LINUX.ORG.RU

Сообщения SoHm

 

SSH reverse не биндится на конкретный ip адрес

Форум — Admin

При reverse SSH не биндится конкретный ip адрес. Только все сразу.

Машина vm-ext (CentOS 7) с внешним ip адресом 1.1.1.1

sshd_config: 

GatewayPorts yes
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
SyslogFacility AUTHPRIV
PermitRootLogin no
AuthorizedKeysFile	.ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
UsePAM yes
X11Forwarding yes
UsePrivilegeSeparation sandbox		# Default for new installations.
ClientAliveInterval 5
ClientAliveCountMax 3
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem	sftp	/usr/libexec/openssh/sftp-server

Фаерволл(firewalld, iptables) выключен, selinux выключен.

На клиентской машине vm-int, которая располагается за NAT, делаю: 

ssh -R 127.0.0.1:8995:127.0.0.1:22  user1@1.1.1.1

Но на vm-ext слушаются все адреса: 

# ss -tlpn | grep 8995
LISTEN     0      128          *:8995                     *:*                   users:(("sshd",pid=39423,fd=9))

Пробовал то же самое на другой машине в интернете - то же самое. Не хочет биндиться только на 127.0.0.1

Вышеуказанная команда с таким результатом как сейчас, равносильна следующей: 

ssh -R 8995:127.0.0.1:22  user1@1.1.1.1

Как сделать, чтобы SSH reverse биндился на 127.0.0.1 на машине vm-ext, которая имеет внешний адрес 1.1.1.1?

Спасибо.

 ,

SoHm
()
5 комментариев

Postfix relay to Exchange аутентификация

Форум — Admin

Подскажите, пожалуйста, в какую сторону двигаться или что мне нужно сделать, чтобы заработало.

Имеется сервер CentOS 6.6 с Postfix 2.6.6-6. Мне нужно, чтобы для определенного домена (например для example.com) почта шла через определенный SMTP-сервер (mail.example.com, Microsoft Exchange).

На MS Exchange настроена аутентификация: 250-AUTH GSSAPI NTLM

Мне дали login и password, заведенные на Exchange. С ними надо аутентифицироваться на mail.example.com:587

Использую Cyrus SASL. Конфигурация Postfix (mail.test.ru): 

cat main.cf

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = mail.test.ru
mydomain = sberinsur.ru
inet_interfaces = all
inet_protocols = all
mydestination = $myhostname, localhost.$mydomain, localhost
unknown_local_recipient_reject_code = 550
mynetworks = 10.0.54.0/24, 127.0.0.0/8
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.6.6/samples

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_sender_login_maps = hash:/etc/postfix/controlled_envelope_senders
smtpd_recipient_restrictions =
   permit_mynetworks,
   check_relay_domains,
   reject
   
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options =

broken_sasl_auth_clients = yes

readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
transport_maps = hash:/etc/postfix/transport

Логин и пароль записал: 

vi /etc/postfix/sasl_passwd
mail.example.ru	info:P@ssword

postmap /etc/postfix/sasl_passwd

Настраиваю перенаправление почты, предназначенной для example.ru, на SMTP сервер с MS Exchange: 

vi transport
example.ru	smtp:mail.example.ru:587

postmap transport

Теперь настраиваем gssapi: Убедимся, что он установлен: 

rpm -qa | grep cyrus
cyrus-sasl-plain-2.1.23-15.el6_6.2.x86_64
cyrus-sasl-gssapi-2.1.23-15.el6_6.2.x86_64
cyrus-sasl-2.1.23-15.el6_6.2.x86_64
cyrus-sasl-lib-2.1.23-15.el6_6.2.x86_64
cyrus-sasl-ntlm-2.1.23-15.el6_6.2.x86_64

ll /usr/lib64/sasl2/libgssapiv2.so*
lrwxrwxrwx 1 root root    21 Aug 15 16:57 /usr/lib64/sasl2/libgssapiv2.so -> libgssapiv2.so.2.0.23
lrwxrwxrwx 1 root root    21 Aug 15 16:57 /usr/lib64/sasl2/libgssapiv2.so.2 -> libgssapiv2.so.2.0.23
-rwxr-xr-x 1 root root 31256 Mar 25  2015 /usr/lib64/sasl2/libgssapiv2.so.2.0.23

cat /etc/sasl2/smtpd.conf 
pwcheck_method: saslauthd
mech_list: gssapi ntlm plain login
cat /etc/sysconfig/saslauthd 
SOCKETDIR=/var/run/saslauthd
MECH=pam
FLAGS=

