Сообщения openmsk

2FA для apache/nginx

Форум — Security

Добрый день.

коллеги, подскажите пжлста возможные варианты настройки двух-факторной авторизации для веб сервиса. Засада в том, что авторизация должна быть только через СМС. исходя из этого Google Authenticator не подходит.

Если есть уже готовый продукт с такой возможностью - готов попробовать. по сути нужен почтовый сервер (локальный), но с 2FA.

Я было думал собрать классику из postfix+dovecot+roundecube и к последнему плагин Google Authenticator'a, но задача использовать именно смс.

https://wiki.zimbra.com/wiki/Zimbra_Two-factor_authentication тут вроде как говорят «можно», поставил, включил, и настроил. но только Google Authenticator

авторизация, аутентификация

openmsk
(27.06.16 17:37:08 MSK)

boot custom linux from usb

Форум — Linux-install

Добрый день.

просьба помочь в решении задачи:

дано: дистрибутив маленького линукса finnix

нужно внести изменения в iso и развернуть на флешку, для дальнейшего использования.

сделано: iso примонтирован, от туда скопированы все файлы (cp -a) внутри finnix/arch/x86/root.img — это squashfs

этот squashfs разобрал, добавил скрипт, собрал обратно, и получившийся файл положил на место оригинального finnix/arch/x86/root.img

Начинается самое интересное, собираю iso-шник обратно:

mkisofs -o ../MyLinux.iso -b isolinux.bin -c boot/x86/boot.cat -no-emul-boot -boot-load-size 4 -boot-info-table -R -J -v -T ./

получившийся iso файл работает как мне нужно, проверял на виртуальной машине, но как только я его пытаюсь запихать на USB диск - не грузится. даже до GRUB дело не доходит.

на usb писал и с помощью unetbootin, и dd if=MyLinux.iso of=/dev/sdb

не работает. Подскажите что я делаю не так? может где-то ошибся?

таким же методом писал оригинальный finnix.iso - он грузится и работает.

finnix, flashdrive, live-boot, squashfs

openmsk
(20.06.16 17:32:34 MSK)

3 комментария

LSI CentOS писк

Форум — Admin

Здравствуйте.

проблема: есть CentOS машина, в ней

MegaCli]# uname -a
Linux host.local 2.6.32-431.29.2.el6.x86_64 #1 SMP Tue Sep 9 21:36:05 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux


[root@host tmp]# lspci | grep -i raid
02:0e.0 RAID bus controller: LSI Logic / Symbios Logic MegaRAID (rev 0a)
04:05.0 Mass storage controller: Silicon Image, Inc. SiI 3114 [SATALink/SATARaid] Serial ATA Controller (rev 02)

[root@host tmp]# megactl
a0       LSI MegaRAID SATA300-8X PCI-X chan:1 ldrv:3  batt:FAULT, module missing, pack missing
a0d0      305GiB RAID 5   1x3  optimal
a0d1        1TiB RAID 5   1x3  OFFLINE
a0d2        1TiB RAID 5   1x3  OFFLINE
a0c0t0     153GiB  a0d0  online
a0c0t1     153GiB  a0d0  online
a0c0t2     153GiB  a0d0  online

было из сервера изъято три диска (предварительно отмонтированы, и остановлен сервер).

после запуска постоянный писк контроллера. Надо остановить писк, однако

# ./MegaCli64 -v

User specified controller is not present.
Failed to get CpController object.

Exit Code: 0x01
# ./MegaCli64 -AdpAllInfo -aAll


Exit Code: 0x00

подскажите куда копать?

centos, lsi, raid

openmsk
(17.12.14 14:09:56 MSK)

8 комментариев

dovecot и русские имена папок

Форум — Admin

Подскажите пжлста, хочу что бы папка «отправленные» была Sent. Казалось бы всё просто.

Однако Outlook создает свою папку «Отправленные» по-русски (в кодировке utf-7) И не могу понять как мне заставить outlook использовать Sent не настраивая руками каждый Outlook.

dovecot

openmsk
(14.01.14 10:52:07 MSK)

4 комментария

postfix и dovecot органичения

Форум — Admin

здравствуйте товарищи подскажите пжлста, как можно настроить доп. настройки авторизации пользователя если он пытается авторизоваться не из локальной сети.

задумка: разрешить отправлять письма с сервера только пользователям группы AD и так же с dovecot. разрешить забирать письма из глобала только пользователям группы.

