не нужно для теста поднять свой днс сервер. Чтобы он на все запросы отвечал условным адресом 127.0.0.1. Все описанные решения вида добавить все в локал зону
local-zone: "." redirect
local-data: ". IN A 127.0.0.1"
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
Есть ли возможность запретить unbound вообще обращаться к рут серверам? Система ubuntu 20.04 Unbound 1.22.0
Как определить, кто блокирует порты? Провайдер, хостер или РКН?
nmap -Pn 95.216.xx.xx -p22 Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-02 20:56 MSK Nmap scan report for xxx (95.216.xx.xx) Host is up.
PORT STATE SERVICE 22/tcp filtered ssh
Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds
Наставьте на путь истинный. Как мне сделать на впске выход из i2p в обычный интернет. Что то в голову ничего умнее запустить на впс сокс прокси, >> и сделать на ее порт выход туннеля i2p>> и на локальном поднять туннель i2p до впс >> и в условном хроме настроить работу через порт созданного туннеля . Как то это очень замороченно. Мб что попроще можно?
Мониторил я одну программку с помощью iotop. И вижу, что она активно пишет на диск. DISK WRITE за сутки 4 Gb. Обложился sysdig . И ничего. не могу увидеть, куда же конкретно она пишет то. запускал так sysdig evt.type=write and thread.tid=1865455 |tee -a write.log - вообще ничего не выводит, хотя в соседнем терминале iotop -d 2 -u user показывает что этот tid прямо сейчас пишет, и активненько .
Если прям полостью смотреть: sysdig thread.tid=1865455 |tee -a write.log выводит какую то дичь вроде
3040174 19:28:43.018345344 1 MVStore (1865455) < futex res=-110(ETIMEDOUT)
3040175 19:28:43.018346774 1 MVStore (1865455) > futex addr=7FFB94409028 op=129(FUTEX_PRIVATE_FLAG|FUTEX_WAKE) val=1
3040176 19:28:43.018347314 1 MVStore (1865455) < futex res=0
3040177 19:28:43.018355314 1 MVStore (1865455) > futex addr=7FFB94409078 op=137(FUTEX_PRIVATE_FLAG|FUTEX_WAIT_BITSET) val=0
если родительский процесс смотреть sysdig evt.type=write and proc.pid=1865401 |tee -a write.log - редко редко есть запись в в файл. Но никак не 4гб за сутки.. в основном сетевая активность
1335029 20:03:02.680517847 12 pool-1-thread-3 (1865501) > write fd=16(<p>pipe:[19641492]) size=1
1335030 20:03:02.680518797 12 pool-1-thread-3 (1865501) < write res=1 data=.
1335031 20:03:02.680527987 1 Thread-2 (1865471) > write fd=21(<4t>185.233.200.151:38356->192.168.4.21:9001) size=41
1335034 20:03:02.680549087 1 Thread-2 (1865471) < write res=41 data=...%.... ...<4...Z...Y....9....1..S.VRO..
Если lsof |grep 1865402 , и оттуда брать все файлы какие можно, то опять таки, никакой аномальной активности. sysdig evt.type=write and proc.name=java and fd.name contains /home/ |tee -a write.log
Кто подскажет, как же все таки вычислить , куда пишет программа ? Или это глюк iotop
Собственно, опять сломался тор. Да, через obfs4proxy. Да, не работает, не знаю почему. Да, гуглил, поменять настройки apparmor не помогло
tail -f /var/log/tor/notice.log
Jan 30 18:15:30.000 [notice] Delaying directory fetches: Pluggable transport proxies still configuring
Jan 30 18:15:30.000 [notice] Signaled readiness to systemd
journalctl -fx
-- Journal begins at Mon 2021-09-20 16:44:50 MSK. --
янв 30 18:29:54 aspire tor[2488]: Jan 30 18:29:54.919 [notice] Read configuration file "/etc/tor/torrc".
янв 30 18:29:54 aspire tor[2488]: Jan 30 18:29:54.937 [notice] I think we have 2 CPUS, but only 1 of them are available. Telling Tor to only use 1. You can override this with the NumCPUs option
янв 30 18:29:54 aspire tor[2488]: Jan 30 18:29:54.938 [notice] Opening Socks listener on 127.0.0.1:9050
янв 30 18:29:54 aspire tor[2488]: Jan 30 18:29:54.939 [notice] Opened Socks listener connection (ready) on 127.0.0.1:9050
янв 30 18:29:55 aspire audit[2489]: AVC apparmor="DENIED" operation="open" profile="system_tor" name="/sys/kernel/mm/transparent_hugepage/hpage_pmd_size" pid=2489 comm="obfs4proxy" requested_mask="r" denied_mask="r" fsuid=124 ouid=0
янв 30 18:29:55 aspire kernel: audit: type=1400 audit(1643556595.247:41): apparmor="DENIED" operation="open" profile="system_tor" name="/sys/kernel/mm/transparent_hugepage/hpage_pmd_size" pid=2489 comm="obfs4proxy" requested_mask="r" denied_mask="r" fsuid=124 ouid=0
янв 30 18:29:59 aspire systemd[1]: Started Anonymizing overlay network for TCP.
░░ Subject: A start job for unit tor@default.service has finished successfully
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ A start job for unit tor@default.service has finished successfully.
░░
░░ The job identifier is 1965.
cat /etc/apparmor.d/abstractions/tor
# vim:syntax=apparmor
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/openssl>
network tcp,
network udp,
capability chown,
capability dac_read_search,
capability fowner,
capability fsetid,
capability setgid,
capability setuid,
/usr/bin/tor r,
/usr/sbin/tor r,
# Needed by obfs4proxy
/proc/sys/net/core/somaxconn r,
#add
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size r,
/proc/sys/kernel/random/uuid r,
/sys/devices/system/cpu/ r,
/sys/devices/system/cpu/** r,
/etc/tor/* r,
/usr/share/tor/** r,
/usr/bin/obfsproxy PUx,
# /usr/bin/obfs4proxy Pix,
/usr/bin/obfs4proxy ix,
upd: нашел что то похожее на мою проблему https://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg1839505.html добавил в конфиг /sys/kernel/mm/transparent_hugepage/hpage_pmd_size r,
теперь не ругается apparmor, но тор все равно не работает, в логе тора то же самое
вот имеются 3 компа с установленным тором. все в локалке. каждый из них соединяется с входными нодами. 100500 пакетов в секунду только для тора. роутер устал, теряет пакеты, и дымится... а еще хотелось бы видосики в ютубчике посмотреть ((
а как бы мне оптимизировать сеть. чтобы с нодами соединялся только один из них - server1. а остальные соединялись с ним, как с входной.. а если server1 офф, то пусть лезут ищут другие входные ноды.
есть два компа под ubuntu. у обоих серые ip. хочу ходить по ssh через i2p с 1го на 2й. сейчас это работает через tor, но в свете последних событий думаю скоро перестает.
поставил i2pd. конфиг не трогал. туннели прописал как здесь написано http://i2p2.de/ru/blog/post/2019/06/15/i2p-i2pd-ssh-config
ничего не работает,
ssh -o IdentitiesOnly=yes -p 7622 user@127.0.0.1
kex_exchange_identification: Connection closed by remote host
Connection closed by 127.0.0.1 port 7622
на сервере в auth ничего нет.
в логах i2pd иногда вижу такое, когда пробую ssh запустить
warn - I2PTunnel: Remote destination адрес_ssh.b32.I2P not found
но обычно вообще ничего нет, только какая то дичь вроде
21:11:24@935/warn - Profiling: no profile yet for nMrLKRtypbKvzBQghd5A0fZiGwBW3MsDwH2Zd7df2bg=
21:11:24@935/warn - Profiling: no profile yet for mhgoNLSCjCzMrGoGR8lewMWJ1~NMJ~yzxxZlN12Zn2E=
21:11:24@935/warn - Profiling: no profile yet for iwnb2tBtGyA69xNc92wwdgE0xGLqFtUAXRvmABkYgbI=
21:11:24@295/warn - NetDbReq: No inbound tunnels
21:11:24@295/warn - NetDbReq: No outbound tunnels
21:11:24@306/warn - SSU: session with 213.47.44.179:33577 was not established after 5 seconds
21:11:25@306/warn - SSU: Missing fragments from 0 to 2 of message 491592823
21:11:25@306/warn - SSU: Missing fragments from 0 to 1 of message 491592823
21:11:25@306/warn - SSU: Missing fragments from 0 to 0 of message 491592823
21:11:25@935/warn - Profiling: no profile yet for jFtZM8TtOM4R488b-GqwhMLB1-zEFS9MELJ68z0mUII=
21:11:25@306/warn - SSU: Missing fragments from 0 to 0 of message 1735160357
21:11:25@306/warn - SSU: session with 87.106.208.236:26745 was not established after 5 seconds
21:11:29@306/warn - SSU: Missing fragments from 0 to 0 of message 1264286427
21:11:29@306/warn - SSU: session with 174.59.49.81:34298 was not established after 5 seconds
21:11:30@935/warn - Profiling: no profile yet for tXa9rJOaXWy7FB0jagXeHOb7e-~Svy6iSEic1WCGD8U=
21:11:34@935/warn - Profiling: no profile yet for 0e-M7IYwYKtO-jO4BXZEbpaAkwwv357moHTDO5js2TI=
21:11:35@935/warn - Profiling: no profile yet for mrKSH2ehdIoXFRPBIFwbuMWjkca25ov3YnXuhG015nY=
21:11:35@935/warn - Profiling: no profile yet for wCjzC9seNddEZpBiIId4lz87wwJGDrwdPZuOsILot7w=
21:11:39@935/error - Tunnels: Can't select next hop for c1mUFcjTP64-BBctolxWjNneQ5ton6Ts5zaNK0AGPO0=
21:11:39@935/error - Tunnels: Can't create inbound tunnel, no peers available
21:11:41@306/warn - SSU: Missing fragments from 0 to 0 of message 2714578942
21:11:50@306/warn - SSU: Missing fragments from 0 to 2 of message 1533777073
21:11:50@306/warn - SSU: Missing fragments from 0 to 1 of message 1533777073
21:11:50@306/warn - SSU: Missing fragments from 0 to 0 of message 1533777073
21:11:54@935/warn - Profiling: no profile yet for jyIrxnneRwArMicGZe13DiLT8aXAg~ADJMGOqIeEgOE=
21:11:54@935/warn - Profiling: no profile yet for FkI2ld9xV25MgtUHyn3zcX7wipS-BeizW~dACoWPr74=
21:11:54@306/warn - SSU: session with 109.132.203.157:29147 was not established after 5 seconds
21:11:59@935/warn - Tunnels: test of tunnel 959614782 failed
21:12:04@935/warn - Tunnels: test of tunnel 2119039490 failed
21:12:19@306/warn - SSU: session with 185.234.58.192:27273 was not established after 5 seconds
21:12:19@935/warn - Tunnels: test of tunnel 2861619403 failed
21:12:24@935/warn - Profiling: no profile yet for TxBONMTjGSLwP-i6V8nzDvJ1ActDPYEkkgWlgSCRBLo=
21:12:26@306/warn - SSU: session with 85.25.1.13:32901 was not established after 5 seconds
21:12:59@306/warn - SSU: session with 79.126.12.166:10609 was not established after 5 seconds
21:13:04@935/warn - Tunnels: test of tunnel 1212805340 failed
прошу помощи тех кто настраивал такую связку.. второй день бьюсь ((
еще не уверен насчет .b32.I2P адреса сервера с ssh. смотрел через lynx. если кто подскажет, где этот адрес смотреть из консоли, буду рад )
lynx http://127.0.0.1:7070/ , вкладка I2P tunnels
i2pd webconsole
Main page
Router commands Local destinations Tunnels Transit tunnels Transports I2P tunnels SAM sessions
Client Tunnels:
HTTP Proxy ⇐ адрес_HTTP.b32.i2p
SOCKS Proxy ⇐ адрес_SOCKS.b32.i2p
Server Tunnels:
sshd ⇒ адрес_ssh.b32.i2p:2222
tunnels.conf на клиенте
[SSH-CLIENT]
type = client
address = 127.0.0.1
port = 7622
inbound.length = 1
outbound.length = 1
inbound.quantity = 5
outbound.quantity = 5
inbound.backupQuantity = 2
outbound.backupQuantity = 2
i2cp.dontPublishLeaseSet = true
destination = адрес_ssh.b32.I2P
keys = ssh-client.dat
tunnels.conf на сервере
[sshd]
