Re: Zamknięcie dostępu do shella.
Witam, > Chcê zamkn±æ konkretnym u¿ytkownikom dostêp do shella. Próbowa³em z Moze to glupota co napisze ale: czy nie chodzi o instrukcje AllowUsers w /etc/ssh/sshd_config ? Moze ja czegos nie rozumiem, ale problem jest chyba trywialny. -- Pozdrawiam, Marcin.
Re: Jak? Maskarada najpro Åciej?? :(
On Thu, 26 Dec 2002, [EMAIL PROTECTED] wrote: > Witam Miszczuff Fielkich!!!Pomozcie Lamerowi . > Jezeli pojawilo sie po raz n-ty na liscie to przepraszam.problemy z > maillista. > > > Mam problem z uruchomieniem wrecz podrecznikowego przykladu maskarady (SNAT > na iptables lub cokolwiek dzialajacego) i jeszcze troche a sie potne. > > > Normalnie na RedHacie jakos to wychodzil w bolach, a tutaj w ogole. Zaczalem > rozwazac problemy nad ktorymi si ewczesniej nie zastanawialem, > naczytalem sie z 200 HOW-TO ; man`ow ; cale archiwum listy i mnie krew > zalewa lekko bo jestem skolowany calkiem. NajproÅciej? apt-get install ipmasq JA
Re: Jak? Maskarada najproÅciej?? :(
| # Zezwalamy na by serwer przepuszczal pakiety ktore pochodza z naszej sieci | # lokalnej lub sa dla niej przeznaczone | /sbin/iptables -t filter -A FORWARD -s 0/0 -d 0/0 -j ACCEPT | | # Teraz nakazujemy by wszystkie pakiety pochodzace z lanu byly maskowane oczywiÅcie że nie. iptables -P FORWARD DROP iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 212.244.83.49 Podana przez Ciebie reguÅa blokowania jest bez sensu... -- Pozdrawiam Warden(at)debian.black.pl
Re: Jak? Maskarada najproÅciej?? :(
On Thu, 26 Dec 2002 22:56:47 +0100
<[EMAIL PROTECTED]> napisaÅ(a):
> # Zezwalamy na by serwer przepuszczal pakiety ktore pochodza z naszej sieci
> # lokalnej lub sa dla niej przeznaczone
> /sbin/iptables -t filter -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
Czy jestes tego pewien? 0/0 to any czyli akceptuje wszystkie pakiety (negujac
poprzedni wpis).
Pozdrawiam i zycze Wesolych Swiat!
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Re: Jak? Maskarada najproÅciej?? :(
# Uruchomienie przekazywania pakietow IP echo "1" > /proc/sys/net/ipv4/ip_forward # Wyczyscmy tablice iptables odpowiedzialne za nat i za filtrowanie pakietów /sbin/iptables -F -t nat /sbin/iptables -X -t nat /sbin/iptables -F -t filter /sbin/iptables -X -t filter # Domyslnie odrzucamy i nie zezwalany na forwardowanie pakietow /sbin/iptables -t filter -P FORWARD DROP # Zezwalamy na by serwer przepuszczal pakiety ktore pochodza z naszej sieci # lokalnej lub sa dla niej przeznaczone /sbin/iptables -t filter -A FORWARD -s 0/0 -d 0/0 -j ACCEPT # Teraz nakazujemy by wszystkie pakiety pochodzace z lanu byly maskowane /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE pozdrawiam Pawelek L. Gadu-Gadu: 39211 ICQ: 101607389
Re: bind9
> Mam taki dziwny problem z bind 9 wszystko dziala i jest uruchomione ale nie
> ma portu 53 na serwerze.
> Przy nmap serwera nie istnieje port 53.
