дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через сеть,контроллируемую злоумышленниками
задача:произвести обновления операционной системы и ПО

Какие есть варианты?

Есть некий загрузочный диск с установленной на него системой debian, к диску применено криптование и установлен пароль на LVM. Задача получить пароль.  Аппаратный кейлоггер исключаем ибо тогда решать нечего.
Рассуждаю так-самое простое снять с диска образ,затем установить на диск свою мини-систему задача которой запустить кейлоггер и иммитировать запрос пароля LVM,после чего подмонтировать оригинальный образ диска и позволить с ним работать дальше как обычно.
Ну или без образа просто указать загрузочным второй диск,который выполнит все тоже самое

Задача вроде теоретически решена,но не хватает понимания будет ли в первом случае та ось,что запущена из подмонтированного образа считаться гостевой,ведь по сути это виртуализация?
или вовсе можно без этого обойтись и есть какой-то более простой вариант.

Добрый день, помогите решить проблему.
Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае.
Что и где еще можно посмотреть ?

Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.

Приветствую!
Прошу помощи в настройке iptables на шлюзе.  В локалке висит почтовый сервер mail.ххх.ru, работает. Надо вывести в интернет для получения/отправки почты. Днс у внешнего хостера, в днс все записи сделаны (пока кроме ptr) а вот с маршрутами не понятно. На шлюзе 2 интерфейса, внешний со статичным белым ip, и внутренний на локалку с 192.168.х.х Я так понял  надо прописать маршруты что бы при попадании снаружи пакетов по почтовым портам именно на mail.ххх.ru они перенаправлялись на статичный локальный 192.168.х.х и на  отправку тоже. Но не перенаправление ВСЕХ почтовых портов на этот адрес  т.к.  используются другие внешние  почтовые сервисы. Подскажите пожалуйста пример нужных записей. Готов ответить  на сопутствующие  вопросы.

Посоветуйте иммитатор wifi сетей для honeypot
задачи генерить полноценную сеть не стоит,только обозначать её наличие

В общем заинтересовался сканированием хостов ipv6. А точнее уменьшением диапазона сканируемых адресов. Вот статья про это есть. http://searchsecurity.techtarget.com/tip/Analysis-Vast-IPv6-...

Возникла некоторая путаница. Как я понимаю (хотя может вообще неправильно понимаю все). Из всевозможных типов ipv6 адресов мы сканируем Global Unicast адреса ибо только к ним имеем доступ из вне. Данные адреса выдаются провайдерами (там иерархическая структура провайдеров iana rir lir). Также я знаю, что адрес состоит из префикса и id интерфейса (который генерируется по мак адресу). Это относится к Global Unicast адресам? И если да, то идентификатором какого интерфейса это будет?

В статье еще говорится об 6to4 технологии. Я правильно понял что IPv6 сгенерированный таким образом также будет доступен из сети интернет? Также не очень понимаю про NAT. В IPv6 он не используется. Но тогда зачем нужны типы ipv6 адресов, которые распространяются только во внутренней сети?

Вообще хотелось бы понять про зоны действия адреса. То есть провайдер выдал уникальный IPv6 адрес, и как я уже писал получается что это первые 64 бита. Остальные 64 (id интерфейса) уже генерируется для каждого компа во внутренней сети?

Прошу пояснить это все и поправить, если не прав. Также не отказался бы от литературы, где все это разъяснено.

Доброго дня. Столкнулся с проблемой в настройке OSS на ubuntu, а конкретно с настройкой SSHd. Привожу конфиги.

/etc/ssh/sshd_config

# Kerberos options
KerberosAuthentication yes
KerberosGetAFSToken yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes

AllowGroups adm BUILTIN\administrators

UsePAM yes

/etc/samba/smb.conf
[global]
workgroup = MARKET
realm = MARKET.LOCAL
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no

load printers = yes
show add printer wizard = yes
printcap name = cups
disable spoolss = no

idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = no
winbind normalize names = yes
winbind nested groups = yes
template shell = /bin/bash
winbind refresh tickets = yes
kerberos method  = secrets and keytab

winbind offline logon = yes
winbind cache time = 300
#password server = market.local
dedicated keytab file = /etc/krb5.keytab

/etc/krb5.conf
[libdefaults]
    default_realm = MARKET.LOCAL

    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true

[realms]
    MARKET.LOCAL = {
        kdc = market.local
        admin_server = market.local
        default_domain = market.local
    }

[domain_realm]
    .market.local = MARKET.LOCAL
    market.local = MARKET.LOCAL

[login]
    krb4_convert = false
    krb4_get_tickets = false

root@Admin-pc:/etc# net ads keytab list
Vno  Type                                        Principal
  2  des-cbc-crc                                 HOST/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-md5                                 HOST/admin-pc.market.local@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     HOST/admin-pc.market.local@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     HOST/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            HOST/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-crc                                 HOST/admin-pc@MARKET.LOCAL
  2  des-cbc-md5                                 HOST/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     HOST/admin-pc@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     HOST/admin-pc@MARKET.LOCAL
  2  arcfour-hmac-md5                            HOST/admin-pc@MARKET.LOCAL
  2  des-cbc-crc                                 ADMIN-PC$@MARKET.LOCAL
  2  des-cbc-md5                                 ADMIN-PC$@MARKET.LOCAL
  2  des-cbc-crc                                 host/admin-pc@MARKET.LOCAL
  2  des-cbc-crc                                 host/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-md5                                 host/admin-pc@MARKET.LOCAL
  2  des-cbc-md5                                 host/admin-pc.market.local@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     host/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     host/admin-pc.market.local@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     host/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            host/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            host/admin-pc@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     host/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     ADMIN-PC$@MARKET.LOCAL
  2  arcfour-hmac-md5                            ADMIN-PC$@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     ADMIN-PC$@MARKET.LOCAL

root@Admin-pc:/etc# groups MARKET\\vitto
MARKET\vitto : MARKET\пользователи_домена
MARKET\adm-ssh
MARKET\администраторы_домена
MARKET\пользователи_терминала_sever
MARKET\terminalusers
MARKET\администраторы_схемы
MARKET\администраторы_предприятия
MARKET\debugger_users
MARKET\группа_с_запрещением_репликации_паролей_rodc
BUILTIN\users
BUILTIN\administrators

root@Admin-pc:/etc# id MARKET\\vitto
uid=10005(MARKET\vitto)
gid=10001(MARKET\пользователи_домена)
группы=10001(MARKET\пользователи_домена),
10041(MARKET\adm-ssh),
10003(MARKET\администраторы_домена),
10035(MARKET\пользователи_терминала_sever),
10027(MARKET\terminalusers),
10010(MARKET\администраторы_схемы),
10008(MARKET\администраторы_предприятия),
10024(MARKET\debugger_users),
10030(MARKET\группа_с_запрещением_репликации_паролей_rodc),
10037(BUILTIN\users),
10036(BUILTIN\administrators)

В принципе, если разрешить доступ всем, т.е. закомментить опцию AllowGroups, то я могу авторизоваться по паролю от имени доменных пользователей
ssh MARKET\\vitto@admin-pc.market.local

Но через GSSAPI авторизация не проходит. Странность в том, что на локальной машине тоже есть пользователь vitto и если я зайду от пользователя MARKET\vitto на Win-машину и зайду по ssh через putty, используя GSSAPI, то меня авторизует как локального vitto, а не доменного! Если же я введу логин MARKET\vitto, то авторизация пойдет только по паролю, а в логе будет вот это

sshd[7168]: debug3: fd 5 is not O_NONBLOCK
sshd[7168]: debug1: Forked child 7328.
sshd[7168]: debug3: send_rexec_state: entering fd = 8 config len 891
sshd[7168]: debug3: ssh_msg_send: type 0
sshd[7168]: debug3: send_rexec_state: done
sshd[7328]: debug3: oom_adjust_restore
sshd[7328]: Set /proc/self/oom_score_adj to 0
sshd[7328]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
sshd[7328]: debug1: inetd sockets after dupping: 3, 3
sshd[7328]: Connection from 192.168.101.10 port 60076 on 192.168.100.31 port 22
sshd[7328]: debug1: Client protocol version 2.0; client software version PuTTY_Release_0.63
sshd[7328]: debug1: match: PuTTY_Release_0.63 pat PuTTY-Release-0.5*,PuTTY_Release_0.5*,PuTTY_Release_0.60*,PuTTY_Release_0.61*,PuTTY_Release_0.62*,PuTTY_Release_0.63*,PuTTY_Release_0.64* compat 0x00004000
sshd[7328]: debug1: Enabling compatibility mode for protocol 2.0
sshd[7328]: debug1: Local version string SSH-2.0-OpenSSH_6.9p1 Ubuntu-2ubuntu0.1
sshd[7328]: debug2: fd 3 setting O_NONBLOCK
sshd[7328]: debug2: Network child is on pid 7329
sshd[7328]: debug3: preauth child monitor started
sshd[7328]: debug3: privsep user:group 121:65534 [preauth]
sshd[7328]: debug1: permanently_set_uid: 121/65534 [preauth]
sshd[7328]: debug2: compat_kex_proposal: original KEX proposal: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug2: Compat: skipping algorithm "diffie-hellman-group-exchange-sha256" [preauth]
sshd[7328]: debug2: compat_kex_proposal: compat KEX proposal: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug1: list_hostkey_types: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
sshd[7328]: debug3: mm_request_send entering: type 42 [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 43 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 42
sshd[7328]: debug3: mm_request_send entering: type 43
sshd[7328]: debug1: SSH2_MSG_KEXINIT sent [preauth]
sshd[7328]: debug1: SSH2_MSG_KEXINIT received [preauth]
sshd[7328]: debug2: kex_parse_kexinit: gss-gex-sha1-toWM5Slw5Ew8Mqkay+al2g==,gss-group1-sha1-toWM5Slw5Ew8Mqkay+al2g==,gss-group14-sha1-toWM5Slw5Ew8Mqkay+al2g==,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: first_kex_follows 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: reserved 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,rsa2048-sha256,rsa1024-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: ssh-rsa,ssh-dss [preauth]
sshd[7328]: debug2: kex_parse_kexinit: aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,blowfish-ctr,blowfish-cbc,3des-ctr,3des-cbc,arcfour256,arcfour128 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,blowfish-ctr,blowfish-cbc,3des-ctr,3des-cbc,arcfour256,arcfour128 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: hmac-sha2-256,hmac-sha1,hmac-sha1-96,hmac-md5 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: hmac-sha2-256,hmac-sha1,hmac-sha1-96,hmac-md5 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: first_kex_follows 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: reserved 0  [preauth]
sshd[7328]: debug1: kex: client->server aes256-ctr hmac-sha2-256 none [preauth]
sshd[7328]: debug1: kex: server->client aes256-ctr hmac-sha2-256 none [preauth]
sshd[7328]: debug2: bits set: 1032/2048 [preauth]
sshd[7328]: debug1: expecting SSH2_MSG_KEXDH_INIT [preauth]
sshd[7328]: debug2: bits set: 1054/2048 [preauth]
sshd[7328]: debug3: mm_key_sign entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 6 [preauth]
sshd[7328]: debug3: mm_key_sign: waiting for MONITOR_ANS_SIGN [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 7 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 6
sshd[7328]: debug3: mm_answer_sign
sshd[7328]: debug3: mm_answer_sign: hostkey proof signature 0x558b77c5efc0(271)
sshd[7328]: debug3: mm_request_send entering: type 7
sshd[7328]: debug2: monitor_read: 6 used once, disabling now
sshd[7328]: debug2: set_newkeys: mode 1 [preauth]
sshd[7328]: debug1: SSH2_MSG_NEWKEYS sent [preauth]
sshd[7328]: debug1: expecting SSH2_MSG_NEWKEYS [preauth]
sshd[7328]: debug2: set_newkeys: mode 0 [preauth]
sshd[7328]: debug1: SSH2_MSG_NEWKEYS received [preauth]
sshd[7328]: debug1: KEX done [preauth]
sshd[7328]: debug1: userauth-request for user MARKTE\\\\vitto service ssh-connection method none [preauth]
sshd[7328]: debug1: attempt 0 failures 0 [preauth]
sshd[7328]: debug3: mm_getpwnamallow entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 8 [preauth]
sshd[7328]: debug3: mm_getpwnamallow: waiting for MONITOR_ANS_PWNAM [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 9 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 8
sshd[7328]: debug3: mm_answer_pwnamallow
sshd[7328]: debug2: parse_server_config: config reprocess config len 891
sshd[7328]: Invalid user MARKTE\\vitto from 192.168.101.10
sshd[7328]: debug3: mm_answer_pwnamallow: sending MONITOR_ANS_PWNAM: 0
sshd[7328]: debug3: mm_request_send entering: type 9
sshd[7328]: debug2: monitor_read: 8 used once, disabling now
sshd[7328]: input_userauth_request: invalid user MARKTE\\\\vitto [preauth]
sshd[7328]: debug3: mm_audit_event entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 112 [preauth]
sshd[7328]: debug3: mm_start_pam entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 100 [preauth]
sshd[7328]: debug3: mm_inform_authserv entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 4 [preauth]
sshd[7328]: debug2: input_userauth_request: try method none [preauth]
sshd[7328]: debug3: userauth_finish: failure partial=0 next methods="publickey,gssapi-keyex,gssapi-with-mic,password" [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 112
sshd[7328]: debug3: mm_answer_audit_event entering
sshd[7328]: debug1: userauth-request for user MARKTE\\\\vitto service ssh-connection method gssapi-with-mic [preauth]
sshd[7328]: debug1: attempt 1 failures 0 [preauth]
sshd[7328]: debug2: input_userauth_request: try method gssapi-with-mic [preauth]
sshd[7328]: debug3: userauth_finish: failure partial=0 next methods="publickey,gssapi-keyex,gssapi-with-mic,password" [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 100
sshd[7328]: debug1: PAM: initializing for "MARKTE\\vitto"
sshd[7328]: debug1: PAM: setting PAM_RHOST to "192.168.101.10"
sshd[7328]: debug1: PAM: setting PAM_TTY to "ssh"
sshd[7328]: debug2: monitor_read: 100 used once, disabling now
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 4
sshd[7328]: debug3: mm_answer_authserv: service=ssh-connection, style=, role=
sshd[7328]: debug2: monitor_read: 4 used once, disabling now

Для меня загадка полему при использовании GSSAPI передается логин MARKTE\\\\vitto (т.е. два экранированных слеша), а не один как в PAM? Варианты что делать у меня закончились.
В многочисленных мануалах по настройке Kerberos+SSHd всегда используется опция winbind use default domain = yes в smb.conf, но я считаю такую практику не правльной т.к. не возможно определить принадлежность пользователя или группы к домену.

Добрый день!
Использую Crypditor в качестве программы для шифрования данных. Посоветуйте достойные аналоги в которых используется алгоритм шифрования AES?

Коротко. Недавно столкнулся с проблемой DoS атакой. Решил попробовать свои силы, толку не хватает. До чего дошёл:
Мои правила в iptables
(По умолчанию цепочка INPUT - разрешена)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, знатоки!
http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?

