Категорія: Linux

Категорії
Linux Misc, staff, other

iptables: reject или drop

Часто администраторы сталкиваются с таким вопросом: что использовать для блокировки: REJECT или DROP? Я опишу принципы, а решать вам.

DROP – просто закрывает соединение и не отправляет ничего в ответ отправителю. Как итог имеем “мертвое” соединение, которое потом убивается по таймауту. Но зато при сканировании закрытых портов, они будут помечаться как filtered, что потенциально говорит, что что-то всё-таки слушает порт.

REJECT – сбрасывает соединение и отправляет в ответ сообщение, указанное в опции –reject-with. По умолчанию отправляется host is unreachable. Зато при сканировании (если установлено –reject-with icmp-port-unreachable) порт светится не будет.

И так, что же всё-таки использовать? На мой взгляд, лучше DROP, так как при больших атаках, вы просто перекроете себе кислород, отвечая всем “host is unreachable“. Этот ответ будет потреблять больше ресурсов, нежели мёртвое соединение (при желаении время таймаута можно сократить).

Категорії
Linux Misc, staff, other

Добавляем поддержку java в браузере

Для установки 7-ой версии, можно воспользоваться мануалом, а для 6-ой – текстом ниже.

Все описанное производилось на Kubuntu 11.10.

Ставим пакеты java

#apt-get install openjdk-6-jre openjdk-6-jre-headless openjdk-6-jre-lib

Ставим библиотеку для работы java в браузерах (IcedTeaPlugin.so):

#apt-get install icedtea6-plugin

Продовжити читання “Добавляем поддержку java в браузере”
Категорії
FreeBSD Linux Misc, staff, other OpenBSD Solaris

vi/vim и забыли, что нету прав за запись файла

Часто бывают такие ситуации, когда вы открыли через vi/vim файл, сделали очень много изменений и в конце понимаете, что забыли выполнить sudo. Что же делать? Заново править файл очень как не хочется. на помощь приходит такая команда:

:w !sudo tee %

а для Solaris можно ещё и такую

:w !pfexec tee %

После этого выдаётся запрос на ввода пароля и подтверждение, что вы хотите перезаписать файл и всё (с вариантом pfexec запрос пароля не происходит).

Категорії
Linux

Рекомендации по настройке нового сервера Linux

Данная статья поможет вам не забыть настроить основные моменты при поднятии нового сервера с нуля. Будут использоваться общие принципы при настройке сервера, не зависимо от назначения (а если есть специфические моменты – они будут оговорены отдельно)

Кстати, статья будет дополнятся, обновляться.

Продовжити читання “Рекомендации по настройке нового сервера Linux”
Категорії
Linux

Шейпер под линукс

Для тех, кто работал с шейпером под FreeBSD (ipfw, pf) настройка шейпера под линукс может вызвать шок: чего только стоят правила в стиле tc! Для облегчения была написана утилита htb, которая по сути является конвертором “простых” переменных/правил в правила в стиле tc.

Тестовый стенд: Centos linux 6.3.

Продовжити читання “Шейпер под линукс”
Категорії
Linux

Аналог nextboot для Linux или одноразовая загрузка с другим ядром

Поговорим об аналоге nextboot, который доступен в FreeBSD – но только в Linux. Данный функционал должен поддерживается загрузчиком. В статье будет рассмотрен пример с загрузчиком grub версии 2.

Редактируем /etc/default/grub, а точнее строке GRUB_DEFAULT присваиваем новое значение

GRUB_DEFAULT=saved

Продовжити читання “Аналог nextboot для Linux или одноразовая загрузка с другим ядром”
Категорії
Linux Windows

Утилита для создания загрузочных флэшек

1) Universal USB Installer – это Live Linux USB Creator, который позволяет создать загрузочную флэшку с выбранным дистрибутивом Linux. Программа крайне проста в использовании. Просто выберите необходимый дистрибутив Live Linux, ISO-файл, нужный флэш-привод и нажмите “Install”. По завершении работы получите полностью функционирующую флэшку с возможностью загрузки с выбранной операционной системой.

Загрузить Universal USB Installer можно по этому адресу (Freeware, Windows All).

Продовжити читання “Утилита для создания загрузочных флэшек”
Категорії
Linux

Openvpn: авторизация по паролю без ключей через pam

Данная статья является комбинацией разных статей по установке и настройке openvpn’a, но только на систему Centos Linux. Здесь рассматривается пример в котором авторизация пользователей будет через pam, то есть достаточно завести пользователя в систему, выдать ему 3 сертификата сервера (ca.crt, ta.key, dh1024.pem). При подключении весь трафик будет идти через vpn туннель.

Тестовый стенд: ОС Centos 6.3, openvpn 2.2.1

Продовжити читання “Openvpn: авторизация по паролю без ключей через pam”
Категорії
Linux

Обновление Debian

Обновление Linux состоит из обновления ядра и обновления установленного софта. И так, первым делом проверим добавлена ли строка в /etc/apt/sources.list:

deb http://backports.debian.org/debian-backports squeeze-backports main non-free contrib

Без этой строки вам не будут доступны новые версии ядер. Очень важно, что была только эта строка для backports, так как другие строки backports – могут вызывать проблемы.

После этого как обычно, делаем

#apt-get update

либо через aptitude:

#aptitude update

Продовжити читання “Обновление Debian”
Категорії
FreeBSD Linux Solaris

Защита от fork бомб

Solaris

В Solaris есть удобный механизм для ограничения количества запускаемых процессов/потоков – это проэкт. Что бы пользователи не смогли положить сервер fork-бомбой, нужно им ограничить количество LWP. Создадим проект и поместим туда пользователя testuser:

#projadd -U testuser -K 'project.max-lwps=(privileged,2048,deny)' user.testuser

Теперь пользователь testuser не сможет запустить более 2048 потоков.

Для тестирования можно использовать такую бомбу:

#!/usr/bin/bash
:(){ :|:& };:

Больше for bomb на разных языках можно взять здесь

Продовжити читання “Защита от fork бомб”
Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP