Сообщения Riniko

Пароль supervisor в Thinkpad

Хочу защитить ноутбук, что бы в случае кражи, не могли переставить SSD/снять SSD, накатить другую ОС и пользоваться. Если я поставлю пароль supervisor, он выполнит данную задачу?

Стоит ли мне рассматривать установку пароля на загрузку? Правильно ли я понимаю, что пароль будет запрашивать, вне зависимости от установленного диска/системы?

Либо же мне стоит поставить и пароль supervisor и пароль на загрузку, изменение порядка загрузки, отключить USB для загрузки?

В общем, Ъ, просветите пожалуйста, как лучше сделать. Ноутбук не дорогой сам по себе (ему около 8 лет, с даты выпуска), но паранойя не дремлет!

thinkpad, паранойя, спв

Riniko
(09.12.24 00:08:45 MSK)

18 комментариев

Подключение Let's Encrypt сертификата к поддоменам

Есть несколько поддоменов, уровня my.cool.new.site.sitename.com. К основному домену второго уровня, (sitename), сертификат подключил. А как правильно подключить к остальным поддоменам? Сервер апача, подключаю через python3-certbot-apache.

certbot, ssl, tls

Riniko
(02.08.24 16:23:06 MSK)

2 комментария

Перенаправление трафика в Tor

На VPS, настроил перенаправление трафика через Тор. В iptables это:

iptables -A INPUT -i tun0 -s 10.8.0.0/24 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i tun0 -p udp --dport 53 -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:53530
iptables -t nat -A PREROUTING -i tun0 -p tcp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040
iptables -t nat -A PREROUTING -i tun0 -p udp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,FIN ACK,FIN -j DROP
iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,RST ACK,RST -j DROP

Трафик перенаправляется в тор, но только трафик моего OpenVPN сервера, (то есть, цепочка, VPN->Tor). Shadowsocks сервер, идет в обход правил. Попытки настроить, приводят к блокировке ~~жопы~~ всего исходящего трафика. В общем, как правильно настроить, перенаправление всего трафика через тор?

1984, iptables, tor, паранойя

Riniko
(24.06.24 18:57:07 MSK)

15 комментариев

Настройка Shadowsocks-2022, VLESS + XTLS-Vision + Websocket

Настраиваю сервер, работает Shadowsocks-2022 и VLESS + XTLS-Vision, а VLESS-over-Websockets не работает. Что сделал:

- Взял домен, перенаправил на IP VPS.

- Поднял вебсервер (Apache), настроил конфиг на 80 порт.

- Создал отдельно сертификаты для домена, не включая https версию для домена, в веб сервере.

- Установил XTLS/Xray-core/v1.8.13

Сервер работает, но вывод команды journalctl -u xray таков:

V2Xray systemd[1]: Started xray.service - XRay.
V2Xray xray[8339]: Xray 1.8.13 (Xray, Penetrates Everything.) 3120ca4 (go1.22.3 linux/amd64)
V2Xray xray[8339]: A unified platform for anti-censorship.
V2Xray xray[8339]: [Info] infra/conf/serial: Reading config: /opt/xray/config.json
V2Xray xray[8339]: [Info] transport/internet/websocket: listening unix domain socket(for WS) on @vless-ws
V2Xray xray[8339]: [Info] transport/internet/tcp: listening TCP on 0.0.0.0:23
V2Xray xray[8339]: [Info] transport/internet/udp: listening UDP on 0.0.0.0:23
V2Xray xray[8339]: [Info] transport/internet/tcp: listening TCP on 0.0.0.0:443
V2Xray xray[8339]: [Warning] core: Xray 1.8.13 started
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: firstLen = 0
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: fallback starts > proxy/vless/inbound: fallback directly
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: realName = dl.google.com
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: realAlpn = http/1.1
V2Xray xray[8339]: [Info] [2421907542] app/proxyman/inbound: connection ends > proxy/vless/inbound: fallback ends > proxy/vless/inbound: failed to fallback request payload > read tcp IP.MY.VPS:443->MY.REAL.IP:42258: failed to fallback request payload > read tcp IP.MY.VPS:443->MY.REAL.IP:42258: read: connection reset by peer

