LINUX.ORG.RU

Сообщения nokogerra

 

tar update & list

Форум — General

Добрый день.
Создал архив ~/sourcearch1 и ~/sourcearch2, потом обновил ~/sourcearch2/file3 и сделал апдейт архива (u) и теперь вижу в листинге архива две версии file3:

[kagerro@cent1 ~]$ tar tvf arch.tar
drwxrwxr-x kagerro/kagerro   0 2019-03-24 21:15 sourcearch1/
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:15 sourcearch1/file1
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:15 sourcearch1/file2
drwxrwxr-x kagerro/kagerro   0 2019-03-24 21:16 sourcearch2/
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:16 sourcearch2/file3
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:16 sourcearch2/file4
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:50 file5
-rw-rw-r-- kagerro/kagerro   0 2019-03-24 21:54 sourcearch1/file6
-rw-rw-r-- kagerro/kagerro  11 2019-03-24 21:54 sourcearch2/file3
Если распаковать архив, то, конечно, файл file3 будет в одном экземпляре, но такой листинг архива это нормально? By-design, так сказать?

 

nokogerra
()

unit для шелл скрипта

Форум — Admin

Доброго времени суток.


CentOS Linux release 7.5.1804 (Core)
Мне нужно сделать unit для одного скрипта (VMware vRealize EPOps agent). Сам скрипт выглядит так https://pastebin.com/WTudtW5V Сервис агента запускается так: /tmp/epops-agent-6.6.1/bin/ep-agent.sh start. Ок, создал файл startupx с таким содержанием:

[root@linagent2 ~]# cat /tmp/epops-agent-6.6.1/startupx
#!/bin/bash
/tmp/epops-agent-6.6.1/bin/ep-agent.sh start
Сделал его исполняемым, создал юнит:
[root@linagent2 ~]# cat /etc/systemd/system/epops-agent.service
[Unit]
Description=Start epops-agent
After=network.target

[Service]
Type=forking
ExecStart=/tmp/epops-agent-6.6.1/startupx
TimeoutStartSec=0

[Install]
WantedBy=default.target
[root@linagent2 ~]#
Далее systemctl daemon-reload, далее systemctl enable epops-agent.service. Сервис запускается. Пытаюсь запускать его от имени пользователя (User=epopsagent в секции [Serivce]) и получаю:
[root@linagent2 ~]# systemctl status epops-agent
● epops-agent.service - Start epops-agent
   Loaded: loaded (/etc/systemd/system/epops-agent.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Mon 2018-09-10 10:31:06 MSK; 7s ago
  Process: 2020 ExecStart=/tmp/epops-agent-6.6.1/startupx (code=exited, status=217/USER)
 Main PID: 1879 (code=exited, status=0/SUCCESS)

Sep 10 10:31:06 linagent2 systemd[1]: Starting Start epops-agent...
Sep 10 10:31:06 linagent2 systemd[1]: epops-agent.service: control process exited, code=exited status=217
Sep 10 10:31:06 linagent2 systemd[1]: Failed to start Start epops-agent.
Sep 10 10:31:06 linagent2 systemd[1]: Unit epops-agent.service entered failed state.
Sep 10 10:31:06 linagent2 systemd[1]: epops-agent.service failed.
Изначально вытставил для пользователя шелл /sbin/false, но не подумал про то, как он будет выполнять startupx, теперь задал шелл bash, но проблема не устранилась.

Разрешений для исполнения скрипта достаточно:

[root@linagent2 ~]# ls -l /tmp/ | grep epop
drwxr-xr-x  8 root root       183 Sep 10 07:54 epops-agent-6.6.1
[root@linagent2 ~]# ls -l /tmp/epops-agent-6.6.1/ | grep sta
-rwxr-xr-x 1 root root     57 Sep 10 07:55 startupx
[root@linagent2 ~]#
[root@linagent2 ~]# cat /etc/passwd | grep epo
epopsuser:x:1001:100::/home/epopsuser:/bin/bash
[root@linagent2 ~]#

Подскажете что-нибудь?

 ,

nokogerra
()

Увеличить раздел и том Debian9

Форум — Admin

Был диск 20 gb, стал 300. Нужно расширить том /dev/sda1:

root@nfcapd:~# df -h
Файловая система Размер Использовано  Дост Использовано% Cмонтировано в
udev               488M            0  488M            0% /dev
tmpfs              100M         3,2M   97M            4% /run
/dev/sda1           19G         1,1G   17G            6% /
tmpfs              499M            0  499M            0% /dev/shm
tmpfs              5,0M            0  5,0M            0% /run/lock
tmpfs              499M            0  499M            0% /sys/fs/cgroup
tmpfs              100M            0  100M            0% /run/user/0
root@nfcapd:~# fdisk -l
Disk /dev/sda: 300 GiB, 322122547200 bytes, 629145600 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdc1c0ec9

Device     Boot    Start      End  Sectors  Size Id Type
/dev/sda1           2048 39847933 39845886   19G 83 Linux
/dev/sda2       39847934 41940991  2093058 1022M  5 Extended
/dev/sda5       39847936 41940991  2093056 1022M 82 Linux swap / Solaris


root@nfcapd:~# fdisk /dev/sda

Welcome to fdisk (util-linux 2.29.2).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.


Command (m for help): p
Disk /dev/sda: 300 GiB, 322122547200 bytes, 629145600 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xdc1c0ec9

Device     Boot    Start      End  Sectors  Size Id Type
/dev/sda1           2048 39847933 39845886   19G 83 Linux
/dev/sda2       39847934 41940991  2093058 1022M  5 Extended
/dev/sda5       39847936 41940991  2093056 1022M 82 Linux swap / Solaris

Command (m for help): d
Partition number (1,2,5, default 5): 1

Partition 1 has been deleted.

Command (m for help): n
Partition type
   p   primary (0 primary, 1 extended, 3 free)
   l   logical (numbered from 5)
Select (default p): p
Partition number (1,3,4, default 1): 1
First sector (2048-629145599, default 2048):
Last sector, +sectors or +size{K,M,G,T,P} (2048-39847933, default 39847933): 629145599
Value out of range.
Last sector, +sectors or +size{K,M,G,T,P} (2048-39847933, default 39847933):

Created a new partition 1 of type 'Linux' and of size 19 GiB.
Partition #1 contains a ext4 signature.

