Re: [Sysadmins] Certbot
В Чт, 28/05/2020 в 17:44 +0300, Vladimir Karpinsky пишет: > Установил и настроил для Appache2 certbot. Думаю прикрутить также к > postfix и dovecot. > > Задумался над вопросом: существует ли автоматический рестарт (reload) > этих сервисов после обновления certbot'ом сертификата? В certbot'е, судя по документации, есть возможность задания нужных действий через опцию --renew-hook - но точно не знаю, не использовал. В dehydrated для обновления сертификатов и перезапуска сервисов есть обработчики - вызывающийся по получению нового сертификата deploy_cert() и по завершению проверки и при необходимости обновления всех сертификатов exit_hook(), - в которых можно делать что угодно. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVZ: 2.6.32-ovz-el-alt168.M80P.2, task vzctl:19720 blocked for more than 120 seconds
В Вс, 11/08/2019 в 18:28 +0400, Sergey пишет: > On Friday 02 August 2019, Nikolay A. Fetisov wrote: > > > > # vzctl enter 3139 > > > enter into CT 3139 failed > > > Unable to open pty: No such file or directory > > > > > > > /dev/pts внутри нет. > > > > В fstab контейнера всё нужное есть? > > Да, но это явно из-за того, что я "vzctl start ..." внутри контейнера > прибивал. Тут понять надо другое - почему он вечно ждёт, видимно, > iptables-restore во-первых, и почему iptables-restore висит. А разве iptables-restore не должен отрабатывать после обработки fstab, причём заметно после? > При том, что потом, если vzctl restart сделать, то всё запускается. > Беда в том, что воспроизвести получается только перезагрузкой хост- > системы, ... Наугад - а это никак не связано с _приостановкой_ VE при перезагрузке? Т.е., у меня _некоторые_ из VE при остановке службы vz уходят не в состояние stopped, а в состоянии suspended - с записью состояния VE в /var/lib/vz/vzreboot/ . Восстановить после перезагрузки HN vz их не может - о чём сообщает и запускает с нуля как обычно. Через vzctl suspend / vzctl resume воспроизвести не получится? > Хотя можно попробовать тестовый сервер сделать и там воспроизвести > попытаться. [JT] А надо ли? С учётом того, что поддержка OpenVZ 6 заканчивается в ноябре этого года? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVZ: 2.6.32-ovz-el-alt168.M80P.2, task vzctl:19720 blocked for more than 120 seconds
Здравствуйте! В Чт, 01/08/2019 в 00:45 +0400, Sergey пишет: > On Saturday 29 June 2019, Sergey wrote: > > Контейнер, при этом, запускается в каком-то виде, по крайней мере, > apache > там работает, ssh тоже, но вот доступ в контейнер не получить: > > # vzctl enter 3139 > enter into CT 3139 failed > Unable to open pty: No such file or directory > /dev/pts внутри нет. В fstab контейнера всё нужное есть? Должно быть что-то типа proc /proc procnosuid,noexec,gid=proc 0 0 devpts /dev/pts devpts nosuid,noexec,gid=tty,mode=620 0 0 shmfs /dev/shm tmpfs size=5% 0 0 Ну или ресурсы контейнера зажаты излишне. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Запуск текущего P8 с ядром ovz-el
В Ср, 15/08/2018 в 12:01 +0300, Шенцев Алексей пишет: > > Повесь багу на p8, p8/udev, к примеру. > На эту тему уже есть #34795 . -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
В Пн, 02/07/2018 в 14:07 +0400, Sergey пишет: > ... > Вообще, у меня без смены CA прошло. Хватило замены клиентских > сертификатов. Значит, на сервере старый OpenSSL. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > > у меня теперь вылезает: > > VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > C=RU, ... > OpenSSL: error:1416F086:SSL > routines:tls_process_server_certificate:certificate verify failed > ... А все сертификаты изменены? И CA перегенерирована? И сертификат CA установлен? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
Здравствуйте! В Чт, 07/06/2018 в 23:10 +0300, Vladimir Karpinsky пишет: > При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал > подключаться с руганью: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md > too weak > > > М.б. альтератор откуда-то из другого места конфиг читает? Уже было здесь в марте: https://lists.altlinux.org/pipermail/sysadmins/2018-March/037921.html https://bugzilla.altlinux.org/show_bug.cgi?id=34441 -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] 2 NVMe in server
Здравствуйте! В Чт, 22/02/2018 в 14:13 +0300, Alexander Volkov пишет: > Поставил давеча два одинаковых SSD в сервер на 2.6.32-ovz-el-alt162: > > Однако, после partprobe /dev/nvme0n1 > ... > появляются разделы и на втором с теми же идентификаторами. > ... Это случайно не libmultipath ? Если он не нужен, но стоит в системе - удаление его не поможет? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Обновление сервера p7->p8
В Пт, 23/09/2016 в 18:14 +0300, Alex Moskalenko пишет: > > У меня не поднимались сетевые интерфейсы на p8 с ядрами 2.6.32-ovz- > el. Проблема похоже в несовместимости этих ядер и новых версий ip. > В etcnet используются конструкции вида $IP -o link show dev $NAME для > определения состояния интерфейса, но на ядвах 2.6.32 они возвращают > invalid argument. при этом ip -o link show (без указания устройства) > отрабатывает штатно. Это несовместимость нового iproute2 со старыми ядрами. Или оставлять iproute2-3.14.0-alt1 примерно годовой давности, или ставить ядро 2.6.32-ovz-el-alt142 , там это решено. Также см. https://bugzilla.altlinux.org/show_bug.cgi?id=32009 - там то же самое, но в разрезе запуска виртуальных серверов с Sisyphus/p8 на старых системах. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] пропали сетевые интерфейсы
В Чт, 16/06/2016 в 08:37 +, Гусев Владислав Юрьевич пишет: > ... > Ядро 2.6.32-el-smp-alt31 Это ядро из состава шестой платформы. Раз обновили систему до седьмой - обновите и ядро. Правда, el-smp там, насколько вижу, нет - т.е. выбирайте или el-def, или ovz-el. На _мой_ взгляд лучше второе - как заметно более свежее. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Копирование баз MySQL
В Вт, 14/04/2015 в 19:14 +0300, Vladimir Karpinsky пишет: Надо на новый сервер перетащить все настройки и базы MySQL. В связи с этим вопрос: можно ли это сделать установкой соответствующих пакетов с последующим копированием /var/lib/mysql? Да, вполне. Если версии MySQL совпадают - базы подхватиться должны, если переписывается _целиком_ /var/lib/mysql/ , с сохранением прав доступа. Копироваться должно, разумеется, при остановленной базе или хотя бы во время 'FLUSH TABLES WITH READ LOCK'. Если базы _целиком_ из таблиц MyISAM - вполне можно переписывать и каталоги отдельных базы. И даже отдельные таблицы. Для InnoDB - только /var/lib/mysql/db/ целиком, для таблиц InnoDB часть описаний лежит вне каталога базы даже при хранении их в отдельных файлах. Единственное, может оказаться, что dump/restore будет быстрее - смотря сколько баз, какие таблицы и индексы, какие машины и через какую сеть оно копируется. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Трансляция TCP пакетов.
В Пт, 07/11/2014 в 12:21 +0300, Андрей Кузнецов пишет: Подскажите на чем можно реализовать следующее: есть железка, которая может работать только в локальной сети /24 (древняя бегущая строка). ... Т.е., понятие шлюза для неё отсутствует, пакеты принимаются только из этой же подсети. Так? . Возможно ли это как нибудь реализовать? Зависит от используемого протокола - TCP или UDP, и от того, насколько часто оно нужно. В целом, нужно что-то, получающее пакет снаружи и ретранслирующее его с внутреннего адреса. Т.е., _не_ DNAT. Так, если используется TCP - то начиная от ssh с пробросом порта (т.е. ssh -L port:IP строки:port шлюз, и подключением к localhost:port ), через xinetd и к отдельным сервисам типа 3proxy. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openssl Heartbleed Bug
В Ср, 30/04/2014 в 23:09 +0600, Vladimir Kamarzin пишет: 09.04.2014, 21:37, Michael A. Kangin mak@: 08.04.2014 21:43, Anton Farygin пишет: Найдена уязвимость в openssl: Простите за глупые вопросы, а всякие-там openvpn'ы это тоже затрагивает? Дополнение: если есть директива tls-auth, то нет. Только если есть гарантия, что ключ TLS-auth не ушёл. Т.е., с учётом того, что при использовании tls-auth этот ключ должен быть у _каждого_ из клиентов - только при наличии полного доверия к _каждому_ из клиентов. См. https://community.openvpn.net/openvpn/wiki/heartbleed , последний пункт. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openssl Heartbleed Bug
В Ср, 09/04/2014 в 19:37 +0400, Michael A. Kangin пишет: 08.04.2014 21:43, Anton Farygin пишет: Найдена уязвимость в openssl: Простите за глупые вопросы, а всякие-там openvpn'ы это тоже затрагивает? Да, так же как и прочие использующие OpenSSL демоны. Обновить библиотеку, перезапустить OpenVPN - он станет использовать новую версию. Для клиентов на Windows - обновлять с сайта на только что вышедший 2.3.3 . -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: kernel local root vulnerability (CVE-2013-2094)
В Ср, 15/05/2013 в 02:35 +0300, Michael Shigorin пишет: В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно Включая _2.6.32_, как минимум 2.6.32-ovz-el. Причём и изнутри контейнеров тоже работает. В 2.6.27, 2.6.18 проблемного кода ещё нет, в 3.8.9, _по-моему_, уже исправлено. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] alt-овкий ovz-шаблон
В Пн, 13/05/2013 в 02:24 +0400, Michael A. Kangin пишет: On 10.05.2013 23:11, Michael Shigorin wrote: Надо бы подровнять и подновить, а вообще хорошо бы услышать, насколько свежий нужен (p7/сизиф) и с чем. p7 нужен, базовый Нечто по состоянию на момент бранчевания - ftp://ftp.ossg.ru/OVZ/altlinux-M70T-x86_64-20130501-minimal.tar.gz Это практически голая система, разве что с glibc-nss, netlist, vim-console и less. Единственное, репозитории надо внутри на p7 перенастроить - ну и обновиться. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] правильный бекап mysql
В Вс, 10/02/2013 в 19:02 +0400, Anton Gorlov пишет: all -а подскажите как правильно бекапить базы mysql.. Вернее не совсем понятно как правильно бекапить хранимки/вьюшки. В дампе почему-то при использовании ключа -R вьюшка как минимум получается заккоментирована Хранимые процедуры в MySQL, во всяком случаев в 5.1, - хранятся в базе mysql, таблица proc - для всех баз; - и по-умолчанию (без ключа --routines) mysqldump их не сохраняет. Вытащить только хранимые процедуры для базы $DB можно чем-то вида /usr/bin/mysqldump --routines --no-create-info --skip-triggers \ --no-data --no-create-db $DB По представлениям - каких-либо вопросов не возникало, mysqldump по-умолчанию их выводит вместе со всем остальным, восстанавливаются они тоже как обычно. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Hetzner hosting
В Втр, 24/07/2012 в 09:38 +0400, Alexander Volkov пишет: Коллеги, кто-нибудь хостинг Hetzner.de использует? ALT устанавливали? Хочется запустить там ovz в привычном окружении. Или не париться и поставить из предлагаемых Debian или CentOS minimal? Ставил, разницы с установкой на другие машины / хостинги нет. Выбирался из предлагаемых систем CentOS, ставился в минимальном варианте и без RAID, далее на второй, свободный HDD заливался установочный диск и в Grub CentOS прописывалась загрузка с него. Далее или перезагрузка с подключенным KVM (были, если не ошибаюсь, серверы EX 8, для которых KVM был постоянно доступен, хотя и очень простой), или дополнительно в Propagator можно передать через cmdline параметры для настройки сети и запуска сервера VNC - обходясь вообще без KVM. Или, как вариант, в чужой системе в /boot записывается ядро и initrd установщика, а всё остальное подгружается по сети с другой машины, и ставится через VNC. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] mysql копирование кусков
В Чтв, 01/03/2012 в 11:07 +0400, Vladimir Karpinsky пишет:
P.S. Не нашёл mysqlhotcopy. В каком пакете искать? Бранч P6.
похоже не запаковали..
Вешать багу, или всё же куда-то отдельно положили? По поиску пока не нашёл.
Вешать, но на другое:
$ grep mysqlhotcopy {noarch,x86_64}/base/contents_index
noarch/base/contents_index:/usr/bin/mysqlhotcopy MySQL-server-perl
x86_64/base/contents_index:/usr/share/man/man1/mysqlhotcopy.1.gz
MySQL-client
Т.е., утилита в MySQL-server-perl, а man к ней - в MySQL-client
--
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] I: PHP TimeZones в M51 и ранее
Здравствуйте! PHP, как отличный язык, всё своё носит с собой. В т.ч. и информацию о временных зонах. Для Sisyphus и M60T/M60P в PHP описание временных зон достаточное свежее, во всяком случае ближайшей ночью проблем с ними не видится. А вот для M51 и ранее, если кратко - $ date Sat Oct 29 20:15:56 MSK 2011 $ echo '?php echo date(c,time()),\n; ?' | php 2011-10-29T20:15:58+04:00 $ echo '?php echo date(c,time()+86400),\n; ?' | php 2011-10-30T19:15:59+03:00 Т.е., видны некоторые проблемы. В Sisyphus ушёл (task #57524), и в M60T, M51, M50, M40 сейчас уйдёт пакет php5-timezonedb, с обновлениями описаний зон до 2011.13 (2011m). С M41 пока вопрос открыт - использовать внешнюю библиотеку php5-5.2.5-alt1.M51.3.5 в ней не хочет. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] I: PHP TimeZones в M51 и ранее
В Сбт, 29/10/2011 в 23:23 +0300, Michael Shigorin пишет: ... С M41 пока вопрос открыт - использовать внешнюю библиотеку php5-5.2.5-alt1.M51.3.5 в ней не хочет. ... 5.2.5-alt1.M41.3.6 только. А на нём хостят? Ну, у меня с ним есть где-то полтора десятка VE, частью с разными веб-интерфейсами типа SVNManager, которые отдельных усилий по переводу на что-либо более новое не заслуживают, частью с таким замечательным кодом, который трогать себе дороже. Остаётся ждать, когда оно отомрёт само. В M41 php5-timezonedb тоже ушёл, он не хочет работать с php-cli, а в mod_php5 база зон подгружается нормально. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблема с Openvpn альт 5
В Птн, 10/12/2010 в 13:50 +0300, Andrew V. Stepanov пишет: Не факт... но может это из-за того что openvpn работает в chroot. Да, из-за этого. Из: /usr/share/doc/openvpn-2.1.3/README.ALT.utf-8 Необходимые файлы надо располагать внутри /var/lib/openvpn вручную. Сертификаты (как и файл конфигурации) располагать внутри chroot не требуется - они считываются один раз в момент запуска сервера, до перехода сервером в chroot и до переключения на непривилегированного пользователя. Список отзывов сертификатов проверяется при каждом подключении клиентов, и может быть обновлён без перезапуска сервера. Поэтому он должен размещаться внутри chroot и быть доступным чтения пользователю openvpn. ... Но попробуйте сначала выполнить: # update_chrooted all Это не поможет, такой автоматики там нет. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OPenVPN Сервер не ви дет сеть клиентов
В Пнд, 29/11/2010 в 19:22 +0200, YuriI Patlasov пишет: Пытаюсь настроить openVPN соединение. Все делал по маном. На всякий случай - в /usr/share/doc/openvpn-2.1.3/README.ALT.utf-8 смотрели? 1) Клиент пингует и видет сервер и сеть сервера. Т.е. канал работает. 2) Сервер видет клиента, но сеть клиента НЕ ВИДЕТ. В файле конфигурации сервера - что-то типа push route 192.168.0.0 255.255.255.0 route 192.168.0.0 255.255.255.0 В ccd-файле конфигурации клиента - что-то типа iroute 192.168.0.0 255.255.255.0 Если надо, чтобы и между клиентами сети виделись - то в файле конфигурации сервера ещё 'client-to-client'. 3) не как не получилось настроить ccd чтоб настройки для каждого клиента свои перечитывал. (права, root окружение и т.д. не помогли) При работе сервера в chroot'е (по-умолчанию из пакета), в файле конфигурации включить ccd: client-config-dir /etc/openvpn/ccd И в /var/lib/openvpn/etc/openvpn/ccd/ добавлять файлы конфигурации клиентов. Имя файла должно _точно_ соответствовать Common Name сертификата. Можно включить ccd-exclusive - тогда в отсутствии файла ccd для клиента подключиться он не сможет. Соответственно, можно точно сказать, находит сервер его, или нет. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Чтв, 28/10/2010 в 12:12 +0300, Gennadii Redko пишет: Да-да - есть X.509 и S/Key как раз для таких случаев. ... Парольная схема авторизации задана в постановке задачи и используется на сторонних неподконтрольных ресурсах. Подменять же прокси-сервере налету схему авторизации при обращении к сайтам - это существенно сложнее даже подмены протокола https - http. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Втр, 26/10/2010 в 19:19 +0300, Dank Bagryantsev пишет: ... Возможно ли каким-либо способом посылать логины-пароли при входе на сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль). Самое простое: если не хотите, чтобы пользователи вводили пароли - вводите их сами. Включите запоминание паролей в браузере - при следующем входе пользователю не надо будет ничего вводить, и знать пароль ему тоже не будет нужно. Захочет ли кто из пользователей специально прикладывать усилия, чтобы вытащить пароль из базы браузера - зависит от квалификации пользователей и ценности учётных данных. Пока у меня мысли, чтобы установить какую-то промежуточную вещь между пользователями и сайтами. Например, nginx. Перехватить обращение к сайту (или локально изменить DNS, или перенаправлением на шлюзе), переслать на nginx. Там всё, кроме страницы авторизации, запрашивать с оригинального сервера, страницу авторизации перенаправлять на свою заглушку. Хотя такие действия подпадают под man-in-the-middle, и насколько легко можно обмануть конкретный сайт - зависит от сайта, от наличия SSL, и т.п. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Срд, 27/10/2010 в 19:49 +0300, Dank Bagryantsev пишет: ... Ситуация осложняется тем, что у меня нет физического доступа к ноутбукам пользователей и они находятся в разных странах Итого, переформулируя/уточняя постановку задачи: есть организация X, использующая N платных веб-сервисов. С этими сервисами работают M сотрудников, которым, соответственно, передаются логины/пароли. Пароли к сервисам выдаются на организацию, одну и ту же учётную запись используют одновременно несколько сотрудников. Причём сотрудники работают удалённо и контролировать их невозможно. Поступающие вместе с счетами на оплату данные по числу входов, запросов, и т.п., даже с указаниями точного времени и IP пользователя, не позволяют понять, кто именно из сотрудников и что именно использовал. Как следствие, при подписывании счетов у руководства возникают смутные подозрения и большое желание ввести учёт и контроль. Так? ... Пока у меня мысли, чтобы установить какую-то промежуточную вещь между пользователями и сайтами. ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от пользователя до контролируемой машины, и уже с неё / через неё - обращение к сайтам. В зависимости от того, что это за сайты, как с ними работают пользователи и т.п. - это действительно может быть или терминал-сервер, или прокси-сервер. Или и то, и другое - своё для разных сайтов. Терминал-сервер будет универсальнее в организации доступа к сайтам - но потребует больше трафика и может вызвать проблемы, например, при необходимости печати или передачи файлов. Прокси-сервер потребует разбора систем авторизации для каждого из сайтов, написания фильтров под них (и изменения этих фильтров при изменениях на сайтах), и дополнительные проблемы в случае использования сайтами SSL. Идея с nginx заманчивая. Случайно нет примера реализации? Готовых рецептов по изменению содержания _запросов_, увы, не скажу. По-идее, можно смотреть в сторону встроенного Perl, в обработчике делать замену (подмену) паролей в запросе, далее передачу запроса на веб-сервер, и возврат полученного ответа клиенту. ... Но да, если сайт доступен только по HTTPS, то этот способ скорее всего не подойдет. По размышлению - а почему нет? По-моему, в proxy_pass можно использовать запросы через https:// . А для nginx сделать свой самоподписанный сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента таким сертификатом будет сильно недоволен, но в данном случае вполне достаточно проинструктировать пользователей принять эту подделку. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Чтв, 28/10/2010 в 05:40 +0300, Dank Bagryantsev пишет:
...