Пытаюсь отправить письмо с сервера Postfix на существующий email в домене example.ru: 

echo "TEST EMAIL" | mailx -v -r "test1@example.ru" -s "Test email" -S smtp="127.0.0.1:25"  support@example.ru

Connecting to 127.0.0.1 . . . connected.
220 mail.test.ru ESMTP Postfix
>>> HELO mail.test.ru
250 mail.test.ru
>>> MAIL FROM:<test1@example.ru
250 2.1.0 Ok
>>> RCPT TO:<support@example.ru
250 2.1.5 Ok
>>> DATA
354 End data with <CR><LF>.<CR><LF>
>>> .
250 2.0.0 Ok: queued as 2006A280594
>>> QUIT
221 2.0.0 Bye

Письмо встало в очередь: 

postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
F2B51280594      574 Mon Aug 15 18:39:42  test1@test.ru
(SASL authentication failed; cannot authenticate to server mail.example.ru[123.123.123.123]: generic failure)
                                         support@example.ru
В логах maillog: 
Aug 15 18:49:18 mail.test.ru postfix/smtp[63493]: warning: SASL authentication failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Credentials cache file '/tmp/krb5cc_89' not found)
Aug 15 18:49:18 mail.test.ru postfix/smtp[63493]: F2B51280594: to=<support@example.ru>, relay=mail.example.ru[123.123.123.123]:587, delay=576, delays=575/0.02/0.08/0, dsn=4.7.0, status=deferred (SASL authentication failed; cannot authenticate to server mail.example.ru[123.123.123.123]: generic failure)

Как мне правильно настроить аутентификацию Postfix по Kerberos на Exchange? Смущает стркоа: 

Credentials cache file '/tmp/krb5cc_89' not found

Не совсем ясно как настраивать. И готовых примеров с GSSAPI мало в интернете.

 , ,

SoHm
()
6 комментариев

Libvirt консолидация снапшотов virsh blockpull

Форум — General

ОС Ubuntu 14.04.4

Установлен гипервизор KVM. Создаём тестовую виртуалку vm-test-1. Диск находится в: 

-rw------- 1 libvirt-qemu kvm 10739318784 Jul 14 15:58 /home/kvm/vm-test-1.qcow2

Создаём 1-й снапшот: 

virsh snapshot-create-as --domain vm-test-1 snapshot1 \
--diskspec vda,file=/home/kvm/images/vm-test-1.qcow2.snapshot1 \
--disk-only --atomic

Domain snapshot snapshot1 created

Через некоторое время делаю 2-й снапшот: 

virsh snapshot-create-as --domain vm-test-1 snapshot2 \
--diskspec vda,file=/home/kvm/images/vm-test-1.qcow2.snapshot2 \
--disk-only --atomic

Проверяем, что снапшоты есть: 

virsh snapshot-list vm-test-1
 Name                 Creation Time             State
------------------------------------------------------------
 snapshot1            2016-07-14 15:58:19 +0300 disk-snapshot
 snapshot2            2016-07-14 15:58:50 +0300 disk-snapshot

ll /home/kvm/images/
-rw------- 1 libvirt-qemu kvm     589824 Jul 14 15:58 vm-test-1.qcow2.snapshot1
-rw------- 1 libvirt-qemu kvm   22478848 Jul 14 16:17 vm-test-1.qcow2.snapshot2

Т.е. имеем цепочку base ← snapshot1 ← snapshot2

Теперь я хочу смерджить с помощью blockpull снапшоты snapshot1 и snapshot2 и получить цепочку base ← snapshot1. Для этого я пытаюсь сделать по мануалам https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html...

http://vmsplice.net/~stefan/blockpull.html

virsh blockpull vm-test-1 /home/kvm/vm-test-1.qcow2 0 /home/kvm/images/vm-test-1.qcow2.snapshot1 --wait --verbose
error: invalid argument: No device found for specified path

Никак не пойму, что ему не нравится. Диск есть, снапшоты есть, метаданные о снапшоте есть. Что ему ещё надо? Как мне смерджить/консолидировать снапшоты snapshot1 и snapshot2 ?