Конфиг сервера:


{
  "log": {
    "loglevel": "info"
  },
  "routing": {
    "rules": [],
    "domainStrategy": "AsIs"
  },
  "inbounds": [
    {
      "port": 23,
      "tag": "ss",
      "protocol": "shadowsocks",
      "settings": {
        "method": "2022-blake3-aes-128-gcm",
        "password": "MY_SECRET_LONG_PASSWORD",
        "network": "tcp,udp"
      }
    },
    {
      "port": 443,
      "protocol": "vless",
      "tag": "vless_tls",
      "settings": {
        "clients": [
          {
            "id": "MY-RANDOME-ID",
            "email": "user1@myserver",
            "flow": "xtls-rprx-vision"
          }
        ],
        "decryption": "none",
        "fallbacks": [
          {
            "path": "/var/www/my.site.com/html",
            "dest": "@vless-ws"
          },
          {
            "dest": "80"
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "tls",
        "tlsSettings": {
          "alpn": [
            "http/1.1",
            "h2"
          ],
          "certificates": [
            {
              "certificateFile": "/etc/letsencrypt/live/my.site.com/fullchain.pem",
              "keyFile": "/etc/letsencrypt/live/my.site.com/privkey.pem"
            }
          ]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      }
    },
    {
      "listen": "@vless-ws",
      "protocol": "vless",
      "tag": "vless_ws",
      "settings": {
        "clients": [
          {
            "id": "MY-RANDOME-ID",
            "email": "user2@myserver"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "ws",
        "security": "none",
        "wsSettings": {
          "path": "/var/www/my.site.com/html"
        }
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "tag": "direct"
    },
    {
      "protocol": "blackhole",
      "tag": "block"
    }
  ]
}

В общем, что я делаю не так, и как делать правильно?

Перемещено hobbit из general

shadowsocks, анонимность, паранойя

Riniko
(14.06.24 15:10:41 MSK)

2 комментария

Практика по сетевому администрированию

В общем, хочу более глубоко разбираться в работе сети. Из книг есть «Компьютерные сети, 6 издание» Таненбаума. «Создание, администрирование и обслуживание сетей на 100%» Ватаманюка. Но там только теория, а мне хочется больше практики. Потому как, прочитал теорию, а как и что можно реализовать на практике, уже сложно понять.

Есть виртуальные машини, с линуксом/виндой/виндой серверной (XP, Server 2008). Есть два физических маршрутизатора, с поддержкой Wi-Fi, один стандартный, на 2.4GHz, второй на OpenWRT, с поддержкой Wi-Fi 5GHz в том числе. Есть 4G модем. Есть 2 ПК, физических, линукс и макос (мак мини). Есть VPS.

В общем, что посоветуете?

ip, network, администрирование

Riniko
(08.05.24 11:45:59 MSK)

20 комментариев

Получение сети в OpenWRT

Дано: маршрутизатор ASUS, к нему идет кабель от провайдера. От маршрутизатора, идет подключение к домашним устройствам. Купил другой маршрутизатор ASUS, прошил на OpenWRT. Хочу подключить маршрутизатор с OpenWRT, кабелем, от LAN порта первого ASUS на WAN порт нового ASUS с OpenWRT. Когда стояла дефолтная прошивка, маршрутизатор сам разруливал настройки сети. Теперь, мне это нужно сделать вручную. Как это сделать?

network, openwrt

Riniko
(27.04.24 22:35:57 MSK)

16 комментариев

Предотвращение утечки DNS на VPN

Что уже сделано:

В конфиге сервера, прописано:

push "block-outside-dns"

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 208.67.222.222"

push "dhcp-option DNS 208.67.220.220"

Если прописывать

--block-outside-dns

то сервер не понимает синтаксис команды.

В клиенте, если указать следующее:

scrypt-security 2

up /etc/openvpn/update-resolv-conf

down /etc/openvpn/update-resolv-conf

То на хостовой системе, Debian, клиент не запускается, с ошибкой:

Options error: Unrecognized option or missing or extra parameter(s)

Но если запустить на виртуальной машине, так же с Debian, то запускается. Но утечка DNS все равно присутствует.