Do you want to remove the signature? [Y]es/[N]o:

Как видно, да максимума расширить нельзя, можно только создать такой же раздел - 19 gb. Если мне память не изменяет, я уже расширял таким образом разделы, и они, кажется были не последними на диске. Что можно сделать?

 ,

nokogerra
()

nfdump bad magic 0x0

Форум — Admin

Доброго времен суток.
Debian 7.11, больше года на нем сидит nfcapd и собирает netflow с vyos'оподобного маршрутизатора. Количество проходящего трафика недавно резко возросло, как и количество потоков нетфлоу, коллектор забился (так как nfexpire ориентировался на время хранения, а не на объем). Излишки я почистил nfexpire`ом, т.е. корректно, а не просто удалил файлы. После этого новые файлы netflow оказывались почему-то пустыми, но помог перезапуск nfcapd и сенсора на маршрутизаторе, теперь они имеют вес, при чем значительный. Но есть такая проблема:

netflow@nfdump:~$ nfdump -R /netflow/neo1uitis/2018/05/22/
Open file '/netflow/neo1uitis/2018/05/22/11/nfcapd.201805221115': bad magic: 0x0
При этом, если посмотреть файлы месячной давности, то все ок:
netflow@nfdump:~$ nfdump -R /netflow/neo1uitis/2018/04/13 | more
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2018-04-12 23:57:12.316     0.000 TCP      89.169.62.173:11439 ->   83.246.164.222:23723        1       44     1
2018-04-12 23:57:12.299     0.000 TCP      89.169.62.173:11439 ->   83.246.164.223:23723        1       44     1
2018-04-13 00:01:46.299     0.000 TCP      31.173.38.227:443   ->    83.246.164.13:52790       10     3324     1
Гугление меня на что-то внятное не натолкнуло. В сислоге такие события:
May 23 14:59:32 nfdump nfcapd[2648]: Process_v9: [0] field ID > 128 - field ignored.
May 23 14:59:32 nfdump nfcapd[2648]: Process_v9: [0] field ID > 128 - field ignored.
May 23 14:59:32 nfdump nfcapd[2648]: Process_v9: [0] field ID > 128 - field ignored.

 , ,

nokogerra
()

Ограничить исходящий трафик на VyOS

Форум — Admin

Доброго времени суток.
Сразу оговорюсь, я вообще практически ничего не знаю о QoS, поэтому любой совет будет к месту.

Имеется VyOS в качестве пограничного устройства. Интерфейс, куда приходит ISP - eth0, интернет используют 3 сети - 2 LAN и один белый маршрутизируемый пул, арендуемый у оператора связи. Мне нужно ограничить исходящий трафик до 256 Мбит, при этом обе LAN можно ограничить сотней Мбит (суммарно на двоих), белый пул, например 220 Мбит/сек. Приведу крайне упрощенную схему:
http://www.imageup.ru/img229/3053300/scheme.png.html
Вся адресация вымышленная.
В общем, начал я читать документацию по Brocade Vyatta 5400 как наиболее полную, суть механизмов на VyOS и Vyatta одна. Собрал схему в EVE-NG и понял, что ничего не понял (ну, что-то понял, но недостаточно), так что попробую задать пару вопросов:
1. Как я понял, мне нужна traffic-policy либо Shaper, либо Limiter, но так как Limiter предназначена для входящего трафика, то выбираю Shaper. В правильном направлении смотрю?
2. Верно ли я понял, что при использовании Shaper, все, что выше указанной полосы пропускания будет буферизироваться, а не просто дропаться, и это не приведет к куче ретрансмиссий? Судя по описанию Traffic Limiter'а это именно так:

The “traffic-policy limiter” mechanism can be used to throttle (or “police”) incoming traffic. The mechanism assigns each traffic flow a bandwidth limit. All incoming traffic within a flow in excess of the bandwidth limit is dropped. The advantages are that this policy does not incur queuing delay and it is the only policy that can be applied to inbound traffic. The disadvantage is that it is more likely to drop packets and cause retransmissions. Shaper or rate-control are typically used to throttle outgoing traffic where queuing delays can be tolerated. They will buffer traffic in excess of the bandwidth limit and will not drop packets unless the buffers overflow.

Я просто не уверен, будет ли при 'traffic-policy shaper' все, что выше полосы, буферизироваться, если политика будет висеть на eth0 в направлении out. Я бы дал ссылку на описание traffic-policy, но не знаю, как вставить ссылку с js, сама документация здесь http://www1.brocade.com/downloads/documents/html_product_manuals/vyatta/vyatt..., раздел QoS.
3. Чем все-таки отличаются traffic-policy от queue-type? Я так понимаю, я могу использовать политику SFQ, а могу использовать политику Shaper и указать SFQ для каждого класса.
4. Предположим, создал я политику Shaper с bandwidth 100mbit, создал 2 класса, указал для них в качестве match адрес источника; для первого класса bandwidth=60%, ceiling=80%; для второго класса bandwidth=70%, ceiling=90%; для default bandwidth=40%, ceiling=50%. Итого имею 3 типа трафика - 2 класса и default. Для всех указал queue-type SFQ (по умолчанию, как я понял, работает FIFO). Т.е. внутри каждого класса каждому дается какой-то квант времени, и, если не вдаваться в детали работы механизма, то внутри каждого класса «всё по-честному». А между классами как? ведь суммарно они могут потребить 170% от 100mbit.
5. Что такое burst? Ок, вот описание:

Use this command to set the burst size for the traffic class. This is the maximum amount of traffic that may be sent at a given time.

А вот, что я видел на форуме ubiquiti (EdgeOS, вроде, та же Vyatta):

Not really, the burst refers to the «bucket size» used in the shaping algorithm. Generally it is only necessary to change it if the shaping result is not sufficiently accurate.

