Підключення до xStack D-Link DGS-3120 через термінал

Підключитися до COM порта можна за допомогою кабелю який входить в комплект поставки свіча. Якщо настроєний xStack, то шнур потрібно підключити до  master ID.

Параметри сом порта:
• 115200 baud
• no parity
• 8 data bits
• 1 stop bit

Як призначити функцію master ID в xStack D-Link DGS-3120?

Через веб інтерфейс вибираємо пункт конфігурації System Configuration->Stacking
група параметрів "Box ID Settings" параметр priority (1-63) .
Назначаємо свічу 1 - це master ID, 2 - це backup master ID.

Через командну стрічку:
config box_priority current_box_id 1 priority 1

Як розблокувати залочений під оператора iPhone, HTC, Sumsung ...

Самий дешевий спосіб який я знайшов через ebay
http://www.ebay.com/itm/Factory-Unlock-Code-Service-for-AT-T-ATT-USA-Apple-iPhone-3GS-4G-4S-5-T-Mobile-/190743905442?pt=LH_DefaultDomain_0&hash=item2c693904a2

Перевірив сам. Зранку перерахував гроші вечором отримав повідомлення. 

NTLM в корпоративних мережах

NTLM в корпоративных сетях

Как защищаться от атак NTLM

Основное средство от различных атак перехвата - это, разумеется, шифрование трафика между хостами. Можно найти достаточное количество руководств по внедрению шифрования трафика с помощью политик безопасности IP.

Чтобы предотвратить атаки NTLM релеинга с помощью протокола CIFS, следует ограничить использование этого протокола. Во-первых подключения по протоколам NetBIOS (TCP/139) и CIFS over TCP (TCP/445) не должны пропускаться не только из внешней сети во внутрь, но и из внутренней сети наружу. По многим причинам, включая и эту, доступ к ресурсам Internet для пользователей следует организовывать не при помощи трансляции адресов, а с помощью прокси-сервера. Атака NTLM релеинга с помощью CIFS может быть использована и во внутренней сети, с целью повышения привилегий. Чтобы этого недопустить, следует ограничить связь на сетевом уровне между клиентскими компьютерами. В идеальном случае у клиентов должна быть связь только с теми серверами, к которым они должны подключаться. В сетях Windows 2000/XP/2003 такая структура сети легко реализуется за счет применения доменных политик безопасности IP.
http://securityvulns.ru/articles/ntlm/

Під час встановлення Symantec Endpoint Protection помилка "Ошибка 2343..."

Під час встановлення Symantec Endpoint Protection помилка "Ошибка 2343..." Вилікувалося тільки програмою від виробника  cleanwipe,  яка витирає всі залишки в системі від попередніх чи інших версій програмних продуктів Symantec.
Програму брати звідси:
https://fileshare.symantec.com
Login ID: cleanwipeutility
Password: CL3@nw!p3

http://forum.oszone.net/thread-211907.html

Cisco 3800 Serial0/0/0 is down, line protocol is down

Ситуація наступна. Після перенесення обладнання в іншу шафу перестав працювати один модем. Дивимося інформацію по інтерфейсу

show int serial0/1/0

Serial0/1/0 is down, line protocol is down
Hardware is HWIC-Serial
Internet address is 10.85.253.33/30
MTU 1500 bytes, BW 57 Kbit, DLY 100000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Closed, loopback not set
Keepalive not set
DTR is pulsed for 5 seconds on reset
Last input never, output 00:32:57, output hang never
Last clearing of "show interface" counters 00:35:48
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/16 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 42 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
3 packets output, 72 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=down DSR=down DTR=down RTS=down CTS=down

Ніби все добре, наступна команда

show controllers serial0/1/0

HWIC-Serial unit 0 slot 0/1/0,
No serial cable attached
Stats for LED(s):
Loopback bitmask 0x0
LED1 is Green


HWIC Register Base: 0x43A00000
------------------
HWIC Common Registers:
---------------------
id(0x00): 0x00000001 rev(0x01): 0x00000002 status(0x02): 0x00000000
tx crc(0x01): 0x00000000 ctrl(0x06): 0x00008081

HWIC Serial Common Registers:
----------------------------
hwic_serial_rev(0x1000): 0x07292004 hwic_serial_ctrl(0x1004): 0x00000009
intr1_enable(0x1020): 0x0000002A intr2_enable(0x1022): 0x0000000F

HWIC Serial SCC Registers:
----------------------------
ch_mode_cfg: 0x08019035 ch_flag_cfg: 0x00001311 ch_floctrl_cfg: 0x00003200
..........


Все опинилося дуже просто  не до кінця запханий кабель.

router#show int serial0/1/0
Serial0/1/0 is up, line protocol is up
Hardware is HWIC-Serial
Internet address is 10.85.253.33/30
MTU 1500 bytes, BW 57 Kbit, DLY 100000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, loopback not set
Keepalive not set
DTR is pulsed for 5 seconds on reset
Last input 00:00:00, output 00:00:01, output hang never
Last clearing of "show interface" counters 00:36:30
Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/16 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 42 kilobits/sec
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 1 packets/sec
9 packets input, 248 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
9 packets output, 217 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=down RTS=down CTS=up

Як бачим все запрацювало  "line protocol is up" 

Лінки OSPF

1.  Для загального ознайомлення.
http://uk.wikipedia.org/wiki/OSPF -

2.  Загальний опис команд для Cisco
http://xgu.ru/wiki/OSPF_%D0%B2_Cisco#.D0.A2.D0.B0.D0.B1.D0.BB.D0.B8.D1.86.D0.B0_.D0.BC.D0.B0.D1.80.D1.88.D1.80.D1.83.D1.82.D0.B8.D0.B7.D0.B0.D1.86.D0.B8.D0.B8

3. Проектування OSPF  http://www.cisco.com/cisco/web/support/RU/9/92/92027_1.html

http://img.nag.ru/projects/setup/411/b0ba7dcb994101faf18b586b82496ada.pdf

http://ods.com.ua/win/rus/net-tech/ospf.html

http://sysadmins.ru/topic125478.html

http://saddastus.blogspot.com/2012/06/linux-centos-ospf-cisco-zebra-pppoe.html

http://img.nag.ru/projects/setup/8e1/6f6a85469fb30347f1e92b3a5686b418.pdf
http://xgu.ru/wiki/OSPF
http://www.cisco.com/en/US/tech/tk365/tk480/tsd_technology_support_sub-protocol_home.html
http://www.ciscolab.ru/routing/10-vvedenie-v-protokol-ospf.html
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094820.shtml
http://www.cisco.com/en/US/tech/tk365/technologies_q_and_a_item09186a0080094704.shtml#q3a
http://network.24sport.info/cisco/kak-nastroit-cisco-ospf-example-how-to/
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00800949f7.shtml
http://twistedminds.ru/2012/09/ccnp-preparation-ospf-2/
http://alexandr.sysoev.ru/node/49

https://www.blogger.com/profile/01369430756856742351

http://www.cisco.com/web/RU/about/brochures/index.html

Лінки на CBL

http://cbl.abuseat.org

CBL Rsync Access Request http://cbl.abuseat.org/rsync-signup.html

http://www.spamhaus.org/lookup/

Лінки на настройку Sendmail

Обалдєнний сайт по Sendmail http://linux.ufaras.ru/map.html

Ще лінк
http://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=sendmail+&sys=0&dir=0&zoom=topic&base=

http://samag.ru/archive/article/699

Sendmail /etc/mail/access в якості контролю доступу

1. Переконатися що ця функція включена в настройці sendmail.
Має бути наступний рядок FEATURE (`access_db) DNL в файлі /etc/mail/sendmail.mc

2. Прописати в access для прикладу:
     skyeits.com ERROR:550:Relay denied

http://www.cyberciti.biz/faq/sendmail-blocking-spam-email-id-ips-with-access-database/

Утиліта dig DNS

Перевірити PTR домену:

dig -x 8.8.8.8

Як викинути свій поштовик з списку CBL

1. Перевіряємо чи має наш поштовик запис PTR в DNS.
2. Утилітами trafshow та tcpdump нічого непобачив. Тільки замітив що на деяких компах TheBat дуже часто звертається до SMTP на серваку.
3. Дивимося чергу листів /var/spool/mqueue
багато листів такого вмісту

V6
T1343718937
K1343719156
N1
P1501715
MUser unknown
Fs
$_localhost [127.0.0.1]
$rSMTP
$sUser
${daemon_flags}
${if_addr}127.0.0.1
S<test123@skyeits.com>
rRFC822; pearleyoung@aol.com
RPFD:<pearleyoung@aol.com>
MDeferred: 421 mtain-dk03.r1000.mx.aol.com Service unavailable - try again later
rRFC822; pearn@aol.com
RPFD:<pearn@aol.com>
MDeferred: 421 4.7.0 [TS01] Messages from X.X.X.X temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
rRFC822; pearl_senior@yahoo.co.uk
RPFD:<pearl_senior@yahoo.co.uk>
rRFC822; pearl_patac@yahoo.com
RPFD:<pearl_patac@yahoo.com>
rRFC822; pearlangel_41@yahoo.com
RPFD:<pearlangel_41@yahoo.com>
rRFC822; pearleminent@yahoo.com
RPFD:<pearleminent@yahoo.com>
rRFC822; pearlgem60@yahoo.com
RPFD:<pearlgem60@yahoo.com>
rRFC822; pearlhan881@yahoo.com
RPFD:<pearlhan881@yahoo.com>
rRFC822; pearlie5043@yahoo.com
RPFD:<pearlie5043@yahoo.com>
rRFC822; pearliechildress@yahoo.com
RPFD:<pearliechildress@yahoo.com>
rRFC822; pearlinewray@yahoo.com
RPFD:<pearlinewray@yahoo.com>
rRFC822; pearlith2000@yahoo.com
RPFD:<pearlith2000@yahoo.com>
rRFC822; pearlmand52000@yahoo.com
RPFD:<pearlmand52000@yahoo.com>
rRFC822; pearlmtchl@yahoo.com
RPFD:<pearlmtchl@yahoo.com>
rRFC822; pearlmvillarosa@yahoo.com
RPFD:<pearlmvillarosa@yahoo.com>
rRFC822; pearlnecklace@yahoo.com
RPFD:<pearlnecklace@yahoo.com>
rRFC822; pearlnecklace_13@yahoo.com
RPFD:<pearlnecklace_13@yahoo.com>
rRFC822; pearlperkins@yahoo.com
RPFD:<pearlperkins@yahoo.com>
rRFC822; pearlpeterso79@yahoo.com
RPFD:<pearlpeterso79@yahoo.com>
rRFC822; pearls621@yahoo.com
RPFD:<pearls621@yahoo.com>
rRFC822; pearlseashells@yahoo.com
RPFD:<pearlseashells@yahoo.com>
rRFC822; pearlsw@yahoo.com
RPFD:<pearlsw@yahoo.com>
rRFC822; pearly_arenas@yahoo.com
RPFD:<pearly_arenas@yahoo.com>
rRFC822; pears_lp@yahoo.com
RPFD:<pears_lp@yahoo.com>
rRFC822; pearse100@yahoo.com
RPFD:<pearse100@yahoo.com>
rRFC822; pearson.jason1120@yahoo.com
RPFD:<pearson.jason1120@yahoo.com>
rRFC822; pearlbay@ymail.com
RPFD:<pearlbay@ymail.com>
MDeferred: 421 4.7.0 [TS01] Messages from X.X.X.X temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
rRFC822; pearliedickerson@ymail.com
RPFD:<pearliedickerson@ymail.com>
H?P?Return-Path: <│g>
H??Received: from User (localhost [127.0.0.1])
by toe.te.ua (8.12.11/8.12.11) with SMTP id q6V7FYAP014265;
Tue, 31 Jul 2012 10:15:37 +0300
H?M?Message-Id: <201207310715.q6V7FYAP014265@toe.te.ua>
H??Reply-To: <wilsonsang1@aol.com>
H??From: "Mr. Wilson Sang"<test123@skyeits.com>
H??Subject: CLAIM
H??Date: Tue, 31 Jul 2012 00:17:11 -0700
H??MIME-Version: 1.0
H??Content-Type: text/html;
charset="Windows-1250"
H??Content-Transfer-Encoding: 7bit
H??X-Priority: 3
H??X-MSMail-Priority: Normal
H??X-Mailer: Microsoft Outlook Express 6.00.2600.0000
H??X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

4. Шукаємо в логах /val/log/maillog домен skyeits.com.
...relay=email.skyeits.com [61.12.110.147]...

