Debian GNU/Linux

Sziasztok!

Eza doksi segítségével (http://hup.hu/node/13782) megpróbáltam összehozni a következő hálózatot titkosított adatforgalommal..

internet -- átjáró -- belső hálózat

Az átjáró egy debian linux (sarge)
A belső hálózat pedig windows xp-s gépek.

Egyenlőre csak egy gépet szeretnék beállítani.

A windows-t és az átjárót beállítottam a doksi alaján és a syslogban a következő hibaüzenetet kaptam pingeléskor:

Sep 27 17:19:23 localhost isakmpd[4085]: transport_send_messages: giving up on message 0x82a6f28, exchange WinXP
Sep 27 17:19:23 localhost isakmpd[4085]: transport_send_messages: either this message did not reach the other peer
Sep 27 17:19:23 localhost isakmpd[4085]: transport_send_messages: or the responsemessage did not reach us back
Sep 27 17:20:28 localhost isakmpd[4085]: check_policy: negotiated SA failed policy check
Sep 27 17:20:28 localhost isakmpd[4085]: message_negotiate_sa: no compatible proposal found
Sep 27 17:20:28 localhost isakmpd[4085]: dropped message from 192.168.100.129 port 500 due to notification type NO_PROPOSAL_CHOSEN
Sep 27 17:21:20 localhost isakmpd[4085]: check_policy: negotiated SA failed policy check
Sep 27 17:21:20 localhost isakmpd[4085]: message_negotiate_sa: no compatible proposal found
Sep 27 17:21:20 localhost isakmpd[4085]: dropped message from 192.168.100.129 port 500 due to notification type NO_PROPOSAL_CHOSEN
Sep 27 17:21:23 localhost isakmpd[4085]: transport_send_messages: giving up on message 0x82914d0, exchange
Sep 27 17:21:23 localhost isakmpd[4085]: transport_send_messages: giving up on message 0x82c8848, exchange OBSD

Az isakmpd konfig file-ai a következő féle képpen néznek ki:

isakmpd.policy:

KeyNote-Version: 2
Comment: IPsec teszt
Authorizer: "POLICY"
Licensees: "passphrase:123456789"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg == "3des" &&
esp_auth_alg == "hmac-sha" -> "true";

isakmpd.conf:

[General]
Policy-file= /etc/isakmpd/isakmpd.policy
Retransmits= 5
Listen-on= 192.168.100.130

[halozat]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.100.0
Netmask= 255.255.255.0

[kliens]
ID-type= IPV4_ADDR
Address= 192.168.100.129

[Phase 1]
default= WinXP

[Phase 2]
Connections= OBSD

[WinXP]
Phase= 1
Transport= udp
Address= 192.168.100.129
Configuration= Default-main-mode
Authentication= 123456789

[OBSD]
Phase= 2
ISAKMP-peer= WinXP
Configuration= Default-quick-mode
Local-ID= halozat
Remote-ID= kliens

[Default-main-mode]
DOI=IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA-GRP2

[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE

Pingeléskor a Windows XP az IP-biztonság egyeztetés üzenetet küldi folyamatasan.

Van valakinek ötlete hogy mi lehet a gond?

Előre is köszi
Zsolti

Sziasztok!
A következő a történet:
- Vettem egy hardvert tök új, meg gyors, csak éppen semmit sem ér el rajta a linux. Core2 Duo és ennek folyományaként egy csomó új hardverelem, pl. két integrált ata vezérlő, amit még csak a legújabb kernelek ismernek.
- Nagy nehezen ráerőszakoltam USB Pendriveról (hd-media) egy debiant, de ez egy etch testing-daily build. És ráadásul nem is 64 bites, továbbá csak az egyik ata adaptert látja.
- Fordítottam rajta 2.6.18-as kernelt, ez már a hálókártya és a cdrom kivételével már mindent lát :), ezzel már tudnék valamit kezdeni.

Kérdések:
a) Hogyan tudok custom kernellel telepíteni, mondjuk egy sarge-ot (jelen esetben AMD64 unofficial sarge 31r3)?
b) Azt vágom, hogy a vmlinuz-t fölülvágom a pendrive-on. De a modulokat már a initrd-ről olvassa be a kernel. Hogyan fogom én átírni a initrd-ben a modulokat? Ez mindenképpen kell, mert enélkül még az USB-t sen találja meg.
c) Mintha még az iso-ról is olvasna be modulokat. Ez talán jelen esetben nem is annyira fontos, de ezt hogyan csinálom? (make-kpkg?, aztán fölmásolni az iso-ba?)
d) Egyáltalán fog ez így működni, vagy valamit még kihagytam a számításból?

Köszönöm,
Balázs

Sziasztok!

Nem tudja véletlenül valaki, hogy a John Bradley-féle xv képnézegetőnek hol található etch i386 .deb csomagja?

Kedves Fórumozók!

Egy apró problémám akadt squid-del, éspedig, működik az irodánkban egy NAT-oló szerver, rajta proxy. (Debian Sarge).

Ha bekapcsolom a proxyt a klienseken (WinXP, IE6), akkor a www.ikerfenyo.hu oldal helyett a www.kiszeltunde.hu oldalra redirectel! Ezt több kollégám megerősítette, ezért megvizsgáltam énis.