Нашел эту древнюю новость:
https://wiki.opennet.ru/opennews/art.shtml?num=6512

- Это то, что мне нужно, но все ссылки битые. У кого есть информация просьба поделиться.

здравствуйте, freeradius не выдает ip ни через ippool , ни через Framed-IP-Address. Пользователи подключаются к вафлям обычным(dir620) или к микротикам тоже по вафле.Подключаются но получают ip от DHCP сервера домена...

настройка ippool в radiusd.conf
# ippool http://forum.nag.ru/forum/index.php?showtopic=55923
ippool main_pool {

      #  range-start,range-stop: The start and end ip
      #  addresses for the ip pool
      range-start = 192.168.1.115
      range-stop = 192.168.1.125

      #  netmask: The network mask used for the ip's
      netmask = 255.255.252.0

      #  cache-size: The gdbm cache size for the db
      #  files. Should be equal to the number of ip's
      #  available in the ip pool
      cache-size = 1021

      # session-db: The main db file used to allocate ip's to clients
      session-db = ${raddbdir}/db.ippool

      # ip-index: Helper db index file used in multilink
      ip-index = ${raddbdir}/db.ipindex

      # override: Will this ippool override a Framed-IP-Address already set
      override = no

      # maximum-timeout: If not zero specifies the maximum time in seconds an
      # entry may be active. Default: 0
      maximum-timeout = 0
   }

main_pool

post-auth {
    #  Get an address from the IP Pool.
    main_pool
}
authorize{
files
preprocess
chap
mschap
eap
}

не выдает

через Framed-IP-Address тоже не выдает. Вот код из файла users.
test Cleartext-Password := "test123"
        Service-Type = Framed-User,
        Framed-Protocol == PPP,
        Framed-IP-Address = 192.168.1.121,
        Framed-IP-Netmask = 255.255.252.0,
        Framed-Routing = Broadcast-Listen,
        Framed-MTU = 1500,
        Framed-Compression = Van-Jacobsen-TCP-IP

в начале файла users так же есть
DEFAULT Pool-Name := main_pool
Fall-Through = Yes

В чем еще может проблема?

Добрый день!
Есть несколько удаленных серверов, с туннелями openvpn с ип:
192.168.0.1
192.168.0.2
и т.д.

Есть локальные сервера, куда приходят эти туннели с ип:
192.168.10.1
192.168.10.2
192.168.10.3

и к локальным серверам подключенными компьютеры, ип:
192.168.11.1
192.168.11.2
и т.д.

настроен оспф между сервера и компьютерами
далее мне необходимо трафик с компьютера, средствами iptables, с форвардить на нужный удаленный сервер

например на компе 192.168.11.1 ip route
192.168.0.1  proto zebra  metric 30
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
192.168.0.2  proto zebra  metric 60
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
и т.д.

если формулировать в правилах ipfw, то мне нужен аналог:
ipfw add fwd 192.168.0.1 all from 192.168.11.1 to any
весь трафик с компа 192.168.11.1 направить на 192.168.0.1 через маршрут полученный по оспф

заранее, большое спасибо за помощь!

нужна помощь опытного человека, в создании безопасного VPN соединения для сёрфа плохих сайтов

Сколько лет пытаюсь использовать Clamav, столько и досаждают вечные проблемы с ним.
Как говорится, антивирус на Линуксе "не очень-то и хотелось", поэтому забрасываю его в дальний угол и забываю.
Но сегодня захотелось разобраться с ним, надеюсь с вашей помощью это получится.
Проблем несколько.

1. При попытке обновится как правило, получаю такую ошибку:

# freshclam
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

Обычно прибиваю этот лог, и ошибка пропадает.
Но это же не решение каждый раз заниматься этим садомазохизмом, может, есть грамотное решение?
Которым не считаю создания скрипта для его автоудаления, поскольку хотелось бы для начала выяснить первопричины этой ошибки, которой не должно быть изначально.

2. После  удаления лога снова запускаю обновление и получаю:

# freshclam
ClamAV update process started at Thu Jan 28 20:45:37 2016
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.98.7 Recommended version: 0.99
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
daily.cld is up to date (version: 21317, sigs: 1822642, f-level: 63, builder: neo)

Т.е. получается, что не успев выпустить версию 0.98.7, разработчики уже требуют версию 0.99, а иначе они блокируют обновление.
Имхо, это идиотизм, поскольку версия должна жить достаточное время, потому что в данном случае в репозитарии еще нет версии 0.99 (а компилировать нет никакого желания).

И выходит, политика разработчиков приводит к тому, чтобы обновить базы, я должен неизвестно сколько ждать появления в репозитарии рекомендуемую 0.99, а до этого я не могу обновиться и вынужден использоваться старые антивирусные базы. Нечего сказать - забота о безопасности.
И так из года в год.

Прошу просветить в этой затянувшейся проблеме.

PS. Качество продукта просматривается и в ссылке, по которой рекомендуется сходить -  http://www.clamav.net/support/faq
Разработчики-то сами ходили по ней?

