Ну собственно…

Ну, собственно запустил у себя на серваке свой блог.
Буду писать сюда и кроспостить в ЖЖ.

От ЖЖ полостью отказываться пока не собираюсь. :)

Использование в Linux IEEE 802.1Q VLAN’ов совместно с Cisco Catalyst Switch

Linux:
/sbin/vconfig add eth1 5
/sbin/vconfig add eth1 4
/sbin/ifconfig eth1.4 192.0.0.8 netmask 255.255.255.240 up
/sbin/ifconfig eth1.5 192.0.1.8 netmask 255.255.255.240 up

Catalyst:
conf t
int fa0/0
switchport mode trunk
switchport trunk allowed vlan 4,5,1002-1005

Дублирование серверов

Имеется два сервера — первичный и запасной. При помощи протокола VRRP (Virtual Router Redundancy Protocol)
при крахе первичного сервера, автоматически поднимаем его MAC и IP на запасном.

Устанавливаем vrrpd (http://sourceforge.net/projects/vrrpd/).

На первичном сервере выполняем:

vrrpd -i eth0 -p 25 -v 1 192.168.1.1

На запасном:

vrrpd -i eth0 -p 24 -v 1 192.168.1.1

,где
-i eth0 — имя интерфейса на котором будет установлен IP 192.168.1.1
-v 1 — (virtual router) номер VRRP связки
(в локальной сети может быть несколько резервирующих друг-друга систем)
-p N — приоритет, машина с меньшим весом будет активирована, только при недоступности системы с большим весом.

При тестировании можно использовать tcpdump -vv proto 112

5 пунктов обезопасить Апач

1. Отключить сигнатуры:

ServerSignature Off
ServerTokens Prod

2. Запуск апача под собственным аккаунтом:

User apache
Group apache

3. Запретить доступ Апачу в другие директории:

Order Deny,Allow
Deny from all
Options None
AllowOverride None

4. Запретить просмотр листинга каталога:

Options -ExecCGI -FollowSymLinks -Indexes

5. Выключить лишние модули:

cat ./httpd.conf | grep LoadModule

Сборка ПХП

Для себя напоминание, чтоб потом не париться:

./configure —prefix=/usr —with-apxs2=/usr/local/apache2/bin/apxs —with-openssl —with-zlib —enable-ftp —enable-gd —with-gd —with-jpeg-dir=/usr/lib —with-freetype-dir=/usr/lib —with-mysql=/usr/local —enable-sockets —with-gettext —with-iconv=/usr/local

.htaccess

1. Закрыть директорию паролем:

require valid-user
Authname «DirectoryName»
Authtype Basic
AuthUserFile «/path/to/.htpasswd»

2. Закрыть файл паролем:
<Files «mypage.html»>
Require valid-user
</Files>
Authname «DirectoryName»
Authtype Basic
AuthUserFile «/path/to/.htpasswd»

Команда man по завершении просмотра стирает экран с мануалом

Проблема: Команда man по завершении просмотра стирает экран с мануалом Называется «а у тебя ведь хорошая память? Isn’t it?»

Лечение: man использует для просмотра команду less. У less есть ключ «-X» — «не деинициализировать экран по окончании. Поэтому добавьте его к дефолтным ключам в переменную окружения LESS в своем профайле.

LESS=»-e -r -X»
export LESS

Лечение (другой метод): поправить в описании терминала строку деинициализации (ах, как там она называется?), и убрать из нее команду стирания экрана.

LightSquid и статистика пользователей

Есть такой популярной анализатор логов прокси-сервера Squid как LightSquid. И многие администраторы его используют. Скорее всего, что я не первый столкнулся с проблемой того, как показывать пользователям локальной сети их статистику походов по сайтам. Предлагаю свое решение данной небольшой проблемы. Пишем простые .htaccess + index.html файлы и ложим их в каталог со скриптами (у меня исполнение cgi-скриптов и показ html-файлов в одном и том же каталоге разрешено). Итак index.html:


								
							

Подключение антивирусного пакета BitDefender к MTA Postfix

Многие системные администраторы Linux задаются вопросом: «Какой почтовый сервер использовать и какой антивирус к нему установить?». Я предпочитаю Postfix и Bitdefender. последний мне понравился еще для ОС Windows, но к сожалению он является платным продуктом.

К счастью консольная версия для ОС Linux бесплатна и ее мы сможем научить работать с MTA Postfix. Чем и займемся.

Для начала берем BitDefender Linux Edition (бесплатная консольная версия) на официальном сайте продукта (http://bitdefender.ru) и его устанавливаем.

Далее нам необходим какой-либо скрипт для того, чтоб «связать» между собой MTA Postfix и BitDefender. Вот его нам и предстоит написать.

Определим задачи, которые он должен выполнять.

  1. Сохранять письмо в файл.
  2. Вызывать BitDefender для проверки файла.
  3. Анализировать результат проверки.
  4. В случае определения вируса уведомить пользователя о нахождении вируса и удалить письмо.
  5. Вести журналы работы.

Ограничение доступа по SHH через PAM

Одним из преимуществ PAM (Pluggable Authentication Module) является возможность ограничения числа сетевых пользователей, имеющих доступ к определенному сервису, на основе списка. Например, с помощью PAM можно задать ограничения на SSH-подключения.

Добавьте в файл /etc/pam.d/sshd строку:

auth required /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users

Эта директива разрешает регистрацию пользователя через sshd, если его имя присутствует в файле /etc/sshd_users. Опции имеют следующие значения:

  • onerr=fail — этот параметр не даст успешно пройти тест, если произойдет ошибка (указанный файл не найден или в файле обнаружена некорректная строка). В результате пользователю будет отказано в регистрации через sshd. Другим возможным значением параметра onerr является succeed.
  • item=user — означает, что мы проверяем имя пользователя.
  • sense=allow — если пользователь найден в заданном файле, пройти этот тест. Это разрешит регистрацию пользователя, если пройдут также все другие тесты. Другим возможным значением параметра sense является deny.
  • file=/etc/sshd_users — задает файл, содержащий список имен пользователей (по одному имени на строку), которым разрешена регистрация через sshd.

С указанной строкой, файл /etc/pam.d/sshd будет выглядеть приблизительно так:

#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_limits.so
session optional pam_console.so

Теперь вы можете добавить в файл /etc/sshd_users необходимых пользователей. Каждое имя пользователя должно быть указано отдельной строкой.

Я пришел к тебе с дискетой - рассказать, что сеть упала
Яндекс.Метрика beget