Ладно, это какая-то корзина, размер которой участник политики может послать за какой-то промежуток времени. По умолчанию 15 KB. Но за какой промежуток времени, и какой интервал между этими промежутками должен пройти до следующего «бурста»?
6. От этого вопроса место пониже спины горит особенно сильно.. Что же такое ceiling??? В куче примеров видел описание, что ceiling это тот потолок от общей bandwidth политики, которую сможет использовать какой-то класс или default, если эта полоса в данный момент свободна. Например:

[edit]
admin@NEO# show policy
   qos {
       shaper INTERNET_OUT {
           bandwidth 256mbit
           class 10 {
               bandwidth 60%
               ceiling 95%
               description "PUBLIC POOL 8.8.8.0/24"
               match PUBLIC_POOL {
                   filter PUBLIC_POOL
               }
               queue-type fair-queue
           }
           default {
               bandwidth 40%
               ceiling 70%
               queue-type fair-queue
           }
           
       }
   }
На синтаксис не обращайте внимания, это не чистый VyOS, а Altell NEO (который на Vyatta, да). Так вот, тестирую на default. У него bandwidth 40%, т.е. ~102 Мбит, ceiling 70%, т.е. если полоса свободна, то default сможет использовать для upload'а ~179 Мбит. Но хрен там плавал. Полоса свободна практически полностью, и я имею на аплоад около 92-95 Мбит. Если я режу bandwidth для default до, например, 10%, то получаю на аплоад 20 Мбит. Что за дела? Ceiling ведь 70% и полоса свободна, я должен иметь 179 Мбит даже если поставлю bandwidth 1% (до тех пор, пока канал никем больше не используется). Я не правильно понял логику ceiling и этот самый потолок работает в пределах какого-то класса или default, т.е. 70% от тех 40%? Тогда эта настройка вообще выглядит бесполезно.

P.S. рассчитывал в лабе попробовать после включения политики iperf'ом одновременно померить скорость от LAN1, LAN2 и PUBLIC до some_internet, но одновременно никак, даже если сервер включить как демон (iperf -s -D). Есть какой-нибудь такой iperf, чтобы от нескольких клиентов подключиться к одному серверу одновременно?

 , ,

nokogerra
()

altell neo (vyos) read-only file system

Форум — Admin

Доброго времени суток.
Начну издалека: есть межсетевой экран Altell NEO на базе vyos. Есть он только из-за наличия сертификата ФСТЭК. Саппорт у компании мертв, обновления софта не выпускаются уже 3 года, поэтому решил попробовать задать вопрос здесь.
В vyos забыли добавить шаблон включения proxy arp на интерфейсы типа bond и bond vif. Это значит, что когда я набираю команду «set interfaces bonding bond0 vif 2 ip» и вывожу справку о доступных дальше командах, команда «enable-proxy-arp» отсутствует.
В vyos это решается довольно просто. Можно шаблон включения проксирования ARP взять из шаблонов для ethernet интерфейсов. Просто скопировать нельзя, но можно сделать так:

vyos@vyos# cat /opt/vyatta/share/vyatta-cfg/templates/interfaces/ethernet/node.tag/ip/enable-proxy-arp/node.def
help: Enable proxy-arp on this interface
create:expression: "sudo sh -c \"echo 1 > /proc/sys/net/ipv4/conf/$VAR(../../@)/proxy_arp\" "
delete:expression: "sudo sh -c \"echo 0 > /proc/sys/net/ipv4/conf/$VAR(../../@)/proxy_arp\" "
[edit]
vyos@vyos# sudo mkdir /opt/vyatta/share/vyatta-cfg/templates/interfaces/bonding/node.tag/vif/node.tag/ip/enable-proxy-arp
[edit]
vyos@vyos# sudo sh -c 'cat /opt/vyatta/share/vyatta-cfg/templates/interfaces/ethernet/node.tag/ip/enable-proxy-arp/node.def > /opt/vyatta/share/vyatta-cfg/templates/interfaces/bonding/node.tag/vif/node.tag/ip/enable-proxy-arp/node.def'
Теперь команда включения proxy arp в контексте настройки bond vif интерфейса есть.
Но Altell и здесь подосрал, при попытке создать нужный каталог для bond vif интерфейса, я получаю сообщение о том, что файловая система read-only:
admin@NEO1# sudo mkdir /opt/vyatta/share/vyatta-cfg/templates/interfaces/bonding/node.tag/vif/node.tag/ip/enable-proxy-arp
mkdir: cannot create directory '/opt/vyatta/share/vyatta-cfg/templates/interfaces/bonding/node.tag/vif/node.tag/ip/enable-proxy-arp': Read-only file system

Я не шарю в нюансах работы с разделами и файловыми системами в линуксе, но если я правильно понимаю, чтобы FS перестала быть ro, ее нужно перемонтировать? Если так, то что произойдет с моим шеллом? Судя по pwd, я нахожусь в /home/admin, а проблемная FS - на другом разделе и другом блочном устройстве. Вот выводы pwd, df -h, mount и /etc/fstab:

admin@NEO1UITIS# pwd
/home/admin
[edit]
admin@NEO1UITIS# df -h
Filesystem                Size      Used Available Use% Mounted on
/dev/sda2               576.7M    438.5M    108.9M  80% /
/dev/sdb1               293.4G    662.5M    277.9G   0% /cfg
/dev/sdb1               293.4G    662.5M    277.9G   0% /cfg
/dev/sdb1               293.4G    662.5M    277.9G   0% /etc
/dev/sdb1               293.4G    662.5M    277.9G   0% /home
/dev/sdb1               293.4G    662.5M    277.9G   0% /var/log
none                      3.9G    112.0K      3.9G   0% /var/volatile
none                      3.9G    148.0K      3.9G   0% /dev
tmpfs                     3.9G         0      3.9G   0% /dev/shm
none                      3.9G     15.9M      3.8G   0% /var/volatile/config
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_13353
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_13984
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_28829
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_14804
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_13311
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_13392
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_10141
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_15554
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_22504
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_9004
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_21749
unionfs                   3.9G    112.0K      3.9G   0% /var/volatile/config/tmp/new_config_377
[edit]
admin@NEO1UITIS# mount
rootfs on / type rootfs (rw)
proc on /proc type proc (rw,relatime)
sysfs on /sys type sysfs (rw,relatime)
/dev/sda2 on / type ext3 (ro,relatime,errors=continue,barrier=0,data=ordered)
/dev/sdb1 on /cfg type ext3 (rw,noexec,relatime,errors=continue,barrier=0,data=ordered)
/dev/sdb1 on /cfg type ext3 (rw,noexec,relatime,errors=continue,barrier=0,data=ordered)
/dev/sdb1 on /etc type ext3 (rw,noexec,relatime,errors=continue,barrier=0,data=ordered)
/dev/sdb1 on /home type ext3 (rw,noexec,relatime,errors=continue,barrier=0,data=ordered)
/dev/sdb1 on /var/log type ext3 (rw,noexec,relatime,errors=continue,barrier=0,data=ordered)
none on /var/volatile type tmpfs (rw,noexec,relatime)
none on /dev type tmpfs (rw,noexec,relatime,mode=755)
devpts on /dev/pts type devpts (rw,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /dev/shm type tmpfs (rw,noexec,relatime,mode=777)
usbfs on /proc/bus/usb type usbfs (rw,relatime)
none on /var/volatile/config type tmpfs (rw,nosuid,nodev,noexec,relatime,mode=775)
unionfs on /var/volatile/config/tmp/new_config_13353 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_13353=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_13984 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_13984=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_28829 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_28829=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_14804 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_14804=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_13311 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_13311=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_13392 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_13392=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_10141 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_10141=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_15554 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_15554=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_22504 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_22504=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_9004 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_9004=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_21749 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_21749=rw:/var/volatile/config/active=ro)
unionfs on /var/volatile/config/tmp/new_config_377 type unionfs (rw,relatime,dirs=/var/volatile/tmp/changes_only_377=rw:/var/volatile/config/active=ro)
[edit]
admin@NEO1UITIS# cat /etc/fstab
LABEL=configfs       /cfg                 ext3       rw,noexec             1  1
LABEL=backupfs       /bak                 ext3       ro,noauto             0  0
proc                 /proc                proc       defaults              0  0
devpts               /dev/pts             devpts     mode=0620,gid=5       0  0
tmpfs                /dev/shm             tmpfs      mode=0777,noexec      0  0
usbfs                /proc/bus/usb        usbfs      defaults              0  0
#LABEL=logfs         /var                 ext3       noatime               1  1
tmpfs                /var/volatile        tmpfs      defaults              0  0
[edit]
admin@NEO1UITIS#
Если есть идеи - поделитесь пожалуйста. Задавать вопрос на форуме vyos не вижу смысла, т.к. проблема для чистого vyos неспецифичная, а вскрывается только на сраном Алтелле, про который на том форуме никто и не слыхивал.

 , , ,

nokogerra
()

failed to start raise network interfaces debian 9

Форум — General

Доброго времени суток.
Вижу сабж при загрузке машины, но после загрузки интерфейс UP. Вижу то же самое при попытке перезагрузить networking.service.

root@nokogerra:~# cat /etc/debian_version
9.3
-- Начат процесс запуска юнита networking.service.
мар 25 00:16:55 nokogerra ifup[1153]: RTNETLINK answers: File exists
мар 25 00:16:55 nokogerra ifup[1153]: ifup: failed to bring up ens160
мар 25 00:16:55 nokogerra systemd[1]: networking.service: Main process exited, code=exited, status=1/FAILURE
мар 25 00:16:55 nokogerra systemd[1]: Failed to start Raise network interfaces.
-- Subject: Ошибка юнита networking.service
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- Произошел сбой юнита networking.service.
--
-- Результат: failed.
мар 25 00:16:55 nokogerra systemd[1]: networking.service: Unit entered failed state.
мар 25 00:16:55 nokogerra systemd[1]: networking.service: Failed with result 'exit-code'.
мар 25 00:17:01 nokogerra CRON[1184]: pam_unix(cron:session): session opened for user root by (uid=0)
мар 25 00:17:01 nokogerra CRON[1185]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
мар 25 00:17:01 nokogerra CRON[1184]: pam_unix(cron:session): session closed for user root
root@nokogerra:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto ens160
allow-hotplug ens160
iface ens160 inet static
        address x.x.x.34
        netmask 255.255.255.0
        gateway x.x.x.1

В /etc/network/interfaces.d/* ничего нет, source пробовал комментировать - безрезультатно.

root@nokogerra:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:50:56:98:2f:be brd ff:ff:ff:ff:ff:ff
    inet x.x.x.34/24 brd x.x.x.255 scope global ens160
       valid_lft forever preferred_lft forever

Недавно поместил в /etc/network/if-up.d/ скрипт такого содержания:

root@nokogerra:~# cat /etc/network/if-up.d/firewall
#!/bin/bash
iptables-restore /etc/firewall.rulz
Переместил его из /etc/network вообще, проблема осталась.

 ,

nokogerra
()

Не дополняются команды после su

Форум — General

Доброго времени суток. Debian 9.3.
Заметил что после su не работает автодополнение команд по табу. Например, вошел под пользователем, «apt-get i» будет дополнено в «apt-get install», «apt-get install apa» в «apt-get install apache» и предложены варианты пакетов apache. Под root - также. А вот если сначала выполнить вход под пользователем, а потом сделать su, то автодополнение не работает. Например, «apt-g» будет дополнено в «apt-get», а вот дальше - нет. Например, «apt-get in» не дополняется в «apt-get install». Это by-design такое поведение?

 ,

nokogerra
()

iptables recent match

Форум — Admin

Доброго времени суток.
Прочитал вот это и это. Последнее вообще, кажется, редкостная херня отсебятина. Не понял ничего. Опишите пожалуйста на пальцах для даунов.
Пользовался этим функционалом в vyatta/vyos, там это делается двумя словами.

 ,

nokogerra
()

mycrypt: Невозможно исправить ошибки, у вас отложены (held) битые пакеты.

Форум — General

Доброго времени суток.

root@wordpress:~# cat /etc/debian_version
9.3
Пытаюсь установить «PHP mcrypt extension» (apt-get install mcrypt php7.0-mcrypt) получаю:
Пакеты, имеющие неудовлетворённые зависимости:
 php7.0-mcrypt : Зависит: php7.0-common (= 7.0.27-1+ubuntu18.04.1+deb.sury.org+1) но 7.0.27-0+deb9u1 будет установлен
E: Невозможно исправить ошибки, у вас отложены (held) битые пакеты.
Ок, пытаюсь в php7.0-common, получаю:
Пакеты, имеющие неудовлетворённые зависимости:
 php7.0-common : Зависит: libssl1.0.0 (>= 1.0.0) но он не может быть установлен
E: Невозможно исправить ошибки, у вас отложены (held) битые пакеты.
Но libssl есть:
root@wordpress:~# dpkg -l | grep bssl
ii  libssl1.0-dev:amd64           1.0.2n-1                       amd64        Secure Sockets Layer toolkit - development files
ii  libssl1.0.2:amd64             1.0.2n-1                       amd64        Secure Sockets Layer toolkit - shared libraries
ii  libssl1.1:amd64               1.1.0f-3+deb9u1                amd64        Secure Sockets Layer toolkit - shared libraries
А про hold - «apt-mark showhold» ничего не выводит.

 , ,

nokogerra
()

Ужасная производительность windows ноды qemu в eve-ng

Форум — Admin

Доброго времени суток.
Ранее использовал эмулятор unetlab, ныне перешел на eve-ng (что-то вроде форка unetlab`а). Сам unetlab, если я правильно понял, больше нельзя скачать (хотя, вроде, ожидается когда-то там unetlab 2).
Так вот, использовал я в unetlab winodws7 ноды. Готовил образ windows 7x86 я в vSphere (vm HW8), ставил kb, нужный софт (аля wireshark, tftpd и т.д.), выключал, заливал дескриптор vmdk и сам диск этой vm в машину unetlab (unetlab у меня был развернут из .ova в ESXi 5.5u3, cpu гипервизоров с intel EPT), там конвертировал vmdk в qcow2, перемещал в нужный каталог и, собственно, все. Можно было добавить windows ноду в лабу (да, вложенная виртуализация, но для лабы вполне, тем более что физ CPU позволяют). С eve-ng сделал то же самое, но производительность такой ноды оказалась откровенно никакой. Запуск машины 2-3 минуты еще 0.5-1 минута загрузка профиля пользователя, медленная работа в госте (медленно реагируют оснастки и т.д.). После первой загрузки в devmgmt.msc есть вопросы напротив некоторых устройств, но винда в течение пары минут доставляет драйвера (например, на e1000) и потом с устройствами все ОК (ну, с точки зрения девайс менеджера).
Задал вопрос на форуме eve-ng, мне сказали мол это чушь, один и тот же движок используется в unetlab и в eve-ng. Вот тема http://www.eve-ng.net/forum/viewtopic.php?f=3&t=745. Порекомендовал использовать virtioa для x64 гостей. Правда, не знаю, как это ко мне относится, я ведь использую x86. Я совсем не соображаю в kvm/qemu и хочу задать пару вопросов:
1. Почитал про virtio, но понял далеко не все (например, https://www.ibm.com/developerworks/library/l-virtio/). Видел ISO virtio для x64 гостей и флоппи img для x86. Не понятно, почему нет ISO для обеих архитектур и имеет ли смысл использовать virtio для x86 гостей, или все же только для x64?
2. Есть ли какой-то пакет аля vmware vmtools? Чтобы не подсовывать драйвера через devmgmt вручную, а поставить «скопом»?
3. Может имеет смысл как-то кастомизировать настройки при добавлении машины в лабу? Повторюсь, я от kvm далек как от луны, но вот такое доступно в лабе:https://ibb.co/b48VQQ. Интересуют выделенные элементы.



Спасибо заранее.

 , ,

nokogerra
()

запускается 2 процесса вместо 1го из rc.local

Форум — Admin

Доброго времени суток. debian7.11
Запуск nfcapd указан в rc.local:

root@nfdump:~# cat /etc/rc.local | grep nfca
su netflow -c 'nfcapd -w -D -e -b 194.135.107.13 -l /netflow/neo1guei -S 2 -t 300 -I neo1guei -p 9001'
Но почему-то появляется 2 процесса с соседними пидами вместо одного:
root@nfdump:~# ps aux | grep nfca
netflow   2264  0.0  0.0  14348   828 ?        S    13:46   0:00 nfcapd -w -D -e -b 194.135.107.13 -l /netflow/neo1guei -S 2 -t 300 -I neo1guei -p 9001
netflow   2265  0.0  0.0   8704   548 ?        S    13:46   0:00 nfcapd -w -D -e -b 194.135.107.13 -l /netflow/neo1guei -S 2 -t 300 -I neo1guei -p 9001
root      2356  0.0  0.0   7868   868 pts/0    S+   13:50   0:00 grep nfca
Что я делаю не так?

 ,

nokogerra
()

netflow коллектор+анализатор?

Форум — Admin

Доброго времени суток.
Имеется межсетевой экран Altell NEO (кастомизированный linux vyatta). Примерная схема на картинке https://ibb.co/ksyywQ. Т.е. имеется белый маршрутизируемый пул, арендованный у оператора связи, мне необходимо копить статистику по сессиям к машинам, которые используют эти белые адреса (на схеме они отсутствуют, но подразумевается что они смотрят в L2 устройство). У Altell NEO есть функция учета трафика (я включил flow-accounting для eth0), но без таймштампов и записей очень много. Выдается примерно в таком виде:

admin@NEO1UI:~$ show flow-accounting interface eth0
running
flow-accounting for [eth0]
Src Addr        Dst Addr        Sport Dport Proto    Packets      Bytes   Flows
178.187.127.241 80.89.163.242  55777 55777   udp       3285    3121978       1
82.200.16.98    80.89.163.248  55777 55777   udp       2592    2562538       1
.....................
Например вот статистика при прохождении 35 мб:
Total entries: 1,980
Total flows  : 2,071
Total pkts   : 118,796
Total bytes  : 35,909,806
Кстати, не понятно почему записей меньше чем потоков.

Как бы там ни было, очевидно что без анализатор мне не обойтись. Я почитал о netflow и архитектура мне примерно понятна, но пока слабо представляю откуда подступиться. На Altell NEO можно указать адрес и порт коллектора, интервал выборки, время жизни сессий для различного трафика и т.д. Теперь мне нужно выбрать какое-то ПО и развернуть коллектор и анализатор.
Собственно, вопросы:
1. Правильно ли я понял принцип.
2. Порекомендуйте пожалуйста опенсорс коллектор и анализатор не сложные в настройке. Я так понял, ntopng довольно распространенный, но не уверен включает ли он в себя функцию коллектора.



P.S. на Altell в качестве сенсора работает uacctd, но куда сливаются записи, которые можно посмотреть командой show flow-accounting interface eth0, так и не нашел. В uacctd.conf это не указано, пытался куски записей грепать рекурсивно по содержимому файлов - безрезультатно.

 

nokogerra
()

Centos 6.6 неопределенные проблемы с сетью.