Ja u siebie w named.conf na samej gorze wpisałem:
acl "swiat" { 0.0.0.0/0; };
a przy definicji strefy:
allow-query {"swiat";};
i wtedy port 53 nagle stal sie dostepny ze swiata zewnetznego
pozdrawiam
marg
Jak? Maskarada najpro¶ciej?? :(
Witam Miszczuff Fielkich!!!Pomozcie Lamerowi . Jezeli pojawilo sie po raz n-ty na liscie to przepraszam.problemy z maillista. Mam problem z uruchomieniem wrecz podrecznikowego przykladu maskarady (SNAT na iptables lub cokolwiek dzialajacego) i jeszcze troche a sie potne. Normalnie na RedHacie jakos to wychodzil w bolach, a tutaj w ogole. Zaczalem rozwazac problemy nad ktorymi si ewczesniej nie zastanawialem, naczytalem sie z 200 HOW-TO ; man`ow ; cale archiwum listy i mnie krew zalewa lekko bo jestem skolowany calkiem. >SYSTEM Debian Woody 3.0 bez zadnych update`ow, jajko 2.4 ( z pÅyty pierwszej normalnie wszystko). Serwer z dwoma kartami: eth0 - 212.244.83.49 stale lacze od ISP ; eth1 - podsiec( z jednym kompem 192.168.1.2, co nie ;-) ustalona przez dhcpd (dziaÅa srednio/wcale) ,przypisuje recznie i jest OK Opis sytuacji: Po maksymalnych kombinacjach udaje mi sie : -skutecznie pingowac z lokalnego(192.168.1.2) na serwer (212.244.83.49) i jego bramke - dalej nie; DNS`a już ping nie odpowiada - w drugÄ strone - do podsieci bez problemow Prosze wrecz o konkretne polecenia co i gdzie; probowaÅem , kombinowalem - i nic :( Pytanie: Czy oprócz: echo "1" /proc/sys/net/ipv4/ip_forward nie powinno byc jeszcze w /etc/network/options ip_forward =yes??? Dodaje konfiguracje: glech:~# ifconfig eth0 Link encap:Ethernet HWaddr 00:A0:C9:EA:16:D4 inet addr:212.244.83.49 Bcast:212.244.83.63 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:22 dropped:0 overruns:0 carrier:44 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:2766 (2.7 KiB) Interrupt:11 Base address:0x300 eth1 Link encap:Ethernet HWaddr 00:AA:00:6A:00:23 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:50 errors:0 dropped:0 overruns:0 frame:0 TX packets:145 errors:0 dropped:0 overruns:0 carrier:1 collisions:0 txqueuelen:100 RX bytes:4595 (4.4 KiB) TX bytes:12665 (12.3 KiB) Interrupt:9 Base address:0x320 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:12 errors:0 dropped:0 overruns:0 frame:0 TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:952 (952.0 b) TX bytes:952 (952.0 b) glech:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 212.244.83.32 0.0.0.0 255.255.255.224 U 0 00 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth1 0.0.0.0212.244.83.33 0.0.0.0 UG 0 00 eth0 ---Przy poniższej konfiguracji tablicy dns nie odpowiada :( glech:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 212.244.83.32 0.0.0.0 255.255.255.224 U 0 00 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth1 0.0.0.0192.168.1.1 0.0.0.0 UG0 00 eth1 0.0.0.0212.244.83.33 0.0.0.0 UG0 00 eth0 Prosze o rzeczowe steranie za jakies oczywiste bledy i przyklady rozwiazania dzailajacego z wyjsciem na swiat. Ryszard -- http://www.nazwa.pl
Re: bash
On Thu, Dec 26, 2002 at 09:31:48PM +0100, Adrian Siemieniak wrote: > On Thu, 26 Dec 2002 22:29:28 +0100 > My hope the destroyer <[EMAIL PROTECTED]> napisał(a): > > > Jak z takiego pliku wylowic '2' to kolo users. Chcem pozniej dac w scrypcie > > ze > > np. jest zalogowanych 2 uzytkownikow. Sed, wc, grep, egrep. Nie wiem. > Najskuteczniejsze bedzie tutaj "man", a pomagajac - to jest chyba stala > dlugosc > wiec wystarczy "cut". > Z tą stałą długością to bym nie przesadzał: 21:37:38 up 9:40, 8 users, load average: 1.75, 1.85, 1.75 ale 21:36:47 up 50 days, 9:00, 7 users, load average: 1.25, 1.55, 1.25 są z pewnością dużo lepsze sposoby, ale można dość prosto tak: who | wc -l > Pozdrawiam i zycze Wesolych Swiat! czy ja wiem... chyba juz po ;> K. -- | /)/) | Grzegorz Kusnierz | GG: 1756511 |( xx\ | | |/'-._) | [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ \__/#/
Re: bash
On Thu, 26 Dec 2002 22:29:28 +0100
My hope the destroyer <[EMAIL PROTECTED]> napisał(a):
> Jak z takiego pliku wylowic '2' to kolo users. Chcem pozniej dac w scrypcie ze
> np. jest zalogowanych 2 uzytkownikow. Sed, wc, grep, egrep. Nie wiem.
