это прописано в переменных среды процесса соединения, имея соответствующие права их можно изменить

https://en.wikipedia.org/wiki/Backscatter_(email)
Как бороться там тоже написано.

>[оверквотинг удален]
>     host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 :
>     (DNS:NR) https://postmaster.aol.com/error-codes#421dnsnr:
>     retry timeout exceeded
>   suedath@hotmail.com
>     SMTP error from remote mail server after MAIL
> FROM:<dmitry@typo3.ru.net> SIZE=2625:
>     host mx3.hotmail.com [65.55.37.72]: 421 RP-001 (COL004-MC1F44) Unfortunately, some
> messages from 80.90.178.210 weren't sent. Please try again. We have limits
> for how many messages can be sent per hour and per
> day. You can also refer to http://mail.live.com/mail/troubleshooting.aspx#errors.:........

С Вашей машины явно спамят сотними тысяч, спамят на плохие адреса в результате чего обратно прилетают отбойники от сервисов на доменах получателя, которые вы и наблюдаете.

Найти что рассылаает сообщения и грохнуть или грохнуть все, или копать логи и искать кто заражал машину и грохнуть их, или просить долю

Для начала зарубить  NAT по 25 порту  наружу  всей локали кроме почтовика.
Посмотреть логи отправки на почтовике, если там письма от вас. Вероятнее всего там ваших писем не будет, по причине NATа по 25 порту наружу. Если письма есть, смотреть с каких IP идут на сервер из локали.
Прогнать бесплатный DRWEB CUREIT в SAFE MODE винды, если ваши тачки с виндой. Брать тут - http://free.drweb.ru/cureit

Ссылки на скриншоты:

http://prnt.sc/cweziy
http://prnt.sc/cwf0g6
http://prnt.sc/cwf19s
http://prnt.sc/cwf0uu

> Было бы интересно узнать что это за информация

google://tcpdump OR wireshark

> Если быть совсем кратким, то похоже что после установки acrobat reader с
> их официального сайта, виндовсом создается некий непонятный пользователь с именем из
> трех ромбовидных симболов, внутри папки которого и содержится исключительно информация
> adobe acrobat, каким то образом связанная с попытками соединиться с приведенными
> айпи адресами. Возможно есть и входящий трафик с них тоже, но
> проверить это я еще не успел.

Во-первых, опять-же network analyzer, во-вторых, первой же ссылкой по "akamai on my computer" выходит https://www.akamai.com/uk/en/solutions/products/media-delive...

Итог: это нормально, если вы не следите за тем что и где у вас устанавливается.

с разморозкой

akamai - весьма внушительная по размерам CDN и много ещё чего

как с твоей паранойей психиатр тебе разрешает сидеть на 10ке ?

google: windows 10 spying

ставь любую нормальную (не мелкомягкую) ось и не парь моск уже давно всем (кроме тебя) известными фактами

Дочитал до
>существует некая компания по имени Akamai

и дальше просто читать не стал.

Уважаемый...Akamai - крупнейшая CDN сеть.
Идите читать что такое CDN.

Да перестаньте, это детские иллюзии. Всем нам хотелось в детстве один сайт - один коннект. Но на самом ты открываешь одну страничку, а твой комп просто веером создаёт десятка два три сетевых соединений. Тот же firefox постоянно коннектится на сеть amazonaws.com. Какая разница akamai или amazon... Google имеет сотни серверов и постоянно в DNS выдает разные IP. Обучать персональный файервол в современном интернете очень затруднительно. Один какой нибудь дурацкий баннер заставит браузер коннектится на apport или rambler и задолбаешься на вопросы отвечать.

>[оверквотинг удален]
> SUSE я захожу в yast - software repository - add -
> extension and modules from reg server...  - local registration server.
>  Ввожу адрес сервера жму некст и получаю ошибку unable to
> get local issuer sertificate. И показывает сертификат сервера безопасного.  Но
> не выдаёт кнопки для подтверждения валидность сертификата.  Пробовал это же
> проделать в сегменте сети где нет редиректа трафика на сервер безопасного.
> Там запрос сертификата идёт с сервера обновлений нажимаю подтвердить сертификат и
> все ок. Помогите как настроить работу через сервер ИБ. Я могу
> как то в моей SUSE послать запрос серверу ИБ и прописать
> их сертификат к себе в доверенные?