пока никаких толковых наработок я не нашел в этом направлении.
Там наработок-то... В простейшем случае для http:// на nginx'е
конфигурация для сайта вида
server {
listen 80;
server_name .service.tld;
proxy_set_header Host $host;
location /auth {
if ($request_method = POST ) {
proxy_pass http://filter_host;
}
proxy_pass http://service.tld;
}
location / {
proxy_pass http://service.tld;
}
}
И на filter_host выполнять подмену паролей в отправляемых POST'ах.
Например, так:
--
#!/usr/bin/perl -w
use strict;
use HTTP::Proxy;
use HTTP::Proxy::BodyFilter;
my $proxy = HTTP::Proxy-new(port = 80);
$proxy-push_filter(
mime = 'text/html',
request = HTTP::Proxy::BodyFilter-new(
sub {
my ( $self, $dataref, $message, $protocol, $buffer ) = @_;
$$dataref =~ s/fakepassword/realpassword/g;
}
)
);
$proxy-start;
--
(Выдрано из документации к HTTP::Proxy, работоспособность не
проверялась.)
... но если доступ к nginx будет все-равно через VPN, то
можно будет попробовать вариант перебрасывать с http nginx'a на https
сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов.
Этот вариант сильно хуже - придётся разбирать на прокси-сервере все
ответы и менять https:// на http:// перед отправкой их клиенту. И
наоборот. Причём только в нужных URL.
Кстати, а вариант с промежуточным http-сервером и открытием сайтов во
фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем
случае будет работоспособным?
Зависит от сайтов. На первый взгляд, потребует больше программного кода
на стороне сервера, и передачу на сторону пользователей (и потенциальных
троянов на их машинах) исходных паролей.
--
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] проблема с раско дировкой
В Срд, 19/05/2010 в 13:32 +0300, Andrii Dobrovol`s`kii пишет: ... В логе вижу такое сообщение об ошибке: index.php?eror=%CD%E5%EF%F0%E0%E2%E8%EB%FC%ED%FB%E9%20%E2%E2%EE%E4%20%EB%EE%E3%E8%ED%E0!HTTP/1.0 200 2340 Вот только прочесть его не в состоянии... И строку прекодировки тоже подобрать для iconv не получилось. Подскажите как это прочесть... Например, так: $ php -r 'echo urldecode(%CD%E5...%ED%E0!),\n;' | \ recode MS-CYR..UTF-8 Неправильный ввод логина! $ Только не думаю, что это сообщение сильно поможет. Надо смотреть в error_log или/и в код. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN сервер чере з Alterator
Здравствуйте! В Чтв, 06/05/2010 в 12:10 +0400, Владимир Саломатин пишет: May 6 14:05:43 simply openvpn[14324]: UDPv4 link local: [undef] May 6 14:05:43 simply openvpn[14324]: UDPv4 link remote: 81.89.95.192:1194 May 6 14:05:43 simply openvpn[14324]: TCP/UDP: Incoming packet rejected from 94.181.42.61:1194 [2], expected peer address: 81.89.95.192:1194 (allow this incoming source address/port by removing --remote or adding --float) ... А к какому серверу подсоединяется клиент, и нет ли на сервере каких-либо особенностей с подключением к Сети, типа двух uplink'ов? Поскольку по логам клиент хочет соединиться с 81.89.95.192, а ответ приходит от 94.181.42.61. Что клиенту, по понятным причинам, не нравится. Если так и _должно_ быть, то попробуйте добавить в конфигурацию клиента параметр 'float'. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Что происходит когда заканчива ется место на разделе для записи изменений пр и снапшоте LVM?
В Птн, 26/02/2010 в 16:29 +0200, Slava Dubrovskiy пишет: Для создания бэкапа использую снапшоты средствами LVM. При этом при создании снапшота указывается сколько места выделяется для записи изменений. Вопрос: А что происходит, когда место заканчивается? Снапшот выключается? Комп зависает? Или что ? Если не подмонтирован - ничего особого не происходит. Помечается, как invalid, далее его можно только удалить. Подмонтировать уже нельзя, даже в r/o. Если подмонтирован - ЕМНИП тоже ничего смертельного. Все обращения (в т.ч. на чтение) к этому снапшоту заканчиваются ошибкой ввода/вывода, но размонтировать и далее удалить его можно. На обращение к оригинальному диску переполнение снапшотов не влияет. В целом же, лучше выделять достаточно места _и удалять_ снапшот _как можно быстрее_. Поскольку, пока он есть, скорость записи на оригинальный раздел _очень_ печальна. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Отсылка почты из OVZ-контейнер а
Здравствуйте! В Птн, 22/01/2010 в 00:37 +0300, Alexei V. Mezin пишет: Нужно, чтоб скрипты с сайта, который крутится в контейнере, могли отсылать сообщения на почту. На HN postfix настроен и почта от него успешно ходит. Как проще/правильнее отсылать почту из контейнера? ... Зависит от того, какие скрипты, как часто они должны отсылать письма, какая нагрузка на машину и т.п. В простом случае - ssmtp, настроенный на postfix на HN. При большой нагрузке - postfix, с организацией очереди внутри VPS и передачей дальше писем на relay. При наличии особо продвинутого кода сайта - подмена штатного /usr/sbin/sendmail своим скриптом, для фильтрации спама, добавления отсутствующих заголовков, сохранения копий всего отправляемого, и т.п., с дальнейшей передачей письма через или ssmtp, или postfix. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Как захостить рельсовое прилож ение?
On Wed, 30 Sep 2009 15:02:22 +0400 Alexey I. Froloff wrote: .. Очень интересно на него посмотреть. Может получится сделать дистрибутивное решение. Я приложил свой костыль. Сделан на базе того, что есть в Debian'e. Поддерживает выбор environment через непосредственное указание нужного, в виде # service mongrel start development Хочет конфигурацию в /etc/mongrel/mongrel.conf, получаемую через # mongrel_rails start --generate /etc/mongrel/mongrel.conf прочие_параметры и каталоги под логи и PID: mkdir /var/log/mongrel chmod 775 /var/log/mongrel; chown :apache2 /var/log/mongrel mkdir /var/run/mongrel/ chmod 775 /var/run/mongrel; chown :apache2 /var/run/mongrel Сам mongrel запускается от apache2, поскольку костыль делался для запуска приложения хоть как-нибудь, а в дальнейших планах есть переход на passenger. P.S. Passenger в виде модуля Apache2 пару недель назад собрался нормально, но вот работать категорически не захотел. Пришлось отложить разборки с ним где-то до середины октября. P.P.S. И запускает костыль mongrel, устанавливаемый из Gem'ов. Поскольку с дистрибутивным отказалось работать приложение, а разбираться в коде не было времени. -- С уважением, Николай Фетисов mongrel Description: Binary data signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Односторонний пропуск UDP
On Wed, 19 Aug 2009 13:12:43 +0600 Шигапов Ринат wrote: ... Как уже сообщил, по tcp проблем нет. Больше как на провайдера, сослаться не могу. Ну, значит, особенности провайдера. Какого-то на пути от сервера до клиента. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Односторонний пропуск UDP
On Tue, 18 Aug 2009 16:40:16 +0600 Шигапов Ринат wrote: При настройке openvpn столкнулся с односторонним пропуском udp от клиента к серверу. Ответы от сервера на шлюз уходили (судя по tcpdump), но клиенту не приходили. Посылка UDP с помощью nmap на клиент отрабатывала. Через tcp openvpn работает. Это что - особенности провайдера? Т.е., от клиента на сервер через шлюз провайдера запросы приходят, а в обратную сторону - с сервера пакеты уходят, а клиент их не получает? Внешний интерфейс на сервере один? На стороне клиента никакой firewall ничего резать не может? Если поменять порт с 1194 на что-либо ещё, ситуация не изменится? Ну или попробовать перейти на TCP... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Может кто не знает: хранилка п аролей keepassx
On Fri, 5 Jun 2009 14:44:40 +0300 Nikolay wrote: Ставил из сизифа - хотя всё остальное на http://ftp.linux.kiev.ua/pub/Linux/ALT/4.1/branch А зачем из Sisyphus-то?? Оно собрано и под 4.1, в виде 0.4.0-alt1.M41.1. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openvpn и pptp вешают другие с ервисы
On Mon, 18 May 2009 10:57:16 +0400 admin...@rambler.ru wrote: ... вот скрипт запуска openvpn: А чем не устраивает штатный /etc/rc.d/init.d/openvpn из пакета? В котором, кстати, --daemon добавляется в строку запуска openvpn автоматом, заодно с разной мелочью типа записи PID запускающегося демона в соответствующий файл для последующей корректной его остановки? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
On Mon, 27 Apr 2009 14:18:22 +0400 admin931@ wrote: а можно чутка по подробнее где эти доки находятся... просто у меня они почему-то не находятся... Там, где установлен пакет openvpn - по-видимому, внутри соответствующего VE. $ rpm -ql openvpn | grep README /usr/share/doc/openvpn-2.0.9/README /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8 а пути /usr/local/share/doc/openvpn/easy-rsa вообще не существует... Такого действительно не существует. Если нужен easy-rsa - ищите в openvpn-doc. find -name *doc ./var/lib/vz/private/1/usr/share/doc Вот где-нибудь здесь, ./var/lib/vz/private/2/usr/share/doc или здесь. ./doc А это откуда взялось в корневом каталоге??? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
On Tue, 28 Apr 2009 02:38:03 +0400 admin931@ wrote: Nikolay A. Fetisov пишет: On Sun, 26 Apr 2009 23:06:09 +040 Для VE следует проверить передачу в неё устройства net/tun с правами на чтение и запись, ... собственно вопрос, как это проверить HN# grep DEVNODES /etc/vz/conf/1234.conf DEVNODES=net/tun:rw и как передать в случае если оно не передавалось HN# vzctl set 1234 --save --devnodes net/tun:rw -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
On Sun, 26 Apr 2009 23:06:09 +0400 admin...@rambler.ru wrote: Помогите с настройкой openvpn-server... собственно ставлю ovz потом использую этот шаблон (ve-openvpn-server) ставится, запускается, но не настраивается... собственно непонятно как в нем openvpn _server настроить/запустить/поставить (если его нет) так как походу в шаблоне ничего нет и apt`ом не ставится... или я что-то не так делаю ??? ve-openvpn-server - это пакет с зависимостями для установки всего необходимого для OpenVPN в шаблон OpenVZ. Насколько я понимаю последовательность, в Alterator'е при создании шаблона выбирается данный пакет, далее создаётся шаблон, далее по готовому шаблону создаётся VE. Для VE следует проверить передачу в неё устройства net/tun с правами на чтение и запись, а также, возможно, увеличить стандартные значения лимитов tcpsndbuf/tcprcvbuf. Перед запуском VE в HN должен быть загружен модуль tun. В VE должен быть проброшен порт 1194/udp (ну или тот, который будет использоваться). Внутри VE сервер OpenVPN настраивается стандартно. Необходимый пакет - openvpn, должен поставится по зависимостям ve-openvpn-server. В %doc лежит пример файла конфигурации сервера и README.ALT. Автоматической настройки из alterator'а, насколько я понимаю, нет. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Безопасность openvpn
On Sun, 1 Mar 2009 13:23:45 +0300 Michael A. Kangin wrote: Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью client-connect script и client-config-dir/ Особых противопоказаний нет. Работа от непривилегированного пользователя и в chroot-окружении исходя из общих соображений желательна, но не обязательна. С другой стороны, никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. И есть ли альтернативные варианты? Жёстко привязывать пользователей к фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в частности. Зависит от задачи. Например, не совсем понятно, как планируется совмещать использование одинаковых сертификатов на нескольких клиентах и зависящие от конкретных клиентов правила маршрутизации. Т.е., индивидуальные маршруты в client-config-dir задаются, если есть необходимость дать доступ через канал OpenVPN к сети на стороне клиента. Если этот клиент (различаемый по cn) может устанавливать одновременно несколько соединений (что разрешает делать duplicate-cn), то как скрипт client-connect будет определять, какое из этих соединений использовать для маршрута в сеть клиента? Аналогичные вопросы - и по индивидуальным для клиента правилам межсетевого экрана. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Безопасность openvpn
On Sun, 1 Mar 2009 17:57:17 +0300 Michael A. Kangin wrote: On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote: Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? ... никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. ... Страшит ручной труд по втаскиванию и трудности с поддержкой... Как вариант - вытащить из chroot и оставить работать под непривилегированным пользователем. Есть пользователи, есть филиалы. Моя первоначальная мысль была - не заморачиваться с дополнительными каналами, и принимать тех и других одним и тем же каналом демона, разруливая особенности клиентскими файлами. Зависит от числа как пользователей, так и филиалов. И от того, насколько различаются требования к этим двум группам соединений. Например, филиалы должны иметь возможность общаться друг с другом через сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да, то и пользователи тоже смогут видеть друг друга - что, скорее всего, нежелательно. Пользователи могут коннектиться потенциально с разных машин, для них-то и делается duplicate-cn. Зачем? dublicate-cn разрешает несколько одновременных соединений с одним и и тем же сертификатом. Или пользователи могут _одновременно_ работать с разных машин? И не проще ли тем пользователям, которые действительно имеют несколько компьютеров, выдать несколько сертификатов? ... Или ... лучше всё же развести их по каналам? Зависит от числа пользователей и от того, откуда они подсоединяются. Как правило, филиалов немного, их число меняется редко - явные кандидаты на получение фиксированных IP. Пользователи же характерны тем, что выданные им права на подключения к серверу OpenVPN может потребоваться отозвать. Если пользователей немного - то им вполне можно назначать фиксированные IP через персональные файлы конфигурации в ccd/ . Дополнительно можно включить на сервере ccd-exclusive и тем самым запретить соединения от тех клиентов, для которых файлов конфигурации не существует. После этого, если надо запретить соединение от какого-либо пользователя, достаточно удалить его файл конфигурации. Если пользователей много - то может оказаться проще не создавать для каждого из них свой файл конфигурации, а отзывать сертификаты средствами SSL, через CRL. Для избранных пользователей при этом можно оставить и индивидуальные файлы настроек, они вполне уживаются с динамическим распределением адресов. Кроме того, возможно вообще потребуется отдельно поднимать сервер OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Запуск шаблона FC-10 на ALT
On Thu, 15 Jan 2009 21:24:49 +0200 Slava Dubrovskiy wrote: ... 4.1). VPS запустился, но при попытке enter получаю: # vzctl enter 120 enter into CT 120 failed Unable to open pty: No such file or directory Подскажите, в чем может быть проблема? http://www.altlinux.org/OpenVZ , раздел Административный вход на сервер. Или более развёрнуто на http://forum.openvz.org/index.php?t=msggoto=8419; В fstab VE надо добавить строку вида: devpts /dev/pts devpts nosuid,noexec,gid=tty,mode=620 0 0 -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] безвозвратное удаление информа ции с носителя
On Wed, 24 Dec 2008 01:28:11 +0600 Vyatcheslav Perevalov wrote: В сообщении от 23 декабря 2008 Gennadii Redko написал(a): Можно, как утверждается, считать забитую информацию лазером с края дорожки, но это настолько недешевая процедура, что закладываться на нее не стОит. Физику процессов не объясните? Практически классика: Peter Gutmann, 1996 Secure Deletion of Data from Magnetic and Solid-State Memory http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Помогите понять.
On Tue, 16 Dec 2008 18:02:21 +0200 Kulik Dmitry wrote: ... Работали мы когда то с DATAGROUP. У них вечно что-то не ладно. Поэтому и отказались от их услуг. А DATAGROUP здесь причем? Оно же отваливается в Москве на mapripn-gw.netflow.ru. Согласно WHOIS abbris.ru размещён у NIC.RU в Курчатовском институте, из Москвы туда трафик идёт по M9 и далее через RIPN, и сайт нормально виден. Из Киева, согласно tracepath, пакеты идут через TransTeleCom на SkyMedia, где они благополучно отбрасываются/фильтруются на mapripn-gw.netflow.ru, который стоит в том же датацентре в Курчатовском. Или неправильные настройки маршрутизации, или оно умышленно заблокировано. Могу ещё добавить, что из самой сети netflow.ru сегодня днём abbris.ru был доступен, так что администраторы SkyMedia проблем у себя могут и не видеть. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Помогите понять.
On Tue, 16 Dec 2008 12:27:59 +0300 Владимир wrote: ... Если icmp и udp проходят, а tcp нет, то проблема (99%) в маршрутизации (треугольный маршрут). Из оставшегося 1% можно посмотреть в сторону ECN. # cat /proc/sys/net/ipv4/tcp_ecn # echo 0 /proc/sys/net/ipv4/tcp_ecn -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Помогите понять.
On Tue, 16 Dec 2008 08:37:15 +0200 Андрей Новосёлов wrote: ... $ sudo tcptraceroute www.abbris.ru ... 7 SkyMedia-gw.transtelecom.net (217.150.46.185) 102.567 ms 102.321 ms 103.500 ms 8 mapripn-gw.netflow.ru (88.212.194.70) 108.737 ms 108.675 ms 109.039 ms А что вообще может стать причиной? Жалуйтесь хозяину сайта, пусть разбирается с хостером. Где-то маршрутизация у них, хм, недописана. Там в датацентре, насколько мне известно, сейчас идёт перетряхивание сети, включая замену оборудования и изменения выделенных серверам адресов, так что может быть всё, что угодно. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postfix-mysql
On Wed, 26 Nov 2008 15:10:45 +1000 Таскаев Илья wrote: ... В aptitude рядом с пакетом стоит i значит он installed. Однако карты mysql все равно нет. :( Её не видно, но она есть. Опишите карту в конфигурации postfix и посмотрите. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] simple wiki engine
On Mon, 10 Nov 2008 11:40:33 +0300 Eugene Prokopiev wrote: А скажите, есть ли готовый движок вики, работающий следующим образом: в DocumentRoot ну или в аналогичное место складываются файлы *.wiki (c соответствующим содержимым), web-cервер при отдаче этих файлов пропускает их через некий фильтр и выдает html. Даже редактирование через веб в общем-то не требуется, достаточно лишь отображения. Ikiwiki. В самом простом варианте - запуском из командной строки создаёт на базе исходных файлов статические страницы. В более продвинутом варианте - через CGI реализует редактирование страниц в браузере, обеспечивая функционал wiki в традиционном понимании. В ещё более продвинутом варианте - сохраняет версии страниц в репозиториях SCM. В т.ч. работает с Git. http://ikiwiki.info/ -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблемы при установке katrin -1.2.6
On Wed, 05 Nov 2008 14:57:43 +0600 Vasyuk_Maksim wrote: ... # rpm -ihv katrin-1.2.6-alt1.x86_64.rpm error: failed dependencies: /usr/lib64/katrin/libkatrin-auth.so.0()(64bit) is needed by katrin-1.2.6-alt1 ... Подскажите пожайлуста что делать? # ln -s /usr/lib/katrin/ /usr/lib64/katrin/ И повесить ошибку на неправильный путь к модулям, задающийся при сборке пакета. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Не правильное отображание df в контейнере OVZ
On Thu, 09 Oct 2008 13:47:04 +0700 Vasyuk_Maksim wrote: ... Собираюсь перебросить var на другой раздел, ... Достаточно будет просто скопировать весь var в другой раздел или перебрасывать надо как-то по хитрому типа dd? Судя по размеру текущего раздела, там уже есть какие-то развёрнутые VPS. Лучше # rsync -aHSxvP --delete --numeric-ids /var/ /var-new/ С dd хитростей будет намного больше. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Не правильное отображание df в контейнере OVZ
On Wed, 08 Oct 2008 12:42:06 +0700 Vasyuk_Maksim wrote: В контейнере # df FilesystemSize Used Avail Use% Mounted on simfs 1.0G 0 1.0G 0% / Файловая система на HN какая? Дисковые квоты работают только с ext2/ext3: http://wiki.openvz.org/Disk_quota,_df_and_stat_weird_behaviour Other reasons of strange numbers, п. 2. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Не правильное отображание df в контейнере OVZ
On Wed, 08 Oct 2008 17:23:55 +0700 Vasyuk_Maksim wrote: /dev/sda7 xfs145G 1.5G 144G 1% /var ... что и требовалось доказать. Разметка была сделана при установке автоматически для сервера. ... а автоматика для сервера - это плохо... Так и что получается xfs для этого дела не годиться? Для размещения контейнеров - вполне годится. Квоты только работать не будут, что, впрочем, в ряде случаев и не так уж и нужно. Из возможных неприятно-неожиданных проблем есть только одна: пока контейнер работает, занимаемое им место ограничивается только размерами диска, и на значение в DISKSPACES внимание не обращается. А вот после некорректного завершения работы HN квота пересчитается, и тут-то возможное превышение реального размера над указанным в DISKSPACES и проявляется... А почему она тогда по умолчанию на сервере с OVZ? Это в Bugzilla. Получается для ovz надо отпиливать раздел c ext3? Если нужны квоты - то да. Или размещать те контейнеры, где они нужны, на отдельных разделах с ext3, или переводить на ext3 целиком /var/lib/vz/private . Переставлять чели сервак и делать уже разметку ручками? Зависит от того, сколько на нём уже всего настроено. Так можно перенести /var с /dev/sda7, отдать sda7 под управление LVM2, выделить нужные по размеру разделы под /var, /var/log, /var/lib/vz/private, кстати для данной машины и под /tmp заодно, ну и т.д. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] О правилах указания масок сете й в настройках OpenVPN
On Thu, 21 Aug 2008 09:19:25 +0300 Dmitriy Kruglikov wrote: ... Есди это и не баг, то стоит задокументировать, а именно: ... строка должна быть: iroute 192.168.1.0 255.255.255.0 Оно задокументировано, openvpn(8): ... --iroute network [netmask] Generate an internal route to a specific client. The netmask parameter, if omitted, defaults to 255.255.255.255. ... И это не баг - OpenVPN не предполагает, что клиенты (и сервер) знают о существовании iproute2. Весь синтаксис рассчитан на добрые старые ifconfig и route, которые и вызываются OpenVPN'ом при настройке соединения. Кстати, в логах можно посмотреть, с какими именно параметрами вызываются эти _внешние_ команды. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] on-the-fly миграция с/на LUKS.
On Sat, 9 Aug 2008 23:52:38 +0400 ABATAPA wrote: Известно, что для шифрованных средствами dm-crypt дисков возможно шифрование/дешифрование на блочном устройстве на лету, т.е. без дополнительного места Небольшая поправка: on-the-fly (на лету) относится к технологии шифрования блочных устройств в целом, здесь же речь идёт о преобразовании дисков с по месту - in-place. Тома LUKS вроде как шире всего лишь на заголовок. Это так. Возможно, есть способ кодирования/декодирования на лету с расширением тома в начале для добавления заголовка ... при преобразовании в LUKS, и отрезанием заголовка (в частности - при монтировании с offset) - при обратном? Официально для дисков LUKS преобразования in-place не поддерживаются - см. последний параграф на http://luks.endorphin.org/dm-crypt . Неофициально, описания процесса с использованием LVM в Сети найти можно, см, например, http://glandium.org/blog/?p=139 http://glandium.org/blog/?p=141 Кроме того, есть скрипт luksConvert, который использует для изменения размеров файловой системы использует resize2fs: https://help.ubuntu.com/community/EncryptedFilesystemHowto7 С другой стороны, если на существующем диске есть что-либо ценное, то перед преобразованием резервную копию всё равно сделать _крайне_ желательно. А если делается резервная копия, то и смысл в in-place преобразованиях пропадает... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Срочно нужна помощь!
On Thu, 07 Aug 2008 13:23:08 +0400 Aleksey E. Birukov wrote: ... Что, вообще, с системой случилось? Вы успешно удалили базовые 64-битные библиотеки. Посему все использующие их программы (а это _почти все_ программы) система запустить не может. Работающие сейчас ssh и bash - были запущены _до_ установки, поэтому и работают. А вот новые экземпляры bash (в т.ч. и через su) запустить уже невозможно. Работает cd и pwd может еще что... Это из под root. Встроенные команды работать будут. Внешние - нет. Из под пользователя почти все работает. А вот в это не верится. Может бинарные версии файлов загрузить? Можно _попробовать_ загрузиться с установочного диска в режиме восстановления, смонтировать убитую систему и переписать в неё файлы из пакетов со снесёнными библиотеками. Перейти через chroot в систему, запустить ldconfig. По-идее, должно помочь. Затем, после перезагрузки, восстановить конфигурацию APT и переустановить библиотеки. Далее изучать литературу в области OpenVZ, который позволяет держать 32-битные контейнеры в 64-битной системе и избегать подобных стрессов. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Срочно нужна помощь!
On Thu, 7 Aug 2008 14:25:06 +0400 Max Ivanov wrote: нужно завести привычку: держать ash-static и rpm-static на ответственной сситеме. Может эти пакеты просто включать в дистрибутивы по-умолчанию? Весят немного, а пользы ого-го ash-static ставится (во всяком случае, в Server 4.0.1) по-умолчанию. Вместе с find-static и cpio-static. rpm-static в данном случае, конечно, не помешал бы. ... А вообще к этому списку да ещё бы busybox с более-менее полным набором команд... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Срочно нужна помощь!
