UNIX haladó

Sziasztok!

Abba a feladatba ütköztem, hogy hardeningelnem kell HP-UX-ot, redhat alapú linuxokat, és Suse linuxokat.

Kellene gyártanom tegnapra egy doksit, ami egy hardening rendszerterv lenne és szükséges lenne alapirányelveket lerögzíteni a doksiban. Esetleg van valakinek olyan anyaga, ami leírja az általánosan minden esetre érvényes hardening irányvonalakat, azaz mint mankó segít nekem elindulni? Nehezen fogom tudni összeszedni kútfőből értelmesen és logikusan azt a sok részletet, ami kell egy ilyen doksiba, és megvalósíthatónak is kell, hoyg legyen a későbbiekben. Szóval egy vonalvezető összegző, összeszedő vázlatdoksi alapelvekkel az igényem... Tudom, most ez alatt aztán mindent lehet érteni és nem pontos definiciókat írtam ide, de nem is konkrétumokról fog szólni ez a doksi. Az egy megvalósítási kézikönyv lesz, amit majd nyárra kell megírnom és elvégeznem.

Köszi előre is az erőfeszítéseket Üdv.: Balu

Sziasztok,

LDAP kliens jelszava csak plaintext-ben lehet a /etc/ldap.conf-ban?


binddn cn=ldapbind,ou=service account,dc=domain,dc=hu
bindpw plain_jelszo


Ha a /etc/ldap.conf jogosultságát beállítom 600-ra, akkor ha pam ldap auth történik (ssh-n csatlakozik az ldap-ban tárolt user), akkor az azonosítás megtörténik, de a továbbiakban a user nem fér hozzá az ldap.conf fájlhoz a jogosultság miatt, pedig ez szükséges lenne a uid, gid kiolvasáshoz is...

ssh bejelentkezés után:

id: cannot find name for user ID 10006
id: cannot find name for group ID 10002
id: cannot find name for user ID 10006
$ ls -la
drwxr-xr-x 2 10006 10002 4096 May 11 09:14 .
drwxr-xr-x 9 root root 4096 May 11 09:14 ..
-rw-r--r-- 1 10006 10002 33 May 11 09:14 .bash_logout
-rw-r--r-- 1 10006 10002 176 May 11 09:14 .bash_profile
-rw-r--r-- 1 10006 10002 124 May 11 09:14 .bashrc


Gondoltam jó megoldás lesz, hogy ki teszem a jelszót a /etc/ldap.secret fájlba. Ez esetben a /etc/ldap.conf idevonatkozó része a man szerint erre módosul:


rootbinddn cn=ldapbind,ou=service account,dc=domain,dc=hu


Igaz, plain text-ben van a jelszo ldap.secret fájlban, de legalább 600 jogosultsággal. De minek is, ha userként nem tudja futtatni az id parancsot?

Mi erre a megoldás?

Próbáltam saslauthd-vel. testsaslauthd parancs működik is jól, de pam-on keresztül már nem. Nincs dokumentálva sehol se, hogy valójában mit is kell beállítani ldap.conf-ban ahhoz, hogy a localban működő saslauthd socket-hez csatlakozzon. testsaslauthd parancsnál látszódik szépen strace-el a connect /var/lib/saslauthd/mux-hoz, 'id usernev' parancsnál semmi. :(

Ajanljatok nekem olyan benchmark programot Unixra, ami:

- altalanos Unix kod (eloszor AIX-en futtatnam, tehat nem compizbench)
- alkalmas a nyers CPU (esetleg +memoria) teljesitmenyenek meresere
- alkalmas massziv SMP teljesitmeny meresere
- forrasbol elerheto
- optimalizalast is lehetove tesz
- idealis esetben C, hogy keveset kelljen szenvednem vele
- lehet Java is, csak menjen IBM Java 1.5-tel
- nem 'GCC constrained', azaz xlC-vel is le tudom forditani
- kis meretu (nem egy tobb 100 MB-os tudomanyos-fantasztikus diplomamunka)
- disk I/O-t nem akarok figyelembe venni