Скачать сертификат, положить в /etc/ssl/certs, создать хеш-линк на файл сертификата.

Он (router) точно nart.out от тебя по tftp загрузил?
Смотри логи tftp сервера, не всегда имя файла именно nart.out.

> Прошивку менять на OpenWRT затруднительно. Устройства дешёвые, работу свою выполняют.
> Решил я пере-собрать под MIPS самостоятельно бинарник, с горем пополам развернул тулчейн.
> Определился что на выходе должен получиться
> ELF 32-bit MSB executable, MIPS, MIPS-III version 1 (SYSV), statically linked
> С параметром nc -l -p 80 -e /bin/sh
> Теперь не могу понять как именно собрать Netcat, что бы при исполнении
> на роутере выполнялась опция nc -l -p 80 -e /bin/sh

слушай, а не проще openwrt настроить и растиражировать?
там фаером можно практич любые сетевые дырки закрыть в том числе и на будущее,имхо

Вообщем уязвимость существует на некоторых прошивках, позволяющая прочитать файл с ключом от Wi-Fi без авторизации если открыт доступ к WAN
Выполнив в терминале
GET ip:port/help/../../tmp/ath0.ap_bss

> Обратил внимание на интересный факт, в Windows 10, по крайней мере с
> То есть в случае наличия конфиденциальной информации в папке "Изображения" и/или в
> ее под папках есть возможность просмотреть содержимое этих файлов.

Вы, когда ставили свою ОС, там был такой крыжик "[x] Я согласен на всё" и длинный список всего мелким шрифтом. Галочку поставил -- согласился, что нет и не будет на этом компьютере ничего "твоего", "конфиденциального" и пр.

Всё путём, ложная тревога, нет никаких утечек.

> эта ОС годится только для домашнего применения (и только для этого

Это как будто вы увидели на анальном зонде мигающую лампочку и это вас насторожило...

Оно сливает ваши файлы, адреса, всё что вы печатаете, оно фоткает вас, оно записывает ваш голос, оно встраивает зонды во всё, что на ней разрабатывается, может удалять софт или файлы, если сочтёт их незаконными... То, что windows палит картинки - это самое меньшее из зол

Вы уверенны что eth2 интерфейс openvpn?
может tunX/tapX его интерфейс?

> дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через
> сеть,контроллируемую злоумышленниками
> задача:произвести обновления операционной системы и ПО
> Какие есть варианты?

ipsec, ssh, https

> дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через
> сеть,контроллируемую злоумышленниками
> задача:произвести обновления операционной системы и ПО
> Какие есть варианты?

Заказать диск с обновлениями и попросить переслать DHL
:-)

apt делает это прямо из коробки, через любой протокол - http, ftp...
Пакеты подписаны, ключи пользователям известны. Враг не пройдёт.

> Поставил openvpn на вдску.
> Сгенерировал все сертификаты и ключи (включая Tls и файл Диффи Хеллмана)
> В конфигах прописал aes 256 шифрование.
> Вопрос, достаточно ли этого для полной безопасности?
> В частности, меня интересует возможность просмотра трафика админами вдски..

трафик между какими точками ходит?

> Поставил openvpn на вдску.
> Сгенерировал все сертификаты и ключи (включая Tls и файл Диффи Хеллмана)
> В конфигах прописал aes 256 шифрование.
> Вопрос, достаточно ли этого для полной безопасности?
> В частности, меня интересует возможность просмотра трафика админами вдски..

Для OpenVPN предусмотрены дополнительные возможности всякие разные. Вот здесь можно найти их общий обзор:
https://1cloud.ru/help/network/openvpn_additional_feautures

Все же черным по белому.
Все, что после правила 9 - бесполезно, а значит 10, 11, 12 не работают, хотя и нужны для sip.

Передать роутинг посредством pptp - нельзя. Это может только openvpn.

