Динамический порт, или Эфемерный порт — временный порт, открываемый соединением межсетевого протокола транспортного уровня (IP) из определённого диапазона программного стека TCP/IP.
Т. е. это локальный порт, присваемый TCP-соединению операционной системой. Например, вы подключаетесь по ssh к удаленной машине на порт 22. Это удаленный порт, а для обмена данными нужен еще локальный порт, который присваивается ОС автоматически, причем случайным образом из определенного диапазона. Этот диапазон можно узнать в ОС Linux посмотрев файл:
cat /proc/sys/net/ipv4/ip_local_port_range
Изменить этот диапазон можно командой (например, нам нужен диапазон 49152..65535):
echo “49152 65535” > /proc/sys/net/ipv4/ip_local_port_range
Tag: linux
TCP dump в Wireshark без служебной информации.
Например, нам необходимо посмотреть в Wireshark дамп, но служебная информация вроде ретрансмиссии, дубликатов пакетов (в случае бондов) и прочего мешает анализировать. Чтобы не отображать её применяем фильтр:
!tcp.analysis.flags
Белый и черный список в amavisd-new
Для создания белого списка в amavisd-new создаем конйигурационный файл с названием например (путь для Debian 7) /etc/amavis/conf.d/whitelist
Есть два пути. В конфигурационный файл (/etc/amavis/conf.d/whitelist) добавляем список доменов:
@whitelist_sender_maps = ([‘.example.org’, ‘.example.net’]);
Или добавляем список регулярных выражений, в которые можно завернуть либо доменыые имена либо отдельные почтовые ящики
@whitelist_sender_maps = ( new_RE(
qr’.*@something\.com$’i,
qr’oneaddress@example\.com$’i
));
Так же точно добавляется и чёрный список, только вместо @whitelist_sender_maps следует указать @blacklist_sender_maps
Источники:
- http://www.akadia.com/services/postfix_amavisd.html#Globally%20Sender%20Whitelists%20and%20Blacklists
Использование утилиты rkhunter для борьбы с руткитами в Linux
Установка.
Здесь всё просто – ставим из репозиториев:
aptitude install rkhunter / yum install rkhunter
или собираем из исходников, взятых с http://rkhunter.sourceforge.net/
Обновление.
Проверяем версию:
rkhunter –versioncheck
Обновляем вирусные базы:
rkhunter –update
Далее нужно обновить базу rkhunter, чтобы он считал текущие файлы утилит чистыми и в дальнейшем выдавал предупреждения при их модификации (эту команду нужно использовать перед первым запуском или после обновлений утилит):
rkhunter –propupd
И наконец-то сама проверка:
rkhunter -c –enable all –disable none
Ждем окончания, нажимая Enter когда попросит и смотрим лог, ища warning или error:
nano /var/log/rkhunter.log
Принимаем меры по необходимости.
Авторизация в Apache c помощью MySQL (mod-auth-mysql)
MySQL авторизация – неплохой вариант, особенно для сайтов, использующих эту БД.
Порывшись в инете, разобрался, как её настроить и вот шаги, котором следует последовать 🙂
1. Устанавливаем необходимый софт (имеется в виду, что веб-сервер уже есть и настроен):
apt-get install libapache2-mod-auth-mysql
a2enmod auth_mysql
apt-get install libapache2-mod-auth-mysql
a2enmod auth_mysql
2. Создаем для примера БД:
mysql -u root -p
mysql> grant all on auth.* to auth_user@localhost identified by ‘<auth_password>’;
mysql> flush privileges;
mysql> create database auth;
mysql> use auth;
mysql> CREATE TABLE `clients` (
`username` varchar(25) NOT NULL default ”,
`passwd` varchar(25) NOT NULL default ”,
`groups` varchar(25) NOT NULL default ”,
PRIMARY KEY (`username`),
KEY `groups` (`groups`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
mysql> INSERT INTO `clients` VALUES (‘<username>’, ‘<password>’, ‘<group>’);
mysql> grant all on auth.* to auth_user@localhost identified by ‘<auth_password>’;
mysql> flush privileges;
mysql> create database auth;
mysql> use auth;
mysql> CREATE TABLE `clients` (
`username` varchar(25) NOT NULL default ”,
`passwd` varchar(25) NOT NULL default ”,
`groups` varchar(25) NOT NULL default ”,
PRIMARY KEY (`username`),
KEY `groups` (`groups`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
mysql> INSERT INTO `clients` VALUES (‘<username>’, ‘<password>’, ‘<group>’);
3. Редактируем файл виртуалхоста (или .htaccess нужной папки), например:
nano /etc/apache2/sites-available/default
<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride All </Directory> <Directory /var/www/> AuthMYSQL on #включает авторизацию по мускулю AuthMySQL_Authoritative on AuthMySQL_DB auth #имя БД, в которой находится наша авторизация AuthMySQL_Host 127.0.0.1 #адрес или имя хоста с мускулем #AuthMySQL_Port 3306 #порт, если отличен от дефолтового #AuthMySQL_Socket <socket> #сокет, если используется AuthMySQL_User auth_user #пользователь БД AuthMySQL_Password <auth_password> #пароль пользователя БД AuthMySQL_Password_Table clients #таблица паролей AuthMySQL_Username_Field username #поле, содержащее имя пользователя AuthMySQL_Password_Field passwd #поле, содержащее праоль пользователя #AuthMySQL_Group_Table clients #поле, содержащее принадлежность к группе AuthMySQL_Empty_Passwords off #запретить пустые пароли Auth_MySQL_Encrypted_Passwords off #если on - указывается, что пароли зашифрованы AuthMySQL_Encryption_Types Plaintext #типа шифрования - может быть Plaintext, Crypt_DES, MySQL. Можно через пробел указывать несколько методов, которые будут использоваться по-очереди AuthBasicAuthoritative Off #Отключить Basic-авторизацию - какойто костыль, без него не работает AuthUserFile /dev/null #типа файл с паролями - тоже костыль Require valid-user #требовать авторизацию. Тут также можно указывать имена групп (несколько - через пробелы): Require group assassins templars .Или конкретных пользователей: Require user leonardo vincent .Это удаобно, если прописывать опции в .htaccess AuthName "Please Auth!" #приветствие AuthType Basic #костыль <Limit GET POST> #ограничения для запросов Require valid-user </Limit> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all AddHandler mod_python .py PythonHandler index </Directory>
Идем на страничку http://127.0.0.1 и авторизуемся.
P. S.
P. S.
1. http://www.cgi101.com/book/ch20/mod_auth_mysql.html – здесь неплохое описание опций.
2. Можно в конфиге апача или модуля прописать параметры подключения к БД – так в некоторых случаях секьюрнее:
Auth_MySQL_Info <host> <user> <password> Auth_MySQL_General_DB <database_name>
Как посмотреть Service Tag / Server Tag сервера.
Иногда нужно узнать серийный номер сервера из консоли ОС.
Для Windows:
открываем CMD и нам на помощь прийдут 3 WMI команды:
wmic bios get serialnumber
wmic csproduct get vendor,name,identifyingnumber
Результат будет примерно таким:
IdentifyingNumber Name Vendor ABCDEF1 PowerEdge 2950 Dell Inc.
wmic /user:administrator /node:remote-host bios get serialnumber
а эта комана выводит серийный номер удаленного сервера:
SerialNumber ABCDEF1
Для корректной работы этих команд должна быть хотя бы в режиме Manual служба Windows Management Instrumentation.
Для Linux:
используем команду
dmidecode -s system-serial-number
Установка и настройка NFS в Debian 6 Linux
1. Настройка сервера:
Вначале, как всегда, устанавливаем необходимые компоненты:
sudo apt-get install nfs-kernel-server nfs-common portmap
Теперь надо убедиться, что порт nfs слушается:
# rpcinfo -p | grep nfs
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
А также, что nfs в принципе поддерживается системой:
# cat /proc/filesystems | grep nfs nodev nfs nodev nfs4
Если нет, то пробуем:
# modprobe nfs
Смотрим, работает ли portmap:
rpcinfo -p | grep portmap
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
Теперь надо отредактировать конфиг, содержащий список общих директорий:
sudo nano /etc/exports
Пример общей папки, доступной всей подсети:
/home/vsftpd/shared 10.0.1.0/24(rw,all_squash,anonuid=5001,anongid=65534,no_subtree_check)
А индивидуальную шару, доступную только пользователю с IP 10.0.1.2 так:
/home/vsftpd/user 10.0.1.2(rw,all_squash,anonuid=5001,anongid=65534,no_subtree_check)
В скобках такие параметры потому что мне нужно было сделать видимым каталог ftp и all_squash,anonuid=5001 указывает, что будет использоваться юзер vsftpd, а anongid=65534 – его группа. Посмотреть цифры для вашего пользователя можно в /etc/passwd. Также перед IP должна быть табуляция, а не пробел. no_root_squash – эта опция может помочь, если вы монтируете на гостевой системе шару как рут.
Перезапускаем нфс-сервер:
sudo /etc/init.d/nfs-kernel-server restart
Далее можно не дрочить сервис, а применять новые параметры командой:
sudo exportfs -a
На клиенте чтобы юзать шару делаем следующее:
sudo apt-get install portmap nfs-common
sudo mkdir /mnt/share
sudo mount -t nfs 10.0.1.1:/home/vsftpd/shared /mnt/share
Чтобы шара была доступна автоматически без перезагрузки, редактируем
sudo nano /etc/fstab
Добавляем:
10.0.1.1:/home/vsftpd/shared /mnt/share nfs rw,hard,intr 0
http://geckich.blogspot.com/