конфиги текущие: postfix http://pastebin.com/XzjrBGdF dovecot http://pastebin.com/jVnvyWZM

сейчас каждый пользователь что бы отправить, либо получить письмо должен авторизоваться. Но с глобала (допустим сервер доступен из глобальной сети) разрешено отправлять либо получать письма только пользователям группы AD-Allow-Global

dovecot, postfix

openmsk
(01.11.13 13:59:25 MSK)

2 комментария

dovecot и кодировка имен папкок

Форум — Admin

Здравствуйте, подскажите в какую сторону капать что бы на файлой системе, в maildir пользователя можно было видеть не

&BB4EQgQ,BEAEMAQyBDsENQQ9BD0ESwQ1-
&BCMENAQwBDsENQQ9BD0ESwQ1-

а понятные

Отправленные
Удаленные

погуглив лишь нашел что это кодировка utf-7 якобы, но в putty с помощью которой я цепляюсь к серверу, нет такой кодировки. Так может есть возможность заставить dovecot создавать папки сразу в правильной utf-8?

openmsk
(30.09.13 12:23:48 MSK)

3 комментария

postfix & dovecot-lda

Форум — Admin

описание: postfix и dovecot настроены на авторизацию по домену (Active Directory)

однако если имя пользователя в домене (sAMAccountName) не совпадает с полем «эл. почта» (mail) то в лог ругается так http://pastebin.com/f5Na4pgv

конфиг довекота: http://pastebin.com/jVnvyWZM

конфиг postfix'a: http://pastebin.com/XzjrBGdF

Нюанс: AD домен = domain.local

почтовый домен = maildomain.ru

пользователи = username могут быть и name.fename

пользователи не всегда имеют почту

не всегда почта пользователя = username

Основной вопрос: как заставить postfix передавать lda сервису имя пользователя sAMAccountName? потому что сейчас он передает адрес почты без домена.

dovecot, postfix

openmsk
(12.09.13 16:29:28 MSK)

25 комментариев

dovecot 2 + postfix + Active Directory pam auth

Форум — Admin

Добрый день. Просьба оказать посильную помощь в настройке сабжа. На данный момент имею две проблемы:

Aug 22 14:49:09 s1mx1ls postfix/smtpd[5095]: connect from unknown[192.168.3.150]
Aug 22 14:49:09 s1mx1ls postfix/smtpd[5095]: warning: xsasl_cyrus_server_get_mechanism_list: no applicable SASL mechanisms
Aug 22 14:49:09 s1mx1ls postfix/smtpd[5095]: fatal: no SASL authentication mechanisms
Aug 22 14:49:10 s1mx1ls postfix/master[4999]: warning: process /usr/libexec/postfix/smtpd pid 5095 exit status 1
Aug 22 14:49:10 s1mx1ls postfix/master[4999]: warning: /usr/libexec/postfix/smtpd: bad command startup -- throttling
Aug 22 14:49:10 s1mx1ls postfix/master[4999]: warning: /usr/libexec/postfix/smtpd: bad command startup -- throttling

Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: client in: AUTH#0111#011PLAIN#011service=imap#011secured#011lip=192.168.0.7#011rip=192.168.3.150#011lport=143#011rport=52744#011resp=AGVyZXNoZXRuaWtvdgBScXh6ODBtbg==
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: pam(real-user-ad,192.168.3.150): lookup service=dovecot
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: pam(real-user-ad,192.168.3.150): #1/1 style=1 msg=Password:
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: client out: OK#0111#011user=real-user-ad
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: master in: REQUEST#0111874198529#0115083#0111#0118b942bc9ace756ed53f9751cd68d769d
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: passwd(real-user-ad,192.168.3.150): lookup
Aug 22 14:45:16 s1mx1ls dovecot: auth: Debug: master out: USER#0111874198529#011real-user-ad#011system_groups_user=real-user-ad#011uid=20001#011gid=20009#011home=/home/DOMAIN/real-user-ad
Aug 22 14:45:16 s1mx1ls dovecot: imap-login: Login: user=<real-user-ad>, method=PLAIN, rip=192.168.3.150, lip=192.168.0.7, mpid=5092, secured
Aug 22 14:45:16 s1mx1ls dovecot: imap: Debug: Loading modules from directory: /usr/lib64/dovecot
Aug 22 14:45:16 s1mx1ls dovecot: imap: Debug: Module loaded: /usr/lib64/dovecot/lib20_autocreate_plugin.so
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Error: chdir(/home/DOMAIN/real-user-ad) failed: No such file or directory
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Debug: Effective uid=20001, gid=20009, home=/home/DOMAIN/real-user-ad
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Debug: Home dir not found: /home/DOMAIN/real-user-ad
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Debug: maildir++: root=/raid10/vmail/real-user-ad/Maildir, index=, control=, inbox=/raid10/vmail/real-user-ad/Maildir
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Debug: Namespace : Permission lookup failed from /raid10/vmail/real-user-ad/Maildir
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Debug: Namespace : Using permissions from /raid10/vmail/real-user-ad/Maildir: mode=0700 gid=-1
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Error: user real-user-ad: Initialization failed: Initializing mail storage from mail_location setting failed: mkdir(/raid10/vmail/real-user-ad/Maildir) failed: Permission denied (euid=20001(real-user-ad) egid=20009(domain users), euid is not dir owner)
Aug 22 14:45:16 s1mx1ls dovecot: imap(real-user-ad): Error: Invalid user settings. Refer to server log for more information.

опровержение

#ls -l /home/DOMAIN/
drwxr-xr-x 2 real-user-ad domain users 4096 Aug 21 13:20 real-user-ad
# ls -l /raid10/
drwxr-xr-x 2 vmail vmail  4096 Aug 21 19:45 vmail

уже каша в голове, а решение на горизонте не видно. Конфиг postfix

[root@s1mx1ls ~]# cat /etc/postfix/main.cf | grep -v '^#' | grep -v '^$'
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = mx1.maildomain.ru
mydomain = maildomain.ru
inet_interfaces = all
inet_protocols = all
mydestination = $myhostname, localhost.$mydomain, localhost
unknown_local_recipient_reject_code = 550
mynetworks_style = host
mynetworks = 192.168.0.0/16, 127.0.0.0/8
relay_domains = $mydestination
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.6.6/samples
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
smtpd_client_restrictions =  permit_mynetworks,
                             permit_sasl_authenticated,
                             reject_unknown_client_hostname
                                permit

smtpd_helo_restrictions =       permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_invalid_helo_hostname,
                                reject_non_fqdn_helo_hostname,
                                reject_unknown_helo_hostname
                                permit

smtpd_sender_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated
                                check_sender_access ldap:/etc/postfix/ldap_virtual_mailbox_maps.cf, ldap:/etc/postfix/ldap_virtual_alias_maps.cf
                                reject_authenticated_sender_login_mismatch,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unverified_sender
                                permit

smtpd_recipient_restrictions =  permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                check_recipient_access ldap:/etc/postfix/ldap_virtual_mailbox_maps.cf,
                                reject_unlisted_recipient,
                                reject_unknown_recipient_domain,
                                reject_non_fqdn_recipient,
                                reject_unverified_recipient
                                permit

smtpd_etrn_restrictions = reject
smtpd_reject_unlisted_sender = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
show_user_unknown_table_name = no
address_verify_sender = <>
unverified_sender_reject_code = 550
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
smtpd_hard_error_limit = 8
smtpd_sasl_auth_enable = yes
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
virtual_alias_maps = ldap:/etc/postfix/ldap_virtual_alias_maps.cf
virtual_mailbox_domains = maildomain.ru
virtual_mailbox_maps = ldap:/etc/postfix/ldap_virtual_mailbox_maps.cf
virtual_gid_maps = static:400
virtual_uid_maps = static:400
virtual_minimum_uid = 400

dovecot

]# doveconf -n
# 2.0.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-358.14.1.el6.x86_64 x86_64 CentOS release 6.4 (Final) ext4
auth_debug = yes
auth_debug_passwords = yes
auth_gssapi_hostname = $ALL
auth_krb5_keytab = /etc/krb5.keytab
auth_mechanisms = plain login gssapi
auth_realms = DOMAIN.LOCAL
auth_use_winbind = yes
auth_username_format = %n
auth_verbose = yes
base_dir = /var/run/dovecot/
disable_plaintext_auth = no
listen = *
login_trusted_networks = 192.168.0.0/16
mail_chroot = /raid10/vmail
mail_debug = yes
mail_gid = 400
mail_location = maildir:/raid10/vmail/%u/Maildir
mail_uid = 400
mbox_write_locks = fcntl
passdb {
  driver = pam
}
plugin {
  autocreate = Trash
  autocreate2 = Spam
}
service auth {
  unix_listener auth-userdb {
    group = vmail
    mode = 0660
    user = vmail
  }
  user = $default_internal_user
}
ssl = no
userdb {
  driver = passwd
}
userdb {
  args = uid=400 gid=400 home=/raid10/vmail/%u/Maildir
  driver = static
}
verbose_ssl = yes
protocol imap {
  imap_idle_notify_interval = 2 mins
  mail_max_userip_connections = 10
  mail_plugins = " autocreate"
}

в конечном итоге хочу получить smtp и imap сервер берущий пользователей из Active Directory, с авторизацией по доменному логину и паролю.

dovecot, postfix

openmsk
(22.08.13 15:12:12 MSK)

32 комментария

один lightsquid на несколько серверов squid

Форум — Admin

Здравствуйте коллеги.