On Thu, 7 Aug 2008 13:55:34 +0300 Led wrote: В сообщении от Thursday 07 August 2008 13:48:11 Nikolay A. Fetisov написал(а): On Thu, 7 Aug 2008 14:25:06 +0400 ... А вообще к этому списку да ещё бы busybox с более-менее полным набором команд... И куда этот busybox с более-менее полным набором команд, чтоб не конфликтовал по файлам с основными системными утилитами? Исходя из назначения на самый крайний случай - в /sbin. Одним файлом, поскольку вызывать его команды можно и через его же командную строку. Опять же исходя из назначения, вопросы удобства вызова встроенных и _работающих_, например, sed, vi, netcat и wget, заодно с mv/cp/ls, не стоят. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Кодировка при переходе с mysql 4 на mysql5
On Thu, 07 Aug 2008 19:45:02 +0400 Aleksey E. Birukov wrote: Есть файлы базы из /var/lib/mysql/db/host1248. База создавалась на mysql версии 4. Соответственно на версии 5. Проблема с кодировкой. Как можно ее решить? Как обычно - понять, в чём проблема, и что нужно получить. Далее определиться с нужными шагами. В общем случае, надо получать dump надо в той же кодировке (неправильной!), которая указана в базе. Иначе умный MySQL будет выполнять неизвестно какие преобразования с непонятными последствиями. Затем в полученном dump'е надо переправить _записи_ о кодировке таблиц на правильные. Указать в заголовке dump'а правильный SET NAMES, и залить всё обратно. В частных случаях может потребоваться ещё править записи внутри dump'а, если там вдруг окажутся недопустимые для кодировки символы. Я попробовал на 5-ой версии дамп сделать -- ошибка: mysqldump: Error 1194: Table 'sml_stat_hosts' is marked as crashed and should be repaired when dumping table `sml_stat_hosts` at row: 1746290 Оно даже говорит, что надо сделать. $ echo repair table sml_stat_hosts extended; | \ mysql -u root -p host1248 Причем я пробовал эту таблицу починить через phpMyAdmin А здесь может быть столько всего разного... Начиная, например, от ограничений на время выполнения скрипта. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Кодировка при переходе с mysql 4 на mysql5
On Thu, 07 Aug 2008 21:13:39 +0400 Aleksey E. Birukov wrote: А можно ли где сейчас найти 64bit-ную версию 4-ой MySQL? Под ALT? Насколько я понимаю, её и не было. Разверните контейнер с 32-битной системой. Получится проще и быстрее. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проброс соединений pop3, smtp через squid
On Wed, 6 Aug 2008 11:54:37 +0300 Dmitriy Kruglikov wrote: 6 августа 2008 г. 11:32 пользователь Nikolay A. Fetisov написал: ... можно все обращения на внешние 25ые порты завернуть на внутренний Postfix ... Не можно, а нужно, и не завернуть, а запретить ... В идеале - да. Реально зависит от размера фирмы, наличия своего почтового сервера (и своего почтового домена), наличия (или отсутствия) политик и инструкций для пользователей, и т.д., и т.п... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Шифрование диска
On Wed, 23 Jul 2008 13:43:50 +0400 Aleksey E. Birukov wrote: Nikolay A. Fetisov пишет: В TrueCrypt никакой информации о наличии скрытого раздела не хранится. При вводе пароля к разделу сначала этим паролем расшифровывается заголовок основного раздела, если пароль не подходит - то заголовок скрытого раздела, расположенный в конце диска по известному смещению. А как определяется это известное смещение? Это я к тому, что если где-то в настройках или в коде оно есть, то это нехорошо. Оно определяется в коде TrueCrypt, и жестко задано. Проблемой это не является, т.к. в TrueCrypt заголовок диска хранится на нём в зашифрованном виде. Т.е., если в LUKS в заголовке диска есть сигнатура, по которой можно определить наличие диска LUKS без необходимости вводить какие-либо пароли (# cryptsetup isLuks устройство echo LUKS), то в TrueCrypt сигнатура зашифрована - как для основного диска, так и для скрытого. При открытии диска сначала делается попытка расшифровать заголовок основного раздела, потом - скрытого. Если ни в одном, ни в другом случае расшифрованный заголовок сигнатуры не содержит - то пароль считается неверным. Проблемой может быть разве что невозможность сказать (и доказать), что скрытого диска _нет_. Ну или что раздел диска, очищенный чем-то вида dd if=/dev/urandom of=раздел , содержит именно _мусор_, а не является диском TrueCrypt. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Шифрование диска
On Tue, 22 Jul 2008 10:27:37 +0600 Александр Леутин wrote: ... TrueCrypt (есть по крайней мере в Сизифе). Можно сделать раздел доступным с двух сторон О проблемах использования скрытого раздела в TrueCrypt расписано в статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о вынужденной необходимости использования FAT для основного раздела. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Шифрование диска
On Tue, 22 Jul 2008 12:20:57 +0300 Dmitriy Kruglikov wrote: 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал: Т.е., у означенной задачи общего и универсального решения нет. Увы. Есть ... ... при условии работы с данными только непосредственно на этом компьютере, при возможности разместить физическое устройство рядом с жестким диском (в ноутбуке, например, проблематично будет), ... Кроме того, данное решение прямо указывает на то, что данные точно были. И где-то ещё остались на резервных копиях. Т.е. это решение тоже не универсально... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Шифрование диска
On Tue, 22 Jul 2008 12:01:16 +0400 Aleksey E. Birukov wrote: Nikolay A. Fetisov пишет: Т.е., при использовании чего-либо кроме FAT на основном диске при работе со скрытым диском есть большая вероятность порчи метаданных файловой системы основного диска; после чего при проверке/восстановлении файловой системы основного диска будут гарантированы разрушены соответствующие блоки с данными скрытого раздела. А если сначала записать данные на скрытый диск, а потом работать только с основным диском данные не испортятся? Данные - _где_? На скрытом диске - могут быть затёрты частично или полностью. А если, например, скрытый диск монтируется только для чтения метаданные могут перезаписаться? При монтировании в режиме только для чтения - не могут по-определению. Вообще, скрытые диски и надежное хранение данных - вещи несовместимые. Данные на дисках размещаются в наборах блоков фиксированного размера. Для учёта блоков, занятых теми или другими файлами, а также свободных блоков, используются файловые системы. Метаданные о размещении файлов на дисках файловые системы хранят на тех же самых дисках, в отдельных блоках. Обеспечение целостности данных - т.е. предотвращение записи данных одного файла в блоки, занятые другими файлами или метаданными файловой системы - это задача файловой системы. Теперь, в пределах диска выделяется некоторая последовательность блоков и называется скрытым диском. При этом файловой системе про это ничего не говорят - иначе это не был бы _скрытый_ диск. Т.е., для неё эта область _доступна_ для размещения файлов. Или там _уже_ есть файлы. Или метаданные. На скрытом диске создаётся своя файловую систему. Для неё доступно всё пространство скрытого диска; о том, что какая-либо его часть может быть использована, эта файловая система тоже ничего не знает. На скрытый диск записываются какие-либо файлы. После чего он отмонтируется и подключается основной диск. Его файловая система проверяет свою целостность и обнаруживает мусор вместо части метаданных. Запускается восстановление файловой системы, проблема устраняется - с перезаписью правильных _для этой файловой системы_ данных. А затем при монтировании файловой системы скрытого диска в свою очередь обнаруживаются проблемы... Итого, если есть скрытый диск - то на основном диске использовать можно разве что FAT. По причине её простоты и предсказуемости в размещении файлов. (Кстати обратное тоже справедливо: если на диске TrueCrypt на Linux-системе используется FAT, то это зачем-то нужно...) И даже FAT использовать можно только с ограничениями. Например, проведение дефрагментации плохо повлияет на скрытый диск. Так что - регулярное резервное копирование скрытого диска обязательно. ... И после всех этих мучений мы обнаруживаем куски файлов скрытого диска в, например, индексе Beagle... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Шифрование диска
On Mon, 21 Jul 2008 19:00:10 +0400 Aleksey E. Birukov wrote: Есть задача зашифровать раздел с двумя паролями: один пароль обычный -- дает доступ к разделу, а другой уничтожает всю информацию на разделе. ... JT ... Набравший второй пароль субъект будет смотреть, как очищается многогигабайтный диск, пить чай и постепенно расстраиваться... /JT 1. Быстро уничтожить информацию на магнитных дисках нельзя. См. Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html 2. Уничтожить информацию на разделе - это только полдела. Куда больше проблем будет с различными кэшами _вне_ этого раздела. См. Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications, A. Czeskis, D. J. St. Hilaire, K. Koscher, S. D. Gribble, T. Kohno, and B. Schneier: http://www.schneier.com/paper-truecrypt-dfs.pdf Т.е., у означенной задачи общего и универсального решения нет. Увы. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] greylist
On Mon, 05 May 2008 16:34:31 +0800 gray_graff wrote: какой из грейлистов сможет справиться с огромным количеством запросов? А куча - это сколько? Один из policyd у меня в последнее время обрабатывает порядка 18-20 запросов/секунду (~700-800 тыс/день). Живёт в VPS на достаточно средней машине, с настройками MySQL из коробки. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] mod_perl
On Sat, 5 Apr 2008 23:23:09 +0400 Владимир wrote: В сообщении от 5 апреля 2008 Denis S. Kostin написал(a): .. Установил связку Apache2+mod_perl при попытки запустить скрипты в браузере получаю Error message: Can't locate exilog_config.pm in @INC (@INC contains: /etc/perl5 /usr/lib/perl5/vendor_perl . /etc/httpd2) at /home/vmail/exilog/exilog.cgi ^^^ ... как я понимаю что дело в том что он пытается искать *.pm по глобальным путям а не в папке со скриптами И в каталоге со скриптом тоже ищет. Google на exilog.pm выдал вот такой патч: http://www.exim.org/lurker/message/20050602.231904.842ec696.en.html Не оно? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openvpn,pptp,dns...
On Mon, 31 Mar 2008 19:17:43 +0400
Alexander Volkov wrote:
On 2008-03-31 12:06:38 +0400, Nikolay A. Fetisov wrote:
NAF Также хорошо бы посмотреть не одну строчку лога, а от начала
NAF установления соединения. С уровнем 'verb 7', или больше.
вложил.
Ну, OpenVPN работает так, как может.
Перед тем, как изменить маршрут по-умолчанию (всё равно - с def1 или
без), необходимо отдельно прописать маршрут до самого сервера OpenVPN.
Этот маршрут устанавливается вызовом /sbin/ip вида
'ip remote/32 via gateway', где 'remote' - адрес сервера OpenVPN из
файла конфигурации, а gateway определяется из маршрута по-умолчанию,
установленного в системе на момент установления соединения.
Проблема в том, что device-based маршруты сейчас OpenVPN не
поддерживает, и записи
'default dev ppp9 scope link'
не понимает. Соответственно, задать маршрут до сервера он не может, и
маршрут по-умолчанию тоже не меняет.
Как выход - заменить маршрут по-умолчанию перед запуском openvpn; если
он стартует через свой init-скрипт, то можно рядом с файлом
конфигурации положить скрипт с тем же именем и расширением .sh вида
#!/bin/bash
if [ $(/sbin/ip route list exact default |\
/usr/bin/awk '/^default/ {print $2}') = dev ];
then
IF=$(/sbin/ip route | awk '/^default/ {print $3}')
GW=$(/sbin/ip address show $IF |\
/usr/bin/awk '/peer/ {print $4}' | cut -d/ -f1)
/sbin/ip route replace default via $GW dev $IF
fi
См. http://openvpn.net/archive/openvpn-users/2007-12/msg00028.html
--
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Два vsftpd на одной машине
On Mon, 18 Feb 2008 19:44:57 +0300 Alexey Morsov wrote: Есть машинка - HN, на которой несколько VPS поднято. Один из vps ftp. Но на самом HN тоже ftp поднят (в качестве источника для apt для всех VPS и еще одного сервера). Т.е. имеется vsftpd на 192.168.130.x (HN) и vsftpd на 192.168.1.y (VPS с ftp). Однако нужно сделать так чтобы: 1. при обращении на 21 порт 192.168.130.x реально открывался VPS 192.168.1.y (доавил в nat уже - это работает без вопросов). 2. иметь таки доступ к vsftpd который на самом HN (192.168.130.x) ... А почему бы просто не добавить второе правило для NAT - с какого-нибудь 192.168.130.x:2121 на 127.0.0.1:21 ? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] [devel] kernel sec holes
On Mon, 11 Feb 2008 11:02:29 +0200 Michael Shigorin wrote: On Mon, Feb 11, 2008 at 12:54:33AM +0300, Dmitry V. Levin wrote: Ядро оказалось слишком горячее Хорошо, что под 2.6.18-ovz-smp-alt20 этот local root не работает ... только систему в нестабильном состоянии оставляет и через некоторое время вешает. Особенно если несколько раз проверить. А ещё лучше в цикле запустить. PS: кросспост. -- С уважением, Николай Фетисов signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] kernel sec holes
On Mon, 11 Feb 2008 11:02:29 +0200 Michael Shigorin wrote: ... Хорошо, что под 2.6.18-ovz-smp-alt20 этот local root не работает ([-] wtf в VE и segfault в HN), но всё-таки было бы здорово увидеть и его апдейт. До появления update'а, похоже, помогает заглушка в виде модуля ядра: http://home.powertech.no/oystein/ptpatch2008/ (https://bugzilla.redhat.com/show_bug.cgi?id=432251#c10) Для 2.6.18-ovz-smp-* собирается без каких-либо правок как под i586, так и под x86_64, загружается и вызов vmsplice блокирует. Негативных последствий за полтора часа работы замечено не было. -- С уважением, Николай Фетисов signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Макроязык для firewall
On Mon, 28 Jan 2008 09:34:30 +0300 Eugene Prokopiev wrote: А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? ... FIAIF - в дистрибутиве есть. Для обсуждаемой в community@ темы простого шлюза комп с двумя сетевушками eth0 192.168.x.51(городская сеть и VPN) eth2 192.168.0.1 шлюз 192.168.x.1 (http://lists.altlinux.org/pipermail/community/2008-January/403115.html) конфигурация выглядела бы так: /etc/fiaif/fiaif.conf --8--- ... DONT_START=0 ZONES=EXT INT CONF_INT=zone.int CONF_EXT=zone.ext ... DEBUG=0 ... --8--- /etc/fiaif/zone.int: --8--- NAME=INT DEV=eth2 DYNAMIC=1 GLOBAL=0 IP_EXTRA= NET_EXTRA=224.0.0.0/4 DHCP_SERVER=0 INPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 FORWARD[0]=ALL DROP ALL 0.0.0.0/0=0.0.0.0/0 REDIRECT_PROXY=tcp 80 0.0.0.0/0=0.0.0.0/0 127.0.0.1 3128 SNAT[0]=EXT ALL 0.0.0.0/0=0.0.0.0/0 TC_ENABLE=0 --8--- /etc/fiaif/zone.ext: --8--- NAME=EXT DEV=eth0 DYNAMIC=1 GLOBAL=1 IP_EXTRA= NET_EXTRA=192.168.x.0/255.255.255.0 DHCP_SERVER=0 INPUT[0]=ACCEPT tcp ssh 0.0.0.0/0=0.0.0.0/0 INPUT[1]=ACCEPT icmp echo-request 0.0.0.0/0=0.0.0.0/0 INPUT[2]=DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0 INPUT[3]=DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0 INPUT[4]=REJECT udp ALL 0.0.0.0/0=0.0.0.0/0 INPUT[5]=DROP ALL 0.0.0.0/0=0.0.0.0/0 OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 FORWARD[0]=ALL ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 REPLY_AUTH=EXT tcp-reset tcp auth 0.0.0.0/0=0.0.0.0/0 REPLY_TRACEROUTE=EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=0.0.0.0/0 LIMIT_PING=EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=0.0.0.0/0 TC_ENABLE=0 --8--- В итоговой конфигурации были бы заблокированы обращения извне с частных подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), ну и т.п. - в общей сложности порядка 400 правил. Примеры конфигурации в пакете, разумеется, присутствуют. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] [Comm] pppoe + OpenVPN
On Wed, 23 Jan 2008 18:14:48 +0300 Peter Volkov wrote: Да, точно. Впрочем я перепутал, я решал обратную задачу, у меня маршрут идёт через openvpn тунель... Есть ли подобные скрипты для openvpn? Обратная задача - это перезапустить pptp при падении/поднятии канала OpenVPN? OpenVPN может вызывать произвольные скрипты при поднятии/опускании канала. В конфигурации должно быть что-то типа up-restart up /path/to/pptp-up-script down /path/to/pptp-down-script Единственный момент, скорее всего надо будет вытаскивать OpenVPN из chroot и или настраивать sudo, или разрешать OpenVPN работать под root. Так что может быть, проще и через cron проверять; или monit'у поручить. -- С уважением, Николай Фетисов ___ community mailing list [EMAIL PROTECTED] https://lists.altlinux.org/mailman/listinfo/community ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] графический редактор ACL
On Wed, 23 Jan 2008 10:56:09 +0300 Максим Иванов wrote: Существует ли в природе утилиты для редактирования POSIX ACL в более дружелюбном виде нежели командная строка? Например GUI или на крайний случай Web ввиде какого-нибудь PHP файл менеджера? Konqueror начиная с KDE 3.5 умеет. Контекстное меню - Cвойства - вкладка Права, кнопка Дополнительные права. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
On Fri, 23 Nov 2007 13:42:08 +0500 Igor Solovyov wrote: ... Осталось разобраться почему. То ли я что-то не так настроил, то ли клентские TheBat настраивать нужно... Попробуйте отключить в настройках The Bat! использование TLS. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Postfixadmin and Office Server 4
On Mon, 17 Sep 2007 14:00:20 +0300 Андрей Новосёлов wrote: Вопрос: кто-либо ставил/работает с postfixadmin на 4 бранче? Что надо доустановить? Если не по теме вопрос, ответьте в личку пожалуйста. Лицензия PostfixAdmin - не свободная. Есть форк, OpenVISPAdmin, под MPL. У меня есть (почти) готовая сборка, с почти готовой инструкцией по установке. И планы довести её до Sisyphus до конца месяца. Если интересно текущее состояние - то ftp://ftp.ossg.ru/APT.OSSG/SRPMS.OSSG/ova-0.97-alt0.2.cvs20070811.src.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-0.97-alt0.2.cvs20070811.noarch.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-php4-0.97-alt0.2.cvs20070811.noarch.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-php5-0.97-alt0.2.cvs20070811.noarch.rpm Инструкция в /usr/share/doc/ova-0.97/sample-config/README.ALT, пошаговая, но особо без пояснительного текста. Поднималось в отдельных VPS, на связке postfix + dovecot + amavisd + policyd + MySQL. Работает вполне нормально. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] непонятки с прозрачным прокси (ALS4.0.1)
On Tue, 14 Aug 2007 11:43:48 +0300 Alexander Yereschenko wrote: Раньше на шлюзовой машине стоял ALC3.0.4. Кроме всего прочего на ней был настроен прозрачный прокси. Сейчас водружен ALT Server 4.0.1. Настройки делал с нуля, но по образцу со старой машины. В squid.conf тоже вроде все нужне вещи выставлены: = httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on = В 4.0.1 Squid линейки 2.6, для него httpd_accel_* не нужны. Необходимо и достаточно http_port 3128 transparent -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ovz контейнер и его reboot
On Tue, 14 Aug 2007 14:40:18 +0400 Maks Re wrote: находясь внутри контейнера для его перегрузки даем reboot. Итог - контейнер выключен. и приходится в HN #vzctl start name делать такое (вместа ребута выключение) поведение нормальное или бага какая? При перезагрузке контейнера изнутри его самого VPS остаётся в состоянии 'mounted' и помечается как требующая перезагрузки. Сам перезапуск осуществляется из HN скриптом /usr/share/vzctl/scripts/vpsreboot, вызываемым по cron'у раз в 5 минут. Т.е., при перезапуске контейнера ожидание минут в 5, в течении которых он будет выключен - это нормально. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openVPN
On Tue, 07 Aug 2007 12:28:38 +0400 Igo wrote: есть два сервера на которых стоит openvpn 1 alm4 2 alm24 вяжутся нормально и работают нормально кокой-то определенные период. ... Кто клиент, кто сервер? Откуда берётся маршрут на 192.168.0.0/24 ? Однако, применяя телепатические методы: 1 почему перестаёт все работать непойму, может что подскажите (в логах пусто) У клиента стоит проверить наличие в конфиге строк: resolv-retry infinite persist-key persist-tun 2 что подправить что бы избавиться от ERROR: Linux route delete command failed: Ничего. Это нормально. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openVPN
On Tue, 07 Aug 2007 13:24:47 +0400 Igo wrote: никогда не указывал кто клиент кто сервер и думал это не обязательно при таких настройках Да, в этом случае - не обязательно, это вариант работы peer-to-peer. попробую resolv-retry infinite укажу И обязательно ещё persist-key persist-tun В конфигурации заданы опции user openvpn group openvpn После начального соединения openvpn понижает свои полномочия до непривилегированного пользователя и после разрыва соединения не может снова восстановить настройки интерфейса tun1 (ну и прочитать заново ключ шифрования, если на него правильные права стоят). verb 3 ^^^ '4' здесь даст больше информации в логи. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ftp access to diff. VE-s for diff. users
On Wed, 1 Aug 2007 12:04:29 +0400 Alexander Volkov wrote: Может кто разъяснить, как осуществляется ftp доступ разных пользователей к своим различным контейнерам? Зависит от назначенных контейнерам IP. В случае публичных - так же, как и обычно, в случае частных - или проброской какого-либо нестандартного порта с NH на порт 21 VPS и работой в пассивном режиме, или установкой на HN прокси-сервера для FTP. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN в OVZ-контейнере + мар шрутизация
On Fri, 29 Jun 2007 10:37:07 +0400 Alex Moskalenko wrote: В сообщении от Friday 29 June 2007 10:18:46 Nikolay A. Fetisov написал(а): OpenVPN раздаёт клиентам маршрут в сеть 192.168.123.0/24 через сервер OpenVPN? Да, маршрут клиентам отдается и устанавливается. На машинах в сети 192.168.123.0/24 маршрут на 192.168.234.0/24 через 192.168.222.50 отдельно прописан? Для них этот сервер - default gw, так что можно считать, что прописан. Да, вот только пакеты от клиентов OpenVPN из сети 192.168.234.0/24 к ним приходят не с 192.168.123.1, а с 192.168.222.50. Рассматривайте VE c OpenVPN как отдельный хост - все станет намного понятнее. Без SNAT пакет с машины из сети VPN в локальную сеть проходит через шлюз 192.168.222.50. Обратно же локальная машина отсылает его через default gateway - отнюдь не на 192.168.222.50. Пропишите маршрут на машине в локальной сети на 192.168.222.50 - будет работать. Когда же внутри VE включён SNAT, то пакеты в локальную сеть приходят от 192.168.222.50 - и обратно отправляются туда же, а не на 192.168.123.1. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] MySQL: tables and db case insensitive
On Tue, 17 Apr 2007 18:24:22 +0400 Vladimir Karpinsky wrote: Можно ли настроить MySQL под Linux так, чтобы имена баз и таблиц были бы нечувствительны к регистру? Подозреваю, что нет, но очень надеюсь ошибиться. Да, можно. В /var/lib/mysql/my.cnf, параметр lower_case_table_names. Поведение MySQL под Windows задаётся через lower_case_table_names = 1 -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Построить VPN.
On Sat, 17 Feb 2007 18:16:41 +0200 Dmitriy L. Kruglikov wrote: Есть необходимость построить VPN... С одной стороны (филиал) имеем: D-Link DSL-524T, 3 рабочие станции (не Linux). Много разных путей есть... - Поставить в филиале сервер, и связывать два сервера - со всем богатством выбора решений VPN под Linux. - Поставить клиентов VPN на рабочих станциях. OpenVPN/tinc/PPTP/... OpenVPN точно можно прописать как службу и поднимать автоматом при загрузке машины. - Настроить VPN на DSL-524T. Сразу скажу, такого не пробовал, но, из общих соображений: - на DSL-524T, по идее, должны работать альтернативные прошивки типа OpenWRT: http://wiki.openwrt.org - а для OpenWRT есть сборки очень многих программ, включая OpenVPN/tinc: http://downloads.openwrt.org/whiterussian/packages/ Этот путь, наверное, самый интересный, но и с наибольшим числом возможных подводных камней... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN и статическая раздача адресов
On Sat, 10 Feb 2007 22:49:51 +1200 Alexey Borovskoy wrote: ... А можно пример статической конфигугации? Я в файле ccd/user пишу так: ifconfig 10.0.0.6 10.0.0.5 Здесь нужен ifconfig-push, а не ifconfig. Кусок рабочей конфигурации: /etc/openvpn/openvpn.conf: server 192.168.242.0 255.255.255.0 client-config-dir /etc/openvpn/ccd-nnr # cat /var/lib/openvpn/etc/openvpn/ccd-nnr/naf-m ifconfig-push 192.168.242.101 192.168.242.102 -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN и статическая раздача адресов
On Tue, 16 Jan 2007 00:52:24 +1200 Alexey Borovskoy wrote: Вот хочу научить openvpn раздавать адреса статически, с привязкой через ccd/. Сейчас в конфиге прописан диапазон с помощью server net mask. Что туда прописать вместо server ? У меня подозрение что статика с динамикой работать одновременно не будут. Работают. Проблемы могут возникнуть разве что если клиент с конфигураций по-умолчанию (без файла в ccd/) получит автоматом адрес, который прописан в конфигурации _до этого момента_ не регистрировавшегося клиента, описанного в ccd/. В остальном оно работает вместе с использованием 'server'. Указанную проблему можно решить, или запретив регистрацию клиентов без статических конфигураций (ccd-exclusive), или используя вместо директивы 'server' полную форму конфигурирования сервера - см. в man 8 openvpn в районе описания '--server'. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] iptables/nat и несколько одина ковых сетей
On Sat, 18 Nov 2006 10:32:27 +0300 Eugene Prokopiev wrote: Что криминального в этой строке и отчего она не работает: # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT --to-source 192.168.199.88 ^^^ А это не опечатка ли, в описании такой сети не видно... -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVZ : каких ресурсов не хва тает?
On Thu, 16 Nov 2006 18:08:40 +0300 Eugene Prokopiev wrote: -bash: cannot make pipe for command substitution: Too many open files in system -bash: fork: Cannot allocate memory Но при этом в /proc/user_beancounters: 101: kmemsize2588891277857427525122936012 1932 ^^ Наверное, нужно увеличить размер памяти ядра, доступный VPS. И посмотреть на вывод утилиты vzcfgvalidate. И не понятно, когда очищается failcnt? При перезапуске VPS. См. http://wiki.openvz.org/UBC_failcnt_reset . -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ovpn on multihomed server
On Mon, 23 Oct 2006 14:36:14 +0400 Alexander Volkov wrote: Есть сервер на 2.4, смотрящий в 3 провайдеров. На ём поднят openvpn, policy routing подразумевает, что пакет, пришедший на один из интерфейсов, с него же и уходит, но дефолтный шлюз один. Так вот, установить vpn соединение можно только с интерфейсом этого дефолтного шлюза... Хотя апач, к примеру, отзывается на всех трёх нормально. Фаерволом пакеты не режутся, в логах бы видел... Где б что ещё посмотреть? А что пишет-то openvpn? С увеличенным значением verb? Хотя, скорее всего, смотреть надо на настройки маршрутизации. Особенно в отношении UDP-пакетов, исходя из того, что Apache работает. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Распределение п о контейнерам
On Sun, 6 Aug 2006 17:22:10 +0300 Michael Shigorin wrote: . засунуть_в_чрут postgres вытащить_из_чрута postgres Нет, я не знаю, насколько это технически реализуемо... Вполне реализуемо. Для вытаскивания PostgreSQL из chroot достаточно закомментировать определение переменной PG_CHROOT_DIR в /etc/init.d/postgresql (22я строка для 8.1.4-alt1) и удалить все /tmp/.s.PGSQL.* . В обратную сторону - раскомментировать эту переменную. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] шифрование
On Thu, 25 May 2006 10:37:27 +0400 Anton Gorlov wrote: Nikolay A. Fetisov пишет: Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее, проблем быть не должно. И прежде чем помещать на защищенный диск целиком /home, лучше предварительно оценить возможности машины, процессор оно грузит вполне ощутимо. хм.. когда у меня был bestcrypt..вернее он был до меня -то более-менее на 50 пользователей справлялся целерон 1,8 (знаю что изврат..но это тяжкое наследство.. от которого избавляюсь потихоньку). Там шара с кучей документов... Я и говорю - _лучше предварительно оценить_. Здесь есть сравнение производительности для Athlon 2 GHz и Celeron 1.2 GHz: http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio Видно, что при подключении устройств через dm-crypt скорость чтения и записи выравниваются и определяются производительностью процессора. Из модулей лучше использовать aes-i586. Ну и даже Celeron 1.2 GHz обеспечивал работу со скоростью порядка 14-15 Mb/s, т.е. для файл-сервера, раздающего документы по сетке 100TX, этого всё равно более чем достаточно; количество клиентов определяется возможностями сети. А вот потери производительности при, например, сборке программ на разделе dm-crypt, будут уже весьма ощутимы. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openvpn client network
On Tue, 4 Apr 2006 10:17:23 +0400 Alexander Volkov wrote: NAF Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn, NAF получают ли они пакеты и куда дальше их отправляют? судя по приведенному сообщению в логе, пакет от машины за клиентом не признается сервером и дропается... А вот почему - непонятно. Надо бы проверить, использовал ли сервер файл с настройками клиента из ccd. В логах должна быть строка вида: OPTIONS IMPORT: reading client specific options from: ccd/XXX В ccd/XXX нужна строка iroute 192.168.2.0 255.255.255.0 В основном файле конфигурации сервера должно присутствовать route 192.168.2.0 255.255.255.0 Более подробно есть в http://openvpn.net/howto.html#scope , часть Including multiple machines on the client side when using a routed VPN (dev tun). -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openvpn client network
On Mon, 3 Apr 2006 16:46:54 +0400 Alexander Volkov wrote: .. Добавил ключей ещё для одного клиента, на сервере создал каталог ccd, в ём файл имени common name этого клиента, где прописана директива iroute, в server.conf добавлена директива route, которая благополучно на сервере же добавляется в маршруты при старте сервиса. После поднятия канала маршруты стоят правильно и на сервере, и на клиенте? Сам клиентский шлюз работает на ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам. В каких логах? Про пакеты openvpn вроде бы ничего не пишет. Межсетевые экраны всё, что нужно, пропускают? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] openvpn client network
On Tue, 4 Apr 2006 09:08:54 +0400 Alexander Volkov wrote: On 2006-04-04 00:15:09 +0400, Nikolay A. Fetisov wrote: . NAF После поднятия канала маршруты стоят правильно и на сервере, и на NAF клиенте? да, это в первую очередь проверял. NAF Сам клиентский шлюз работает на NAF ура, но вот сеть за ним - не видит основную, в логах - отлуп пакетам. NAF В каких логах? Про пакеты openvpn вроде бы ничего не пишет. Межсетевые NAF экраны всё, что нужно, пропускают? ещё как пишет... А что пишет-то? Экран пропускает. Ибо на vtun проверено с этой же подсетью. Поскольку маршруты ч-з vtun и openvpn идут по разным сетям, ip ro flush cache тоже делал перед рестартом openvpn. Может быть, посмотреть с помощью tcpdump на сервере и клиенте openvpn, получают ли они пакеты и куда дальше их отправляют? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