type = server
host = 127.0.0.1
port = 2222
inbound.length = 1
outbound.length = 1
inbound.quantity = 5
outbound.quantity = 5
inbound.backupQuantity = 2
outbound.backupQuantity = 2
i2cp.reduceOnIdle = true
keys = sshd-keys.dat
конфиг, все по умолчанию, не менял
i2pd.conf
## Configuration file for a typical i2pd user
## See https://i2pd.readthedocs.io/en/latest/user-guide/configuration/
## for more options you can use in this file.
## Lines that begin with "## " try to explain what's going on. Lines
## that begin with just "#" are disabled commands: you can enable them
## by removing the "#" symbol.
## Tunnels config file
## Default: ~/.i2pd/tunnels.conf or /var/lib/i2pd/tunnels.conf
# tunconf = /var/lib/i2pd/tunnels.conf
## Tunnels config files path
## Use that path to store separated tunnels in different config files.
## Default: ~/.i2pd/tunnels.d or /var/lib/i2pd/tunnels.d
# tunnelsdir = /var/lib/i2pd/tunnels.d
## Where to write pidfile (default: i2pd.pid, not used in Windows)
# pidfile = /run/i2pd.pid
## Logging configuration section
## By default logs go to stdout with level 'info' and higher
## For Windows OS by default logs go to file with level 'warn' and higher
##
## Logs destination (valid values: stdout, file, syslog)
## * stdout - print log entries to stdout
## * file - log entries to a file
## * syslog - use syslog, see man 3 syslog
#log = file
## Path to logfile (default - autodetect)
#logfile = /var/log/i2pd/i2pd.log
## Log messages above this level (debug, info, *warn, error, none)
## If you set it to none, logging will be disabled
#loglevel = warn
#loglevel = info
# Write full CLF-formatted date and time to log (default: write only time)
#logclftime = true
## Daemon mode. Router will go to background after start. Ignored on Windows
# daemon = true
## Specify a family, router belongs to (default - none)
# family =
## Network interface to bind to
## Updates address4/6 options if they are not set
# ifname =
## You can specify different interfaces for IPv4 and IPv6
# ifname4 =
# ifname6 =
## Local address to bind transport sockets to
## Overrides host option if:
## For ipv4: if ipv4 = true and nat = false
## For ipv6: if 'host' is not set or ipv4 = true
# address4 =
# address6 =
## External IPv4 or IPv6 address to listen for connections
## By default i2pd sets IP automatically
## Sets published NTCP2v4/SSUv4 address to 'host' value if nat = true
## Sets published NTCP2v6/SSUv6 address to 'host' value if ipv4 = false
# host = 1.2.3.4
## Port to listen for connections
## By default i2pd picks random port. You MUST pick a random number too,
## don't just uncomment this
# port = 4567
## Enable communication through ipv4
ipv4 = true
## Enable communication through ipv6
ipv6 = false
## Enable SSU transport (default = true)
# ssu = true
## Bandwidth configuration
## L limit bandwidth to 32KBs/sec, O - to 256KBs/sec, P - to 2048KBs/sec,
## X - unlimited
## Default is X for floodfill, L for regular node
# bandwidth = L
## Max % of bandwidth limit for transit. 0-100. 100 by default
# share = 100
## Router will not accept transit tunnels, disabling transit traffic completely
## (default = false)
# notransit = true
## Router will be floodfill
## Note: that mode uses much more network connections and CPU!
# floodfill = true
[http]
## Web Console settings
## Uncomment and set to 'false' to disable Web Console
# enabled = true
## Address and port service will listen on
address = 127.0.0.1
port = 7070
## Path to web console, default "/"
# webroot = /
## Uncomment following lines to enable Web Console authentication
# auth = true
# user = i2pd
# pass = changeme
[httpproxy]
## Uncomment and set to 'false' to disable HTTP Proxy
# enabled = true
## Address and port service will listen on
address = 127.0.0.1
port = 4444
## Optional keys file for proxy local destination
# keys = http-proxy-keys.dat
## Enable address helper for adding .i2p domains with "jump URLs" (default: true)
# addresshelper = true
## Address of a proxy server inside I2P, which is used to visit regular Internet
# outproxy = http://false.i2p
## httpproxy section also accepts I2CP parameters, like "inbound.length" etc.
[socksproxy]
