LINUX.ORG.RU

Сообщения GexogenSG1

 

Что вывести на мониторы Linux

Всем привет. Вопрос не тривиальный, я бы даже сказал, что он сложный.

Работаю в крупной компании админом. Много серверов и тд., развитая IT структура. И есть в моей админской пара свободных компьютеров, соответственно есть и свободные мониторы.

А теперь внимание вопрос: - Что вывести на мониторы через Linux консоль, чтобы прям по хакерски было?)) Top и NetHogs - банально и нафиг надо, никакой полезной инфы. Шлюз в компании на Сентосе, мои компы тоже на сентосе. Ломаю голову, чем занять три компьютера, что на них вывести?) Чтобы и мне полезно было как админу и круто смотрелось.

P.S. Все круто смотрится, что через bash) P.S.S Иксы для лохов (админ, прастиии:) )

 

GexogenSG1
()
31 комментарий

SSH авторизация по ключу

Всем привет. Проблема такая -

Настроил SSH авторизацию по ключу. Под root прекрасно заходит по приватному ключу.

Но вот другой пользователь зайти не может. Допустим пользователь forssh. В его папке есть папка .ssh, в этой папке есть authorized_keys

права выставлены нормально

chmod go-w ~/		
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Однако, происходит какая то дичь, потому что в логе явно видно, что пытается читаться рутовский файл ключей, что естественно не получается.

Sep 28 12:38:46 mail sshd[29602]: debug1: trying public key file /root/.ssh/authorized_keys
Sep 28 12:38:46 mail sshd[29602]: debug1: Could not open authorized keys '/root/.ssh/authorized_keys': Permission denied

В конфиге sshd

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile<---->~/.ssh/authorized_keys

Почему пользователь forssh не может авторизоваться через ключ?

 , , ,

GexogenSG1
()
32 комментария

Iptables RDP проброс

Здравствуйте. Не могу решить одну задачу, развернул Esxi, в ней есть шлюз на CentOS 7 с DHCP, на шлюзе 2 сетевых интерфейса, один смотрит в небо интернет (ens160), другой в локальную сеть (ens192). Необходимо сделать проброс портов для рдп в локальную сеть, при этом, чтобы соединение приходило на фейковый порт. Например набираем 100.100.100.100:555 и шлюз редиректит соединение на машину в локальной сети 10.1.1.1:3389 на порт рдп.

Вот мои правила для iptables.

! /bin/bash
export IPT="iptables"

export WAN=ens160
export WAN_IP=100.100.100.100
export LAN1=ens192
export LAN1_IP_RANGE=10.1.1.0/24

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE

$IPT -A FORWARD -i ens160 -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -i ens190 -p tcp --dport 5000 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

$IPT -I INPUT -i $LAN1 -p udp --dport 60:70 --sport 60:70 -j ACCEPT

$IPT -A OUTPUT -o $WAN -j ACCEPT

$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

#Проброс портов
$IPT -t nat -I PREROUTING --dst 100.100.100.100 -p tcp --dport 555 -j DNAT -to-destination 10.1.1.22:3389
$IPT -t nat -I POSTROUTING -p tcp --dst 10.1.1.22 --dport 3389 -j SNAT --to-source 10.1.1.22
$IPT -t nat -I OUTPUT --dst 100.100.100.100 -p tcp --dport 555 -j DNAT --to-destination 10.1.1.22:3389
$IPT -t nat -I FORWARD -i ens192 --dst 10.1.1.22 -j ACCEPT


$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

Объясните, что я делаю не так? Почему проброс портов извне не работает?

 , , , ,

GexogenSG1
()
4 комментария

RSS подписка на новые темы