Доброго!
Собираю iso для установки debian через preseed файл.
Возникла проблема с секцией шифрования. Если конкретно, то шифрование по паролю работает, но меня интересует шифрование ключом. Я пробовал разные варианты, но это почему-то не работает. Часть конфигурации по шифрованию выглядит так:

# Partitioning
# d-i partman-auto/method string crypto
d-i partman-auto/method string crypto_keyfile
d-i partman-crypto/encryption_label string my_encrypted_volume
d-i partman-crypto/keyfile string /root/my_encryption_keyfile
d-i partman-crypto/keyfile-encryption string aes-xts-plain64
d-i partman-auto-crypto/erase_disks boolean true
d-i partman/default_filesystem string ext4
#
d-i partman-crypto/keyfile-escrow boolean true

# Confirm partitioning
partman-partitioning/confirm_write_new_label boolean true
***
d-i preseed/late_command string cp -r /cdrom/app /target/var; \
cp -r /cdrom/prepare.sh /target/var; \
cd /target; \
chmod +x /target/var/prepare.sh; \
in-target /bin/bash /var/prepare.sh; \
# cd /; \
mkdir -p /target/root/.ssh; \
chmod 700 /target/root/.ssh; \
dd if=/dev/urandom of=/target/root/my_encryption_keyfile bs=1 count=32; \
chmod 400 /target/root/my_encryption_keyfile

Пробовал использовать d-i partman-auto/method string crypto, также вот так: d-i partman-auto/method string crypto_keyfile

Доброго!
Собираю iso для установки debian через preseed файл.
Возникла проблема с секцией шифрования. Если конкретно, то шифрование по паролю работает, но меня интересует шифрование ключом. Я пробовал разные варианты, но это почему-то не работает. Часть конфигурации по шифрованию выглядит так:

# Partitioning
# d-i partman-auto/method string crypto
d-i partman-auto/method string crypto_keyfile
d-i partman-crypto/encryption_label string my_encrypted_volume
d-i partman-crypto/keyfile string /root/my_encryption_keyfile
d-i partman-crypto/keyfile-encryption string aes-xts-plain64
d-i partman-auto-crypto/erase_disks boolean true
d-i partman/default_filesystem string ext4
#
d-i partman-crypto/keyfile-escrow boolean true

# Confirm partitioning
partman-partitioning/confirm_write_new_label boolean true
***
d-i preseed/late_command string cp -r /cdrom/app /target/var; \
cp -r /cdrom/prepare.sh /target/var; \
cd /target; \
chmod +x /target/var/prepare.sh; \
in-target /bin/bash /var/prepare.sh; \
# cd /; \
mkdir -p /target/root/.ssh; \
chmod 700 /target/root/.ssh; \
dd if=/dev/urandom of=/target/root/my_encryption_keyfile bs=1 count=32; \
chmod 400 /target/root/my_encryption_keyfile

Пробовал использовать d-i partman-auto/method string crypto, также вот так: d-i partman-auto/method string crypto_keyfile

Всем доброго!
Имеется веб-приложение у которого есть фронтенд и бэкэнд. Фронт и бэк, написаны на некомпилируемых языках js и ts. В качестве браузера используется electron. В качестве ос debian 11. Все это на железном компьютере, к которому имеется доступ пользователя приложением.

Вопрос такой, как обезопасить систему, чтобы пользователь не мог получить доступ к бэку, но приложение имело к нему доступ, также необходимо защитить систему от клонирования, далее необходимо защитить систему так, чтобы при подключении диска в другую ос в качестве съемного нельзя было получить доступ к бэку.

Рассматривал шифрование, но если делать шифрование по паролю, то придется давать этот пароль пользователю и это бесполезно в этом случае, также бесполезно если будет ключ, его тоже можно будет прочитать, тк, ему все равно для работы нужны 400 права. Пока получается некий сумбур из смеси LUKS и selinux. Хочу узнать, вдруг уже есть некое решение, а я его просто не знаю и не видел.
Для избежания холивара: ЯП не изменить, ос не изменить, пользователю нужен физический доступ к машине обязательно.

Доброго!

Потребовалась полностью автоматическая установка debian для рабочих станций. Для первого этапа я собрала файл preseed.cfg и добавил в него все необходимые директивы. С его работой проблем не возникло, он живет в /install.amd/initrd.gz, скрипт его туда упаковывает и с ним все норм. Но меня напрягает что каждый раз нужно выбирать Advanced options и Automated install. Начал искать решение, разобрался с

timeout 

в файле isolinux.cfg, сейчас он у меня вот такого вида:

# D-I config version 2.0
# search path for the c32 support libraries (libcom32, libutil etc.)
path 
include menu.cfg
default vesamenu.c32
prompt 0
timeout 20

Дальше я начал копаться с настройками в файлах txt.cfg, menu.cfg, etc. Здесь у меня ничего не выходит, мне нужно как-то сделать чтобы установка запускалась автоматом. Подскажите пожалуйста, какие нужно конфигурационные файлы нужно попровить и как? Последнее что я сделал, изменил в файле txt.cfg последнюю строчку на строчку которая указана для автоматической установки

label install
        menu label ^Install
        kernel /install.amd/vmlinuz
        append auto=true priority=critical vga=788 initrd=/install.amd/initrd.gz --- quiet

но это тоже не увенчалось успехом

Доброго! Под задачу требуется установить графический интерфейс на саму машину с xcp-ng. Пробовал разные варианты xfce как установка не centos не работает. Может кто-то знает, там есть какие-то нюансы?

Доброго! Есть ноутбук Lenovo IdeaPad 314ITL05 один разъём hdmi, есть usb 3.1. Нужно подключить два монитора. Пробовал конвертер usb-hdmi/d-sub, не увенчалось успехом. Кто какие решения использует для таких задач? Сейчас системой manjaro, до этого была Ubuntu. Вопрос с системой не принципиален, могу для тестов поставить любую

Доброго! Для подключения двух мониторов купил вот такую штуку: Док-станция Type-C 4-в-1 (Type-C PD + HDMI + USB 3.0+VGA), UC-12

http://mobiledata.ru/kompyuternye-aksessuary/type-c-dok-stancii/uc-12/

При подключении к Manjaro это не работает. Может кто-то подсказать, где взять драйвера для видео, чтобы это правильно работало

Добрый день!
Возникла необходимость подключить торговые весы к компьютеру на linux. К дистрибутиву пока что не привязан, сделаю на том на который найду решение. В приоритете centos или debian. Кто-то реализовывал что-то подобное?

Добрый день!
У меня связка: на хосте nginx и на нем же docker-engine, в docker контейнере php-frm который должен отправлять письмо через msmtp при обращении по localhost/mail.php.
У меня не получается отправка, при обращении к nginx не перенаправляется запрос на docker контейнер. В настройках nginx пробовал такие варианты:
fastcgi_pass 172.17.0.2:9000;
и вот так proxy_pass http://172.17.0.2;
По факту, запрос обрабатывает php на хосте, а перенаправления не происходит.
В docker я новичок, подскажите хотя бы логику, как это сделать.

Доброго!
В наличии два сервера, dns на bind(centos) и samba для wins.
DNS работает нормально, и отдает пользователям адреса в формате xxx.bases.local 172.16.x.x
Для дальнейшей работы, чтобы получать пару имя ip в виде xxx 172.16.x.x, я настроил wins, ниже будет конфиг.
настроил в windows машинах адрес wins, но все равно при запросе nbtstat не получаю в ответ ip запрошенной машины. Доступ к серверу есть.
Вот конфиг smb
[global]
workgroup = bases.local
server string = SERVER
passdb backend = tdbsam
log level = 1
time server = no
#no
preferred master = yes
#no
domain master = yes
#no
local master = yes
#33
os level = 254
#
unix charset = utf8
dos charset = cp1251
#display charset = cp1251
#будет работать как wins сервер
wins support = yes
#
remote announce = 172.16.255.255/METRAN

[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @printadmin root
force group = @printadmin
create mask = 0664
directory mask = 0775

Доброго! Есть dns сервер на centos. Есть сервер 1с к которому обращаются пользователи. В зоне dns это сервер записан как 172.16.х.х ss.bases.local Имя сервера ss, когда обращаешься к нему по имени ss.bases.local он нормально резолвиться, а когда по прямому имени ss нет. Для правильной работы 1с сервер должен откликаться и на ss.bases.local и на ss. Какие внести настройки в dns сервер чтобы это заработало. Файл hosts править нецелесообразно.

Доброго! Тема заезжена, но есть проблема
Есть сервер Openvpn на CentOS вот конфиг

local 172.172.70.231
port 443
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/serverCert.crt
key /etc/openvpn/keys/serverCert.key
dh /etc/openvpn/keys/dh.pem
crl-verify /etc/openvpn/keys/crl.pem
topology subnet
server 10.8.0.0 255.255.255.0
push «dhcp-option DNS 172.16.30.200»
push «dhcp-option DNS 8.8.8.8»
#push «route 172.18.0.0 255.255.0.0»
push «route 172.0.0.0 255.0.0.0»
#ifconfig-pool-persist /etc/openvpn/ipp.txt
keepalive 10 120
max-clients 10
client-to-client
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 9
mute 20
daemon
mode server
comp-lzo
user nobody
group nobody

ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.172.70.231 netmask 255.255.255.0 broadcast 172.172.70.255

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.8.0.1 netmask 255.255.255.0 destination 10.8.0.1

iproute
default via 172.172.70.1 dev eth0 proto static metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
172.172.70.0/24 dev eth0 proto kernel scope link src
172.172.70.231 metric 100

firewall-cmd --list-all

public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client nfs ssh
ports: 443/udp 22/tcp
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:

Маскарадинг настроен

Клиент с win машины подключается. Но пинг до шлюза не идет.
Видимо я где-то ошибся, где не пойму
Вот route print с win машины


IPv4 таблица маршрута ===========================================================================
Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.237 55
10.8.0.0 255.255.255.0 On-link 10.8.0.2 291
10.8.0.1 255.255.255.255 10.0.8.1 192.168.43.237 65
10.8.0.2 255.255.255.255 On-link 10.8.0.2 291
10.8.0.255 255.255.255.255 On-link 10.8.0.2 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.0.0.0 255.0.0.0 10.8.0.1 10.8.0.2 36
172.16.0.0 255.255.0.0 10.8.0.1 10.8.0.2 36
172.18.0.0 255.255.0.0 10.8.0.1 10.8.0.2 36
192.168.43.0 255.255.255.0 On-link 192.168.43.237 311
192.168.43.237 255.255.255.255 On-link 192.168.43.237 311
192.168.43.255 255.255.255.255 On-link 192.168.43.237 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.237 311
224.0.0.0 240.0.0.0 On-link 10.8.0.2 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.237 311
255.255.255.255 255.255.255.255 On-link 10.8.0.2 291
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
26 311 fe80::/64 On-link
17 291 fe80::/64 On-link
17 291 fe80::25fa:7475:ae32:e519/128
On-link
26 311 fe80::340a:8a8c:b990:599f/128
On-link
1 331 ff00::/8 On-link
26 311 ff00::/8 On-link
17 291 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Конфиг клиента

client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 443
persist-key
persist-tun
verb 3
route 172.16.0.0 255.255.0.0 vpn_gateway
route 172.18.0.0 255.255.0.0 vpn_gateway
route-method exe
route-delay 2
Спасибо

Доброго! Есть DNS сервер на CentOS и много рабочих станций на windows и ubuntu.
На Win машинах запросы разрешаются,все пингуется.
На Ubuntu машинах запрос разрешается, ip выдается, но пинга нет, по ip все пингуется. DNS прописан в настройках сети, сеть настроена вручную.

Доброго!

Есть DNS-Сервер Bind на CentOS. На нем настроена своя зона. Если с другой машины (windows) запросить nslookup до необходимого ресурса, результат такой:
╤хЁтхЁ: UnKnown
Address: 172.16.30.78

╚ь : pr.mpk.local
Address: 172.16.30.40

При пинге pr.mpk.local, вот такая ошибка:
C:\Users\zernov.aa>ping pr.mpk.local
При проверке связи не удалось обнаружить узел pr.mpk.local. Проверьте имя узла и повторите попытку.



Конфиг сервера

options {
listen-on port 53 { 127.0.0.1; localhost; 172.16.30.78;
};
#listen-on-v6 port 53 { none; };
directory «/var/named»;
dump-file «/var/named/data/cache_dump.db»;
#allow-query { 127.0.0.1; 172.0.0.0/8; };
allow-query { any; };
recursion yes;
#allow-recursion { 127.0.0.1; 172.0.0.0/8; };
allow-recursion { any; };
forwarders { 195.34.224.1; 195.34.224.2; };
version «DNS Server»;
managed-keys-directory «/var/named/dynamic»;
pid-file «/run/named/named.pid»;
session-keyfile «/run/named/session.key»;
dnssec-enable no;
dnssec-validation no;
};

zone "." IN {
type hint;
file «named.ca»;
};

zone «pr.mpk.local» {
type master;
file «/etc/named/zone/mpk.local/pr.mpk.local»;
allow-update { none; };
};

zone «30.16.172.in-addr.arpa» {
type master;
file «/etc/named/zone/mpk.local/revers.pr»;
allow-update { none; };
};

#include «/etc/named.rfc1912.zones»;
include «/etc/named.root.key»;

logging {

channel default {
file «/var/log/named/default.log» versions 3 size 5m;
severity dynamic;
print-time yes;
};

Дальше куча настроек логов, поэтому немного пропущу

Настройки зоны:

$TTL 1D
@ IN SOA server.pr.mpk.local. root.example.com. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ IN NS server.pr.mpk.local.
@ IN A 172.16.30.40
server IN A 172.16.30.40
host IN A 172.16.30.40

У меня был сервер OpenVPN на WinServer2012, для освобождения лицензии я решил его перенести на CentOS.
Установка и настройка прошла успешно , я перенес CA (ca.crt,ca.key),index.txt(для уже существующих клиентов).
Все старые клиенты подключаются без проблем, новые созданные уже на CentOS тоже. Проблема в отзыве сертификатов:Если я отзываю новый сертификат он отзывается и клиент перестает работать,но если я отзываю сертификат созданный на старом сервере клиент продолжает работать, статус в index.txt меняется на R,появляется дата отзыва crl.pem формируется сертификат числится отозванным.

Есть подозрения на строку Subject в сертификате клиента т.к. используя файл Vars для создания сертификата на Win из него заполняются строки Issuer и Subject а в CentOS только строка Issuer.В строке Subject остается только CN.Может есть какие-то соображения?

Доброго! Не стартует openvpn запускаю командой sudo systemctl start openvpn@server.service
Получаю ответ:
Job for openvpn@server.service failed because the control process exited with error code. See «systemctl status openvpn@server.service» and «journalctl -xe» for details.
jornalctl -xe дает вот так:
-- -- Unit NetworkManager-dispatcher.service has begun starting up. Dec 18 15:28:41 localhost.localdomain dbus[4185]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher' Dec 18 15:28:41 localhost.localdomain systemd[1]: Started Network Manager Script Dispatcher Service. -- Subject: Unit NetworkManager-dispatcher.service has finished start-up -- Defined-By: systemd -- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel -- -- Unit NetworkManager-dispatcher.service has finished starting up. -- -- The start-up result is done. Dec 18 15:28:41 localhost.localdomain nm-dispatcher[5005]: req:1 'dhcp4-change' [eth0]: new request (1 scripts) Dec 18 15:28:41 localhost.localdomain nm-dispatcher[5005]: req:1 'dhcp4-change' [eth0]: start running ordered scripts... Dec 18 15:29:48 localhost.localdomain sudo[5012]: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/bin/journalctl -xe Dec 18 15:29:48 localhost.localdomain sudo[5012]: pam_unix(sudo:session): session opened for user root by admin(uid=0)
Команда sudo systemctl status openvpn@server.service Вот такой результат:
● openvpn@server.service - OpenVPN Robust And Highly Flexible Tunneling Application On server Loaded: loaded (/usr/lib/systemd/system/openvpn@.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since Tue 2018-12-18 15:24:19 MSK; 3s ago Process: 4984 ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i.conf (code=exited, status=1/FAILURE) Main PID: 4984 (code=exited, status=1/FAILURE)

Dec 18 15:24:19 localhost.localdomain systemd[1]: Starting OpenVPN Robust And Highly Flexible Tunneling Application On server... Dec 18 15:24:19 localhost.localdomain systemd[1]: openvpn@server.service: main process exited, code=exited, status=1/FAILURE Dec 18 15:24:19 localhost.localdomain systemd[1]: Failed to start OpenVPN Robust And Highly Flexible Tunneling Application On server. Dec 18 15:24:19 localhost.localdomain systemd[1]: Unit openvpn@server.service entered failed state. Dec 18 15:24:19 localhost.localdomain systemd[1]: openvpn@server.service failed.
Всю голову сломал что не так

Доброго товарищи! Ставлю на centos openvpn,все устанавливается все вроде хорошо. Директории на месте в папке easy-rsa отсутствует файл vars.Для чего он нужен и как работает в принципе знаю,но написать его не смогу.Найти не получается.Есть какие-то соображения?

Доброго!Проблема такая: подключаю 1 общую папку командой sudo mount -t cifs //172.16.54.X/Обмен /home/admin/Обмен -ousername=user,password=user,iocharset=utf8,file_mode=007,dir_mode=0777 Подключение происходит без проблем, шара работает. И теперь мне требуется подключить другую папку у которой требуется ввод домена т.е. sudo mount -t cifs //172.16.30.X/it /home/admin/IT -ousername=DOMEN\USER,password=user,iocharset=utf8,file_mode=007,dir_mode=0777 Получаю вот такую ошибку : mount error(13): Permission denied Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) Нет авторизации ,данные введены верно,ubuntu или windows подключаюсь без проблем. Как правильно ввести домен перед именем пользователя что-бы подключится,я думаю в этом проблема