Схема такая: client -> server1 (ip=XX.XX.XX.XX) -> server2 (IP=YY.YY.YY.YY) То есть получаем более-менее анонимное подключение. Причём с шифрованием в 256 бит. Хочу заменить, что у сервера server1 будет 2 конфигурации – клиента (для подключения к server2) и сервера (для подключения клиентов, типа client)
Категорія: Linux
Если вам критичен простой и вы не хотите разбираться с дампом при kernel panic, то можно облегчить себе жизнь, выставив авторебут при kernel panic. Вот как это делается в каждой из ОС.
Внимание
Перезагрузка после Kernel panic имеет и очень серьёзный недостаток, особенно если это изменение не пропадает после первой перезагрузки. В случае, если перезагрузка не устраняет ту ошибку, которая вызывает Kernel panic, система будет останавливаться и перезапускаться вновь и вновь, что может привести к аппаратным ошибкам или потерям данных
Категорії
iptables: reject или drop
Часто администраторы сталкиваются с таким вопросом: что использовать для блокировки: REJECT или DROP? Я опишу принципы, а решать вам.
DROP – просто закрывает соединение и не отправляет ничего в ответ отправителю. Как итог имеем “мертвое” соединение, которое потом убивается по таймауту. Но зато при сканировании закрытых портов, они будут помечаться как filtered, что потенциально говорит, что что-то всё-таки слушает порт.
REJECT – сбрасывает соединение и отправляет в ответ сообщение, указанное в опции –reject-with. По умолчанию отправляется host is unreachable. Зато при сканировании (если установлено –reject-with icmp-port-unreachable) порт светится не будет.
И так, что же всё-таки использовать? На мой взгляд, лучше DROP, так как при больших атаках, вы просто перекроете себе кислород, отвечая всем “host is unreachable“. Этот ответ будет потреблять больше ресурсов, нежели мёртвое соединение (при желаении время таймаута можно сократить).
Для установки 7-ой версии, можно воспользоваться мануалом, а для 6-ой – текстом ниже.
Все описанное производилось на Kubuntu 11.10.
Ставим пакеты java
#apt-get install openjdk-6-jre openjdk-6-jre-headless openjdk-6-jre-lib
Ставим библиотеку для работы java в браузерах (IcedTeaPlugin.so):
#apt-get install icedtea6-plugin
Часто бывают такие ситуации, когда вы открыли через vi/vim файл, сделали очень много изменений и в конце понимаете, что забыли выполнить sudo. Что же делать? Заново править файл очень как не хочется. на помощь приходит такая команда:
:w !sudo tee %
а для Solaris можно ещё и такую
:w !pfexec tee %
После этого выдаётся запрос на ввода пароля и подтверждение, что вы хотите перезаписать файл и всё (с вариантом pfexec запрос пароля не происходит).
Данная статья поможет вам не забыть настроить основные моменты при поднятии нового сервера с нуля. Будут использоваться общие принципы при настройке сервера, не зависимо от назначения (а если есть специфические моменты – они будут оговорены отдельно)
Кстати, статья будет дополнятся, обновляться.
Категорії
Шейпер под линукс
Для тех, кто работал с шейпером под FreeBSD (ipfw, pf) настройка шейпера под линукс может вызвать шок: чего только стоят правила в стиле tc! Для облегчения была написана утилита htb, которая по сути является конвертором “простых” переменных/правил в правила в стиле tc.
Тестовый стенд: Centos linux 6.3.
Поговорим об аналоге nextboot, который доступен в FreeBSD – но только в Linux. Данный функционал должен поддерживается загрузчиком. В статье будет рассмотрен пример с загрузчиком grub версии 2.
Редактируем /etc/default/grub, а точнее строке GRUB_DEFAULT присваиваем новое значение
GRUB_DEFAULT=saved
1) Universal USB Installer – это Live Linux USB Creator, который позволяет создать загрузочную флэшку с выбранным дистрибутивом Linux. Программа крайне проста в использовании. Просто выберите необходимый дистрибутив Live Linux, ISO-файл, нужный флэш-привод и нажмите “Install”. По завершении работы получите полностью функционирующую флэшку с возможностью загрузки с выбранной операционной системой.
Загрузить Universal USB Installer можно по этому адресу (Freeware, Windows All).
Данная статья является комбинацией разных статей по установке и настройке openvpn’a, но только на систему Centos Linux. Здесь рассматривается пример в котором авторизация пользователей будет через pam, то есть достаточно завести пользователя в систему, выдать ему 3 сертификата сервера (ca.crt, ta.key, dh1024.pem). При подключении весь трафик будет идти через vpn туннель.
Тестовый стенд: ОС Centos 6.3, openvpn 2.2.1