Amiket probaltam mar:

- openssl speed sha256 -multi X
Sajnos a nagy teljesitmeny miatt infinity-re fut sok eredmeny, illetve kicsit 'keresztbeallnak' az adatok.

kicsi: md5              10439.62k    35632.25k    95992.75k   165455.19k   212558.05k
nagy : md5                   INFk   187505.58k   276401.27k   212169.37k    84041.42k

- ubench
Tobb mint 10 eves kod, es egyaltalan nem hozza az elvartat, ugy tunik, szinte csak a szalak szama az egyetlen tenyezo, ami tobbletet ad. Emellett nem engedi meg az -O2 -nal magasabb optimalizalast, mert az 'eltorzitja az eredmenyt'.

kicsi: Ubench CPU:   123033
nagy : Ubench CPU:  6295049

- Java Grande threads
Sajnos az egyik szekcio mar nem fordul az IBM Java 1.5-tel. Meg ez se mai csirke.

A dolog surgos, mert hamarosan at kell adnom a gepet.

Sziasztok!

Driver problémám akadt. Adott egy DECKLINK SP kártya.
OS: Ubuntu server 9.10 - 2.6.28-18-server

A gyártó szerint az alábbi függőségek kellenek a driverhez:
* dkms
* opengl (recommended)
* kernel-headers (or source) (for currently running kernel)
* gcc, make
* glibc 2.8

Ezek mind megvannak

"dpkg -i driver.deb" -re az alábbit kapom
...
...
ldconfig deferred processing now taking place

Mi lehet a baja ?

Szunetmentes tapot kene rabeszelnem hogy kommunikaljon a szerverrel ttyS0-n (apcupsd, APC Smart SC620, deb 4.0), de nem akar, mert a getty -L ttyS0 fogja.
Hogyan lehetne azt killelni ? Mert ugye respawnol, pedig inittabbol kikommenteltem, de attol meg csinalja. A gepet persze nem kene ujrainditani, mert elesben megy.
'init 2' esetleg ? Gondolom ujraolvassa az inittabot. Nem akarok kiserletezni, inkabb kerdezek :)

Hi,

FreeBsd 7.0(sparc64)-an tervezek atterni natd-s natról, ipfw natra. Van ezzel valakinek valami tapasztalata?

Egy nem túl izmos sun v100-at használok routerként, ami 3-4MB/sec-nél már igencsak dolgozik. Szeretném megkönnyiteni a dolgát. Neten azt irták, hogy az ipfw-s natnak jobb a performanciája.

Üdv,
lenne egy kérdésem (számomra fontos és sürgős :) )
Adott egy HDD, volt rajta egy Ubuntu Linux, és a felhasználói fiókok titkosítottak voltak...(tehát nem az egész partíció volt titkosított, csak pár könyvtár adatokkal tömve)
Egy másik már meglévő win partícióra, ugyan azon HDD-n, fel lett rakva az XP, és telepítés közben a linux partíció le lett törölve (de helyette nem lett új partíció létrehozva, tehát a linux adatok még ott vannak az inode-ok között valahol...)

Kérdés:
Hogyan lehet a már törölt partíció titkosított /home/usr könyvtárban levő adatokat visszahozni???
( a nem titkosított linuxos könyvtárak adatait könnyen sikerült lementeni másik HDDre, de a titkosítottban levőket nem...
[---szerk+plusz:
konkrétan egy sima törölt filok után kutató progival, tehát a partíció maga nem lett visszaállítva,
Lehet e partíció visszaállítás nélkül a titkosított fileokat normálissá tenni (vagy ehhez a partíciót is vissza kell állítani)? (a titkosított fileok is látszódnak, csak ugye krix-kraxok, dekódolni kellene)
Esetleg a titkosító kulcs az megtalálható valahol? és ha igen, akkor annak segítségével lehet uncodeolni a titkosított fileokat? (vagy azok stream szerűen titkosítottak, nem file-szinten ?)
---]
)

Ebben kérnék segítségek.
Milyen programot használjak?
(rsnapshot-tal van image a törölt linux partícióról - 400 giga, de azt mountolni nme tudtam - kezdő vagyok :) )

