Работа SMTP по защищенному соединению,используя STARTTLS.

Данная статья идет как дополнение к предыдущим статьям посвященным настройке SMTP: вот и вот. В данном случае я опишу как сделать наше соединение защищенным на транспортном уровне — то есть все данные между клиентом и сервером будут передаваться зашифрованными,что исключает их перехват.А точнее сводит на нет смысл такого действия.Внутри же соединения клиент передает серверу пароль в открытом виде.Но мы то не боимся показать пароль серверу?Главное что его по дороге не перехватят.Настройка довольно проста.

Читать далее Работа SMTP по защищенному соединению,используя STARTTLS.

Отвод трафика клиента через другой шлюз.Работаем с несколькими шлюзами.

Иногда бывает необходимо отвести трафик одного или нескольких машин внутри локальной сети через другой шлюз.Например нам надо что бы кто то вышел в мир по другому каналу и другому IP адресу соответственно.Ну или там что б любители ютуба и порнухи не нагружали основной канал в рабочее время.И соответственно мы имеем например один основной канал быстрого и хорошего провайдера,и второй канал ADSL — так,больше как резерв.Вот сейчас через этот второй канал и будет пробрасывать юзера в нашей сети.

Читать далее Отвод трафика клиента через другой шлюз.Работаем с несколькими шлюзами.

Авторизация SMTP PAM_MYSQL + PostFix

[TL;DR]

Плачу…Просто таки рыдаю от счастья. Почему? Да потому что наконец смог победить то,с чем ебался более полугода — авторизацией SMTP из MySQL. То есть что б если у юзера есть ящик на сервере,то он мог не токо получать,но и отправлять почту используя свои логин/пароль.Проблема заключалась в том,что принять почту было не проблема — Postfix хорошо лез в базу и читал оттуда данные юзеров.А вот отправлять было уже гораздо более дорогим удовольствием.Да и сервера мои достались мне от предыдущих админов,потому там был темный лес во многом.По началу я решал проблему отправки почты добавляя руками юзера в базу sasldb. Но это хорошо когда у тебя пара-тройка юзеров.А если больше?Потому необходимость избавиться от геммороя и сделать все «как у нормальных людей» стояла довольно остро. Замечу,что жалкие попытки таки наладить гребаную авторизацию с моей стороны происходили довольно часто.Но заканчивались чуть менее чем ничем.Все упиралось в то,что демон Saslauthd просто не хотел вычитывать логин/пароль.Гуляя по инету натыкался и пробовал кучу других вариантов.Например auxprop с плагином mysql.Все бы ничего,да только с криптованными паролями он не умеет работать,а хранить в базе в открытом виде — попахивает идиотизмом.Потому выбор пал на подключение и логирование всего,что токо уходит и приходит,и все таки выяснения чего же не хватает.Как оказалось,проблемы были.Аж две! Одна из них заключалась в том,что надо было удалить PID saslauthd из одного места и сделать симлинк на него из другого.А вторая была просто феерична! У меня для авторизации используется логин в полном почтовом формате — то есть логин и домен,например rusua@myserver.com.Но при авторизации гребаный saslauthd делал запрос в базу типа select ********** where username = ‘rusua’ ! Теперь то понятно почему аутентификация не проходила! Такого то юзера в базе нет! А запрос должен быть таким select ********** where username = ‘rusua@myserver.com’ ! Перелопатив инет,я нашел что для того,что бы демон saslauthd не обрезал домен от логина,надо запустить его с параметром -r. Это то и решило все мои беды.Вот только чего стоило прописать этот параметр…Ну а теперь перейду непосредственно к описаниям пошагово…

[/TL;DR] Читать далее Авторизация SMTP PAM_MYSQL + PostFix

Утилита мониторинга Munin. Установка и(или) обновление до последней версии.

