Добрый день!

Хотелось бы узнать в каких случаях при установке обновлений пакетов ОС или системного ПО необходима перезагрузка?

Например знаю, что перезагрузка необходима при установке патчей ядра, а в других случаях является ли она обязательной.

Например при установке обновлений glib-c?

При установке обновлений службы httpd, достаточно перезапустить службу?

Как лучше выстроить сценарий работы по установке обновлений, в случае если обновления сажаются раз в квартал и сразу все, например: yum update Всегда ли в таких случаях требуется перезагрузка системы и системных служб?

Добрый день.

Есть задача настроить авторизацию одного ПО с помощью kerberos.

Для этого:

• На целевом сервере прописываются внутренние ДНС сервера организации.
• На целевом сервере настраивается точное время с помощью NTP
• На целевом сервере прописывается имя сервера sdtest.tb.kz
• На домен контроллере создается пользователь sdtest, с неограниченным сроком действия пароля.
• На внутренних ДНС серверах организации создаются A записи для сервера sdtest.tb.kz
• На домен контроллере создается тикет для авторизации сервера sdtest.tb.kz в АД с помощью kerberos

  ktpass -princ HTTP/sdtest.tb.kz@TB.KZ -mapuser sdtest@TB.KZ -crypto rc4-hmac-nt -pass “пароль пользователя sdtest” -ptype KRB5_NT_PRINCIPAL -out c:/sdtest.tb.kz.keytab
  

• Тикет копируется на целевой сервер
• На целевом сервере я пытаюсь проверить работоспособность тикета с помощью команды kinit и получаю ошибку

  kinit -V -k -t /root/sdtest.tb.kz.keytab HTTP/sdtest.tb.kz
  Using default cache: /tmp/krb5cc_0
  Using principal: HTTP/sdtest.tb.kz@TB.KZ
  Using keytab: /root/sdtest.tb.kz.keytab
  kinit: Keytab contains no suitable keys for HTTP/sdtest.tb.kz@TB.KZ while getting initial credentials
  

файл /etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = TB.KZ
dns_lookup_realm = true
dns_lookup_kdc = true
kdc_timesync = 1
ticket_lifetime = 24h
forwardable = true
proxiable = true
renew_lifetime = 7d
default_keytab_name = /root/sdtest.tb.kz.keytab
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
TB.KZ = {
kdc = dc05.tb.kz
kdc = dc06.tb.kz
admin_server = dc05.tb.kz
}

[domain_realm]
.tb.kz = TB.KZ
tb.kz = TB.KZ

Что я или админ домен контроллера делаем не так? Может быть что то упустили?

Добрый день!

Пару дней назад на тестовом сервере SFTP стала странно работать

При попытке попасть на сервер по SFTP с помощью клиента WinSCP v5.1.5 выдает приглашение на ввод уч.записи, а после ввода выдает сообщение:

Host is not communicating more than 15 sec. Still waiting...

затем выходит окно ошибки:

Authentication failed.

на сервере в файле логов появляется такое сообщение:

Sep 30 11:56:01 netservtest sshd[17835]: Connection closed by 10.153.5.11

любопытно, что с 5ой попытки мне удалось зайти на сервер по SFTP. т.е. сообщение о том, что хост не доступен в теч.15 сек вышло. но после появилось приглашение на ввод пароля.

по ssh с помощью putty на сервер попадаю без проблем.

ssh конфиг стандартный,кроме

GSSAPIAuthentication no

есть еще один севрер в той же подсети и тоже тестовый, при попытке зайти на него по SFTP с помощью клиента WinSCP он тоже выдает сообщение

Host is not communicating more than 15 sec. Still waiting...