по факту имею: 6 серверов со сквидой, хотелось бы настроить lightsquid таким образом, что бы на одном веб-интерфейсе можно было видеть статистику по разным серверам.

подскажите пжлста, есть ли примеры реализации такой задумки?

lightsquid, squid

openmsk
(24.05.13 10:16:47 MSK)

4 комментария

случайно удалил squid.conf

Форум — General

здравствуйте

помогите пжлста восстановить squid.conf долго рихтовал его и бекап не сделал... и случайно удалил...

сейчас запустил с дефолтным конфигом scalpel но результатов пока не видно.

сам squid работает до сих пор, и «помнит» правильный конфиг.

squid 3.1

squid

openmsk
(22.02.13 18:00:48 MSK)

4 комментария

squid, post

Форум — Admin

Здравствуйте Товарищи

Нарисовалась проблема.

Есть squid настроен на ntlm аутентификацию, у ряда пользователей выявилась проблема с одним сайтом, на одном и том же месте. Как это выглядит со стороны пользователя: Лазает он нa сайте hh.ru ищет кандидатов. Как только ему нужно отправить приглашение кандидату, он нажимает «нужную» кнопку и видит IE надпись «невозможно отобразить страницу».

в логах squid'ы показалсь подозрительным строка на которой пользователь не видит страницы

1358750536.501 169 192.168.0.84 TCP_MISS/400 423 POST http://hh.ru/employer/negotiations/invite username DIRECT/94.124.200.86 text/html

Если все предыдущие запросы идут GET, то этот POST. Подумал что в конфиге стоит ограничение на размер post, но его там нет.

может кто сталкивался или догадывается куда копать нужно?

post, squid

openmsk
(21.01.13 11:06:23 MSK)

7 комментариев

покажи свой route

Форум — Talks

у меня на серверах просто безумные роуты. Пришла мысль, а может не я один такой. Товарищи, покажите свои роуты (если желаете прятать ИПы, предлагаю прятать второй и/или третий октет :)

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
212.x.x.0       0.0.0.0         255.255.255.254 U     0      0        0 eth1.100
77.x.x.84       0.0.0.0         255.255.255.254 U     0      0        0 eth1.50
10.18.x.128     0.0.0.0         255.255.255.240 U     0      0        0 eth0
89.x.x.160      0.0.0.0         255.255.255.240 U     0      0        0 eth1.100
10.0.0.0        0.0.0.0         255.255.255.240 U     0      0        0 eth0
212.x.x.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.3.0     10.0.0.3        255.255.255.0   UG    20     0        0 eth0
192.168.1.0     10.0.0.2        255.255.255.0   UG    20     0        0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.100.1.0      0.0.0.0         255.255.255.0   U     0      0        0 gre2
10.100.0.0      0.0.0.0         255.255.255.0   U     0      0        0 gre1
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1.10
10.18.0.0       10.18.x.129     255.255.0.0     UG    0      0        0 eth0
10.112.0.0      10.18.x.129     255.255.0.0     UG    0      0        0 eth0
0.0.0.0         79.x.x.163      0.0.0.0         UG    0      0        0 eth1.100

openmsk
(21.01.13 00:30:04 MSK)

39 комментариев

nagios, nrpe, vtysh, bgp

Форум — Admin

здравствуйте. задача: снять показания о состоянии bgp сессий, и показать это в нагиосе. был найден скрипт:

#!/bin/sh
prx=`/usr/bin/sudo /usr/bin/vtysh -e 'sh ip bgp su' | grep $2 | /bin/awk '{ print $10 }'`
if [ -z $prx ]
then
   echo "Critical - BGPD not work"
   exit 1
   fi
if [ $prx = 'Connect' ]
then
        echo "Critical - Connect"
        exit 1
elif [ $prx = 'Active' ]
then
        echo "Critical - Active"
        exit 1
elif [ $prx = 'Idle' ]
then
        echo "Critical - Idle"
        exit 1
elif [ $prx -lt $1 ]
then
        echo "CRITICAL - Prefixes $prx"
        exit 1
else
        echo "OK - Prefixes $prx"
        exit 0
fi

запуск скрипта локально работает, и отдает нужные параметры.

# /usr/lib64/nagios/plugins/check_bgp.sh 0 89.179.xx.xx
OK - Prefixes 0

запуск скрипта удаленно, через nrpe выдает только Critical - BGPD not work.

в логах регистрируется

sudo:     nrpe : TTY=pts/0 ; PWD=/usr/lib64/nagios/plugins ; USER=root ; COMMAND=/usr/bin/vtysh -e sh ip bgp su

в sudoers добавил

# grep nagios /etc/sudoers
nagios          ALL=(ALL) NOPASSWD: /usr/lib/nagios/plugins/
nagios          ALL=(ALL) NOPASSWD: /usr/bin/vtysh
nrpe          ALL=(ALL) NOPASSWD: /usr/lib/nagios/plugins/
nrpe          ALL=(ALL) NOPASSWD: /usr/bin/vtysh

однако

./check_nrpe -H 192.168.0.1 -c check_bgp_beeline
Critical - BGPD not work

# grep bgp /etc/nagios/nrpe.cfg
command[check_bgp_beeline]=/usr/lib64/nagios/plugins/check_bgp.sh 0 89.179.xx.xx

подскажите коллеги, где я неправ? «родные» плагины отрабатывают как локально, так и удаленно

nagios, nrpe

openmsk
(20.01.13 16:47:04 MSK)

6 комментариев

rsync via ssh + ssh-keygen

Форум — Admin

Здравствуйте. Просьба помочь разобраться в ситуации:
есть три сервера (proxy0, proxy1, proxy3).
Задача: настроить синхронизацию с proxy0 на два других сервера
на сервере proxy0 будучи находясь под пользователем root делаем:

ssh-keygen -t rsa (на все вопросы отвечаем Enter'ом)
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):

Далее
ssh-copy-id -i id_rsa.pub root@proxy1
и 
ssh-copy-id -i id_rsa.pub root@proxy3

Теперь пробуем: rsync -avH /etc/squid/db root@proxy3:/etc/squid/ — результат ОК.
rsync -avH /etc/squid/db root@proxy1:/etc/squid/ — результат БОЛТ. Просит пароль.

все несколько раз перепроверил. смотрю конфиги:

[root@proxy3.ssh]# cat /etc/ssh/sshd_config | grep -v "^#" | grep -v "^$"
Protocol 2
SyslogFacility AUTHPRIV
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LANGUAGE LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
X11Forwarding yes
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# ls -la ~/.ssh/
итого 24
drwx------ 2 root root 4096 Окт 18 18:21 .
drwxr-x--- 4 root root 4096 Окт 17 15:11 ..
-rw------- 1 root root  405 Окт 18 18:21 authorized_keys

[root@proxy1.ssh]# cat /etc/ssh/sshd_config | grep -v "^#" | grep -v "^$"
Protocol 2
SyslogFacility AUTHPRIV
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# ls -la ~/.ssh/
итого 12
drwx------. 2 root root 4096 Окт 18 11:39 .
dr-xr-x---. 5 root root 4096 Окт  4 21:48 ..
-rw-------. 1 root root  405 Окт 18 11:39 authorized_keys

rsync, ssh, ssh-keygen

openmsk
(18.10.12 11:53:49 MSK)

13 комментариев

bacula за NAT'ом

Форум — Admin

ситуация: настраивал я webacula поверх bacula.

всё вроде как работает, за исключением того, что не могу добиться получения бекапа с внешнего сервера. т.е. есть хостинг сервер поставил на него bacula-client (bacula-fd.conf) и есть бакула директор (bacula-dir, bacula-fd, bconsole) который стоит за NAT'ом (т.е. внутри локальной сети).

24-Sep 12:46 bacula-dir JobId 51: Start Backup JobId 51, Job=webserv01.2012-09-24_12.46.28_06
24-Sep 12:46 bacula-dir JobId 51: Using Device "FileStorage"
24-Sep 13:16 clodo JobId 51: Fatal error: Failed to connect to Storage daemon: bacula.domain.local:9103
24-Sep 13:16 bacula-dir JobId 51: Fatal error: Bad response to Storage command: wanted 2000 OK storage
, got 2902 Bad storage

24-Sep 13:16 bacula-dir JobId 51: Error: Bacula bacula-dir 5.0.0 (26Jan10): 24-Sep-2012 13:16:30
  Build OS:               x86_64-unknown-linux-gnu redhat (Final)
  JobId:                  51
  Job:                    webserv01.2012-09-24_12.46.28_06
  Backup Level:           Full
  Client:                 "webserv01" 5.0.0 (26Jan10) i686-pc-linux-gnu,redhat,(Final)
  FileSet:                "fileset01" 2012-09-24 11:42:09
  Pool:                   "MainPool" (From Job resource)
  Catalog:                "MyCatalog" (From Client resource)
  Storage:                "File" (From Job resource)
  Scheduled time:         24-Sep-2012 12:46:24
  Start time:             24-Sep-2012 12:46:30
  End time:               24-Sep-2012 13:16:30
  Elapsed time:           30 mins 
  Priority:               10
  FD Files Written:       0
  SD Files Written:       0
  FD Bytes Written:       0 (0 B)
  SD Bytes Written:       0 (0 B)
  Rate:                   0.0 KB/s
  Software Compression:   None
  VSS:                    no
  Encryption:             no
  Accurate:               no
  Volume name(s):         
  Volume Session Id:      2
  Volume Session Time:    1348469186
  Last Volume Bytes:      472,443,306 (472.4 MB)
  Non-fatal FD errors:    0
  SD Errors:              0
  FD termination status:  Error
  SD termination status:  Waiting on FD
  Termination:            *** Backup Error ***

Попробую в картинках: webserv01 --- gate(iptables) --- LAN_NETW(bacula-dir,bacula-sd,и т.д.)

