Всем доброго времени суток. У меня стоит задача ограничить xrdp подключения только одной сессией на машине. Стандартными средствами xrdp я этого функционала не нашел (возможно я ошибаюсь?). Немного поискал, порылся, и нашёл модуль pam_limits.so с параметром maxsyslogins. А вот теперь и сам вопрос. Могу ли я переуказать конфиг файл для pam_limits.so и где он должен лежать?. Читаючи man, я вижу что такая функция как бы есть «conf=/path», но на практике как то плохо выходит.

На данный момент у меня есть такое в файле

/etc/pam.d/xrdp-sesman:

@include common-auth

@include common-account

session required        pam_limits.so   conf=/etc/security/limits.d/limits.conf

@include common-session

@include common-password

И в /etc/security/limits.d/limits.conf:

*       -       maxsyslogins    1

Но я по прежнему могу зайти двумя пользователями одновременно (пользователи отличны от uid=0)

Ну и конечно, я хочу под ssh заходить без этого ограничения.

common-auth:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_sss.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional        pam_mount.so
auth    optional                        pam_cap.so

common-account:

account requisite                       pam_deny.so
account required                        pam_permit.so
account sufficient                      pam_localuser.so
account [default=bad success=ok user_unknown=ignore]    pam_sss.so

common-session:

session [default=1] pam_permit.so
session requisite         pam_deny.so
session required          pam_permit.so
session optional          pam_umask.so
session required    pam_mkhomedir.so umask=0022 skel=/etc/skel
session required          pam_unix.so
session optional          pam_sss.so
session optional    pam_exec.so quiet /etc/pam.d/rsync.sh
session optional          pam_mount.so
session optional    pam_exec.so quiet /etc/pam.d/rsync.sh
session optional          pam_systemd.so

common-password:

password        requisite                       pam_pwquality.so retry=3
password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
password        sufficient                      pam_sss.so use_authtok
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_mount.so disable_interactive
password        optional        pam_gnome_keyring.so

Дополнение: Так же я заметил, что модуль считывает с папки /etc/security/limits.d конфиги и для других служб…

Всем доброго времени суток. Сильно не пинайти, с почтовыми серверами работал очень мало, а про dovecot вообще фактически не слышал.
Заметил что диск сильно грузится чтением файлов (выжимает из себя максимум), выяснил что делает это процесс dovecot/imap, так же вижу, что читает письма из папки «cur» владельца ящика. Общий размер ящика - 17 гих. Утилитой lsof видно, что за раз процесс читает писем 25-30. Процессов может быть штук 5.
И сам вопрос, что происходит? Почему так грузится диск? Какие варианты ...
диск - обычный sas hdd

P.S. на сервере крутится несколько доменов почты, но проблема только с одним (в нём количество писем гих на 50).

Всем доброго времени суток. Долго мучался с проблемой проброса портов host-kvm на виртуальную машину через firewall-cmd, и спустя много, очень много времени, я осилил данную задачу. Но, как всегда есть но.
Сами правила я прописываю через firewall-cmd --direct. Правила на FORWARD попадают автоматически в FORWARD_direct, в PREROUTING аналогично. FORWARD_direct записывается правилом в цепочке FORWARD, аналогично с PREROUTING. И вот тут образуется проблема.
Правило FORWARD_direct записывается далеко не первым в списке цепочки FORWARD, изменить положение можно с помощью --direct --passthrough, но после firewall-cmd --reload данная запись пропадает.
Как можно перманентно изменить положение правила в цепочке через firewall-cmd?

( Примеры правил )

Всем доброго времени суток. Ситуация следующая. Программист написал скрипт на php, в котором делает 1-7 запросов к БД каждую секунду. С его слов, запросы максимально простые, буквально пару, опять таки, простых команд. Мониторя диск с помощью iostat, я заметил, что значение записи (write per second (w/s)) с 8-10 обычных выросло до 130, а utilization до 50-60%, с выключением скрипта значения падает до обычного. И сам вопрос, нормальная ли это ситуация? (что то мне подсказывает, что так быть не должно). К сожалению сам скрипт не видел, слышал, что он мониторит сайт, и записывает эти данные в БД.

Всем доброго времени суток, а так же с праздником! Продолжаю учить selinux, и столкнулся с такой проблемой, не могу придумать себе задачи для тестирования своих навыков. Посему прошу Вас поделиться реальными возможными задачами по настройке selinux (с которыми вы сталкивались лично, или же слышали о таковых, или фантазия у Вас более продвинутая). Задачи не обязательно должны быть сложными, так как я еще начинающий. Нужны как задачи по настройке, так и по написанию политик. Заранее спасибо.

Всем доброго времени суток. Пару дней ковыряю selinux, пытаюсь лучше, глубже вникнуть в настройку. Помогите, пожалуйста упорядочить знания.
У каждого файла, демона, сокета (короче у всего) есть контекст (пример: user_u:user_r:user_t:s0), на нём и строится вся политика безопасности. Каждого пользователя linux можно привязать к пользователю selinux (user_u (можно посмотреть командой semanage login -l)). У каждого пользователя selinux есть перечень ролей (пользователю selinux можно добавлять или удалять роли командой semanage -a -R newrole_r ouruser_u), как создать новую роль? И под конец, у каждой роли есть список типов (можно ли условно сказать, что тип это определённое действие, которое можно выполнить над объектом?, если это процесс (домен), то выполняется переход к другому типу?) Как создать новый тип ?, как добавить тип к роли ?, как прописывать правила для типов ?. Если кто знает как это делать ручками, вообще супер! (знаю про утилиту audit2allow/why, но хочется понять как она работает.) Заранее спасибо за помощь.
В гугл можно не посылать, прочитал и пересмотрел много информации, пытаюсь её упорядочить.

Добрый день. Несколько дней подряд пытаюсь разобраться со связкой DRBD+KVM. Помогите с теоретическими вопросами или дайте ссылку на материал. Прошу не предлагать поставить сразу proxmox (или что либо подобное), хочу разобраться именно в основах, а к ним еще руки дойдут.
Перейдем к самим вопросам:
1. У меня есть сервер с KVM, образы машин - LVM. Из документации drbd вычитал, что можно сначало сделать drbd раздел, потом на него накатить lvm или же сделать с точностью да наоборот, как делать предпочтительней?(мой вариант второй).
2. Для примера выбираем второй вариант (drbd на lvm). Если я хочу создать новую vm - мне нужно блочным устройством указывать lvm, верно?(или всё же drbd...). Наверное это меня путает больше всего. Логически я понимаю, что нужно указывать верхний уровень (drbd), но тогда не могу настроить pool и vol в kvm, выбрасывает ошибки (ошибки на данный момент предоставить не могу, уже сто раз переделывал).
3. Предположим (+ я понял ответ на второй вопрос), что мы настроили виртуальную машину, на машине крутится сайт. Я хочу сделать работу сайта бесперебойной. У меня есть еще один сервер, между ними я настраиваю drbd, на втором сервере настраиваю kvm и делаю vm в которой указываваю блочным устройством настроенный drbd. Если первый сервер drbd primary, то vm на втором сервере не запуститься пока будет secondary (если я всё правильно понимаю). Если пропадает связь с первым сервером - vm сможет запуститься? drbd автоматически сделает второй сервер primary?
Возможно не стоит испльзовать drbd, тогда какие альтернативы? Ваши варианты.
Наверное пока остановимся на этих вопросах. Думаю понимание их даст мне много новых размышлений! Заранее спасибо!