## Uncomment and set to 'false' to disable SOCKS Proxy
# enabled = true
## Address and port service will listen on
address = 127.0.0.1
port = 4447
## Optional keys file for proxy local destination
# keys = socks-proxy-keys.dat
## Socks outproxy. Example below is set to use Tor for all connections except i2p
## Uncomment and set to 'true' to enable using of SOCKS outproxy
# outproxy.enabled = false
## Address and port of outproxy
# outproxy = 127.0.0.1
# outproxyport = 9050
## socksproxy section also accepts I2CP parameters, like "inbound.length" etc.
[sam]
## Comment or set to 'false' to disable SAM Bridge
enabled = true
## Address and port service will listen on
# address = 127.0.0.1
# port = 7656
[bob]
## Uncomment and set to 'true' to enable BOB command channel
# enabled = false
## Address and port service will listen on
# address = 127.0.0.1
# port = 2827
[i2cp]
## Uncomment and set to 'true' to enable I2CP protocol
# enabled = false
## Address and port service will listen on
# address = 127.0.0.1
# port = 7654
[i2pcontrol]
## Uncomment and set to 'true' to enable I2PControl protocol
# enabled = false
## Address and port service will listen on
# address = 127.0.0.1
# port = 7650
## Authentication password. "itoopie" by default
# password = itoopie
[precomputation]
## Enable or disable elgamal precomputation table
## By default, enabled on i386 hosts
# elgamal = true
[upnp]
## Enable or disable UPnP: automatic port forwarding (enabled by default in WINDOWS, ANDROID)
# enabled = false
## Name i2pd appears in UPnP forwardings list (default = I2Pd)
# name = I2Pd
[meshnets]
## Enable connectivity over the Yggdrasil network
# yggdrasil = false
## You can bind address from your Yggdrasil subnet 300::/64
## The address must first be added to the network interface
# yggaddress =
[reseed]
## Options for bootstrapping into I2P network, aka reseeding
## Enable or disable reseed data verification.
verify = true
## URLs to request reseed data from, separated by comma
## Default: "mainline" I2P Network reseeds
# urls = https://reseed.i2p-projekt.de/,https://i2p.mooo.com/netDb/,https://netdb.i2p2.no/
## Reseed URLs through the Yggdrasil, separated by comma
# yggurls = http://[324:9de3:fea4:f6ac::ace]:7070/
## Path to local reseed data file (.su3) for manual reseeding
# file = /path/to/i2pseeds.su3
## or HTTPS URL to reseed from
# file = https://legit-website.com/i2pseeds.su3
## Path to local ZIP file or HTTPS URL to reseed from
# zipfile = /path/to/netDb.zip
## If you run i2pd behind a proxy server, set proxy server for reseeding here
## Should be http://address:port or socks://address:port
# proxy = http://127.0.0.1:8118
## Minimum number of known routers, below which i2pd triggers reseeding. 25 by default
# threshold = 25
[addressbook]
## AddressBook subscription URL for initial setup
## Default: reg.i2p at "mainline" I2P Network
# defaulturl = http://ффф.b32.i2p/hosts.txt
## Optional subscriptions URLs, separated by comma
# subscriptions = http://reg.i2p/hosts.txt,http://identiguy.i2p/hosts.txt,http://stats.i2p/cgi-bin/newhosts.txt,http://rus.i2p/hosts.txt
[limits]
## Maximum active transit sessions (default:2500)
# transittunnels = 2500
## Limit number of open file descriptors (0 - use system limit)
# openfiles = 0
## Maximum size of corefile in Kb (0 - use system limit)
# coresize = 0
[trust]
## Enable explicit trust options. false by default
# enabled = true
## Make direct I2P connections only to routers in specified Family.
# family = MyFamily
## Make direct I2P connections only to routers specified here. Comma separated list of base64 identities.
# routers =
## Should we hide our router from other routers? false by default
# hidden = true
[exploratory]
## Exploratory tunnels settings with default values
# inbound.length = 2
# inbound.quantity = 3
# outbound.length = 2
# outbound.quantity = 3
[persist]
## Save peer profiles on disk (default: true)
# profiles = true
## Save full addresses on disk (default: true)
# addressbook = true
[cpuext]
## Use CPU AES-NI instructions set when work with cryptography when available (default: true)
# aesni = true
## Use CPU AVX instructions set when work with cryptography when available (default: true)
# avx = true
## Force usage of CPU instructions set, even if they not found
## DO NOT TOUCH that option if you really don't know what are you doing!
# force = false
Что за предупреждения сыпет тор в лог? что не так?
[notice] Closed 1 streams for service [scrubbed].onion for reason resolve failed. Fetch status: No more HSDir available to query.
На компьютере есть встроенная сетевая карта, и gsm модем. Как заставить tor работать только через модем ? Вне зависимости от состояния обычной сетевой ?
Собственно как скрыть факт использования luks? Сейчас для теста сделал раздел, на нем создал luks раздел. Добавил в crypttab fstab. Все как бы работает, но есть но.
Не нравиться то что при загрузке окно с предложением ввести пароль для раздела. Где то читал что можно скрыть этот запрос, чтобы просто система ожидала ввода пароля, не выводя никаких запросов. Не могу что то найти, как точно это делать.
Да и тем же cfdisk , gparted сразу видно что на жестком есть зашифрованный раздел. Как скрыть его? Удалить раздел, и создать luks на неразмеченной области диска? Дальше копать в сторону losetup ?
На рабочем столе лаунчер. Откуда взялся, непонятно.
В свойствах, в команде написано:
/opt/google/chrome/google-chrome --profile-directory=Default --app-id=hppbkacnobedjpjccmkkjmodckhfphii
что он делает?
Есть виртуалка с внешним ip. С своего компьютера через ssh делаю туннель с порта 80 на порт 8080 виртуалки. Ssh -R 8080:localhost:80 user@1.2.3.4
Если с виртуалки подключиться к localhost:8080, все работает. Если с виртуалки к внешнему ip 1.2.3.4:8080, не работает.
Собственно, как на виртуалке пробросить порт с внешнего на локальный?
Аналог такой конструкции nginx существует в apache ? Чтобы не два хоста на разных портах, а именно на одном порту
location /
{
proxy_pass https://youtube.com;
}
location /dir
{
proxy_pass http://localhost:1234/;
}
Не получается настроить на клиенте openvpn dns так, чтобы клиент работал только через dns сервер (unbound), выдаваемый openvpn. Часть запросов идет через dns , выдаваемый провайдером клиента.