и еще, пользуясь случаем: не могу понять принцип label, volume, pool...

bacula

openmsk
(24.09.12 20:23:35 MSK)

6 комментариев

не пускает в webacula

Форум — Admin

[root@localhost ~]# cat /usr/share/webacula/application/config.ini | grep db
db.adapter = PDO_MYSQL
db.config.host = localhost
db.config.username = bacula
db.config.password = password
db.config.dbname = bacula
;; for Sqlite db.config.dbname = "/full patch/bacula.db"

[root@localhost ~]# ls -l /usr/sbin/bconsole
-rwxr-x---. 1 root bacula 302024 Sep 24  2011 /usr/sbin/bconsole
[root@localhost ~]# ls -l /etc/bacula/bconsole.conf
-rw-r-----. 1 root bacula 161 Sep 16 04:40 /etc/bacula/bconsole.conf

[root@localhost ~]# mysql -ubacula -ppassword
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 26
Server version: 5.1.61 Source distribution

# ls -la /usr/share/webacula/
total 100
drwxrwxr-x.   9 apache bacula  4096 Sep 16 04:46 .
drwxr-xr-x. 112 root   root    4096 Sep 16 04:51 ..
drwxrwxr-x.   8 apache bacula  4096 Sep 18 18:56 application
drwxrwxr-x.   3 apache bacula  4096 Sep 11  2011 data
drwxrwxr-x.   6 apache bacula  4096 Sep 11  2011 docs
drwxrwxr-x.   6 apache bacula  4096 Sep 11  2011 html
drwxrwxr-x.   6 apache bacula  4096 Sep 17 03:18 install
drwxrwxr-x.  10 apache bacula  4096 Sep 11  2011 languages
drwxrwxr-x.   3 apache bacula  4096 Sep 11  2011 library

[root@localhost share]# cat /etc/selinux/config | grep disa
#     disabled - No SELinux policy is loaded.
SELINUX=disabled

Апач работает от имени apache.

Однако при таких настройках зайти в веб-интерфейс не могу, «Имя или пароль неверны», хоть ты тресни..

Иногда люди сталкиваются с такой проблемой, но решения никто не озвучивает. (=

[general]
;; supported adapters : PDO_MYSQL, PDO_PGSQL, PDO_SQLITE
db.adapter = PDO_MYSQL
db.config.host = localhost
db.config.username = bacula
db.config.password = password
db.config.dbname = bacula
def.timezone = "Europe/MSK"
bacula.sudo = "/usr/bin/sudo"
bacula.bconsole = "/usr/sbin/bconsole"
bacula.bconsolecmd = "-n -c /etc/bacula/bconsole.conf"

[timeline]
fontsize   = 10
[webacula]
email.to_admin = root@localhost
email.from = webacula@localhost
[feed]
feed_title = "My Bacula backup server #1"
feed_desc  = "Description feed here"
[layout]
path = "default"

[root@localhost application]# su bacula
[bacula@localhost application]$ /usr/bin/sudo /usr/sbin/bconsole -n -c /etc/bacula/bconsole.conf
Connecting to Director bacula.city.local:9101
1000 OK: bacula-dir Version: 5.0.0 (26 January 2010)
Enter a period to cancel a command.
*q
# su apache
This account is currently not available.

Я уже залез в БД

mysql -ubacula -ppassword
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 72
Server version: 5.1.61 Source distribution

нашел в таблице webacula_users пользователя root и md5 пароля там был задан. попробовал # echo password | md5sum 286755fad04869ca523320acce0dc6a4 - этот хеш вставил вместо имеющегося, однако залогиницо это не позволило...

в общем уперся пока

bacula, webacula

openmsk
(19.09.12 10:52:30 MSK)

4 комментария

Webacula Class 'Zend_Acl_Role' not found

Форум — Admin

поставил webacula на свежий сервер

# uname -a
Linux mail 2.6.18-308.11.1.el5 #1 SMP Tue Jul 10 08:49:28 EDT 2012 i686 i686 i386 GNU/Linux

после установки нахожу по адресу http://server/webacula/ вижу приглашение ввести логин/пароль, пробую ввести root и...

