплуатирует Lotus Domino на Debian. Интересует статистика: - сколько рабочих станций подключено - сколько по времени уже эксплуатируется система - эксплуатируются ли приложения Lotus (кроме почты) и какие - замечены ли отклонения от нормы в работе (связанные с ОС) - версия Lotus - нужно ли было устанавливать/обновлять что-либо для совместимости, выходящее за пределы стандартного Woody (библиотеки и т. п.) Особо интересует опыт установки и эксплуатации версии 6.5, но и более ранние тоже интересны. Все это мне нужно для предметной дискуссии о платформе для развертывания Lotus Domino -- С уважением, Влад Солопченко.
Re: Domino
Здравствуйте Andrey A. MINEEV. Большое спасибо за ответ. А зачем эта хрень тебе нужна? Даже после дискуссии. Или просто заставляют ставить? Есть же лучше вещи. Например? С разделением доступа к базам, с прозрачным для пользователя шифрованием, ну и конечно сопоставимое по возможностям написания приложений для документооборота. Если заставляют согласно стандарта предприятия - лучше на линухе. Под виндами все время валилось - раз в неделю с падением файлов без возможности восстановления. Под линухом валится раз в 3 месяца на IDE, и раз в 5 месяцев на SCSI. Это связано с приложениями или собственно с Лотусом? -- С уважением, Влад Солопченко.
Re: fidogate
Здравствуйте Artem Chuprina. MS С точки срения секурности и совместимости ничего не пострадает MS если sendmail будет сразу дергать суидный бинарник? MS С упомянутой точки зрения sendmail сейчас рассматривать MS не принято. А кого принято? Что-то по остальным MTA security updates выходят всего раза в два реже, при в десятки, если не сотни, раз меньшей распространенности... Возможно благородный дон напомнит мне дату последнего security update для qmail. -- С уважением, Влад Солопченко.