Сервер - ubuntu 20.04, OpenVPN 2.4.7
Клиент - ubuntu 20.04, OpenVPN 2.4.9
Вот пример вывода tcpdump на внешнем интерфейсе сервера
10.142.0.2 - адрес сервера с openvpn Первый запрос-ответ - на dns сервер провайдера клиента (94.140.14.14) Второй - на 1.1.1.1 , прописанный как форвард в unbound
В основном запросы на днс провайдера идут после перезапуска openvpn, Потом реже.
tcpdump -n -i ens4 port 53
14:18:02.020305 IP 10.142.0.2.48799 > 94.140.14.14.53: 16563+ [1au] AAAA? connectivity-check.ubuntu.com. (58)
14:18:02.082427 IP 94.140.14.14.53 > 10.142.0.2.48799: 16563 0/1/1 (119)
14:18:13.520614 IP 10.142.0.2.44218 > 1.1.1.1.53: 41509+ [1au] A? WwW.TunE-IT.ru. (43)
14:18:13.592899 IP 10.142.0.2.41787 > 1.1.1.1.53: 7978+ [1au] A? wWW.TUNe-it.ru. (43)
конфиг сервера unbound
server:
include: "/etc/unbound/unbound.conf.d/*.conf"
port: 53
username: unbound
interface: 127.0.0.1
interface: 10.8.0.1
outgoing-interface: 10.142.0.2
access-control: 127.0.0.0/8 allow_snoop
access-control: 10.8.0.0/8 allow_snoop # Service VPN
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
num-threads: 1
cache-min-ttl: 3600
cache-max-ttl: 86400
prefetch: yes
qname-minimisation: yes
rrset-roundrobin: yes
use-caps-for-id: yes
use-syslog: no
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 1.1.1.1 # Cloudflare
remote-control:
control-enable: yes
control-interface: 127.0.0.1
control-port: 8953
server-key-file: "unbound_server.key"
server-cert-file: "unbound_server.pem"
control-key-file: "unbound_control.key"
control-cert-file: "unbound_control.pem"
Конфиг сервера openvpn
port 443
port-share 127.0.0.1 4443
proto tcp-server
dev tun
ca ca.crt
cert san-vps.crt
dh dh.pem
tls-auth ta.key 0
cipher AES-256-CBC
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "block-outside-dns"
push "dhcp-option DNS 10.8.0.1"
keepalive 10 120
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
Конфиг клиента openvpn
client
dev tun
proto tcp-client
remote 11.22.33.44 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
вывод systemd-resolve --status клиента
Global
LLMNR setting: no
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
Current DNS Server: 10.8.0.1
DNS Servers: 10.8.0.1
Link 2 (wlp2s0)
Current Scopes: DNS
DefaultRoute setting: yes
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
Current DNS Server: 94.140.14.14
DNS Servers: 94.140.14.14
DNS Domain: ~.
Link 9 (tun0)
Current Scopes: none
DefaultRoute setting: no
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: no
DNSSEC supported: no
resolv.conf клиента
nameserver 10.8.0.1
nameserver 127.0.0.53
система ubuntu 20.04
После добавления xfce через tasksel пропали все интерфейсы, кроме lo
ifconfig
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 1507 bytes 108851 (108.8 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1507 bytes 108851 (108.8 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lspci
00:00.0 Host bridge: Intel Corporation Atom Processor D4xx/D5xx/N4xx/N5xx DMI Bridge
00:02.0 VGA compatible controller: Intel Corporation Atom Processor D4xx/D5xx/N4xx/N5xx Integrated Graphics Controller
00:02.1 Display controller: Intel Corporation Atom Processor D4xx/D5xx/N4xx/N5xx Integrated Graphics Controller
00:1b.0 Audio device: Intel Corporation NM10/ICH7 Family High Definition Audio Controller (rev 02)
00:1c.0 PCI bridge: Intel Corporation NM10/ICH7 Family PCI Express Port 1 (rev 02)
00:1c.1 PCI bridge: Intel Corporation NM10/ICH7 Family PCI Express Port 2 (rev 02)
00:1d.0 USB controller: Intel Corporation NM10/ICH7 Family USB UHCI Controller #1 (rev 02)
00:1d.1 USB controller: Intel Corporation NM10/ICH7 Family USB UHCI Controller #2 (rev 02)
00:1d.2 USB controller: Intel Corporation NM10/ICH7 Family USB UHCI Controller #3 (rev 02)
00:1d.3 USB controller: Intel Corporation NM10/ICH7 Family USB UHCI Controller #4 (rev 02)
00:1d.7 USB controller: Intel Corporation NM10/ICH7 Family USB2 EHCI Controller (rev 02)
00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev e2)
00:1f.0 ISA bridge: Intel Corporation NM10 Family LPC Controller (rev 02)
00:1f.2 SATA controller: Intel Corporation NM10/ICH7 Family SATA Controller [AHCI mode] (rev 02)
00:1f.3 SMBus: Intel Corporation NM10/ICH7 Family SMBus Controller (rev 02)
01:00.0 Ethernet controller: Qualcomm Atheros AR8132 Fast Ethernet (rev c0)
02:00.0 Network controller: Qualcomm Atheros AR9285 Wireless Network Adapter (PCI-Express) (rev 01)
сетевые устройства писутствуют, но похоже не подгружены модули
lshw -c net
*-network UNCLAIMED
description: Ethernet controller
product: AR8132 Fast Ethernet
vendor: Qualcomm Atheros
physical id: 0
bus info: pci@0000:01:00.0
version: c0
width: 64 bits
clock: 33MHz
capabilities: pm msi pciexpress vpd bus_master cap_list
configuration: latency=0
resources: memory:97000000-9703ffff ioport:5000(size=128)
*-network UNCLAIMED
description: Network controller
product: AR9285 Wireless Network Adapter (PCI-Express)
vendor: Qualcomm Atheros
physical id: 0
bus info: pci@0000:02:00.0
version: 01
width: 64 bits
clock: 33MHz
capabilities: pm msi pciexpress bus_master cap_list
configuration: latency=0
resources: memory:96000000-9600ffff
что подскажете?
Пытаюсь убрать сообщения от крона из auth.log
Jan 29 22:01:01 CRON[2511]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 22:01:01 CRON[2511]: pam_unix(cron:session): session closed for user root
cat /etc/rsyslog.d/50-default.conf |grep -v '#'
auth,authpriv.*;cron.none /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* -/var/log/cron.log
kern.* -/var/log/kern.log
mail.* -/var/log/mail.log
mail.err /var/log/mail.err
Все равно то же самое. Что еще нужно сделать?
Собственно хочется блокировать рекламу, трекеры, аналитику в браузере на ПК, и на смартфоне. Не установкой ад-блок всяких, а так, чтобы на уровне системы.
Какие могут быть варианты? По быстренькому посмотрел, что придумано.
Ставят на виртуальном сервере ssh (или Wireguard), и pi hole. В pi hole прописать блокируемые ip с рекламой. Или то же самое, только на роутере , прошитом OpenWRT .
ssh, Unbound и днс сервера на виртуалке от ad guard https://adguard.com/ru/adguard-dns/overview.html
виртуалка + shadowsocks + Unbound + Cloudflare CDN . Это скорее против блокировок ресурсов, чем для рекламы.
Мне как то больше 3й вариант нравится, все сразу получится.
Может какие еще возможности есть ?
Есть необходимость запустить сразу два демона sshd на разных портах - 22 и 2022.
Система Ubuntu 20.04.1 LTS
SSH-2.0-OpenSSH_8.2p1
Тк в ubuntu используется systemd, поэтому пробую в systemd это реализовать.
Делал по этой инструкции http://vladimir-stupin.blogspot.com/2013/02/systemd-2-service.html
Скопировал файл sshd с другим именем (sshd_2) , в ту же директорию, где и изначальный sshd находится - /usr/sbin/sshd_2
Создал копии сервис-файла сокет-файла оригиральных sshd в /lib/systemd/system. С изменением sshd на sshd_2 где нужно.
ssh_2.socket и ssh_2@.service скорее всего не нужны для запуска демона, но пусть будут..
/lib/systemd/system/ssh_2.service
[Unit]
Description=OpenBSD Secure Shell server _2
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target auditd.service
ConditionPathExists=!/etc/ssh/sshd_2_not_to_be_run
[Service]
PIDFile=/var/run/sshd_2.pid
EnvironmentFile=-/etc/default/ssh_2
ExecStartPre=/usr/sbin/sshd_2 -t
ExecStart=/usr/sbin/sshd_2 -D $SSHD_2_OPTS
ExecReload=/usr/sbin/sshd_2 -t
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartPreventExitStatus=255
Type=notify
RuntimeDirectory=sshd_2
RuntimeDirectoryMode=0755
[Install]
WantedBy=multi-user.target
Alias=sshd_2.service
/lib/systemd/system/ssh_2.socket
[Unit]
Description=OpenBSD Secure Shell server _2 socket
Before=ssh_2.service
Conflicts=ssh_2.service
ConditionPathExists=!/etc/ssh/sshd_2_not_to_be_run
[Socket]
ListenStream=2022
Accept=yes
[Install]
WantedBy=sockets.target
/lib/systemd/system/ssh_2@.service
[Unit]
Description=OpenBSD Secure Shell server _2 per-connection daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=auditd.service
[Service]
EnvironmentFile=-/etc/default/ssh_2
ExecStart=-/usr/sbin/sshd_2 -i $SSHD_2_OPTS
StandardInput=socket
RuntimeDirectory=sshd_2
RuntimeDirectoryMode=0755
Копия настроек для ssh. Добавил путь к конфигу sshd_config_2
/etc/default/ssh_2
SSHD_2_OPTS=’ -f /etc/ssh/sshd_config_2’
Скопировал текущий конфиг для 22 порта, поменял порт на 2022:
/etc/ssh/sshd_config_2
Port 2022
PidFile /run/sshd_2.pid
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
IgnoreRhosts yes
HostbasedAuthentication no
#IgnoreUserKnownHosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
ClientAliveInterval 60
UseDNS no
Копия настроек аутентификации - без изменений
/etc/pam.d/sshd_2
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
# Disallow non-root logins when /etc/nologin exists.
account required pam_nologin.so
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account required pam_access.so
# Standard Un*x authorization.
@include common-account
# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
# Set the loginuid process attribute.
session required pam_loginuid.so
# Create a new session keyring.
session optional pam_keyinit.so force revoke
# Standard Un*x session setup and teardown.
@include common-session
# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv # [1]
# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session required pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context. Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password
Вроде все файлы, которые добавил .
Дальше стандартно :
systemctl daemon-reload перезагрузили файлы
systemctl enable ssh_2 разрешили демон для автозапуска
@@@@@@@@@@@@
Теперь проблемы ((( Если остановить ssh_2 -
systemctl stop ssh_2
все как и должно быть. ssh_2 останавливается, ssh продолжает работать. К 22 порту подключиться можно, к 2022 нельзя
systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-01-13 13:15:36 MSK; 8h ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 1034 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
Main PID: 1074 (sshd)
Tasks: 1 (limit: 655)
Memory: 5.0M
CGroup: /system.slice/ssh.service
└─1074 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
systemctl status ssh_2
● ssh_2.service - OpenBSD Secure Shell server _2
Loaded: loaded (/lib/systemd/system/ssh_2.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Wed 2021-01-13 22:00:46 MSK; 2min 24s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 1035 ExecStartPre=/usr/sbin/sshd_2 -t (code=exited, status=0/SUCCESS)
Process: 1075 ExecStart=/usr/sbin/sshd_2 -D $SSHD_2_OPTS (code=exited, status=0/SUCCESS)
Main PID: 1075 (code=exited, status=0/SUCCESS)
ps -A | grep sshd
1074 ? 00:00:00 sshd
11712 ? 00:00:00 sshd
11786 ? 00:00:00 sshd
Если же остановить ssh,
systemctl stop ssh
то после этого нельзя подключиться к серверу до перезагрузки, что там происходит, посмотреть не могу. Вот вывод статусов до откючения от ssh
systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Wed 2021-01-13 22:08:49 MSK; 10s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 1034 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
Process: 1074 ExecStart=/usr/sbin/sshd -D $SSHD_OPTS (code=exited, status=0/SUCCESS)
Main PID: 1074 (code=exited, status=0/SUCCESS)
Jan 13 22:08:49 systemd[1]: Stopping OpenBSD Secure Shell server...
Jan 13 22:08:49 sshd[1074]: Received signal 15; terminating.
Jan 13 22:08:49 systemd[1]: ssh.service: Succeeded.
Jan 13 22:08:49 systemd[1]: Stopped OpenBSD Secure Shell server.
systemctl status ssh_2
● ssh_2.service - OpenBSD Secure Shell server _2
Loaded: loaded (/lib/systemd/system/ssh_2.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-01-13 22:08:41 MSK; 2min 12s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 11972 ExecStartPre=/usr/sbin/sshd_2 -t (code=exited, status=0/SUCCESS)
Main PID: 11983 (sshd_2)
Tasks: 1 (limit: 655)
Memory: 1.2M
CGroup: /system.slice/ssh_2.service
└─11983 sshd_2: /usr/sbin/sshd_2 -D -f /etc/ssh/sshd_config_2 [listener] 0 of 10-100 >
ps -A | grep sshd в выводе еще есть sshd, потому что я сижу по ssh на сервере
ps -A | grep sshd
11712 ? 00:00:00 sshd
11786 ? 00:00:00 sshd
11983 ? 00:00:00 sshd_2
Все, после завершения текущего сеанса ssh нельзя больше подключиться ни к 22 , ни к 2022 порту...
ssh sss@123.123.123.123 sh: connect to host 123.123.123.123 port 22: Connection refused
ssh sss@123.123.123.123 -p 2022 kex_exchange_identification: read: Connection reset by peer
Случайно записал образ компакт диска на жесткий диск, в самое начало. Остановил практически сразу, ничего страшного не произошло. Винду восстановил. Grub тоже. Осталась проблема с таблицей разделов. Теперь gparted не видит вообще разделов. Только один с файловой системой udf. Если нажать на этот раздел, то
Unable to read the contents of this file system!
Because of this some operations may be unavailable.
The cause might be a missing software package.
The following list of software packages is required for udf file system support: udftools.
В выводе fdisk cfdisk ничего плохого не вижу
cfdisk /dev/sda
Disk: /dev/sda
Size: 149.5 GiB, 160041885696 bytes, 312581808 sectors
Label: dos, identifier: 0x68d6671d
Device Boot Start End Sectors Size Id Type
>> /dev/sda1 * 2048 207720447 207718400 99G 7 HPFS/NTFS/exFAT
/dev/sda2 207722494 312580095 104857602 50G 5 Extended
|-/dev/sda5 207722496 270530223 62807728 30G 83 Linux
`-/dev/sda6 270530560 312580095 42049536 20.1G 83 Linux
fdisk -l /dev/sda
Disk /dev/sda: 149.5 GiB, 160041885696 bytes, 312581808 sectors
Disk model: WDC WD1600BEVT-2
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x68d6671d
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 207720447 207718400 99G 7 HPFS/NTFS/exFAT
/dev/sda2 207722494 312580095 104857602 50G 5 Extended
/dev/sda5 207722496 270530223 62807728 30G 83 Linux
/dev/sda6 270530560 312580095 42049536 20.1G 83 Linux
gpart /dev/sda
** Error: invalid extended ptbl found at sector(207722494).
Begin scan...
Possible partition(Windows NT/W2K FS), size(101424mb), offset(1mb)
Possible partition(Windows NT/W2K FS), size(101424mb), offset(101425mb)
*** Fatal error: dev(/dev/sda): seek failure.
Исправить как то можно это?
Есть необходимость запустить сразу два демона sshd на разных портах - 22 и 2022.
Система Ubuntu 20.04.1 LTS SSH-2.0-OpenSSH_8.2p1
Нашел что то похожее в интернете, только там на Fedora делают
https://sys-adm.in/os/nix/801-ssh-na-neskolkikh-portakh-neskolko-servisov-ssh...
Скопировал файл sshd с другим именем (sshd_2) , в ту же директорию, где и изначальный sshd находится - /usr/sbin/sshd_2
Скопировал текущий конфиг для 22 порта, поменял порт на 2022:
/etc/ssh/sshd_config_2
Port 2022
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
IgnoreRhosts yes
HostbasedAuthentication no
#IgnoreUserKnownHosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
ClientAliveInterval 60
UseDNS no
Запускаю sshd c указанием конфиг файла: /usr/sbin/sshd_2 -f /etc/ssh/sshd_config_2
Все нормально запускается, без вопросов ss -tulpn | grep sshd
tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=1088,fd=3))
tcp LISTEN 0 128 0.0.0.0:2022 0.0.0.0:* users:(("sshd_2",pid=30731,fd=3))
tcp LISTEN 0 128 [::]:22 [::]:* users:(("sshd",pid=1088,fd=4))
tcp LISTEN 0 128 [::]:2022 [::]:* users:(("sshd_2",pid=30731,fd=4))
Скопировал файл запуска демона с новым именем ssh_2. Вроде бы везде где нужно заменил sshd на sshd_2 . Еще добавил передачу параметра с конфиг файлом SSHD_2_OPTS="-f /etc/ssh/sshd_config_2" . Как его по другому заставить читать файл с конфигом, не придумал.