 , ,

SoHm
()
12 комментариев

MySQL login без запроса пароля

Форум — General

Всех приветствую!

Не получается запустить mysqldump/mysql без запроса пароля от MySQL. Стоит MySQL 5.6.28-2 на CentOS 6.7. 

cat /etc/my.cnf
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
symbolic-links=0
sql_mode=
default-storage-engine=INNODB
max_allowed_packet=256M
innodb_log_file_size=1024M

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

Есть пользователь в MySQL - backup. В случае:

mysql -u backup -p

запрашивает пароль, ввожу его, успешно захожу в консоль MySQL.

Теперь я создаю файл mysqlpwd с таким содержимым: 

[mysql]
user=backup
password=qwerty123

[mysqldump]
user=backup
password=qwerty123

Пытаемся зайти: 

mysql --defaults-extra-file=/home/backup/mysqlpwd -u backup

ERROR 1045 (28000): Access denied for user 'backup'@'localhost' (using password: YES)

Такой же фокус проворачиваю на другом сервере с MySQL (5.6.25-73.1) - всё работает. Захожу под пользователем backup без запроса пароля.

А тут ни в какую. Не знаю как это победить.

 

SoHm
()
3 комментария

Как удалить pool из Bareos/Bacula

Форум — General

Приветствую всех!

Имеется сервер Bareos (форк Bacula) на CentOS 6.6 x64 

# rpm -qa | grep bareos
bareos-database-tools-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-director-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-common-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-database-common-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-bconsole-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-client-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-storage-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-database-postgresql-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
bareos-filedaemon-15.2.0.git.1438093845.4ab95a5-1136.1.el6.x86_64
Хочу удалить текущие пулы одного клиента (полные и инкрементные), чтобы по новой запустить полный бэкап вручную. Но когда я удаляю эти пулы и затем запускаю задание бэкапа, то он делает мне инкрементный бэкап, а не полный.

Что я делал: bacula-dc5-01-dir --- director daemon на Server 1 bacula-dc5-01-sd --- storage daemon на other Server 2

1) Конфиг клиента: 

Job {
  Name = "bars-lb1-backup-root_bacula-dc5-01-sd"
  Type = Backup
  Level = Incremental
  Client = bars-lb1-fd
  FileSet = "fileset-bars-lb1-root"
  Schedule = "WeeklyCycle-bars-lb1"
  Storage = File-bacula-dc5-01
  Messages = Standard
  Pool = Incremental
  Priority = 10
  Write Bootstrap = "/var/lib/bareos/%c.bsr"
  Full Backup Pool = F-bars-lb1
  Incremental Backup Pool = I-bars-lb1
}

Job {
  Name = "bars-lb1-restore_bacula-dc5-01-sd"
  Type = Restore
  Client = bars-lb1-fd
  FileSet = "fileset-bars-lb1-root"
  Storage = File-bacula-dc5-01
  Pool = Incremental
  Messages = Standard
  Where = /
}

Client {
  Name = bars-lb1-fd
  Address = bars-lb1
  Password = "sdhfkljsadfasfs"
  File Retention = 14 days
  Job Retention = 1 months 
  AutoPrune = yes
}

Pool {
  Name = F-bars-lb1
  Pool Type = Backup
  Recycle = yes                
  AutoPrune = yes              
  Volume Retention = 7 days  
  Maximum Volume Bytes = 5G    
  Maximum Volumes = 20         
  Label Format = "bars-lb1-f-"
}

Pool {
  Name = I-bars-lb1
  Pool Type = Backup
  Recycle = yes               
  AutoPrune = yes             
  Volume Retention = 7 days 
  Maximum Volume Bytes = 5G   
  Maximum Volumes = 20        
  Label Format = "c"
}

Schedule {
  Name = "WeeklyCycle-bars-lb1"
  Run = Full sat at 22:00           
  Run = Incremental mon-fri at 22:00
}

2) Я вручную удалил файлы пулов bars-lb1-f-*** и bars-lb1-f-*** из storage (File-bacula-dc5-01), выполнив команду «rm -f»

3) В консоли Bareos выполнил: 

*delete pool=F-bars-lb1
*delete pool=I-bars-lb1

4) Затем я снвоа попытался запустить задание бэкапа, надеясь, что он сделает мне полный бэкап : т.к. информацию о предыдущих я удалил из каталога БД Bareos 

