Ответы пользователя Mystray по тегу «Linux»

Как дать пользователю в Линуксе доступ к порту 80?

Mystray @Mystray

NOC

Ну гуглится же ответ.
setcap 'cap_net_bind_service=+ep' /path/to/program

Now for the caveats:

You will need at least a 2.6.24 kernel
This won't work if your file is a script. (ie, uses a #! line to launch an interpreter). In this case, as far I as understand, you'd have to apply the capability to the interpreter executable itself, which of course is a security nightmare, since any program using that interpreter will have the capability. I wasn't able to find any clean, easy way to work around this problem.
Linux will disable LD_LIBRARY_PATH on any program that has elevated privileges like setcap or suid. So if your program uses its own .../lib/, you might have to look into another option like port forwarding.

Ответ написан более трёх лет назад

14 комментариев

Как убрать определенное правило iptables?

Mystray @Mystray

NOC

Дополню automatik
Можно просто из вывода iptables-save (или iptables -S, но можно запутаться в цепочках) ввести правило к удалению, заменив -A на -D
Ключ -D удаляет правило, полностью подпадающее под определение.
iptables -D INPUT -i eth0 -p udp -m udp --dport 80 -j DROP
iptables -D INPUT -i eth0 -p tcp -m udp --dport 80 -j DROP

Ответ написан более трёх лет назад

Комментировать

Как запретить исходящие соединения к 80 порту на ПК, подключенных к VPN на базе PPTPD в Ubuntu Server?

Mystray @Mystray

NOC

А зачем вы в OUTPUT добавили? Это и есть цепочка для исходящих с самого сервера.
Вам надо в FORWARD добавить, и еще указать исходящий, к примеру, интерфейс или диапазон адресов, чтоб не зарезать вообще весь транзитный трафик на 80 порт.

Ответ написан более трёх лет назад

4 комментария

Как работает bridge на уровне ядра?

Mystray @Mystray

NOC

Если так сильно хочется разобраться ВООБЩЕ в сетевой архитектуре, включая обработку прерываний, структуры ядра, и прочее, то существует перевод хорошей книги.
"Linux: сетевая архитектура. Структура и реализация сетевых протоколов в ядре", КУДИЦ-ОБРАЗ, ISBN 5-9579-0094-X
Она, конечно, немного устарела, но общее понимание даст.
А вообще, какова цель? Может, вы к проблеме не с той стороны подходите?

Ответ написан более трёх лет назад

1 комментарий

Iptables redirect eth0 to eth1, как проверить работоспособность?

Mystray @Mystray

NOC

Не очень понятно что вы хотите сделать. Что за адрес в дНАТ, какие адреса на интерйфейсах?

#собственно думаю понятно, что я хотел сделать

Не очень. Сначала вы запретили форвард, потом разрешили его же. У вас там больше двух адаптеров?

Если вам надо сделать простой примитивный НАТ, как на обычных роутерах, то это делается абсолютно иначе, без dnat, зато с snat/masquerade.
iptables -t nat -A POSTROUTING -o <интерфейс в сторону интернета> -j MASQUERADE
iptables -P FORWARD ACCEPT
sysctl -w net.ipv4.ip_forward=1

Этого, как правило, достаточно, если не накосячили в других местах.

Ответ написан более трёх лет назад

5 комментариев

Почему так много входящих соединений?

Mystray @Mystray

NOC

DPT=3389, DPT=123, ..., стандартные потенциально уязвимые сервисы. Наверняка еще и по ссш пароли перебирать будут, если найдут.
Ботнеты будут сканить все, что могут, на предмет уязвимостей.
Привлекает живой хост на белом айпишнике. Смиритесь.
И обновляйтесь.

Ответ написан более трёх лет назад

3 комментария

Скрипт для подключения по SSH, как сделать?