> Вообще как-то можно при подключении PPTP к серверу, раздать клиенту только один
> нужный маршрут, как это делается на openvpn, напр., push "route 10.1.2.30
> 255.255.255.255"?

Нельзя. В PPTP/PPP не предусмотрена передача маршрутов.

Для виндовых клиентов можно использовать CMAK - Connection Manager Administration Kit. Есть в комплекте всех серверных Windows. На выходе CMAK получается некий exe-шник, который при запуске(установке) создаёт соединение с заданными параметрами полностью готовое к применению. Среди прочих параметров (как, например, адрес VPN-сервера) есть возможность задать практически произвольную маршрутизацию. Для этого создаётся текстовый файл с правилами, который и отдаётся CMAK'у. В общем случае будет примерно так:

ADD 192.168.0.0 MASK 255.255.255.0 default METRIC default IF default
REMOVE_GATEWAY

На самом деле CMAK может ещё много, но это уже в двух словах не описать...

Читайте маны - они рулёз! (c)

>[оверквотинг удален]
> ему доступен, как бы все ок. НО, у клиента по умолчанию
> роутинг на винде становится через IP адрес присвоенного PPTP интерфейсу. Соответственно,
> если клиент подключается через PPTP для получения доступа только к 1
> сервису, у него перестает работать все остальное.
> В настройках windows pptp можно убрать флажок - не использовать рутинг по
> умолчанию. Тогда Роутинг клиента не меняется, но для для доступа в
> нашу подсеть, надо выполнить команду route add. Короче не вариант.
> Вообще как-то можно при подключении PPTP к серверу, раздать клиенту только один
> нужный маршрут, как это делается на openvpn, напр., push "route 10.1.2.30
> 255.255.255.255"?

Открою вам страшную тайну (только тс-с-с! ниому ни слова, а то сейчас коршуны налетят и заклюют!) - МОЖНО! (шепотом)
)))
Вы делаете все правильно, а вашу команду для винды, где вы добавляете нужный вам маршрут (route add) закиньте в cmd или bat и в автозагрузку. Или задать с ключиком -p
route /? попробуйте.

> В настройках windows pptp можно убрать флажок - не использовать рутинг по
> умолчанию. Тогда Роутинг клиента не меняется, но для для доступа в
> нашу подсеть, надо выполнить команду route add. Короче не вариант.

Можно включить proxyarp и поправить маску set ifaddr 192.168.99.1 192.168.99.10-192.168.99.200 255.255.255.0
тогда у клиента будет роут на 192.168.99/24

>[оверквотинг удален]
> сервер mail.ххх.ru, работает. Надо вывести в интернет для получения/отправки почты. Днс
> у внешнего хостера, в днс все записи сделаны (пока кроме ptr)
> а вот с маршрутами не понятно. На шлюзе 2 интерфейса, внешний
> со статичным белым ip, и внутренний на локалку с 192.168.х.х Я
> так понял  надо прописать маршруты что бы при попадании снаружи
> пакетов по почтовым портам именно на mail.ххх.ru они перенаправлялись на статичный
> локальный 192.168.х.х и на  отправку тоже. Но не перенаправление ВСЕХ
> почтовых портов на этот адрес  т.к.  используются другие внешние
>  почтовые сервисы. Подскажите пожалуйста пример нужных записей. Готов ответить  
> на сопутствующие  вопросы.

Лень несколько слов в google поискать ?

https://www.google.ru/search?client=safari&rls=en&q=iptables...

> у внешнего хостера, в днс все записи сделаны (пока кроме ptr)

боюсь у меня для тебя плохие новости ...
> а вот с маршрутами не понятно. На шлюзе 2 интерфейса, внешний
> со статичным белым ip, и внутренний на локалку с 192.168.х.х Я

вах вах, действительно непонятно как машрутизировать приватную сеть :)
> так понял  надо прописать маршруты что бы при попадании снаружи

ни них^Wничего не понял, и не понимаешь...
> не перенаправление ВСЕХ
> почтовых портов на этот адрес  т.к.  используются другие внешние
> почтовые сервисы.

от это вааще тонкое понимание работы сети
> Подскажите пожалуйста пример нужных записей.

прошу уволить по собственному ... и тд
> Готов ответить на сопутствующие  вопросы.

нету смысла.

https://www.google.ru/?gws_rd=ssl#newwindow=1&q=port+knockin...

Бред какой-то
изучай ректальный криптоанализ.

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

походу CLAM делает свое дело, понаходил вирусняков, трафик попустило!

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

Обычно в таких случаях делается бэкап конфигов и нужных данных и система переустанавливается с нуля. Потому как, помимо вредного ПО (чаще для организаций DDoS- и DoS-атак), заменяется куча стандартного ПО сервера, на версии, содержащие бэкдоры.
yum verify запустите и посмотрите лог на предмет checksum mismatch у бинарников...

>[оверквотинг удален]
> канал, в top появляется подозрительный процесс с рандомным названием, после того
> как его убьёшь, на короткий промежуток времени попускает, но спустя минуту
> создается новый процесс с другим рандомным названием и все по новой.
> Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей,
> пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники
> тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает
> в таком случае.
> Что и где еще можно посмотреть ?
> Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах
> я не шарю.

Еще забыл, необходимо определить место проникновения в вашу систему, какое именно ПО было уязвимо (в силу уязвимостей или неправильной конфигурации), т.к. при переустановке с нуля, есть шанс, что вы оставите дыру на месте.

> задачи генерить полноценную сеть не стоит,только обозначать её наличие

Под Linux hostapd тебе в помощь.

Для "обозначения наличия" достаточно похимичить с `iw' и `wpa_supplicant' и разрешить там WPS без настоящей AP. На память не скажу, гугли примеры для wpa_cli, находится куча сценариев, курить до просветления. Какой понравится, заноси в wpa_supplicant.conf.

С месяц провозишься - там непросто. И да, сильно зависит от драйвера железки. Скажем, не все поддерживают AES или там P2P GO, хотя сами железяки могли бы их спокойно тащить.

[...]
> Но через GSSAPI авторизация не проходит. Странность в том, что на локальной
> машине тоже есть пользователь vitto и если я зайду от пользователя

Это не странность, а разница между авторизацией и аутентификацией.

Kerberos через GSSAPI даёт тебе аутентификацию, авторизацию должен сделать кто-то другой (в твоём случае оказался локальный PAM).

Прочитай вторую часть: https://nsrc.org/workshops/ws-files/2011/sanog17/exercises/e...

Удачи потрахаться с NTP, DNS и nscd. Шаг влево, шаг вправо - подрываешься на растяжке, прыжок на месте - проваливаешься под землю.

Вдумчивое чтение документации и примеров показало, что для использования AD (LDAP) для хранения учёток необходимо в конфиге прописать binddn (учетка с правами на чтение) и bindpw (пароль этой учетки).
Вопрос такой - можно ли использовать для этой цели учетную запись компьютера, получая доступ на чтение каталога с помощью winbind? На сколько я понял пароль от учетки ПК обновляется раз в 30 дней и Samba хранит его у себя.

Сканирование чужих сетей надо начинать отсюда:
http://kodeks.systecs.ru/uk-rf/

коллега не забывайте что стороне клиента так же генерируется некий рандомный симметричный шифр K(называют по разному но в основном session key), которое шифруется публичном ключем сервера и передается серверу. далее сервер используя свой закрытый ключ расшифровывает этот ключ K. т.е. этот ключ знают ТОЛЬКО клиент и сервер в рамках сессии HTTPS и которое далее используется для шифрования и расшифровывания сообщений. клиент шифрует данные при помощи К, сервер расшифровывает данные от клиента. когда сервер отправляет данные то он шифрует его с К, а клиент расшифровывает его

а так получается, если судить по вашей теории: что любой может публичным ключем сервера шифровать(потому что он доступный), так как сервер всегда будет его расшифровывать удачно потому что на сервере закрытый ключ. должна же быть некая изюминка, которая участвует только между этими двумя о которой знают только обе стороны :)

кратко говоря используются Симметричное шифрование данных внутри Асимметричного шифрования, мясорубка %)

При наличии бесплатных сертификатов от Let's Encrypt[1] и WoSign[2] использовать само-подписанную - не очень разумно и чревато MITM.

