LINUX.ORG.RU

Избранные сообщения magik046

При отправке мыла с лок. компа видно мой IP

Форум — General

При отправке мыла с локального компа через почт. клиент я обнаружил, что принимающая сторона может видеть мой IP и имя хоста (andreys_comp.localhost), если посмотрит в заголовки или исходный код письма.

Это такая фишка? IP всегда виден в таких случаях?

 ,

zimmin
()

IPv6 в энтерпрайзе

Форум — Admin

Есть у кого истории успешного внедрения IPv6 в существующих компаниях?

Предположим есть средний бизнес, около 30 офисов по стране и один центральный. Сейчас все работает на L2TP/IPsec+OSPF. Когда-нибудь придет время все это переводить на IPv6, ну допустим договоримся с ISP чтобы в региональные офисы по префиксу /64 выделили, в центральный /56 (там много подсетей). Но маршрутизаторах настраивается шифрование транзитного трафика транспортным IPsec, потребность в L2TP и OSPF отпадает (хотя, OSPF наверное в центральном останется).

А что дальше? Сейчас за пользовательскими компами закреплены IPv4 и есть фильтры по IP на маршрутизаторах и оконечных серверах. Получается, что SLAAC не подходит и надо будет IA_NA раздавать по DHCP. Но DHCPv6 не умеет раздавать def. route, типа надо использовать LinkLocal адрес маршрутизатора и вот тут мой мозг ломается, к каким проблемам это может привести? Из очевидно в трассировке не будет видно часть хопов (или в IPv6 стек умный и должен отвечать с Global адреса, а если их несколько, как он поймет с какого?)

Дальше, есть указание скрывать внешние IP при выходе в «дикий» интернет, т.к. IPv6 привязывается к юр. лицу префиксом, то надо скрывать целиком префикс...ну окей, покупаем VPN с /56, делаем до него туннельный IPsec и либо надеемся что vpn провайдер будет dhcpv6-pd в туннель пускать, либо статикой.

Окей у нас раздается на ПК конечного пользователя два адреса: один для внутренних сервисов (по dhcp), второй для внешних (по slaac). Все ПК на Windows (это от меня не зависит) т.к. там 1c и прочая порнография. Как оконечным приложениям объяснить какой адрес использовать в качестве src? И как убедиться, что трафик не «утечет» с неправильного.

А еще есть firewall...в схеме с NAT можно было сделать простой firewall, который lan-to-wan пропускает новые соедиения, а обратно только установленные, получается дополнительная линия защиты...IPv6 говорит нам о том, что между двумя хостами должна быть полная связанность, получается на маршрутизаторах надо разрешать входящие соединения wan-to-lan иначе часть сервисов может не заработать и остается надеяться на нормально работающий firewall на оконечных устройствах.

Это все пока просто размышления на фоне изучения IPv6 и я думаю что до реальной ситуации IPv6 не дойдет в виду консервативности руководства...

 , ,

Kolins
()

Терминальный сервер на линух - миф или реальность?

Форум — Admin

Доброго времени суток. Попробовал развернуть тестовый терминальник на 18 убунте. Сначала поставил x2go, потом xrdp + xorgxrdp (понравился больше). Огромная задержка в обоих случаях. Если подключаться к вендовому рабочему терминалу по RDP, то задержка заментно меньше. Есть ли способ приблизить сервер терминалов на GNU/Linux к вендовому? Поделитесь тонкостями настройки. Если запускать сессию локально, то все достаточно плавно, так что, думаю, что-то со сжатием

 , , , ,

Rot1
()

Настройка postfix

Форум — Admin

Есть свой почтовый сервер на postfix, и подключившись к нему по smtp, можно сделать без всякой авторизации

MAIL from: vlad@мой-домен
RCPT to: vlad@мой-домен
DATA
текст
.

и он это принимает, и мне приходит письмо типа от меня.

При этом сделать что-то вида

MAIL from: vlad@мой-домен
RCPT to: вася@чужой-домен
DATA
текст
.

нельзя без авторизации.

Хотелось бы, чтобы если приходит запрос, где from - из моего домена, то чтобы требовалась авторизация. Читаю http://www.postfix.org/postconf.5.html, пробую, но что-то не нахожу подходящего варианта

 

cvs-255
()

Postfix — почему-то спамеры могут использовать мой сервер без аутен-ции

Форум — General

Когда я отправляю мыл со своего postfix'a, то в логах вот это

       postfix/submission/smtpd: ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8

Почему спамеры, могут отправлять мылы от моего имени мне же без аутентификации?

      postfix/smtpd:  helo=1 mail=1 rcpt=1 data=1 commands=4

Везде в конфигах настроена аутентификация. В каждой секции есть permit_sasl_authenticated. И др. настройки тоже на месте.

Что я мог забыть?

 

buev
()

Нужно железное ядро сети с фильтрацией трафика.

Форум — General

Здравствуйте. Пришло время модернизировать свою сеть , так как начальство согласилось дать денег. В связи с этим не могу найти решение для ядра сети. Требования - switch (L3-L4) 24 порта, с поддержкой HA (отказоустойчивый), c фильтрацией трафика между сегментами сети , обновляемым блеклистом, управление вланами , два wan. Расматриваю решения до 6к $. Буду рад предложениям.

 

Mozl
()

Превращение дисков в вендорные для IBM

Форум — General

Всем доброго времени суток,столкнулся с такой проблемой всем известно что вендоры например IBM используют диски известных производителей, например seagate. Так вот, есть у меня несколько дисков от seagate, и решил я их превратить в диск от IBM. Начитавшись кучи записей в инете впал в недоумение. На одном форуме (https://forum.ixbt.com/topic.cgi?id=66:10606) было написано («Как шить и чем шить с HDD Seagate уже давно разобрались, СХД с ними уже работает и не первый год.») что превращать диск в диски ibm проще простого и все уже это умеют. Но блин как? Есть ссылка на некую программу, но сколько я не пробовал, сколько я не искал ничего не получается.(печаль и уныние). Пробовал разные методики, и программы от Seagate. И старый hdparm. Но итог один - failed. Покапавшись в самой прошивке пришел к выводу, что как минимум прошивка от IBM больше по размеру и в HEX-редакторе смотрится совсем иначе. Прошивальщик тупо не может шить.

Если шить через hdparm прошивку от ibm, то выдает сообщение

file size (1690984) not a multiple of 512

Если шить родную от seagate то шьется без проблем.

Почему не заливается прошивка? Кто сталкивался? Подскажите? Диски IBM пр-ва Seagate такие же как и без наклейки IBM. Я больше чем уверен дело в хитром методе прошивки. Может кто подскажет куда копать? Уж больно хочется заставить СХД от IBM кушать неродные диски.

 , , ,

Dataon
()

Увидеть пароли, которыми брутят твой SSH-сервер

Форум — Security

Один из вариантов, который выбрал я — пропатчить OpenSSH (он используется в большинстве дистрибутивов).

Патч:

--- old/auth-passwd.c	2009-03-07
+++ new/auth-passwd.c	2013-01-30
@@ -86,6 +86,8 @@
 	static int expire_checked = 0;
 #endif
 
+	logit("auth_password: username: `%s' password: `%s'", authctxt->user, password);
+
 #ifndef HAVE_CYGWIN
 	if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
 		ok = 0;

Теперь мы будем в /var/log/auth.log (или где там у вас пишутся логи ssh-сервака) видеть, чем именно нас пытаются «брутить» нехорошие дяденьки:

Jan 30 08:54:46 POWER sshd[12266]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 08:54:46 POWER sshd[12266]: auth_password: username: `root' password: `cacutza'
Jan 30 08:54:46 POWER sshd[12266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 08:54:48 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:52 POWER sshd[12266]: auth_password: username: `root' password: `root2010'
Jan 30 08:54:53 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:53 POWER sshd[12266]: Connection closed by 190.24.10.11 [preauth]
Jan 30 08:54:53 POWER sshd[12266]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:05 POWER sshd[12275]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:06:05 POWER sshd[12275]: auth_password: username: `root' password: `cacutza'
Jan 30 09:06:06 POWER sshd[12275]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:08 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:08 POWER sshd[12275]: auth_password: username: `root' password: `handler'
Jan 30 09:06:10 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:10 POWER sshd[12275]: auth_password: username: `root' password: `centosadmin'
Jan 30 09:06:13 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:13 POWER sshd[12275]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:06:13 POWER sshd[12275]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:25 POWER sshd[12352]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:17:25 POWER sshd[12352]: auth_password: username: `root' password: `cacutza'
Jan 30 09:17:25 POWER sshd[12352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:28 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:30 POWER sshd[12352]: auth_password: username: `root' password: `private'
Jan 30 09:17:33 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:35 POWER sshd[12352]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:17:35 POWER sshd[12352]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:46 POWER sshd[12406]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:28:46 POWER sshd[12406]: auth_password: username: `root' password: `cacutza'
Jan 30 09:28:46 POWER sshd[12406]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:48 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:51 POWER sshd[12406]: auth_password: username: `root' password: `root123'
Jan 30 09:28:53 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:56 POWER sshd[12406]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:28:56 POWER sshd[12406]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root

Простите, если боян.

 , , ,

mr_doug
()