и на него тоже можно попасть с 5ой-6ой попытки по SFTP

пробовала зайти на сервера с помощью команды

sftp -vvv -o PubkeyAuthentication=no user1@10.153.33.11

Connecting to 10.156.33.11...
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 10.156.33.11 [10.156.33.11] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug3: Wrote 960 bytes for a total of 981
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug3: Wrote 24 bytes for a total of 1005
debug2: dh_gen_key: priv key bits set: 128/256
debug2: bits set: 527/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: Wrote 144 bytes for a total of 1149
debug3: check_host_in_hostfile: host 10.156.33.11 filename /root/.ssh/known_hosts
debug3: check_host_in_hostfile: host 10.156.33.11 filename /root/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 1
debug1: Host '10.156.33.11' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:1
debug2: bits set: 477/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug3: Wrote 16 bytes for a total of 1165
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug3: Wrote 48 bytes for a total of 1213
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /root/.ssh/id_rsa ((nil))
debug2: key: /root/.ssh/id_dsa ((nil))
debug2: key: /root/.ssh/id_ecdsa ((nil))
debug3: Wrote 64 bytes for a total of 1277

После чего он задумывается секунд на 30. А после я вижу следующее:

debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,keyboard-interactive,password
debug3: authmethod_lookup password
debug3: remaining preferred: ,gssapi-with-mic,keyboard-interactive,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
dzham@10.156.33.11's password:
debug3: packet_send2: adding 64 (len 60 padlen 4 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug3: Wrote 144 bytes for a total of 1421
debug1: Authentication succeeded (password).
debug2: fd 4 setting O_NONBLOCK
debug3: fd 5 is O_NONBLOCK
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug3: Wrote 128 bytes for a total of 1549
debug2: callback start
debug2: client_session2_setup: id 0
debug1: Sending environment.
debug3: Ignored env HOSTNAME
debug3: Ignored env SHELL
debug3: Ignored env TERM
debug3: Ignored env HISTSIZE
debug3: Ignored env QTDIR
debug3: Ignored env USER
debug3: Ignored env LS_COLORS
debug3: Ignored env SUDO_USER
debug3: Ignored env SUDO_UID
debug3: Ignored env TMOUT
debug3: Ignored env USERNAME
debug3: Ignored env PATH
debug3: Ignored env MAIL
debug3: Ignored env PWD
debug1: Sending env LANG = en_US.UTF-8
debug2: channel 0: request env confirm 0
debug3: Ignored env SHLVL
debug3: Ignored env SUDO_COMMAND
debug3: Ignored env HOME
debug3: Ignored env LOGNAME
debug3: Ignored env CVS_RSH
debug3: Ignored env LESSOPEN
debug3: Ignored env SUDO_GID
debug3: Ignored env G_BROKEN_FILENAMES
debug3: Ignored env OLDPWD
debug3: Ignored env _
debug1: Sending subsystem: sftp
debug2: channel 0: request subsystem confirm 1
debug2: fd 3 setting TCP_NODELAY
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug3: Wrote 128 bytes for a total of 1677
debug2: channel 0: rcvd adjust 2097152
debug2: channel_input_status_confirm: type 99 id 0
debug2: subsystem request accepted on channel 0
debug3: Wrote 48 bytes for a total of 1725
debug2: Remote version: 3
debug2: Server supports extension «posix-rename@openssh.com» revision 1
debug2: Server supports extension «statvfs@openssh.com» revision 2
debug2: Server supports extension «fstatvfs@openssh.com» revision 2
debug3: Wrote 48 bytes for a total of 1773
debug3: Sent message fd 3 T:16 I:1
debug3: SSH_FXP_REALPATH . -> /home/dzham
sftp>

iptables отключен.

есть какие нибудь мысли о том, в чем может быть проблема? заранее благодарю за ваши ответы.

Добрый день!

Имею postfix-2.10.0-1.el6.x86_64 на RHEL 6 в качестве внешнего почтового шлюза

в качестве антивируса на сервере используется clamd-0.98.4-1.el6.rf.x86_64 clamav-0.98.4-1.el6.rf.x86_64 + clamsmtpd

Пришел запрос по поводу блокировки вложений swf + flv на Postfix

я так понимаю что postfix не умеет блокировать сообщения по вложениям

в конфигах clamsmtpd ничего подобного не нашла

подскажите какими средствами это возможно сделать?

Добрый день!