Всем привет
Установил вручную методом make install в систему openssl.
как правильно указать системе месторасположение новоустановленной openssl в каталоге /usr/local/ssl?
В системе по умолчанию была установлена штатная openssl и базируется она в /usr/lib/ssl
в результате система использует штатную, а новую нет.
спасибо.

Столкнулся с проблемой модуля GEOIP.
Скачал свежие базы, скомпилировал их, ну и запустил правило -m geoip ! --src-cc PL,BG,GB,BY,MD,LV,KZ,UA,RU -j LOG
Большинство захваченных пакетов пришли с UA,RU, хотя их по идеи не должно быть вовсе.
Проверил csv файл на наличие данных ip, там все в порядке, страны правильно размечены.
OC debian 6

Куда копать?

Вот пример, поймало 176.108.15.211 (UA), но в csv с которого я компилировал запись есть
"176.108.0.0","176.108.31.255","2959867904","2959876095","UA","Ukraine"

Добрый день!

Случайно заметил проблемы с подключением к почтовому и веб серверу.
Сразу отмечу, что проблема не массовая, просто один из провайдеров перестал подключатся:
Начал смотреть и вот такая картина. Чтобы это могло значить и что делать ??

19:12:27.653356 IP 10.10.13.142.53 > 141.196.133.126.33307: 2841 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net. (436)
19:12:27.665166 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.665204 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.677041 IP 106.185.54.216.61825 > 10.10.13.142.53: 13780+ [1au] ANY? freeinfosys.com. (52)
19:12:27.677267 IP 10.10.13.142.53 > 106.185.54.216.61825: 13780 13/2/3 TXT "To be current, these rules must also build on the lessons of the past. For almost a century, our law has recognized that companies who connect you to the world have special obligations not to exploit the monopoly they enjoy over access in and out of your " "home or business. That is why a phone call from a customer of one phone company can reliably reach a customer of a different one, and why you will not be penalized solely for calling someone who is using another provider. It is common sense that the same " "philosophy should guide any service that is based on the transmission of information", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]
19:12:27.680153 IP 176.90.184.64.27732 > 10.10.13.142.53: 17587+ [1au] ANY? turkey.com. (39)
19:12:27.680370 IP 10.10.13.142.53 > 176.90.184.64.27732: 17587 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-948.awsdns-54.net., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org. (436)
19:12:27.695061 IP 176.90.54.153.17907 > 10.10.13.142.53: 25480+ [1au] ANY? turkey.com. (39)
19:12:27.695309 IP 10.10.13.142.53 > 176.90.54.153.17907: 25480 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.716309 IP 141.196.62.163.19907 > 10.10.13.142.53: 45970+ [1au] ANY? turkey.com. (39)
19:12:27.716348 IP 176.88.222.74.47457 > 10.10.13.142.53: 4498+ [1au] ANY? turkey.com. (39)
19:12:27.716575 IP 10.10.13.142.53 > 141.196.62.163.19907: 45970 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net., NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com. (436)
19:12:27.716646 IP 10.10.13.142.53 > 176.88.222.74.47457: 4498 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net. (436)
19:12:27.718177 IP 176.90.120.60.51907 > 10.10.13.142.53: 54234+ [1au] ANY? nic.tr. (35)
19:12:27.718213 IP 176.88.194.160.35307 > 10.10.13.142.53: 39823+ [1au] ANY? turkey.com. (39)
19:12:27.718454 IP 10.10.13.142.53 > 176.88.194.160.35307: 39823 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.721047 IP 176.88.163.231.32807 > 10.10.13.142.53: 38781+ [1au] ANY? turkey.com. (39)
19:12:27.721293 IP 10.10.13.142.53 > 176.88.163.231.32807: 38781 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net. (436)
19:12:27.723292 IP 176.90.119.244.23057 > 10.10.13.142.53: 309+ [1au] ANY? turkey.com. (39)
19:12:27.723540 IP 10.10.13.142.53 > 176.90.119.244.23057: 309 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.732345 IP 176.88.174.93.18132 > 10.10.13.142.53: 1061+ [1au] ANY? turkey.com. (39)
19:12:27.732379 IP 176.89.151.195.24657 > 10.10.13.142.53: 16646+ [1au] ANY? turkey.com. (39)
19:21:41.033750 IP 10.10.13.142.53 > 5.45.92.57.38367: 51111 13/2/3 TXT "That's what President Obama believes, and what he means when he says there should be no gatekeepers between you and your favorite online sites and services", TXT "That's a principle known as  net neutrality    and it says that an entrepreneur's fledgling company should have the same chance to succeed as established cor", TXT "When I was a can didate for this office, I made clear my commitment to a free and open Internet, and my commitment remains as strong as ever. Four years ago, the FCC tried to implement rules that would protect net neutrality with little to no impact on th" "e telecommunications companies that make important investments in our economy. After the rules were challenged, the court reviewing the rules agreed with the FCC that net neutrality was essential for preserving an environment that encourages new investmen" "t in the network, new online services and content, and everything else that makes up the Internet as we now know it. Unfortunately, the court ultimately struck down the rules   not because it disagreed with the need to protect net neutrality, but because " "it believed the FCC had taken the wrong legal approach", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]

Моя машина с СentOS 6.5 находиться между 2мя сетями...задача расшарить WEB сервер для интернета.
http://joxi.ru/KAgoREVCgnxELA
Шлюз по умолчанию 12.10.10.1
Маршрут в сеть 10.10.10.0/24 добавлен
Правило iptables
-A PREROUTING -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.10.10.100:80
-A POSTROUTING -d 10.10.10.100/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.1
смотрю tcpdump ....запрос на интерфейс 12.10.10.8 приходит....дальше тишина

p.s. может ли iptable вообще пробрасывать не в свою сеть а за шлюз?

Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty*

touch /etc/nologin и редактирование /etc/securetty всеравно дает root-у возможность загрузится в rc1.d

удаление /dev/tty* полностью, дает тот результат что нужен, но при перезагрузке они пересоздаются ядром.

пробовал написать в /etc/init.d/rc.local   rm -f /dev/tty* , но не работает.

подскажите где прописать rm -f /dev/tty* чтобы оно сработало при загрузке в в любом уровне запуска? или как закрыть логин другим способом?

Добрый день. Никак не могу разобраться в следующем вопросе. У нас есть web сервер, работающий по протоколу https. Протокол https реализован посредством самоподписанного ssl сертификата. Вопрос: при доступе клиента к серверу по протоколу https шифрование данных обеспечивается в обе стороны (от клиента к серверу и от сервера к клиенту) или только от клиента к серверу? Вопрос возник по какой причине: для шифрования по https нужны 2 ключа - закрытый и открытый. Закрытый лежит в недоступном хранилище, открытый, соответственно в публичном доступе. Клиент подключаясь получает публичный ключ, которым шифрует данные. Сервер, соответственно, при получении данных расшифровывает их с помощью закрытого ключа. Тут все ясно. Как обстоят дела с данным, передаваемыми от сервера к клиенту? Чем их шифровать? Никаких других сертификатов нет. Даже если предположить, что они будут зашифрованы с помощью закрытого ключа, то любой желающий сможет их спокойно расшифровать т.к. открытый ключ в публичном доступе. Вот и возник вопрос, а шифруются ли они вообще?

Добрый день! Есть такая схемка:

client -> proxy:5060 -> server:5060

Приложение клиента общается с proxy:tcp:5060. Прокси работает прозрачно, используя TPROXY (реализовано через haproxy), т.е. он берёт IP:PORT клиента, и при пересылке пакетов на server, подставляет их как SOURCE. Сервер видит, что отправитель пакетов - client, и отправляет пакеты на client:IP:PORT, НО cо своим адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060)

Добавляю правило:

# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*mangle
:PREROUTING ACCEPT [710363:567027885]
:INPUT ACCEPT [704372:566539955]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [753088:91182712]
:POSTROUTING ACCEPT [753309:91198200]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*nat
:PREROUTING ACCEPT [24883:1646686]
:POSTROUTING ACCEPT [4320:257154]
:OUTPUT ACCEPT [4146:245907]
-A POSTROUTING -j SNAT --to-source 1.1.1.1 
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*filter
:INPUT ACCEPT [2499922263:423836859984]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2652526754:403919398770]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015

Проверяю, локальные пакеты натятся:

14:37:14.149450 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 1, length 64
14:37:15.149680 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 2, length 6

Но для приложения, сервер всё равно отвечает со своим адресом:

14:39:35.172003 IP 192.168.55.55.46390 > 192.168.100.246.sip: S 2735509705:2735509705(0) win 29200 <mss 1460,sackOK,timestamp 154932215 0,nop,wscale 7>
14:39:35.172142 IP 192.168.100.246.sip > 192.168.55.55.46390: S 2647903661:2647903661(0) ack 2735509706 win 5792 <mss 1460,sackOK,timestamp 3733232086 154932215,nop,wscale 7>
14:39:35.172689 IP 192.168.55.55.46390 > 192.168.100.246.sip: R 2735509706:2735509706(0) win 0

 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 0a:c3:4a:44:3e:bb brd ff:ff:ff:ff:ff:ff
    inet 192.168.216.246/30 brd 192.168.106.247 scope global eth0
    inet 192.168.110.159/32 scope global eth0
    inet6 fe80::8c3:4aff:fe44:3ebb/64 scope link 
       valid_lft forever preferred_lft forever

Добавляю логирование для цепочки nat и не вижу чтобы пакеты попадали в POSTROUTING:

mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
nat PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
mangle OUTPUT: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle POSTROUTING: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=40 TOS=0x18 PREC=0xA0 TTL=63 ID=50715 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=0 RES=0x00 RST URGP=0 

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# sysctl net.ipv4.conf.eth0.rp_filter
net.ipv4.conf.eth0.rp_filter = 0

Ребята, подскажите, что где обновить\заменить? Не удается завести:
client:
Linux ubuntu 4.2.0-16-generic #19-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

server:
Linux 3.19.0-31-generic #36~14.04.1-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

Сгенерил айди, поднял сервер: govpn-server -bind *.*.*.*:9999 -mtu 1472 -proto tcp
main.go:88: Server started