Как Вам уже сказали - шифруется все, но правильно настраивать веб сервер для надежного TLS нужно еще уметь, если что - проверяйте как у Вас получилось настроить безопасность сервера по этим ссылкам [3][4].

[1] https://letsencrypt.org/
[2] https://buy.wosign.com/free/
[3] https://www.ssllabs.com/ssltest/
[4] https://securityheaders.io/

Начни с

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

Не изобретай велосипед, сначала используй примеры и пойми, что там происходит.

>[оверквотинг удален]
> 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
> iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit
> 25/minute --limit-burst 100 -j ACCEPT
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> iptables -A INPUT -j DROP
> Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо
> не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством
> UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи,
> знатоки!
> http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?

Еще можно посмотреть в сторону модуля recent
http://wiki.opennet.ru/Iptables_-m_recent

а кто тебе сказал что в 802.1x можно адрес выдавать с радиуса?

Там были огрызки чьего-то конфига с поскипаными блоками. Ты скопировал, не разобравшись.

Начни сначала - http://www.netexpertise.eu/en/freeradius/ip-pools.html

Обрати внимание, что мужик пишет про криво работающий rlm_ippool. Проверь ещё раз - похоже, что он ставит lease timeout не в том конфиге.

>[оверквотинг удален]
>         Framed-Protocol == PPP,
>         Framed-IP-Address = 192.168.1.121,
>         Framed-IP-Netmask = 255.255.252.0,
>         Framed-Routing = Broadcast-Listen,
>         Framed-MTU = 1500,
>         Framed-Compression = Van-Jacobsen-TCP-IP
> в начале файла users так же есть
> DEFAULT Pool-Name := main_pool
> Fall-Through = Yes
> В чем еще может проблема?

как тут уже сказали, 802.1X никакого отношения к выдаче ip адреса не имеет. но зато, 802.1X вполне себе авторизует порт если это сети на коммутаторах или авторизует клиента wifi.

во втором случае для изоляции клиентов друг от друга используется назначение vlan'а по radius-ответу -- но оборудование wifi должно поддерживать dinamic vlan assgigment.
описано например сдесь
http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
https://wiki.openwrt.org/doc/howto/wireless.security.8021x

если задача сводится к тому, чтобы на определённый login/пароль назначался определённый ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот в свою очередь выдавал этому mac-адресу необходимый ip.

> Нашел эту древнюю новость:
> https://wiki.opennet.ru/opennews/art.shtml?num=6512
> - Это то, что мне нужно, но все ссылки битые. У кого
> есть информация просьба поделиться.

Пожалуйста, 5 минут поиска, всего-то делов

http://www.netbsd.org/~ast/

OSPF подобное не умеет.
Тут больше PBR.

>[оверквотинг удален]
> 192.168.0.2  proto zebra  metric 60
>  nexthop via 192.168.10.1  dev eth0 weight 1
>  nexthop via 192.168.10.2  dev eth0 weight 1
>  nexthop via 192.168.10.3  dev eth0 weight 1
> и т.д.
> если формулировать в правилах ipfw, то мне нужен аналог:
> ipfw add fwd 192.168.0.1 all from 192.168.11.1 to any
> весь трафик с компа 192.168.11.1 направить на 192.168.0.1 через маршрут полученный по
> оспф
> заранее, большое спасибо за помощь!

> Установил вручную методом make install в систему openssl.

В какую "систему"? Нахрена?

> Всем привет
> Установил вручную методом make install в систему openssl.
> как правильно указать системе

Правильно + системе = не использовать "метод make install"

> Всем привет
> Установил вручную методом make install в систему openssl.
> как правильно указать системе месторасположение новоустановленной openssl в каталоге
> /usr/local/ssl?
> В системе по умолчанию была установлена штатная openssl и базируется она в
> /usr/lib/ssl
> в результате система использует штатную, а новую нет.
> спасибо.

