Данная статья идет как дополнение к предыдущим статьям посвященным настройке SMTP: вот и вот. В данном случае я опишу как сделать наше соединение защищенным на транспортном уровне - то есть все данные между клиентом и сервером будут передаваться зашифрованными,что исключает их перехват.А точнее сводит на нет смысл такого действия.Внутри же соединения клиент передает серверу пароль в открытом виде.Но мы то не боимся показать пароль серверу?Главное что его по дороге не перехватят.Настройка довольно проста.

More »

Иногда бывает необходимо отвести трафик одного или нескольких машин внутри локальной сети через другой шлюз.Например нам надо что бы кто то вышел в мир по другому каналу и другому IP адресу соответственно.Ну или там что б любители ютуба и порнухи не нагружали основной канал в рабочее время.И соответственно мы имеем например один основной канал быстрого и хорошего провайдера,и второй канал ADSL - так,больше как резерв.Вот сейчас через этот второй канал и будет пробрасывать юзера в нашей сети.

More »

[TL;DR]

Плачу...Просто таки рыдаю от счастья. Почему? Да потому что наконец смог победить то,с чем ебался более полугода - авторизацией SMTP из MySQL. То есть что б если у юзера есть ящик на сервере,то он мог не токо получать,но и отправлять почту используя свои логин/пароль.Проблема заключалась в том,что принять почту было не проблема - Postfix хорошо лез в базу и читал оттуда данные юзеров.А вот отправлять было уже гораздо более дорогим удовольствием.Да и сервера мои достались мне от предыдущих админов,потому там был темный лес во многом.По началу я решал проблему отправки почты добавляя руками юзера в базу sasldb. Но это хорошо когда у тебя пара-тройка юзеров.А если больше?Потому необходимость избавиться от геммороя и сделать все "как у нормальных людей" стояла довольно остро. Замечу,что жалкие попытки таки наладить гребаную авторизацию с моей стороны происходили довольно часто.Но заканчивались чуть менее чем ничем.Все упиралось в то,что демон Saslauthd просто не хотел вычитывать логин/пароль.Гуляя по инету натыкался и пробовал кучу других вариантов.Например auxprop с плагином mysql.Все бы ничего,да только с криптованными паролями он не умеет работать,а хранить в базе в открытом виде - попахивает идиотизмом.Потому выбор пал на подключение и логирование всего,что токо уходит и приходит,и все таки выяснения чего же не хватает.Как оказалось,проблемы были.Аж две! Одна из них заключалась в том,что надо было удалить PID saslauthd из одного места и сделать симлинк на него из другого.А вторая была просто феерична! У меня для авторизации используется логин в полном почтовом формате - то есть логин и домен,например rusua@myserver.com.Но при авторизации гребаный saslauthd делал запрос в базу типа select ********** where username = 'rusua' ! Теперь то понятно почему аутентификация не проходила! Такого то юзера в базе нет! А запрос должен быть таким select ********** where username = 'rusua@myserver.com' ! Перелопатив инет,я нашел что для того,что бы демон saslauthd не обрезал домен от логина,надо запустить его с параметром -r. Это то и решило все мои беды.Вот только чего стоило прописать этот параметр...Ну а теперь перейду непосредственно к описаниям пошагово...

[/TL;DR] More »

Среди утилит и средств мониторинга в системах Linux существует огромное количество различных утилит,средств,программ и т.д. Каждая из них обладает чем то уникальным,чем то удобным. Я для себя выбрал одну из них - Munin (http://munin-monitoring.org/). Это клиент-серверное приложение,основанное на Perl-скриптах и веб-морде для вывода графиков. Состоит из двух частей - программы построения графиков из полученной информации - сам Munin. И сервера-сборщика данных - Munin-node. Общаются они между собой посредством TCP/IP сокета,так что один сборщик графиков может собирать инфу с разных удаленных серверов по всему инету. Только разреши это в конфигах. Ну всетаки перейдем к процессу установки...

More »

После обновления до убунты версии 12.10, столкнулся (ВНЕЗАПНО!) с тем,что монтироваться Samba-ресурсы тупо не хотят! Пишут ошибку  и всё тут! Хотя раньше все было нормально. Просмотрев dmesg я увидел след.:

[ 5581.697176] CIFS VFS: Connecting to DFS root not implemented yet
[ 5581.697334] CIFS VFS: cifs_mount failed w/return code = -22
[ 5588.960820] CIFS VFS: Connecting to DFS root not implemented yet
[ 5588.962373] CIFS VFS: cifs_mount failed w/return code = -22

Ну по крайней мере уже что то. Дальше рыскания по инету,куча людей с той же проблемой,однако сколько вопросов - столько и разных ответов.В моем случае все решилось крайне просто:

apt-get install cifs-utils

После установки, сразу же все стало монтироваться без вопросов.

Оказывается,для Апача есть неплохой модуль для защиты от ДДоС атак. Модуль по сути очень не сложный,ставится легко,настраивается еще легче.Суть его заключается в том,что при превышении определенного количества запросов или соединений за отведенное время с одного IP,модуль блокирует доступ с этого адреса,выдвая ему вместо контента страницу с 403. НО! Как понимаете,отдать 403 - это все равно обработать запрос Апачу,хоть и гораздо меньше.И это все равно запись в логи доступа и ошибок.Нам это ни к чему.Потому этим модулем мы не только будем блокировать атакующего,но и с помощью iptables банить его по IP,тем самым не давая дальше вести атаку и сыпать нас запросами. Итак: More »

В одной из >предыдущий статей< я описывал способ авторизации на веб-страницах средствами самого Апача. Однако этот способ имеет один существенный недостаток - при авторизации,ваш логин-пароль идут в открытом виде. То есть могут быть перехвачены любым анализатором трафика. А это не есть гуд,особенно если ты вышел в инет через какую нибудь публичную простит точку доступа. Для защиты от такого и используется другой способ авторизации - Digest Auth,использующая MD5 криптование для передачи пароля по сети. Так что теперь любому,слушающему ваш трафик,достанется дырка от бублика, а не Шарапов (С). Итак приступаем к настройке: More »

Спизженно для себя отсюда: http://mtaalamu.ru/blog/93.html

Собственно, речь пойдет о защите от SYN flood атак:

Очень популярная DoS атака заключается в посылке большого числа SYN пакетов на ваш сервер. При этом установка TCP связи не доводится до конца. Очередь полуоткрытых запросов соединений быстро заполняется, что мешает установке нормальных соединений. Так как соединение не должно быть обязательно завершено, такая атака не требует больших ресурсов от атакующей машины, поэтому её легко реализовать и контролировать.

More »

iptables -A INPUT -p tcp --syn --dport 25 -m connlimit --connlimit-above 5 -j REJECT

Страница 1 из 212
%d такие блоггеры, как: