LINUX.ORG.RU

Сообщения Arksunix

 

Ipsec с аутентификацией по ключам

Форум — Admin

Уже несколько дней мучаюсь, видимо пора признать что я слишком туп для того чтобы понять принцип работы Ipsec, и StrongSwan в частности. Можно было бы попробовать восстановить работу WireGuard (его блокнули), но я не ищу лёгких путей, и потому пошёл заменять его ipsec-ом. Соответственно задача: есть vps с убунтой, на нём strongswan, к нему будут подключаться кленты (они за натом) и выходить через него в интернет; вся аутентификация по ключам; внутренние ip адреса назначать из пула 10.0.0.0/24, серверу назначить внутренний ip 10.0.0.1. Из клиентов ПК на арче и андроид смартфон. В последнем я пока не понял как по ключам аутентифицироваться, но хотя бы основную машину к сети подрубить хотелось бы.

Текущая конфигурация сервера:

#/etc/ipsec.conf
config setup
	charondebug = "dmn 1, mgr 1, ike 1, chd 0, job 0, cfg 1, knl 1, net 1, asn 0, enc 0, lib 0, esp 1, tls 0, tnc 0, imc 0, imv 0, pts 0"
conn main
	auto = add
	dpdaction = hold
	dpddelay = 10s
	esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!
	ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
	keyexchange = ikev2
	keyingtries = 10
	reauth = yes
	rekey = yes
	type = tunnel
	left = %any
	right = <ip сервера>
	leftauth = pubkey
	rightauth = pubkey
	lefttdns = 1.1.1.1,1.0.0.1
	leftid = arch
	rightid = <hostname>
	leftsigkey = arch.pubkey
	leftsourceip = 10.0.0.0/24
#/etc/ipsec.secrets
<hostname> : RSA <hostname>.privkey

Конфигурация клиента:

#/etc/ipsec.conf
config setup
	charondebug = "dmn 1, mgr 1, ike 1, chd 0, job 0, cfg 1, knl 1, net 1, asn 0, enc 0, lib 0, esp 1, tls 0, tnc 0, imc 0, imv 0, pts 0"
conn main
	auto = route
	dpdaction = restart
	dpddelay = 10s
	esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!
	ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
	keyexchange = ikev2
	keyingtries = 10
	reauth = yes
	rekey = yes
	type = tunnel
	right = <ip сервера>
	left = %any
	leftauth = pubkey
	rightauth = pubkey
	leftdns = 1.1.1.1,1.0.0.1
	leftid = arch
	rightid = <hostname сервера>
	rightsigkey = <hostname сервера>.pubkey
	leftsourceip = %config
#/etc/ipsec.secrets
arch : RSA arch.privkey

Я пытался добавлять что либо (например left|rightsubnet), но пока убрал т.к. не работает даже это. Просто не проходит SA.

Лог с сервера:

#/var/log/charon.log
00[DMN] Starting IKE charon daemon (strongSwan 5.8.2, Linux 5.4.0-81-generic, x86_64)
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/<hostname>.privkey'
00[LIB] loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg attr kernel-netlink resolve socket-default connmark stroke vici updown eap-mschapv2 xauth-generic counters
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
05[CFG] received stroke: add connection 'main'
05[CFG] adding virtual IP address pool 10.0.0.0/24
05[CFG]   loaded RSA public key for "arch" from 'arch.pubkey'
05[CFG] added configuration 'main'
09[NET] received packet: from <внешний ip клиента>[5947] to <ip сервера>[500] (564 bytes)
09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
09[IKE] <внешний ip клиента> is initiating an IKE_SA
09[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
09[IKE] remote host is behind NAT
09[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
09[NET] sending packet: from <ip сервера>[500] to <внешний ip клиента>[5947] (472 bytes)
12[JOB] deleting half open IKE_SA with <внешний ip клиента> after timeout
00[DMN] signal of type SIGINT received. Shutting down

Лог с клиента:

#/var/log/charon.log
00[DMN] Starting IKE charon daemon (strongSwan 5.9.3, Linux 5.14.14-arch1-1, x86_64)
00[CFG] PKCS11 module '<name>' lacks library path
00[CFG] attr-sql plugin: database URI not set
00[NET] using forecast interface enp6s0
00[CFG] joining forecast multicast groups: 224.0.0.1,224.0.0.22,224.0.0.251,224.0.0.252,239.255.255.250
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/arch.privkey'
00[CFG] sql plugin: database URI not set
00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
00[CFG] loaded 0 RADIUS server configurations
00[CFG] HA config misses local/remote address
00[CFG] no script for ext-auth script defined, disabled
00[LIB] loaded plugins: charon ldap pkcs11 aesni aes des rc2 sha2 sha3 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ntru drbg newhope bliss curl mysql sqlite attr kernel-netlink resolve socket-default bypass-lan connmark forecast farp stroke vici updown eap-identity eap-sim eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp radattr unity counters
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
04[IKE] installed bypass policy for 192.168.0.0/24
04[IKE] installed bypass policy for 192.168.0.1/32
04[IKE] installed bypass policy for ::1/128
04[IKE] installed bypass policy for fe80::/64
09[CFG] received stroke: add connection 'main'
09[CFG]   loaded RSA public key for "<hostname сервера>" from '<hostname сервера>.pubkey'
09[CFG] added configuration 'main'
11[CFG] received stroke: route 'main'
06[KNL] creating acquire job for policy 192.168.0.101/32[tcp/35630] === <ip сервера>/32[tcp/33543] with reqid {1}
06[IKE] initiating IKE_SA main[1] to <ip сервера>
06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
06[NET] sending packet: from 192.168.0.101[500] to <ip сервера>[500] (564 bytes)
08[NET] received packet: from <ip сервера>[500] to 192.168.0.101[500] (472 bytes)
08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
08[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
08[IKE] local host is behind NAT, sending keep alives
08[IKE] no private key found for 'arch'
00[DMN] SIGINT received, shutting down
00[IKE] uninstalling bypass policy for 192.168.0.0/24
00[IKE] uninstalling bypass policy for 192.168.0.1/32
00[IKE] uninstalling bypass policy for ::1/128
00[IKE] uninstalling bypass policy for fe80::/64

Вот это no private key found for 'arch' в логе клиента вообще мистическая надпись. Иногда её там нет, хотя я ничего не делал (SA при этом всё равно не проходит). Любые изменения /etc/ipsec.secrets не помогают, пробелы до и после двоеточия, взятие ключа в кавычки - нет ключа и всё тут, хотя ключ лежит в /etc/ipsec.d/private/arch.privkey и даже в начале лога видно что он его загрузил. Сам ключ менял, не помогло.

Запускаю с помощью сервиса strongswan-starter, состояние смотрю с помщью ipsec statusall. Хотелось бы понять, в чём проблема (кроме меня) и как назначить серверу внутренний ip 10.0.0.1.

 ,

Arksunix
()

Сломанный primary-буфер в Tor Browser Alpha на Wayland

Форум — Desktop

Неожиданно перестла работать вставка средней кнопкой мыши (выделение в буфер записывается) в Tor Browser Alpha (поддержка Wayland есть только в альфе). Система Arch + sway, в остальных нативных для вяленого приложениях работает, как в QT, так и в GTK, а вот Firefox ESR 78.10.0 не работает (запускаю с MOZ_ENABLE_WAYLAND=1). Если запустить через Xwayland, проблема исчезает (но появляются другие, потому и сижу на альфе). Появилась она не после обновления самого браузера: я скачал прошлую альфу (10.5a13) - не работает, а так же распаковал лежавшую в загрузках 10.5a8, в которой буфер точно работал - но теперь перестал.

 , , ,

Arksunix
()

«Незащищённое соединение» на всех сайтах в Tor Browser

Форум — Security

Выглядит это так. Как видите, https на месте, но соединение почему-то незашифрованно. В «Подробнее» нет никакого сертификата и также написано, что соединение не зашифровано, но в адресной строке почему-то написано https. Если скажите как, могу проверить, есть там всё таки https или нет. Что ещё странно: перестали работать дополнения. При том проблема появилась прямо во время работы браузера, когда я её заметил, часть вкладок были нормальными, там отображался сертификат и работали дополнения, а в новых всё как я описал выше. Чуть не забыл: на .onion сайтах проблема с сертификатами не проявилась, всё секурно, никаких «незащищённых соединений» нет, НО дополнения всё равно не работают. Проблема явно не в дополнениях, т.к. я и без них запускал и просто чистый скачанный браузер.

Версия тор браузера 10.0.10, система arch, пакет ставил из аура. Что проверял: открывал сайты в крайней лисе, всё норм; скачал не из аура, а с сайта, как русскую, так и английскую версии — в обоих проблема повторилась + проверил pgp подпись архива — всё чисто; скачал и открыл эту же версию на другом устройстве — всё норм, проблемы нет; скачал прошлую версию (но уже на основную машину) — проблема есть, да и раз она появилась внезапно, а не сразу после обновы, то это было очевидно; разумеется пробовал перезагружаться, закрывать и открывать браузер — тщетно. Скорее всего банальная переустановка с чисткой кешей и т.п. поможет, но просто хотелось бы понять, откуда вообще взялась проблема.

 

Arksunix
()

Как подружить postfix и dovecot

Форум — General

Сервер postfix + dovecot + mariadb

Есть maildir /var/mail/example.com/arksunix/ Я хочу чтобы там хранились письма. Попрбовал отправить письмо с другого сервера, postfix положил его в /var/mail/example.com/arksunix/new. Клиент, подключеный по imap его не получил (хотя вернее сказать dovecot его не отдал). Как я понял, dovecot должен был увидеть письмо в new и перенести его в cur, но этого не произошло. В логах пусто. Отправка работает отлично, с ней проблем нет. Почему клиент imap а не локальный - не смог найти консольный клиент, который смог бы прочитать письма из /var/mail/example.com/arksunix/. Даже если удаётся указать, что их надо искать именно там, они выдают ошибку, что это каталог (в том же .muttrc я указал, что тип Maildir - бестолку). Но это уже вторичная проблема.

Конфиг dovecot-а:

auth_mechanisms = plain login
mail_location = maildir:/var/mail/%d/%n
mail_privileged_group = mail
namespace inbox {
  inbox = yes
  location =
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
  prefix =
}
passdb {
  args = /etc/dovecot/dovecot-sql.conf.ext
  driver = sql
}
protocols = imap lmtp
service auth-worker {
  user = vmail
}
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0666
    user = postfix
  }
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }
  user = dovecot
}
service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    port = 47659
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    group = postfix
    mode = 0600
    user = postfix
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    port = 0
  }
}
ssl = required
ssl_cert = </etc/ssl/example.com.crt
ssl_client_ca_dir = /etc/ssl/certs
ssl_dh = # hidden, use -P to show it
ssl_key = # hidden, use -P to show it
userdb {
  args = uid=vmail gid=vmail home=/var/mail/%d/%n
  driver = static
}

main.cf:

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

append_dot_mydomain = no

readme_directory = /usr/share/doc/postfix

compatibility_level = 2

smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/example.crt
smtpd_tls_key_file = /etc/ssl/private/example.com.key
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = medium
smtp_tls_mandatory_ciphers = medium
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
smtpd_tls_loglevel=1
smtpd_tls_dh1024_param_file = /etc/ssl/dhparam.pem

tls_medium_cipherlist = ECDHE+AES256:ECDHE+CHACHA20:ECDHE+ARIA:ECDHE+AES128:!aNULL:!eNULL

tls_preempt_cipherlist = smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions =
	permit_sasl_authenticated,
	permit_mynetworks,
	reject_unauth_destinationno

myhostname = example.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
html_directory = /usr/share/doc/postfix/html

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf, mysql:/etc/postfix/mysql-virtual-email2email.cf

master.cf:

smtp      inet  n       -       y       -       -       smtpd
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
42935     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...

 , , ,

Arksunix
()

Не подхватывается дефолтная локаль по ssh

Форум — General

Сервер с ubuntu server 20.04, шелл fish, коннект по ssh.

~> locale -a
C
C.UTF-8
POSIX
en_US.utf8
ru_RU.utf8
ru_UA.utf8
~> cat /etc/default/locale
LANG=ru_RU.UTF-8
~> locale
LANG=
LANGUAGE=
LC_CTYPE=en_US.UTF-8
LC_NUMERIC="POSIX"
LC_TIME="POSIX"
LC_COLLATE="POSIX"
LC_MONETARY="POSIX"
LC_MESSAGES="POSIX"
LC_PAPER="POSIX"
LC_NAME="POSIX"
LC_ADDRESS="POSIX"
LC_TELEPHONE="POSIX"
LC_MEASUREMENT="POSIX"
LC_IDENTIFICATION="POSIX"
LC_ALL=
~> su
# locale
LANG=ru_RU.UTF-8
LANGUAGE=
LC_CTYPE=en_US.UTF-8
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=

У рута шелл тоже fish. Конфиг и рут и юзер используют системный (по крайней мере .config/fish/config.fish у обоих отсутствует), но у рута локаль задаётся, а у юзера нет. Ещё мне не понятно, от куда взялась ru_UA.utf8 - в /etc/locale.gen она закоментирована, пробовал делать dpkg-reconfigure locales - всё равно эта локаль вылазит. При том при выборе дефолтной локали две ru_RU.utf8. То есть они где-то ещё заданы, но не могу найти где.

UPD: ради интереса зашёл через консоль на сайте хостера - локаль выставлена, всё супер! Значит проблема именно при подключении по ssh и я не зря в верху это уточнил, как в воду глядел.

 , , ,

Arksunix
()

nftables блокирует ipv6

Форум — Admin

Для ipv6 настроена вот такая таблица:

table ip6 ipv6 {
	chain input {
		type filter hook input priority filter; policy drop;
		ct state { established, related } accept comment "current"
		iif "lo" accept comment "local"
		icmpv6 type echo-request accept comment "ping"
		tcp dport { 80, 443 } accept comment "nginx"
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
	}

	chain output {
		type filter hook output priority filter; policy accept;
	}
}

При такой конфигурации сайт НЕ доступен по ipv6. Nginx слушает 80 и 443 порты ipv6, это видно в netstat. Так как нигде кроме этой впс у меня нет ipv6, проверяю я с помощью сайта. Важно! Когда я заменяю дефолтное действие в цепочке input на accept - всё работает, никаких проблем с доступом к сайту по ipv6 нет. Из чего я и сделал вывод, что проблема именно в nftables, а не в ngnix. ping6 -c 3 <домен> с самого хоста проходит успешно.

 , ,

Arksunix
()

Сервер не закрывает ssh соединение перед ребутом

Форум — General

Сервер с ubuntu server 20.04.1, ssh настроен (нестандартный порт, авторизация только по ключам, в рута нельзя). Ещё nftables настроен, но удаление всех таблиц не помогло, думаю дело не в нём. Собственно, как должно быть:

$ sudo reboot
Connection to <ip> closed.

Как у меня:

$ sudo reboot

Ничего не происходит, но если нажать какую-нибудь клавишу, то через несколько секунд выдаст:

client_loop: send disconnect: Broken pipe

То есть сервер не сообщает клиенту о закрытии соединения. Как исправить?

 , ,

Arksunix
()

Нет звука после изменения порта pulseaudio

Форум — General

Колонки подключены сздади к материнке, нашники сверху, в гнездо корпуса. Оба устройства находятся в синке 1 и являются его портами (порт analog-output-lineout - колонки, а analog-output-headphones - наушники). Когда я подключаю наушники, звук переключается на них, когда отключаю - обратно на колонки. Это хорошо, но мне надоело лазать под стол для подключения наушников и я хочу сделать программное переключение. pactl set-sink-port 1 analog-output-lineout переключает порт на колонки, но звука нет (из наушников он тоже пропадает). При переключении через pavucontrol результат тот же. В чём проблема, куда смотреть?

P.S. Чуть не забыл, система arch, бэкенд alsa, pulseaudio-alsa стоит.

 , ,

Arksunix
()

Архивация zip без сохранения полного пути

Форум — General

Мне надо архивировать несколько директорий с помощью команды zip. Пусть этими директориями будут /home/user/dir1 и /home/user/dir2. В команду я вставляю полные пути (это важно, т.к. команду я хочу вставить в скрипт). После архивации я открываю архив и вижу там директорию home, в ней директорию user и лишь в ней нужные мне dir1 и dir2. Как сделать чтобы лишние директории не сохранялись и при открытии сразу были dir1 и dir2, прямо в корне архива? Я понимаю, что можно в скрипте сохранить текущую директорию, перейти туда где лежит архивируемая директория и архивировать от туда, но неужели у zip нет подходящего аргумента, чтобы не усложнять скрипт?