5. Для початку прописуємо в /etc//mail/access
skyeits.com    ERROR:550:Relay denied

Утиліта nslookup в Linux та Windows DNS

1. Запускаємо nslookup. Отримуємо запит на команду >
2. Вибераємо сервер
    > server 8.8.8.8
    Default server: 8.8.8.8
    Address: 8.8.8.8#53
3. Переглянути всі записи DNS про домен
Для Linux
    > set type=any
    > meta.ua
    Server: 8.8.8.8
   Address: 8.8.8.8#53
 
   Non-authoritative answer:
   meta.ua
     origin = ns1.meta.ua
     mail addr = klim.office.meta.ua
     serial = 2012072201
     refresh = 3600
     retry = 900
     expire = 360000
     minimum = 3600
   meta.ua text = "v=spf1 +ip4:194.0.131.0/24 ~all"
   meta.ua mail exchanger = 10 mxs.meta.ua.
   Name: meta.ua
   Address: 194.0.131.18
   meta.ua nameserver = ns4.top.net.ua.
   meta.ua nameserver = ns5.top.net.ua.
   meta.ua nameserver = ns1.meta.ua.
 
   Authoritative answers can be found from:

Для Windows
 
> set type=all
> meta.ua
Server: [8.8.8.8]
Address: 8.8.8.8

Non-authoritative answer:
meta.ua
primary name server = ns1.meta.ua
responsible mail addr = klim.office.meta.ua
serial = 2012072201
refresh = 3600 (1 hour)
retry = 900 (15 mins)
expire = 360000 (4 days 4 hours)
default TTL = 3600 (1 hour)
meta.ua text =

"v=spf1 +ip4:194.0.131.0/24 ~all"
meta.ua MX preference = 10, mail exchanger = mxs.meta.ua
meta.ua internet address = 194.0.131.18
meta.ua nameserver = ns4.top.net.ua
meta.ua nameserver = ns5.top.net.ua
meta.ua nameserver = ns1.meta.ua

Також можно переглядати наступні записи:
mx (mail exchenge) - поштовий обмінник;
ptr (pointer) - зворотній зв'язок IP адреса -> канонічне ім'я.

5. Вийти з утиліти:
exit

Вилікувати Trojan.Gen та Trojan.Gen.2 Symantec EndPoint

Проводити лікування в захищеному режимі з підтримкою мережі (Safe Mode with Networking).
1. Просканувати систему за допомогою MalwareBytes Anti-Malware http://www.im-infected.com/malwarebytes-antimalware. Якщо не допомогло переходимо до наступного пункту.
2. Просканувати за допомогою TrendMicro's Fake Antivirus Remover http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/FakeAVRemover_1.0.0.1019.zip Якщо не допомогло переходимо до наступного пункту.
3. Просканувати за допомогою  Avast aswMBR Старайтесь не вибирати FixMBR Якщо не допомогло шукаємо альтернативу.

4. Включаємо Phishing filter в броузерах. (http://us.battle.net/support/en/article/phishingfilters)

 Internet Explorer 8:
Open Internet Explorer.
Click on the Safety button, click on SmartScreen Filter, and then click on Turn on SmartScreen Filter. (If the menu lists Turn off SmartScreen Filter instead, this means the filter is already enabled.)
When the pop-up window appears, ensure that the Turn on SmartScreen Filter option is checked and click "Ok."

For Internet Explorer 9:
Open Internet Explorer.
Click on the Tools button, click on Safety, and then click on Turn on SmartScreen Filter. (If the menu lists Turn off SmartScreen Filter instead, this means the filter is already enabled.)
When the pop-up window appears, ensure that the Turn on SmartScreen Filter option is checked and click "Ok."

