Re: Клонирование системы
28.02.2013 10:41, Eugene Berdnikov пишет: On Thu, Feb 28, 2013 at 09:09:36AM +0400, Mikhail A Antonov wrote: Что будет если поломается бинарник /sbin/udevd или конфиги udev? При обновлении udev резко выключилось питание, ФС побилась, fsck решил что кусок /sbin/udevd уезжает в lost+found. При наличии минимального статического /dev можно починить всё не отходя от кассы. Написал первое что пришло в голову. Если подумать, может быть ещё что-то придумается. Сначала придумайте, как при сбое питания может побиться /sbin/udevd, так чтобы его кусок уехал в lost+found. И расскажите нам, с деталями того, что куда пишется и почему именно в этом месте оно ломается. Не знаю. У меня ни разу не ломалось. Это первое что пришло в голову. Может я и не прав, но статический udev и перенос с mount --bind я всё ещё практикую. Наверное потому что так привык. Если статический /dev больше никому никогда не нужен - ну можете не использовать. Если вдруг столкнётесь с проблемой, когда статический /dev был бы полезен - расскажете. -- Best regards, Mikhail - WWW: http://www.antmix.pp.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
домашний хостинг
доброго всем localtime! камрады, давно подумываю перетащить небольшой сайтец для свалки всякого хлама (фото в основном) на домашний сервер, который все равно шуршит под столом на низких оборотах. что касается собственно веб-сервера, тут все понятно: lighthttpd без всяких лишних приблуд. сайт-то на чистом хтмл, без всякого похапе и прочего барахла. расчетная нагрузка - полтора посещения в неделю. вопросы пока вот какие: - от провайдера что-то еще нужно будет кроме белого айпи? - есть бесплатный домен на .cu.cc, сейчас привязан к стороннему хостингу. что мне нужно будет сделать, чтобы перепривязать его к своему айпи? - как можно отсекать заведомо бредовые запросы на 80-й порт? в iptables, как я понял, регэкспов нет, остается только что-то типа --string GET --string HTTP. в идеале, конечно, хотелось бы на корню фильтровать всякие GET /ololo ..., но это, видимо, проще сделать средствами веб-сервера уже. - еще очень интересует прикручивание ipset, а именно вот в каком варианте: за стук на любой порт кроме 80/443 с любой машины кроме 192.168.0.* юзер отправляется в бан-лист ipset, для которого на все входящие соединения -j DROP. что можно почитать по теме? можно на аглицком, даже лучше, наверно. ну и поскольку там же крутятся p2p, еще парочка вопросов до кучи: - для торрентов будет ли польза от прямых соединений? или лишний порт не открывать? - ежели ed2k (amule) у меня не завелся за nat - поможет ли прямой айпи? - soulseek шибко лучше заработает? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130228155158.658eb...@ulf.tvoe.tv
Re: домашний хостинг
В Thu, 28 Feb 2013 15:51:58 +0400 dimas dimas...@ya.ru пишет: доброго всем localtime! камрады, давно подумываю перетащить небольшой сайтец для свалки всякого хлама (фото в основном) на домашний сервер, который все равно шуршит под столом на низких оборотах. что касается собственно веб-сервера, тут все понятно: lighthttpd без всяких лишних приблуд. сайт-то на чистом хтмл, без всякого похапе и прочего барахла. расчетная нагрузка - полтора посещения в неделю. вопросы пока вот какие: - от провайдера что-то еще нужно будет кроме белого айпи? - есть бесплатный домен на .cu.cc, сейчас привязан к стороннему хостингу. что мне нужно будет сделать, чтобы перепривязать его к своему айпи? - как можно отсекать заведомо бредовые запросы на 80-й порт? в iptables, как я понял, регэкспов нет, остается только что-то типа --string GET --string HTTP. в идеале, конечно, хотелось бы на корню фильтровать всякие GET /ololo ..., но это, видимо, проще сделать средствами веб-сервера уже. - еще очень интересует прикручивание ipset, а именно вот в каком варианте: за стук на любой порт кроме 80/443 с любой машины кроме 192.168.0.* юзер отправляется в бан-лист ipset, для которого на все входящие соединения -j DROP. что можно почитать по теме? можно на аглицком, даже лучше, наверно. ну и поскольку там же крутятся p2p, еще парочка вопросов до кучи: - для торрентов будет ли польза от прямых соединений? или лишний порт не открывать? - ежели ed2k (amule) у меня не завелся за nat - поможет ли прямой айпи? - soulseek шибко лучше заработает? От провайдера нужен будет только белый ip, и ничего больше. После его получания нужно будет его прописать как A запись к имени домена у его владельца (регистратора). После чего счастливый домен будет смотреть на твой ip адрес. =) Заведомо бредовые запросы на 80й порт смысла отсекать нет т к сервер на них будет отвечать скорее всего 404й ошибкой. Если домашний комп будет смотреть в инет под внешним ip напрямую, то наверное имеет смысл сделать фильтр iptables на белый список портов к которым можно конектится извне. Для торректов и прочиз p2p польза от прямых соединений будет весомая. Т е теперь можно будет качать с клиентов, которые сидят за NAT. - еще очень интересует прикручивание ipset, а именно вот в каком варианте: за стук на любой порт кроме 80/443 с любой машины кроме 192.168.0.* юзер отправляется в бан-лист ipset, для которого на все входящие соединения -j DROP. что можно почитать по теме? можно на аглицком, даже лучше, наверно. Я это делал средствами iptables, но как уже точно не смогу вспомнить. Думаю лучше начать с http://www.opennet.ru/docs/RUS/iptables/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130228162413.1d773789@arch97
Re: домашний хостинг
Заведомо бредовые запросы на 80й порт смысла отсекать нет т к сервер на них будет отвечать скорее всего 404й ошибкой. идея в том, чтобы веб-сервер как раз не грезить такой фигней. т.к. iptables все равно задействован, мне кажется, логично было бы отсекать на этом уровне все, что не GET /* HTTP Если домашний комп будет смотреть в инет под внешним ip напрямую, то наверное имеет смысл сделать фильтр iptables на белый список портов к которым можно конектится извне. ну, как-то так и планиурется. что-то типа: если с 192.168.0.* - разрешить (тут еще возможные допущения) если на 80/443 порт - разрешить (туда же нужные для p2p порты) остальные входящие - под запрет и в бан может быть, с --connlimit еще стоит поиграться. и с количеством запросов за единицу времени (через --recent как-то делается) кстати, а есть ли смысл банить негодяев по mac-адресу, а не по айпи, который сегодня один, а завтра другой? Для торректов и прочиз p2p польза от прямых соединений будет весомая. Т е теперь можно будет качать с клиентов, которые сидят за NAT. понял, спасибо Я это делал средствами iptables, но как уже точно не смогу вспомнить. Думаю лучше начать с http://www.opennet.ru/docs/RUS/iptables/ понимание работы iptables какое-никакое есть. просто пишут, что генерировать десятки-сотни записей типа: -A INPUT --src ip каждого гада -j DROP как бы не лучший вариант, будет тормозить адово при большом количестве записей. в общем-то, в описании к ipset и сказано, что он как раз для таких дел придуман и разруливает их гораздо быстрее. да, еще вот интересно: что эффективнее с точки зрения нагрузки: DROP или REJECT? логика подсказывает, что дроп, т.к. атакующий не получает ответа и ждет довольно продолжительное время, пока не отвалиться по таймауту. а при отказе он может тупо долбить снова и снова с весьма малым интервалом. только вот дропнутый пакет удаляется сразу из очереди, или как? а, еще вспомнил: про SYN-флуд и SYN-куки стоит заморачиваться? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130228165125.2b235...@ulf.tvoe.tv
Re: домашний хостинг
