[Sysadmins] LDAP, рабочие станции и поряд ок загрузки сервисов
Господа, если кто настраивал аутентификацию пользователей на рабочих станциях в LDAP, могли заметить, что dbus запускается до network, что приводит к несколькоминутному зависанию на запуске dbus, когда идёт попытка обратиться к серверу LDAP при отсутствующей сети. Раз выбран такой порядок запуска, значит чем-то оно мотивировано. Вопрос - чем? Что в network зависит от dbus? -- Stanislav ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] LDAP, рабочие стан ции и порядок загрузки с ервисов
On Fri, 30 Oct 2009 14:43:45 +0500 Stanislav Vlasov wrote: Господа, если кто настраивал аутентификацию пользователей на рабочих станциях в LDAP, могли заметить, что dbus запускается до network, что приводит к несколькоминутному зависанию на запуске dbus, когда идёт попытка обратиться к серверу LDAP при отсутствующей сети. Раз выбран такой порядок запуска, значит чем-то оно мотивировано. Вопрос - чем? Что в network зависит от dbus? В network - ничего. Запуск dbus и hal был сдвинут на как можно раннее время, чтобы раньше запускался NetworkManager, поближе к network. Думаю, можно вполне безболезненно передвинуть их чуть вверх, раз это создает проблемы. Повесьте багу на dbus. -- WBR, Mikhail Efremov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] LDAP, рабочие станции и порядо к загрузки сервисов
30 октября 2009 г. 15:31 пользователь Mikhail Efremov s...@altlinux.ru написал: Что в network зависит от dbus? В network - ничего. Запуск dbus и hal был сдвинут на как можно раннее время, чтобы раньше запускался NetworkManager, поближе к network. Ок. Думаю, можно вполне безболезненно передвинуть их чуть вверх, раз это создает проблемы. Повесьте багу на dbus. Сейчас попробую. Кстати, есть ли в альте что-то подобное дебиановскому reportbug? -- Stanislav ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN и два провайдера
26.10.2009 17:09, Alexander Volkov пишет: On 2009-10-26 14:22:39 +0300, altc...@gmail.com wrote: Протокол какой используете, tcp или udp? udp, как правило, работает только на шлюзе по умолчанию. Можно тут поподробнее ? Почему так ? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN и два провайдера
On 2009-10-30 15:07:14 +0300, Anton Farygin wrote: AF 26.10.2009 17:09, Alexander Volkov пишет: AF On 2009-10-26 14:22:39 +0300, altc...@gmail.com wrote: AF AF AF Протокол какой используете, tcp или udp? AF udp, как правило, работает только на шлюзе AF по умолчанию. AF AF Можно тут поподробнее ? Почему так ? AF А шут его знает ;) но только, похоже, policy routing не работает в случае udp. У меня тоже есть сервера с несколькими выходами наружу, и если приходится подключаться дальше, чем из сети провайдера, не являющегося шлюзом по умолчанию, то работает только tcp. -- Regards, Alexander ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Dovecot deliver: write() failed: File too large
Здравствуйте! Наблюдаю в логах: master deliver(veronika): write() failed with mbox file /home/veronika/mail/data/inbox: File too large Размер этого майлбокса - 2.1Gb, в postfix/main.cf написано: mailbox_command = /usr/lib/dovecot/deliver -d $LOGNAME mailbox_size_limit = 100 Файлы размером, например, в 5Gb на этом же разделе создаются с помощью dd без проблем. # rpm -q postfix postfix-2.4.9-alt0.M41.1 # rpm -q dovecot dovecot-1.0.3.hg20070801-alt1 Что это может быть? -- С уважением, Прокопьев Евгений ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] SYN_RECV флуд и защита от него