 ,

Arksunix
()

Аргументы команды для одновременного воспроизведения файлов в VLC

Форум — Multimedia

В VLC можно через меню «Конвертировать/сохранить» выбрать 2 файла для одновременного воспроизведения и сразу это воспроизведение начть (или объеденить и сохранить в один файл). Это удобно, если есть отдельно видео и отдельно аудио к нему. Но можно ли это как то сделать командой при запуске VLC?

 , ,

Arksunix
()

Как сохранить маршрут в таблице маршрутизиции в арче?

Форум — General

Чтобы после перезагрузки не слетал. Маршрут вида ip route add 1.1.1.1 via 192.168.0.1 dev eth0. В Debian есть файл /etc/network/interfaces, и в него можно добавить маршруты для сохранения. А в арче куда?

 , ,

Arksunix
()

Может ли хостер получить доступ к системе на VPS с KVM?

Форум — General

Именно к работающей системе, без выключения, перезагрузки и т.п., и при условии что пароль рута, выданный хостером, поменяли. Услышал историю как человек обратился в поддержку хостера с вопросом как включить логирование в системе, а хостер подключился и сам всё сделал (команды были видны в истории шела, аптайм не был сброшен, пароль был поменян после получения и хостеру не сообщался). Я думал что ко включенной машине получить доступ к системе на сервере c kvm виртуализацией нельзя. Ошибался?

 ,

Arksunix
()

Установка searx на сервер с apache

Форум — General

Ставлю по этой инструкции. У меня на сервере (ubuntu 18.04+LAMP) крутится вебпочта, она доступна на example.com/mail. Я хочу сделать с searx так же, только example.com/search. Подходящей инструкции в интернете ни на русском, ни на английском не нашёл. Попытался сдлеать как написано в разделе apache в оф. инструкции - получил Internal Server Error при заходе на нужную страницу. В логах апача пусто. Куда копать?

Вот конфиг settings.yml (после слова engines я обрезал, там ничего интересного быть не должно).

В конец /etc/apache2/apache2.conf я вписал как в инструкции, добавив лишь search:

 <Location /search>
    Options FollowSymLinks Indexes
    SetHandler uwsgi-handler
    uWSGISocket /run/uwsgi/app/searx/socket
</Location>

Может надо это добавить в конфиг сайта, а не самого апача? Если нужны ещё какие-то конфиги/логи - пишите, скину.

 , ,

Arksunix
()

Открытие ссылки на youtube в FreeTube

Форум — General

Arch с bspwm. Стоит FreeTube, хочу сделать чтобы в любом приложении ссылки youtube открывалиь сразу в FreeTube. Как это сделать?

 ,

Arksunix
()

Трафик некоторых сайтов в обход WireGuard

Форум — Admin

Хочу пустить трафик некоторых сайтов (не приложений) в обход VPN. Вот текущий конфиг клиента:

[Interface]
Address = 10.0.0.2/24
DNS = 1.1.1.1
PrivateKey = (hidden)

[Peer]
PublicKey = pcvQhx3nES/UbcCd1YfQxfjidkBpZQE0UsLUBdp+43o=
AllowedIPs = 0.0.0.0/0
Endpoint = ip:port

К сожалению противоположной по значению AllowedIPs фунции я не нашёл (то есть можно задать список ip которые будут заворачиваться в тунель, но нельзя задать список ip которе НЕ будут этого делать). Я так понял надо настроить таблицу маршрутизации. Но не знаю как это сделать. В man wg-quick есть такой пример:

A combination of the `Table', `PostUp', and `PreDown' fields may be used for policy routing as well. For example, the following may be used to send SSH traffic (TCP port 22) traffic through the tunnel:
[Interface]
Address = 10.192.122.1/24
PrivateKey = yAnz5TF+lXXJte14tji3zlMNq+hd2rYUIgJBgB3fBmk=
ListenPort = 51820
Table = 1234
PostUp = ip rule add ipproto tcp dport 22 table 1234
PreDown = ip rule delete ipproto tcp dport 22 table 1234

[Peer]
PublicKey = xTIBA5rboUvnH4htodjb6e697QjLERt1NAB4mZqp8Dg=
AllowedIPs = 0.0.0.0/0

Но я опять же понял как сделать так чтобы фильтруемый ip rule трафик заворачивался в тунель, а как наоборот сделать не знаю.

 , ,

Arksunix
()

RSS подписка на новые темы