Как мне исправить данную утечку?

debian, dns, vpn, анонимность

Riniko
(25.04.24 11:53:25 MSK)

6 комментариев

Что нового на ЛОР-е?

Приветствую.

Не заходил на ЛОР больше двух лет. Что у вас нового? Спуфинг самозабанился смотрю. Наверное, экономит ресурс серверов теперь. Бурато, с самодельным домом, велодрезиной, надеюсь все хорошо у него. Гентушница из Канады, забыл ник её, надеюсь тоже все хорошо у неё. Модераторы, все еще борятся с ~~ветряными мельницами~~ Кащенко?

-20, тупняк

Riniko
(14.03.24 22:44:47 MSK)

152 комментария (стр. 2 3 4)

Настройка OpenVPN сервера

Приветствую.

Имеется сервер. Настраивал, часть по гайдам с Didgital Ocean, часть, по исходнику скрипта с GitHub.

Не подключается клиент, на Debian. Сервер на Ubuntu. Географически, клиент и сервер в Европе. Скриптом, развернул и запустил - все работало. Но я хочу самостоятельно разобраться, в настройке.

Что я делал:

1. Настраивал iptables (разумеется, правильно указывая сетевые интерфейсы)

2. Настраивал ufw:

:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE

3. Настраивал и менял параметры в конфиге сервера и клиента (разумеется, перезапуская

openvpn@server

openvpn

после каждого изменения)

4. Указал:

net.ipv4.ip_forward=1

Прилагаю логи:

Конфигурация сервера:

port 1194
proto udp # добавлялся пункт udp4
dev tun
ca ca.crt
cert Odin.crt
key Odin.key  # This file should be kept secret
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC # Добавлялся пункт ncp-ciphers AES-256-CBC
cipher AES-256-GCM
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
explicit-exit-notify 1

Логи сервера:

  GNU nano 6.2                                                             /var/log/openvpn/openvpn.log
OpenVPN 2.5.9 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep 29 2023
library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
net_route_v4_best_gw query: dst 0.0.0.0
net_route_v4_best_gw result: 77.77.77.77 dev ens3
Diffie-Hellman initialized with 2048 bit key
Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
TUN/TAP device tun0 opened
net_iface_mtu_set: mtu 1500 for tun0
net_iface_up: set tun0 up
net_addr_v4_add: 10.8.0.1/24 dev tun0
Could not determine IPv4/IPv6 protocol. Using AF_INET
Socket Buffers: R=[212992->212992] S=[212992->212992]
UDPv4 link local (bound): [AF_INET][undef]:1194
UDPv4 link remote: [AF_UNSPEC]
GID set to nogroup
UID set to nobody
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL IPv4: base=10.8.0.2 size=253
Initialization Sequence Completed
55.55.55.55:36868 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
55.55.55.55:36868 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
55.55.55.55:36868 TLS: Initial packet from [AF_INET]55.55.55.55:36868, sid=97cb096b d29bdb38
55.55.55.55:36868 VERIFY OK: depth=1, CN=Odin
55.55.55.55:36868 VERIFY OK: depth=0, CN=jotunn
55.55.55.55:36868 peer info: IV_VER=2.6.3
55.55.55.55:36868 peer info: IV_PLAT=linux
55.55.55.55:36868 peer info: IV_TCPNL=1
55.55.55.55:36868 peer info: IV_MTU=1600
55.55.55.55:36868 peer info: IV_NCP=2
55.55.55.55:36868 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
55.55.55.55:36868 peer info: IV_PROTO=990

Конфигурация клиента:

client
dev tun
proto udp
remote 77.77.77.77 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
# ca ca.crt
# cert client.crt
# key client.key
remote-cert-tls server
# tls-auth ta.key 1
cipher AES-256-GCM
auth SHA256
key-direction 1
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Лог клиента:

Note: Kernel support for ovpn-dco missing, disabling data channel offload.
OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
library versions: OpenSSL 3.0.11 19 Sep 2023, LZO 2.10
DCO version: N/A
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
TCP/UDP: Preserving recently used remote address: [AF_INET]77.77.77.77:1194
Socket Buffers: R=[212992->212992] S=[212992->212992]
UDPv4 link local: (not bound)
UDPv4 link remote: [AF_INET]77.77.77.77:1194
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
TLS: Initial packet from [AF_INET]77.77.77.77:1194, sid=d3827104 20841d32
VERIFY OK: depth=1, CN=Odin
VERIFY KU OK
Validating certificate extended key usage
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
VERIFY EKU OK
VERIFY OK: depth=0, CN=Odin
Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bit RSA, signature: RSA-SHA256
[Odin] Peer Connection Initiated with [AF_INET]77.77.77.77:1194
TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
TLS: tls_multi_process: initial untrusted session promoted to trusted
PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: route options modified
OPTIONS IMPORT: route-related options modified
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
net_route_v4_best_gw query: dst 0.0.0.0
net_route_v4_best_gw result: via 192.168.1.1 dev enp0s7
ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=enp0s7 HWADDR=fc:1f:19:4a:55:df
TUN/TAP device tun0 opened
net_iface_mtu_set: mtu 1500 for tun0
net_iface_up: set tun0 up
net_addr_v4_add: 10.8.0.2/24 dev tun0
/etc/openvpn/update-resolv-conf tun0 1500 0 10.8.0.2 255.255.255.0 init
dhcp-option DNS 208.67.222.222
dhcp-option DNS 208.67.220.220
net_route_v4_add: 77.77.77.77/32 via 192.168.1.1 dev [NULL] table 0 metric -1
net_route_v4_add: 0.0.0.0/1 via 10.8.0.1 dev [NULL] table 0 metric -1
net_route_v4_add: 128.0.0.0/1 via 10.8.0.1 dev [NULL] table 0 metric -1
UID set to nobody
GID set to nogroup
Capabilities retained: CAP_NET_ADMIN
Initialization Sequence Completed
Data Channel: cipher 'AES-256-GCM', peer-id: 0
Timers: ping 10, ping-restart 120

Подскажите пожалуйста, что я делаю не правильно, и как исправить?

sudo cast ValdikSS

openvpn, vps

Riniko
(14.03.24 18:04:23 MSK)

2 комментария

Странности со скоростью VPS

Есть VPS, где развернут 3proxy. Иногда, скорость падает и совсем трафик не идёт. Подключаюсь к самому VPS по ssh, порой скорость по

speedtest-cli

в районе 16 мбит/с (из заявленных до 200).

speedtest-cli --list

Выдаёт ближайшие сервера за тысячи километров. К которым пинг в районе 700 мс. Порой вообще при попытке проверить скорость, выдаёт 530 ошибку HTTP. Порой выдаёт Temporary failure in name resolution. Иногда всё нормально работает. ТП как обычно «у нас всё в порядке, проблема на вашей стороне». Страна расположения Россия. В целом вопрос, а в какую сторону копать, и кто виноват?

proxy, vps

Riniko
(08.02.22 23:16:10 MSK)

10 комментариев

Оффлайн просмотр и редактирование карт OpenStreetMaps

Через какую программу посмотреть и отредактировать карту, в том виде который отображается через сайт OpenStreetMaps? Там несколько слоёв. В масштабе города, скачивал через BBBlike, во всех доступных форматах, для Android, в SVG, для Garmin, GeoJSON. В итоге, Векторные, через QMapShack, открываются не все варианты карты, а те что открываются, имеют вид, сильно отличающиеся от варианта на сайте. Кривые стены домов, меньше информации указано.

В QGIS вообще слои карты открываются для редактирования, и это сложно назвать картой.

gps, карты

Riniko
(19.12.21 23:50:42 MSK)

8 комментариев

Генерация ключей в gpg4usb

При запуске файла через терминал:

user@user:~/gpg4usb$ sh start_linux_64bit
start_linux_64bit: 1: 8: not found
start_linux_64bit: 2: Syntax error: ")" unexpected
start_linux_64bit: 1: user@user:~/gpg4usb$ R�: not found
start_linux_64bit: 1: cannot create �@�6��@/@b�G: Directory nonexistent

При запуске через GUI, при генерации ключа, сразу же сообщает что ключ сгенерирован. В каталоге /home/user/.gnupg/ никаких ключей нет.

