Re: icq
В Срд, 21/01/2009 в 15:59 +0300, Alexander GQ Gerasiov пишет: Wed, 21 Jan 2009 14:52:19 +0200 Покотиленко Костик cas...@meteor.dp.ua wrote: В Срд, 21/01/2009 в 14:21 +0200, Tochenyk Oleg пишет: Так давно надо на джабер переезжать... Может кто подробно опишет, как, имея корпоративный jabber сервер, общаться с пользователями ICQ? Давно на эту тему думаю, но связь с ICQ нужна. google://jabber+icq+transport Погуглил, и вспомнил почему до сих пор не поставил: везде пишут как поставить и настроить, но нигде нет описания как это работает. Допустим есть корпоративный jabber-сервер и icq-транспортом, вопрос: - каким образом настраивается клиент и как ему общаться по Аське? - вся корпорация будет видна по одному номеру Аськи? - входящие ICQ-сообщения поддерживаются? В общем, кто владеет темой, объясните как это работает. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: RAID 1 на Intel 82801
В Срд, 21/01/2009 в 17:14 +0300, Artem Chuprina пишет: 21 января 2009 г. 15:10 пользователь x...@list.ru написал: Имеется проблема следующего характера: Есть материнка ASUS P5M2-E/4L со встроенным SATA контроллером, на нем поднят RAID1. Во время установки дебиан видит диски по отдельности, а не как один. Проблема была бы, если бы он видел их как один. Это значило бы, что ты сам себе геморрою создал. А оно разве так умеет?? :) -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: icq
В Срд, 21/01/2009 в 18:17 +0300, Artem Chuprina пишет: 21 января 2009 г. 18:09 пользователь Покотиленко Костик cas...@meteor.dp.ua написал: В Срд, 21/01/2009 в 15:59 +0300, Alexander GQ Gerasiov пишет: Wed, 21 Jan 2009 14:52:19 +0200 Покотиленко Костик cas...@meteor.dp.ua wrote: В Срд, 21/01/2009 в 14:21 +0200, Tochenyk Oleg пишет: Так давно надо на джабер переезжать... Может кто подробно опишет, как, имея корпоративный jabber сервер, общаться с пользователями ICQ? Давно на эту тему думаю, но связь с ICQ нужна. google://jabber+icq+transport Погуглил, и вспомнил почему до сих пор не поставил: везде пишут как поставить и настроить, но нигде нет описания как это работает. Допустим есть корпоративный jabber-сервер и icq-транспортом, вопрос: - каким образом настраивается клиент и как ему общаться по Аське? - вся корпорация будет видна по одному номеру Аськи? - входящие ICQ-сообщения поддерживаются? В общем, кто владеет темой, объясните как это работает. Юзер (каждый) регистрирует на гейте свой UIN (вместе с паролем) через механизм browse или discovery, и видит ICQ-контактов как JID u...@имя.гейта. Не все гейты поддерживают автоматическое втягивание контактов с сервера (а может, и ни один не поддерживает). Спасибо, т.е. всё должно работать как надо. Если кто знает как этот механизм работает в gaim/pidgin - отзовитесь. P.S. Gaim 2.0.0Beta5 из Etch сдох при релогине как и прогнозировалось :( -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: icq
В Срд, 21/01/2009 в 19:44 +0300, Victor Wagner пишет: On 2009.01.21 at 17:09:40 +0200, Покотиленко Костик wrote: google://jabber+icq+transport Погуглил, и вспомнил почему до сих пор не поставил: везде пишут как поставить и настроить, но нигде нет описания как это работает. Допустим есть корпоративный jabber-сервер и icq-транспортом, вопрос: - каким образом настраивается клиент и как ему общаться по Аське? Берем jabber-клиент и идем на service browsing или service discovery (у меня в tkabber это пункты меню обзор служб и просмотр служб) корпоративного jabber-сервера. Видим там сервис icq-link и у него функция Зарегистрироваться. Тыкаем туда. Выскакивает окошко с просьбой ввести UIN и пароль. Вводим свой, ранее использовавшийся в ICQ клиенте, UIN и пароль от него К нам в контакты радостно добавляется куча пользователей с JID-ами вида u...@icq.jabber.mycorp.ru. Если надо кого-нибудь вручную добавить, то тоже добавляем его как jabber-пользователя с таким JID. - вся корпорация будет видна по одному номеру Аськи? Нет конечно. Каждый пользователь будет виден со своим UIN-ом, с которым он на гейте зарегистрировался - входящие ICQ-сообщения поддерживаются? Да. Не поддерживается пересылка файлов, групповые чаты и прочие продвинутые функции. По-моему, также невозможна регистрация UIN-а. Но это на худой конец можно через web сделать. Спасибо за столь подробное объяснение, как раз то что надо! -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: icq
В Срд, 21/01/2009 в 18:35 +0300, Igor Goryachev пишет: Покотиленко Костик cas...@meteor.dp.ua writes: Допустим есть корпоративный jabber-сервер и icq-транспортом, вопрос: - каким образом настраивается клиент и как ему общаться по Аське? Каждый, кто желает гонять аську поверх джаббера, в индивидуальном порядке регистрируется на асечном транспорте, вводя тудя свой номер и пароль. Сами контакты появятся в ростере в виде номер_ась�...@адрес_транспорта. - вся корпорация будет видна по одному номеру Аськи? Нет. Каждый пользователь со своим номерком. - входящие ICQ-сообщения поддерживаются? Естественно. В общем, кто владеет темой, объясните как это работает. Именно так и работает. И ещё пара хинтов. Если пользующихся аськой будет много, то транспортом придётся ходить в асечный сервер с нескольких айпишников, в противном случае могут забанить. А ещё ходят слухи, что AOL собирается открывать s2s (межсерверные соединения по протоколу XMPP), так что, вероятно, в какой-то момент времени нужда в транспортах и вовсе отпадёт. И Вам спасибо. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: icq
В Срд, 21/01/2009 в 23:27 +0200, Eugene V. Lyubimkin пишет: Igor Goryachev wrote: veresk evgeny_ver...@mail.ru writes: Подскажите работающие транспорты тогда хоть, Штатовские. Наши отсохли :-( Когда ж народ начнёт переходить на распределённый джаббер, чтобы впредь не возникало подобных недоразумений? ;-) Пускай оно ещё денька 2 будет работать через одно место, и всё случится, как по волшебству. Собственно говоря, оно уже случается потихоньку. Кстати, зарегистрировался на jabber.keiv.ua (пока своего нет), с помощью psi подписался на icq, вышел, зашёл gaim'ом - вуаля - ася работает. Кстати, там плотно обсуждают патч dico.path (Service Discovery) для pidgin'а, может в следующей версии появится. Может кто не поленится и соберёт пакетик? ;) Я уж больно от компиляции отстал... -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: outing WM6
В Вск, 18/01/2009 в 07:01 +0600, Mikhail Gusarov пишет: Twas brillig at 02:56:39 18.01.2009 UTC+02 when fedir.gon...@gmail.com did gyre and gimble: FG при подключении выдает адрес на компе 169.254.2.2 и eth1 роутинг Да, это всё не то. Действительно, нужен dhcp-сервер на компутере, тогда все проблемы отпадут. А на WM6 руками прописать параметры нельзя? Даже на моём UIQ3 можно. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: outing WM6
В Пнд, 19/01/2009 в 17:14 +0700, Alexey Trunyov пишет: On Mon, 19 Jan 2009 15:04:58 +0500 Murat D. Kadirov bander...@gmail.com wrote: А на WM6 руками прописать параметры нельзя? Даже на моём UIQ3 можно. Я вот тоже этим вопросом задаюсь. Вы скорее всего не внимательно смотрите. На моём pda с WM5 на борту настройки прописывать можно. Не думаю, что подобную возможность стали бы убирать, глупо же как-то.. Вы не поверите, но ее таки убрали. :) Извиняюсь, возможно проглядел, я каким образом MW6 к компу подключается? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Возможна ли поддержка тиклем юникода?
В Птн, 16/01/2009 в 11:12 +0200, Serhiy Storchaka пишет: Alexey Pechnikov wrote: Поддержка юникода оказывается все большей проблемой... Уникод тут ни при чём. Сортировка букв в определённом языке, а тем более строк — совершенно отдельная задача. Прежде всего решение зависит от языка. В разных языках общие буквы могут иметь разный порядок в алфавите. Потом, обычно стоит задача сортировки слов или строк, а не только отдельных букв. Буква «ё» при словарной сортировке занимает ту же позицию, что и «е». Т.е. слова на «е» и «ё» идут вперемешку. Если же сортируются многословные строки, то тут правила ещё сложнее. Игнорируются артикли, всякие «фон» и «де» в именах, игнорируются пробелы и знаки пунктуации («триединый» идёт перед «три коровы», но после «три банана»). Это как так? Отдельно стоит задача сортировки словосочетаний на разных языках. Если в строке встречаются числа, то порядок зависит от величины этих чисел («файл-100» идёт после «файл-22»). В общем решение полностью зависит от задачи. Где-то может и порядок записи чисел в римской системе следует учитывать. Это что за метод сортировки такой? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Возможна ли поддержка тиклем юникода?
В Птн, 16/01/2009 в 10:14 +0300, Konstantin Matyukhin пишет: 2009/1/16 Иван Лох l...@1917.com: P.S. Да и есть-ли в русском языке эта полумифическая буква ё? ;-} Ага, есть. Назло некоторым дизайнёрам. Мало вам, что i профукали? Хотите еще и ё в угоду малограмотным лентяям под нож пустить? Что ж такое творится-то, ё моё? Передохнем от вражды! или как? Что тут отрицать, на сегодняшний день русская буква ё существует и используется, если она где-то не поддерживается каким-то ПО - это его личный баг. У нас на Украине другие проблемы, нам впарили вторую букву Г (с хвостиком вверх), там какие-то особенности в произношении мне лично на слух не понятные. В школе столько лет изучали Украинский язык, а оказывается нам тогда целую букву не додали! -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: xen, проброc usb-модема в domu
В Птн, 16/01/2009 в 00:16 +0300, Vladimir Elizarov пишет: Доброго времени суток. Загорелся идеей пробросить usb-модем (Huawei Technologies Co., Ltd. E220 HSDPA Modem / E270 HSDPA/HSUPA Modem) в domu c debian'ом раньше пробрасовал hasp-ключ в HVM, делал это в конфиге примерно так: usb = 1 usbdevice= [ 'host:12d1:1003' ] как понимаю такой способ действует только для hvm-доменов и для domu он не покатит. Собсвенно вопрос как пробросить usb-устройство в domu? Как-то так я и делал. Не удалось: пробросить PCI-устройство (USB-контроллер) Удалось: пробросить подключенное USB-устройство, только вынимать его нельзя, иначе перегружать надо было. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ecth. Gnome. Зависает рабочее окружение.
В Чтв, 15/01/2009 в 13:37 -0500, Nicholas пишет: Покотиленко Костик wrote: Если речь идёт о ресурсах нужных только конкретному пользователю, куда ещё их монтировать? Если вы используете mc то можно добавить их в меню по ctrl+tab в .mc/hotlist ENTRY NAS ftp URL /#ftp:xxx:y...@192.168.1.4 ENTRY NAS samba URL /#smb:xxx:y...@192.168.1.4 ENTRY NAS sh URL /#sh:r...@192.168.1.4 (в последнем случае, авторизация по ключам в .ssh/known_hosts) при выборе пункта в меню, mc сам делает mount. Лично меня от mc коробит. Тем не менее, вместо красивого решения Вы предлагаете в каждой программе свой костыль использовать. А дело-то в одном таймауте... -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ecth. Gnome. Зависает рабочее окружение.
В Чтв, 15/01/2009 в 23:07 +0300, Evgeniy M. Solodookhin пишет: ,-[Thu, Jan 15, 2009 at 19:10 +0200, Покотиленко Костик:] |В Чтв, 15/01/2009 в 12:40 +0300, Alexander Tiurin пишет: | 15 января 2009 г. 12:17 пользователь Покотиленко Костик написал: | | | Такое ещё бывает, если в домашней папке подмонтирован сетевой ресурс, | который сейчас не доступен. | | | По ходу, монтировать сетевые ресурсы в хомяки это экстрим. | у меня все хомяки с сервера по нфс монтируются пользователям. и я считаю, что ето - правильно. настройка новой машины или нового места человеку занимает минут пять - запись в фстаб и - вуаля. |Если речь идёт о ресурсах нужных только конкретному пользователю, куда |ещё их монтировать? я плюнул на идеологию и сетевые ресурсы кидаю пользователям в /media/network_folders почему нет, если они там не мешаются? а в /mnt уж дюже удобно делать разовые монтирования --- неохота терять привычную такую папку. |У меня (сейчас побьют) шары мотрируются при логине в ~/Desktop/Сетевые |(так в Гноме удобнее), так вот если какая-то шара испытывает сетевые |проблемы, почти все проги тупят. | ну да, а что ж им делать? ) |Бывает это не часто, а если и бывает - лично для меня, как для |сисадмина, это хороший индикатор куда-то бежать. :) точно, плюс к тому --- свитчи просто не стоит брать дешевые и сажать их надо на упсы. за последний год зависаний по вине свитча было всего штук пять двумя сеансами: осыпались последние два дешевых свитча -- суреком 8 портс (работал долго) , да компекс 216 ( отвратный свитч кстати : два когда то было и два сдохло. оба проработали по полгода). | |Я, к стати, подымал топик о том как уменьшить таймауты у samba'ы, но из |советов были только - ставь nfs. | если мне память не изменяет, вопрос стоял -- шары с линукса на линукс через самбу. вот я как то думаю, что тут на идеологию не плюнуть: винда у меня ходит через самбу, линукс ходит через нфс. шары одни и те же. не то чтоб я исключительно якал, но как то кажется, что так правильней. Не уверен. На многие шары стоит force group = *somegroup*, так чтобы остальные не теряли прав. Могу я повторить 100% такое поведение samba'ы на nfs? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Возможна ли поддержка тиклем юникода?
В Птн, 16/01/2009 в 12:49 +0200, Serhiy Storchaka пишет: Alexander GQ Gerasiov wrote: Ну так есть же правила русского языка - там написано ясно: в детских книгах - везде, в нормальных - по месту, чтобы исключить неправильное прочтение. Закавыка в том, что если можно употреблять «ё» для исключения неоднозначного прочтения «ё», то при таких правилах нету специальной буквы для неоднозначного прочтения «е». Проблема не только в неправильном прочтении «е» вместо «ё», но уже и в неправильном прочтении «ё» вместо «е». Правило простое, сам пользуюсь: если в тексте есть хоть одна ё - читаешь как написано, если нет - ... перебором более подходящего :) -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ecth. Gnome. Зависает рабочее окружение.
В Чтв, 15/01/2009 в 14:48 +0700, Alexey Trunyov пишет: On Tue, 13 Jan 2009 14:09:56 +0300 Alexander Tiurin alexande...@gmail.com wrote: Чего-то стали тупить то ли X, то ли Gnome на Etch. Проявляется тем, что ни одно приложение не реагирует на действие юзера, мышь работает, а ощущение, что комп висит. Хотя по ssh доступ нормальный и видно, что комп простаивает совершенно ни чем не нагруженный. Сделал ctrl-alt-backspace, но иксы опять затупили также минут через 5. Кто-нить сталкивался с этим? rdesktop в этот момент использовался? Такое ещё бывает, если в домашней папке подмонтирован сетевой ресурс, который сейчас не доступен. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Автозапуск в GNOME
В Чтв, 15/01/2009 в 18:12 +0300, Evgeniy M. Solodookhin пишет: ,-[Sat, Dec 06, 2008 at 00:40 +0300, Artem Chuprina:] |max - debian-russian@lists.debian.org @ Fri, 05 Dec 2008 21:18:26 +0200: | | Обычный вариант (Система - ...) не подходит так как /home/user/.gnome* | и т.д. находиться на зашифрованном разделе (как и весь /home) а | монтировать надо сразу после входа, до того как гному потребуются его | файлы настройки. | | m м.б. скрипт запускать при входе в систему из ~/.bashrc ? | |А ключ лежал в кармане брюк, |надежно запертых в сундук. | в принципе, скрипт в .bashrc на локальном диске вполне может отработать, примонтировав домашнюю папку ну и что с того, что он останется под слоем новосмонтированного раздела? :) в смысле повтороно же его вызывать не нужно будет? ) в примонтированном крипторазделе вполне может себе находиться другой нужный .bashrc c необходимым наполнением. :) как-то сильно просто -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Mail-server для начинающего
В Чтв, 15/01/2009 в 15:41 +0300, veresk пишет: Возникла задача поднять простенький SMTP-сервер, чтоб отправлять через него почту в головную организацию. Хотя, наверное, потом будут и другие цели. Хотелось бы узнать, какой из серверов лучше поставить новичку в этом почтовом деле. postfix, един раз научишься - на всю жизнь хватит -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ecth. Gnome. Зависает рабочее окружение.
В Чтв, 15/01/2009 в 12:40 +0300, Alexander Tiurin пишет: 15 января 2009 г. 12:17 пользователь Покотиленко Костик написал: Такое ещё бывает, если в домашней папке подмонтирован сетевой ресурс, который сейчас не доступен. По ходу, монтировать сетевые ресурсы в хомяки это экстрим. Если речь идёт о ресурсах нужных только конкретному пользователю, куда ещё их монтировать? У меня (сейчас побьют) шары мотрируются при логине в ~/Desktop/Сетевые (так в Гноме удобнее), так вот если какая-то шара испытывает сетевые проблемы, почти все проги тупят. Бывает это не часто, а если и бывает - лично для меня, как для сисадмина, это хороший индикатор куда-то бежать. :) Я, к стати, подымал топик о том как уменьшить таймауты у samba'ы, но из советов были только - ставь nfs. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Любопытны мнения..
В Чтв, 15/01/2009 в 15:24 +0300, George Shuklin пишет: профессиональные прикладники, которые способны реализовать хороший проект, в основном работают под Windows. Их надо как-то переманивать: более вменяемыми IDE, более удачными библиотеками (желательно кроссплатформенными) и, главное, А вот не надо таких. И так уже превратили линукс в мастдайскую помойку. Без IDE они программировать, видите-ли, не могут! Систему для базовых станций WiMax (Linux) собирают в цигвине, потому что линукса боятся и не понимают, а своих юниксоидов нет. Плакали, кололись, но продолжали жрать кактус. А тут ещё вы их привлекать собираетесь. Ну вот только не надо детей с водой выплёскивать. Опыт всякий важен, и человек, который хорошо знает несколько систем обладает более широким взглядом на то, как это должно работать, чем человек, который всю жизнь привык, что less это больше чем more. ГГ, согласен. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Любопытны мнения..
В Чтв, 15/01/2009 в 17:36 +0600, Mikhail Gusarov пишет: Twas brillig at 14:32:32 15.01.2009 UTC+03 when kmatyuk...@gmail.com did gyre and gimble: KM А чем, по-вашему, мотивированы Free Software разработчики? Чем угодно, в том числе и коммерцией, и удовольствием. Могу точно сказать такое: когда пишешь на заказ, через время удовольствие пропадает. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Любопытны мнения..
В Чтв, 15/01/2009 в 12:54 +0300, Stanislav Kruchinin пишет: Konstantin Matyukhin wrote: кто и как ему будет платить за сделанную работу если разобраться сперва с этим вопросом, то и остальные вполне решаемы Т.е. ничего делать не надо, нужно просто искать богатого дядю, желательно с коммунистическими убеждениями, который возьмет и проспонсирует open source-разработчика не взирая на рыночную ситуацию? Это не подойдет. Я думаю, что прежде всего нужно заинтересовать профессиональных прикладников в Linux как в более удобной платформе для разработки, а бизнес сам подтянется за ними и начнет вкладывать деньги. ..то есть, 5-10 лет работать бесплатно... Так не бывает, люди занимаются тем, за что заплатят сразу. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: монирование файлопомоек
В Вто, 13/01/2009 в 22:42 +0300, George Shuklin пишет: Куда идейно правильно монтировать каталоги (диски?) с следующим содержимым: * мультимедиа архив * каталог неотсортированного (~сотни гигабайт) * каталог торрентов (куда они качаются и где они лежат до сортировки) (~десятки гигабайт). В /media? Или есть более правильные места? /media как сказали для сменных носителей я для таких целей использую /disk -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Имя запущенной программы
В Вто, 06/01/2009 в 01:16 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Monday 05 January 2009 22:38:14 Victor Wagner написал(а): что имеете против dbus? Много чего. Читайте в моем ЖЖ. Там, кстати и альтернатива описана. В первую очередь бинарность и объектно-ориентированность. И то, и другое - необоснованное переусложнение. Объектная ориентированность это слишком большая пушка, чтобы стрелять по таким воробъям. Вы не первый раз подобные слова говорите. Объясните, где же вы видите полезность объектов? Собственно, объект это лишь определенная абстракция, которая предполагает, что 1) кусок кода можно рассматривать независимо от остального кода программы, 2) куском кода можно оперировать независимо от его содержимого. Оба условия наверняка выполняются для отдельной программы, но для куска кода в большом контексте соблюдение этих условий доказать нельзя, т.к. рассматриваемое адресное пространство может быть изменено другим кодом (на скриптовых языках ситуация проще, но на таких языках есть возможность использовать функциональный подход, да и в них можно переопределить какие-либо используемые объектом функции). Имхо объекты бесполезны и следует использовать компоненты - т.е. вместо разделения кода программы на квазизамкнутые области следует разделять большую программу на набор программ. Если 10 лет назад можно было говорить о выигрыше в быстродействии при использовании объектов вместо отдельных программ (хотя и большой вопрос, насколько оправданными были такие заявления, проверить затруднительно), то сегодня это не существенно. Всё зависит от задачи. Если у тебя мощный компьютер, это не значить, что он должен гонять одни и те же бесполезные лупы 90% времени. Ради прикола попробуй написать на Си функцию, которая что-то делает, и сравни время выполнения этой функции 50 раз циклом на Си и вызовом бинаря на bash, perl, ... Кроме того, функциональные языки позволяют загрузить и выполнить код внешней программы, что явно надежнее как в отладке, так и при исполнении (особенно при использовании защищенного интерпретатора или его аналогов) и делает единственное преимущество объектов несостоятельным. Не надёжнее и не проще в отладке, если не брать отдельное ПО где это может быть так. P.S. Собственно, мне было бы наплевать на то, кто какие абстракции использует, если бы не появление монстров вроде опенофиса, мозиллы и т.п. Возможность повторного использования такого кода величина бесконечно малая, увы. И сделать в своем приложении поддержку открытого формата OpenDocument ничуть не легче, чем форматов MS Word. Это вопрос оптимизации и конкретной реализации. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: воспроизведе ние видео и compiz
В Вто, 06/01/2009 в 13:41 +0300, Павел Марченко пишет: пробовал не помагает, стоит 8 мегабайт а вместе стой что из оператива хавает дак вообще 256, думаю этого должно быть достаточно для воспроизведения видео Должно хватать. А как можно посмотреть сколько реально на видюхе памяти видно? Просто проверить. 5 января 2009 г. 12:52 пользователь Покотиленко Костик cas...@meteor.dp.ua написал: В Срд, 31/12/2008 в 18:22 +0300, Evgeny M. Zubok пишет: Павел Марченко bbl...@gmail.com writes: The program 'totem' received an X Window System error. This probably reflects a bug in the program. The error was 'BadAlloc (insufficient resources for operation)'. (Details: serial 50 error_code 11 request_code 140 minor_code 19) Хм, у меня нет подобного видеочипа, но, похоже, памяти ему не хватает для того, чтобы видеокартинку положить. Видимо, забито все. Я не знаю, есть ли опция для отключения двойной буферизации в intel. Попробуй ее хотя бы вручную отключить. Не факт, что поможет. Просто когда я писал XVideo, то при ограничении видеопамяти такая же ошибка вылезала. Может быть, есть какая-то возможность ограничить аппетиты compiz в видеопамяти? Может в биосе видео память увеличить? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: aptitude зависает
В Вто, 06/01/2009 в 16:19 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Tuesday 06 January 2009 15:44:49 Alexander Danilov написал(а): Кто-нибудь может подтвердить/опровергнуть подобную зависимость? Что-то похожее у меня наблюдалось с aptitude не помню какой версии, советую проверить зависимость глюка от настроек локали и терминала (u?xterm/u?rxvt/прочее). Вылечилось само через какое-то время, видимо все его зависимости обновились, дело кажется было на etch, а сейчас у меня lenny. У меня на архитектуре arm подобная проблема в lenny. Где Вы такую архитектуру взяли, на какой железке в смысле? Не уж то на телефоне? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Имя запущенной программы
В Срд, 31/12/2008 в 13:56 +0300, Victor Wagner пишет: On 2008.12.31 at 11:39:12 +0200, Eugene V. Lyubimkin wrote: On Wed, Dec 31, 2008 at 10:53:27AM +0300, Victor Wagner wrote: Э, а в какой property написан хост, на котором этот pid искать? Или правильные клиенты это клиенты соблюдающие рекомендации freedesktop.org, авторы которых и понятия не имеют о сетевых возможностяъ X-ов, поэтому изобретают всякие dbus-ы? Я, наверное, сейчас глупый вопрос задам... А разве dbus ограничивается X-овыми приложениями? Помнится, демон от wicd общался с клиентом через dbus, и сомнительно, что в этом демоне было что-то от иксов. Проблема в том, что спецификация D-Bus не учитывает существенной части возможностей X-ов. Точнее, в спецификации кое-какие закладки на эту возможность есть, но в реализации - увы. Да, действительно, единой информационной шины, по которой могли бы общаться как X-овые программы, так и программы, не имеющие GUI в Unix не хватало. Но при разработке спецификаций freedesktop как-то упустили из виду, что десктоп - это ни разу не компьютер. Это набор приложений и аппаратных устройств, с которыми взаимодействует пользователь в рамках сессии, а где физически расположены процессоры, исполняющие данные приложения, пользователя волновать не должно. По хорошему счету понятие сессии кроме дисплея, клавиатуры и мыши (взаимодействие с которыми более-менее успешно виртуализует X-протокол) должно включать в себя как минимум устройства ввода-вывода звука, а как максимум еще и съемные устройства хранения данных, веб-камеру, сканер и так далее. Вместо того чтобы аккуратно расширить X-овое понятие сессии, включив туда все прочие, необходимые современному пользователю, усторойства, и разрабатывать набор протоколов для работы с этим хозяйстовом, понятие сессии безжалостно урезали, практически исключив удаленные приложения из рассмотрения. Понятно, что есть концептуальные трудности, например при работе с файловыми системами в такой гетерогенной сессии. Программу, работающую на удаленной машине мы запускаем именно там, как правило, ровно потому, что она должна работать с данными, содержащимися там. И этот принцип конфликтует с идеей что воткнутая юзером в свой X-терминал флэшка должна быть доступна всем приложениям данной сессии. По Вашему dbus и флэшки раздавать должен? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Имя запущенной программы
В Срд, 31/12/2008 в 10:53 +0300, Victor Wagner пишет: On 2008.12.31 at 00:27:00 +0300, Stanislav Maslovski wrote: Строго говоря, X сервер знает о клиентах только то, что они сами о себе сообщают (так как, например, X сервер и процесс, создавший некое окно, вовсе не обязаны быть запущенными на одной машине). Правильные клиенты сообщают PID в property _NET_WM_PID, по нему можно уже копать дальше. Э, а в какой property написан хост, на котором этот pid искать? Или правильные клиенты это клиенты соблюдающие рекомендации freedesktop.org, авторы которых и понятия не имеют о сетевых возможностяъ X-ов, поэтому изобретают всякие dbus-ы? что имеете против dbus? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблемы написания кроссплатфо рменных приложений
В Чтв, 01/01/2009 в 06:44 +0600, ivan demakov пишет: On Thursday 01 January 2009 04:06:38 Alexey Pechnikov wrote: Сами себе противоречите :-) Если вы знаете что-то удобнее tk, будет интересно услышать. не знаю. tk -- это хорошо. tcl -- плохо. впрочем, был такой тулкит от sun'а, который был реално удобен. щас он тоже есть в линуксе, xview называется. только не используется нигде. Интересно почему... -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Проблемы написания кроссплатфо рменных приложений
В Пнд, 05/01/2009 в 20:36 +0600, ivan demakov пишет: On Monday 05 January 2009 17:12:54 Покотиленко Костик wrote: впрочем, был такой тулкит от sun'а, который был реално удобен. щас он тоже есть в линуксе, xview называется. только не используется нигде. Интересно почему... почему не используется? это как раз понятно любому, кто хоть раз видел внешний вид программы с этим тулкитом ;-) очень причудливо, хотя я слышал мнение, что очень эргономично. но от некоторых вещей нам уже никогда не избавиться, как, например, от клавиатуры qwerty/йцукен ;-) Вот вот. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: воспроизведе ние видео и compiz
В Срд, 31/12/2008 в 18:22 +0300, Evgeny M. Zubok пишет: Павел Марченко bbl...@gmail.com writes: The program 'totem' received an X Window System error. This probably reflects a bug in the program. The error was 'BadAlloc (insufficient resources for operation)'. (Details: serial 50 error_code 11 request_code 140 minor_code 19) Хм, у меня нет подобного видеочипа, но, похоже, памяти ему не хватает для того, чтобы видеокартинку положить. Видимо, забито все. Я не знаю, есть ли опция для отключения двойной буферизации в intel. Попробуй ее хотя бы вручную отключить. Не факт, что поможет. Просто когда я писал XVideo, то при ограничении видеопамяти такая же ошибка вылезала. Может быть, есть какая-то возможность ограничить аппетиты compiz в видеопамяти? Может в биосе видео память увеличить? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Установка дебиан
В Вто, 30/12/2008 в 06:39 +0300, Yuriy Kaminskiy пишет: Victor Wagner wrote: On 2008.12.23 at 14:31:04 -0500, Nicholas wrote: ножно изменитьстрочку: static int max_loop = 30; Можно. Есть много способов чесать правое ухо левой ногой. Использование CD/DVD и их образов для хранения софта один из них. shrug из того, что кто-то очень любит чесать правое ухо левой ногой, вовсе не следует, что ухо можно чесать /только/ ногой. max_loop - это параметр модуля; соответственно, чтобы его поменять ничего хакать не нужно (а когда нужно было хакать - он был #define, а не static int [ЕМНИС]). Заодно и ядро хакать научишься. Не-а. Не научится. Если не ошибаюсь, параметром ядра можно только до 64 увеличить. 64 забито #define'ом в ядре. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: вопрос по jabber/XMPP
В Вто, 30/12/2008 в 00:22 +0300, Stanislav Maslovski пишет: On Mon, Dec 29, 2008 at 11:05:42PM +0500, Murat D. Kadirov wrote: Почитал тут немного по сабжу, но таки не нашол ответа на свой вопрос. Есть две домашнии машинки, на обоих запущен pidgin. Вопрос: существует ли возможность выхода в icq/irc из-под одного эккаунта/ника таким макаром, чтобы все приходящии сообщения дублировались на обоих машинах, ну и соответственно всё, что я буду писать в icq либо irc исходило от одного эккаунта/ника? Разумеется пидгин будет настроен как джаббер-клиент -- транспорт -- icq\irc ? Грубо говоря, чего мне хочется? :) Сижу я за настольным компом переписываюсь с приятелем в icq\irc и тут мне хочется в туалет. Прихватив ноутбук в туалет продолжаю беседу уже там, по окончании туалетных дел, возвращаюсь к настольной машине и продолжаю аккурат с места моего ухода из туалета.. Может так понятнее кому будет. :) Жуть! Это же до чего дойти можно... =) Очень полезная фича, к стати, если она есть, конечно! Сам давно такое искал. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Какую комбинацию клавиш для переключения LAT-RUS участники рассылки используют?
В Вто, 30/12/2008 в 11:15 +0200, Покотиленко Костик пишет: В Вто, 30/12/2008 в 08:55 +0300, Boris Popov пишет: Какую комбинацию клавиш для переключения LAT-RUS участники рассылки используют? Ctrl-Shift Может кто знает как только по правым сделать, как в xrus можно было? Тот вариант мне на 100% нравился, если в прогах есть бинды на ctrl-shift - пользуешься левыми. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: вопрос по jabber/XMPP
В Вто, 30/12/2008 в 13:47 +0300, San_Sanych пишет: Покотиленко Костик пишет: В Вто, 30/12/2008 в 00:22 +0300, Stanislav Maslovski пишет: On Mon, Dec 29, 2008 at 11:05:42PM +0500, Murat D. Kadirov wrote: Почитал тут немного по сабжу, но таки не нашол ответа на свой вопрос. Есть две домашнии машинки, на обоих запущен pidgin. Вопрос: существует ли возможность выхода в icq/irc из-под одного эккаунта/ника таким макаром, чтобы все приходящии сообщения дублировались на обоих машинах, ну и соответственно всё, что я буду писать в icq либо irc исходило от одного эккаунта/ника? Разумеется пидгин будет настроен как джаббер-клиент -- транспорт -- icq\irc ? Грубо говоря, чего мне хочется? :) Сижу я за настольным компом переписываюсь с приятелем в icq\irc и тут мне хочется в туалет. Прихватив ноутбук в туалет продолжаю беседу уже там, по окончании туалетных дел, возвращаюсь к настольной машине и продолжаю аккурат с места моего ухода из туалета.. Может так понятнее кому будет. :) Жуть! Это же до чего дойти можно... =) Очень полезная фича, к стати, если она есть, конечно! Сам давно такое искал. дык запускать centerim/pidgin-txt на каком-либо сервере в screen Сорьки, асю в тексте уже не воспринимаю :( -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Установка дебиан
В Вто, 30/12/2008 в 13:34 +0300, yuri.nefe...@gmail.com пишет:
On Tue, 30 Dec 2008, Покотиленко Костик wrote:
В Вто, 30/12/2008 в 06:39 +0300, Yuriy Kaminskiy пишет:
Victor Wagner wrote:
On 2008.12.23 at 14:31:04 -0500, Nicholas wrote:
ножно изменитьстрочку:
static int max_loop = 30;
Можно. Есть много способов чесать правое ухо левой ногой. Использование
CD/DVD и их образов для хранения софта один из них.
shrug
из того, что кто-то очень любит чесать правое ухо левой ногой, вовсе не
следует, что ухо можно чесать /только/ ногой.
max_loop - это параметр модуля; соответственно, чтобы его поменять
ничего хакать не нужно (а когда нужно было хакать - он был #define, а не
static int [ЕМНИС]).
Заодно и ядро хакать научишься.
Не-а. Не научится.
Если не ошибаюсь, параметром ядра можно только до 64 увеличить. 64
забито #define'ом в ядре.
Ну а исходники посмотреть?
Если я ещё и в исходники ядра по каждой нужде смотреть буду...
Вам видать это ближе, за что и благодарен.
linux/drivers/block/loop.c:
static int max_loop;
module_param(max_loop, int, 0);
MODULE_PARM_DESC(max_loop, Maximum number of loop devices);
if (max_loop 1UL MINORBITS)
return -EINVAL;
То есть максимальное число (1UL MINORBITS -1) = 1048575
На практике, максимальное число ограничено 'minor number',
которое есть char, то есть можно создать только
/dev/loop0 - /dev/loop255
В исходниках же (2.6.24) стоит интересный комментарий:
* (2) if max_loop is not specified, create 8 loop device on module
* load, user can further extend loop device by create dev node
* themselves and have kernel automatically instantiate actual
* device on-demand.
if (max_loop) {
nr = max_loop;
range = max_loop;
} else {
nr = 8;
range = 1UL MINORBITS;
}
Так что, как я понимаю, даже max_loop задавать не обязательно.
Сейчас попробовал:
mknod /dev/loop8 b 7 8
chmod 660 /dev/loop8
mount -t iso9660 -o ro,loop=/dev/loop8 KNOPPIX_V5.1.1CD-2007-01-04-EN.iso
/cdrom
работает...
С той версии видать изменилось. Итак, чтоб подытожить, максимум всё
равно 256, или нет?
--
Покотиленко Костик cas...@meteor.dp.ua
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Решение проблемы регулировки яркости экрана на hp compaq 6720s
В Суб, 27/12/2008 в 13:09 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Saturday 27 December 2008 09:29:40 Artem Chuprina написал(а): AP Что-что, а настроить для себя линукс можно и еще как настроить. А AP вот при возникновении необходимости кому-то свои настройки по AP телефону или на пальцах объяснить, то как бы это сказать.. затык AP возникает - знание есть, а как его передать непонятно. man rsync. Нет, натурально. Вот настройки гнома - это да, хрен воспроизведешь. Или хрен выкусишь нужную. А у меня как раз все просто. Если надо настроить с нуля - выдал все конфиги целиком. Если надо показать конкретную настройку - выкусил строчку или несколько из конфига. Читать и писать можно научить и без книг - хорошо, если бумага есть, но и без нее можно обойтись. Можно ли научить думать, не скажу, но если и можно, то тоже технических средств не нужно. Не знаю, как вы, но я в свое время программировать учился до того, как вообще компьютер увидел - изучая язык программирования как набор правил формальной логики. А у вас выходит, что чему-то научить без технических средств нельзя - компьютер, интернет, rsync - не много ли? А вот обучавшихся на техническом средстве методом тыка нынче большинство и теперь грамотного человека найти проблема, не говоря уже об инженере, программисте и т.п. Имхо современные средства и их создатели (многие системы настолько сложны, что уже как бы существуют сами по себе) склонны к катастрофическому усложнению самых простых вещей, в итоге понять их нереально, остается обмениваться знаниями в виде огромных мануалов и монстрообразных конфигов. Зачастую у себя самого и/или других участников обсуждения замечаю непонимание базовых принципов тех или иных вещей и вижу, как загромождаются идеологии (одна замена детерминированного функционального подхода на стохастический объектный чего стоит - а ведь при сравнении этих подходов разговор ведется об их технической реализации в том или ином языке, а парадигма не рассматривается вовсе). P.S. Несовершенство КДЕ или гнома еще не повод игнорировать их существование, а у вас что получается - гном и кде не даны вам в ощущениях (на ваших компах) и вы полагаете, что их как бы не существует? В чем-то утрирую, конечно, тем не менее, то, что опытный пользователь линукс не может воспроизводимо (sic!) настроить десктопное окружение, имхо есть проблема со многими вытекающими и ее игнорирование приведет в тупик. Или уже привело... Хорошо сказано! -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Решение проблемы регулировки яркости экрана на hp compaq 6720s
В Птн, 26/12/2008 в 23:25 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Friday 26 December 2008 21:31:29 Artem Chuprina написал(а): Дохтур, так я им эта... ПОЛЬЗУЮСЬ. Не настраиваю секретуткам, а пользуюсь. Поэтому настраиваю для себя. Что-что, а настроить для себя линукс можно и еще как настроить. А вот при возникновении необходимости кому-то свои настройки по телефону или на пальцах объяснить, то как бы это сказать.. затык возникает - знание есть, а как его передать непонятно. Примерно как у одной польской писательницы - рецепт такой - возьмите шесть сильных кухонных девок... - вроде все ясно, но на практике невоспроизводимо у большинства читателей, а как реализовать доступными средствами неизвестно. Это я к чему - хотелось бы простоты использования системы и притом полной конфигурируемости как для себя, так и для неискушенных пользователей. Как этого добиться я не знаю, но может быть вы знаете?.. Это про идеальную ОС, такой увы нет. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Срд, 24/12/2008 в 19:40 +0200, brutsky.sergey пишет: Если включено так: http://zyxel.ru/content/support/knowledgebase/KB-1619 что-то я не въеду зачем PPP и на модеме подымать и пропускать из локалки? Какой смысл? Например в случае когда нужно поднять 2 соединения до провайдера. 1 - бесплатное (гостевое) в модеме, работает постоянно, дает доступ к внутренним ресурсам провайдера 2 - платное с компа (из локалки), работает когда включим, дает доступ в мир. Так работает в частности byfly http://byfly.by/ Теперь понятно. Только, как я уже писал, по моему опыту ADSL модемы стабильно работают только в бридже. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Чтв, 25/12/2008 в 14:24 +0300, George Shuklin пишет: 25.12.08, 14:04, Alexander GQ Gerasiov g...@cs.msu.su: Только, как я уже писал, по моему опыту ADSL модемы стабильно работают только в бридже. У тебя довольно странный негативный опыт. Почему-то у значительного числа людей модемы в режиме роутера нормально работают. Есть модемы, которые плохо держат тунель. Например, я на ADSL'ные модемы, которые выдаёт авангард (Питер) слышал уже три нарекания от трёх разных людей. Решилось постановкой более своих модемов (роутеров). С которыми проблем уже не было. Видно мой опыт маленький, однако с PPP легче бороться на своей территории :), а ADSL на свою территорию дорого переносить. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Вто, 23/12/2008 в 19:24 +0300, Grey Fenrir пишет: On Tue, 23 Dec 2008 16:12:42 +0200 Покотиленко Костик wrote: On Tue, 23 Dec 2008 15:18:12 +0200 Покотиленко Костик wrote: А как они подключены все? К каждому пара или [пара:модем мост:локалка:[pppoe1|pppoe2|pppoe3]]? Или ещё как? ADSL-модем берёт парольный инет (медленный) и отдаёт свичу, тот - на локалку. На момеде включено PPoEthrough и на компах можно поднимать второй линк (беспарольный, быстрый, но с ограниченным диапазоном). Это как? Получается модем и как роутер работает со своим PPP и как бридж, благодаря которому дополнительные PPP можно на машинах в локалке подымать? P.S. Google: Не найдено ни одного документа, соответствующего запросу PPoEthrough -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Срд, 24/12/2008 в 13:11 +0200, brutsky.sergey пишет: P.S. Google: Не найдено ни одного документа, соответствующего запросу PPoEthrough http://www.google.com/search?hl=ruq=pppoe+pass+through Если включено так: http://zyxel.ru/content/support/knowledgebase/KB-1619 что-то я не въеду зачем PPP и на модеме подымать и пропускать из локалки? Какой смысл? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Срд, 24/12/2008 в 16:49 +0300, Grey Fenrir пишет: On Wed, 24 Dec 2008 12:06:07 +0200 Покотиленко Костик wrote: В Вто, 23/12/2008 в 19:24 +0300, Grey Fenrir пишет: On Tue, 23 Dec 2008 16:12:42 +0200 Покотиленко Костик wrote: On Tue, 23 Dec 2008 15:18:12 +0200 Покотиленко Костик wrote: А как они подключены все? К каждому пара или [пара:модем мост:локалка:[pppoe1|pppoe2|pppoe3]]? Или ещё как? ADSL-модем берёт парольный инет (медленный) и отдаёт свичу, тот - на локалку. На момеде включено PPoEthrough и на компах можно поднимать второй линк (беспарольный, быстрый, но с ограниченным диапазоном). Это как? Получается модем и как роутер работает со своим PPP и как бридж, благодаря которому дополнительные PPP можно на машинах в локалке подымать? Насколько я понял, дело обстоит именно так. К сожалению, модем не умеет роутить два adsl-линка с одинаковыми vpi/vci (это официальный ответ zyxel). Хакерских прошивок к этой модели нету. Вот и приходится извращаться Не понимаю в чём соль у Вас. Если задача стоит в том, чтобы иметь несколько PPPoE соединений к одному провайдеру по одному модему я бы сделал так: модем в бридж, присоединить его к роутеру, на том подымай сколько хочешь PPPoE по одному ethernet'у. Если Нет роутера, то модем в локалку, и PPPoE на компе, как у Вас по видимому и сделано, только не пойму зачем ещё один PPPoE на самом модеме? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Срд, 24/12/2008 в 18:16 +0300, Grey Fenrir пишет: On Wed, 24 Dec 2008 16:04:06 +0200 Покотиленко Костик wrote: Не понимаю в чём соль у Вас. Если задача стоит в том, чтобы иметь несколько PPPoE соединений к одному провайдеру по одному модему я бы сделал так: модем в бридж, присоединить его к роутеру, на том подымай сколько хочешь PPPoE по одному ethernet'у. Если Нет роутера, то модем в локалку, и PPPoE на компе, как у Вас по видимому и сделано, только не пойму зачем ещё один PPPoE на самом модеме? Это всё правильно, но это в идеале. А пока люди думают о приобретении роутера, мы имеем локалку, в которой компы вовсе не одновременно работают. Другими словами, сделать роутером один комп никак не получается. С другой стороны, не хотелось бы лазить в настройки клиентов, они (клиенты) периодически меняются. Ко всему прочему, второй (быстрый и ограниченный) линк нужен только буку, который тянет по ночам зеркало. Могу добавить только то, что год назад эксперементы показали, что PPP на модемах живут хорошо, но не долго, а несколько то вообще. Модемы предназначены для домашнего пользователя, который их на ночь выключает. Если нужна бесперебойная работа круглосуточно, модем надо ставить в бридж, а PPP с компа или роутера пускать, так они нормально работают обычно. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Вто, 23/12/2008 в 15:49 +0300, Grey Fenrir пишет: Доброго времени суток. На некотором отдельно взятом компьютере рвётся pppoe-линк (идёт через adsl-modem, pppoe passthough). На компьютере в той же локалке всё пашет. Более того, в момент обрыва (ниже в логе), в логах второго ничего подобного нету, более того, идёт непрерывная закачка. До недавнего времени всё работало нормально, а тут... Подскажите, пожалуйста, куда следует смотреть. -- Grey Fenrir Dec 23 15:26:08 ibem pppd[2718]: CHAP authentication succeeded Dec 23 15:26:08 ibem pppd[2718]: peer from calling number 00:1C:0E:C7:E4:19 authorized Dec 23 15:26:09 ibem pppd[2718]: local IP address 1.3.40.173 Dec 23 15:26:09 ibem pppd[2718]: remote IP address 194.158.203.232 Dec 23 15:26:09 ibem pppd[2718]: primary DNS address 82.209.200.16 Dec 23 15:26:09 ibem pppd[2718]: secondary DNS address 82.209.200.17 Dec 23 15:41:08 ibem pppd[2718]: LCP terminated by peer Dec 23 15:41:08 ibem pppd[2718]: Connect time 15.0 minutes. Dec 23 15:41:08 ibem pppd[2718]: Sent 0 bytes, received 0 bytes. Dec 23 15:41:11 ibem pppd[2718]: Connection terminated. Dec 23 15:41:11 ibem pppd[2718]: Modem hangup Dec 23 15:41:43 ibem pppd[2718]: PPP session is 51569 Dec 23 15:41:43 ibem pppd[2718]: Using interface ppp0 Dec 23 15:41:43 ibem pppd[2718]: Connect: ppp0 -- eth1 Dec 23 15:41:44 ibem pppd[2718]: CHAP authentication succeeded И причём тут PPP? Связь рвётся модем/ADSL/медь/провайдер. А PPP честно пересоединяется. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: voice + webcam
В Вто, 23/12/2008 в 02:50 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Monday 22 December 2008 09:20:40 Mishustin Alexey написал(а): Не могу не сказать слово в защиту Ekiga. Почти каждый день звоню с нее на городской телефон Московской области (из Москвы). Прерываний звука не было вообще ни разу; искажения иногда бывают, но, в общем, быстро проходят. Наверное, имеет значение не только программа, но и SIP-провайдер. Стоило бы уточнить, какой у вас интернет-канал. Насколько мне известно, на канале 64 килобита кроме скайпа ни один воип клиент нормально не работает. Проверял SIP с мобилы (Fring::Symbian) по GPRS на домашний (Ekiga::оффтопикXP) за 64к ADSL: звук отличный, задержка чуть больше чем в GSM. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Установка дебиан
В Вск, 21/12/2008 в 21:38 +0300, Victor Wagner пишет: On 2008.12.21 at 21:00:35 +0300, Dmitri Samsonov wrote: Solovev Alexander пишет: Как записать диски на диск, чтобы при каждой установки система не спрашивала а дайка мне диск номер 1 или диск номер два, надоело в шкаф тянутся, а мануал в котором это описано было не нашел... dd if=/dev/cdrom of=debian.iso mount -o loop debian.iso /mnt/debian echo deb file:///mnt/debian etch main contrib /etc/apt/sources.list Я бы советовал так не делать, а скопировать с дисков пакеты и создать нормальную структуру репозитория с помощью reprepro или dpkg-scanpackages. Тогда этот репозиторий можно будет потом обновлять debmirror-ом. Или хотя бы скопировать тупо cp -a содержимое каждого диска в отдельный каталог, и прописать их все как deb file:// Количество образов которые можно смонтировать с -o loop ограничено, и не стоит тратить этот ресурс на вещи, которые будут прекрасно лежать в обычных каталогах. ISO-шками удобнее и проще. Насчёт обновлений: если появится сеть дополнительными строками в etc/apt/sources.list дописать и всё. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Разрешение 1920х1200 в консоли.
В Вск, 21/12/2008 в 19:10 +0300, Victor Wagner пишет: On 2008.12.21 at 18:12:45 +0300, Иван Лох wrote: Желающие проверить: strace xlogo. Вы часто трассируете xlogo? Запустите какое-нибудь _реальное_ приложение и пропустите вывод stderr через grep gettimeofday|wc -l Ну запустил. xterm А в нем mutt и почту читаю. Вышеуказанная команда говорит 0. Запустил gvim, собранный с lesstif - тоже 0. Запустил xpdf и пролистал им 40-страничный документ с картинками - 6 обращений. Запустил evince и пролистал им тот же документ - 1537 обращений. Запустил djview (единственное что у меня нашлось qt-шное) и пролистал 18-страничный документ - 179 обращений. То есть проблема ни разу не в Xlib, а в gtk и qt. Причем в qt на порядок менее интенсивная, чем в gtk. Классный вывод. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: рвётся связь
В Вто, 23/12/2008 в 17:03 +0300, Grey Fenrir пишет: On Tue, 23 Dec 2008 15:18:12 +0200 Покотиленко Костик wrote: И причём тут PPP? Связь рвётся модем/ADSL/медь/провайдер. А PPP честно пересоединяется. так и выглядит. Но почему злой провайдер рвёт связь только с одним из трёх компов (я обращал внимание, что логи на соседнем _в_тот_же_момент_времени_ ничего криминального не содержали)? А как они подключены все? К каждому пара или [пара:модем мост:локалка:[pppoe1|pppoe2|pppoe3]]? Или ещё как? Скорее всего, у меня какая-то кривая настройка на буке, которая будучи скрещённая с конкретным провайдером выдаёт такой сюрприз.. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: voice + webcam
В Вто, 23/12/2008 в 17:28 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Tuesday 23 December 2008 16:30:09 Покотиленко Костик написал(а): Стоило бы уточнить, какой у вас интернет-канал. Насколько мне известно, на канале 64 килобита кроме скайпа ни один воип клиент нормально не работает. Проверял SIP с мобилы (Fring::Symbian) по GPRS на домашний (Ekiga::оффтопикXP) за 64к ADSL: звук отличный, задержка чуть больше чем в GSM. Неужели допилили?!! Версию Ekiga подскажите, будем проверять. Ekiga была не очень новая, потому как потом поставил новую и она перестала работать вообще (наверно бету ставил ~2 месяца назад). Вообще SIPоп не пользуюсь, просто поставил Fring на телефон и игрался некоторое время. На работе по Wifi жуткие тормоза были, но это потому, что еле берёт, сам удивился, что на 64К отлично работает. А вообще, всё зависит от кодека, GSM, если не ошибаюсь, самый легковесный. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Пропал NAT: Другой случай
В Птн, 19/12/2008 в 10:30 +0300, Александр Владимирович Екимов пишет: Добрый день, All! Целый год гулял в интернете по ноуту через настольный ПК и беды не знал. Настольному говорил: iptables -t nat -A POSTROUTING -s 10.22.99.0/24 -o eth1 -j MASQUERADE Соответственно ноуту давался ip из диапазона 10.22.99.0/24 Внезапно тырнет на ноуте отвалился. tcpdump на настольном при попытке получить что-нибудь из интернета ноутом пишет: listening on wlan0, link-type EN10MB (Ethernet), capture size 96 bytes 10:22:18.041971 IP unix-mobile.local.57091 lbox.local.domain: 38073+ A? weather.noaa.gov. (34) 10:22:18.044092 IP lbox.local.domain unix-mobile.local.57091: 38073 1/3/2 A weather.noaa.gov (139) 10:22:18.150625 IP6 fe80::218:f3ff:fe95:e20e.mdns ff02::fb.mdns: 0[|domain] 10:22:18.150717 IP loop.local.mdns 224.0.0.251.mdns: 0 PTR (QM)? 2.99.22.10.in-addr.arpa. (41) 10:22:18.155304 IP unix-mobile.local.mdns 224.0.0.251.mdns: 0*- [0q] 1/0/0 (Cache flush) PTR[|domain] 10:22:18.274606 IP6 fe80::218:f3ff:fe95:e20e.mdns ff02::fb.mdns: 0[|domain] 10:22:18.274694 IP loop.local.mdns 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42) 10:22:19.278605 IP6 fe80::218:f3ff:fe95:e20e.mdns ff02::fb.mdns: 0[|domain] 10:22:19.278709 IP loop.local.mdns 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42) 10:22:21.282601 IP6 fe80::218:f3ff:fe95:e20e.mdns ff02::fb.mdns: 0[|domain] 10:22:21.282700 IP loop.local.mdns 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42) 10:22:23.040281 arp who-has loop.local tell unix-mobile.local 10:22:23.040300 arp reply loop.local is-at 00:18:f3:95:e2:0e (oui Unknown) 10:22:23.044301 IP unix-mobile.local.57091 lbox.local.domain: 38073+ A? weather.noaa.gov. (34) Эти магические записи до конца я не понимаю. Есть идеи? DNS? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Чтв, 18/12/2008 в 23:37 +0300, Alexey Pechnikov пишет: Hello! Примерно так: у каждого датацентра есть по своей внутренней управляющей сетке, только внутри которой разрешены ssh (и иные вещи типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP), например). А в эту сетку уже пускает openvpn с (назовем её так) машины-файрвола. Хотя у меня немного не так - машина-файрвол через openvpn пускает меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через ssh-agent), а оттуда я уже попадаю в управляющую сетку и захожу на необходимые мне сервера. Если у вас на одной машине и openvpn и openssh то вы тратите время на иллюзию защиты. Установив на одном сервере больше софта, вы теряете в управляемости и получаете больше уязвимостей. В перспективе, да. Но, если в VPN нужен, как без него? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Чтв, 18/12/2008 в 20:56 +0300, Denis B. Afonin пишет: Здравствуйте. On Thu, 18 Dec 2008 17:05:22 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA Именно поэтому после него идет аутентификация по PKI ;) Угу. А теперь подумай, что будет, если этот shared secret скомпрометирован (украли одну из машин, которая его знала). Правильно, ситуация становится эквивалентной ситуации его нет вообще на время, необходимое для доведения нового секрета до всех остальных машин _по альтернативному каналу связи_. Либо, если угроза проникновения с украденной машины выше, все остальные лишаются доступа на то же самое время. Согласен. Shared key - фактически лишь защита от флуда и от посторонних глаз, больше никак её рассматривать нельзя. И с этой задачей он справляется вполне неплохо. Я лишь предлагаю использовать openvpn для доступа к некой промежуточной сети, из-под которой уже можно входить на ssh серверов. Контролировать одну маленькую внутреннюю сеточку намного проще, чем весь интернет.. Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на всегда определиться в тем, что VPN и SSH это разные вещи, они решают разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте вариантов решения конкретной задачи. SSH: даёт доступ на машину VPN: даёт доступ в сеть Разные ведь они. Слои безопасности тоже разные, очень зависит от задачи. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 19/12/2008 в 13:31 +0300, Victor Wagner пишет: On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote: В перспективе, да. Но, если в VPN нужен, как без него? Вообще-то openssh начиная с версии по-моему 4 сам умеет быть VPN Вы про что? Если про -L -R, то это не VPN, а какой-то VPP (Virtual Privat Port). -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Пропал NAT: Другой случай
В Птн, 19/12/2008 в 13:05 +0300, Dmitry Marin пишет: Покотиленко Костик wrote: В Птн, 19/12/2008 в 10:30 +0300, Александр Владимирович Екимов пишет: Добрый день, All! 10:22:21.282700 IP loop.local.mdns 224.0.0.251.mdns: 0 PTR (QM)? 251.0.0.224.in-addr.arpa. (42) 10:22:23.040281 arp who-has loop.local tell unix-mobile.local 10:22:23.040300 arp reply loop.local is-at 00:18:f3:95:e2:0e (oui Unknown) 10:22:23.044301 IP unix-mobile.local.57091 lbox.local.domain: 38073+ A? weather.noaa.gov. (34) Эти магические записи до конца я не понимаю. Есть идеи? DNS? А не zeroconf вдруг заработал? mdns -- это же вроде что-то от Avahi? Надо бы посмотреть чего с интерфейсом творится. Так или иначе, проблема похоже в разрешении имён. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Пропал NAT: Другой случай
В Птн, 19/12/2008 в 14:04 +0300, Dmitry Marin пишет: Александр Владимирович Екимов wrote: Ноут пингует только себя( 10.22.99.2) и настольный ПК( 10.22.99.1) С ноута я могу зайти по ssh на десктоп и все ОК. А дальше все глухо. Не локалки моего провайдера, не тырнета не видит. cat /proc/sys/net/ipv4/ip_forward на десктопе единицу дает? И результат команд в студию host mail.ru и traceroute 65.65.65.65 на десктопе и на ноуте. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 16:27 +0300, Mikhail A Antonov пишет: -[ Покотиленко Костик 17/12/2008 16:05 (GMT +3) Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? fail2ban. Правда оно на питоне и периодически подвисает или кушает много памяти, но как-то не получается воспроизвести почему оно это делает. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP ^^^ that makes too many password failures. It updates firewall rules to reject the IP address. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Чтв, 18/12/2008 в 10:57 +0300, Peter Teslenko пишет: Покотиленко Костик wrote: Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? Есть такое Package: denyhosts State: not installed Version: 2.6-4 Priority: optional Section: net Maintainer: Marco Bertorello ma...@bertorello.ns0.it Uncompressed Size: 442k Depends: lsb-base (= 3.1-10), python, python-central (= 0.6.7) Conflicts: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4 Replaces: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4 Description: a utility to help sys admins thwart ssh crackers DenyHosts is a program that automatically blocks ssh brute-force attacks by adding entries to /etc/hosts.deny. It will also inform Linux administrators about offending hosts, attacked users and suspicious logins. Syncronization with a central server is possible too. Differently from other software that do same work, denyhosts doesn't need support for packet filtering or any other kind of firewall in your kernel Tags: admin::configuring, admin::logging, implemented-in::python, interface::daemon, protocol::ssh, role::program, scope::utility, security::forensics Видел, тоже анализатор логов. Говорят у него на одну функцию больше чем у fail2ban. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 19:54 +0300, Dmitry Marin пишет: George Shuklin wrote: 17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net: VW Увы, если уж мы про remote root exploit, или хотя бы remote shell, VW то его достаточно одного. Во внешнем слое защиты. Ну почему же? Сервер OpenVPN сделать изолированным от всего остального гейтом внутрь. -- Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше. Очень спорно. На портяжении всего прощедшего года неоднократно читал убедительные доказательства, что мультивендорность приносит больше проблем, нежели пользы. Ключевой момент -- поддержка различных устрйоств\программ отнимает больше средств, времени и требует куда больших специальных знаний. Настоящий параноик за ценой не постоит. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Чтв, 18/12/2008 в 13:40 +0300, Mikhail A Antonov пишет: -[ Покотиленко Костик 17/12/2008 16:36 (GMT +3) Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP ^^^ that makes too many password failures. It updates firewall rules to reject the IP address. Тем не менее, ssh оно умеет смотреть. Здесь не сказано что этими логами оно ограничивается. $ aptitude show fail2ban Пакет: fail2ban ... Описание: bans IPs that cause multiple authentication errors Monitors log files (e.g. /var/log/auth.log, /var/log/apache/access.log) and temporarily or persistently bans failure-prone addresses by updating existing firewall rules. ... Это глюк переноса строк в моём письме, подчеркивал я scans log files, и изначально вопрос стоял о ПО НЕ сканирующем логи. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 15:22 +0300, George Shuklin пишет: 17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua: Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Если у них (идиотов) надёжный пароль (не брутящийся по словарю) - то засраными логами и некоторым трафиком (меньшим, чем от долбящихся на 25 порт спамеров). Хотя да, существует особый вид ключей RSA для (вымерших) видов, его в виде апдейта всем выдают. Если же у них (не идиотов) пароль, который ломают даже китайские роботы, то этот не идиот совсем не идиот, а вид, требующий охраны и занесения в Красную Книгу. Алсо, я не понимаю, в чём разница между долбящимися на ssh ботами и долбящимися по pptp на VPN-шлюз роботами. Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как процесс у меня вызывает отвращение, может есть в виде плагинов или ещё чего нечто, что по данным демонов (ssh, smtpd, etc) может делать подобное (вызывать команды iptables), без нудного анализа логов? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Индикатор на USB flash
В Срд, 17/12/2008 в 13:45 +0300, Andrey Melnikoff пишет: Игорь Чумак i.chu...@generali.garant.ua wrote: Andrey Melnikoff пишет: Murat D. Kadirov bander...@gmail.com wrote: [...] PS: Особенно, извращенно смотрится оригиальное желание автора, когда в машине стоит внутренний кард-ридер+винды.. Отмонтировал флешку в кардридере - перезагружайся. Или велком в диспетчер устройств щелкать USB хабами. Под виндами безопасное извлечение устройства приводит к перезагрузке?? Версию виндов, плз. Любая XP. Хорошо - еще раз и медленно. При безопасном извлечении устройства, винда отключает питание на порту USB. Если в этот порт вставленна флешка - то никаких проблем вынуть-вставить её не возникает. Но если этот порт находиться на матери и в него вставлен кард-ридер 21в1 - то прийдеться или перезагрузиться (т.к. разбирать машину и передергивать хвост кардридера это перебор) или дергать все USB хабы в диспетчере устройств. Так понятнее ? Кто-то попутал понятия сменный носитель, сменное устройство и сменный носитель в сменном устройстве :) Я, конечно, кардридерами не пользовался, на на машинах с кардридерами работал: кордридер неслолько в одном в винде показывает несколько сменных носителей, которые отдельно можно безопасно извлечь. То есть если какой-то всё-таки извлечь, то именно этот обратно не вставишь до перезагрузки, правильно? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 18:13 +0600, Mikhail Gusarov пишет: Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and gimble: DBA Минимум - постоянные посторонние записи в логах от ботов, DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с DBA sshguard, все равно анализировать такие логи на попытки DBA несанкционированного доступа врядли будет делом приятным). Минимум неинтересен. Каков максимум? DBA Ну а воспалённый мозг параноика может многое придумать ;) Есть DBA мнение, что системы безопасности должны строиться так, чтобы DBA выложенный на свободный доступ расшифрованный /etc/shadow ничем DBA никому помочь не мог.. Чьё мнение? А главное - какое решение? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Срд, 17/12/2008 в 12:56 +0300, Denis B. Afonin пишет: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) Подробнее можно? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Пнд, 15/12/2008 в 16:16 +0300, Max Kosmach пишет: Покотиленко Костик пишет: Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу сказать, что это как раз вполне часто встречается, к сожалению. И что самое печальное - часто бить таких админов невозможно по тем или иным причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2 и тд. PS. Хотя бывают и более экзотические случаи чем банальный дроп icmp, например мегафоновский 3G до недавноего времени дропал _первый_ пакет, если его размер превышал магическое число 2 с чем-то килобайта. Да, именно 2 с чем-то,а не 14xx/1500.(речь идет о фрагментированном IKE-пакете) Что смешно - режется только первый большой пакет - стоит пройти хотя бы одному пакету и далее можно слать любого размера. Но эти хоть сознаются, что это их баг и они подумают. На крайняк, как тут советовали уже не раз, можно ограничить MTU у себя. Можно, но как тут уже Артем написал - это процесс итерационный - поломалось - минус байт 40 и попробовать еще. Опять поломалось - еще -40 :) Точно :) Но с IPsec (большая мозоль:) все чуть хуже - сертификат-то по любому надо отправить, а они в 1500 байт бывает и не лезут (расширения и т.д.), так что почти всегда требуется корректная работа с фрагментами, а с этим опять у горе-админов проблемы - они считают что фрагментов не существует :( Что одним пакетом обязательно должно? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Пнд, 15/12/2008 в 13:59 +0300, Max Kosmach пишет: Покотиленко Костик пишет: Данная проблема бывает ровно от соединения PMTU discovery с brain-dead администратором. По отдельности оно не ломается. И поскольку хану мы не лечим, то чинить можно только зажиманием MTU. ПК Где почитать можно, я неверное с этой разновидностью не сталкивался? ПК Только что перечитал что есть что: ПК PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, ПК где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ПК ставится DF, и если получен ICMP[Fragmentation needed] значение ПК запоминается на некоторое время. Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему все типы пакетов, про которые он сам ничего не выучил, Fragmentation needed к тебе не вернулся. Сам был зарезан по дороге от того места, где дропнули твой пакет с флагом DF. Угадай с трех раз, что будет. Отослал письмо не дописав, сорьки. Зачем гадать, и так ясно, бить таких админов надо. Только это очень большая редкость когда блокируют исходящие icmp, по сравнению с тем, как блокируют входящие. Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу сказать, что это как раз вполне часто встречается, к сожалению. И что самое печальное - часто бить таких админов невозможно по тем или иным причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2 и тд. PS. Хотя бывают и более экзотические случаи чем банальный дроп icmp, например мегафоновский 3G до недавноего времени дропал _первый_ пакет, если его размер превышал магическое число 2 с чем-то килобайта. Да, именно 2 с чем-то,а не 14xx/1500.(речь идет о фрагментированном IKE-пакете) Что смешно - режется только первый большой пакет - стоит пройти хотя бы одному пакету и далее можно слать любого размера. Но эти хоть сознаются, что это их баг и они подумают. На крайняк, как тут советовали уже не раз, можно ограничить MTU у себя. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: про права на / в initrd от initramfs-tools
В Пнд, 15/12/2008 в 12:16 +0300, sergio пишет: Всем привет. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=503115 помогите убедить товарища, что права на / должны быть 755. Может SE-Linux туда ещё прикрутить... -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Fri, 12 Dec 2008 22:40:33 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 20:16:23 +0200: ПК Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а ПК UDP и остальные как повезёт, или пройдут по PMTU или будут ПК фрагментированы. Есть поправки? Чтобы MSS=PMTU спасло, надо, во-первых, знать это самое PMTU, а во-вторых, настроить его в каждой сессии. Нет, стек сам догадается его настроить, если будет знать значение. Так вот, собственно. Когда у тебя свой туннель и есть проблемы с PMTU discovery, часто стоит подрезать MTU на его входе на 40 байт один-два раза. Если ты сам не brain-dead, твои приложения будут получать PMTU равным MTU твоего туннеля (потому что дальше пакеты такого размера уже пролезают без фрагментирования) и жить спокойно. Как вариант, неплохое решение, я уже говорил. С другой стороні, если все начнут резать MTU, PMTU вымрет. This message was sent using IMP, the Internet Messaging Program. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Fri, 12 Dec 2008 22:35:10 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 20:23:06 +0200: 3) Продвинутые сисадмины по дороге не слышали про PMTU, и вместо возвращения Fragmentation needed пакет просто пропадет. ПК Причём тут тоннель, при встрече с хостом с brain-dead ПК администратором и без тоннеля будут проблемы. Которые PMTU как раз ПК и решает, т.к. если есть Fragmentation needed, он обрабатывается ПК штатным стеком без PMTU. Данная проблема бывает ровно от соединения PMTU discovery с brain-dead администратором. По отдельности оно не ломается. И поскольку хану мы не лечим, то чинить можно только зажиманием MTU. ПК Где почитать можно, я неверное с этой разновидностью не сталкивался? ПК Только что перечитал что есть что: ПК PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, ПК где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ПК ставится DF, и если получен ICMP[Fragmentation needed] значение ПК запоминается на некоторое время. Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему все типы пакетов, про которые он сам ничего не выучил, Fragmentation needed к тебе не вернулся. Сам был зарезан по дороге от того места, где дропнули твой пакет с флагом DF. Угадай с трех раз, что будет. ПК Отослал письмо не дописав, сорьки. ПК Зачем гадать, и так ясно, бить таких админов надо. Только это очень ПК большая редкость когда блокируют исходящие icmp, по сравнению с тем, как ПК блокируют входящие. Если фрагментация потребовалось хопом дальше, то для него этот пакет будет и входящим, и исходящим. Один черт до тебя не дойдет. Согласен. This message was sent using IMP, the Internet Messaging Program. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 09:03 +0300, DamirX пишет: Покотиленко Костик wrote: Это - дыра в локалку. Причем довольно толстая дыра. Тут взлом сервера сразу приводит к получению локального юзера на машине в локалке. И, следовательно, возможности пробовать local exploit. Начнём с того, что я считал в этой задаче важность сервера прилично выше важности компьютера в локальной сети, поэтому взлом сервера считаю полным провалом системы безопасности. Позволю себе вставить слово. Сервер, как описано в задаче - это сервер за пределами локальной сети. Насколько я понимаю, публично-доступные сервисы (на нем запущенные) предоставляют доступ к ПУБЛИЧНЫМ данным. И взлом сервера, хоть и неприятность, но не катастрофа. В локалке-же данные более другие и проникновение злоумышленника в локалку гораздо более серьезная опасность. Эти домыслы позволяют предположить, что важность сервера прилично ниже важности компьютера в локальной сети. Зачем с него бэкапы тогда делать? Бэкапы тогда надо с компа в локалке на сервер делать! :-D -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 13:21 +0300, Stanislav Maslovski пишет: 2008/12/12 Покотиленко Костик cas...@meteor.dp.ua: В Птн, 12/12/2008 в 09:03 +0300, DamirX пишет: Позволю себе вставить слово. Сервер, как описано в задаче - это сервер за пределами локальной сети. Насколько я понимаю, публично-доступные сервисы (на нем запущенные) предоставляют доступ к ПУБЛИЧНЫМ данным. И взлом сервера, хоть и неприятность, но не катастрофа. В локалке-же данные более другие и проникновение злоумышленника в локалку гораздо более серьезная опасность. Эти домыслы позволяют предположить, что важность сервера прилично ниже важности компьютера в локальной сети. Зачем с него бэкапы тогда делать? Бэкапы тогда надо с компа в локалке на сервер делать! :-D Ну ты прям какой-то непонятливый: злые хакеры придут, нагадят, картинку с голой ж.. на главную страницу сайта повесят, а админ -- рpраз и восстановит (вероятно, не без помощи sudo) весь ценный контент из бакапа. И снова в строй! (до новых взломов). Что печально, некоторые так и работают ;) :) -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 14:23 +0300, Artem Chuprina пишет: Покотиленко Костик - Alexey Pechnikov @ Wed, 10 Dec 2008 19:22:04 +0200: VPN это отдельная печальная история и может создать намного больше проблем, чем вариант с ssh. Например? Начиная от проблем с безопасностью ПК Помню только одну проблему с безопасностью, которая и ssh касалась, ПК т.к. ода используют openssl. У openvpn проблема с безопасностью врожденная. Заключается она в том, что аутентификацию он умеет, а авторизацию - нет. Ну, почти. и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. ПК Вы про что? Не слышал такого. Про устройство IP в курсе? Словосочетание фрагментирование пакетов слышал? Что будет, если попытаться затуннелировать пакет максимального для данной физической сети размера, представляешь? Если попытаться затоннелировать пакет максимального для данной физической сети размера, он пройдёт, а если размер пакета IP превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - выкладывайте. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 13:55 +0300, Artem Chuprina пишет: Mikhail Gusarov - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 23:09:00 +0600: AC Вообще я бы с удовольствием совместил rdiff-backup с AC gpg-шифрованием, если оно на это способно... На данный момент AC единственное, что меня не удовлетворяет в этом бэкапе - это то, AC что он не зашифрован. MG duplicity. Я не понял из описания, у него в результате incremental получается прямым, как у tar, или обратным, как у rdiff-backup? tar с шифрованием я и сам умею, тоже мне бином Ньютона... И incremental от tar меня по размеру не смущает. rdiff-backup хорош тем, что полным у него хранится последний бэкап, Если бы rdiff-backup умел сжимать последний полный бэкап - цены бы ему не было. Может кто в курсе как научить? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 14:15 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 19:11:28 +0200: ПК Скажи прямо, почему угробить сервер (вариант со взломом) - хрен с ПК ним, а получить пользователя на компе, который бэкапы хранит - ПК недопустимо? Данные в локалке - ценнее. ПК Я почему-то считаю, что в рамках нормальной рабочей жизни сервера, ПК производить соединения сервер-куда-нибудь безопаснее, чем ПК от-куда-нибудь-сервер, хотя и ловлю себя на мысли, что не могу ПК объяснить почему. В размышлениях о безопасности так нельзя. Интуиция у человека, который не занимается ею несколько лет профессионально, не работает совсем. У профессионала - работает, но хреново. Т.е. когда профессионал чует жопой проблему, он делает стойку. Когда он не чует - он считает, что он чего-то не заметил. А на сравнение интуиция не работает и у профессионала. Если работающая - это не оправдание усложнения, то что может быть оправданием? ПК Оправдание. Только если есть несколько вариантов сделать систему ПК работающей, почему бы не выбрать тот, который: тянет меньше ПК последствий, предрасполагает к дисциплине, потенциально менее опасен? Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем, sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если таки проанализировать всю модель угроз, а не те полтора следствия, которые кто-то случайно заметил. ПК Давай анализировать. ПК При всём при этом sudo *может* быть более простым вариантом в ПК первоначальной настройки, если не принимать во внимание последующее ПК обслуживание. И в обслуживании тоже. Чтобы отобрать у человека права на конкретной машине, мне достаточно вычистить его из sudoers. Если у него там su, т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить его всем, кому его положено знать. Если это более простой вариант, то что такое более сложный? ПК Вопрос про su не стоит, su - это рут, на нём и ответственность. Sudo - ПК это недо-рут, и ответственность на нём [какая на нём ответственность?]. sudo с ALL - это рут. На нем и ответственность. Что сделано - в логе, если не было злого умысла, как правило, можно восстановить, кто что делал. Если не было... sudo с ALL я всегда делал по другому: заводил нового пользователя а-ля fedya-root c UID=0. В логах светится fedya-root, реально это рут, пароли разные, без лишних сущьностей. Надо забрать рута - удали fedya-root, пароли переучивать всем не надо. Вообще если пароль знает 1 человека, это не пароль а так. sudo на конкретную команду - недорут. Ответственность за факт выполнения этой команды - на человеке, которому дано на это право (если это робот - на авторе робота), ответственность за то, что эта команда делает больше, чем задумано - на админе. Факт выполнения - в логе. Все очень четко. Сложно это. ПК Давая команду под sudo, какую ответственность ты налагаешь? Боюсь, ПК что никакую, ибо облом держать таблицу ответственностей с галочками ПК напротив каждой исполняемой команды. Таблица ответственности - ты не поверишь, все тот же файл /etc/sudoers. Там все написано. И все действия в соответствии с оной таблицей запротоколированы. Если мне надо дать возможность (плюс-минус любому) юзеру передернуть, допустим, принт-сервер, я пишу скрипт и пишу в sudoers %users (ALL) = NOPASSWD: /that/script Покажи мне более простое и не более опасное решение. ПК По моему проще разобраться, и сделать так чтобы не надо было ПК передёргивать. Такое решение, опять же, может оказаться и более сложным, и более опасным, и вообще велосипедом с квадратными колесами. Ну, принт-сервер - дело такое, его может быть надо передергивать, если драйвера принтера кривые (разобраться, говоришь? попробуй...). Простое решение: автоматизировать процесс передёргивания, думаю это не сложно. А вот, скажем, апач свои конфиги перечитывает только по пинку, которого ему без рутовых полномочий не дашь. Веб-программисту пинать апач, натурально, положено. Зачем? И положить/поднять тоже. Чем будем заменять sudo? suid-бинарником? SUID - это тот же костыль, только другой. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 18:02 +0600, Mikhail Gusarov пишет: Twas brillig at 13:59:17 12.12.2008 UTC+02 when cas...@meteor.dp.ua did gyre and gimble: ПК - удали fedya-root, ... и вычисти всевозможные закладки, оставленные федей ... Чем в этом случае sudo ALL лучше? Я думаю что ничем, так как имея рута, логи почистить не проблема. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 16:39 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 13:46:22 +0200: VPN это отдельная печальная история и может создать намного больше проблем, чем вариант с ssh. Например? Начиная от проблем с безопасностью ПК Помню только одну проблему с безопасностью, которая и ssh касалась, ПК т.к. ода используют openssl. У openvpn проблема с безопасностью врожденная. Заключается она в том, что аутентификацию он умеет, а авторизацию - нет. Ну, почти. и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. ПК Вы про что? Не слышал такого. Про устройство IP в курсе? Словосочетание фрагментирование пакетов слышал? Что будет, если попытаться затуннелировать пакет максимального для данной физической сети размера, представляешь? ПК Если попытаться затоннелировать пакет максимального для данной ПК физической сети размера, он пройдёт, а если размер пакета IP ПК превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с ПК VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - ПК выкладывайте. Тут есть три варианта: 1) PMTU discovery сработает. Все бы ничего, но делать его придется для каждой сессии. Разве для каждой сессии? 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из заголовков по крайней мере наполовину На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не пролазит, он выбрасывается, а обратно шлётся уведомление, или я не прав? 3) Продвинутые сисадмины по дороге не слышали про PMTU, и вместо возвращения Fragmentation needed пакет просто пропадет. Причём тут тоннель, при встрече с хостом с brain-dead администратором и без тоннеля будут проблемы. Которые PMTU как раз и решает, т.к. если есть Fragmentation needed, он обрабатывается штатным стеком без PMTU. Разумная альтернатива - ограничить MTU на входе туннеля. Вручную, в конфиге. О чем тебе и сказали. Как вариант, забить подходящее значение себе в шаблон конфига. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 16:30 +0300, DamirX пишет: Покотиленко Костик wrote: Что будет, если попытаться затуннелировать пакет максимального для данной физической сети размера, представляешь? Если попытаться затоннелировать пакет максимального для данной физической сети размера, он пройдёт Уверен?? А если немного помедитировать над максимального для данной физической сети размера?? OT: соединение - как труба. Ты можешь вставить друг в друга трубу одинакового диаметра? Надо говорить о каких пакетах речь. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 16:26 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 11:58:50 +0200: Это - дыра в локалку. Причем довольно толстая дыра. Тут взлом сервера сразу приводит к получению локального юзера на машине в локалке. И, следовательно, возможности пробовать local exploit. Начнём с того, что я считал в этой задаче важность сервера прилично выше важности компьютера в локальной сети, поэтому взлом сервера считаю полным провалом системы безопасности. Позволю себе вставить слово. Сервер, как описано в задаче - это сервер за пределами локальной сети. Насколько я понимаю, публично-доступные сервисы (на нем запущенные) предоставляют доступ к ПУБЛИЧНЫМ данным. И взлом сервера, хоть и неприятность, но не катастрофа. В локалке-же данные более другие и проникновение злоумышленника в локалку гораздо более серьезная опасность. Эти домыслы позволяют предположить, что важность сервера прилично ниже важности компьютера в локальной сети. ПК Зачем с него бэкапы тогда делать? Бэкапы тогда надо с компа в локалке на ПК сервер делать! :-D Савсэм глюпий, даа? Тогда сервер будет таким же ценным, как и комп в локалке. Там же будет та же информация. Зачем такую ценность в сеть вообще включать? В сейфе ей место, без Ethernet и 220В. Предлагаю спор по этому методу бэкапов закрыть, мне такая кустарщина не интересна. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 18:01 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 16:12:58 +0200: VPN это отдельная печальная история и может создать намного больше проблем, чем вариант с ssh. Например? Начиная от проблем с безопасностью ПК Помню только одну проблему с безопасностью, которая и ssh касалась, ПК т.к. ода используют openssl. У openvpn проблема с безопасностью врожденная. Заключается она в том, что аутентификацию он умеет, а авторизацию - нет. Ну, почти. и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. ПК Вы про что? Не слышал такого. Про устройство IP в курсе? Словосочетание фрагментирование пакетов слышал? Что будет, если попытаться затуннелировать пакет максимального для данной физической сети размера, представляешь? ПК Если попытаться затоннелировать пакет максимального для данной ПК физической сети размера, он пройдёт, а если размер пакета IP ПК превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с ПК VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - ПК выкладывайте. Тут есть три варианта: 1) PMTU discovery сработает. Все бы ничего, но делать его придется для каждой сессии. ПК Разве для каждой сессии? Угу. PMTU же для разных P, вообще говоря, разный. 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из заголовков по крайней мере наполовину ПК На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не ПК пролазит, он выбрасывается, а обратно шлётся уведомление, или я не ПК прав? Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо специально просить. Причем, если я правильно помню, это даже не IP, а TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто не получится. Правда, в этом я уже не уверен. 3) Продвинутые сисадмины по дороге не слышали про PMTU, и вместо возвращения Fragmentation needed пакет просто пропадет. ПК Причём тут тоннель, при встрече с хостом с brain-dead ПК администратором и без тоннеля будут проблемы. Которые PMTU как раз ПК и решает, т.к. если есть Fragmentation needed, он обрабатывается ПК штатным стеком без PMTU. Данная проблема бывает ровно от соединения PMTU discovery с brain-dead администратором. По отдельности оно не ломается. И поскольку хану мы не лечим, то чинить можно только зажиманием MTU. Где почитать можно, я неверное с этой разновидностью не сталкивался? Только что перечитал что есть что: PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ставится DF, и если получен ICMP[Fragmentation needed] значение запоминается на некоторое время. MSS: поле TCP заголовка указывающее максимальный размер пакета для этой сессии. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 18:01 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 16:12:58 +0200: VPN это отдельная печальная история и может создать намного больше проблем, чем вариант с ssh. Например? Начиная от проблем с безопасностью ПК Помню только одну проблему с безопасностью, которая и ssh касалась, ПК т.к. ода используют openssl. У openvpn проблема с безопасностью врожденная. Заключается она в том, что аутентификацию он умеет, а авторизацию - нет. Ну, почти. и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. ПК Вы про что? Не слышал такого. Про устройство IP в курсе? Словосочетание фрагментирование пакетов слышал? Что будет, если попытаться затуннелировать пакет максимального для данной физической сети размера, представляешь? ПК Если попытаться затоннелировать пакет максимального для данной ПК физической сети размера, он пройдёт, а если размер пакета IP ПК превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с ПК VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - ПК выкладывайте. Тут есть три варианта: 1) PMTU discovery сработает. Все бы ничего, но делать его придется для каждой сессии. ПК Разве для каждой сессии? Угу. PMTU же для разных P, вообще говоря, разный. 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из заголовков по крайней мере наполовину ПК На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не ПК пролазит, он выбрасывается, а обратно шлётся уведомление, или я не ПК прав? Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо специально просить. Причем, если я правильно помню, это даже не IP, а TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто не получится. Правда, в этом я уже не уверен. 3) Продвинутые сисадмины по дороге не слышали про PMTU, и вместо возвращения Fragmentation needed пакет просто пропадет. ПК Причём тут тоннель, при встрече с хостом с brain-dead ПК администратором и без тоннеля будут проблемы. Которые PMTU как раз ПК и решает, т.к. если есть Fragmentation needed, он обрабатывается ПК штатным стеком без PMTU. Данная проблема бывает ровно от соединения PMTU discovery с brain-dead администратором. По отдельности оно не ломается. И поскольку хану мы не лечим, то чинить можно только зажиманием MTU. Где почитать можно, я неверное с этой разновидностью не сталкивался? Только что перечитал что есть что: PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ставится DF, и если получен ICMP[Fragmentation needed] значение запоминается на некоторое время. MSS: поле TCP заголовка указывающее максимальный размер пакета для этой сессии. Такой себе MTU для TCP сессии. Установка MSS=PMTU Помогает на локальном файрволе с пониженным MTU (1500) от того, что на некотором сайте блокируют входящие ICMP[Fragmentation needed]. То есть PMTU помогает избежать лишних ICMP[Fragmentation needed] в вашу сторону, но без них не работает. MSS: помогает от дебильных админов сайтов, лишних ICMP[Fragmentation needed] в их сторону. Кстати, везде пишут, что фрагментация пакетов на роутерах метод древний и вместо него стараются использовать PMTU. Кстати, brain-dead администратор блокирует входящие ICMP[Fragmentation needed], от чего Вам поможет MSS=PMTU. Не знаю как расценивать, если вдруг brain-dead администратор блокирует исходящий ICMP[Fragmentation needed] и сам сидит на PPPoE и как с этим бороться. Ты кстати про этот случай говоришь? Наверно без PMTU пойдёт естественная фрагментация, но, мне кажется таких дебилов надо пинать, чтоб такое мнение не распространялось. Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а UDP и остальные как повезёт, или пройдут по PMTU или будут фрагментированы. Есть поправки? -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 18:08 +0300, Stanislav Maslovski пишет: On Fri, Dec 12, 2008 at 06:01:49PM +0300, Artem Chuprina wrote: ПК На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не ПК пролазит, он выбрасывается, а обратно шлётся уведомление, или я не ПК прав? Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо специально просить. Причем, если я правильно помню, это даже не IP, а TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто не получится. Правда, в этом я уже не уверен. И правильно. Флаг DF (don't fragment) -- из поля Flags IP-заголовка, а не TCP. То есть и для UDP и прочих можно избежать фрагментирования. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Птн, 12/12/2008 в 21:14 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec 2008 19:52:20 +0200: 3) Продвинутые сисадмины по дороге не слышали про PMTU, и вместо возвращения Fragmentation needed пакет просто пропадет. ПК Причём тут тоннель, при встрече с хостом с brain-dead ПК администратором и без тоннеля будут проблемы. Которые PMTU как раз ПК и решает, т.к. если есть Fragmentation needed, он обрабатывается ПК штатным стеком без PMTU. Данная проблема бывает ровно от соединения PMTU discovery с brain-dead администратором. По отдельности оно не ломается. И поскольку хану мы не лечим, то чинить можно только зажиманием MTU. ПК Где почитать можно, я неверное с этой разновидностью не сталкивался? ПК Только что перечитал что есть что: ПК PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, ПК где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ПК ставится DF, и если получен ICMP[Fragmentation needed] значение ПК запоминается на некоторое время. Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему все типы пакетов, про которые он сам ничего не выучил, Fragmentation needed к тебе не вернулся. Сам был зарезан по дороге от того места, где дропнули твой пакет с флагом DF. Угадай с трех раз, что будет. Отослал письмо не дописав, сорьки. Зачем гадать, и так ясно, бить таких админов надо. Только это очень большая редкость когда блокируют исходящие icmp, по сравнению с тем, как блокируют входящие. -- Покотиленко Костик cas...@meteor.dp.ua -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
В Вто, 09/12/2008 в 21:58 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Tue, 09 Dec 2008 19:18:20 +0200: Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. Получим. Если у нас имеется несколько юзеров, которым разрешено sudo ALL, то при увольнении одного из них нужно только deluser сделать. А если бы использовалось su, то пришлось бы менять рутовый пароль и всем остальным админам заучивать новый. ПК Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться ПК временное превышение полномочий, как тут кто-то недавно сказал??? Я ПК вообще ни ситуации такой представить не могу ни смысл самого понятия не ПК могу понять. Кроме конечно того, что это такой себе мега-костыль. Пример. У меня есть сервер в Интернете, и машина в локальной сети, которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh юзером backup по ключу и запускает собственно команду бэкапа, сливающую результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую другую. Предложи другой способ это сделать. Без необходимости открывать доступ снаружи на бэкапящую машину и, следовательно, в локальную сеть. Бэкапящая машина еще много для чего используется, и защищена она в результате не в пример слабее того сервера. Просто: бэкап на сервере делает ПО от рута в место доступное backup с соответствующими правами. ПО на машине в локальной сети просто этот бэкап слизывает под пользователем backup без всяких повышений привилегий. ПК Я понимаю так, что если тебе иногда надо выполнять команды с другими ПК привилегиями - меняй привилегии с подтверждением их обладания (su), в ПК остальных случаях права правильно надо настраивать. Иначе отслеживать у ПК кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический ПК анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет ПК ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за ПК компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может ПК пол страны. Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers. Остальное - его проблемы. Понятно, что ответственность лежит на Васе, но в целом такая система *неоправданно* сложнее. За моим компом пол-офиса может сидеть. Но не под моим логином. У них на нем свои логины есть. Не все такие правильные как ты. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re[2]: sudo ws root
В Вто, 09/12/2008 в 23:51 +0300, Konstantin Tokar пишет: Предложи другой способ это сделать. Без необходимости открывать доступ снаружи на бэкапящую машину и, следовательно, в локальную сеть. Бэкапящая машина еще много для чего используется, и защищена она в результате не в пример слабее того сервера. Положить на машину, которую бэкапим, публичный ключ в рутовый аккаунт, и настроить authorized_host для запуска по этому ключу одной конкретной команды. Получим тот же эффект. Что-то типа command=”rdiff-backup –server” ssh-rsa B3Nz[]iNM= [EMAIL PROTECTED] Один костыль костылее другого. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 12:33 +0300, Artem Chuprina пишет: Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:02:12 +0300: AC Пример. У меня есть сервер в Интернете, и машина в локальной сети, AC которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh AC юзером backup по ключу и запускает собственно команду бэкапа, сливающую AC результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую AC другую. AC Предложи другой способ это сделать. Без необходимости открывать доступ AC снаружи на бэкапящую машину и, следовательно, в локальную сеть. AC Бэкапящая машина еще много для чего используется, и защищена она в AC результате не в пример слабее того сервера. DEO у меня аналогичная задача, но я сделал по другому: DEO на сервере скрипт бакапа работает сам по себе, складывает все в http-шару DEO ну а на бакапящем сервере периодами скачивает по http/rsync DEO архивы бакапа автоматом шифруются gpg-ключем и соответственно DEO никаких проблем в том что они по открытым беспарольным протоколам DEO передаются :) У меня на сервере нет столько ненужного диска. Плохо, если объём данных большой то копирование по сети процесс долгий, за время копирования что-то может измениться. И бэкапы я все же предпочитаю обратно-инкрементные, что таким способом не получается. Возможно правильный способ для Вас: VPN с машины в локалке на сервер, с сервера на машину в локалке backupninja(с rdiff-backup) из-под рута в любого пользователя, или аналогичные схемы. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 13:34 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Tuesday 09 December 2008 21:58:56 Artem Chuprina написал(а): Пример. У меня есть сервер в Интернете, и машина в локальной сети, которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh юзером backup по ключу и запускает собственно команду бэкапа, сливающую результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую другую. Предложи другой способ это сделать. Если нужна _передача информации_, зачем давать доступ к _управлению_ сервером (шелл)? +1 -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
В Срд, 10/12/2008 в 13:27 +0300, Dmitri Samsonov пишет: Игорь Чумак пишет: Лампочка светится == вынимать нельзя Лампочка не светится == вынимать можно Так правильно. То, что это правильно -- взято из инструкции к флешке или из изучения принципиальной схемы? (-: А вот вырубать питание устройства, когда его попросили ТОЛЬКО отмонтировать -- очевидно неправильно. Потому что по unmount обесточивать никто не просил. unmount обесточиванием вообще не занимается. USB для извлечения в обесточивании по стандарту не нуждается, в реализациях бывает всякое... -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 12:31 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 10:47:01 +0200: Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. Получим. Если у нас имеется несколько юзеров, которым разрешено sudo ALL, то при увольнении одного из них нужно только deluser сделать. А если бы использовалось su, то пришлось бы менять рутовый пароль и всем остальным админам заучивать новый. ПК Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться ПК временное превышение полномочий, как тут кто-то недавно сказал??? Я ПК вообще ни ситуации такой представить не могу ни смысл самого понятия не ПК могу понять. Кроме конечно того, что это такой себе мега-костыль. Пример. У меня есть сервер в Интернете, и машина в локальной сети, которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh юзером backup по ключу и запускает собственно команду бэкапа, сливающую результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую другую. Предложи другой способ это сделать. Без необходимости открывать доступ снаружи на бэкапящую машину и, следовательно, в локальную сеть. Бэкапящая машина еще много для чего используется, и защищена она в результате не в пример слабее того сервера. ПК Просто: бэкап на сервере делает ПО от рута в место доступное backup с ПК соответствующими правами. ПО на машине в локальной сети просто этот ПК бэкап слизывает под пользователем backup без всяких повышений ПК привилегий. 1. Диск на сервере не резиновый. Места под бэкапы там нет. Слова сливающую результат в этот ssh в моем письме были по делу, а не для красного словца. 2. Обратно-инкрементные бэкапы (то, что дает rdiff-backup или rsnapshot) по такой схеме делать невозможно. Если загвоздка в том, что не хочется делать коннект Сервер-Бэкап, решение я написал другим письмом: VPN Бэкап-Сервер, rdiff-backup Сервер-Бэкап через VPN. ПК Я понимаю так, что если тебе иногда надо выполнять команды с другими ПК привилегиями - меняй привилегии с подтверждением их обладания (su), в ПК остальных случаях права правильно надо настраивать. Иначе отслеживать у ПК кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический ПК анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет ПК ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за ПК компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может ПК пол страны. Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers. Остальное - его проблемы. ПК Понятно, что ответственность лежит на Васе, но в целом такая система ПК *неоправданно* сложнее. За моим компом пол-офиса может сидеть. Но не под моим логином. У них на нем свои логины есть. ПК Не все такие правильные как ты. То есть когда по техническим причинам привилегия нужна, а по смыслу - нет. Мне так и не подсказали случаев где решение возможно только в помощью sudo. Мне почему-то кажется, что таких нет. Давайте разберёмся когда техническим причинам привилегия нужна? Если работающая - это не оправдание усложнения, то что может быть оправданием? Оправдание. Только если есть несколько вариантов сделать систему работающей, почему бы не выбрать тот, который: тянет меньше последствий, предрасполагает к дисциплине, потенциально менее опасен? При всём при этом sudo *может* быть более простым вариантом в первоначальной настройки, если не принимать во внимание последующее обслуживание. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 18:20 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:44:02 +0200: ПК Возможно правильный способ для Вас: VPN с машины в локалке на ПК сервер, с сервера на машину в локалке backupninja(с rdiff-backup) ПК из-под рута в любого пользователя, или аналогичные схемы. Это - дыра в локалку. Причем довольно толстая дыра. Тут взлом сервера сразу приводит к получению локального юзера на машине в локалке. И, следовательно, возможности пробовать local exploit. Начнём с того, что я считал в этой задаче важность сервера прилично выше важности компьютера в локальной сети, поэтому взлом сервера считаю полным провалом системы безопасности. Доктор, оно мне надо? Или свою претензию к временному повышению привилегий ты все-таки начнешь с модели угроз? (Да там и закончишь, прямо скажем - как только ты ее распишешь, тебе же все сразу станет гораздо понятнее...) Возможно и начну, если въеду чем и при каких условиях это лучше. Вопросы я начал задавать не из вредности, а потому, что мало об этом знаю и мне интересно. По поводу того способа с бэкапом по ssh: я раньше тоже так делал, и скрипты писал. Постепенно стал переходить в плоскость пользования стандартными инструментами, так как и грабли там стандартные. Под каждую задачку придумывать системку безопасности - сложнее не провтыкать. Надо бэкап - есть средства, надо транспорт - есть средства. Пусть openvpn сложнее по сути в настройке, чем ssh канал, но это только когда ты первый раз это делаешь, потом это даже проще. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 18:33 +0300, Artem Chuprina пишет: Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:56:25 +0200: ПК Если загвоздка в том, что не хочется делать коннект Сервер-Бэкап, ПК решение я написал другим письмом: VPN Бэкап-Сервер, rdiff-backup ПК Сервер-Бэкап через VPN. Я там ответил конкретно, а тут отвечу абстрактно. Ты предложил коннект Сервер-Бэкап. От того, что он делается через VPN, он не перестает быть коннектом Сервер-Бэкап. Я предложил этот вариант, так как мне показалось ты не хочешь/можешь пробросить порт со шлюза локалки на комп в локалке, иначе же, конечно, rdiff-backup по ssh с сервера на комп в локалке от рута на обычного пользователя проще. И без всяких sudo и vpn. Скажи прямо, почему угробить сервер (вариант со взломом) - хрен с ним, а получить пользователя на компе, который бэкапы хранит - недопустимо? Я почему-то считаю, что в рамках нормальной рабочей жизни сервера, производить соединения сервер-куда-нибудь безопаснее, чем от-куда-нибудь-сервер, хотя и ловлю себя на мысли, что не могу объяснить почему. То есть когда по техническим причинам привилегия нужна, а по смыслу - нет. ПК Мне так и не подсказали случаев где решение возможно только в ПК помощью sudo. Мне почему-то кажется, что таких нет. Давайте ПК разберёмся когда техническим причинам привилегия нужна? Всегда возможно сделать решение, которое обойдется без sudo. Не вопрос. Вопрос в том, какова будет цена этого решения, по сравнению с ценой решения на sudo, в интересующих нас параметрах, в первую очередь сложность и безопасность. Вон вышеприведенное тобой решение с VPN - оно и сложнее, и опаснее. Хотя возможно, не вопрос... Если интересно, давай продолжим сравнивать, мне интересно. Если работающая - это не оправдание усложнения, то что может быть оправданием? ПК Оправдание. Только если есть несколько вариантов сделать систему ПК работающей, почему бы не выбрать тот, который: тянет меньше ПК последствий, предрасполагает к дисциплине, потенциально менее опасен? Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем, sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если таки проанализировать всю модель угроз, а не те полтора следствия, которые кто-то случайно заметил. Давай анализировать. ПК При всём при этом sudo *может* быть более простым вариантом в ПК первоначальной настройки, если не принимать во внимание последующее ПК обслуживание. И в обслуживании тоже. Чтобы отобрать у человека права на конкретной машине, мне достаточно вычистить его из sudoers. Если у него там su, т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить его всем, кому его положено знать. Если это более простой вариант, то что такое более сложный? Вопрос про su не стоит, su - это рут, на нём и ответственность. Sudo - это недо-рут, и ответственность на нём [какая на нём ответственность?]. По определению, если ты даёшь кому-то рута, ты ему доверяешь систему. Если ты даёшь команду под sudo - не думаю, что ты ему доверяешь, иначе дал бы рута. Давая команду под sudo, какую ответственность ты налагаешь? Боюсь, что никакую, ибо облом держать таблицу ответственностей с галочками напротив каждой исполняемой команды. Если мне надо дать возможность (плюс-минус любому) юзеру передернуть, допустим, принт-сервер, я пишу скрипт и пишу в sudoers %users (ALL) = NOPASSWD: /that/script Покажи мне более простое и не более опасное решение. По моему проще разобраться, и сделать так чтобы не надо было передёргивать. Решение, конечно, с виду не простое, но... если каждому давать... запутаешься когда-нибудь... Не ты, так твой коллега, когда ты в отпуске будешь. В итоге, может и проще оказаться. Впрочем, нафига я это тебе объясняю?.. Пошли эмоции, не хочешь не объясняй. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 20:10 +0300, Alexey Pechnikov пишет: Hello! В сообщении от Wednesday 10 December 2008 19:08:17 Покотиленко Костик написал(а): VPN это отдельная печальная история и может создать намного больше проблем, чем вариант с ssh. Например? Начиная от проблем с безопасностью Помню только одну проблему с безопасностью, которая и ssh касалась, т.к. ода используют openssl. и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. Вы про что? Не слышал такого. Не говоря уже о создании сети более-менее сложной топологии, когда продакшен и бэкапных серверов более чем по одному каждого и они в разных сетях, причем каждый бэкапный может обращаться более чем к одному продакшен и даже к другим бэкапным. В чем загвоздка? VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток серверов VPN, каждый со своей подсетью, и нужно с клиента одной подсети получить доступ к клиенту другой? А если сервер VPN недоступен? И т.п. Давайте оговоримся, как я уже выше написал, VPN я предложил для решения не той проблемы. VPN, не для всех ситуаций одинаково хорош. Но с клиента одной подсети получить доступ к клиенту другой не сложно, если знаешь ccd, route, iroute... Это, конечно, усложняется тем, что надо адресацию глобально продумывать, но с этого всегда *начинать* надо. P.S. в личку специально или случайно? Случайно. Жал как обычно R в kmail, видно, в вашем письме заголовки как-то нестандартно стояли. Опять в личку. Но раз случайно, я копирую в список. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 16:14 +0300, Иван Лох пишет: On Wed, Dec 10, 2008 at 12:45:29PM +0200, Покотиленко Костик wrote: +1 Если Вам есть, что сказать -- говорите. Нечего -- идите на избирательный участок. Здесь, то зачем в извращенной форме самовыражаться? Вы про что? Про -+1+я тоже? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Срд, 10/12/2008 в 20:59 +0300, Alexey Pechnikov пишет: Hello! и заканчивая настройкой с учетом параметров маршрутизаторов на пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu вроде и проч. Вы про что? Не слышал такого. В зависимости от провайдера приходится несколько настроек openvpn менять. Для работы через волгателеком - одни настройки, через стрим - другие и т.д. Это, к примеру, tun-mtu, а также у кого-то из провайдеров приходится опцию float добавлять, поскольку трафик идет черт знает как и еще есть несколько граблей. Возможно, не встречался. Не говоря уже о создании сети более-менее сложной топологии, когда продакшен и бэкапных серверов более чем по одному каждого и они в разных сетях, причем каждый бэкапный может обращаться более чем к одному продакшен и даже к другим бэкапным. В чем загвоздка? VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток серверов VPN, каждый со своей подсетью, и нужно с клиента одной подсети получить доступ к клиенту другой? А если сервер VPN недоступен? И т.п. Давайте оговоримся, как я уже выше написал, VPN я предложил для решения не той проблемы. VPN, не для всех ситуаций одинаково хорош. Но с клиента одной подсети получить доступ к клиенту другой не сложно, если знаешь ccd, route, iroute... Это, конечно, усложняется тем, что надо адресацию глобально продумывать, но с этого всегда *начинать* надо. Сервера обычно расположены в сетях разных провайдеров, клиенты тоже. Удаленный доступ к серверам есть, к клиентам - нет. И топология сетей уж какая есть, и настройки на клиентах менять нельзя - с какой стати админ той или иной сети будет что-либо ломать в угоду разработчикам? Не совсем въезжаю в ситуацию... Скажу так, я рассматриваю систему в целом: если есть сервер со своими сервисами и его надо бэкаприть, значит есть тот, кто его бэкапит. Они все вместе единая система, разработка которой включая топологию должна вестись комплексно. Конечно, если речь о том, что была система, мы её доработали как могли - тут всякие грабли хороши. Можно менять настройки на серверах (не знаю, как могут помочь ccd, route, iroute с сервака в нижнем новгороде на московский впн-трафик гонять через нескольких операторов по пути) и отправлять клиентам новые конфиги, все. ssh отлично с этой ситуацией справляется, притом для проброса соединения требуется одна команда и никаких настроек. Да, каждый порт пробрасывается отдельно, но на практике все 65 тысяч с гаком возможных портов явно не нужны. Зато топология сети может быть совершенно произвольной. Я обычно, для внутренних целей некого комплекса связки серверов использую приватные адреса, которые роутятся через vpn. Если Вы про это. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 01:33 +0300, Stanislav Kruchinin пишет: Eugene V. Lyubimkin wrote: Stanislav Kruchinin wrote: Все это звучит весьма провокационно. Объясните пожалуйста поподробнее, как ненулевой таймаут способствует получению прав рута из сессии пользователя с ограниченными правами? Какие настройки должны быть при этом у пользователя в /etc/sudoers? sudo при первом запуске запрашивает только пароль юзера, в этом его суть: передать часть прав без передачи рутовского пароля. В трёх словах - любая гадость, запущенная из-под юзера, способна следить за запускаемыми командами. Как только юзер удачно применил sudo, сия гадость может беспрепятственно сделать sudo плохая команда, так как пароль не будет запрошен. За конкретной реализацией прошу к Дмитрию и BTS на sudo. Это скорее не баг, а фича. Если у юзера в /etc/sudoers прописано user ALL=(ALL) ALL и он может после аутентификации запустить любую программу через sudo, значит он уже почти root. Ответственность за запуск того или иного вредоносного скрипта лежит только на нем. Я согласен, что ради большей безопасности этот таймаут лучше сделать нулевым, но тем не менее непонятно, где тут дыра в sudo? Можно подумать, что просто запуская все подряд из root shell нельзя наломать дров. Что уж тогда говорить про Гномовский Брелок... -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Автозапуск в GNOME
В Вто, 09/12/2008 в 10:29 +0300, Roman V. Nikolaev пишет: Окно запущенного мной gnome-terminal появляется моментально после ввода пароля, поверх этой-же формы входа. А когда все смонтировалось и терминал закрылся продолжается загрузка (смена видеорежима и далее Рабочий стол, окна ) Скорее всего это после входа (логина), но до session. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
В Вто, 09/12/2008 в 00:12 +0600, Sergei Stolyarov пишет: On Monday 08 December 2008, Покотиленко Костик wrote: ПК В Пнд, 08/12/2008 в 21:06 +0600, Sergei Stolyarov пишет: ПК On Monday 08 December 2008, [EMAIL PROTECTED] wrote: ПК ПК А тем, что он нестабильный раз, два - webmin поддерживает etch, ubuntu ПК 8.04, Centos 5. А мне нужен в числе прочего webmin . testing я и так в ПК виртуальных машинах ставлю. ПК ПК Релиз убунты гораздо более нестабилен, чем testing. Вы проверяли, что webmin на testing/unstable не работает? ПК ПК А давно webmin в Debian вкладывают? В etch нету. webmin в дебиане нет, какие. Но на офсайте deb-пакеты лежат, поэтому и задал вопрос, работают ли они. Понятно. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
В Вто, 09/12/2008 в 17:27 +0600, Sergei Stolyarov пишет: On Tuesday 09 December 2008, Игорь Чумак wrote: ИЧ Добрый день! ИЧ Вот обратил внимание - под windows при безопасном отключении ИЧ устройства индикатор на флешке гаснет (имхо это правильно). ИЧ А вот под linux - unmount проходит, индикатор продолжает гореть. ИЧ Хотелось бы, чтобы погасание индикатора символизировало корректный ИЧ unmount. Это реально? Попробуйте сказать после umount eject /dev/sda1 или как там у вас называется девайс. Говорить надо из-под суперюзера. И флэшка выпрыгнуть должна :) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Fwd: Re: sudo
В Вто, 09/12/2008 в 15:10 +0200, Andrey S. Rybak пишет: chaos wrote: -- Пересланное сообщение -- Subject: Re: sudo Date: 8 декабря 2008 01:14 From: Илья Таскаев [EMAIL PROTECTED] To: chaos [EMAIL PROTECTED] Было и у меня такое. В общем порылся по форумам, в основном заграничным, и вам кстати советую использовать google. Решение, *кажется* было такое, исправить файл /etc/hosts и записать туда название своей рабочей станции, попутно проверив есть ли там localhost lo и т.д. У меня судо перестала работать, после того как настроил сетку. Во всяком случае у меня было так. На решение повлияло размышление именно над этим ответом. в host_aliase заменил localhost на имя машины - и все заработало. В бекапе однако localhost стоял. кстати в /etc/hosts была строчка 127.0.1.1 name.iop.kiev.ua namе хотя айпи совершенно другой на самом деле. Откуда этот адрес инсталлятор взял - не понятно. Если localhost не (правильно) прописан в /etc/hosts, начинаются проблемы со многими программами, когда-то с OOO долго бился. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 16:18 +0300, Victor Wagner пишет: On 2008.12.09 at 10:26:14 +0300, Dmitry E. Oboukhov wrote: однако в случае с sudo пользователь может и не знать что что-то запускается А вот нефиг всякими гномапи пользоваться. Это для них характерно то, что юзер не знает что и как у него в системе запускается. И дырой в безопасности это будет все равно, пока в системе не заведется интеллект, отличный от юзера, который будет это знать. Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый шелл через su и выдать ему в эмулятор терминала (который продолжает принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую команду. Супер заметил! Защиту от присутствующих шпионов тяжело придумать, травить их надо. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 16:31 +0300, Dmitry E. Oboukhov пишет: однако в случае с sudo пользователь может и не знать что что-то запускается VW А вот нефиг всякими гномапи пользоваться. вот тут +1 -1 VW Это для них характерно то, что юзер не знает что и как у него в системе VW запускается. И дырой в безопасности это будет все равно, пока в системе VW не заведется интеллект, отличный от юзера, который будет это знать. VW Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый VW шелл через su и выдать ему в эмулятор терминала (который продолжает VW принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую VW команду. да тут вариантов масса, sudo на самом деле самый простой :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED] `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 16:20 +0300, Victor Wagner пишет: On 2008.12.09 at 11:17:05 +0300, Grey Fenrir wrote: Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. Получим. Если у нас имеется несколько юзеров, которым разрешено sudo ALL, то при увольнении одного из них нужно только deluser сделать. А если бы использовалось su, то пришлось бы менять рутовый пароль и всем остальным админам заучивать новый. Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться временное превышение полномочий, как тут кто-то недавно сказал??? Я вообще ни ситуации такой представить не могу ни смысл самого понятия не могу понять. Кроме конечно того, что это такой себе мега-костыль. Я понимаю так, что если тебе иногда надо выполнять команды с другими привилегиями - меняй привилегии с подтверждением их обладания (su), в остальных случаях права правильно надо настраивать. Иначе отслеживать у кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может пол страны. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