Форум — Admin

Доброго времени суток.
Есть centos 6.6 vm (vsphere 6.0) с двумя интерфейсами, на eth2 адрес LAN (194.135.107.2/24, да, такая там адресация LAN), на eth3 - белый адрес арендуемого у оператора связи маршрутизируемого пула ipv4 (eth0 и eth1 отсутствуют).
Недавно перестал работать SSHd. Вопрос об этом человек, в ведении которого эта vm находится, здесь задавал. Точнее он работал, аутентификация судя по /var/log/secure проходила успешно, но терминал не отрисовывался и ни на что не реагировал, после чего окно закрывалось по таймауту. Запуск в дебаге полезных деталей в лог не добавил. Теперь пытаются завести vsftpd просто для загрузки файлов, но, однако, и это безуспешно по непонятным причинам.
Первое что я решил сделать - это клон, чтобы на рабочей машине не разводить тесты. Сделал клон, оба интерфейса поместил в порт-группу изолированного vSwitch (без аплинков), в эту же портгруппу поместил другую тестовую vm win7 (чтобы с нее проверять доступность сервисов, не выводя этот самый centos из песочницы и не меняя его адреса). После клонирования исправил udev net правила, интерфейсы называются также как и на продуктивной машине. Итого в песочнице имею:
centos 6.6, eth2 194.135.107.2/24, eth3 83.246.160.45/28
win7 1 интерфейс 194.135.107.193/24 и 83.246.160.46/28
Далее наткнулся на странную проблему: с win7 вижу 83.246.160.45 («белый» интерфейс) centos`а, но 194.135.107.2 не отвечает (ни icmp, ни что либо другое). При этом с centos вижу оба адреса win7 (194.135.107.193 и 83.246.160.46). Т.е. 194.135.107.193 шлет ответы 194.135.107.2, а вот 2 в сторону 193 ничего не шлет. Какой-то бред, особенно учитывая то, что в arp кэше ip адреса корректно соотносятся с mac`ами. Если удалить запись, она корректно обновится.

Что попробовал:
1. У них в ifcfg-eth скриптах для каждого из двух интерфейсов был указан дефолтный шлюз. Это на ситуацию в песочнице не влияет, но оставил только 1.
2. iptables -F, политики ACCEPT.
3. Удалил сетевые интерфейсы (VMXNET3), добавил другие. Ситуация не изменилась.


Попробовал подключиться через SSH на белый адрес продуктивной машины - со скрипом, но подключился (это там, где не работает SSH на LAN интерфейсе). Проверка учетной записи и отрисовка терминала заняла около минуты.
У меня даже идей нет, в чем проблема (особенно с видимостью 194.135.107.2 в песочнице).

 ,

nokogerra
()

Suricata в Altell NEO.

Форум — Admin

Я знаю что это не саппорт Altell, но у этого программного МЭ на борту Vyatta с некоторыми сторонними пакетами, в частности Suricata в качестве IDS/IPS. Вообще, я открыл кейс, но эти ублюдки отвечают по 5 месяцев (без преувеличений), а телефон «сбрасывает». Куплен не мной и куплен только из-за наличия сертификата ФСТЭК (требуется).
Я не имел дел с настройкой ids/ips ранее (был watchguard, который сам блочил всякую нечисть по подписке, лол), прочитал https://xakep.ru/2015/06/28/suricata-ids-ips-197/ и https://habrahabr.ru/post/192884/ для общего ознакомления, ну и, конечно, документацию altell, ибо в конечном счете приходится руководствоваться их синтаксисом и логикой.
И так, у меня, собственно, не работает IPS. Раньше он даже лог не писал и summary не вел, но после factory reset`а начал, и это уже достижение, да. Теперь ведет лог, и в режиме IDS, и в режиме IPS, например (чтобы было понятно, на этой эмуляции 83.246.142.1 - это узел оператора, который является дефолтным шлюзом для моего МЭ/маршрутизатора и в данном случае выступает как «интернет», 83.246.160.242 - мой узел, адрес которого лежит в белом маршрутизируемом пуле ipv4, который я арендую, который находится ЗА altell NEO, т.е. для меня «условно» локальный):