ОС RHEL 6 Squid Cache: Version 3.1.10 configure options: '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib64' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--enable-internal-dns' '--disable-strict-error-checking' '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'target_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' 'LDFLAGS=-pie' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' --with-squid=/builddir/build/BUILD/squid-3.1.10

[root@xxx squid]# cat squid.conf

auth_param basic program /usr/lib64/squid/squid_ldap_auth -d -R -D xxx@xxx.kz -w xxx -b «dc=xxx,dc=kz» -f sAMAccountName=%s -d xxx.xxx.kz xxx.xxx.kz

auth_param basic children 5

auth_param basic realm xxx.KZ

external_acl_type ldapg children=5 %LOGIN /usr/lib64/squid/squid_ldap_group -d -R -b «dc=xxx,dc=kz» -f "(&(sAMAccountName=%v)(memberOf=CN=%a,OU=Service-DIT,DC=xxx,DC=kz))" -D xxx@xxx.kz -w xxx -K -h xxx.xxx.kz xxx.xxx.kz

acl manager proto cache_object

acl localhost src 127.0.0.1/32 ::1

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl localnet src fc00::/7 # RFC 4193 local private network range

acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443 60001 8180 8643 8888 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 60001 8180 8643 8888 # NUC

acl CONNECT method CONNECT

acl POST method POST

acl GET method GET

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

#http_access deny to_localhost

acl auth proxy_auth REQUIRED

acl proxy_ldap external ldapg proxyldap

http_access allow proxy_ldap

http_access allow proxy_ldap CONNECT SSL_ports

#http_access allow localnet

#http_access allow localnet CONNECT SSL_ports

http_access allow localhost

http_access deny !auth all

#http_access allow auth

http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

#cache_dir ufs /var/spool/squid 100 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

как видно из конфига сквид работает с авторизацией керберос в АД.

прокся тестовая, но на продуктивах в отличие от тестового есть еще ACL с блокировкой по сайтам.

проблема в том что и на тестовом и продуктивном прокси у многих пользователей не открывается сайт http://hh.kz

вот что пишет в логах когда на этот сайт подключаюсь я: 1401966755.556 491 xxx.xxx.xxx.xxx TCP_MISS/200 53041 GET http://hh.kz/ super_user DIRECT/178.88.114.118 text/html

1401966755.922 125 xxx.xxx.xxx.xxx TCP_MISS/200 435 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript

1401966756.035 58 xxx.xxx.xxx.xxx TCP_MISS/200 436 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript

вот что пишет когда подключается пользователь: 1401966979.350 170 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html

1401966986.242 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain

1401966993.306 164 ууу.ууу.ууу.ууу TCP_MISS/302 374 GET http://hh.kz/hhid/bind just_user DIRECT/178.88.114.118 text/plain

1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html

1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain

пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит и обрывается. что странно у меня доступ есть, хотя как видно из конфига, он у меня такой же как у всех юзеров. кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий. Может быть настройки браузера?

уже не знаю что делать, помогите разобраться с проблемой.

Добрый день! Подскажите, пожалуйста, можно ли настроить сквид таким образом, чтобы метод CONNECT был разрешен только авторизованным пользователям?

Сейчас провожу тестирование и пробовала разные варианты, но в логах все время вижу следующее: TCP_DENIED/407 3629 CONNECT 157.56.52.19:443 - HIER_NONE/- text/html ...etc

при этом конфиг выглядит например так:

__________________________ acl SSL_ports port 443 80

acl Safe_ports port 80

acl fileupload req_mime_type -i ^multipart/form-data$

http_access allow fileupload

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 2 startup=2 idle=2

auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 10 startup=5 idle=3

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

acl _sams_default proxy_auth -i «/usr/local/etc/squid /default.sams»

acl _sams_default_time time MTWHFAS 00:00-23:59

acl _sams_disabled_id proxy_auth -i «/usr/local/etc/squid /disabled_id.sams»

acl CONNECT method CONNECT

http_access allow _sams_default _sams_default_time

http_access deny _sams_disabled_id

http_access allow CONNECT SSL_ports

http_access deny !Safe_ports

http_access deny !SSL_ports

http_access allow localhost

http_access deny all

http_port 3128

________________

если я поднимаю правила метода CONNECT

acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports

выше правил авторизации, то я могу легко заходить на сайты https и пользоваться скайп, но в этом случае данными сайтами и программами могут пользоваться все не авторизованные пользователи

Подскажите как настроить конфиг так, чтобы он метод CONNECT разрешал только авторизованным пользователям?

п.с. пробовался и такой вариант

http_access allow _sams_default CONNECT SSL_ports

все равно выходит в 407ю ошибку