*run job=bars-lb1-backup-root_bacula-dc5-01-sd


07-Aug 10:48 bacula-dc5-01-dir JobId 97: Start Backup JobId 97, Job=bars-lb1-backup-root_bacula-dc5-01-sd.2015-08-07_10.48.20_13
07-Aug 10:48 bacula-dc5-01-dir JobId 97: Using Device "FileStorage" to write.
07-Aug 10:48 bacula-dc5-01-sd JobId 97: Volume "Incremental-0041" previously written, moving to end of data.
07-Aug 10:48 bacula-dc5-01-sd JobId 97: Ready to append to end of Volume "Incremental-0041" size=8033000
07-Aug 10:48 bars-open-l1-fd JobId 97:      /dev is a different filesystem. Will not descend from / into it.
07-Aug 10:48 bars-open-l1-fd JobId 97:      /sys is a different filesystem. Will not descend from / into it.
07-Aug 10:48 bars-open-l1-fd JobId 97:      /proc is a different filesystem. Will not descend from / into it.
07-Aug 10:48 bacula-dc5-01-sd JobId 97: Elapsed time=00:00:01, Transfer rate=2.973 M Bytes/second
07-Aug 10:48 bacula-dc5-01-dir JobId 97: Bareos bacula-dc5-01-dir 15.2.0 (25jun15):
  Build OS:               x86_64-redhat-linux-gnu redhat CentOS release 6.6 (Final)
  JobId:                  97
  Job:                    bars-lb1-backup-root_bacula-dc5-01-sd.2015-08-07_10.48.20_13
  Backup Level:           Incremental, since=2015-08-07 10:30:36
  Client:                 "bars-lb1-fd" 15.2.0 (25jun15) x86_64-redhat-linux-gnu,redhat,CentOS release 6.6 (Final)
  FileSet:                "fileset-bars-lb1-root" 2015-07-30 16:14:44
  Pool:                   "Incremental" (From Job resource)
  Catalog:                "MyCatalog" (From Client resource)
  Storage:                "File-bacula-dc5-01" (From Job resource)
  Scheduled time:         07-Aug-2015 10:48:10
  Start time:             07-Aug-2015 10:48:22
  End time:               07-Aug-2015 10:48:24
  Elapsed time:           2 secs
  Priority:               10
  FD Files Written:       61
  SD Files Written:       61
  FD Bytes Written:       2,967,671 (2.967 MB)
  SD Bytes Written:       2,973,731 (2.973 MB)
  Rate:                   1483.8 KB/s
  Software Compression:   94.9 % (gzip)
  VSS:                    no
  Encryption:             no
  Accurate:               no
  Volume name(s):         Incremental-0041
  Volume Session Id:      3
  Volume Session Time:    1438932335
  Last Volume Bytes:      11,020,315 (11.02 MB)
  Non-fatal FD errors:    0
  SD Errors:              0
  FD termination status:  OK
  SD termination status:  OK
  Termination:            Backup OK

07-Aug 10:48 bacula-dc5-01-dir JobId 97: Begin pruning Jobs older than 1 month .
07-Aug 10:48 bacula-dc5-01-dir JobId 97: No Jobs found to prune.
07-Aug 10:48 bacula-dc5-01-dir JobId 97: Begin pruning Files.
07-Aug 10:48 bacula-dc5-01-dir JobId 97: No Files found to prune.
07-Aug 10:48 bacula-dc5-01-dir JobId 97: End auto prune.

Но он снова сделал мне инкрементный бэкап. Почему не полный? Как правильно удалить pool и volume из каталога БД Bareos?

Я также пытался удалить ещё volume: 

*delete volume=I-mf-grbs-lb1
*delete volume=F-mf-grbs-lb1
Но эффект такой же - делаются инкрементные бэкапы, хотя физически пула полного бэкапа - нет.

 , ,

SoHm
()
4 комментария

Postfix. Проблема с полем From.

Форум — Admin

Приветствую всех!

