среда, 11 декабря 2019
16:21

Каков срок давности нарушений правил форума?

И это всё МОЁ

Если оскорбления участников дискуссии произошло вчера, а сообщили о нём сегодня, то скорее всего, срок давности не истёк. Если сообщение было написано десять лет назад, то скорее всего, ворошить прошлое не стоит. В этих двух ситуациях сомневаться не приходится.


Но что если нарушение произошло не вчера? Где находится граница? Неделя? Месяц? Год? Может быть, есть серая зона, где вопрос о давности спорный? Меняются ли сроки, если участник многократно нарушает правила?


В правилах сейчас никаких сроков не указано. Давайте всё же какие-то сроки выберем.









 ,








URL
16:14

Метки конектов на удп

И это всё МОЁ

Есть сервер с 2мя ip адресами. С tcp всё работает хорошо, подключиться могу на любой адрес.


С udp проблема. UDP сервисы начиная от l2tp и даже простейший неткат отвечают с IP адреса который имеет шлюз по умолчанию.
Выбирает сорс адрес из кеша маршрутов наверное.


# ip r get 93.81.17.138
93.81.17.138 via 81.162.23.254 dev enp0s10 src 81.162.17.12 
    cache


в итоге


16:08:51.104799 IP 93-81-17-138.broadband.corbina.ru.2781 > ipХХ.netХХ.ivn.ttksever.ru.1235: UDP, length 4
16:08:51.108825 IP ip-81-хх-хх-12.ppp.tvoynet.ru.1235 > 93-81-17-138.broadband.corbina.ru.2781: UDP, length 4


CONNMARK пробовал. Ставит метку на коннект, но ответ идет с неправильного сорса и восстановить метку с коннекта не получается.









 , , ,








URL
15:50

dovecot шаред папка, unknown user

И это всё МОЁ

Приветствую!

Настроил в Dovecot шаред папки:

namespace {
  type = shared
  separator = /
  prefix = Shared/%%u/
  location = maildir:/var/mail/vhosts/%%d/%%n:INDEX=~/shared/%%u
  subscriptions = no
  list = children
}

Пользователь([email protected]) шарит папку пользователю2. Тот ее видит, подключает и все работает.
Когда пользователь2 открывает письмо из этой папки, то в лог Dovecot валится ошибка:

auth-worker(15928): Info: sql(user1@testmail): unknown user

При этом письмо открывается нормально.

Не могу понять, зачем Dovecot в этот момент лезет в sql узнать про user1? И почему режет домен до хоста?



dovecot-sql.conf, если надо...
driver = mysql
connect = host=192.168.200.115 dbname=maildb user=mailuser password=**********
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email AS user, password FROM virtual_users WHERE email='%u';
iterate_query = SELECT email AS user FROM virtual_users








 ,








URL
15:41

Загрузка ядра через kexec

И это всё МОЁ

Как определить, что ядро загружено через kexec если использовалось --reuse-cmdline ?








 ,








URL
15:21

Зависает Linux

И это всё МОЁ

Привет. Обновляю ядро сам (ставлю ванильное, без всяких патчей). Вчера обновился до 5.4.2, и появилась беда - периодически намертво виснет ось (REISUB помогает) и это не связано с запуском какого-то конкретного софта. Вопрос куда (а главное как) копать? Ну там в итоге или баг репорт написать, или выключить из ядра виновника. Я даже хз с какой стороны подлезть.









 








URL
14:36

Сетевуха включается/выключается сама по себе

И это всё МОЁ

На домашнем сервачке под управлением debian 9 работает minidlna, transmission, ну и пара сайтиков на рельсах для личного использования.
По непонятным причинам сетевуха выключается, затем сама включается и т.д. В логах нашел:


Dec  9 10:16:58 server kernel: [38681.271913] r8169 0000:01:00.0 enp1s0: link down
Dec  9 10:17:00 server kernel: [38683.491904] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:15:53 server kernel: [171813.721318] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:15:55 server kernel: [171815.960916] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:15:56 server kernel: [171816.762148] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:15:58 server kernel: [171819.012221] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:17:44 server kernel: [171925.200097] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:17:47 server kernel: [171927.538255] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:31:58 server kernel: [172778.384806] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:32:00 server kernel: [172780.598695] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:32:01 server kernel: [172781.773747] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:32:03 server kernel: [172784.008100] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:32:12 server kernel: [172792.586515] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:32:14 server kernel: [172794.822961] r8169 0000:01:00.0 enp1s0: link up
Dec 10 23:32:15 server kernel: [172796.260644] r8169 0000:01:00.0 enp1s0: link down
Dec 10 23:32:18 server kernel: [172798.490310] r8169 0000:01:00.0 enp1s0: link up
Dec 11 09:56:49 server kernel: [210268.541493] r8169 0000:01:00.0 enp1s0: link down
Dec 11 09:56:57 server kernel: [210276.970128] r8169 0000:01:00.0 enp1s0: link up
Dec 11 09:56:58 server kernel: [210278.012069] r8169 0000:01:00.0 enp1s0: link down
Dec 11 09:57:00 server kernel: [210280.249588] r8169 0000:01:00.0 enp1s0: link up


Подскажите, такое поведение сетевухи исправить возможно?









 ,








URL
14:24

Мой вариант файервола на iptables для vps-ок

И это всё МОЁ

Привет, лор!


Прочитав работу «Techniques and Countermeasures of TCP-IP OS Fingerprinting on Linux Systems» и мануал Block and Slow Nmap with Firewalls, решил, что нужно разработать шаблон iptables для защиты своих vps-ок. Цель – по возможности скрыть пассивные отпечатки OS, а также фильтрация нежелательных подключений. Работа таблиц тестировалась в том числе и на реликтовом 2.6 ядре.


#!/bin/bash

# 1
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT

# 2
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -N NMAP
iptables -N SSH

# 3
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

# 4
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -s 127.0.0.0/8 -j DROP
iptables -A INPUT -m state --state UNTRACKED,INVALID -j DROP
iptables -t nat -A POSTROUTING -s XX.XX.XX.XX/24 -j SNAT --to-source XX.XX.XX.XX --persistent
iptables -A INPUT -i tun+ ! -s XX.XX.XX.XX/32 -p tcp --dport XXXXX -j REJECT --reject-with tcp-reset
iptables -A INPUT -i tun+ -j ACCEPT

# 5
iptables -A INPUT -p udp --dport XXXXX ! --sport 0 -m state --state NEW ! -f -m u32 --u32 "0>>22&0x3C@5&0xFF=0x38 && 0>>22&0x3C@34=0x3F3" -j ACCEPT

# 6
iptables -A INPUT -m recent --update --seconds 604800 --reap --name nmap -j DROP

# 7
iptables -A INPUT -p tcp -m multiport --dports XXXXX,XXXXX -m tcpmss --mss YYYY -m state --state NEW -j SSH
iptables -A SSH -m recent --update --seconds 604800 --reap --name ssh
iptables -A SSH -m recent --set --name ssh
iptables -A SSH -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
iptables -A SSH -j DROP

# 8
iptables -A INPUT -p icmp --icmp-type 8 -m length --length XXXX -m limit --limit 1/second --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/second --limit-burst 1 -j REJECT --reject-with icmp-host-unreachable

# 9
iptables -A INPUT -p tcp --sport 0 -j NMAP
iptables -A INPUT -p udp --sport 0 -j NMAP
iptables -A INPUT -m state --state NEW -f -j NMAP
iptables -A INPUT -p tcp -m osf --genre NMAP -j NMAP
iptables -A INPUT -p udp -m length --length 20:28 -j NMAP
iptables -A INPUT -p tcp ! --tcp-flags ALL SYN -m state --state NEW -j NMAP
iptables -A INPUT -p tcp --tcp-flags SYN SYN -m state ! --state NEW -j NMAP
iptables -A NMAP -m recent --set --name nmap -j DROP

# 10
iptables -t mangle -A OUTPUT -p tcp -j ECN --ecn-tcp-remove
iptables -t mangle -A OUTPUT -p tcp -j DSCP --set-dscp-class XX
iptables -t mangle -A OUTPUT -p tcp --syn -j TCPMSS --set-mss XXXX
iptables -t mangle -A OUTPUT -p tcp -j TTL --ttl-set 128
iptables -t mangle -A OUTPUT -p udp -j TTL --ttl-set 32
iptables -t mangle -A OUTPUT -p icmp -j TTL --ttl-set 128

# 11
# XXXXX service
iptables -A INPUT -p tcp --dport XXXXX -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport XXXXX -m state --state NEW -j ACCEPT

exit 0




  • #1 Настройка политик по умолчанию. ipv6 обычно отключена, но ip6tables -P INPUT DROP оставляю на случай, если забуду v6 выключить.




  • #2 Очистка таблиц перед настройкой правил.




  • #3 Подтверждённые соединения больше не фильтруются. Без RELATED всё замечательно работает.




  • #4 Внутренний трафик должен приходить только с устройства lo. -j SNAT для vpn. ! -s XX.XX.XX.XX/32 на некоторые порты доступ закрыт в том числе друзьям внутри виртуальной сети. Остальной трафик внутри vpn -i tun+ принимается без фильтраций.




  • #5 Мне нужен стабильный доступ к vpn даже тогда, когда мой ip-шник занесён в список блокировки (во время тестов такое случается частенько). Есть подключение по vpn – доступ к ssh гарантирован. Так как этот порт не прикрыт чёрным списком, ему назначены дополнительные проверки: первый пакет не должен быть сегментирован, например. Модуль u32 – это нечто! Оооочень доступный мануал от Bill Stearn здесь. Меня напрягало, что OpenVPN отвечает на обе доступные пробы nmap -sV. Благо, первый openvpn udp пакет обладает уникальными для каждой конфигурации признаками в зависимости от сгенерированнного Diffie–Hellman ключа. 0>>22&0x3C@5&0xFF=0x38 матчится байт-маркер OpenVPN, 0>>22&0x3C@34=0x3F3 – бред, чтобы не копировали: здесь правило будет у всех разное, можно только его оставить. Ищется просто с помощью tcpdump, wireshark и т. д. В результате vps-ка больше не отвечает ни на какие пробы запущенной на порту службы.




  • #6 Чёрный список со сроком жизни каждой записи в одну неделю.




  • #7 К сожалению, первый пакет tcp соединения (ssh) невозможно фильтровать модулем u32 – пакет обычно пустой, а провайдер режет бит TOS. Поэтому придумал помечать SYN пакеты выставлением --mss (принимает значения до 1460 включительно). Выбрал нестандартное значение и voil



URL
14:10

Выполнение произвольной команды при перемещении ресурса pacemaker

И это всё МОЁ

Добрый день!


Прошу подсказать, как организовать выполнение произвольное команды при перемещении (ручном или после падения ноды кластера) ресурса pacemaker.
Конкретно: есть группа ресурсов из ocf::heartbeat:IPaddr2 и ocf::heartbeat:Route. Нужно при переезде этого ресурса на другую ноду выполнять «/usr/sbin/fwconsole reload»









 








URL
14:06

Загрузка файлов с именем на киррилице

И это всё МОЁ

Добрый днень, подскажите не загружаются на сайт через фтп файлы с именами на киррилице, если меняешь название этого файла на латиницу или цифрами, то все загружется. Сайт находится на Ubuntu server 18.04, написан на yii2, в чем может быть дело?









 ,








URL
13:48

torrent клиент без необходимости обновлять торренты

И это всё МОЁ

обычно как обновляется торрент, например добавилась новая серия, надо лезть искать какой ты качаешь, удалять его, потом опять добавлять. Может есть возможность чтобы клиент автоматом делал в этом случае рефреш? Сейчас установлен qbittorrent









 








URL
12:44

Проблема с адаптером Atheros 9271 не подключается к сети , Kali Linux!

И это всё МОЁ

странное поведение адаптера на виртуалке, в режим монитора переходит через wfifty2, определяется нормально ,но никаких манипуляций я с ним провести не могу, при установке драйверов ошибка , на wn10 адаптер работает исправно, помогите решить проблему!









 








URL
12:43

Plundervolt - новый метод атаки на процессоры Intel, затрагивающий технологию SGX

И это всё МОЁ
Компания Intel выпустила обновление микрокода, устраняющего уязвимость (CVE-2019-14607), позволяющую через манипуляции с механизмом динамического управления напряжением и частотой в CPU инициировать повреждение содержимого ячеек с данными в CPU, в том числе в областях, используемых при вычислениях в изолированных анклавах Intel SGX. Атака получила название Plundervolt и потенциально позволяет локальному пользователю добиться повышения своих привилегий в системе, вызвать отказ в обслуживании и получить доступ к закрытым данным.



URL
12:32

Написание тестов для научного кода

И это всё МОЁ

Есть код для научных вычислений, вычислительные модули на C и обертка на Python.


Хочу покрыть ключевые функции автоматическими тестами, чтобы быть уверенным, что они не сломались в процессе разработки. Время работы одной функции может доходить до нескольких часов, поэтому тестировать нужно с умом.


Посоветуйсте, пожалуйста, хороший (но краткий) материал чтобы вникнуть в методологию тестирования. Мне нужно не сделать абы как, а понять как это делается правильно. Готов потратить 1-2 дня.









 ,








URL
12:25

Очередной скандал с Авастом

И это всё МОЁ

Антивирус Аваст влип в очередной скандал. Собирал пользовательские данные на продажу. (Данные обезличивал.) За это его расширения уже заблокировали на сайте Мозиллы.

https://www.zdnet.com/article/mozilla-removes-avast-and-avg-extensions-from-add-on-portal-over-snooping-claims/

https://gizmodo.com/stop-using-avast-and-avg-plugins-right-now-1840213548


Аваст — чуть ли не единственный коммерческий антивирус, у которого была бесплатная «домашняя» версия под Линукс. Правда, когда я её пробовал лет 10 назад, она была бесполезна — из принципа не ловила адвари и плохо опознавала виндовые блокировщики.









 ,








URL
11:43

ubuntu, grub2 и кастомное ядро: отдельные пункты меню

И это всё МОЁ

Я хочу собрать своё ядро и хочу чтобы при его установке груб сгенерировал не стандартные пункты меню, а дополнительные (для отладки ядра).


Не могу найти, как это сделать. Это вообще предусматривалось его монструозными скриптами?


Во-вторых, хочется понять, есть ли штатный способ не указывать initrd, потому что я вкомпилил то, что мне нужно, в ядро.









 , ,








URL
10:53

Вопрос новичка по монтированию

И это всё МОЁ

Прошу совета в решении такой задачи:


Имеется:
$ df -h
Filesystem Size Used Avail Use% Mounted on
devtmpfs 32G 0 32G 0% /dev
tmpfs 32G 0 32G 0% /dev/shm
tmpfs 32G 250M 32G 1% /run
tmpfs 32G 0 32G 0% /sys/fs/cgroup
/dev/sda2 30G 23G 7.4G 76% /
tmpfs 32G 69M 32G 1% /tmp
/dev/sda1 497M 188M 310M 38% /boot
/dev/sdb1 126G 61M 120G 1% /mnt/resource
tmpfs 6.3G 0 6.3G 0% /run/user/478
tmpfs 6.3G 0 6.3G 0% /run/user/1522036324


Регулярно заканчивается свободное место в
/dev/sda2 30G 23G 7.4G 76% /
т.к. пользователи пишут в /home, а иногда даже невозможность подключиться к нодам, где таким образом закончилось свободное место.


Есть подключенный дополнительный hdd /dev/sdb1 126G


Как грамотно объединить емкость /dev/sdb1 126G с /dev/sda2, чтобы использовать его емкость дополнительно с /dev/sda2 ?


Прошу любые советы и решения, в т.ч. с использованием утилит типа mhddfs…
Данные при этом не должны быть удалены или повреждены в /dev/sda2
OS - ноды с CentOS и Ubuntu


Спасибо.









 








URL
10:33

Remote commands are not enabled

И это всё МОЁ

Здравствуйте, не подскажите решение проблемы. Имеется zabbix server и Zabbix proxy, в агенте прописаны строки


EnableRemoteCommands=1
LogRemoteCommands=1
Если навести на карте на узел и выбрать какой либо из скриптов - Ping или Traceroute то появляется ошибка - «Remote commands are not enabled».









 








URL
10:32

Максимально быстрое сравнение чисел

И это всё МОЁ

Тяжело сформулировать, но я попробую.

1. Есть поток входных сигналов, чисел.

2. Числа с этого потока должны сравниваться с неким заданным значением (пускай одним).

3. Поток дискретный, пускай частота дискретизации 2 мс (каждые 2 мс на вход поступает новое значение).

4. Как максимально быстро произвести сравнение, как лучше всего сортировать числа на входе. Количество операций, выполняемых за такт известно, как и частота процессора.

5. Язык на котором это можно реализовать значения не имеет, если на каком-то быстрее, чем на других, то это тоже учитывать надо.

Где почитать на эту тему так, что б ответ был готов к концу дня. Или, может, вопрос банальный и ответ есть готовый.








 , ,








URL
10:22

Новый софт на старой Fedora

И это всё МОЁ

Привет всем!


Есть ряд серваков со старыми Федорами (14, 19, 20) и очень нежелательно их трогать и апгрейдить, но в то же время программистам хочется поставить туда новые приложения, которые требуют MySQL 8, PHP 7, Java 8, Node.js и тому подобное.


Есть ли какая-то возможность для Федоры поставить новый софт или это только в RHEL, CentOS есть некие Software Collections? Пробовал гуглить, но пока ничего не нагуглилось, поэтому пришел к вам. Ещё пробовал компилировать сам, но современные версии всяких языков и серверов, разумеется, требуют современных версий библиотек и современных версий glib и прочих gcc.


Неужели остается только один выход - апгрейдить Федору до свежих версий?









 








URL
10:17

Выбор дистрибутива с минимальным набором предустановленного софта

И это всё МОЁ

Саб, дв… ой… т.е. привет, сообщество!
Я человек, который, видимо, не умеет гуглить. И я уже месяц не могу найти дистрибутив для себя. Возможно, это от того, что после использования openSUSE, у меня поехала крыша.
Сначала я искал дистрибутивы с похожим типом установщика, как в сузе. Но после почти 4-х недель поиска, сдался. Видимо, аналогов YaST’а просто нет(у). Но это уже не такая проблема.
Мне подойдёт любой дистрибутив с минимумом предустановленного софта. Даже DE любое могу использовать, кроме Gnome 3 и MATE.
ВАЖНО(!), чтобы установщик был графический (да-да, неосилятор, мне плевать уже, кем вы меня считаете).
Система нужна чисто для моих примитивных потребностей (браузер+telegram+discord).
И не надо мне говорить про Debian, Anarchy, Manjaro-Architect (все вопросы по данным дистрибутивам будут игнорироваться).
Надеюсь на вашу помощь. Заранее спасибо.









 , ,








URL