/etc/init.d/ssh_2
#! /bin/sh
### BEGIN INIT INFO
# Provides: sshd_2
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: OpenBSD Secure Shell server
### END INIT INFO
set -e
# /etc/init.d/ssh: start and stop the OpenBSD "secure shell(tm)" daemon
test -x /usr/sbin/sshd_2 || exit 0
( /usr/sbin/sshd_2 -\? 2>&1 | grep -q OpenSSH ) 2>/dev/null || exit 0
umask 022
if test -f /etc/default/ssh_2; then
. /etc/default/ssh_2
fi
. /lib/lsb/init-functions
if [ -n "$2" ]; then
SSHD_2_OPTS="$SSHD_2_OPTS $2"
fi
SSHD_2_OPTS="-f /etc/ssh/sshd_config_2"
# Are we running from init?
run_by_init() {
([ "$previous" ] && [ "$runlevel" ]) || [ "$runlevel" = S ]
}
check_for_no_start() {
# forget it if we're trying to start, and /etc/ssh/sshd_2_not_to_be_run exists
if [ -e /etc/ssh/sshd_2_not_to_be_run ]; then
if [ "$1" = log_end_msg ]; then
log_end_msg 0 || true
fi
if ! run_by_init; then
log_action_msg "OpenBSD Secure Shell server not in use (/etc/ssh/sshd_2_not_to_be_run)" || true
fi
exit 0
fi
}
check_dev_null() {
if [ ! -c /dev/null ]; then
if [ "$1" = log_end_msg ]; then
log_end_msg 1 || true
fi
if ! run_by_init; then
log_action_msg "/dev/null is not a character device!" || true
fi
exit 1
fi
}
check_privsep_dir() {
# Create the PrivSep empty dir if necessary
if [ ! -d /run/sshd_2 ]; then
mkdir /run/sshd_2
chmod 0755 /run/sshd_2
fi
}
check_config() {
if [ ! -e /etc/ssh/sshd_2_not_to_be_run ]; then
/usr/sbin/sshd_2 $SSHD_2_OPTS -t || exit 1
fi
}
export PATH="${PATH:+$PATH:}/usr/sbin:/sbin"
case "$1" in
start)
check_privsep_dir
check_for_no_start
check_dev_null
log_daemon_msg "Starting OpenBSD Secure Shell server" "sshd_2" || true
if start-stop-daemon --start --quiet --oknodo --chuid 0:0 --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2 -- $SSHD_2_OPTS; then
log_end_msg 0 || true
else
log_end_msg 1 || true
fi
;;
stop)
log_daemon_msg "Stopping OpenBSD Secure Shell server" "sshd_2" || true
if start-stop-daemon --stop --quiet --oknodo --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2; then
log_end_msg 0 || true
else
log_end_msg 1 || true
fi
;;
reload|force-reload)
check_for_no_start
check_config
log_daemon_msg "Reloading OpenBSD Secure Shell server's configuration" "sshd_2" || true
if start-stop-daemon --stop --signal 1 --quiet --oknodo --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2; then
log_end_msg 0 || true
else
log_end_msg 1 || true
fi
;;
restart)
check_privsep_dir
check_config
log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd_2" || true
start-stop-daemon --stop --quiet --oknodo --retry 30 --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2
check_for_no_start log_end_msg
check_dev_null log_end_msg
if start-stop-daemon --start --quiet --oknodo --chuid 0:0 --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2 -- $SSHD_2_OPTS; then
log_end_msg 0 || true
else
log_end_msg 1 || true
fi
;;
try-restart)
check_privsep_dir
check_config
log_daemon_msg "Restarting OpenBSD Secure Shell server" "sshd_2" || true
RET=0
start-stop-daemon --stop --quiet --retry 30 --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2 || RET="$?"
case $RET in
0)
# old daemon stopped
check_for_no_start log_end_msg
check_dev_null log_end_msg
if start-stop-daemon --start --quiet --oknodo --chuid 0:0 --pidfile /run/sshd_2.pid --exec /usr/sbin/sshd_2 -- $SSHD_2_OPTS; then
log_end_msg 0 || true
else
log_end_msg 1 || true
fi
;;
1)
# daemon not running
log_progress_msg "(not running)" || true
log_end_msg 0 || true
;;
*)
# failed to stop
log_progress_msg "(failed to stop)" || true
log_end_msg 1 || true
;;
esac
;;
status)
status_of_proc -p /run/sshd_2.pid /usr/sbin/sshd_2 sshd_2 && exit 0 || exit $?
;;
*)
log_action_msg "Usage: /etc/init.d/ssh {start|stop|reload|force-reload|restart|try-restart|status}" || true
exit 1
esac
exit 0
Скопировал файл параметров демона. По идее через этот файл надо было бы предавать параметр с конфиг файлом, но что то никак не получается, поэтому он такой же как оригинальный
/etc/default/ssh_2
# Default settings for openssh-server. This file is sourced by /bin/sh from
# /etc/init.d/ssh.
# Options to pass to sshd
SSHD_OPTS_2=
Пробую запустить демон /etc/init.d/ssh_2 start
стартует, все ок.
Пробую остановить, /etc/init.d/ssh_2 stop
Не останавливается. Висит по прежнему на том же порту 2022. Подключиться можно к обоим sshd.
ss -tulpn | grep sshd
tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=1088,fd=3))
tcp LISTEN 0 128 0.0.0.0:2022 0.0.0.0:* users:(("sshd_2",pid=30731,fd=3))
tcp LISTEN 0 128 [::]:22 [::]:* users:(("sshd",pid=1088,fd=4))
tcp LISTEN 0 128 [::]:2022 [::]:* users:(("sshd_2",pid=30731,fd=4))
Если же остановить основной сервис sshd, то подключиться к ssh_2 (2022 порт ) не получается ( ну и к 22 порту тоже, что вроде бы логично, я же его остановил)
/etc/init.d/ssh stop
ошибка : ssh san@localhost -p 2022
kex_exchange_identification: read: Connection reset by peer
Хотя порт 2022 открыт
ss -tulpn | grep sshd
tcp LISTEN 0 128 0.0.0.0:2022 0.0.0.0:* users:(("sshd_2",p
id=1590,fd=3))
tcp LISTEN 0 128 [::]:2022 [::]:* users:(("sshd_2",p
id=1590,fd=4))
В чем ошибка, почему не работают нормально два демона sshd ?
| следующие → |