Re: Security hole. remote root access.
Damir Hakimov -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 13:19:59 +0400: >> DH> А вот если, из-под другого пользователя сказать sudo ssh-copy-id >> DH> somehost интересно что произойдет? В чей known_hosts попадет >> DH> соотвествующая запись? >> >> В known_hosts - юзера, потому что sudo не меняет $HOME. Кстати, с >> ненулевыми шансами на то, что потом этому known_hosts придется еще >> говорить sudo chown перед попыткой добавить туда что-то еще. А вот на >> том конце, скорее всего, в рутовый authorized_keys, потому что юзера >> sudo как раз меняет, и туда оно пойдет как root. DH> Ну вот... :-( DH> Надеешься, что нашел супер-мега дырищу, бросаешься спасать мир от Зла... DH> А оказываешься лохом! Тьфу! Стыдоба, да и только! Добро пожаловать в реальный мир компьютерной безопасности. Теорема 1: безопасность не монотонна. А вот стыдиться этого не надо. Это нормальная наработка интуиции в области безопасности. Даже весьма опытные безопасники ходят по подобным граблям с регулярностью, и это у них нормально. А супер-мега дырищи у нас бывают. Чего стоила одна лишь бага с рандомайзером в openssl... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/878vc3dhrf@wizzle.ran.pp.ru
Re: Как скормить маршруты l2tp клиенту?
On Thu, Sep 20, 2012 at 09:13:04PM +0400, Dmitry A. Zhiglov wrote: > В сети уже есть один dhcp сервер и его нельзя настроить. Вы уверены что ваши l2tp-клиенты будут пытаться получить настройки по dhcp с туннельного интерфейса? Подозреваю, это зависит от ОС. Собственно, это можно проверить, посмотрев трафик внутри туннеля. > Можно настроить dhcp сервер на шлюзе так, чтобы он обслуживал > определенные vpn интерфейсы, но ppp создаются и удаляются pppd и их > может быть множество. Зависит от реализации: dnsmasq так настроить легко (опции -I и -2), как это сделать с ISC dhcpd -- мне с ходу придумать не удалось... Разве что сведя все окончания l2tp-туннелей к бриджу и dhcpd туда же. > Кроме того, из-за ipsec все усложняется, и получить адрес со > стороннего dhcp не тривиальная задача. Неправ? IPsec как транспортный уровень здесь совершенно не при чём, с точки зрения клиента достаточно наличия конца туннеля 2-го уровня в виде интерфейса, умеющего передавать бродкасты. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120920192938.gb14...@sie.protva.ru
Re: Как скормить маршруты l2tp клиенту?
В сети уже есть один dhcp сервер и его нельзя настроить. Можно настроить dhcp сервер на шлюзе так, чтобы он обслуживал определенные vpn интерфейсы, но ppp создаются и удаляются pppd и их может быть множество. Кроме того, из-за ipsec все усложняется, и получить адрес со стороннего dhcp не тривиальная задача. Неправ? Кто подскажет, как быть? 20 сентября 2012 г., 19:45 пользователь Anatoly Molchanov написал: > Не нужен dummy, что мешает поставить dhcp-сервер на шлюз и попросить слушать > его vpn'овский ip? > > > 20 сентября 2012 г., 18:55 пользователь Dmitry A. Zhiglov > написал: > >> 20 сентября 2012 г., 18:36 пользователь Aleksandr Sytar >> написал: >> > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov >> > написал: >> >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились >> >> от сервера клиенту. >> > >> > Тебе именно через l2tp или другие варианты тоже катят? >> >> Вообще-то у меня пока только одна мысль появилась. >> >> Создать изолированный dummy интерфейс от всех, кроме ppp+. Запустить >> на нем dhcpd и настроить маршрутизацию таким образом, что бы все >> создаваемые клиентами ppp+ интерфейсы могли найти этот сервер и >> получить с работающего dhcpd сервера настройки. >> >> Взлетит? > > -- С уважением, Дмитрий А. Жиглов work phone: +7 (495) 785-4107 (доб. 2564) cell phone: +7 (909) 635-9700 work email: dzhig...@tvc.ru private email: dmitry.zhig...@gmail.com fido-netmail: 2:5022/63.21
Re: Как скормить маршруты l2tp клиенту?
Не нужен dummy, что мешает поставить dhcp-сервер на шлюз и попросить слушать его vpn'овский ip? 20 сентября 2012 г., 18:55 пользователь Dmitry A. Zhiglov < dmitry.zhig...@gmail.com> написал: > 20 сентября 2012 г., 18:36 пользователь Aleksandr Sytar > написал: > > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > > написал: > >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились > >> от сервера клиенту. > > > > Тебе именно через l2tp или другие варианты тоже катят? > > Вообще-то у меня пока только одна мысль появилась. > > Создать изолированный dummy интерфейс от всех, кроме ppp+. Запустить > на нем dhcpd и настроить маршрутизацию таким образом, что бы все > создаваемые клиентами ppp+ интерфейсы могли найти этот сервер и > получить с работающего dhcpd сервера настройки. > > Взлетит? >
Re: Как скормить маршруты l2tp клиенту?
20 сентября 2012 г., 18:36 пользователь Aleksandr Sytar написал: > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > написал: >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились >> от сервера клиенту. > > Тебе именно через l2tp или другие варианты тоже катят? Вообще-то у меня пока только одна мысль появилась. Создать изолированный dummy интерфейс от всех, кроме ppp+. Запустить на нем dhcpd и настроить маршрутизацию таким образом, что бы все создаваемые клиентами ppp+ интерфейсы могли найти этот сервер и получить с работающего dhcpd сервера настройки. Взлетит?
Re: Как скормить маршруты l2tp клиенту?
20 сентября 2012 г., 18:36 пользователь Aleksandr Sytar написал: > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > написал: >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились >> от сервера клиенту. > > Тебе именно через l2tp или другие варианты тоже катят? Только L2TP. Мне было бы удобней на openvpn, но увы.
Re: Как скормить маршруты l2tp клиенту?
20 сентября 2012 г., 18:36 пользователь Aleksandr Sytar < sytar.a...@gmail.com> написал: > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > написал: > > Мне надо по сути сделать split traffic, но чтобы маршруты push'ились > > от сервера клиенту. > > Тебе именно через l2tp или другие варианты тоже катят? > Александр, вы понимаете, что ему нужно??
Re: Как скормить маршруты l2tp клиенту?
20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov написал: > Мне надо по сути сделать split traffic, но чтобы маршруты push'ились > от сервера клиенту. Тебе именно через l2tp или другие варианты тоже катят?
Re: Как скормить маршруты l2tp клиенту?
У вас стоит шлюз, который подключен к интернету и VPN-сети, клиенты которого должны через него выходить в интернет, и иметь доступ к ресурсам VPN'а? Или у вас клиенты имеют белые IP VPN'а и у них уже установлен vpn-клиент? * задача также подразумевают условие (что/где/как стоит, какие функции выполняет) 20 сентября 2012 г., 18:00 пользователь Dmitry A. Zhiglov < dmitry.zhig...@gmail.com> написал: > 1) Клиент должен иметь доступ к подсетям за l2tp серверов; > 2) Клиент должен иметь доступ в интернет; > 3) Клиент не должен иметь доступ в интернет через тунель; > 3) Клиент не должен совершать дополнительных настроек на своей стороне; > 4) Клиентом моет быть любое устройство и ОС; > 5) Применяется только L2TP/IPSEC; > > Как-то так. > > > 20 сентября 2012 г., 16:59 пользователь Anatoly Molchanov > написал: > > Уточните эту фразу: > > > > "Хочется, что бы траффик делился, т.е. в туннель шло только то, что > положено > > туда идти" > > > > * сформулируйте конкретную задачу, очень много противоречивых > высказываний. > > > > > > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > > написал: > > > >> 20 сентября 2012 г., 15:08 пользователь Anatoly Molchanov > >> написал: > >> > 20 сентября 2012 г., 7:54 пользователь Dmitry A. Zhiglov > >> > написал: > >> > > >> >> Есть ipsec/l2tp сервер. Всё работает. При подключении виндовс-клиента > >> >> (возможно и других клиентов, не проверял еще) весь траффик идет через > >> >> туннель. > >> >> > >> >> Хочется, что бы траффик делился, т.е. в туннель шло только то, что > >> >> положено туда идти. > >> >> > >> >> Вариант решения: > >> >> Скормить клиенту маршруты через dhcp. > >> >> > >> >> Вопрос. > >> >> Как реализовать связку dhcp + ipsec/l2tp? > >> >> > >> >> Используется > >> >> xl2tp+openswan > >> >> > >> >> Дима > >> > > >> > В Windows: Свойства VPN-подключения - Сеть - Протокол Интернета - > >> > Свойства - > >> > Дополнительно - снимаем галку с "Использовать основной шлюз в > удаленной > >> > сети". Все > >> > >> Не подходит, так как не могу попасть за шлюз, в локальную сеть. > >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились > >> от сервера клиенту. > > > > > > > > -- > С уважением, > Дмитрий А. Жиглов > > work phone: +7 (495) 785-4107 (доб. 2564) > cell phone: +7 (909) 635-9700 > work email: dzhig...@tvc.ru > private email: dmitry.zhig...@gmail.com > fido-netmail: 2:5022/63.21 >
Re: Как скормить маршруты l2tp клиенту?
1) Клиент должен иметь доступ к подсетям за l2tp серверов; 2) Клиент должен иметь доступ в интернет; 3) Клиент не должен иметь доступ в интернет через тунель; 3) Клиент не должен совершать дополнительных настроек на своей стороне; 4) Клиентом моет быть любое устройство и ОС; 5) Применяется только L2TP/IPSEC; Как-то так. 20 сентября 2012 г., 16:59 пользователь Anatoly Molchanov написал: > Уточните эту фразу: > > "Хочется, что бы траффик делился, т.е. в туннель шло только то, что положено > туда идти" > > * сформулируйте конкретную задачу, очень много противоречивых высказываний. > > > 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov > написал: > >> 20 сентября 2012 г., 15:08 пользователь Anatoly Molchanov >> написал: >> > 20 сентября 2012 г., 7:54 пользователь Dmitry A. Zhiglov >> > написал: >> > >> >> Есть ipsec/l2tp сервер. Всё работает. При подключении виндовс-клиента >> >> (возможно и других клиентов, не проверял еще) весь траффик идет через >> >> туннель. >> >> >> >> Хочется, что бы траффик делился, т.е. в туннель шло только то, что >> >> положено туда идти. >> >> >> >> Вариант решения: >> >> Скормить клиенту маршруты через dhcp. >> >> >> >> Вопрос. >> >> Как реализовать связку dhcp + ipsec/l2tp? >> >> >> >> Используется >> >> xl2tp+openswan >> >> >> >> Дима >> > >> > В Windows: Свойства VPN-подключения - Сеть - Протокол Интернета - >> > Свойства - >> > Дополнительно - снимаем галку с "Использовать основной шлюз в удаленной >> > сети". Все >> >> Не подходит, так как не могу попасть за шлюз, в локальную сеть. >> Мне надо по сути сделать split traffic, но чтобы маршруты push'ились >> от сервера клиенту. > > -- С уважением, Дмитрий А. Жиглов work phone: +7 (495) 785-4107 (доб. 2564) cell phone: +7 (909) 635-9700 work email: dzhig...@tvc.ru private email: dmitry.zhig...@gmail.com fido-netmail: 2:5022/63.21
Re: NAT
Ivan Shmakov writes: >> Sergey Korobitsin writes: > > […] > > > Мне вот интересны ещё всякие разновидности NAT: симметричный, > > full-cone, и т. п. Где такое пишут, например? > > Пишут в RFC 3489. Впрочем, в отменяющем его RFC 5389 находим: > > --cut: urn:ietf:rfc:5389 -- > […] Furthermore, classic STUN's algorithm for classification of NAT > types was found to be faulty, as many NATs did not fit cleanly into > the types defined there. > --cut: urn:ietf:rfc:5389 -- > > IOW, введение этих разновидностей порядка на деле не добавило. Спасибо, это исчерпало и мой вопрос тоже. -- ** * jabber: free...@jabber.mipt.ru * * Registered linux user #546240* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ehlw95an@ws00.freehck.ru
Re: NAT
> Sergey Korobitsin writes: […] > Мне вот интересны ещё всякие разновидности NAT: симметричный, > full-cone, и т. п. Где такое пишут, например? Пишут в RFC 3489. Впрочем, в отменяющем его RFC 5389 находим: --cut: urn:ietf:rfc:5389 -- […] Furthermore, classic STUN's algorithm for classification of NAT types was found to be faulty, as many NATs did not fit cleanly into the types defined there. --cut: urn:ietf:rfc:5389 -- IOW, введение этих разновидностей порядка на деле не добавило. -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86wqzo3kfo@gray.siamics.net
Re: Как скормить маршруты l2tp клиенту?