В Thu, 28 Feb 2013 16:51:25 +0400 dimas dimas...@ya.ru пишет: Заведомо бредовые запросы на 80й порт смысла отсекать нет т к сервер на них будет отвечать скорее всего 404й ошибкой. идея в том, чтобы веб-сервер как раз не грезить такой фигней. т.к. iptables все равно задействован, мне кажется, логично было бы отсекать на этом уровне все, что не GET /* HTTP Если домашний комп будет смотреть в инет под внешним ip напрямую, то наверное имеет смысл сделать фильтр iptables на белый список портов к которым можно конектится извне. ну, как-то так и планиурется. что-то типа: если с 192.168.0.* - разрешить (тут еще возможные допущения) если на 80/443 порт - разрешить (туда же нужные для p2p порты) остальные входящие - под запрет и в бан может быть, с --connlimit еще стоит поиграться. и с количеством запросов за единицу времени (через --recent как-то делается) кстати, а есть ли смысл банить негодяев по mac-адресу, а не по айпи, который сегодня один, а завтра другой? Для торректов и прочиз p2p польза от прямых соединений будет весомая. Т е теперь можно будет качать с клиентов, которые сидят за NAT. понял, спасибо Я это делал средствами iptables, но как уже точно не смогу вспомнить. Думаю лучше начать с http://www.opennet.ru/docs/RUS/iptables/ понимание работы iptables какое-никакое есть. просто пишут, что генерировать десятки-сотни записей типа: -A INPUT --src ip каждого гада -j DROP как бы не лучший вариант, будет тормозить адово при большом количестве записей. в общем-то, в описании к ipset и сказано, что он как раз для таких дел придуман и разруливает их гораздо быстрее. да, еще вот интересно: что эффективнее с точки зрения нагрузки: DROP или REJECT? логика подсказывает, что дроп, т.к. атакующий не получает ответа и ждет довольно продолжительное время, пока не отвалиться по таймауту. а при отказе он может тупо долбить снова и снова с весьма малым интервалом. только вот дропнутый пакет удаляется сразу из очереди, или как? а, еще вспомнил: про SYN-флуд и SYN-куки стоит заморачиваться? По поводу iptables стоит почитать вот эту статью - http://ru.wikibooks.org/wiki/Iptables#.D0.9C.D0.B0.D1.80.D0.BA.D0.B8.D1.80.D0.BE.D0.B2.D0.BA.D0.B0_.D1.81.D0.BE.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D0.B9 судя по описанию, можно маркировать соединения (а не пакеты), и необходимости во множестве -A INPUT --src ip каждого гада -j DROP не будет. Да и работать это все будет идеологически правильно, без обвязки коровскими скриптами на изменение iptables. Я когда реализовывал, делал по этой статье. Для защиты от ддоса я бы использовал TARPIT. Выдает очень хорошие результаты при сканировании портов =) Банить по mac адресу бессмысленно т к все пакеты, которые приходят к вам на роутер/домашний сервер имеют mac не отправителя пакета, а ближайшего маршрутизатора, который отправил в вашу септь пакет. Т е забанив мак - забанятся все пакеты, которые проходят через него. С SYN флудом не сталкивался, но опять-же после прочтения статьи на викиучебнике думаю многие вопросы как это реализовать отпадут. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130228171202.092ca395@arch97
Re: домашний хостинг
On Thu, Feb 28, 2013 at 04:51:25PM +0400, dimas wrote: мне кажется, логично было бы отсекать на этом уровне все, что не GET /* HTTP Так HTTP request не только из GET с POST (забудем про PUT) состоять может: http://www.w3.org/Protocols/rfc2616/rfc2616-sec5.html -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130228130729.gb13...@osdn.org.ua
po-файлы: статистика
может кто занимался переводами программ на русский. имеется po-файл. нужно в скрипте показать сколько в нем переведено, сколько не переведено, сколько переведено нечетко -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: po-файлы: статистика
msgfmt --statistics *.po 28 февраля 2013 г., 16:52 пользователь Dmitry E. Oboukhov un...@debian.org написал: может кто занимался переводами программ на русский. имеется po-файл. нужно в скрипте показать сколько в нем переведено, сколько не переведено, сколько переведено нечетко -- . ''`. Dmitry E. Oboukhov : :' : email: un...@debian.org jabber://un...@uvw.ru `. `~' GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEAREDAAYFAlEvUwkACgkQq4wAz/jiZTezFgCfWp9EOTt3X4P1f8QGaIltEzTv 1aAAoMqfH4aYd80w4JEfgSaQ24zk9s8K =jiy7 -END PGP SIGNATURE- -- Boris
Re: po-файлы: статистика
msgfmt --statistics *.po спасибо -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Синтез речи в Zabbix
28.02.2013 11:43, Admont пишет: Кто-нибудь прикручивал сабж? Есть ли готовые решения? Искал. Не нашёл. Очень требуется, прежде всего, для создания вау-эффекта. Вроде вcё стандартно - создать action на trigger. В качестве action использовать запуск команды для озвучивания необходимой фразы, например в festival, и воспроизведения. Первый: передача звука. У меня есть браузер, который есть везде и запущен теми, кому это надо. Ну, какой вопрос, такой и ответ. Изначально в вопросе не содержалось даже намёков о том, где именно необходимо проигрывать звук. Я имел ввиду именно замену штатных оповещений. Сервер-то в серверной. Что там проигрывать? Как бы я и не говорил, что команда будет выполняться на сервере. Zabbix-сервер может выполнить команду на любой машине, где установлен Zabbix-клиент. Хм... Включить удалённые команды? Но тоже не вариант: машины, на которых открыт браузер, Zabbix-агента не содержат. Ну я так полагаю, что уже выяснили, что мой способ не самый приемлемый для ваших условий. Хотя, я бы попробовал, наверное, его, дабы не вносить изменения в сам Zabbix. Ставим клиенты на машинах инженеров, добавляем их в группу, а action можно выполнять на группе машин. За предложенный вариант спасибо. Я попробую. К тому же, RHVoice, который я использую для синтеза - кроссплатформенный. И ещё имеется плюс в вашем решении: при большом количестве сетей (а планы слегка глобальные), синтез будет выполняться децентрализованно, т.е. не будет большой нагрузки на сервер. Но, правда, я не замерял нагрузку, так что не могу сказать много ли ресурсов требует синтез. А ещё больший вау-эффект на посетителей со стороны производят разного рода информационные панели, где отображается текущая температура по больнице. Уж больно они внимание приковывают. Есть такое. Я добавил комплексный экран с графиками. :-) Но больше понравилась Карта сети. Кстати, штука не только эффектная, но и весьма удобная. P.S.: Кстати, где возможно найти документацию единым блоком? В PDF на их сайте я нашёл только документацию на Zabbix 1.6 и ранее. А скачать документацию с сайта я смутно представляю как, без написания скрипта, который получает все ссылки (лишняя морока). Меню у них выполнено на JS и ссылок на страницы документации с главной - нет. Не подскажете: может есть где она в скачиваемом виде? В идеале, хотелось бы добавить документацию в WEB-интерфейс. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/512f7de6.70...@yandex.ru
Re: Туннелирование DNS
On 2/27/13, Артём Н. artio...@yandex.ru wrote: 1. Если установлен какой-либо плагин браузера, например, TorButton, DNS запрос всё-равно производится напрямую и открытым текстом? нет
Re: Туннелирование DNS
28.02.2013 21:19, Hleb Valoshka пишет: On 2/27/13, Артём Н. artio...@yandex.ru wrote: 1. Если установлен какой-либо плагин браузера, например, TorButton, DNS запрос всё-равно производится напрямую и открытым текстом? нет Нашёл пока только такое: https://lists.torproject.org/pipermail/tor-talk/2010-July/010024.html https://trac.torproject.org/projects/tor/wiki/doc/Preventing_Tor_DNS_Leaks Как, тот же firefox, делает резолвинг через прокси? У него свой резолвер, а системный он не использует? Где почитать? P.S.: Я сюда случайно написал, тема в рассылке. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/512fa100.8010...@yandex.ru
Re: Синтез речи в Zabbix
Кстати, где возможно найти документацию единым блоком? https://www.zabbix.com/documentation/_export/.odt/ru/1.8/complete -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/512fa58a.5040...@yandex.ru
Re: Туннелирование DNS
Hleb Valoshka: On 2/27/13, Артём Н. artio...@yandex.ru wrote: 1. Если установлен какой-либо плагин браузера, например, TorButton, DNS запрос всё-равно производится напрямую и открытым текстом? нет По-идее нет. Но для большей гарантии, лучше произвести прозрачную торификацию посредством фаервола, если речь идет о сети Tor. На сайте торпроджекта это подробно описано. Тогда, правда, TBB надо отвязать от локальных тора, видалии и т.п. (В tor-browser*/start-tor-browser для этого ./App/vidalia --datadir Data/Vidalia/ -style Cleanlooks заменить на ./App/Firefox/firefox -profile ./Data/profile -style). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/512fc036.5040...@lavabit.com