Здравствуйте товарищи очень нужна ваша помощь... В последние время очень участились SYN_RECV атаки на мой сервер, а именно на 411 и на 80 -тые порты, сама атака выглядит так: netstat -n tcp0 38 80.222.225.25:411212.92.221.111:1941 SYN_RECV и так может быть до 1-2 тысяч конектов, после чего сервер не успевает обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или несколькольких айпишников... интересует вопрос как это заглушить, может кто поможет со скриптом, я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV если от одного айпи больше 10 syn_recv пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а iptables заставить раз с этого файла брать айпи и дропать их, по истечению некоторого времени файл автоматически чистить, всё это можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход... ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] SYN_RECV ���� � ������ �� ����
Здравствуйте, Виктор. Вы писали 30 октября 2009 г., 22:08:41: В последние время очень участились SYN_RECV атаки на мой сервер, Син флуд наверно? а именно на 411 и на 80 -тые порты, сама атака выглядит так: netstat -n tcp0 38 80.222.225.25:411 212.92.221.111:1941 SYN_RECV Прислали, син, твой сервер ответил и так может быть до 1-2 тысяч конектов, после чего сервер не успевает обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или несколькольких айпишников... Проще всего банально влепить лимит для син пакетов. У тебя и стронг и веб сервер сеть? интересует вопрос как это заглушить, может кто поможет со скриптом, Удалить из системы модуль настройки файр волла, один пень нифига не умеет, и ручками написать пару правил с использованием модуля лимит или рецент. я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV если от одного айпи больше 10 syn_recv пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а iptables заставить раз с этого файла брать айпи и дропать их, по истечению некоторого времени файл автоматически чистить, всё это можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход... Ну не нужно так сложно. Сам иптаблс создаст такой список, и сам его будет чистить. Почитай про модуль рецент. На форуме тебе вроде уже ответили, как это в общих чертах должно выглядеть. Поймали син, занесли в список, поймали аск, выкинули из списка. Поймали много синов, забанели. А 10 это мало. 100 синов с одного айпи в секунду еще не флуд. -- С уважением, MisHel64 mailto:mishe...@bk.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] SYN_RECV флуд и защита от него
Виктор Шумаков wrote:
Здравствуйте товарищи очень нужна ваша помощь...
В последние время очень участились SYN_RECV атаки на мой сервер, а именно на
411 и на 80 -тые порты, сама атака выглядит так:
netstat -n
tcp0 38 80.222.225.25:411212.92.221.111:1941 SYN_RECV
и так может быть до 1-2 тысяч конектов, после чего сервер не успевает
обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или
несколькольких айпишников...
интересует вопрос как это заглушить, может кто поможет со скриптом, я вот думал сделать некий скрипт типа
netstat -n |grep SYN_RECV если от одного айпи больше 10 syn_recv пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а iptables заставить раз с этого файла брать айпи и дропать их, по истечению некоторого времени файл автоматически чистить, всё это можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход...
Стандартно, отбрасывать пакеты с помощью модуля limit. Можете
попробовать приспособить мой скрипт для блокировки атак на ssh, если
поймёте как он работает.
#!/bin/bash
# file for crackersip
ipfile=/etc/crackersip
# command to restart firewall
cmdfirewallrestart=/bin/firewall
# For debug
wd=${0%${0##*/}}; [ -z $wd ] wd=$PWD
# timeout between connentions into attack in seconds
timeofout=$((15*60))
# minimum connections per attack in times
timesperout=$((50))
# out of ban period in seconds
outofban=$((15*24*60*60))
periodoflog=$((1*24*60*60))
cronfile=/etc/cron.hourly/${0##*/}
log=/var/log/syslog/messages
version=0.1.0
TEST=0
for str in $@; do
case $str in
--help)
cat -EOF
${0##*/}, version $version
usage:
${0##*/} [option]
option are:
--help this message
--version version
--install install the programm
--uninstall uninstall the programm
EOF
exit 0
;;
--version)
cat -EOF
${0##*/}, version $version
Please, send bugreport to kharp...@altlinux.ru
EOF
exit 0
;;
--test)
#log=$wd/messages
TEST=1
;;
--install)
if (( UID != 0 )); then
