Linux-haladó

szerk.: sikerült megoldanom a problémát, az elkészült policy csomagot megtalálhatjátok ebben a kommentemben.

Szokatlan ötletem támadt: azt találtam ki, hogy lekorlátozom a desktop gépemen futó firefox-ot (de csak ezt az egy processt), hogy csak egy adott portra tudjon kapcsolódni. Mivel CentOS-t használok (6.4-es release), kézenfekvőnek tűnt az SELinux-on keresztül megoldani a korlátozást (esetleg iptables-szel kombinálva), de sajnos hosszas kísérletezgetések után sem boldogultam a feladattal.A cél:

* a firefox process csak egy adott portra (SOCKS proxy) tudjon kapcsolódni (esetleg korlátozva azt is, hogy csak localhost-ra mehessen a kapcsolat, bár a portszintű korlátozás is elegendő lenne)
* a névfeloldás is tiltva legyen (SOCKS-on keresztül kell a neveket feloldani)
* minden egyéb hálózati forgalom tiltva legyen (pl. ICMP, kapcsolódás bármilyen egyéb portra, bármilyen protokollon)

Ami eddig felmerült lehetséges megoldásként:

* egyedi kontextus létrehozása a firefox folyamatnak, amiben limitálom a hálózati hozzáféréseket
* iptables-szel vizsgálni a csomag címkéjét, és az OUTPUT láncon beállítani a korlátozást

A saját policy készítéséhez a meglévő "mozilla" policy-t klónoztam le - kiiktattam belőle minden hálózatra vonatkozó részt, és csak a szükséges portra engedélyeztem a kapcsolódást, de ez sajnos nem segített, továbbra is korlátlanul ki tudtam menni az internetre.

Az iptables-hez találtam egy modult (xt_selinux), ami tudja vizsgálni a csomagok címkéjét, de ez gyárilag nincs telepítve és azt írja a fejlesztő, hogy nem garantált a kompatibilitása, mivel olyan belső SELinux adatstruktúrákra épít, amelyek bármikor megváltozhatnak. Saját otthoni rendszerről lévén szó, ez annyira nem riaszt el, de jobban szeretném, ha a lehető legegyszerűbben, beépített eszközökkel tudnám a feladatot megoldani.

A probélma szerintem oda vezethető vissza, hogy hiába állítom be a megfelelő fájlkontextust a firefox binárisának, a process mégis unconfined domain-ben fut:

chcon user_u:object_r:mozillastrict_exec_t:s0 ~/firefox-strict/firefox

A folyamatot elindítva az alábbi látszik a ps wauxZ kimenetében:

LABEL                           USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 nb 7076 6.7  6.0 971740 238376 ? Sl 08:52   3:45 /home/nb/firefox-strict/firefox

Könnyen lehet, hogy félreértelmezek valamit az SELinux koncepciójában, de nem tudom, hogy mit. Más processek a nekik kijelölt domainben futnak, sejtésem szerint a firefox-nál is ezt kellene megoldani valahogy a korlátozások működéséhez:

system_u:system_r:rpcbind_t:s0  rpc       1957  0.0  0.0  18972   916 ?        Ss   07:26   0:00 rpcbind
system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 dbus 1972 0.0  0.0 98156 2232 ? Ssl 07:26   0:01 dbus-daemon --system
system_u:system_r:NetworkManager_t:s0 root 1983 0.0  0.1  90376  4504 ?        Ssl  07:26   0:00 NetworkManager --pid-file=/var/run/NetworkManager/NetworkManager.pid
system_u:system_r:modemmanager_t:s0-s0:c0.c1023 root 1989 0.0  0.0 55832 2436 ? S   07:26   0:00 /usr/sbin/modem-manager
system_u:system_r:rpcd_t:s0     rpcuser   2004  0.0  0.0  23344  1328 ?        Ss   07:26   0:00 rpc.statd

Van valami ötletetek? Mit csinálhatok rosszul?

Tisztelt Fórumtársaim!

A szerveren naponta 1x felmegy 7-8 fölé a load average,az utóbbi időben 3x is,de néha több napig.
Átlagban elég alacsony a LA, amikor felmegy nem a processzor miatt,hanem az IO műveletek miatt.
A gépen szoftvered raid1 van.
Ilyenkor nem megy fel a memória használat,sem a CPU használat,csak IO művelet van.

iotop se adott értelmes választ, maga a TOTAL READ/WRITE nagyon magas,de egyik processz sem az.

Újrainditás követően is felmegy az LA,amikor ez az 5-10-15-20 perce van.

Kiírattam a blokkokat,és aszerint szűrtem syslogból,de csak kjournald-t láttam,ami elvileg nem kell számításba venni. Attól nem lehet nagy az LA a cikkek szerint, írtak valami noatime-ot,hogy tegyem be fstab-ba,vagy mountoljam úgy fel, most bevan kapcsolva,de ugyanaz.

Szeretnék elindulási irányt kérni tőletek,hogy merre keresgéljem az okát ennek?

Muninról képeket itt tudjátok megnézni:
http://imgur.com/a/VlvRt#4

Köszönöm a válaszokat

Sziasztok!

Van eg működő samba4-em, amihez különböző szolgáltatásokat szeretnék csatolni. (Most konkrétan apache.)
Találtam egy nagyon jónak tűnő doksit itt.
A problémám az, hogy hiába hozom szépen létre a usert
samba-tool user create --random-password http-servername
majd az spn-t
samba-tool spn add HTTP/servername.domainname@YOUR_REALM_NAME.TLD http-servername
amikor keytab exportra kerül a sor
samba-tool domain exportkeytab /root/httpd.keytab --principal=HTTP/servername.domainname@YOUR_REALM_NAME.TLD
akkor közli, hogy nincs ilyen principal. Persze ha lekérdezem, akkor látszik a user, és látszik nála az spn is.
Futott már bele valaki ilyesmibe? Hol lehet a gond? Merre induljak?
2. napja bingelek, de eddig nem sok eredménnyel...

Sziasztok!

Adott egy kliens gép, ami egy debian szerver mögötti hálózatban van!

A server külső interface a ppp0 , a belső az eth0, illetve mivel a server dhcp-s kölső ip-t kap , így dyndns címmel érhető el kívülről.

A lényeg , hogy ki szerettem volna nyitni a serveren a 3389-es portot a win kliens gép belső ip címe felé a következő iptables szabállyal:

iptables -A FORWARD -d 192.168.88.4 -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT

Nah ez nem máködött:s

Próbáltam , hogy kinyitom a serveren cél definiálása nélkül a 3389-es portot a következő iptables szabállyal:

iptables -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT

de így sem működött az rdp:S

Vártam 1 órát , hagy drissiítsen a dyndns kliens , de így sem működött:

A szabály a DROP előtt állnak , és így sem működnek.

Lokálisan működik az rdp , csak távolról nem.

Én rontottam el valamit , vagy más lehet a probléma?

Ha van valami ötletetek , írjatok nyugodtan , már mindent kiprobaltam ami eszembe jutott:s

A válaszokat , és a segítséget előre is köszönöm!

Olyat tervezek kigondolni, hogy a cégnél kissé megvariálom a levelezést. Jelenleg probléma, hogy a projectek levelei vagy több embernél is megvannak vagy épp csak egynél. Ez mondjuk akkor érdekes, amikor valamelyik kolléga kilép.

Erre találtam a dovecot esetén a shared mailbox dolgot, ami remek.

Hasznos lenne pár project levelezését ilyenbe átköltöztetni, viszont mivel egy-egy levelet valószínűleg nem csak egy címzett kap(ott) meg, ezért hamar előállhat a helyzet, hogy egy ilyen folderben hatszor is megvan Frank Abagnale levele, miszerint "OK" vagy hasonló.

Tehát meg kéne szüntetni a duplikációkat. A google ilyesmire rettenetesen sok dolgot tud javasolni, ezért kérdezek inkább itt, hogy egyrészt csinált-e valaki ilyet, másrészt ha igen, akkor hogyan? :D

Az se lenne utolsó dolog, ha ez a deduplikáció nem csak költözéskor, hanem állandóan futhatna, így ha Józsi és Sanyi is kap egy-egy levelet és mindketten (akár filterrel) átteszik ebbe a folderbe a levelet, akkor csak az egyik marad meg. Ez persze felveti a kérdést, hogy wtf akkor, ha kérdésessé válik, hogy egyik vagy másik emberke megkapta a levelet. Vagy ezt nem technikai hanem munkamódszeri problémának vesszük és egyéb módon (pl. mindig az adott project felelőse kapja a leveleket és Ő filterezi szét) tekintjük, ezért is érdekes, hogy valaki csinál-e ilyet és ha igen, akkor hogyan (nem csupán technikai szempontból vizsgálva a).

A környezet dovecot, maildir, alighanem per user seen, de mielőtt hozzáfognék kérdezek.

Szeretnék egy olyan szervert amire "bárki" tölthet fel fájlt, backup céllal. Szeretném, ha a feltöltő IP címe megjelenne a fájl nevében vagy meginkább a fájl útvonalában. Így nagyjából tudnám, hogy merről jött és össze is tudnám szedni az egy feltöltőhöz tartozó fájlokat.

Arra gondoltam, hogy erre talán egy FTP vagy WebDAV szerver lenne a legalkalmasabb. Itt azonban elakadtam, mivel nem tudom, hogy az IP címet hogy lenne érdemes belecsempészni az útvonalba vagy a fájl nevébe.

Van tippetek? Esetleg más megoldás? Protokoll viszonylag szabadon válaszható..

Sziasztok,

Egy kis segítséget kérnék tőletek.