[---szerk2+plusz:
Mint kiderült a partíció már jó, most a bebootolással van gond, felh+jelszót elfogadja, de utána a consolra nme lehet semmit irni, grafikus rész nincs.
Kérdés: ha feltelepítem az ubuntut másik gépre, át tudom rá migrálni a rossz ubuntu felhasználó felhasználói, és .Private (wrapped vagy nem)passphrase-ét ? Legalábbis érdemben, hogy az uj rendszer alatt lehessen olvashatóvá tenni a titkosított adatokat?
---]

Thx,
üdv
MrMorden

ui:
- előzőleg lett adatmentés csinálva a linuxos adatokról csak az az adathordozó elveszett/elromlott/elpárolgott, szóval nincs :( ...

üdv!

nem találok a snapshot szerveren új firmwaret ez miért van?
gondoltam csinálok magam egyet
linux alatt leszedtem a legújabb kamikazet
majd kiadtam neki h
make info
ekkor bejött egy menü ahol belőttem neki h mi kerüljön az fw-be illetve milyen profillal
de itt most leragadtam, nem tudom mi a következő lépés
valaki jártas ebben? tudna nekem segíteni?

sajnos openwrt alatt nem működik az opkg upgrade
még azt megtudná nekem valaki mondani h mi a serveren a factory?
az a router gyári fw-je a fejléc nélkül?
mert azokból mindig van naprakész
illetve h openwrt alatt milyen paranccsal tudok fw-t frissíteni?

Sziasztok!

Egy Centos 5.4 hoston probalok diskless klienst eletre kelteni de a kovetkezo hibauzenetet kapom:

ERROR! No root-path. Check your DHCP configuration, to make
sure that the 'option root-path' is specified


Vagyis a vmlinuz es az initrd.img betoltodik, de a root particiot nem tudja csatolni.

A beallitofajlok a kovetkezok. Dhcpd.conf

default-lease-time 86400;
max-lease-time 604800;
ddns-update-style none;
ignore client-updates;
authoritative;


subnet 10.128.0.0 netmask 255.255.255.0 {
range 10.128.0.100 10.128.0.200;
option broadcast-address 10.128.0.255;
use-host-decl-names on;
option routers 10.128.0.1;
option domain-name "attila.local";
option domain-name-servers 10.128.0.1;
option subnet-mask 255.255.255.0;
allow bootp;
allow booting;

host xena {
hardware ethernet 00:02:55:f7:2d:79;
fixed-address 10.128.0.18;
server-name "10.128.0.1";
next-server 10.128.0.1;
filename "pxelinux.0";
option root-path "10.128.0.1:/tftpboot/centos/root";
}
}

Az /etc/exports

/tftpboot/centos/root *(rw,insecure,sync,no_root_squash)

A betolteni kivant rendszer a hoston (IP-je 10.128.0.1) /tftpboot/centos/root konyvtarban van letrehozva. A /tftpboot/centos/root/etc/fstab

# /etc/fstab for diskless clients, written by system-config-netboot
10.128.0.1:/tftpboot/centos/root / nfs rw 1 1
none /dev/pts devpts gid=5,mode=620 0 0
none /dev/shm tmpfs defaults 0 0
none /tmp tmpfs defaults 0 0
/dev/cdrom /media/cdrom iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0 /media/floppy auto noauto,owner,kudzu 0 0


A tcpdump-ban a kovetkezo lathato:

16:09:31.593073 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:02:55:f7:2d:79 (oui Unknown), length: 300
16:09:31.593450 IP 10.128.0.1.bootps > 10.128.0.18.bootpc: BOOTP/DHCP, Reply, length: 334


Van valami otlet mi lehet a hiba?

Sziasztok,

nagymennyiségű (1-2 millió) de kisméretű fájlt szeretnék szinkronban tartani két szerver között, de az rsync rettenetesen lassú erre a célra nekem.

Ti milyen megoldást javasolnátok erre a célra?

Előre is köszi a válaszokat.