Подключаюсь клиентом
govpn-client -key client -id ID -iface tap10 -remote *.*.*.*:9999 -proto tcp -mtu 1472

с обеих сторон вижу:
client: tcp.go:83: Handshake completed
server: tcp.go:92: Peer handshake finished

на сервере 172.16.100.1/24
на клиенте 172.16.100.2/24

Соединение поднялось, все ок.
Пытаюсь с клиента ping 172.16.100.1 и сразу получаю:

*************

panic: runtime error: invalid memory address or nil pointer dereference
[signal 0xb code=0x1 addr=0x0 pc=0x81424dc]
goroutine 11 [running]:
sync/atomic.AddUint64(0x1865e1ec, 0x1a, 0x0, 0x5c8, 0x186110a0)
    /usr/lib/go/src/sync/atomic/asm_386.s:112 +0xc
govpn.(*Peer).EthProcess(0x1865e140, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/govpn/peer.go:228 +0x836
main.handleTCP.func1(0x18626440, 0x18626448)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:98 +0xea
created by main.handleTCP
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:107 +0x1350

goroutine 1 [select]:
main.main()
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:123 +0x1097

goroutine 17 [syscall, locked to thread]:
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 5 [syscall]:
os/signal.loop()
    /usr/lib/go/src/os/signal/signal_unix.go:22 +0x1a
created by os/signal.init.1
    /usr/lib/go/src/os/signal/signal_unix.go:28 +0x36

goroutine 6 [syscall]:
syscall.Syscall(0x3, 0x3, 0x18612c00, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/asm_linux_386.s:16 +0x5
syscall.read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/zsyscall_linux_386.go:783 +0x4f
syscall.Read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/syscall_unix.go:160 +0x45
os.(*File).read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file_unix.go:211 +0x4a
os.(*File).Read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file.go:95 +0x6f
github.com/bigeagle/water.(*Interface).Read(0x1860eb30, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/github.com/bigeagle/water/if.go:69 +0x48
govpn.NewTAP.func1(0x186163c0)
    /home/test/govpn-4.0/src/govpn/tap.go:74 +0x7f
created by govpn.NewTAP
    /home/test/govpn-4.0/src/govpn/tap.go:80 +0x1f7

goroutine 7 [select, locked to thread]:
runtime.gopark(0x8383f14, 0x18624f8c, 0x830ba58, 0x6, 0x846ac18, 0x2)
    /usr/lib/go/src/runtime/proc.go:185 +0x12d
runtime.selectgoImpl(0x18624f8c, 0x0, 0xc)
    /usr/lib/go/src/runtime/select.go:392 +0x9ee
runtime.selectgo(0x18624f8c)
    /usr/lib/go/src/runtime/select.go:212 +0xf
runtime.ensureSigM.func1()
    /usr/lib/go/src/runtime/signal1_unix.go:227 +0x2f9
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 8 [IO wait]:
net.runtime_pollWait(0xb6af4580, 0x72, 0x1860e0c0)
    /usr/lib/go/src/runtime/netpoll.go:157 +0x55
net.(*pollDesc).Wait(0x1864a6b8, 0x72, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:73 +0x35
net.(*pollDesc).WaitRead(0x1864a6b8, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:78 +0x33
net.(*netFD).Read(0x1864a680, 0x18613200, 0x5c0, 0x5c0, 0x0, 0xb6aef030, 0x1860e0c0)
    /usr/lib/go/src/net/fd_unix.go:232 +0x19a
net.(*conn).Read(0x18626430, 0x18613200, 0x5c0, 0x5c0, 0x846aa60, 0x0, 0x0)
    /usr/lib/go/src/net/net.go:172 +0xb9
main.handleTCP(0x18626430, 0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:134 +0x5ac
main.startTCP(0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:41 +0x375
created by main.main
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:118 +0x10ba

Помнится, ещё в centos 6 было всё просто - у меня уже есть файл с правилами, его я закидывал в etc/sysconfig/iptables, заменяя содержимое, и после ребута правила подхватывались, всё работало.
Теперь же, на 7-ом centos, такое не работает, в принципе не могу понять, после перезагрузки сервера какие-то другие правила вылазят, которые блочат весь доступ к машине.
Приходится после ребута ручками делать
iptables-restore < /etc/sysconfig/iptables
iptables-save

Откуда они вообще берутся, с какого конфиг-файла, не могу понять?

Добрый вечер, коллеги!

На Ubuntu14.04 установлен Postfix+Amavis-new как front-end(релэй) перед Exchange2013, спам помечает корректно но удалять его не хочет. Вопрос такой, почему?

Выдержка из 20-debian_defaults:

$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 2;              # log via syslogd (preferred)
$syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
$syslog_facility = 'mail';
$syslog_priority = 'debug';  # switch to info to drop debug output, etc

$enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1;    # enable use of libdb-based cache if $enable_db=1
$nanny_details_level = 2;    # nanny verbosity: 1: traditional, 2: detailed

$inet_socket_port = 10024;   # default listening socket

$sa_spam_subject_tag = '***SPAM*** ';
$sa_spam_modifies_subj = 1;
$sa_tag_level_deflt  = -999;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 4.31; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent, normaly 10

$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0;    # only tests which do not require internet access?