Ha kiveszem a proxyt (sima NAT alól veszem a webet), akkor minden rendben van, csak lassabb a web böngészése.

A squid configjában semmi redirect, forward, restrict opció nincs beállítva, nem nagyon értem a problémát. A LAN-on több kliensgépen kipróbáltam, ugyanígy megtörténik a redirection!

Én arra gyanakszom, hogy valahogy az ikerfenyo.hu oldal php-ja érzékeli, hogy proxyn kersztül nézik, és kiad egy header("location: http://www.kiszeltunde.hu"); parancsot. Ezt egy vicces kedvű web programozó simán meg tudja csinálni.
Hogy tudom eldönteni, hogy csak erről van szó, vagy a mi rendszerünkben van a hiba?

Van egy olyan problémám, hogy egy samba 3.0.14a-3sarge2 érdekesen logol. A /var/log/samba könyvtárban van log.smbd, log.smbd.ol és a tömörített log.smbd.X.gz(X=1-7). A gond az, hogy a mai, azaz 28-i logok vannak a sima log.smbd-ben és a log.smbd.old-ban is. Az első rotált fájlban pedig csak 25-ig vannak benne. A köztes 3 nap sehol. Vagyis én nem találom. Ez így van két szerveren is. Nem igazán tudom, hogy mit kellene beállítanom...
Az smb.conf-ban az idevonatkozó rész:
log level = 2
syslog only = no
syslog = 0

Sziasztok!

Egy SuSE 8.2 fájlszerver anyagai - teljes raid tömbbel együtt - át lettek pakolva Debian Etch alá. A tömbön reiserfs fájlrendszer van. A probléma ott van, hogy a sambát sehogyan sem tudom úgy beállítani, hogy az ékezetek rendesen megjelenjenek.
SuSE alatt a windows-os kliensek rendesen látták az ékezeteket, de linux alól ott is csak kérdőjelek látszottak. Most viszont Debian alól és a kliensek alól is csak különféle jelek látszanak az ékezetek helyén.
A client code page, character set és társait már végigzongoráztam, de semmi eredmény, bár néha megváltoznak a karakterek, de nem jó irányba.
Nem tudja valaki, milyen speciális beállítás lehetett a SuSE-ban, ami ezt befolyásolhatta? Vagy bármilyen egyéb megoldást?

Üdv: Tamás

Sziasztok!

Egy egyszerű kérdésem lenne:

Hogyan tudom elérni h a /sbin/halt -t vagy a /sbin/reboot -t a többi felhasználóként is futtathassam ne csak root -ként?

Amit olvasgattam arra jutottam h a sima chmod 111 nem jó mert a halt parancs vmiért nem szuperálna így (h miért azt a babelfish vhogyan nagyon rosszul fordította (németről angolra)) ahogy kivettem vhogyan így kellene chmod 1111 /sbin/halt .
Ám erre nem változik semmi :(

Válaszotokat előre is köszönöm.

Zsolt

Van egy Netware 6.5-ös szerverünk, amelyről biztonsági mentést akarok csinálni. Felmountoltam ncpmount-tal és tar.gz-vel mentettem. Ez működött is, egy darabig, aztán kb egy hete mindig megszakad a mentés és a "kernel: ncpfs: Connection invalid!" sort találom a logban. A mentést elkezdi, de kb negyedét csinálja meg.
Van valami ötletetek?

Sziasztok!

Szombat esti upgrade után (melyben ha jól láttam, font frissítések is voltak) a Firefox-ban és a Konqueror-ban is az Origo, az Index és a HUP több része (de más oldalak is) ékezet nélküli, s igen furcsa fontokkal mutatkoznak. A frissítés előtt mindegyik jól működött. A böngészők semmiféle új - általam ismert - beállítása nem használ. A rendszer Debian etch i386.

Lenne valakinek ötlete? Köszi

Hali,

A helyzet a kovetkezo:
Van egy szerver 2.4.31-es kernellel, ezen fut exim4-heavy mint MTA,
es ugye a TLS kepes kulso gepekre a levelet titkositva kuldene
GnuTLS-t hasznalva. Namost mivel minden kuldeshez alapbeallitasban
general kulcsot, ezert felemesztette az osszes entropiat,
igy mar nem tud tobb kulcsot generalni.Emiatt alltak a levelek amik TLS kepes celgepekre mentek volna.
Baratom az "hosts_avoid_tls=*" az smtp transzportba, most tls
nelkul kuldi tovabb a leveleket.
Nade akkor mar azert miert vagjuk el magunkat ettol a franko kis dologtol,
h titkositott leveltraszport:)

Utananeztem ennek az entropia dolognak, s kiderult h alapban
a kernel az eger es billenytuzet esemenyeket veszi ehhez alapul,
meg persze a random szam generator hw-eket (ami nincs a szerverben).
Es mivel eger, billentyuzet nelkuli a szerver igy nem tudom csak
ugy "megtaplalni" az entropiat.
Ujrainditast is javasoltak, de hat azert ez megsem elegans.

Emlitettek neten olyna megoldasokat, h belottek, h a disk es
network interface irq-k is taplaljak az entropiat, de ez mind
patch-el tortent.

Az erdekelne, h van-e standard megoldas az entropia ujratermelesere
"headless" szerveren, ami hw-es randomgeneratorral nem rendelkezik,
tavolrol, ujrainditas nelkul.

Udv,
triv