echo ${0##*/}: install: you need root permission
exit 1;
fi
install -m 755 $0 /bin/${0##*/}
chown root:root /bin/${0##*/}
cat $cronfile -EOF
#!/bin/sh
exec /bin/${0##*/}
EOF
chown root:root $cronfile
chmod 755 $cronfile
exit 0
;;
--uninstall)
if (( UID != 0 )); then
echo ${0##*/}: uninstall: you need root permission
exit 1;
fi
rm -f $cronfile
exec rm -f /bin/${0##*/}
exit 0
;;
*)
echo ${0##*/}: $str: unknown option
exit 1;
;;
esac
done
temp1=$(mktemp /tmp/crackers1.XX)
temp2=$(mktemp /tmp/crackers2.XX)
temp3=$(mktemp /tmp/crackers3.XX)
temp4=$(mktemp /tmp/crackers4.XX)
bzcat $log.1.bz2 | cat - $log | egrep
'sshd.*[[:digit:]]+\.[[:digit:]]+\.[[:digit:]]+\.[[:digit:]]+' $temp2
preline=0
line=1
endline=$(sed -n '$=' $temp2)
curdate=$(date +%s)
while (( $preline != $line )); do
date=$(date --date=$(tail -n $line $temp2 | sed -n '1p' | sed
's/sshd.*//;s/[[:space:]]*$//;s/[[:alnum:]]*$//') +%s)
if (( $((curdate-periodoflog))$date )); then
mark=line++
if (( $preline$line )); then
mark=int; ((tline=line)); line=$(( (preline+line)/2 ));
((preline=tline));
else
mark=ext; ((tline=line)); line=$(( line+(line-preline)*2 ));
((preline=tline));
fi
else
mark=line--
if (( $preline$line )); then
mark=ext; ((tline=line)); line=$(( line-(preline-line)/2 ));
((preline=tline));
else
mark=int; ((tline=line)); line=$(( (preline+line)/2 ));
((preline=tline));
fi
fi
((TEST)) echo $line
(( line1 )) ((line=1))
(( lineendline )) ((line=$endline))
#(( preline == line )) break
done
tail -n $line $temp2 $temp1
((TEST)) echo Source | cat - $temp1 | less
((TEST)) wc -l $temp1
# extract date
sed 's/sshd.*//;s/[[:space:]]*$//;s/[[:alnum:]]*$//' $temp1 $temp2
((TEST)) echo Date | cat - $temp2 | less
((TEST)) wc -l $temp2
date --file=$temp2 +%s $temp3;
((TEST)) wc -l $temp3
#echo | cat - $temp3 | sed s/$/\n/ | sed '1d;' | cat -n | sed '1d;n;d;'
$temp2
sed s/^/\n/ $temp3 | cat -n | sed '1d;n;d;' $temp2
((TEST)) echo Numeric date even | cat - $temp2 | less
((TEST)) wc -l $temp2
# extract ip
#cat $temp1 | while read str; do str=$(echo $str | sed
'h;s/\[[[:digit:]]\+\.[[:digit:]]\+\.[[:digit:]]\+\.[[:digit:]]\+\]/ab/;ta;h;bb;:a;s/.*a//;s/b.*//;:b;s/[[:digit:]]\+\.[[:digit:]]\+\.[[:digit:]]\+\.[[:digit:]]\+/ab/;s/.*a//;s/b.*//;');
[ -z $str ] exit; done;
sed
[Sysadmins] Fw: Re: SYN_RECV флуд и защит а от него
Проще всего банально влепить лимит для син пакетов. У тебя и стронг и веб сервер сеть? можно более конкретный вид комманды в iptables для этого, если не трудно. Если речь идёт о connlimit то не прокатывает, на практике ограничение ним даже до двух всего лиш приглушает атаку, но не устраняет... Ну не нужно так сложно. Сам иптаблс создаст такой список, и сам его будет чистить. Почитай про модуль рецент. спасибо, сейчас читаю, но почиму то не вижу в нем прямой зависимости в решении моей проблемы... ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Fw: Re: SYN_RECV ���� � ������ �� ����
Здравствуйте, Виктор. Вы писали 30 октября 2009 г., 23:19:41: Проще всего банально влепить лимит для син пакетов. У тебя и стронг и веб сервер сеть? можно более конкретный вид комманды в iptables для этого, если не трудно. iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP И попробуй по пинговать свою машину. Если речь идёт о connlimit то не прокатывает, на практике ограничение ним даже до двух всего лиш приглушает атаку, но не устраняет... Странно это. Можно увидеть Ваши правила? Ну не нужно так сложно. Сам иптаблс создаст такой список, и сам его будет чистить. Почитай про модуль рецент. спасибо, сейчас читаю, но почиму то не вижу в нем прямой зависимости в решении моей проблемы... С помощью рецент ты можешь узнать сколько пакетов с заданными условиями прошло через твое правило за последнее время. И если слишком много, то прибивать, или занести в бан линст. Бан нлист сделать то же с помощью этого модуля. -- С уважением, MisHel64 mailto:mishe...@bk.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