Adott egy frissen telepített debian 7-es gép.
Telepítéskor 2 db ssd re telepítettem a rendszert sw raid1-el, hiba nélkül megy is.
Tettem a gépbe további merevlemezeket, és sw raid1 -et készítettem.
Particionáltam a vinyókat sdc1 sdd1 linux raid (fd) partició lett.
Összeraktam a raid1-et
mdadm -C /dev/md2 --level=raid1 --raid-devices=2 /dev/sdc1 /dev/sdd1

Megnézem a tömböket cat /proc/mdstat szépen látom mindkét tömböt, hibátlanok.
Elkészítem rajta a fájlrendszert mkfs.ext4 hiba nélkül megcsinálja.
Amíg újra nem indítom az oprendszert látom és tudom is csatolni az új raidet.
Újraindítás után az a raid tömb (tömbök) amit a telepítés után készítettem nem látszik a cat /proc/mdstat nál, csak az a tömb, amit a telepítéskor készítettem.
Ha megcsinálom újra a tömböt, megint látszik a következő újraindításig.
Debian 5 és 6-alatt ez szépen működött ezzel a géppel.

Találkozott valaki már ilyennel ?
Merre keressem a hibát?

Sziasztok!

Adott egy server , amin van pár samba share , a shareken belül pedig a programok , amiken a dolgozók dolgoznak.

Nemrég volt egy áramkimaradás , amit már az UPS sem bírt el , és amikor beindítottam a servert , akkor bootoláskor az alábbi hibaüzenetet írta:

NFS kernel daemon start .... [failed]

Igazából minden működik rendesen , csak kicsit lassabb lett a samba sharek elérése , amióta ez a hibaüzenet jelen van.

Amikor kézileg akarom elinditani az nfs-kernel-servert , akkor ez a hibaüzenet fogad:

Not starting NFS kernel daemon: no exports. ... (warning).

Az lenne a kérdésem , hogy a samba-nak van valami köze ehhez az nfs-kernel-servernek , illetve , ha igen, akkor , mire utalhat szerintetek ez a probléma , illetve , hogyan javítható , vagy érdemes-e egyáltalán foglalkozni ezzel a hibaüzenettel?

A válaszokat , és a segítséget előre is köszönöm!

Sziasztok!

Problémám van egy 2 portos PCI soros kártyával Fedora 16 alatt.
1. ttyS2-őn van a soros eszköz és újraindítom a gépet
2. stty nem tudja beállítani ttyS2-őt: IO hibával kilép
3. kihúzom a soros eszközt, átdugom ttyS1-re
4. stty segítségével beállítom ttyS1-et és működik
5. újraindítom a gépet
6. stty nem tudja beállítani ttyS1-et: IO hibával kilép
7. kihúzom a soros eszközt, átdugom ttyS2-re
8. stty segítségével beállítom ttyS2-őt és működik
És ez mókuskerékben, ami sajnos nem mehet így mivel ez egy beágyazott x86-os gép.

Ha sikerül egyszer véletlenül setserial /dev/ttySx irq 0 segítségével pollingra váltanom, akkor királyul működik. De ez legtöbbször nem sikerül (IO hiba).

A probléma az, hogy két PCI slot van és bármelyikbe dugom egy olyan IRQ-t kap, amivel osztoznia kell valami alaplapi eszközzel (proc/interrupts) és szerintem ezt nem tudja a kártya.

Hogyan lehetne a kártya IRQ-ját módosítani Fedora 16 alatt?
Hogyan lehetne az IRQ sharingot tiltani erre a PCI kártyára?

Próbáltam például a setserial /dev/ttyS1 irq 10 parancsot, amit el is fogad néha, de ilyenkor a kernel kiköpi hogy "Disabling IRQ #17" és nincs válasz a porton.

Serial: 8250/16550 driver, 4 ports, IRQ sharing enabled
0000:05:04.0: ttyS1 at I/O 0xbc00 (irq = 17) is a 16550A
0000:05:04.0: ttyS2 at I/O 0xbc08 (irq = 17) is a 16550A


05:04.0 Serial controller: Timedia Technology Co Ltd PCI2S550 (Dual 16550 UART) (rev 01) (prog-if 02 [16550])
Subsystem: Timedia Technology Co Ltd SER4037A (2x RS232 port)
Control: I/O+ Mem- BusMaster- SpecCycle- MemWINV- VGASnoop- ParErr- Stepping+ SERR- FastB2B-


Sziasztok!
A Samba 4.0.7-es verzióját telepítettem forrásból egy Debian Wheezy-t futtató szerverre. A Samba Wiki alapján létrehoztam a domain-t:

/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --domain CEG.LOCAL --realm CEG.LOCAL

Minden simán ment, egy Windows XP-re telepített Remote Administration Tools tudom is kezelni az Active Directory-t.
A problémám az lenne, hogy az Administrator felhasználónak egy adott fájlra/mappára beállított jogait (ACL) - ellentétben egy Windows Server-en futó AD-vel - a Samba nem veszi figyelembe. Azaz hiába állítok be bármilyen tiltást a megosztáson neki, az Administrator törölheti, írhatja a fájlokat, hasonlóan mint Linux-on a root.

Próbálkoztam a SeRestorePrivilege és SeBackupPrivilege jogok megvonásával, hátha ezért lépi át a jogokat, de nincs hatása.

net rpc rights revoke 'CEG\Administrator' SeBackupPrivilege -Uadministrator

A kérdésem az hogy ez beállítás kérdése, vagy így működik a Samba 4 és kész?

Mentésre (AD/ACL) milyen módszert javasoltok?