# Quota limits to avoid bombs (like 42.zip)

$MAXLEVELS = 10;
$MAXFILES = 500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes

$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)

Заголовок письма кот. был передан на Exchange:

Oct 15 17:09:49 --- postfix/smtpd[22616]: 55FEF215DA: client=wobosm03.netvigator.com[219.76.95.119]
Oct 15 17:09:49 --- postfix/cleanup[22617]: 55FEF215DA: message-id=<B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>
Oct 15 17:09:49 exchange03 postfix/qmgr[19836]: 55FEF215DA: from=<lendakxga@molenda.com>, size=2608, nrcpt=1 (queue active)
Oct 15 17:09:59 --- amavis[22563]: (22563-06) Passed SPAMMY {RelayedTaggedInbound}, [219.76.95.119]:42325 [5.165.23.71] <lendakxga@molenda.com> -> <my@domain>, Queue-ID: 55FEF215DA, Message-ID: <B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>, mail_id: E0VjFCB2riFC, Hits: 10.385, size: 2606, queued_as: 619BD215DB, 9775 ms
Oct 15 17:09:59 --- postfix/smtp[22618]: 55FEF215DA: to=<my@domain>, relay=127.0.0.1[127.0.0.1]:10024, delay=12, delays=2.3/0/0/9.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 619BD215DB)
Oct 15 17:09:59 --- postfix/qmgr[19836]: 55FEF215DA: removed

неправильно тема назвалась...

ОС Debian 8
допустим у юзера стоит /bin/false или /usr/sbin/nologin
но система запускает бинарники, которые принадлежат юзеру
Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ?

например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации).
Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть?
И я кстати почему то не могу залогиниться с такой записью:
test1           -       chroot          /home/test1
пишет "/bin/bash: No such file or directory"
хотя я этот баш куда только не копировал и как только не менял chsh
сейчас он в /home/test1/bin/bash

Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home

Здравствуйте.
Подскажите, у меня домашний сервер на centos, Linux version 3.10.0-123.20.1.el7.x86_64.
Открыт в интернет, подключен через домашний роутер, на нём висят несколько сайтов.
Постоянно долбят его извне, что я вижу при входе на него через putty -
"There were 2298 failed login attempts since the last successful login."
И это за ~3 часа!
Как узнать, каким образом долбят, по каким портам и закрыть?
Из-за этого сервер периодически падает, помогает только кнопка reset, и еще мне кажется что также из-за этого забивается свободное место в корневом разделе каким-то образом, это вторая большая проблема, из-за неё в итоге потом сервисы не запускаются самые необходимые типа mysqld!
/dev/mapper/centos-root     59G          59G   25M          100% /
И тоже не могу понять и найти, где и чем забивается место в связи с этим если....?
Логами? /var/log смотрел, она немного места занимает...

Доброго времени суток. Пытаюсь создать почтовый сервер на FreeBsd10.2. Установил perl5.22, openssl, mysql55-server и пытаюсь поставить Cyrus-SASL. Однако вот что получается
# cd /usr/ports/security/cyrus-sasl2/
# setenv WITHOUT_NTLM yes
# setenv WITH_MYSQL yes
# setenv WITHOUT_OTP yes
# make install clean
===>  Patching for cyrus-sasl-2.1.26_9
===>   cyrus-sasl-2.1.26_9 depends on file: /usr/local/bin/perl5.22.0 - found
===>  Applying FreeBSD patches for cyrus-sasl-2.1.26_9
Ignoring previously applied (or reversed) patch.
10 out of 10 hunks ignored--saving rejects to configure.rej
=> Patch patch-configure failed to apply cleanly.
*** Error code 1

Stop.
make[1]: stopped in /usr/ports/security/cyrus-sasl2
*** Error code 1

Stop.
make: stopped in /usr/ports/security/cyrus-sasl2

В чем причина проблемы? Заранее спасибо.

Доброго времени суток.
У меня возникла проблема при генерации мультидоменного сертификата. Сертификат, который подписан моим CA (установленным и в firefox и в Windows) не принимается новыми версиями Firefox, начиная с Firefox 25 и старше. Обычный сертификат, принимается на ура, но стоит добавить в него секцию subjectAltName как он отвергается с абсолютно бредовой ошибкой.
Покачто экспериментирую с программным роутером на Kerio, который может быть доступен по нескольким адресам, а позже собираюсь подписать почтовик, к которому обращаются множество клиентов с Thunderbird, причем обращаться могут как по IP так и по имени (за VPN бывают проблемы с DNS).
Подскажите - это проблема Firefox, или я создаю кривой сертификат?
Скрин ошибки, корневой и мультидоменный сертификат можете посмотреть на Ya-диске https://yadi.sk/d/nGmnBOZviYpr9

Вдруг выяснилось что не работают звонки WhatsApp в офисе. Причем непонятно было так всегда или стало недавно.
Сама звонилка ничего не говорит, просто не соединяется и всё. Поиск в инете ничего дельного не дает.

По каким протоколам и портам оно работает? Где почитать? Кто её может резать?