Najskuteczniejsze bedzie tutaj "man", a pomagajac - to jest chyba stala dlugosc
wiec wystarczy "cut".
Pozdrawiam i zycze Wesolych Swiat!
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
bash
Czesc. Jak z takiego pliku wylowic '2' to kolo users. Chcem pozniej dac w scrypcie ze np. jest zalogowanych 2 uzytkownikow. Sed, wc, grep, egrep. Nie wiem. 22:19:38 up 1:59, 2 users, load average: 0.00, 0.00, 0.00 ***r-e-k-l-a-m-a** Masz dosc placenia prowizji bankowi ? mBank - zaloz konto http://epieniadze.onet.pl/mbank
Re: bind9
Witam Basiu. W odpowiedzi na host -a www.pawelek.one.pl dostaje: Trying "www.pawelek.one.pl" ;; connection timed out; no servers could be reached Ten host wskazuje akurta na CNAME ale inne hosty tez nie odpowiadaja :( pozdrawiam Pawelek L. Gadu-Gadu: 39211 ICQ: 101607389
Re: Pytanko o priorytety w systemie
Nastał dzień: Mon, 23 Dec 2002 23:24:54 +0100 gdy Adrian Siemieniak <[EMAIL PROTECTED]> napisał/ła to: > > Mam pytanko odnosnie priorytetow (wlasnie sobie skopalem plytke bo > system zaczal czyscic swap i mkisofs nie dostarczyl danych na czas > ;)). > > a) Czy mozna przy starcie ustawic priorytet jedynie przez nice --20 > task (czy jeszcze jakos inaczej) > b) czy mozna jakos userowi nadac uprawnienia do uzywania nice --20 bez > dawania go +s lub sudo > > chodzi tutaj bardziej o logistyczna czesc i jakies ciekawe pomysly ;) > - a ja ide googlowac - Hejka! > Zamiast priorytetów polecam łatki na jądro w stylu preemptible (wywłaszczalne) albo low latency. Jeśli chcesz mieć to wszystko razem i bezproblemowo polecam łatkę ck: http://members.optusnet.com.au/ckolivas/kernel/ Bardzo dobra na desktop - mogę skanować moim Plustekiem P12, słuchając mp3 i bezproblemowo włączając np. mozillę. Mam 196RAM. Polecam! cayco
Re: ftp+550
On Thu, 26 Dec 2002 12:08:16 +0100 Grzegorz Kusnierz <[EMAIL PROTECTED]> wrote: To może pokaż jeszcze ten swój /etc/security/limits.conf :) oto moj limits.conf: ftp hardnproc 10 /bin/ls mam na prawach -rwx, user: ftp, grupa: ftp, wlasciciel: ftp bralem na root i na nobody to samo dziekuje za zainsteresowanie -- Piotr Piwko <[EMAIL PROTECTED]>
Re: Zamknięcie dostępu do shella.
> /bin/false, /dev/null albo z własnym skryptem jako shell w /etc/passwd i i bardzo dobrze - ja zwykle uzywam passwd jako shella > wszystko ok, ale nie działa też poczta, ftp (nie działa znaczy ftp > wywala 'invalid shell', a openwebmail wywala 'złe hasło'). Co mam zrobić cokolwiek wpiszesz do passwd jako shell musi byc tez zdefiniowane w /etc/shells - zajrzyj tam i dopisz ten swoj shell. > Wszyscy Linuksiarze, z którymi rozmawiałem twierdzą na bank, że muszą > działać powyższe metody. I maja racje :) -- Szymon "Morandir" Anders http://angrenost.org
Re: Zamknięcie dostępu do shella.
On Thu, 26 Dec 2002 14:10:50 +0100
Mikołaj Menke <[EMAIL PROTECTED]> napisał(a):
> Chcę zamknąć konkretnym użytkownikom dostęp do shella. Próbowałem z
> /bin/false, /dev/null albo z własnym skryptem jako shell w /etc/passwd i
> wszystko ok, ale nie działa też poczta, ftp (nie działa znaczy ftp
> wywala 'invalid shell', a openwebmail wywala 'złe hasło'). Co mam zrobić
> żeby zablokować tylko shella? Jeśli to coś pomoże to mam PAM i lshells.
> Wszyscy Linuksiarze, z którymi rozmawiałem twierdzą na bank, że muszą
> działać powyższe metody.
dodac to co wpisujesz w passwd do /etc/shells
Pozdrawiam i zycze Wesolych Swiat!