admin@NEO1U# run show idps log
2017/03/22-14:59:15.32609 [**] [1:2101867:2] GPL RPC xdmcp info query  [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 83.246.142.1:51482 -> 83.246.160.242:177
2017/03/22-15:00:59.15209 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:3306
2017/03/22-15:01:00.25684 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:3306
2017/03/22-15:01:00.60414 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:162
2017/03/22-15:01:00.70867 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:162
2017/03/22-15:01:01.72439 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:162
2017/03/22-15:01:01.72451 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:3306
2017/03/22-15:01:03.15822 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5919
2017/03/22-15:01:04.65724 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5815
2017/03/22-15:01:04.78230 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:4333
2017/03/22-15:01:04.88813 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:4333
2017/03/22-15:01:04.99111 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:4333
2017/03/22-15:01:05.40414 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5905
2017/03/22-15:01:06.33429 [**] [1:2010938:2] ET POLICY Suspicious inbound to mSQL port 4333  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:4333
2017/03/22-15:01:06.33437 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:3306
2017/03/22-15:01:06.33442 [**] [1:2101420:12] GPL SNMP trap tcp  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:162
2017/03/22-15:01:06.41328 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:1433
2017/03/22-15:01:06.51638 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:1433
2017/03/22-15:01:06.56791 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5805
2017/03/22-15:01:06.61931 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:1433
2017/03/22-15:01:07.72585 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:1433
2017/03/22-15:01:08.31589 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5902
2017/03/22-15:01:08.87572 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5816
2017/03/22-15:01:08.89738 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:1521
2017/03/22-15:01:09.00171 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:1521
2017/03/22-15:01:09.09487 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5432
2017/03/22-15:01:09.10467 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:1521
2017/03/22-15:01:09.16674 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5909
2017/03/22-15:01:09.20075 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35627 -> 83.246.160.242:5432
2017/03/22-15:01:09.20663 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:1521
2017/03/22-15:01:09.30475 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35628 -> 83.246.160.242:5432
2017/03/22-15:01:09.37343 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5812
2017/03/22-15:01:09.40576 [**] [1:2010939:2] ET POLICY Suspicious inbound to PostgreSQL port 5432  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:35629 -> 83.246.160.242:5432
2017/03/22-15:01:10.21325 [**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5913
2017/03/22-15:01:10.33358 [**] [1:2002910:4] ET SCAN Potential VNC Scan 5800-5820  [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 83.246.142.1:35626 -> 83.246.160.242:5806
2017/03/22-15:01:14.64475 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:14.84655 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:14.94839 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:15.04979 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:37493 -> 83.246.160.242:2
2017/03/22-15:01:28.60777 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22611 -> 83.246.160.242:1433
2017/03/22-15:03:09.99195 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.19217 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.29316 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:10.39506 [**] [1:1390:5] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {UDP} 83.246.142.1:40841 -> 83.246.160.242:39838
2017/03/22-15:03:24.25586 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22953 -> 83.246.160.242:1433
2017/03/22-15:03:27.26020 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433  [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 83.246.142.1:22953 -> 83.246.160.242:1433
Как видно, большинство действий имеют приорити 1 или 2, что исходя из моего конфига должно дропаться. Вот конфиг:
[edit]
admin@NEO1U# show idps
   actions {
       other pass
       priority-1 drop
       priority-2 drop
   }
   modify-rules {
       internal-network 83.246.160.240/28
       internal-network 83.xxx/28
       internal-network 83.xxx/24
       internal-network 10.0.0.0/8
   }
   output {
       syslog {
       }
   }
[edit]
Вооот. Но я как при выключенном IPS полностью сканил nmap`ом хост 83.246.160.242, так и при включенном. Да, ips пишет что такой-то нехороший хост 83.246.142.1 (олицетворение Интернета) делает нехорошие вещи, но не блочит его, т.е. по поведению не отличается от IDS. Также при включенном IPS продолжаю nping`ом спамить SYN`ами в 8000 порт (использую на лаптопе минивеб) и минивеб сервер захлебывается, но IPS на это плевать. Тот же WatchGuard на попытку нмапом полапать хост, сразу отправлял в перманентный блок. Здесь же, как я понял, вообще никаких блок листов нет.
Разбор делается через NFQUEUE. Если нужен suricata.yaml - скажите какой кусок, ибо он большой. Но на него влияет только сегмент idps (который я привел выше в «show idps») и включение на интерфейсах. Включен только на одном:
admin@NEO1U# show interfaces ethernet eth0
   address 83.xxx/26
   description INTERNET_TTK
   ips {
       in {
           enable
       }
       local {
           enable
       }
   }
   mtu 1500
[edit]
В общем, если есть идеи - очень прошу.

 ,

nokogerra
()

Информационная система с tomcat - неверный логин и пароль.

Форум — Admin

Доброго времени суток.
Получили мы для теста информационную систему (писанную достаточно крупной в рфии компанией, но не для нас конкретно) в формате .ova (там centos 6.7) экспортированном из virtualbox (sic!). Естественно, никто продуктив крутить в virtualbox не собирается, поковырял .ovf и развернул в vSphere, но и на vbox параллельно тоже. Суть ИС не важна, используется tomcat и orient в качестве СУБД. В самопальной документации указан логин и пароль для административного доступа к веб интерфейсу этой ИС. Если подключаться к машине на vbox с ее дефолтной сетью (192.168.56.0/24 емнип), то логин и пароль прекрасно подходят, если подключаться к машине на ESXi (где изменены сетевые настройки) - то получаю сообщение о неверном логине и пароле. «Саппорт» той конторы, которая распространяет эту ИС (это не разработчик) говорит «ну надо переразворачивать машину из ova», логика железная, б*я, в общем от них помощи ждать не приходится. Очевидно, что разница только в сетевой конфигурации машин, но по скольку сам я просто офигенный специалист по работе со всяческими веб сервисами (jk, никогда в жизни не работал с этой сферой), найти ограничения в конфигах (server.xml, web.xml) не смог, в /opt/tomcat7/Catalina/localhost пусто. В access логе (/opt/tomcat7/logs/localhost_access_log.2016-12-27.txt) ничего кроме

127.0.0.1 - - [27/Dec/2016:17:30:57 +0600] "POST /atcfs/files?fileName=test HTTP/1.1" 201 36
127.0.0.1 - - [27/Dec/2016:17:30:57 +0600] "GET /atcfs/files/2f98c1f2-6682-46b2-b095-b625d51133d9 HTTP/1.1" 200 4
Может кто подскажет где искать-то.

 ,

nokogerra
()

Proftpd. Could not chdir to home directory. Permission denied

Форум — Admin

Доброго времени суток.
Развернута vm bitrix24 с centos в качестве гостя:

[root@bitrix /]# cat /etc/redhat-release
CentOS release 6.8 (Final)
Работает proftpd:
[root@bitrix /]# ps aux | grep ftp
root      1315  0.0  0.0 103312   876 pts/0    S+   09:03   0:00 grep ftp
nobody    2721  0.0  0.0 152268  2848 ?        Ss   Oct01   1:34 proftpd: (accepting connections)
Когда потребовалось выдать редактору права на каталог /home/bitrix/www/ (размещение сайта), оказалось что уже есть пользователь bitrix_ftp с домашним каталогом /home/bitrix/www/ и с членством в группе bitrix (у этой группы есть соотв. права на каталог):
[root@bitrix /]# ls -l /home/bitrix/ | grep www
drwxrwx--- 39 bitrix bitrix   4096 Nov 11 10:58 www
Пользователь успешно подключился по ftp с этой учетной записью. Далее потребовалось создать пользователя с доступом только в каталог /home/bitrix/www/uc/:
[root@bitrix /]# ls -l /home/bitrix/www/ | grep uc
drwxr-xr-x  2 bitrix bitrix    4096 Nov 10 06:41 uc
Создал пользователя с указанием соотв. домашнего каталога, добавил в группу bitrix:
[root@bitrix /]# useradd -d /home/bitrix/www/uc/ m.volkov
[root@bitrix /]# usermod -a -G bitrix m.volkov
[root@bitrix /]# lid -g bitrix
 bitrix(uid=600)
 bitrix_ftp(uid=600)
 m.volkov(uid=602)
lid показывает, что m.volkov член этой группы (не ясно только, почему у пользователей bitrix и bitrix_ftp одинаковый ID)
При попытке подключения по ftp с этой учетной записью получаю «Вход на этот FTP с указанным именем пользователя и паролем невозможен». В /etc/proftpd.conf не нашел никаких параметров, ограничивающих вход пользователей (да и до этого создавал пользователя с дефолтным домашним каталогом /home/%username% и он нормально подключался), в /var/log/proftpd/ пусто, хотя он указан в конфиге как каталог для accesss логов. Попробовал войти по SSH и получил:
Could not chdir to home directory /home/bitrix/www/uc/: Permission denied
-bash: /home/bitrix/www/uc//.bash_profile: Permission denied
Как так получилось, если он член группы bitrix?

