顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - millhost

頁: [1] 2 3
1
系統安全討論版 / [問題] SELinux Debug
« 於: 2014-04-02 15:13 »
各位大大

小弟設定了 SSH 使用者只可以以 SFTP 登入並設了 Root Jail  以及容許以 SSH Tunnel 建立連線到服務器的其他服務,
以下是 sshd_config 的設定

Subsystem       sftp    internal-sftp
Match group remote_user
        ChrootDirectory /home/
        AllowTcpForwarding on
        ForceCommand internal-sftp -u 0002

當我把 SELinux 設定為 Disable 或 Permissive 以上的設定是沒有問題的,但當我把 SELinux 設定成 Enforcing,經過幾次的 sealert 後增加了幾個 Module 到 SELinux,在/var/log/message 及/var/log/audit/audit.log 都沒有發現錯誤的訊息了,而 /var/log/setroubleshoot 也沒有錯誤出現,但 SSH Tunnel 連線卻失敗(事實上我是用 Navicat 的ssh tunnel 連接 MySQL的)。

我的 SELinux 的設定是 Default 的,請問各位大大怎樣可以改變 SELinux 的 Loglevel 或從那裏可以知道多一點的資訊那裡違反了SELinux 的規則有待修正。

謝謝

2
Linux 討論版 / [問題] SELinux Debug
« 於: 2014-04-02 15:10 »
各位大大

小弟設定了 SSH 使用者只可以以 SFTP 登入並設了 Root Jail  以及容許以 SSH Tunnel 建立連線到服務器的其他服務,
以下是 sshd_config 的設定

Subsystem       sftp    internal-sftp
Match group remote_user
        ChrootDirectory /home/
        AllowTcpForwarding on
        ForceCommand internal-sftp -u 0002

當我把 SELinux 設定為 Disable 或 Permissive 以上的設定是沒有問題的,但當我把 SELinux 設定成 Enforcing,經過幾次的 sealert 後增加了幾個 Module 到 SELinux,在/var/log/message 及/var/log/audit/audit.log 都沒有發現錯誤的訊息了,而 /var/log/setroubleshoot 也沒有錯誤出現,但 SSH Tunnel 連線卻失敗(事實上我是用 Navicat 的ssh tunnel 連接 MySQL的)。

我的 SELinux 的設定是 Default 的,請問各位大大怎樣可以改變 SELinux 的 Loglevel 或從那裏可以知道多一點的資訊那裡違反了SELinux 的規則有待修正。

謝謝

3
Linux 討論版 / Re: ssh public key 設定問題
« 於: 2012-07-26 14:20 »
謝謝netman大大的建議,這個方案是可行的。

我的 PAM 設定如下:
修改 /etc/pam.d/sshd

auth      required     pam_sepermit.so
改成
auth       required     pam_listfile.so item=user sense=allow file=/etc/ssh/sshd.allow onerr=fail

然後建立檔案 /etc/ssh/sshd.allow 內容如下
userA
userB

當然修改了 sshd_config 的 PAM 及 password 的設定了

謝謝賜教

4
Linux 討論版 / ssh public key 設定問題
« 於: 2012-07-26 10:24 »
各位大大

小弟的服務器原是只用 Public Key 登入 ssh 的,但因特別原因想開放某些使用者可以用密碼登入(只用 sftp 的因filezilla不支援public key 登入,以被chroot)。
當開放 password 登入後所有人都可以用密碼登入,請問可否只開放特定幾位使用者可用密碼登入,其他只可用public key。

懇請各位賜教

5
Network 討論版 / Re: [問題]OpenVPN + IP Mapping
« 於: 2012-03-12 10:37 »
感謝 被騎上班的老 大大的指點,我會繼續努力的。

6
Network 討論版 / Re: [問題]OpenVPN + IP Mapping
« 於: 2012-03-08 19:06 »
各位大大

請賜教一下是不是概念上已有問題所以無法實現呢?
已弄了幾天現在已有點混亂了。

Thanks

7
Network 討論版 / [問題]OpenVPN + IP Mapping
« 於: 2012-03-06 18:09 »
各位大大

小弟近日因公司合併需要把兩個辦公室的服務器連起來。

網絡結構如下
總公司:

IP Range:  192.168.0.0/24
Server: Windows 2008 AD
Workstation: WinXP, Win 7

子公司:
IP Range: 192.168.0.0/24
Server IP: 192.168.0.10 (Windows 2003 AD)
Workstation: Win XP, Win 7

現在總公司的同事需要進入子公司的 Fileserver (Wiin 2003 AD)讀取資料,但因為網路重疊了而且兩邊都有服務器綁定了IP地址所以不能隨意更改IP Range,試過用SSH Tunnel Win XP 可以連到 Fileserver 及存取資料,但Win 7 就不知為何不可以接入,所以最後嘗試在子公司設置了一台OpenVPN Server。

OpenVPN 現在是用 TUN device 的設置(因為不是所有同事都需要),當需要時才連接OpenVPN的。

OpenVPN Server 網路設定如下:
OS: CentOS 5.6
Server IP - eth0: 192.168.0.5/24
OpenVPN IP - tun0: 10.2.2.1/24


OpenClient Client 網路設定如下:
Client IP: 10.2.2.6 -10.2.2.20  /24

我在OpenVPN服務器內增加了以下 iptables 的規則:
iptables -v -A RH-Firewall-1-INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -v -A RH-Firewall-1-INPUT -i tun0 -s 10.2.2.0/24 -j ACCEPT

iptables -v -t nat -A PREROUTING -d 192.168.0.0/24 -j NETMAP --to 10.2.2.0/24
iptables -v -t nat -A PREROUTING -i tun0 -d 10.2.2.0/24 -j NETMAP --to 192.168.0.0/24
iptables -v -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j NETMAP --to 10.2.2.0/24
iptables -v -t nat -A POSTROUTING -o tun0 -s 10.2.2.0/24 -j NETMAP --to 192.168.0.0/24

echo 1 > /proc/sys/net/ipv4/ip_forward

同事在總公司連接OpenVPN是成功的,可以ping 到 10.2.2.1,但10.2.2.10就失敗了。

請問各位大大我的 iptables 規則那裏出了錯,是不是不應用 NETMAP 呢?
如果要把 10.2.2.10 map to 192.168.0.10 或整個 10.2.2.0/24 map to 192.168.0.0/24 應該怎處理呢?

感謝各位












8
Windows 討論版 / Windows 2008 sysvol 不能讀取
« 於: 2012-02-10 17:38 »
各位大大

小弟現在用 Windows 2008 AD,系統 Default Share 了 sysvol 這個目錄,裏面放了 Group Policy Object (GPO),我設了一些 GPO 但發覺不能 Deploy ,最後發現所有 Windows XP 的機都不能進入 sysvol 這個目錄 (奇怪的是 Windows 7 可以)。

我的AD Host Name 是 PAD001
我的 Domain Name 是 ABC.COM.TW

當我用 Windows XP 進入 "\\PAD001\SYSVOL\ABC.COM.TW" 時會跳出錯誤 "重新分析指標緩衝區中的資料不正確"。
如果我用 Windows 7 以相同的 user name/password 登入時是可以進入這個目錄的(而GPO也可以Deploy)。

我用Windows 2008 進入 "C:\Windows\SYSVOL\sysvol\ABC.COM.TW" 發現 "ABC.COM.TW" 這個目錄的圖示有一個箭咀好像捷徑一樣,但看目錄的"內容"就說是目錄,不知這是否正常或與問題有無關係。

現在所有 Windows XP的機都不能接收 GPO,原因應該是他們不能進入sysvol的目錄(應該不是權限問題),請問有沒有大大見過這個情況,有沒有解決方法呢?

Thanks


9
各位大大

小弟剛把 NT4 Domain 升級為 Windows 2008 Active Directory(PDC 由 NT4 -> 2003 -> 2008,沒有 BDC),完成後有所 Workstation 及 其他 Server 都可以運作正常,其他 Server 的共享十分正常。

但當我在 2008 Server (ADC) 設定共享時出現了奇怪的問題,情況如下
我在 C:\ShareContent 設成共享,共用(Sharing) 權限設定為 Everyone "Full Control" "Change" "Read",
安全(Security) 的設定是 (user) Administrator "Full Control", (group) CompanyUser "Read &execute, List folder contents, Read"。
而在 C:\ShareContent 內有三個 Folder,分別為 "Finance", "HR", "Marketing",安全(Security) 的設定如下:
  • Finance                (user) Administrator "Full Control", (group) FinanceGroup "Full Control"
  • HR                        (user) Administrator "Full Control", (group) HRGroup "Full Control"
  • Marketing             (user) Administrator "Full Control", (group) MarketingGroup "Full Control"

以上三個Folder的權限都沒有從父項繼承下來,以上設設置使用上是沒有問題,Marketing 的同事可以進入 Marketing 的 Folder 讀取裏面的資料,而其他也是,但Marketing 的同事可以進入 Finance 的Folder,雖然看不到裏面的資料(進入後空白一片,沒有檔案沒有folder),但在 Windows 2000 或 2003 做相同的設置,當Marketing的同事進入Finance的Folder 時是會跳出 "拒絕存取" 的錯誤。

請問這是 Windows 2008 改用了一個 "溫柔" 的方式拒絕還是我設定出了錯誤,會不會是 Group Policy 有東西要設定呢?

謝謝

10
Wa..... 這個更犀利很值得學習

謝謝各位賜教

11
Linux 討論版 / [問題]Samba idmap 更改
« 於: 2011-07-27 12:20 »
各位大大

小弟用現先用 Samba 3.0.33 連到 NT4 Domain 的,現要把 Samba 升級為 3.5.9 連到 Active Directory (Win 2008)。
當Samba 升級後 samba 的 idmap 重新 generate 一次,所有 sid 與 unix id 的配對都變了,當我把 /var/lib/samba 內所有檔案刪除,然後用 net idmap restore 把舊的idmap 重新導入,99%的id 配對都修正了但只差一個(這個非常重要,有九成的檔都屬於這個組的)。
我嘗試過手動用 wbinfo --set-gid-mapping 去修改,我用 net idmap dump /var/lib/samba/winbidd_idmap.tdb 導出資料,已確定了資料是正確的,但我用 getent group 導出資料還是錯的資料,我試過 restart  winbind 及 samba,也有reboot 電腦但情況一樣。

請問各位修改了idmap後怎樣可以refresh 它,令 getent group 時可以用更新了的 idmap。

謝謝

12
我已設定了這個

0 1 1-7 * 1 echo "Cronjob test";

下個星期一會有第一次的結果,到時再匯報。
Thanks

13
啊啊啊.....,這是一個非常不錯的主意,等我試試吧,完成再匯報。

Thanks

14
我以為crontab可以辦得到,謝謝各位的幫忙。

15
感謝大大的分享,裏面所說的是每個星期一(每星期一次),但我想做的是每個月的第一個星期一(每月一次),所以想請各位指教一下。

謝射

16
Linux 討論版 / [問題] 請問如何設定 cronjob
« 於: 2011-07-21 11:32 »
各位大大

請問怎樣可以在 CentOS 設定 cronjob 在每個月的第一個星期一執行指令呢?

謝謝

17
Linux 討論版 / Samba idmap 問題
« 於: 2011-04-27 22:37 »
各位大大

小弟用的是 Samba 3.0.33,已 join 了 NT 4 domain。基本上運作正常,讀寫無問題但發覺其中有兩個Group 的 gid 重複了,情況是這樣的
BUILTIN\administrators = 10005
BUILTIN\users = 10006
accout_staff = 10005
account_management = 10006

所在 NT Domain 的使用者都屬於 BUILDIN\users 群組,用 "getent group" 可以看到連電腦名也屬這個群組的,所以 account_staff 所屬的資料所有人都可以看。

我也看過幾個 winbind 的 tdb 檔但找不到有關 BUILTIN\* 的mapping 資料,只有在group_mapping.tdb看到這兩個 BUILTIN 組的關聯,但內裏只連結到 DOMAIN Admins 及 DOMAIN Users。

我已試過刪除 cache 的tdb 檔然後重啟 smbd 及 winbind 但沒有用仍然是一樣,所有 GID 無變。

請問各位知不知 BUILTIN\* 的GID 保存在那裏及可以怎樣修改呢?

謝謝

18
感謝大家的幫助,終於成功與它重逢了。

19
謝謝 twu2,但請問在 Office 2010 是怎樣設定的呢。

20
各位大大

小弟公司在用 Windows 7 64bit 英文版,安裝了 MS Office 2007 繁體版(的確是奇怪的),發覺 Word 內的中文繁簡轉換按鈕不見了,我也試過重新注冊 TCSCCONV.DLL 系統說注冊成功,但也是用不到。請問各位是不是這個 DLL 是需要配合系統的語言(要中文)還是64bit 要用其他方法注冊的呢?

Thanks

21
Linux 討論版 / [問題] Compile RPM Kernel
« 於: 2011-04-13 19:14 »
各位大大

小弟用 CentOS 5.6 (kernel 2.6.18-238.5.1.el5) 需要由 rpm source 重新 compile kernel。
Compile 過程中沒有出現大問題,compile 出來的 RPM 可以安裝到系統,但安裝後需要執行 new-kernel-pkg去更新 grub。但由 yum 下載的 Kernel 更新是會自動更新 grub 的。
請問各位大大要修改那裏才可以自動更新 grub 的呢。

Compile kernel 步驟如下:
install kernel RPM Source
rpmbuild -bp kernel-2.6.spec
make menuconfig
make all
make rpm

Thanks

22
各位大大,小弟初學 JAVA 遇到亂碼問題有請各位賜教
小弟用 NetworkInterface.getDisplayName()讀取電腦所有網絡卡的MAC address 發現當有中文出現就會亂碼 (例如藍芽網絡設備)
程式碼如下

代碼: [選擇]
Enumeration interfaces = NetworkInterface.getNetworkInterfaces();
while(interfaces.hasMoreElements())
{
    NetworkInterface device = (NetworkInterface) interfaces.nextElement();
    if (device.getHardwareAddress() != null && !( device.isPointToPoint() || device.isLoopback() ) )
    {
        byte[] mac = device.getHardwareAddress();
        macaddress = new String();
        for (int i = 0; i < mac.length; i++)
        {
            macaddress += String.format("%02X%s", mac[i], (i < mac.length - 1) ? ":" : "");
        }
        System.out.println("[" + device.getDisplayName() + "]" + macaddress);
        System.out.println("[" + new String(device.getDisplayName().getBytes("UTF-8")) + "]" + macaddress);
        System.out.println("[" + new String(device.getDisplayName().getBytes("Big5")) + "]" + macaddress);
 
    }
}


Output:
[Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Controller #2 - Packet Scheduler Miniport]:30:F0:A3:0F:06:00
[ÂŪ޸˸m ( ӤH°ϰìºô¸ô]:00:01:64:00:00:00
[ÂŪ޸˸m ( ӤH°ϰìºô¸ô]:00:01:64:00:00:00
[????m (??H�X??????]:00:01:64:00:00:00

正確 Output 應該是:
[Marvell Yukon 88E8057 PCI-E Gigabit Ethernet Controller #2 - Packet Scheduler Miniport]:30:F0:A3:0F:06:00
[藍芽裝置 (個人區域網路) #2]:00:01:64:00:00:00
[藍芽裝置 (個人區域網路) #2]:00:01:64:00:00:00
[????m (??H�X??????]:00:01:64:00:00:00

由 device.getDisplayName() 讀出的資料應該是 utf8 的但不知為何會出現亂碼,我其實是要把資料放入treenode 內,當然放入後是亂碼,所以試print 出 console試試看而發現了問題所在。
OS 是 Windows XP 中文版,JDK 1.6.20。

請各位大大賜教,謝謝

23
各位大大

請問如果 linux user 只用 ssh 作tunneling 可否不給 shell呢 ?
其實我試過在/etc/passwd 內的shell 改為 "nologin" 但失敗,不能建立 tunnel。
這條tunnel 是用來做remote control desktop 的,會給與同事便用,我怕建立了 tunnel 他們會做甚麼傻事,
雖然這台linux 只有OS 沒有其他東西,但安全一點會較好。
不知有沒有其他方法可以令人登錄了也做不到甚麼事,只可用Tunnel。

Thanks

24
原來是個 Kaspersky 的 Proactive Defense 作怪,關了 Application Activity Analyzer 回復正常了。

25
各位大大

小弟正用 CentOS 5.2,用 RPM 安裝了 Samba 3.0.33-3.15.el5_4.1,samba 並沒有掛上 ClamAV之類的東西。
這台服務器是 P4 2.8G 1G RAM
Samba 用 Winbind 連接到 Win NT4 的PDC 核對帳戶。
運作上沒有問題,可以正常存取檔案,不過當直接打開服務器的檔案,修改後保存會很慢。
保存一個 20K 的檔案要六秒多,但用檔案總管複製檔案相同的檔案不用一秒。
其實列出檔案也有慢的情況,只有十多個檔案或目錄也要兩,三秒才出現。

客戶端是 Windows XP SP3。

不知道那裏出了問題,懇請各位指點一下。

以下是 Samba 的 Config file
[global]
        dos charset = CP950
        unix charset = CP950
        workgroup = DOMAIN_NAME
        server string = FileServer
        security = domain
        obey pam restrictions = Yes
        password server = 192.168.0.11
        log file = /var/log/samba/%m.log
        max log size = 50
        client schannel = no
        client use spnego = no
        server signing = auto
        large readwrite = no
        printcap name = /etc/printcap
        dns proxy = No
        wins support = yes
        ldap ssl = no
        idmap uid = 10001-50000
        idmap gid = 10001-50000
        template homedir = /share/public/home/%U
        winbind use default domain = Yes
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind nested groups = Yes
        printing = lprng
        print command = lpr -r -P'%p' %s
        lpq command = lpq -P'%p'
        lprm command = lprm -P'%p' %j
        lppause command = lpc hold '%p' %j
        lpresume command = lpc release '%p' %j
        queuepause command = lpc stop '%p'
        queueresume command = lpc start '%p'
        dos filetimes = Yes
        allow trusted domains = yes
        template shell = /bin/false

[homes]
        comment = Home Directories
        path = %H
        read only = No
        browseable = No
        locking = no
        posix locking = no
        csc policy = disable
        share modes = no
        level2 oplocks = no

謝謝

26
Network 討論版 / [問題] VPN 自動連接
« 於: 2010-04-13 12:57 »
各位大大,請問有什麼VPN連接,可以重新啟動電腦後,未登入DOMAIN前會自動連線。

謝謝

27
各位大大

請問Postfix 如何防止大量郵件寄入,我見列 Yahoo 及 Gmail 防止同一個 IP 短時間內寄入大量郵件。
我已以有Dspam (類似 spam assassin) 做郵件過濾,但它好像沒有防止同一個 IP 短時間內寄入大量郵件的工能。

請各位大大賜教。

Thanks

28
Network 討論版 / 回覆: MRTG 偵測不到流量
« 於: 2009-07-19 02:58 »
不如試一下其他工具,Munin 是一個比較容易設定的工具。
用rpm install 的話 default setting 已有流量及cpu usage。

http://munin.projects.linpro.no/

29
各位大大

小弟有個 Perl script 要 分析 email 的 virtual user table,但有時會發現有機會出現loop 死的問題(因為virtual user table 的錯誤設定),而perl 其實也有出warning "Deep recursion on subroutine",不過script 是會繼續執行,會loop 死部機的。

請問各位大大有沒有方法當發現有這種情況時可以中止執行。

Thanks

30
我試試先

Thanks 大大

頁: [1] 2 3