Всем доброго дня, подскажите, по теме, можно ли как то выкачать текущие нстройки ядра и подставить их к скачанным исходникам ядра с www.kernel.org для того чтобы при сборке с помощью make oldconfig они оттуда подхватились и сборка ядра прошла с минимумом вопросов? Ситуация такова, имею убунту 20.04, ядро то которое было при установке, сам не обновлял, решил собрать ядро сам, скачал исходники и распаковал, как подсказывают многочисленные мануалы чтобы взять конфиг из старого ядра надо выполнить

zcat /proc/config.gz > .config

Но у меня по пути /proc нету config.gz, и ничего не выгружается так, попробовал выгрузить настройки ядра с помощью

sudo sysctl -a > /путь к исходникам/.config

но этот конфиг не принимается при сборке, все вопросы начинаются с самого начала конфигурации и их так много что за два дня на все не ответил, в итоге убунта зависла (видимо из за телеграма, он много жрёт) и все потеряно, по новой этот опросник проходить неохота

Всем привет, подскажите по вайргварду, погуглил, почитал статейки в инете, везде говорится как настроить клиент и сервер, но нигде несказано о главном - сервер должен быть с белым IP или и серый прокатит? Хотя я так понимаю что серый непрокатит, чуда не случится, но в статьях об этом четко не сказано.

Всем доброго дня, подскажите по вопросу, пользуюсь auditd для анализа системных событий, ессно для этого читаю audit.log, все было нормально и тут вдруг, ни с того ни с сего строки записи аудита стали выглядеть вот так:

type=SYSCALL msg=audit(1627887699.656:639791): arch=c000003e syscall=42 success=no exit=-115 a0=9c a1=7fe9634d9730 a2=10 a3=0 items=0 ppid=2594 pid=4657 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=3 comm=536F636B657420546872656164 exe=2F7573722F6C69622F66697265666F782F66697265666F78202864656C6574656429 subj=unconfined key=«MYCONNECT» ARCH=x86_64 SYSCALL=connect AUID=«me» UID=«me» GID=«me» EUID=«me» SUID=«me» FSUID=«me» EGID=«me» SGID=«me» FSGID=«me» type=SOCKADDR >msg=audit(1627887699.656:639791): saddr=020001BB89FE3C200000000000000000 SADDR={ fam=inet laddr=137.254.60.32 lport=443 } type=PROCTITLE >msg=audit(1627887699.656:639791): proctitle=2F7573722F6C69622F66697265666F782F66697265666F78002D6E65772D77696E646F77

А именно проблема в строчке exe= Что это за непонятный процесс 2F7573722F6C69622F66697265666F782F66697265666F78202864656C65746564 ??? Эти строчки относятся к процессу firefox и там должно быть /usr/bin/firefox, и так и было обычно, а это что такое сейчас? У кого какие мысли?

Всем привет, уже подымал как то тему

Расшифровать HEX IP SADDR из логов audit`a[/url]

Вот теперь другой вопрос С самого начала вкратце: заинтересовался как можно мониторить TCP коннекты, нашел решение:

https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process/352275#352275

выполнил
auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT

Все отлично

но как позже выяснилось - в audit.log есть только строчки коннектов по IPv4 вида:

type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 success=no exit=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 ppid=1 pid=809 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=«NetworkManager» exe=«/usr/sbin/NetworkManager» subj=unconfined key=«MYCONNECT» ARCH=x86_64 SYSCALL=connect AUID=«unset» UID=«root» GID=«root» EUID=«root» SUID=«root» FSUID=«root» EGID=«root» SGID=«root» FSGID=«root»

type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA540000000000000000 SADDR={ fam=inet laddr=35.224.170.84 lport=80 }

type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle=«(kManager)»

и они все только такие, с адресами IPv4 - SADDR={ fam=inet laddr=35.224.170.84 lport=80 }

некоторое время наблюдал - IPv6 там не появляются, хотя он у меня включен и провайдер его поддерживает

ip a - выдает мне inet6 с моим IPv6 адресом, коннекты по нему идут как я видел есть, но в audit.log они не попадают Так возможно ли мониторить IPv6 коннекты с помощью auditd или хотя бы другими средствами с получением такой же подробной информации?