 

nokogerra
()

Увеличить ext4 online

Форум — Admin

Доброго времени суток.
Развернул UNetLab на ESXi, необходимо увеличить размер fs.

Disk /dev/sda: 42.9 GB, 42949672960 bytes
255 heads, 63 sectors/track, 5221 cylinders, total 83886080 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000462f5

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *        2048      499711      248832   83  Linux
/dev/sda2          499712    41943039    20721664   8e  Linux LVM

root@UNL:~# df -T | grep ext4
/dev/dm-0      ext4      18044916 1711804  15566076  10% /
/dev/sda1      ext4        236876   42122    178223  20% /boot

Вариант, который предлагает сам автор unetlab не работает:

root@UNL:~# lvextend -L+19G /dev/rootvg/rootvol
  Extending logical volume rootvol to 36.50 GiB
  Insufficient free space: 4864 extents needed, but only 333 available
root@UNL:~# resize2fs /dev/rootvg/rootvol
resize2fs 1.42.9 (4-Feb-2014)
The filesystem is already 4588544 blocks long.  Nothing to do!

root@UNL:~# df -h
Filesystem      Size  Used Avail Use% Mounted on
udev            481M  4.0K  481M   1% /dev
tmpfs            99M  896K   98M   1% /run
/dev/dm-0        18G  1.7G   15G  10% /
none            4.0K     0  4.0K   0% /sys/fs/cgroup
none            5.0M     0  5.0M   0% /run/lock
none            494M     0  494M   0% /run/shm
none            100M     0  100M   0% /run/user
/dev/sda1       232M   42M  175M  20% /boot

 

nokogerra
()

Altell NEO аутентификация по учетным записям из AD

Форум — Admin

Доброго времени суток.
Вопрос у меня по маршрутизатору/межсетевому экрану Altell NEO, но там по факту vyatta, поэтому решил вопрос задать здесь (пока жду ответа от саппорта, они отвечают по месяцу). Пытаюсь настроить аутентификацию/авторизацию на устройстве по учетным записям из каталога Active Directory. На данный момент имею вот такую проблему (не обращайте внимание на адресное пространство):

2016-09-16 14:31:39 syslog auth notice 0 (pam_rsbac) could not authenticate user altadmin@guei.alt
2016-09-16 14:31:39 sshd auth err 0 error: PAM: User not known to the underlying authentication module for illegal user altadmin@guei.alt from 194.135.107.184
2016-09-16 14:31:39 sshd auth info 0 Failed keyboard-interactive/pam for invalid user altadmin@guei.alt from 194.135.107.184 port 50690 ssh2
2016-09-16 14:31:39 syslog authpr err 0 pam_tally2(sshd:auth): pam_get_uid; no such user

В справке указана необходимость использования определенных атрибутов:


При использовании AD (Active Directory) должны выполняться следующие условия:
─ В учетной записи пользователя должны присутствовать атрибуты uid (идентификатор пользователя), uidNumber (числовой идентификатор пользователя; рекомендуется использовать значения свыше 2000, для того чтобы избежать пересечения с идентификаторами системных пользователей), gidNumber (числовой идентификатор группы), homeDirectory;
─ В учетной записи группы (admin-group, op-group) должны присутствовать атрибуты posixGroup object class, gidNumber, memberUid (должен содержать список идентификаторов пользователей). ......................

Мне не ясно, какие все-таки атрибуты учетной записи следует использовать - стандартные или UNIX-атрибуты? В UNIX-атрибутах отсутствует uidNumber, но использование UNIX-атрибутов выглядит намного логичнее при использовании с vyatta.


Также есть сомнения по поводу pam_ldap.conf. Все изменения в систему должны вноситься с помощью команд Altell, а не с помощью команд linux, иначе они будут отброшены при следующей перезагрузке устройства. Так вот командами Altell все необходимые параметры узла я задал:

admin@Altell-NEO1# show system ldap-server
   dn CN=altellsearch,OU=Users,OU=GUEI_Test,DC=guei,DC=alt
   groupbasedn OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
   host sd.guei.alt
   password Root123-
   userbasedn OU=Users,OU=GUEI_Test,DC=guei,DC=alt
Но в pam_ldap.conf хост не указан:
admin@Altell-NEO1# cat /etc/pam_ldap.conf
# generated by Ldap.pm, at 14:30:57 09/16/16

pam_login_attribute uid
pam_template_login_attribute uid
pam_filter objectclass=posixAccount
pam_admin_group_dn cn=altelladmin,OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
pam_op_group_dn cn=altelloperator,OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
pam_member_attribute memberUid
pam_user_base OU=Users,OU=GUEI_Test,DC=guei,DC=alt
pam_lookup_policy yes
pam_rsbac_uid 105
Не знаю, нормально ли это.

 

nokogerra
()

ssh key based authentication

Форум — Admin

Доброго времени суток.
Пытаюсь разобраться с аутентификацией SSH по паре ключей. Нашел несколько годных (как мне показалось) статей. Вот одна из них с первым примером генерации ключей и передачей публичного ключа с помощью ssh-copy-id (как я понял, эта утилита предназначена для передачи публичного ключа на сторону сервера и только для этого). Собственно, все получилось, аутентификация по ключу работает, но меня смутила вот эта иллюстрация. В ней указано, что после инициации соединения клиентом с сервера шлется челлендж, и клиент закрытым ключем должен его зашифровать, потом открытым ключем сообщение расшифровывается на стороне сервера, и если сообщение идентично начальному, аутентификация пройдена. Разве сообщение не должно шифроваться открытым ключем, а расшифровываться закрытым, и в этой же статье есть цитата «The public key can be used to encrypt messages that only the private key can decrypt.». Почему на картинке все наоборот? Я что-то упускаю.

 

nokogerra
()

RSS подписка на новые темы