For FireFox (version 2 and later):
Open FireFox.
Click on Tools, click on Options, and then click on Security.
Ensure that Warn me when sites try to install add-ons, Block reported attack sites, and Block reported web forgeries are all checked.

For Opera (version 9.1 and later):
Open Opera.
Click on on the Opera icon (top left corner), Select Settings, Preferences, Advanced, and then click on Security.
Ensure that Enable Fraud and Malware Detection is checked.

5. Якщо не допомогло то пробую відключити в Opera Phishing filter. Забрати галочку з опції Settings->Preferences->Advanced, в списку вибираємо Security і знімаємо галочку з опції Ensure that Enable Fraud and Malware Detection.
Не допомогло через кілька днів знову появилося повідомлення про вірус.

6. Надибав статтю http://www.symantec.com/business/support/index?page=content&id=TECH102953
Віруси Trojan.Gen та Trojan.Gen2 в папці темп це файли з карантину які Symantec після поновлення антивірусної бази пробує вилікувати. Маска файлів DWH####.tmp.
І лікується це встановлення нової версії SEP 11 Release Update 7 Maintenance Patch 2 (RU7 MP2)  або SEP 12.1 RU1 MP1. Поновив до 12 версії. Також є інші рішення дивися статтю  http://www.symantec.com/business/support/index?page=content&id=TECH102953.

Автозагрузка в Linux

Після інсталяції програми зазвичай вона автоматично записує скріпт запуску в папку /etc/rc.d/init.d. Цей скріпт необхідно додати в список сервісів  командою chkconfig:
    chkconfig --add zebra

Перевірити чи входить в список сервісів:
    chkconfig --list

Також по цьому списку видно включений сервіс або виключений:
    zebra 0:off 1:off 2:off 3:off 4:off 5:off 6:off

В нашому випадку виключений, включимо його командою:
    chkconfig --level 345 zebra on
 
    zebra 0:off 1:off 2:off 3:on 4:on 5:on 6:off

Тобто ми включили сервіс на трьох рівнях системи: 3 - текстовий і 5 - графічний.

Також можна запускати скріпти при старті через файл /etc/rc.d/rc.local . Всі команди з цього файлу виконуються по черзі при старті системи. Аналогічно autoexec.bat.

Протокол маршрутизациї OSPF, QUAGGA

Переваги:
1. Кількість переходів не обмежена.





Конфігуруємо маршрутизатор  10.172.23.233
Заходимо в режим конфігурації: conf term
Будемо настроювати ospf: router ospf
Задаємо індентифікатор маршрутизатора  "10.172.23.254" : router-id  10.172.23.233

Описуємо мережу на основі якої піднімаємо протокол ospf область 0: network 10.172.23.0/24 area 0
Вказуэмо 2 сусідні маршрутизатори по мережі 10.172.23 : neighbor 10.172.23.254
neighbor  10.172.23.237





-A INPUT -p ospf -j ACCEPT

Установка та настройка Quagga на CentOS 6.2

Виключаємо перед налаштуванням маршрутизації виключаємо firewall
    service iptables stop
Також виключаємо з автозагрузки сервіс
    chkconfig --level 2345 iptables off
    chkconfig --level 2345 ip6tables off
Встановлюємо quaggа:
      yum install quagga
Створюємо вручну пустий файл конфігурації сервісу протокола OSPF
       cat > ospfd.conf
Запускаємо сервіси:
      service zebra start
      service ospfd start
Перевіряємо чи запустився сервіс
     Список процесів "ps aux|grep zebra" :
     quagga 1805 0.0 0.2 6000 1144 ? Ss 08:03 0:00 zebra -d -A 127.0.0.1 -f /etc/quagga/zebra.conf
Перевіряємо чи є на порту  2601  Virtual Terminal Interface VTY командний інтерфейс для взаємодії з демонами маршрутизації  "netstat -ant|grep 260"
      tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN
Підключаємось до VTY   "vtysh":
      Hello, this is Quagga (version 0.99.15).
      Copyright 1996-2005 Kunihiro Ishiguro, et al.

      router#

Заходимо в режим конфігурації:  configure terminal.
Дозволяємо пересилати пакети з інтерфейса на інтерфейс: ip forwarding.

tcpdump для вінди (Windows 2008)

1. tcpdump від фірми MicroOLAP не працює під Windows Server 2008

2. "WinDump" реалізація з відкритим кодом, потребує встановлення бібліотеки WinPcap. Працює під Windows Server 2008.

Приклад:    windump -i 1 -n

Інтерфейс задається номером.

1С на Windows 7 "Порядок сортировки, установленный для базы данных, отличается от системного!"

"Порядок сортировки, установленный для базы данных, отличается от системного!"

Варіанти вирішення.
1. Створюємо в директорії BIN 1Cv77 файл OrdNoChk.prm. Цим файлом відключається перевірка порядку сортування.
Не допомогло
2. Заходимо в конфігуратор вибераємо "Администрирование-> Кодовая страница таблиц ИБ-> +Текущая системная установка."
Допомогло.

Nagios Команди які хочеться пам'ятати.

Перевірка конфігурації

nagios -sv /etc/nagios/nagios.cfg

Перевірка конфігурації проводитьця повністю. І починається з основного файла nagios.cfg. Перевірка окремих файлів наприклад services.cfg або hosts.cfg викликає помилку

Cisco Настройка підключення по SSH

Підключаємо Cisco консольним кабелем до COM порта комп'ютера, а другий кінець до порта на Cisco підписаним "console" на голубому фоні . Консольний кабель голубого кольору з обох кінців обжати конекторами RG-45. Для підключення до COM порта в комплекті іде перехідник з RG-45 на COM-порт.

Для настройки використовуємо програму під Windows - HyperTerminal або Putty, під Linux - minicom. Настройки COM порта: швидкість 9600, біт даних 8, не парний N, стоп біт 1, керування потоком No . (В мене на апаратному контролі потоку працює minicom Hardware Flow Control: YES). Скорочено 9600 8N1.

Для генерації SSH ключа необхідно призначаємо в привілейованому режимі назву маршрутизатору : hostname xs-router; призначачити домен: ip domain-name row.com, та виставити годинник командою  в не привілейованому режимі:  clock set 16:23:10 07 Nov 2011

1. Переходимо в привілейований режим : enable.
2. Переходимо в режим конфігурації : configure terminal.
3. Створюємо ключ SSH : crypto key generate rsa. На запит про вибір кількості біт ставимо 1024
( або підтверджуємо кількість по замовченню 512).
4. Включаємо шифрування паролей в конфігураційному файлі : service password-encryption
5. Включаємо SSH версії 2 : ip ssh version 2
6. Заводимо користувача з іменем admin та паролем admin : username user privilege 15 password 0     admin
7. Включаємо протокол ААА. До включення протоколу в системі повинен бути зареєстрований         хоч-би один користувач : aaa new-model
8. Входимо в режим конфігурурвання термінальних ліній : line vty 0 4.
9. Транспортом по замовченню SSH : transport input ssh

10. Активуємо автоматичне підняття стрічки після вводу команди :  logging synchronous
11. Виставляємо час очікування до автоматичного закриття сесії SSH 30 хвилин: exec-timeout 30 0
12. Виходимо з режиму конфігурування термінальних ліній : exit
13.  Виходимо з режиму конфігурування : end
14. Зберігаємо конфігурацію : copy running-config startup-config

FTP proftp Настройка ProFTP на інший порт. Настройка iptables на інший порт ftp.

1. В конфігураційному файлі /etc/proftpd.conf міняємо

      port 2121

2. Перегружаємо ftp сервер
     
      service proftpd restart

3. В настройках фаєрвола вносимо наступні стрічки

      /sbin/modprobe ip_conntrack_ftp ports=2121
      /sbin/modprobe ip_nat_ftp ports=2121

      iptables -A INPUT -d 90.90.90.90 -p tcp --dport 2121 -j ACCEPT
      iptables -A OUTPUT -p tcp --sport 2121 -j ACCEPT

4. Перегружаємо iptables
 
     service iptables restart

Замітки сисадміна. В яких шафах які поводки використовувати!

В серверних шафах бажано використовувати 1,5 м або 2 м патч-корди, оскільки збоку немає місця для організації кабелів то приходиться брати горизонтальні організатори з отворами і через них заводити в патч-панель навколо обладнання, що також ускладнює обслуговування техніки.

В шафах потрібно запобігати обводити кабелями через задню стінку обладнання (свічі, роутери, сервера) це заважає обслуговуванню його. Складно оперативно вийняти, замінити, змонтувати  назад техніку.

Комунікаційних шафах для організації кабелів є боковий простір і там якщо стоїть обладнання то до нього є вільний зі всіх сторін.

PHP Warning php strtotime file_put_contents permission denied Joomla "Возникла ошибка! Не могу открыть конфигурационный файл на запись!"

PHP Warning: strtotime(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead in /var/www/vhosts/site.com/html/libraries/joomla/utilities/date.php on line 56, referer: http://www.site.com/administrator/index.php?option=com_config

[Mon Apr 02 11:42:40 2012] [error] [client ...] PHP Warning: strftime(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Helsinki' for 'EEST/3.0/DST' instead in /var/www/vhosts/site.com/html/libraries/joomla/utilities/date.php on line 250, referer: http://www.site.com/administrator/index.php?option=com_config

Допомогло

/etc/php.ini

Було
[Date]
; Defines the default timezone used by the date functions
;date.timezone = ""

Стало
[Date]
; Defines the default timezone used by the date functions
date.timezone = "Europe/Helsinki"

service httpd restart

[Mon Apr 02 11:46:46 2012] [error] [client ..] PHP Warning: file_put_contents(/var/www/vhosts/site.com/html/configuration.php): failed to open stream: Permission denied in /var/www/vhosts/site.com/html/libraries/joomla/filesystem/file.php on line 304, referer: http://www.site.com/administrator/index.php?option=com_config

1 find -type d -exec chmod 777 {} \;
   find -type f -exec chmod 777 {} \;

Не допомогло.Міняємо назад

find -type d -exec chmod 755 {} \;
find -type f -exec chmod 644 {} \;

2. chown -R apache:apache httpdocs

не допомогло

3. Дивимося SELinux який ключ має директорія /var/www/html

ls -Z /var/www/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 html


Дивимося ключ нашої папки

ls -Z /var/www/vhosts/site.com/

drwxr-xr-x. wwwuser wwwuser unconfined_u:object_r:public_content_rw_t:s0 html

міняємо на потрібний і в підлеглих директоріях -R

chcon -R -t httpd_sys_content_t /var/www/vhosts/site.com/html/

Допомогло. Доступ по ftp також лишився.

VSFTPD доступ до директорії /var/www через ftp

Задача підняти ftp сервер для заливки на www сервер вмісту сайту

1. Встановлюємо vsftpd:

         yum install vsftpd 

Можна перед інсталяцією поновити локальний кеш yum check-update

2. Редагуємо конфігураційний файл  /etc/vsftpd/vsftpd.

    Забороняємо заходити на ftp анонімно

         anonymous_enable=NO

    Кожного користувача обмежуємо своєю директорією

         chroot_local_user=YES
    Дозволяємо записувати файли на сервер

         write_enable=YES

3. Робимо щоб сервіс vsftpd піднімався при старті системи через програму setup або за допомогою команди :

        chkconfig vsftpd on

4. Створюємо користувача та призначаємо йому домашню директорію /var/www

         useradd wwwuser

         passwd wwwuser ...

     Редагуємо файл /etc/passwd. Стрічка 

         wwuser:x:501:501::/home/wwwuser:/bin/bash

     повинна виглядати 

         wwuser:x:501:501::/var/www/vhosts/site.ua:/sbin/nologin

       де /var/www -  домашня директорія,

         /sbin/nologin - закриває користувачу вхід в систему (через термінал, ssh ...).

5. Стартуємо ftp сервер

         service vsftpd start

6. Пробуємо зайти на ftp, якщо видно тільки пусту директорію то у вас піднятий selinux і потрібно дозволити користувачам заходити у власну директорію

    setsebool -P ftp_home_dir 1,
дозволити записувати у власні директорії
    setsebool -P allow_ftpd_full_access 1, 

перевіряємо
    getsebool -a


7. Назначаэмо права доступу до домашньої директорії нашого користувача
     chown -R wwwuser /var/www/vhosts/toe.te.ua
     chmod 775 /var/www/vhosts/site.ua

VSFTP настройка на CentOS

Файл конфігурації vsftpd.conf

listen=YES

listen_address=192.168.158.7

pam_service_name=vsftpd

anonymous_enable=NO

local_enable=YES

write_enable=YES

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

anon_root=/var/ftp/anonymous

dirmessage_enable=YES

connect_from_port_20=YES

chown_uploads=YES

chown_username=ftp

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

idle_session_timeout=600

data_connection_timeout=12000

nopriv_user=ftp

ascii_upload_enable=NO

ascii_download_enable=NO

ftpd_banner=Hello.

user_config_dir=/etc/vsftpd/ftpusers

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

userlist_file=/etc/vsftpd/user_list

userlist_enable=YES

userlist_deny=NO

file_open_mode=0777   # Права з якими створюються файли на ftp сервері

 userlist_deny=NO  Без цього параметру видавало помилку "530 Permission denied"

Сворив в системі нового користувача upload

Створив файли в папці  /etc/vsftpd   user_list та chroot_list. В файлі user_list записав upload користувача якому можна підключатися до фтп. Файл chroot_list залишив пустим.

 Створив папку /etc/vsftpd/ftpusers, в якій створив файл upload в якому зберігаються параметри користувачів, а саме

local_root=/var/ftp/upload.

local_umask=0137 # Маска яка накладається file_open_mode

В папці /var/ftp створив дві папки upload та anonymous.

Доступ до папок і запису в них виставляється командами chown та chmod.

Як правильно виставити права на закачуваємі файли?

file_open_mode=0777

local_umask=0137

В даному випадку права по замовченню rwxrwxrwx

          421 421 421

Маска для користувача                              rwx rwx rwx

                                                                     001 021 421

В результаті виходять такі права               rw-  r--   ---

Маска  local_umask накладається на права по замовченню file_open_mode, якщо маска 077 то ми отримаємо права -rw------.

Якщо потрібно щоб файли які записуються на ftp мали права -rw-rw---, для цього потрібно поставити маску 012. 

Число маски повинно бути тризначним, якщо перед ним не стоїть 0 то воно десяткове.

Настройка SSH Заборонити підключитися під root.

1. Заборонити підключитися по ssh під root. В файлі /etc/ssh/sshd_config присвоїти наступному параметру "no":
          PermitRootLogin no

HTTP Error 401.2 - Unauthorized: Access is denied due to server configuration. Internet Information Services (IIS)

При авторизації на IIS сервері через проксі сервер SQUID виникає наступна помилка 

HTTP Error 401.2 - Unauthorized: Access is denied due to server configuration. Internet Information Services (IIS)

Настройки squid такі як "no_cache deny ...", "always_direct allow ...". не допомогли. Скоріше всього IIS використовує NTLM- аутентифікацію, яка не може кешуватися.


Прописуєм на фаерволі доступ на пряму до сайту:
$IPTABLES -A FORWARD -p ALL -s 192.168.1.1/32 -d 80.91.1.1/32 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -j SNAT -s 192.168.1.1/32 -d 80.91.1.1/32 -o eth2 --to-source 80.95.1.1

Sendmail Білий список

Проблема. При підключенні DNBL списків до sendmail листи почали різатись від наших контрагентів.
Потрібно в файлі access прописати дозвіл на прийом пошти з адреси  ivanovych@ukr.net :
 #Viddil postachannya
  ivanovych@ukr.net     OK

Якщо все прописати в одну лінію то працювати не буде:

  ivanovych@ukr.net     OK   #Viddil postachannya

Аналогічно можна прописати домен:
  From:incom.ua       OK

Після чого потрібно перегрузити sendmail:
/etc/rc.d/init.d/sendmail stop
killall -9 sendmail
 /etc/rc.d/init.d/sendmail start