Всем привет, ребята подскажите такую вещь, подотстал немного от жизни - до сих пор юзаю убунту 18.04, думаю пора бы её обновить еа 20.04, но как я слышал сейчас в моду вошел nftables вместо iptables’а, так в убунте 20.04 там уже nftables по умолчанию применяется? И чтобы вернуться на iptables надо будет отключать nftables или ими обоими можно пользоваться одновременно?

Всем привет, подскажите в чем может быть проблема, появилась необходимость на компе с убунтой 20.04 и без инета создать локальный репозиторий, делал все по мануалу отсюда https://help.ubuntu.com/community/AptGet/Offline/Repository?action=show&redirect=SuiteCodename

Скачал из http://archive.ubuntu.com/ubuntu/dists/focal/ Все необходимые файлики, прописал в /etc/apt/sources.list

новый локальный репо - deb file:///home/repo focal main

воссоздал структуру папок в /home/repo -

/home/repo

/home/repo/focal

/home/repo/focal/Main

/home/repo/focal/Main/binary-amd64

/home/repo/focal/Main/binary-amd64/by-hash

закинул в каждую из них файлики как на оригинальном репо

сделал sudo apt-get update, все ОК, новый реп подключен

скачал нужные мне deb-файлики

но команда sudo apt-get install пакет ничего не находит, Package is not available куда я их только не закидывал - во все из вышеупомянутых папок, и даже создал папку /home/repo/pool/перваябуквапакета/ и в неё deb-файлики закидывал, делал sudo apt-get update, все равно не находит

Всем доброго дня Подскажите, вот изучаю сед хочу научится переставлять слова разделенные пробелами но что то ничего не получается Допустим слово может быть любым набором символом, все кроме пробелов

Итого соорудил вот такую конструкцию

echo 'abcd qwer zxc 123' | sed -E "s/([^[[:space:]]]+)([^[[:space:]]]+)([^[[:space:]]]+)/\2 \1 \3/"

Вроде все по гуглу и мануалам но не работает, вывод даёт теже

abcd qwer zxc 123

Что не так то?

Всем доброго дня, подскажите начинающему башеводу стал писать скриптик, и сразу проблема:

конструкция вида

a1 = $(sudo cat /etc/audit/rules.d/audit.rules | grep somestring)

выдает мне ошибку на этой строке

a1: command not found

что при выполнении из скрипта что из консоли #!/bin/bash есс-но стоит в начале скрипта, Все же по мануалам, в чем ошибка то?

Всем привет, посдкажите, изучаю логи в /var/log/syslog заинтересовало что значат цифры в [] после kernel?

Jun 25 07:56:58 my-pc kernel: [19856.495153] testing the buffer
Jun 25 07:56:58 my-pc kernel: [19856.495184] testing the buffer
Jun 25 07:56:58 my-pc kernel: [19856.495321] testing the buffer
Jun 25 07:56:58 my-pc kernel: [19856.495438] testing the buffer

Вроде и не таймштамп и не секунды от начала суток но что же это тогда?

Да там и в других сообщениях, не kernel, только там другие цифры, например

Jun 25 08:02:02 my-pc auditd[725]: Audit daemon rotating log files
Jun 25 08:02:09 my-pc postfix/sendmail[30025]: fatal: open /etc/postfix/main.cf: No such file or directory
Jun 25 08:02:10 my-pc cron[767]: sendmail: fatal: open /etc/postfix/main.cf: No such file or directory
Jun 25 08:02:10 my-pc postfix/sendmail[30028]: fatal: open /etc/postfix/main.cf: No such file or directory
Jun 25 08:02:10 my-pc CRON[29003]: (logcheck) MAIL (mailed 125 bytes of output but got status 0x004b from MTA#012)

Всем доброго дня, изучаю чужой скрипт на баше (заодно и сам баш таким путем) в скрипте есть строки такого вида:

tail -n 1 -f /var/log/syslog | while read string

do

echo $string | grep «FWALL.*REJECT» > /dev/null || continue

export $string 2>/dev/null

CHAIN=${CHAIN%-REJECT}

Вот подскажите мне пожалуй - в упор не пойму последнюю строчку

CHAIN=${CHAIN%-REJECT}

запускал скрипт прописав в начале set -x и set -v CHAIN=${CHAIN%-REJECT} - выцепляет ту последовательность символов что идет перед словом REJECT в строчке которая сверху грепается но что значит эта конструкция ${CHAIN%-REJECT}? что значат символы %- ? И откуда баш узнает что операция ${CHAIN%-REJECT} проводится над переменной $string?

Всем привет, собственно вопрос в теме, это если этих прог установлено сразу несколько разных версий, конкретно в моем случае - у меня установлены интерпретаторы языка Луа версий - 5.1, 5.2, 5.3, при выполнении команд и скриптов из консоли

lua -e «скрипт или команды»

Как я выяснил работает интерпретатор версии 5.2 А если я хочу выполнить тоже самое но с интерпретором 5.1 или 5.3?

Всем привет, заинтересовал вот вопрос - как найти файл зная его дескриптор? Например вот хочу найти файл сокета мозиллы: Делаю:

lsof -i TCP | grep firefox

Получаю вывод:

PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

17866 some 40u IPv4 499775 0t0 TCP 192.168.1.50:54134->44.241.185.165:443 (ESTABLISHED

Как видно файловый дескриптор созданного сокета имеет номер 40u, Как по этому дескриптору найти где расположен сам файл сокета и его название?

Всем доброго дня, возникло желание почитать логи TCP коннектов для этого воспользовался советом из

https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process/352275#352275

Выполнил

auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT

изучаю лог /var/log/audit/audit.log

вижу строчки типа:

type=PATH msg=audit(1623640833.336:2292562): item=0 name=«/var/run/nscd/socket» nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0 type=PROCTITLE msg=audit(1623640833.336:2292562): proctitle=«(genrules)» type=SYSCALL msg=audit(1623640833.336:2292563): arch=c000003e syscall=42 success=yes exit=0 a0=5 a1=7f8c2eba82a0 a2=6e a3=8 items=1 ppid=5092 pid=5094 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=«audispd» exe=«/sbin/audispd» key=«MYCONNECT» type=SOCKADDR msg=audit(1623640833.336:2292563): saddr=01002F6465762F6C6F6700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 type=CWD msg=audit(1623640833.336:2292563): cwd=«/»

где saddr я так понимаю это IP адрес но как его привести в нормальный вид?

Пробовал советы отсюда: https://unix.stackexchange.com/questions/102926/how-to-interpret-the-saddr-field-of-an-audit-log скрипт parse-audit-log.pl отсюда https://twiki.cern.ch/twiki/bin/view/LinuxSupport/IDSNetConnectionLogger ничего не помогает

Всем привет, подскажите как в баше правильно грепнуть, и выбрать, в выводе нужное выражение? К примеру мне нужно из вывода

ps -p пидпроцесса

выбрать название процесса К примеру Firefox у меня был запущен с pid 10326

вывод ps -p 10326 выдаёт:

[code] PID TTY TIME CMD 10326 ? 00:00:18 firefox [/code]

Получается мне надо «выгрепнуть» самое последнее целое слово, т.к. есть процессы в названиях которых не все так гладко как в фаерфоксе - там в названиях есть и цифры и точки и всякие символы и в будущем может понадобится грепать и их то получается что единственной особенностью названия процесса является то что он не содержит в себе пробелов

Тогда грепаю так:

ps -p 10326 | grep -E ‘10326.+(\S+)$’

Но получаю целую строчку

10326 ? 00:00:18 firefox

А мне надо только последний слитный набор символов кроме пробела, т.е. «firefox»

Уже сколько каких вариантов ни перепробовал но ничего не получается - я либо получаю всю строчку целиком либо не получаю ничего вообще! В этом можно просто убедится присвоив результаты вывода переменной например

a1=$(ps -p 10326 | grep -E ‘10326.+(\S+)$’)

echo $a1

Помогите плиз!

Всем доброго дня, все кто ставил любой линух видел там при установке возможность разбивки диски на разделы и выбор их типа, изначально можно выбрать - либо полностью шифрованные разделы в LUKS либо обычные и дальше уже все остальное, выбор типа ext2,3,4/btrfs и т.д. подскажите если я установил линукс по второму типу можно ли без переустановки зашифровать все разделы в LUKS?

Всем доброго дня, подскажите по такому вопросу: Есть сетка с компами на винде 7/8, без домена, только рабочая группа, установил на один комп Убунту 20.04 - только убунта установилась открываю Dolphin - Network и все компы с виндой видны, правда остального не попробовал, заходить в шары на компах пинговать по имени, установил на другой комп Opensuse Tumbleweed самый свежий, тоже самое - открываю Dolphin - Network - компы с виндой не видны, сузя сеть не видит, но по ip виндовые компы пингуются а по именам - нет, также и с виндовых компов комп с сузей в сетке не виден, по ip пингуется а по имени компа - нет. Как в сузе наладить сетевое обнаружение и разрешение имен? Почему в Убунте сразу все нормально а в сузе нет?

Всем привет, подскажите по такому вопросу - хочу чтобы все входящие и исходящие соединения iptables выводились в логи, причем с pid'ом процесса, создал в iptables отдельные цепочки в которые передаются цепочки INPUT и OUTPUT, к этим цепочкам применяется действие LOG

:WALL-FORW - [0:0]
:WALL-INPUT - [0:0]
:WALL-OUTPUT - [0:0]
-A INPUT -j WALL-INPUT
-A INPUT -j LOG -m owner --pid-owner 0:65535 --log-level debug --log-prefix "CHAIN=WALL-INPUT-REJECT "
-A FORWARD -j WALL-FORW
-A FORWARD -j LOG  -m owner --pid-owner 0:65535 --log-prefix "CHAIN=WALL-FORW-REJECT "
-A OUTPUT -j WALL-OUTPUT
-A OUTPUT -j LOG  -m owner --pid-owner 0:65535 --log-prefix "CHAIN=WALL-OUTPUT-REJECT "

Но в /var/log/syslog я потом наблюдаю строчки следующего вида:

May 24 20:00:00 user kernel: [16316.803782] CHAIN=WALL-OUTPUT-REJECT IN= OUT=wlan0 SRC=192.168.1.1 DST=210.130.149.177 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=15470 DF PROTO=TCP SPT=443 DPT=443 WINDOW=64240 RES=0x00 SYN URGP=0 

Что только ни пробовал но PID процесса в логи не попадает, как заставить iptables его туда выводить?

Всех приветствую! Имеется Ubuntu 18.04.4 ядро - 5.3.0-53-generic Стал изучать iptables и экспериментировать с ним, надыбал кое какой скриптик с примерами который начинается так:

    #!/bin/bash
    modprobe nf_conntrack
    modprobe nf_conntrack_amanda
    modprobe nf_conntrack_ftp
    modprobe nf_conntrack_h323
    modprobe nf_conntrack_irc
    modprobe nf_conntrack_netbios_ns
    modprobe nf_conntrack_netlink
    modprobe nf_conntrack_pptp
    modprobe nf_conntrack_proto_dccp
    modprobe nf_conntrack_proto_gre
    modprobe nf_conntrack_proto_sctp
    modprobe nf_conntrack_proto_udplite
    modprobe nf_conntrack_sane
    modprobe nf_conntrack_sip
    modprobe nf_conntrack_tftp
    modprobe xt_conntrack

в итоге при его запуске получаю:

modprobe: FATAL: Module nf_conntrack_proto_dccp not found in directory /lib/modules/5.3.0-53-generic
modprobe: FATAL: Module nf_conntrack_proto_gre not found in directory /lib/modules/5.3.0-53-generic
modprobe: FATAL: Module nf_conntrack_proto_sctp not found in directory /lib/modules/5.3.0-53-generic
modprobe: FATAL: Module nf_conntrack_proto_udplite not found in directory /lib/modules/5.3.0-53-generic

Причем что скрипт дальше вроде как и без этих модулей работает но все же возможно ли эти модули в ядро доустановить?

Всем привет, подскажите возможно ли в Linux и как осуществить подписку на какое либо событие - т.е. когда событие происходит система вызывает программу подписавшуюся на это событие, в винде есть такое, можно конечно заранее запустить скрипт вставить в цикле sleep и проверку на событие но это в наше время во первых будет неграмотно, в винде уже так давно очень редко делают, во вторых будет сьедать немного ресурсов системы впустую, в частности например хочу сделать автоматическое сохранение правил iptables - только в правила внесены какие то изменения - система сразу вызывает мой простенький скрипт в котором прописано сохранение настроек - iptables-save >… Так как в линуксе вся система и её настройки - это файлы то я так понимаю что для проверки настроек iptables на предмет изменения надо мониторить состояние какого то из файлов в /proc/net/ - как только файл с настройками iptables изменен вызывается мой скрипт, но какой там из файлов отвечает за настройки iptables тоже непойму

Всем привет, подскажите кто знает - существует ли для Убунты гуёвая утилитка для просмотра и настройки опций ядра как например в ясте опесузи?