LINUX.ORG.RU

Сообщения hudsucker

 

Время переключения на второй dns сервер

Добрый день! Вопрос может и детский, но я не могу найти вразумительный ответ. Вот указывается в настройка сети два dns сервера. Если первый недоступен, через какое время отправится запрос на второй?

 

hudsucker
()

Запрет редактирования /var/log/secure для sudo пользователей

Добрый день! Есть пользователь, который входит в группу wheel и имеет право на выполнение любых команд через sudo. Нужно иногда посмотреть какую sudo-команду он вводил. Я так понимаю что это всё пишется в /var/log/secure (Centos). Но этот же sudo-пользователь может сам же этот файл и почистить от ненужных логов, когда сделает какую-то пакость. Можно как-то разрешить этому пользователю делать всё, но запретить редактирование /var/log/secure. Или эта задача как то по другому решается?

 ,

hudsucker
()

Добавление маршрута через шлюз из другой подсети

Добрый день! В Linux’e можно добавить статический маршрут через шлюз из другой подсети (не direct connected)?

То есть, таблица маршрутизации:

default via 192.168.0.78 dev eth0 
169.254.0.0/16 dev eth0 scope link metric 1002 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.238
192.168.1.0/24 via 192.168.0.78 dev eth0 

Нужно трафик к хосту 178.238.26.69/32 отправлять через 192.168.1.1. Соответственно проблема:

[root@srv-est-zbx-03 ~]# ip route add 178.238.26.0/24 via 192.168.1.1 dev eth0
RTNETLINK answers: Network is unreachable

Спасибо

 , ,

hudsucker
()

Запрет запуска php скриптов с определенной директории (apache)

Добрый день! Php5.5, Apache/2.2.22 Цель: запретить запускать php скрипты с определённого каталога.

Пишу в файл настройки виртуального хоста:

<Directory "/var/www/games/www/upload">
        php_flag engine off
        AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
        AllowOverride None
</Directory>

Создаю в каталоге /var/www/games/www/upload/test.php с содержимым:

<html>
 <head>
  <title>Тестируем PHP</title>
 </head>
 <body>
 <?php echo '<p>Привет, мир!</p>'; ?>
 </body>
</html>

Вбиваю в браузере http://<имя сайта>/upload/test.php и мне говорят «Привет, мир». А не должно. Что я делаю не так? Заранее спасибо

 ,

hudsucker
()

Проблема с MTU на CentOS 7

Добрый день. В локальной сети есть CentOS Linux release 7.4.1708. На нём сайт. Есть удалённый офис, связанный с локальной сетью посредством GREoverIPsec. Проблема: с локальной сети на сайт заходит, с удалённого офиса нет. Понятно что проблема в MTU. Непонятно как её правильно решить. Поставил на интерфейсе веб сервера mtu 1350 и всё заработало. Но мне не нравиться что ради одного удаленного офиса все будут работать с mtu 1350. Какие еще могут быть варианты решения? И я не совсем понимаю почему на linuxe не вступает в работу PMTUD и mtu не настраивается автоматически? Снял tcpdump, роутер отвечает что пакеты требуют фрагментации, но веб-сервер всё равно не пытается отправить пакет с меньшим MTU. Заранее спасибо!

 

hudsucker
()

Ложный transient hostname

Добрый день! На сервере hostname установлен в SRV-M29-PRX-01. Сегодня заметил что каким-то образом Transient hostname вдруг изменился на mail.bb.com - это вообще название другого сервера в сети. Никак не могу определить как такое произошло. Может кто-то сталкивался с подобным? В DHCP все в порядке, mDNS не использую.

CentOS Linux release 7.4.1708 (Core)

 
[root@mail ~]# hostname
mail.bb.com

[root@mail ~]# hostnamectl
Static hostname: srv-m29-prx-01
Pretty hostname: SRV-M29-PRX-01
Transient hostname: mail.bb.com

[root@mail ~]# cat /etc/hostname 
srv-m29-prx-01

И какую роль вообще играет Transient hostname? Заранее спасибо!

 ,

hudsucker
()

HTTPS на прозрачном squid без установки сертификатов в браузере

Добрый день! Пытаюсь настроить Squid для корпоративной сети. Нужно работать в двух режимах непрозрачный с авторизацией по группам в АД, и прозрачный для разного рода устройств, которые либо не поддерживают WPAD, либо нет возможности указывать прокси в браузере вручную (гостевые android телефоны, ноутбуки, ПК и т.д). С первым вариантом все в порядке. Со вторым - затык. HTTP работает, HTTPS как бы тоже, но браузер ругается на поддельный сертификат. Устанавливать сертификаты на каждое новое устройство желания нет. Поэтому вопрос: Есть ли возможность настроить Сквид в прозрачном(!) режиме для работы с https без установки сквидовского сертификата на клиенты? В гугле искал, оф. документацию читал, ответа пока не нашел. Достаточно чтобы Сквид просто смотрел SNI в Client Hello, и пропускал (то есть splice) или делал terminate, в зависимости от SNI, ну и писал логи по этим сайтам. То есть можно обойтись без дешифровки (bump) Спасибо

 

hudsucker
()

RSS подписка на новые темы