При генерации ключей через gpg --gen-key, сохранении в файл, открытии, копированию в буфер, и попытке добавить ключ из буфера в gpg4usb - программа просто закрывается.

В общем, как с ней нормально работать?

gpg, key, паранойя, шифрование

Riniko
(17.12.21 17:20:21 MSK)

11 комментариев

Повышение производительности виртуальных машин на SSD

Если работать с виртуальными машинами на SSD, то насколько повысится их скорость и отзывчивость? Сейчас тестировал Windows 8.1, на HDD. Тормоза жуткие, даже в фоне. Конечно память у меня DDR2, и видеокарта старая, под DDR3 память. На VirtualBox включил 3D ускорение, выделено 256 mb видеопамяти, а всё равно тормоза всё равно. По диспетчеру задач, грузит HDD на 100%. Было выделено оперативной памяти 2GB, 2 ядра процессора. Вроде как выше минимальных даже.

ssd, vb, спв

Riniko
(14.12.21 19:14:35 MSK)

98 комментариев (стр. 2)

Раздача torrent

Нужно передать файлы через BitTorrent сеть. Создаю торрент файл, через qBittorrent, я являюсь сидом. Но личер его не может скачать, только идёт проверка метаданных. Добавил и публичные трекеры вроде:

udp://tracker.openbittorrent.com:80/anonce

Но изменений нет. Торрент не приватный, DHT включен. В общем как правильно настроить раздачу?

qbittorrent, torrent, пиратство, раздача

Riniko
(01.12.21 11:26:05 MSK)

24 комментария

Ограничение прав Wine

Как ограничить права, что бы программы не видели весь /home пользователя? Кроме создания отдельного юзера для Wine.

wine, права доступа, файловая система

Riniko
(30.11.21 20:21:47 MSK)

7 комментариев

Зависание GUI

Зависает GUI, весьма рандомно. По графике вроде игр/рендеринга ничего не запускаю. Максимум виртуалки без проброса GPU. В память/CPU не упираются, SWAP есть. Проверял память memtest86+, 34 минуты, ошибок 0. Диск тоже проверил SMART, тоже вроде ошибок нет. Зависают минут по 20, иногда всё в норму приходит, иногда не приходит. В tty переключиться не получается. При перезагрузке, на секунду мелькают обрывки изображения которое было до перезагрузки.

В общем куда копать, какие логи предоставить? Видеокарта Nvidia GeForce 9600GT, драйвера nouveau. Debian 11 stable, XFCE. Боюсь может проблема не программная, а аппаратная.

debian, gui, nvidia, зависание

Riniko
(24.11.21 19:16:54 MSK)

56 комментариев (стр. 2)

Запуск виртуальной машины через консоль.

Как запускать через консоль виртуальные машины QEMU-KVM? Через графическое меню virt-manager создавались машины, вывод

virsh list --all

пуст.

qemu-kvm, виртуальная машина

Riniko
(21.11.21 22:16:44 MSK)

2 комментария

Поведение текстового поля GIMP

Как сделать его по поведению, как у Photoshop? То есть, нижняя полоса, поверх текст. А сейчас имеем поле которое нужно растянуть, потом пишем. Потом двигать уже. Неудобно. Плагин какой-то может есть под это дело?

gimp, photoshop, спв

Riniko
(18.11.21 21:21:14 MSK)

7 комментариев

Смс в Telegram

После установки telegram-desktop с репозиториев Debian, не приходят смс для авторизации. При установке через Flatpak тоже не приходят. Это можно как-то исправить?

debian, sms, telegram

Riniko
(05.11.21 21:16:35 MSK)

44 комментария

Оффлайн карты с заметками

Какие есть оффлайн карты, с возможностью добавления своих условных обозначений, надписей? Желательно с разными слоями и более менее актуальные. Про гугл и яндекс карты со своими слоями знаю, но хотелось бы оффлайн, не хочу что бы ББ знал.

карта, паранойя, спв, хочется странного

Riniko
(31.10.21 21:43:01 MSK)

34 комментария

следующие →

RSS подписка на новые темы