Система CentOS 6.6. Настроен postfix (2.6.6-6). Домен vanga.com. На роутере настроен NAT и проброшен порт сервера 25: 10.10.14.10:25 <---->185.188.128.161:25

[root@vanga]# hostname
vanga.com

[root@vanga]# netstat -tulpan | grep master
tcp        0      0 10.10.14.10:25              0.0.0.0:*                   LISTEN      21475/master
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      21475/master

[root@vanga]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 vanga.com mail.vanga.com
185.188.128.161 vanga.com mail.vanga.com
10.30.54.10     vanga.com mail.vanga.com

# host -t MX vanga.com
vanga.com mail is handled by 10 mail.vanga.com.

# host -t A mail.vanga.com
mail.vanga.com has address 185.188.128.161

# host -t TXT vanga.com
vanga.com descriptive text "v=spf1 ip4:185.188.128.161 a mx ~all"

[root@vanga postfix]# cat main.cf
soft_bounce = no
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = vanga.com
mydomain = vanga.com
myorigin = vanga.com
inet_interfaces = localhost, 10.10.14.10
inet_protocols = all
mydestination = localhost, $mydomain
unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.0/8, 10.10.14.0/24
relay_domains = vanga.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
debug_peer_level = 2
debug_peer_list = 127.0.0.1
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no

Письмо, отправленное с этого же сервера с помощью telnet mail.vanga.com 25 с указанием 

MAIL FROM: root@vanga.com
RCPT TO: tessel@gmail.com
доходит, адрес отправителя отображается как root@vanga.com

Но письмо, отправленное от пользователя root с помощью 

[root@vanga]# mailx -s "Test MAILX" tessel@gmail.com

приходит с полем:

From: root <root@mail.vanga.com>

Письмо, отправленное от root с помощью 

[root@vanga]# mailx -r root@vanga.com -s "Test MAILX" tessel@gmail.com
вообще не приходит на Gmail.

Разумеется, пиcьма на root@mail.vanga.com не доходят т.к. такого домена нет. Если я напишу письмо на root@vanga.com , то оно приходит в локальный mailbox на этом сервере.

Как мне сделать, что бы с почтового сервера отправлялись (командой mailx/mail) письма с @vanga.com, а не @mail.vanga.com ?

Вроде везде в конфигах убрал упоминание mail.vanga.com, а оно всё равно появляется. Рестарт postfix ничего не даёт. В логах /var/log/maillog ничего не отображается, только если письма приходят снаружи для root@vanga.com и домена vanga.com

Буду премного благодарен за помощь!

 

SoHm
()
4 комментария

CentOS. Не подключается репозиторий.

Форум — General

Всем доброго дня.

Столкнулся с проблемой с подключением репозитория для CentOS 6.5 http://download.bareos.org/bareos/contrib/CentOS_6/

[root@backup /]# uname -a
Linux backup.tt.corp 2.6.32-431.20.3.el6.x86_64 #1 SMP Thu Jun 19 21:14:45 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

[root@backup /]# cat /etc/yum.repos.d/contrib.repo 

[contrib]
name=bareos-contrib
type=rpm-md
baseurl=http://download.bareos.org/bareos/contrib/CentOS_6/
gpgcheck=1
gpgkey=http://download.bareos.org/bareos/contrib/CentOS_6/repodata/repomd.xml.key
enabled=1
priority=2


[root@backup /]# yum repolist
Loaded plugins: fastestmirror, priorities
Repository contrib is listed more than once in the configuration
Loading mirror speeds from cached hostfile
 * base: mirror.logol.ru
 * epel: www.nic.funet.fi
 * extras: mirror.academica.fi
 * updates: mirror.academica.fi
bareos_bareos-13.2                                                                                                                                                                                                                                     | 1.3 kB     00:00     
89 packages excluded due to repository priority protections
repo id                                                                                                     repo name                                                                                                                                                status
bareos_bareos-13.2                                                                                          Backup Archiving Recovery Open Sourced Current stable (RHEL_6)                                                                                                44+7
base                                                                                                        CentOS-6 - Base                                                                                                                                              6,367
c6-testing                                                                                                  CentOS-6 Testing                                                                                                                                                 0
epel                                                                                                        Extra Packages for Enterprise Linux 6 - x86_64                                                                                                           10,937+85
extras                                                                                                      CentOS-6 - Extras                                                                                                                                               14
updates                                                                                                     CentOS-6 - Updates                                                                                                                                           1,175
repolist: 18,537

У меня есть подозрения, что это из-за архитектуры x86_x64, но нет уверенности в этом. Если это так, то есть ли способ принудительно подключить?

Спасибо.

SoHm
()
3 комментария

RSS подписка на новые темы