для того чтобы заставить систему использовать новые библиотеки(не факт что системные собранные пакеты будут правильно работать с новой библиотекой), вам нужно просто сделать ссылку /usr/lib/ssl на /usr/local/ssl или же при компиляции openssl и установки указывать --prefix (не желательно чтобы не переписывать системную openssl)

Попробуйте man alternatives
В дебиане оно должно быть. Примеры использования - жава одновременно опен и оракль.

https://support.maxmind.com/geoip-faq/geoip2-and-geoip-legac.../

дык ведь это может быть результаты Anonymous:
- https://threatpost.ru/turtsiya-okazalas-pod-massirovannoj-dd.../
- http://www.securitylab.ru/news/477815.php

> Фря. В какой то момент я начал задумываться, а как хостеры делят
> ресурсы на виртуальном хостинге? Дают тебе процент cpu ? Процент загрузки
> сети? Памяти, режут скорость к диску. В шеле дают только определенный
> набор команд?
> Jail ?
> По своему патченое ядро?
> Поиск в инете - да! Но единая картина что то не собирается.
> Может к хостеру на работу наняться? Так сказать разведать тайны?
> Подскажите кто что знает?

сект прост -- не использовать быэсдэ

> Фря. В какой то момент я начал задумываться, а как хостеры делят
> ресурсы на виртуальном хостинге? Дают тебе процент cpu ? Процент загрузки
> сети? Памяти, режут скорость к диску. В шеле дают только определенный
> набор команд?
> Jail ?
> По своему патченое ядро?
> Поиск в инете - да! Но единая картина что то не собирается.
> Может к хостеру на работу наняться? Так сказать разведать тайны?
> Подскажите кто что знает?

Займитесь другим бизнесом.
В виртуальном хостинге все зависит от панели управления хостингом.

для таких целей изобрели контейнерную виртуализацию
docker, openvz

всегда ваш, кэп

> неправильно тема назвалась...
> ОС Debian 8
> допустим у юзера стоит /bin/false или /usr/sbin/nologin
> но система запускает бинарники, которые принадлежат юзеру
> Как ему запретить делать через его бинарники cat /etc/passwd и всё такое

У меня /home смонтирован с noexec, и все места куда пользователь может писать (/tmp и т.п.)
>[оверквотинг удален]
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot    
>      /home/test1
> пишет "/bin/bash: No such file or directory"
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

>[оверквотинг удален]
> присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на
> момент авторизации).
> Там есть chroot в т.ч., но только на время сессии, если дело
> было через авторизацию и юзер вошёл, а если запускала сторонняя прога
> от имени юзера, то как быть?
> И я кстати почему то не могу залогиниться с такой записью:
> test1           -
>       chroot    
>      /home/test1
> пишет "/bin/bash: No such file or directory"

Ему надо еще библиотеки ldd /bin/bash в /home/test1/lib/
> хотя я этот баш куда только не копировал и как только не
> менял chsh
> сейчас он в /home/test1/bin/bash
> Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся
> от имени группы, не могли выйти дальше /home

"шта делать?"

по идее, для начала выучить русский язык

> Моя машина с СentOS 6.5 находиться между 2мя сетями...задача расшарить WEB сервер
> для интернета.
> http://joxi.ru/KAgoREVCgnxELA
> Шлюз по умолчанию 12.10.10.1
> Маршрут в сеть 10.10.10.0/24 добавлен
> Правило iptables
> -A PREROUTING -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.10.10.100:80
> -A POSTROUTING -d 10.10.10.100/32 -p tcp -m tcp --dport 80 -j SNAT
> --to-source 192.168.0.1
> смотрю tcpdump ....запрос на интерфейс 12.10.10.8 приходит....дальше тишина

смотрим таблицу фильтров в пакетном фильтре, разрешена ли пересылка пакетов

> p.s. может ли iptable вообще пробрасывать не в свою сеть а за
> шлюз?

DNAT не пересылает(пробрасывает) пакет, а меняет ip и порт назначения в заголовке пакета, а дальше работают механизмы вашей ОС, поэтому все равно в какую подсеть