Уточните эту фразу: "Хочется, что бы траффик делился, т.е. в туннель шло только то, что положено туда идти" * сформулируйте конкретную задачу, очень много противоречивых высказываний. 20 сентября 2012 г., 15:47 пользователь Dmitry A. Zhiglov < dmitry.zhig...@gmail.com> написал: > 20 сентября 2012 г., 15:08 пользователь Anatoly Molchanov > написал: > > 20 сентября 2012 г., 7:54 пользователь Dmitry A. Zhiglov > > написал: > > > >> Есть ipsec/l2tp сервер. Всё работает. При подключении виндовс-клиента > >> (возможно и других клиентов, не проверял еще) весь траффик идет через > >> туннель. > >> > >> Хочется, что бы траффик делился, т.е. в туннель шло только то, что > >> положено туда идти. > >> > >> Вариант решения: > >> Скормить клиенту маршруты через dhcp. > >> > >> Вопрос. > >> Как реализовать связку dhcp + ipsec/l2tp? > >> > >> Используется > >> xl2tp+openswan > >> > >> Дима > > > > В Windows: Свойства VPN-подключения - Сеть - Протокол Интернета - > Свойства - > > Дополнительно - снимаем галку с "Использовать основной шлюз в удаленной > > сети". Все > > Не подходит, так как не могу попасть за шлюз, в локальную сеть. > Мне надо по сути сделать split traffic, но чтобы маршруты push'ились > от сервера клиенту. >
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
20.09.2012 16:02, alexander пишет: В Thu, 20 Sep 2012 15:47:34 +0400 Скубриев Владимир пишет: 20.09.2012 15:19, alexander пишет: В Thu, 20 Sep 2012 12:31:39 +0400 Скубриев Владимир пишет: 20.09.2012 12:10, alexander пишет: No IOMMU found. проверьте в данный момент поддерживается виртуализация вообще: cat /proc/cpuinfo | egrep flags.*'svm|vmx' вывод этой команды должен быть не пустым там должна быть строка с svm или vmx в зависимости от платформы intel vs amd alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ cat /proc/cpuinfo | egrep flags.*'svm|vmx' flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ поддержка виртуализации есть и она от intel, т.к. vmx это видно из того, что нашел grep проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d (если платформа Intel) в BIOS. Он включается отдельно зачастую. IOMMU в BIOS'e не нашел. его и не должно быть, т.к. так технология проброса устройств и и.п. называется у amd тебе надо искать vt-d хотя иногда даже слова vt-d нету в bios, но сама опция есть, только по другому называется. и самый неприятный момент поддержка iommu или vt-d может отсутствовать у процессора (может быть и системной платы). в этом случае пробросить устройство не получится. alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ dmesg | grep -e DMAR -e IOMMU [0.00] ACPI: DMAR a6fd8000 000B8 (v01 ACRSYS ACRPRDCT 0001 1025 0004) [0.027340] DMAR: Host address width 36 [0.027343] DMAR: DRHD base: 0x00fed9 flags: 0x0 [0.027351] IOMMU 0: reg_base_addr fed9 ver 1:0 cap c020e60262 ecap f0101a [0.027353] DMAR: DRHD base: 0x00fed91000 flags: 0x1 [0.027359] IOMMU 1: reg_base_addr fed91000 ver 1:0 cap c9008020660262 ecap f0105a [0.027362] DMAR: RMRR base: 0x00a6e8f000 end: 0x00a6eaefff [0.027364] DMAR: RMRR base: 0x00a780 end: 0x00af9f [0.027437] IOAPIC id 0 under DRHD base 0xfed91000 IOMMU 1 т.е. у вас может не поддерживаться проброс устройств, даже если поддерживается виртуализация в целом как процессором так и платой. да вроде все поддерживается. Удалось пробросить некоторые PCI устройства. А то устройство которое мне больше всего нужно - это видеокарта GeForce GT 640M. (на шине PCI) - с поддержкой Optirums (через Bumblebeed). тогда не знаю даже. может быть не совместимость связана с видеочипом nvidia gt 640M раньше на сайте kvm был список поддерживаемых видео адаптеров и этот список был очень мал Хотя погарячился я насчет успешного проброса PCI ( Ща опять ошибки какие то показываются.. типо устройство занято или что то типо того. Мож я и не успешно пробросил хз) хех) Но вот ща нашол статью на гугле, там написано что проброс PCI плохо реализован в KVM, лучше пробовать Xen. Ну не знаю, помучаю еще несколько дней KVM, если не получится - буду Xen пробовать) я хоть kvm
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
В Thu, 20 Sep 2012 15:47:34 +0400 Скубриев Владимир пишет: > 20.09.2012 15:19, alexander пишет: > > В Thu, 20 Sep 2012 12:31:39 +0400 > > Скубриев Владимир пишет: > > > >> 20.09.2012 12:10, alexander пишет: > >>> No IOMMU found. > >> проверьте в данный момент поддерживается виртуализация вообще: > >> > >> cat /proc/cpuinfo | egrep flags.*'svm|vmx' > >> вывод этой команды должен быть не пустым там должна быть строка с > >> svm или vmx в зависимости от платформы intel vs amd > > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers > > Civilization 5.Deluxe Edition.v 1.0.0.20$ cat /proc/cpuinfo | egrep > > flags.*'svm|vmx' > > flags : fpu vme de pse tsc msr pae mce > > cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr > > sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc > > arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc > > aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 > > cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer > > aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts > > dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms > > flags : fpu vme de pse tsc msr pae mce cx8 apic sep > > mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss > > ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts > > rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 > > monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 > > x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm > > ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority > > ept vpid fsgsbase smep erms flags : fpu vme de pse > > tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush > > dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm > > constant_tsc arch_perfmon pebs bts rep_good nopl xtopology > > nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est > > tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt > > tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb > > xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid > > fsgsbase smep erms flags: fpu vme de pse tsc msr > > pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi > > mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc > > arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc > > aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 > > cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer > > aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts > > dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms > > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers > > Civilization 5.Deluxe Edition.v 1.0.0.20$ > > > поддержка виртуализации есть и она от intel, т.к. vmx > это видно из того, что нашел grep > >> проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d > >> (если платформа Intel) в BIOS. Он включается отдельно зачастую. > > IOMMU в BIOS'e не нашел. > его и не должно быть, т.к. так технология проброса устройств и и.п. > называется у amd > тебе надо искать vt-d > > хотя иногда даже слова vt-d нету в bios, но сама опция есть, только > по другому называется. > >> и самый неприятный момент поддержка iommu или vt-d может > >> отсутствовать у процессора (может быть и системной платы). в этом > >> случае пробросить устройство не получится. > >> > > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers > > Civilization 5.Deluxe Edition.v 1.0.0.20$ dmesg | grep -e DMAR -e > > IOMMU [0.00] ACPI: DMAR a6fd8000 000B8 (v01 ACRSYS > > ACRPRDCT 0001 1025 0004) [0.027340] DMAR: Host address > > width 36 [0.027343] DMAR: DRHD base: 0x00fed9 flags: 0x0 > > [0.027351] IOMMU 0: reg_base_addr fed9 ver 1:0 cap > > c020e60262 ecap f0101a [0.027353] DMAR: DRHD base: > > 0x00fed91000 flags: 0x1 [0.027359] IOMMU 1: reg_base_addr > > fed91000 ver 1:0 cap c9008020660262 ecap f0105a [0.027362] DMAR: > > RMRR base: 0x00a6e8f000 end: 0x00a6eaefff [0.027364] > > DMAR: RMRR base: 0x00a780 end: 0x00af9f > > [0.027437] IOAPIC id 0 under DRHD base 0xfed91000 IOMMU 1 > > > > > >> т.е. у вас может не поддерживаться проброс устройств, даже если > >> поддерживается виртуализация в целом как процессором так и платой. > >> > >> > >> > > да вроде все поддерживается. Удалось пробросить некоторые PCI > > устройства. А то устройство которое мне больше всего нужно - это > > видеокарта GeForce GT 640M. (на шине PCI) - с поддержкой Optirums > > (через Bumblebeed). > > > > > тогда не знаю даже. может быть не совместимость связана с видеочипом > nvidia gt 640M > раньше на сайте kvm был список поддерживаемых видео адаптеров > > и этот список был очень мал > Хотя погарячился я насчет успешного проброса PCI ( Ща опять ошибки какие т
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
20.09.2012 15:19, alexander пишет: В Thu, 20 Sep 2012 12:31:39 +0400 Скубриев Владимир пишет: 20.09.2012 12:10, alexander пишет: No IOMMU found. проверьте в данный момент поддерживается виртуализация вообще: cat /proc/cpuinfo | egrep flags.*'svm|vmx' вывод этой команды должен быть не пустым там должна быть строка с svm или vmx в зависимости от платформы intel vs amd alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ cat /proc/cpuinfo | egrep flags.*'svm|vmx' flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ поддержка виртуализации есть и она от intel, т.к. vmx это видно из того, что нашел grep проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d (если платформа Intel) в BIOS. Он включается отдельно зачастую. IOMMU в BIOS'e не нашел. его и не должно быть, т.к. так технология проброса устройств и и.п. называется у amd тебе надо искать vt-d хотя иногда даже слова vt-d нету в bios, но сама опция есть, только по другому называется. и самый неприятный момент поддержка iommu или vt-d может отсутствовать у процессора (может быть и системной платы). в этом случае пробросить устройство не получится. alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ dmesg | grep -e DMAR -e IOMMU [0.00] ACPI: DMAR a6fd8000 000B8 (v01 ACRSYS ACRPRDCT 0001 1025 0004) [0.027340] DMAR: Host address width 36 [0.027343] DMAR: DRHD base: 0x00fed9 flags: 0x0 [0.027351] IOMMU 0: reg_base_addr fed9 ver 1:0 cap c020e60262 ecap f0101a [0.027353] DMAR: DRHD base: 0x00fed91000 flags: 0x1 [0.027359] IOMMU 1: reg_base_addr fed91000 ver 1:0 cap c9008020660262 ecap f0105a [0.027362] DMAR: RMRR base: 0x00a6e8f000 end: 0x00a6eaefff [0.027364] DMAR: RMRR base: 0x00a780 end: 0x00af9f [0.027437] IOAPIC id 0 under DRHD base 0xfed91000 IOMMU 1 т.е. у вас может не поддерживаться проброс устройств, даже если поддерживается виртуализация в целом как процессором так и платой. да вроде все поддерживается. Удалось пробросить некоторые PCI устройства. А то устройство которое мне больше всего нужно - это видеокарта GeForce GT 640M. (на шине PCI) - с поддержкой Optirums (через Bumblebeed). тогда не знаю даже. может быть не совместимость связана с видеочипом nvidia gt 640M раньше на сайте kvm был список поддерживаемых видео адаптеров и этот список был очень мал -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/505b0256.20
Re: Как скормить маршруты l2tp клиенту?
20 сентября 2012 г., 15:08 пользователь Anatoly Molchanov написал: > 20 сентября 2012 г., 7:54 пользователь Dmitry A. Zhiglov > написал: > >> Есть ipsec/l2tp сервер. Всё работает. При подключении виндовс-клиента >> (возможно и других клиентов, не проверял еще) весь траффик идет через >> туннель. >> >> Хочется, что бы траффик делился, т.е. в туннель шло только то, что >> положено туда идти. >> >> Вариант решения: >> Скормить клиенту маршруты через dhcp. >> >> Вопрос. >> Как реализовать связку dhcp + ipsec/l2tp? >> >> Используется >> xl2tp+openswan >> >> Дима > > В Windows: Свойства VPN-подключения - Сеть - Протокол Интернета - Свойства - > Дополнительно - снимаем галку с "Использовать основной шлюз в удаленной > сети". Все Не подходит, так как не могу попасть за шлюз, в локальную сеть. Мне надо по сути сделать split traffic, но чтобы маршруты push'ились от сервера клиенту.
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
В Thu, 20 Sep 2012 22:19:14 +1100 alexander пишет: > В Thu, 20 Sep 2012 12:31:39 +0400 > Скубриев Владимир пишет: > > > 20.09.2012 12:10, alexander пишет: > > > No IOMMU found. > > проверьте в данный момент поддерживается виртуализация вообще: > > > > cat /proc/cpuinfo | egrep flags.*'svm|vmx' > > вывод этой команды должен быть не пустым там должна быть строка с > > svm или vmx в зависимости от платформы intel vs amd > > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers > Civilization 5.Deluxe Edition.v 1.0.0.20$ cat /proc/cpuinfo | egrep > flags.*'svm|vmx' > flags : fpu vme de pse tsc msr pae mce > cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse > sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs > bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq > dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 > sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand > lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi > flexpriority ept vpid fsgsbase smep erms flags: fpu > vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 > clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm > constant_tsc arch_perfmon pebs bts rep_good nopl xtopology > nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est > tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt > tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb > xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid > fsgsbase smep erms flags : fpu vme de pse tsc msr pae > mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx > fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc > arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf > pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm > pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx > f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow > vnmi flexpriority ept vpid fsgsbase smep erms flags : > fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat > pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx > rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology > nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est > tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt > tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb > xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid > fsgsbase smep erms alexander@alexander:~/Gamez/Civ5/drive_c/Program > Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ > > > > > > проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d > > (если платформа Intel) в BIOS. Он включается отдельно зачастую. > > IOMMU в BIOS'e не нашел. > > > > > и самый неприятный момент поддержка iommu или vt-d может > > отсутствовать у процессора (может быть и системной платы). в этом > > случае пробросить устройство не получится. > > > > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers > Civilization 5.Deluxe Edition.v 1.0.0.20$ dmesg | grep -e DMAR -e > IOMMU [0.00] ACPI: DMAR a6fd8000 000B8 (v01 ACRSYS > ACRPRDCT 0001 1025 0004) [0.027340] DMAR: Host address > width 36 [0.027343] DMAR: DRHD base: 0x00fed9 flags: 0x0 > [0.027351] IOMMU 0: reg_base_addr fed9 ver 1:0 cap > c020e60262 ecap f0101a [0.027353] DMAR: DRHD base: > 0x00fed91000 flags: 0x1 [0.027359] IOMMU 1: reg_base_addr > fed91000 ver 1:0 cap c9008020660262 ecap f0105a [0.027362] DMAR: > RMRR base: 0x00a6e8f000 end: 0x00a6eaefff [0.027364] DMAR: > RMRR base: 0x00a780 end: 0x00af9f [0.027437] > IOAPIC id 0 under DRHD base 0xfed91000 IOMMU 1 > > > > т.е. у вас может не поддерживаться проброс устройств, даже если > > поддерживается виртуализация в целом как процессором так и платой. > > > > > > > да вроде все поддерживается. Удалось пробросить некоторые PCI > устройства. А то устройство которое мне больше всего нужно - это > видеокарта GeForce GT 640M. (на шине PCI) - с поддержкой >>>Optirums > (через Bumblebeed). Optimus то есть -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120920222340.0331a...@omen.dyndns-ip.com
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
В Thu, 20 Sep 2012 12:31:39 +0400 Скубриев Владимир пишет: > 20.09.2012 12:10, alexander пишет: > > No IOMMU found. > проверьте в данный момент поддерживается виртуализация вообще: > > cat /proc/cpuinfo | egrep flags.*'svm|vmx' > вывод этой команды должен быть не пустым там должна быть строка с svm > или vmx в зависимости от платформы intel vs amd alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ cat /proc/cpuinfo | egrep flags.*'svm|vmx' flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm ida arat epb xsaveopt pln pts dtherm tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ > > проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d (если > платформа Intel) в BIOS. Он включается отдельно зачастую. IOMMU в BIOS'e не нашел. > > и самый неприятный момент поддержка iommu или vt-d может > отсутствовать у процессора (может быть и системной платы). в этом > случае пробросить устройство не получится. > alexander@alexander:~/Gamez/Civ5/drive_c/Program Files/Sid Meiers Civilization 5.Deluxe Edition.v 1.0.0.20$ dmesg | grep -e DMAR -e IOMMU [0.00] ACPI: DMAR a6fd8000 000B8 (v01 ACRSYS ACRPRDCT 0001 1025 0004) [0.027340] DMAR: Host address width 36 [0.027343] DMAR: DRHD base: 0x00fed9 flags: 0x0 [0.027351] IOMMU 0: reg_base_addr fed9 ver 1:0 cap c020e60262 ecap f0101a [0.027353] DMAR: DRHD base: 0x00fed91000 flags: 0x1 [0.027359] IOMMU 1: reg_base_addr fed91000 ver 1:0 cap c9008020660262 ecap f0105a [0.027362] DMAR: RMRR base: 0x00a6e8f000 end: 0x00a6eaefff [0.027364] DMAR: RMRR base: 0x00a780 end: 0x00af9f [0.027437] IOAPIC id 0 under DRHD base 0xfed91000 IOMMU 1 > т.е. у вас может не поддерживаться проброс устройств, даже если > поддерживается виртуализация в целом как процессором так и платой. > > > да вроде все поддерживается. Удалось пробросить некоторые PCI устройства. А то устройство которое мне больше всего нужно - это видеокарта GeForce GT 640M. (на шине PCI) - с поддержкой Optirums (через Bumblebeed). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120920221914.3b81e...@omen.dyndns-ip.com
Re: Как скормить маршруты l2tp клиенту?
В Windows: Свойства VPN-подключения - Сеть - Протокол Интернета - Свойства - Дополнительно - снимаем галку с "Использовать основной шлюз в удаленной сети". Все 20 сентября 2012 г., 7:54 пользователь Dmitry A. Zhiglov < dmitry.zhig...@gmail.com> написал: > Есть ipsec/l2tp сервер. Всё работает. При подключении виндовс-клиента > (возможно и других клиентов, не проверял еще) весь траффик идет через > туннель. > > Хочется, что бы траффик делился, т.е. в туннель шло только то, что > положено туда идти. > > Вариант решения: > Скормить клиенту маршруты через dhcp. > > Вопрос. > Как реализовать связку dhcp + ipsec/l2tp? > > Используется > xl2tp+openswan > > Дима >
Re: NAT
Artem Chuprina ☫ → To debian-russian@lists.debian.org @ Thu, Sep 20, 2012 13:19 +0400 > Dmitrii Kashin -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 > 10:27:48 +0400: > > DK> Не посоветует ли сообщество какой-нибудь литературы, в которой были бы > DK> описаны тонкости работы NAT также толково, как у Эндрю Таненбаума > DK> описаны тонкости работы TCP/IP? > > Мне казалось, что при хорошем понимании работы TCP/IP, даже без > тонкостей, все тонкости работы NAT очевидны. Ну, добавить man iptables > (действия DNAT, SNAT и MASQUERADE), если его настраивать. Если они не > очевидны, то понимания работы TCP/IP нет, и начинать надо отсюда. Мне вот интересны ещё всякие разновидности NAT: симметричный, full-cone, и т.п. Где такое пишут, например? -- Bright regards, Sergey Korobitsin, Chief Research Officer Arta Software, http://arta.kz/ xmpp:underta...@jabber.arta.kz -- Наилучший путь предсказать будущее — создать его. -- Фраза на собрании в XEROX PARC в 1971 году —Алан Кей (Alan Key) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120920092343.gf10...@undertaker.dev.lan.arta.kz
Re: Security hole. remote root access.
On Thu, Sep 20, 2012 at 01:19:59PM +0400, Damir Hakimov wrote: > Ну вот... :-( > Надеешься, что нашел супер-мега дырищу, бросаешься спасать мир от Зла... > А оказываешься лохом! Тьфу! Стыдоба, да и только! Разумеется. select isn't broken. -- WBR, wRAR signature.asc Description: Digital signature
Re: Security hole. remote root access.
20 сентября 2012 г., 13:07 пользователь Artem Chuprina написал: > DH> А вот если, из-под другого пользователя сказать sudo ssh-copy-id > DH> somehost интересно что произойдет? В чей known_hosts попадет > DH> соотвествующая запись? > > В known_hosts - юзера, потому что sudo не меняет $HOME. Кстати, с > ненулевыми шансами на то, что потом этому known_hosts придется еще > говорить sudo chown перед попыткой добавить туда что-то еще. А вот на > том конце, скорее всего, в рутовый authorized_keys, потому что юзера > sudo как раз меняет, и туда оно пойдет как root. Ну вот... :-( Надеешься, что нашел супер-мега дырищу, бросаешься спасать мир от Зла... А оказываешься лохом! Тьфу! Стыдоба, да и только! -- DamirX
Re: NAT
Dmitrii Kashin -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 10:27:48 +0400: DK> Не посоветует ли сообщество какой-нибудь литературы, в которой были бы DK> описаны тонкости работы NAT также толково, как у Эндрю Таненбаума DK> описаны тонкости работы TCP/IP? Мне казалось, что при хорошем понимании работы TCP/IP, даже без тонкостей, все тонкости работы NAT очевидны. Ну, добавить man iptables (действия DNAT, SNAT и MASQUERADE), если его настраивать. Если они не очевидны, то понимания работы TCP/IP нет, и начинать надо отсюда. DK> Интересуют проблемы, связанные с NAT при использовании TCP и UDP. DK> Методы его обхода - VPN, STUN и что там еще есть. Собственно, метод его обхода один - VPN. А уж какая реализация VPN берется и как настраивается - это зависит от возможностей машин на концах и параноидальности админов посредине. Но по этой области нужно скорее гуглить обзоры, чем искать книжки. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87d31hcarb@wizzle.ran.pp.ru
Re: Security hole. remote root access.
Damir Hakimov -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 11:56:41 +0400: >> DH> Если она там была на момент показанного выше "ssh-copy-id bogdo", то >> почему >> DH> The authenticity of host 'bogdo (192.168.10.164)' can't be >> established. ?? >> >> Потому что она была залита не с этой машины или не под этим юзером. Или >> вообще не по ssh. DH> "Не по ssh" - исключено. Я ленив, и не стану выкаблучиваться если DH> можно сказать два слова: DH> ssh-keygen и ssh-copy-id. Мне казалось, что ключ там был root@backup. То есть, вероятно, уже существующий. А ставил ты новые машины, а не бэкап-сервер. У меня в шляпе сисадмина в такой ситуации был бы tar с файлами, которые надо развернуть у рута на новой машине, и .ssh/authorized_keys (не только с ключом бэкап-юзера, но и со специфической командой для бэкапа) в нем бы был. DH> А вот если, из-под другого пользователя сказать sudo ssh-copy-id DH> somehost интересно что произойдет? В чей known_hosts попадет DH> соотвествующая запись? В known_hosts - юзера, потому что sudo не меняет $HOME. Кстати, с ненулевыми шансами на то, что потом этому known_hosts придется еще говорить sudo chown перед попыткой добавить туда что-то еще. А вот на том конце, скорее всего, в рутовый authorized_keys, потому что юзера sudo как раз меняет, и туда оно пойдет как root. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87haqtcbbf@wizzle.ran.pp.ru
MOOCHIC每周商品精选 体验顶级香氛宴
如果邮件无法正常显示请点击这里 ; 经典名品LUXURY 潮流时尚TRENDY 生活品味LIFESTYLE 杂志MOOZINE 为确保我们的促销信息不被当做垃圾邮件处理,请把newslet...@moochic.com添加为您的联系人。 2012 MOOCHIC 慕奇网 点击这里退订该组邮件 ;
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
А твоя система(процессов\материнская плата) точно IOMMU поддерживает?
потому что ругается именно на него.
2012/9/20 alexander :
> В Thu, 20 Sep 2012 18:56:44 +1100
> alexander пишет:
>
>> Привет)
>> Установил KVM (kernel virtual machine). Модерирую ее через
>> virt-manager. Хост ОС - Debian Wheezy testing/sid for amd64. Гость -
>> Windows 7 32 bit Ultimate. Пытаюсь в virt-manager пробросить
>> дискретную видеокарту (PCI устройство) в венду. Но появляется ошибка.
>> Вот текст ошибки:
>>
>> Ошибка запуска : Unable to read from monitor: Connection reset by peer
>>
>> Traceback (most recent call last):
>> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 45, in
>> cb_wrapper callback(asyncjob, *args, **kwargs)
>> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 66, in
>> tmpcb callback(*args, **kwargs)
>> File "/usr/share/virt-manager/virtManager/domain.py", line 1114, in
>> startup self._backend.create()
>> File "/usr/lib/python2.7/dist-packages/libvirt.py", line 620, in
>> create if ret == -1: raise libvirtError ('virDomainCreate() failed',
>> dom=self) libvirtError: Unable to read from monitor: Connection reset
>> by peer
>>
>> Но я знаю, что такого быть не должно!( Что за баг такой? Как починить?
>> Ничо не нагуглил( HELP!
>
> а это появилось после того как я выполнил:
> #virsh managedsave-remove MyDomain
>
>
> шибка запуска : internal error process exited while connecting to
> monitor: char device redirected to /dev/pts/3 No IOMMU found. Unable
> to assign device "hostdev0" kvm: -device
> pci-assign,host=01:00.0,id=hostdev0,configfd=21,bus=pci.0,addr=0x3:
> Device 'pci-assign' could not be initialized
>
>
> Traceback (most recent call last):
> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 45, in
> cb_wrapper callback(asyncjob, *args, **kwargs)
> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 66, in
> tmpcb callback(*args, **kwargs)
> File "/usr/share/virt-manager/virtManager/domain.py", line 1114, in
> startup self._backend.create()
> File "/usr/lib/python2.7/dist-packages/libvirt.py", line 620, in
> create if ret == -1: raise libvirtError ('virDomainCreate() failed',
> dom=self) libvirtError: internal error process exited while connecting
> to monitor: char device redirected to /dev/pts/3 No IOMMU found.
> Unable to assign device "hostdev0" kvm: -device
> pci-assign,host=01:00.0,id=hostdev0,configfd=21,bus=pci.0,addr=0x3:
> Device 'pci-assign' could not be initialized
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/20120920191023.17763...@omen.dyndns-ip.com
>
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive:
http://lists.debian.org/CAGWE0TBabnBkCW=-u2ADBY_VnYKk+ZnYxXdXnM5sZ5sF=cj...@mail.gmail.com
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
20.09.2012 12:10, alexander пишет: No IOMMU found. проверьте в данный момент поддерживается виртуализация вообще: cat /proc/cpuinfo | egrep flags.*'svm|vmx' вывод этой команды должен быть не пустым там должна быть строка с svm или vmx в зависимости от платформы intel vs amd проверьте включен ли у вас IOMMU (если платформа AMD) или VT-d (если платформа Intel) в BIOS. Он включается отдельно зачастую. и самый неприятный момент поддержка iommu или vt-d может отсутствовать у процессора (может быть и системной платы). в этом случае пробросить устройство не получится. т.е. у вас может не поддерживаться проброс устройств, даже если поддерживается виртуализация в целом как процессором так и платой. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/505ad46b.6030...@skubriev.ru
Re: KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
В Thu, 20 Sep 2012 18:56:44 +1100
alexander пишет:
> Привет)
> Установил KVM (kernel virtual machine). Модерирую ее через
> virt-manager. Хост ОС - Debian Wheezy testing/sid for amd64. Гость -
> Windows 7 32 bit Ultimate. Пытаюсь в virt-manager пробросить
> дискретную видеокарту (PCI устройство) в венду. Но появляется ошибка.
> Вот текст ошибки:
>
> Ошибка запуска : Unable to read from monitor: Connection reset by peer
>
> Traceback (most recent call last):
> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 45, in
> cb_wrapper callback(asyncjob, *args, **kwargs)
> File "/usr/share/virt-manager/virtManager/asyncjob.py", line 66, in
> tmpcb callback(*args, **kwargs)
> File "/usr/share/virt-manager/virtManager/domain.py", line 1114, in
> startup self._backend.create()
> File "/usr/lib/python2.7/dist-packages/libvirt.py", line 620, in
> create if ret == -1: raise libvirtError ('virDomainCreate() failed',
> dom=self) libvirtError: Unable to read from monitor: Connection reset
> by peer
>
> Но я знаю, что такого быть не должно!( Что за баг такой? Как починить?
> Ничо не нагуглил( HELP!
а это появилось после того как я выполнил:
#virsh managedsave-remove MyDomain
шибка запуска : internal error process exited while connecting to
monitor: char device redirected to /dev/pts/3 No IOMMU found. Unable
to assign device "hostdev0" kvm: -device
pci-assign,host=01:00.0,id=hostdev0,configfd=21,bus=pci.0,addr=0x3:
Device 'pci-assign' could not be initialized
Traceback (most recent call last):
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 45, in
cb_wrapper callback(asyncjob, *args, **kwargs)
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 66, in
tmpcb callback(*args, **kwargs)
File "/usr/share/virt-manager/virtManager/domain.py", line 1114, in
startup self._backend.create()
File "/usr/lib/python2.7/dist-packages/libvirt.py", line 620, in
create if ret == -1: raise libvirtError ('virDomainCreate() failed',
dom=self) libvirtError: internal error process exited while connecting
to monitor: char device redirected to /dev/pts/3 No IOMMU found.
Unable to assign device "hostdev0" kvm: -device
pci-assign,host=01:00.0,id=hostdev0,configfd=21,bus=pci.0,addr=0x3:
Device 'pci-assign' could not be initialized
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120920191023.17763...@omen.dyndns-ip.com
KVM: проброс PCI устройства в виртуальную машину (PCI видеокарта). error
Привет)
Установил KVM (kernel virtual machine). Модерирую ее через
virt-manager. Хост ОС - Debian Wheezy testing/sid for amd64. Гость -
Windows 7 32 bit Ultimate. Пытаюсь в virt-manager пробросить дискретную
видеокарту (PCI устройство) в венду. Но появляется ошибка. Вот текст
ошибки:
Ошибка запуска : Unable to read from monitor: Connection reset by peer
Traceback (most recent call last):
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 45, in
cb_wrapper callback(asyncjob, *args, **kwargs)
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 66, in
tmpcb callback(*args, **kwargs)
File "/usr/share/virt-manager/virtManager/domain.py", line 1114, in
startup self._backend.create()
File "/usr/lib/python2.7/dist-packages/libvirt.py", line 620, in
create if ret == -1: raise libvirtError ('virDomainCreate() failed',
dom=self) libvirtError: Unable to read from monitor: Connection reset
by peer
Но я знаю, что такого быть не должно!( Что за баг такой? Как починить?
Ничо не нагуглил( HELP!
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120920185644.2ccee...@omen.dyndns-ip.com
Re: Security hole. remote root access.
> DH> Если она там была на момент показанного выше "ssh-copy-id bogdo", то > почему > DH> The authenticity of host 'bogdo (192.168.10.164)' can't be established. > ?? > > Потому что она была залита не с этой машины или не под этим юзером. Или > вообще не по ssh. "Не по ssh" - исключено. Я ленив, и не стану выкаблучиваться если можно сказать два слова: ssh-keygen и ssh-copy-id. А вот если, из-под другого пользователя сказать sudo ssh-copy-id somehost интересно что произойдет? В чей known_hosts попадет соотвествующая запись? -- DamirX
Re: Размер шрифтов в Xorg.
Dmitrii Kashin -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 10:15:36 +0400: >>> --- ~/.xsessionrc --- >>> xrandr -s 1280x1024 >> Вот эту строчку унести из .xsessionrc в /etc/X11/xdm/Xsetup DK> Добавил. Правильно ли я понимаю, что содержимое этого файла должно DK> выполняться _до_ отображения xlogin? DK> Так, вообще говоря, написано в комментарии к этому файлу, но я сейчас DK> отчетливо видел, как сначала отображается xlogin, а затем уже меняется DK> разрешение. Причем xrandr отрабатывает только на одном из двух DK> запущенных терминалах с приглашением логина. Возможно, я ошибаюсь, но мне казалось, что по умолчанию xrandr отрабатывает только на одном дисплее - типа умолчательном. Отрабатывать на всех его надо специально просить. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87lig5cf0y@wizzle.ran.pp.ru
Re: Security hole. remote root access.
Damir Hakimov -> debian-russian@lists.debian.org @ Thu, 20 Sep 2012 09:01:07 +0400: DH> Если она там была на момент показанного выше "ssh-copy-id bogdo", то почему DH> The authenticity of host 'bogdo (192.168.10.164)' can't be established. ?? Потому что она была залита не с этой машины или не под этим юзером. Или вообще не по ssh. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87pq5hcf40@wizzle.ran.pp.ru