в лог и на страницу вываливается ошибка:

[Thu Sep 13 17:33:05 2012] [error] [client 192.168.0.191] PHP Fatal error:  Class 'Zend_Acl_Role' not found in /var/www/html/webacula/library/MyClass/WebaculaAcl.php on line 43

# php -v
PHP Warning:  Module 'fileinfo' already loaded in Unknown on line 0
PHP 5.3.16 (cli) (built: Aug 20 2012 11:11:41)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
    with Zend Guard Loader v3.3, Copyright (c) 1998-2010, by Zend Technologies

еще

# rpm -qa | grep -i zend
php-ZendFramework-1.12.0-1.el5.remi
php-zend-guard-loader-5.5.0-3.el5.art

# ls -l
итого 4
drwxrwxr-x 5 apache apache 4096 Сен 13 17:29 MyClass
lrwxrwxrwx 1 apache apache   20 Сен 13 17:14 Zend -> /usr/share/php/Zend/

уже не знаю и куда смотреть...

bacula, webacula

openmsk
(13.09.12 17:37:40 MSK)

12 комментариев

Брутфорс с моего сервера

Форум — Admin

Наверно в жизни каждого админа случается ситуация, когда меры предосторожности не спасают и сервер взламывают.
Примерно это случилось и со мной.
Всё работает как работало. Однако провайдер прислал письмо в котором написано что с моего ИПа происходит брутфорс и ип уже попал в «нехорошие листы».

Но проблема заключается в следующем: Я не знаю откуда начинать искать проблему.
Пароли поменял. конфиг ssh пересмотрел...

Сервер является шлюзом для сети, и всё...

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# POS terminal
-A POSTROUTING -o eth2 -s 192.168.3.69 -j MASQUERADE
# Admin laptop
-A POSTROUTING -o eth2 -s 192.168.3.71 -j MASQUERADE
#Proxy
-A POSTROUTING -o eth2 -s 192.168.3.2 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.112.0.0/16 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.18.0.0/16 -o eth1 -j MASQUERADE

# обновления спец софта по этому порту с этого компа
-A POSTROUTING -p tcp -s k018w7.domain.local --dport 4728 -j MASQUERADE

COMMIT


*mangle
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type broadcast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
#-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m pkttype --pkt-type broadcast -j DROP
-A RH-Firewall-1-INPUT -m pkttype --pkt-type multicast -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p 80 -j ACCEPT

-A RH-Firewall-1-INPUT -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.2.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.1.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.2.0/24 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:05
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:58330348 errors:0 dropped:110 overruns:0 frame:0
          TX packets:55969363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:36956538568 (34.4 GiB)  TX bytes:42539222579 (39.6 GiB)
          Interrupt:9 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.0.3  Bcast:10.0.0.255  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62486226 errors:0 dropped:0 overruns:0 frame:0
          TX packets:53569930 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:41289311855 (38.4 GiB)  TX bytes:36289704553 (33.7 GiB)
          Interrupt:9 Base address:0xa000

eth1:0    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.18.245.130  Bcast:10.18.245.143  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth1:1    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth2      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:08
          inet addr:217.4.177.186  Bcast:217.67.177.191  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:327668460 errors:0 dropped:63 overruns:0 frame:0
          TX packets:437919588 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:56480322007 (52.6 GiB)  TX bytes:40791422945 (37.9 GiB)
          Interrupt:9 Base address:0xc000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10472 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10472 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1512392 (1.4 MiB)  TX bytes:1512392 (1.4 MiB)

интерфейс eth0 смотрит в локальную сеть
интерфейс eth1 смотрит в сторону VPN1 тунеля за которым другая подсеть
интерфейс eth1:0 смотрит в сторону VPN2 тунеля за которым другая подсеть
интерфейс eth1:1 смотрит в сторону VPN2 тунеля за которым другая2 подсеть
интерфейс eth2 смотрит в сторону мира (global internet).

eth0 - местная локальная сеть
eth1 - локальная сеть второго офиса
eth1:0 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам
eth1:1 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.4.177.184   *               255.255.255.248 U     0      0        0 eth2
10.18.245.128   *               255.255.255.240 U     0      0        0 eth1
10.0.0.0        *               255.255.255.240 U     0      0        0 eth1
192.168.3.0     *               255.255.255.0   U     0      0        0 eth0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth1
10.0.2.0        10.0.1.1        255.255.255.0   UG    0      0        0 eth1
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 eth1
192.168.0.0     10.0.0.1        255.255.255.0   UG    0      0        0 eth1
10.18.0.0       10.18.245.129   255.255.0.0     UG    0      0        0 eth1
10.112.0.0      10.18.245.129   255.255.0.0     UG    0      0        0 eth1
default         217-67-177-185. 0.0.0.0         UG    0      0        0 eth2

просьба помочь разобраться в ситуации

openmsk
(15.06.12 12:02:24 MSK)

24 комментария

smbd failed

Форум — Admin

в логах куча ошибок. # cat /var/log/messages

Jan  9 13:51:05 centos smbd[16775]: [2011/01/09 13:51:05,  0] lib/util_sock.c:matchname(1749)
Jan  9 13:51:05 centos smbd[16775]:   matchname: host name/address mismatch: ::ffff:192.168.0.3 != dc2003.dmn.local
Jan  9 13:51:05 centos smbd[16775]: [2011/01/09 13:51:05,  0] lib/util_sock.c:get_peer_name(1870)
Jan  9 13:51:05 centos smbd[16775]:   Matchname failed on dc2003.dmn.local ::ffff:192.168.0.3
Jan  9 13:52:55 centos smbd[16786]: [2011/01/09 13:52:55,  0] lib/util_sock.c:matchname(1749)
Jan  9 13:52:55 centos smbd[16786]:   matchname: host name/address mismatch: ::ffff:192.168.0.40 != dc2008.dmn.local
Jan  9 13:52:55 centos smbd[16786]: [2011/01/09 13:52:55,  0] lib/util_sock.c:get_peer_name(1870)
Jan  9 13:52:55 centos smbd[16786]:   Matchname failed on dc2008.dmn.local ::ffff:192.168.0.40

Jan  9 13:53:06 centos smbd[16786]: [2011/01/09 13:53:06,  0] lib/util_sock.c:read_socket_with_timeout(939)
Jan  9 13:53:06 centos smbd[16786]: [2011/01/09 13:53:06,  0] lib/util_sock.c:get_peer_addr_internal(1676)
Jan  9 13:53:06 centos smbd[16786]:   getpeername failed. Error was Transport endpoint is not connected
Jan  9 13:53:06 centos smbd[16786]:   read_socket_with_timeout: client 0.0.0.0 read error = Connection reset by peer.

# cat /etc/nsswitch.conf

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
protocols: files
rpc: files
shadow: files winbind

# cat /etc/samba/smb.conf | grep -v '^#' | grep -v '^;' |sed '/^$/d'

[global]

        workgroup = DMN
        server string = Samba Server Version %v

        netbios name = centos

        interfaces = lo eth0 192.168.0.6/24 192.168.1.0/24
        hosts allow = 127. 192.168.0. 192.168.1.

        log file = /var/log/samba/log.%m
        max log size = 500


idmap uid = 20000-30000
idmap gid = 20000-30000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
encrypt passwords = yes
template homedir = /home/%D/%U
template shell = /bin/bash

        security = ads
        passdb backend = tdbsam
        realm = DMN.LOCAL
        password server = dc2008.dmn.local

        local master = no
        os level = 0
        preferred master = no

        load printers = yes
        cups options = raw

[homes]
        comment = Home Directories
        browseable = no
        writable = yes

[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes

делалось для squid с ntlm авторизацией причем последняя работает успешно!

гугл предлагает отключить ipv6, но.. # cat /etc/sysconfig/network

NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=CentOS0
GATEWAY=192.168.0.200

openmsk
(09.01.11 13:56:02 MSK)

9 комментариев

CentOS 5.5 remove sendmail, install postfix

Форум — Admin

rpm -e --nodeps sendmail
yum install postfix
/etc/postfix/post-install upgrade-package
vi /etc/postfix/main.cf
и вот что вышло:

]# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
debug_peer_level = 2
home_mailbox = Maildir/
html_directory = no
inet_interfaces = all
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = centos0.dmn.local
myhostname = centos0.dmn.local
mynetworks = 192.168.0.0/24, 127.0.0.1/8
mynetworks_style = host
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
sample_directory = /usr/share/doc/postfix-2.3.3/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
unknown_local_recipient_reject_code = 550

делаю пока только для локальной почты внутри сети. Проще говоря для request tracker'a

#cat /etc/aliases
rt:         "|/opt/rt3/bin/rt-mailgate --queue general --action correspond --url http://rt.dmn.local/"

проблема заключается в том, что postfix делает вид что стартует...

[root@CentOS0 ~]# service postfix start
Starting postfix:                                          [  OK  ]
[root@CentOS0 ~]# telnet localhost 25
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused
telnet: Unable to connect to remote host: Connection refused

в /var/log/maillog ничего не валится

Помогите провести траблшутинг проблемы.

openmsk
(01.01.11 22:46:20 MSK)

45 комментариев

следующие →

RSS подписка на новые темы