Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.
Но ведь казалось бы, чтобы получить root-доступ через su, злоумышленнику надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута, а если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя.
Хотелось бы ясности в этом вопросе
ps: случай, когда можно сразу логиниться под рутом, не рассматриваю, это другой случай.
Добрый день! Есть VPN сервер, и требуется всех торрент качеров отправлять на другой гейт.
Делать я буду это следующим образом:
1)Добавляем 2 адреса гейтов в таблицу
ip route add default via x.x.x.x table 101
2)Задам пул из 20 DHCP адресов для юзеров
3)Маркирую траффик торрентов
iptables -t mangle -A PREROUTING -m string --algo bm --string "peer_id=" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string ".torrent" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string "announce.php?passkey=" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string "torrent" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string "announce" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string "info_hash" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --algo bm --string "tracker" -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --string "get_peers" --algo bm -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --string "announce_peer" --algo bm -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m string --string "find_node" --algo bm -j MARK --set-mark 101
iptables -t mangle -A PREROUTING -m ndpi --bittorrent -j MARK --set-mark 101
4)Сохранить такую же марку на все соединения юзера который качает
5)Роутить по метке на адрес выходного тунеля.
ip rule add fwmark 101 table 101
Помогите пожалуйста разобраться, как можно промаркировать все соединения c адресса, который начал качать торрент?
Была идея вместо маркировки соединений кидать их в LOG
-j LOG --log-prefix "Iptables: torrent detected"
потом парсить лог и маркировать src адресс виновника. После чего кроном очищать правила раз в 10 минут( чтобы если юзер вдруг вырубил торрент - вернуть его на основной канал). Но логи выходят большие, соответственно достаточно много ресурсов машины уйдет только на это
У нас в орг. стоит Bareos, в принципе все работает нормально. Недавно встала задача сделать ротацию в бареосе. То есть что бы он выполнял в пн - full , вт- diff, ср-diff, чт - diff, пт-diff,сб-diff, вс-diff, а потом следующий понедельник он перезаписал но новый full, не добавил дополнительный, а именно перезаписал.
Кто нибудь сталкивался с подобными задачами?
Подскажите куда копать ?
Вот мой Pool
Pool {
Name = Full
Pool Type = Backup
Recycle = no
Recycle Oldest Volume = no # Bareos can automatically recycle Volumes
AutoPrune = no
Volume Retention = 12 months
ActionOnPurge = Truncate
Maximum Volume Jobs = 1 # Prune expired volumes # Limit number of Volumes in Pool
Label Format = «${Client}_${Level}_${Pool}.${Year}-${Month:p/2/0/r}-${Day:p/2/0/r}-${Hour:p/2/0/r}-${Minute:p/2/0/r}»
Здравствуйте Уважаемые! Есть вот такой вот скриптик:
#!/bin/sh
HOST="8.8.8.8"
# Файл-флаг. Появляется при переключении на резервный канал
LOCKFILE="/tmp/check_internet.lock"
# Файл журнала
LOGFILE="/var/log/check_internet.log"
#Добавляем маршрут до 8.8.8.8 через 1прова
ip route add 8.8.8.8 via 119.228.242.13 dev eth0
while :
do
# Пингуем проверочный хост через основной канал
ping -I 95.79.221.8 -c 8 -n -q ${HOST} > /dev/null
# Если возникла ошибка (хост не доступен)
if [ $? -ne "0" ]; then
# Если нет файла-флага
if [ ! -f ${LOCKFILE} ]; then
#удаляем маршрут по умолчанию через 1прова
ip route del default
#добавляем маршрут по умолчанию через РТК
ip route add default via 203.208.106.37 dev ppp100
# Создаём файл флаг
touch ${LOCKFILE}
# Делаем запись в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` 1st inet connection lost >> ${LOGFILE}
fi
# Если же всё хорошо
else
# Если есть файл-флаг
if [ -f ${LOCKFILE} ]; then
#удаляем маршрут по умолчанию через РТК
ip route del default via 203.208.106.37 dev ppp100
#добавляем маршрут по умолчанию через 1прова
ip route add default via 119.228.242.13 dev eth0
# Удаляем файл-флаг
rm -f ${LOCKFILE}
# Записываем событие в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` 1st connetction UP >> ${LOGFILE}
fi
fi
done
Скрипт отрабатывает на ура, в случаях падения линка, либо недоступности 8.8.8.8, но есть небольшая трабла. Когда на 1м провайдере заканчиваются деньги, скрипт этого не видит и считает что все ок, т.к данный пров в случае задолженности не блокирует ICMP, а взаместо любых веб страниц отдает свою заглушку «пополните баланс». Telnet и другие протоколы не проверял, да и снаружи по SSH сервер не отвечает, только на пинг отвечает.
Пробовал
curl -Is http://${HOST} |head -n 1
, если все ок то отдает страницу, если баланс отрицательный - возвращает страницу залушку. Т.е ответ всё такой же HTTP/1.1 200 OK.
Есть идеи как еще простецким способом проверять доступность интернет-соединения?