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Re: Zamknięcie dostępu do shella.
W pliku /etc/shell dodac /bin/true Wtedy dajesz mu powloke w /etc/passwd /bin/true Wtedy gosc ma tylko mozliwosc logowania na ftp. Sama poczta w passwd dajesz mu powloke /bin/false pozdrawiam Pawelek L. Gadu-Gadu: 39211 ICQ: 101607389
Zamknięcie dostępu do shella.
Chcę zamknąć konkretnym użytkownikom dostęp do shella. Próbowałem z /bin/false, /dev/null albo z własnym skryptem jako shell w /etc/passwd i wszystko ok, ale nie działa też poczta, ftp (nie działa znaczy ftp wywala 'invalid shell', a openwebmail wywala 'złe hasło'). Co mam zrobić żeby zablokować tylko shella? Jeśli to coś pomoże to mam PAM i lshells. Wszyscy Linuksiarze, z którymi rozmawiałem twierdzą na bank, że muszą działać powyższe metody. -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 Linux Registered User # 285966 "Linux is a good wigwam - no windows, no gates, and apache inside!"
bind9
Witam Mam taki dziwny problem z bind 9 wszystko dziala i jest uruchomione ale nie ma portu 53 na serwerze. Przy nmap serwera nie istnieje port 53. 21/tcp open ftp22/tcp open ssh25/tcp open smtp80/tcp open http... Wszystko wskazuje ze bind jest uruchomiony strefy dobre. bind 12064 0.0 2.0 10480 4472 ? S 12:12 0:00 /usr/sbin/named -u bindbind 2764 0.0 2.0 10480 4472 ? S 12:12 0:00 /usr/sbin/named -u bindbind 7028 0.0 2.0 10480 4472 ? S 12:12 0:00 /usr/sbin/named -u bindbind 11918 0.0 2.0 10480 4472 ? S 12:12 0:00 /usr/sbin/named -u bindbind 23475 0.0 2.0 10480 4472 ? S 12:12 0:00 /usr/sbin/named -u bind Mam jajko 2.4.20 + grsec... Jak zmienic zeby bind uruchamial sie nie /etc/rc... tylko z inetd pozdrawiamPawelek L.Gadu-Gadu: 39211ICQ: 101607389
Re: ftp+550
On Thu, Dec 26, 2002 at 12:39:44PM +0100, Piotr Piwko wrote: > Dzien Dobry! > mam skonfigurowany proftpd, i wyczytalem ze trzeba ustawic > /etc/security/limits.conf, wiec usatwilem > teraz jak sie loguje do ftp to wywala mi: 550 /bin/ls: Resource temporarily > unvailable. > wiecie moze o co chodzi, bo ju nerwicy dostaje > Pozdrawiam > -- To może pokaż jeszcze ten swój /etc/security/limits.conf :) pzdr K -- | /)/) | Grzegorz Kusnierz | GG: 1756511 |( xx\ | | |/'-._) | [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ \__/#/
Re: ftp+550
> mam skonfigurowany proftpd, i wyczytalem ze trzeba ustawic /etc/security/limits.conf, wiec usatwilem > teraz jak sie loguje do ftp to wywala mi: 550 /bin/ls: Resource temporarily unvailable. > wiecie moze o co chodzi, bo ju nerwicy dostaje Nie ma dostepu do /bin/ls wiec nie moze wyswietlic struktury katalogow i plikow. To jest moja teoria :). Daj dostep do "ls"'a i powinno byc ok. -- Pozdr., [EMAIL PROTECTED]
ftp+550
Dzien Dobry! mam skonfigurowany proftpd, i wyczytalem ze trzeba ustawic /etc/security/limits.conf, wiec usatwilem teraz jak sie loguje do ftp to wywala mi: 550 /bin/ls: Resource temporarily unvailable. wiecie moze o co chodzi, bo ju nerwicy dostaje Pozdrawiam -- Piotr Piwko <[EMAIL PROTECTED]>
ftp+blad
Dzien Dobry! mam skonfigurowany proftpd, i wyczytalem ze trzeba ustawic /etc/security/limits.conf, wiec usatwilem teraz jak sie loguje do ftp to wywala mi: 550 /bin/ls: Resource temporarily unvailable. wiecie moze o co chodzi, bo ju nerwicy dostaje Pozdrawiam -- Piotr Piwko <[EMAIL PROTECTED]>