Mystray @Mystray

NOC

Правильно - настроить ключи и Ansible.
Неправильно, но работает - sshpass

sshpass - noninteractive ssh password provider
sshpass is a utility designed for running ssh using the mode referred to as "keyboard-interactive" password authentica‐
tion, but in non-interactive mode.

ssh uses direct TTY access to make sure that the password is indeed issued by an interactive keyboard user. Sshpass runs
ssh in a dedicated tty, fooling it into thinking it is getting the password from an interactive user.

The command to run is specified after sshpass' own options. Typically it will be "ssh" with arguments, but it can just
as well be any other command. The password prompt used by ssh is, however, currently hardcoded into sshpass.

Ответ написан более трёх лет назад

Комментировать

Как автоматически распозновать количество сетевых карт и их названий Zabbix?

Mystray @Mystray

NOC

Если по SNMP, то примерно так: есть правило обнаружения, с шаблонами.
Например, создав правило обнаружения по OID ifName (.1.3.6.1.2.1.31.1.1.1.1.), получим полный список имен интерфейсов.

$ snmpwalk -v2c -c public 10.0.10.1 ifName 
IF-MIB::ifName.1 = STRING: lo
IF-MIB::ifName.2 = STRING: eth0
IF-MIB::ifName.3 = STRING: eth1
IF-MIB::ifName.4 = STRING: eth2
IF-MIB::ifName.5 = STRING: eth3
IF-MIB::ifName.6 = STRING: ifb0

Потом на основании этого списка и шаблонов элементов создаются реальные элементы.
https://www.zabbix.com/documentation/2.4/ru/manual...

Ответ написан более трёх лет назад

1 комментарий

Как часто у вас ломался и падал Linux Mint?

Mystray @Mystray

NOC

Использую Mint 17 с релиза, на работе Mate, дома Cinnamon.
Каких-либо серьезных проблем за это время не встречал, "под капот" лазил, только когда нужно было настроить "что-то такое эдакое" вроде vxlan на сетевой карте.
Пожалуй, проблемой может быть только то, что не всегда есть свежие репозитории для ubuntu 14.04, столкнулся с этим в owncloud, впрочем со временем пофиксили.

Ответ написан более трёх лет назад

1 комментарий

Какой самый простой способ в Linux получить шелл (песочницу), из которого заблокирован доступ к сети?

Mystray @Mystray

NOC

Запустить процесс в отдельном network namespace - самый простой способ.
В нем будет только потушенный интерфейс lo. Можно пробрасывать внутрь интерфейсы, при необходимости.

# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 38:2c:4a:bf:18:41 brd ff:ff:ff:ff:ff:ff
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:15:17:0e:24:42 brd ff:ff:ff:ff:ff:ff
# ip route
default via 192.168.0.1 dev eth0 
169.254.0.0/16 dev eth0  scope link  metric 1000 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.12
# ip netns add TEST
# ip netns exec TEST bash #все последующее выполняется уже "внутри" неймспейса:
# ip route
# ip link
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

Ответ написан более трёх лет назад

Комментировать

Пишешь в "cli" на одном сервере, а это выполняется сразу на всех абсолютно идентичных копиях сервера?

Mystray @Mystray

NOC

PAC Manager,
SecureCRT

Ответ написан более трёх лет назад

1 комментарий

Как обойти удаление всех алиасов вместе с нулевым?

Mystray @Mystray

NOC

edit спустя 2 года:
open the /etc/sysctl.conf file and add the following line:
net.ipv4.conf.all.promote_secondaries = 1
Как минимум при работе через ip addr del x.x.x.x/y - секондари не удаляются.

Ответ написан более трёх лет назад

5 комментариев

Можно ли замаскировать зарубежный хостинг под российский?

Mystray @Mystray

NOC

У такого решения есть минусы. Например, в логах удаленного сервера все обращения будут с IP промежуточного сервера, вместо реального клиента. Может, лучше уж поставить реверс-прокси и уже с него ломиться на удаленный? Оно решит проблему подстановкой дополнительных заголовков.
Вторая проблема: если захотят подкопаться, то вполне могут найти и реально расположение (например, если сервер может инициировать соединения, скачивая файлы по ссылке, или отправляя почту напрямую), или банальной трассировкой. В таком варианте решение - только ВПН до удаленного хоста и заворачивание всего трафика через впн.

Ответ написан более трёх лет назад

Комментировать

Как перенаправить трафик вместе с ip клиента?

Mystray @Mystray

NOC

Вот это вот:
iptables -t nat -A POSTROUTING -j MASQUERADE
подменяет Source IP адрес у всех уходящих пакетов на IP этой машины. Уберете это правило (или ограничите область его действия) - не будет подменяться.
Но надо следить, чтоб и обратный трафик так же проходил через ту же машину, которая подменяет адреса, как минимум для протоколов с двусторонним обменом данными. Без этого все сломается.
Если же там syslog или другие "односторонние" udp-протоколы, то будет нормально.

Либо, если есть возможность, использовать прокси и средства L7 протоколов вроде заголовка X-Forwarded-For.

Ответ написан более трёх лет назад

Комментировать

Чем отслеживать логи?

Mystray @Mystray

NOC

Простая, как доска, и примерно настолько же надежная штука - logcheck.
Грепает указанные логи, и все, что не соответствует шаблону (или наоборот) - высылает на почту. Очень легкая, при некоторых навыках рисования регекспов довольно гибкая. Во многих случаях большего и не нужно.

Ответ написан более трёх лет назад

Комментировать

Почему в текстовом файле появляются спецсимволы после его архивации с помощью tar gzip?

Mystray @Mystray

NOC

А как вы его распаковываете?
Судя по всему, вы немного неверно используете tar -czf, она на выходе дает файл формата tar, сжатый в формат gz, то есть получаете .tgz (или .tar.gz, что то же самое). Соответственно и распаковывать его тоже надо или сразу через tar -xzf или сначала через gunzip потом через tar -xf

Ответ написан более трёх лет назад

1 комментарий

Grep: как исправить регулярку с просмотром вперед?

Mystray @Mystray

NOC

Вам нужен не ERE (grep -E) режим, а PCRE (grep -P).
В обычном (даже расширенном) режиме grep не умеет lookarounds и многое другое
www.regular-expressions.info/refadv.html

Ответ написан более трёх лет назад

1 комментарий

Как натить ответы на tcp соединения?

Mystray @Mystray

NOC

Очень топорное и рискующее отстрелить себе ногу решение: stateless nat (tc filter action nat) . В вашем случае вешать на интерфейс в сторону клиента. Ему плевать на состояние, на флаги tcp и на iptables, оно просто ставит один адрес вместо второго не всех пакетах, подпадающих под match.
Как-то так (не уверен насчет правильности аргументов, синтаксис tc страшен как ядерная война)
# tc qdisc add dev eth0 root handle 1: htb
# tc filter add dev eth0 \
protocol ip parent 1: prio 10 u32 \
match ip src 192.168.100.246/32 \
match ip protocol 6 0xff \
match ip sport 5689 0xffff \
action nat egress 192.168.100.246/32 192.168.49.56

Ответ написан более трёх лет назад

4 комментария

Почему при переходе на внешний адрес роутера перекидывает на Luci?

Mystray @Mystray

NOC

Проблема в том, что проброс портов (DNAT) включен только для пришедших с внешнего интерфейса пакетов. Нужно либо делать Hairpin NAT (DNAT+SNAT внутри) либо подменять DNS на внутренний для клиентов внутри сети.

Ответ написан более трёх лет назад

Комментировать

Куда устанавливать пользовательские приложения в Linux?

Mystray @Mystray

NOC

Если цельный пакет со своей структурой каталогов, то в /opt/$pkg_name/ (потом удобно удалить/обновить скопом если что), если самодельный скрипт/ресурс, то в соответствующее место /usr/local/*/

Ответ написан более трёх лет назад

Комментировать

Войдите на сайт