Linux-haladó

Sziasztok!

Van egy SENDMAIL levelezőszerverem amely a helyi felhasználóknak szeretne egy speciális porton (nem 25) SMTP szolgáltatást nyújtani StartTLS azonosítással
ha a cégen kívül vannak a nagyvilágban, bármilyen IP címről.

Hogyan állítom azt be egy CentOS szervereren, hogy csak azoktól a felhasználóktól fogadjon és relay-eljen akik előtte azonosították már magukat!

Az access fájl körül keresgélek de nem tudom megoldani, hogy csak az azonosított felhasználókat engedje.

Remélem tudtok segíteni...

Sziasztok!

Építő jellegű segítségeiteket, tanácsaitokat szeretném kérni.
Van egy pár domaint kiszolgáló web szerverem, melyet a lehető legjobban szeretnék IPTABLES tűzfalszabályokkal védeni.
A szerverben egy hálózati kártya van.
A HTTP, IMAP, POP3, SMTP, FTP és még egy-két TCP portot szeretnék engedélyezni, ezeket most nem sorolom végig, mert feleslegesen növelné a listát.
A DNS, NTP pedig UDP protokollon lenne engedélyezve hasonlóképpen, minden más UDP-t tiltani akarok.

Szeretném, ha a default policy minden irányba DROP lenne, azaz csak az jöhet-mehet, amit külön engedélyezek.

Emellett érdekelnének egyéb, általában IPTABLES-szel megoldandó védelmek, mint a ping-flood, syn-flood elleni védelmek, illetve ha még van egyéb javaslatotok, akkor szívesen venném.
Gondolom ennek is, akár egy bash szkriptnek, lehet több jó megoldása, nem igazán a tűzfallal fekvő-kelő ember vagyok, de szeretnék egy jó védelmet. Ezért gondoltam, hogy megkérdezem a HUP közösségét, ki mit ajánl, mit gondol.
Csináltam már valamit, ami javarészt működik, kivéve az FTP-t. Az nem megyen. ProFTPD fut a szerveren, annak a konfigurációs fájljában szerepel egy ilyen rész:

--------------------------------
# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts 49152 65534
PassivePorts 49152 49162
--------------------------------

Ebből azt gondolnám (rosszul?), hogy ha itt megadok egy tartományt, akkor az FTP az adatcsatornákat ezen a portokon nyitogatja, nem össze-vissza, így ha ezen port tartományt a tűzfalon engedélyezem, akkor az FTP-nek mennie kellene.
De nem megy...

Hasonló "eredményeket" értem el különféle SYN-flood elleni védelemmel is, de ezt a végére hagynám, előbb menjen az FTP. Virtualbox-ban futtatott Debian-t tűzfalazok most próbaként, lehet, hogy amiatt nem akaródzik ez a SYN flood védelem működni?

És akkor egy bash szkript, ami a tűzfalat állítgatja be:
--------------------------------
#!/bin/bash

IPT=/sbin/iptables

$IPT -F
$IPT -X

#### Default policy: DROP ####
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

#### Invalid allapotu csomagok eldobasa ####
$IPT -A INPUT -m state --state INVALID -j DROP

#### A beerkezo ping icmp csomagok limitalasa (pingflood ellen) ####
$IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP
$IPT -A OUTPUT -p icmp -j ACCEPT

################### Bejovo kapcsolatok ####################
$IPT -I INPUT -i lo -j ACCEPT

$IPT -A INPUT -p tcp -m multiport --dports 21,25,80,110,143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp -m multiport --sports 21,25,80,110,143 -m state --state ESTABLISHED -j ACCEPT

$IPT -A INPUT -p udp -m multiport --dports 53,123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport --sports 53,123 -m state --state ESTABLISHED -j ACCEPT

################## Kimeno kapcsolatok ######################
$IPT -I OUTPUT -o lo -j ACCEPT

$IPT -A OUTPUT -p tcp -m multiport --dports 21,25,80,110,143 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --sports 21,25,80,110,143 -m state --state ESTABLISHED -j ACCEPT

######### FTP probalkozas ######
$IPT -A OUTPUT -p tcp --dport 49152:49162 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp --sport 49152:49162 -m state --state ESTABLISHED -j ACCEPT
################################

$IPT -A OUTPUT -p udp -m multiport --dports 53,123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p udp -m multiport --sports 53,123 -m state --state ESTABLISHED -j ACCEPT
--------------------------------

1) Tudnátok-e segíteni abban, hogyan tudnám az FTP-t is elérhetővé tenni?
2) Van-e esetleg javaslatotok, mit és hogyan lenne érdemes optimalizálni, átrendezni, hozzátenni ehhez a szabályrendszerhez? (IPV6-ot tiltottam, azzal most nem kívánok foglalkozni, ha esetleg felmerülne)

Előre is köszönök mindent!

Sziasztok!

Adott egy Ubuntu 13.10 amd64-es rendszer. Alapjáraton viszonylag gyorsan bootol a kicsike. Viszont én készítettem magamnak egy saját kernelt, úgy hogy letöltöttem a hivatalos repoból az ubuntus kernel forrást, tehát amiben az ubis patchek is benne vannak, majd kiadtam rá egy:

make menuconfig

parancsot.
Az egyetlen amit megváltoztattam, az az, hogy AMD K8 specifikus legyen, továbbá, hogy lowlatency legyen. Meg hozzáadtam egy címkét, hogy AMD64-lowlatency, de ennyi, minden más az alapbeállítás.
Utána

make -j4 && make modules_install && make install

és kész is, használatba vettem. Működik, meg minden, de azt vettem észre, hogy amikor grub-ban rábökök az adott opcióra, akkor ez történik:

És ez utóbbi lépés olykor akár 30-40 másodpercig is eltart. Szerintem ez borzasztóan lassú. Arra lennék kíváncsi, hogy ez mitől lehet. Megjegyzem, nem lowlatency kernellel is fenn áll a probléma.

Ismer valaki módszert arra, hogy centoson hogy lehet fixálni a ppp interfész nevét?
Az a baj, hogy hiába van megadva a neve, ha ez jön fel először, ppp0 lesz...

[08:29:07] root@kalcium:/etc/sysconfig/network-scripts# cat ifcfg-ppp1 
TYPE=xDSL
DEVICE=ppp1
NAME=DSLppp1
PROVIDER=DSLppp1
NM_CONTROLLED=no
USER="x"
ONBOOT=yes
DEMAND=no
USERCTL=no
PERSIST=no
PEERDNS=no
DEFROUTE=no
ETH=eth0.3
PIDFILE=/var/run/pppoe-adsl.pid
BOOTPROTO=dialup
PING=.
PPPOE_TIMEOUT=80
LCP_INTERVAL=20
LCP_FAILURE=3
CONNECT_TIMEOUT=60
CONNECT_POLL=6
CLAMPMSS=1412
SYNCHRONOUS=no
IPV6INIT=no
RETRY_ON_FAILURE=yes

Sziasztok!

A következő feladatot kaptam a munkahelyemen. Hátha valaki már találkozott és van ötlete hogyan lehetne megoldani.

A felhasználónak a sw-t amit fejlesztünk egy Custom Ubuntu ISO-ban szállítjuk. Ez egy standard ubuntu 12.04.3-as image + tartalmazza a mi csomagjainkat amik feltelepülnek az utolsó installációs fázisban (pl: http://razvangavril.com/linux-administration/custom-ubuntu-server-iso/). Ezt az iso imaget minden éjszaka előállítjuk a legfrissebb csomagokból (Jenkins job). A csomagjaink (kb. 20db) folyton változnak (név, függőségek, stb...). Néha természetesen valaki elfelejti leelenörizni és az ubuntu installáció féluton megáll, mert pl. hiányzik egy csomag. Ez azonban csak akkor derül ki, hogyha éppen fel akarod instalállni a sw-t egy gépre, de nem müködik. :)

Kézenfekvő a megoldás valahogy le kellenne tesztelni automatikusan minden ejszaka, hogy jó ez az image tehát lehet-e installálni estleg utána valami egyszerő ellenörzés. Tehát az image egy sima ubuntu 12.04.3 server (semmi grafika).
* A minimál megoldás lenne, hogy valahogy megnézem az extra csomagok függőségét.
* A nagyobb falat pedig ami ötletként felmerült, hogy egy virtuális gépen automatikustan felinstallálom a rendszert és semmi kérdés az installálás során(ez megoldható és használom is: https://help.ubuntu.com/lts/installation-guide/i386/appendix-preseed.ht…) majd pedig az éppen installált rendszer bentről kifelé valami üzenet küld a gazda gépnek. Ez igényel egy extra csomagot ami elvégzi az ellenőrzést, de ez nem lényeges.

Vagy tud-e valaki valami standard megoldás erre?

Gábor

Sziasztok!

A következő problémát szeretném megosztani és lehetőség szerint választ kapni rá.

Adott egy mail szerver: Ubuntu 12.04 LTS (Apache2, Postfix, Dovecot, ISPConfig 3)
Hibátlanul is működik, mégis akad egy icurka picurka bibi vele. Ugyanis ha fut a Dovecot akkor a szerver Publikus IP-jét pingelve eldob néhány kérést.
A szerverről kifele a ping hibátlan.
Ha a Dovecot-ot leállítom a ping kérésekre a szerver csomagvesztés nélkül válaszol.
Hibaüzenet logokban nincs, tehát minden szolgáltatás tökéletesen működik.
A Dovecot az Ispconfig3 miatt ugye sql-ből veszi a beállításokat az alap konfigja tényleg csak alap,ezért semmilyen ehhez kapcsolódó korlátozást, optimális beállítást nem találtam.

Van valakinek ötlete, hogy mi lehet a gond?

Sziasztok!

Környezet: Debian 6.0.8, Samba 3.5.6 (PDC), slapd 2.4.23, Win7 kliens.
A szükséges registry módosítások elvégezve.
Az ldapscripts és smbldap-tools csomagok nincsenek telepítve.

Samba tartományba próbálok beléptetni Win7-es gépet, az smb.conf-ban az "add machine script = /valami/smb-add-pc.sh %u" egy egyedi szkript, amely az alábbi bejegyzést próbálja meg hozzáadni az LDAP adatbázishoz egy gép tartományba léptetésekor.

Jelenség:

1. A win7-et megpróbálom beléptetni a tartományba: LDAP-ban létrejön a fent belinkelt bejegyzés, de a Win7 hibát jelez: "A megadott számítógépfiók nem található. Ha újra megpróbálom a tartományba léptetést, akkor sikerül és az LDAP-ban a bejegyzés kiegészül a következővel:
   • structuralObjectClass: inetOrgPerson
   • sambaNTPassword: FA895CE02CC0B8B45BEC802C5A0ECE08
   • sambaPwdLastSet: 1384508805
   • sambaAcctFlags: [W ]

   Ez a kétlépcsős folyamat már XP esetén is így volt, annyi eltéréssel, hogy ott a "sambaAcctFlags: [UW ]" kerül hozzáadásra továbbá a "sambaPasswordHistory: " opció is hozzáadásra kerül. A lényeg, hogy működött.

2. Majd újraindítás után be is tudok lépni tartományi felhasználóval.
3. Kijelentkeztetem a Win7-et a tartományból, törlöm az LDAP-ból a bejegyzést, majd megpróbálom újra beléptetni. Itt jön az amit nem értek.
4. Ha újra megpróbálom tartományba léptetni a Win7-et, akkor azonnal sikerül a tartományba léptetés, de nem az smb.conf fájlban megadott "/valami/smb-add-pc.sh %u" fut le, mert nem a fent belinkelt paraméterekkel jön létre az LDAP-ban a bejegyzés, hanem ezekkel. Ebben az esetben a sambaSID: -ben szereplő 1014 a "dn: sambaDomainName=TARTOMANY,dc=suli,dc=sulinet,dc=hu" bejegyzés sambaNextRid-ből van felhasználva.

Az 1. és 4. pontban leírt tartományba léptetési folyamat felváltva ismétlődik, ha egy gépet többször egymás után ki, majd beléptetek a tartományba (természetesen a kiléptetés után törlöm LDAP-ból a bejegyzést).

1. Mi okozza ezt az anomáliát?
2. A samba milyen szkriptet futtat, amikor a 4. pontban leírtak szerint létrehozza az LDAP bejegyzést?

Elnézést, de nem tudja valaki, hogy "hova tunt" a debian testingbol a xen-qemu-dm-4.x csomag?
Enelkul bajos futtatni hvm- et. Valamikor junisban csinaltam egy gepet par hvm- mel es pvm- mel, de ujabban nem talalhato a fenti csomag a repokban. Van ra esetleg valami megoldas? Bongeszem a netet, de a xen-qemu nekuli xen- hvm futtatasrol nem talalok semmit.
Koszonom.

Sziasztok!

A helyi iskola küzd azzal, hogy túl lassúak a gépek. Természetesen újat akarnak venni, arra meg természetesen nincs pénz.
Gondoltam egy TinyCore Linux-szal eltolhatnám a problémát 3-4 évvel, a gyerekeknek úgyis csak Office-t, meg Paint-et kell tanulniuk.
(http://kolourpaint.sourceforge.net/screenshots.html)

Az ötletem csak akkor kivitelezhető, ha sikerül átállítanom _mindent_ magyarra. Ha kell, akkor hajlandó vagyok lefordítani is azt a párszáz szót.

Azt látom, hogy elindult a magyarítása:
http://forum.tinycorelinux.net/index.php/topic,7169.0.html

A /mnt/sda1/tce/boot/extlinux/extlinux.conf-ba be is tettem a "lang=hu_HU" cmdline opciót; futtatam a "getlocale.sh"-t; telepítettem a base-locale extension-t. Boot-nát írja is, alkalmazza lang cmdline-t, de a GUI-n nem látok semmi változást.

Tudna ebben valaki segíteni?

Kössz,
Balázs

Sziasztok!

Adott egy opensuse 12.3 abszolút minimál text mode install - ami még kell felrakosgattam.
LANG=POSIX
Egyéb installált nyelv nincsen.
LC_* nincs beállítva.

Egyszer csak találtam egy ilyen üzenetet (unicode):

tar: file.name: Cannot stat: Nincs ilyen fájl vagy könyvtár.

Honnan tuja a rendszer, hogy magyar vagyok?

Ellenpróba:
tar cvf tarfile.tar file
tar: file: Cannot stat: No such file or directory