Среди утилит и средств мониторинга в системах Linux существует огромное количество различных утилит,средств,программ и т.д. Каждая из них обладает чем то уникальным,чем то удобным. Я для себя выбрал одну из них — Munin (http://munin-monitoring.org/). Это клиент-серверное приложение,основанное на Perl-скриптах и веб-морде для вывода графиков. Состоит из двух частей — программы построения графиков из полученной информации — сам Munin. И сервера-сборщика данных — Munin-node. Общаются они между собой посредством TCP/IP сокета,так что один сборщик графиков может собирать инфу с разных удаленных серверов по всему инету. Только разреши это в конфигах. Ну всетаки перейдем к процессу установки…

Читать далее Утилита мониторинга Munin. Установка и(или) обновление до последней версии.

CIFS VFS: Connecting to DFS root not implemented yet. Решение проблемы.

После обновления до убунты версии 12.10, столкнулся (ВНЕЗАПНО!) с тем,что монтироваться Samba-ресурсы тупо не хотят! Пишут ошибку  и всё тут! Хотя раньше все было нормально. Просмотрев dmesg я увидел след.:

[ 5581.697176] CIFS VFS: Connecting to DFS root not implemented yet
[ 5581.697334] CIFS VFS: cifs_mount failed w/return code = -22
[ 5588.960820] CIFS VFS: Connecting to DFS root not implemented yet
[ 5588.962373] CIFS VFS: cifs_mount failed w/return code = -22

Ну по крайней мере уже что то. Дальше рыскания по инету,куча людей с той же проблемой,однако сколько вопросов — столько и разных ответов.В моем случае все решилось крайне просто:

apt-get install cifs-utils

После установки, сразу же все стало монтироваться без вопросов.

Защищаемся от несложных DoS/DDoS атак с помощью модуля mod_evasive в Apache2.

Оказывается,для Апача есть неплохой модуль для защиты от ДДоС атак. Модуль по сути очень не сложный,ставится легко,настраивается еще легче.Суть его заключается в том,что при превышении определенного количества запросов или соединений за отведенное время с одного IP,модуль блокирует доступ с этого адреса,выдвая ему вместо контента страницу с 403. НО! Как понимаете,отдать 403 — это все равно обработать запрос Апачу,хоть и гораздо меньше.И это все равно запись в логи доступа и ошибок.Нам это ни к чему.Потому этим модулем мы не только будем блокировать атакующего,но и с помощью iptables банить его по IP,тем самым не давая дальше вести атаку и сыпать нас запросами. Итак: Читать далее Защищаемся от несложных DoS/DDoS атак с помощью модуля mod_evasive в Apache2.

Digest-авторизация в Apache2. Или защищаем наши пароли от перехвата.

В одной из >предыдущий статей< я описывал способ авторизации на веб-страницах средствами самого Апача. Однако этот способ имеет один существенный недостаток — при авторизации,ваш логин-пароль идут в открытом виде. То есть могут быть перехвачены любым анализатором трафика. А это не есть гуд,особенно если ты вышел в инет через какую нибудь публичную простит точку доступа. Для защиты от такого и используется другой способ авторизации — Digest Auth,использующая MD5 криптование для передачи пароля по сети. Так что теперь любому,слушающему ваш трафик,достанется дырка от бублика, а не Шарапов (С). Итак приступаем к настройке: Читать далее Digest-авторизация в Apache2. Или защищаем наши пароли от перехвата.

Защита от SYN flood атак

Спизженно для себя отсюда: http://mtaalamu.ru/blog/93.html

Собственно, речь пойдет о защите от SYN flood атак:

Очень популярная DoS атака заключается в посылке большого числа SYN пакетов на ваш сервер. При этом установка TCP связи не доводится до конца. Очередь полуоткрытых запросов соединений быстро заполняется, что мешает установке нормальных соединений. Так как соединение не должно быть обязательно завершено, такая атака не требует больших ресурсов от атакующей машины, поэтому её легко реализовать и контролировать.

Читать далее Защита от SYN flood атак