Иногда возникает необходимость ограничить пользователя который имеет доступ по ssh, конечно это можно реализовать выставив права на лиректории, урезав права пользователю и тд. Но сменив корневую директорию для пользователя и ограничив его набором программ которые вы выбрали сами гораздо безопаснее. В этой статье я опишу как настроить SSHD на работу с chroot, применяя ограничения только к нужным пользователям. Для настроки нам понадобятся измененная версия SSHD и пакет makejail который создает chroot окружение для программ автоматически, используя конфигурационные файлы. Есть и минусы, так как на сегодня имеется не самая свежая версия пакета sshd, а именно версии 4.3p2. Установку и настройку я проводил на системе Ubuntu 8.04, но на странице где можно скачать пропатченный SSHD имеются исходные коды, которые можно собрать на других операционных системах. прочитать полностью »
Во многих доках и HOWTO описывается, как поднять VLAN-ы в Linux вручную, при помощи последовательности команд, которые потом можно запихнуть в скрипт. Считаю, что это не совсем правильно. Подобные вещи лучше всего делать штатными средствами системы. В RedHat-based системах настройка VLAN-ов легко выполняется при помощи стандартного скрипта ifup. Ниже описана данная процедура. прочитать полностью »
Разговор пойдет про MRTG – Multi Router Traffic Grapher. Я не случайно привел полную расшифровку названия. Всё, что связано именно с рисованием графиков трафика, MRTG справляется хорошо. Конфигурирования почти не требует, достаточно запустить cfgmaker и indexmaker.Однако, если вы захотите иметь графики загрузки CPU, RAM и т.п., то, возможно, решить эти вопросы сходу не удастся. Сказанное относится к дистрибутиву Fedora всех версий в полной мере.
Итак, всё по порядку. прочитать полностью »
Прежде чем приступить к чтению этой статьи, обратите внимание, что Microsoft Forefront TMG (Threat Management Gateway) все еще находится на стадии бета версии, и что-нибудь может измениться в конечной версии Microsoft Forefront TMG.
Также следует учитывать, что многое из этой статьи можно применить к ISA Server 2004 и ISA Server 2006, поскольку режим блокировки брандмауэра (Firewall Lockdown mode) практически одинаков во всех версиях. Лишь функция очередей логов (TMG Log queue) доступна только в Forefront TMG.
Первый вопрос, который вы можете задать, будет звучать так: что такое режим блокировки брандмауэра Firewall Lockdown Mode? Ответ прост. Все версии ISA Server имеют функцию, которая отключает службу брандмауэра ISA Server Firewall, когда запись логов с ISA в место назначения прерывается. Это также относится и к Microsoft Forefront TMG, за исключением того, что TMG идет с новой версией, расширяющей возможности режима блокировки, эта функция называется функцией очередей логов (Log queue feature). Чуть позже в этой статье я расскажу подробнее о данной функции.
прочитать полностью »
Вам понадобятся
- Пакет автоматической установки Windows (WAIK)
- Загрузочный диск Windows PE с утилитой ImageX
Безусловно, вам понадобится компьютер для установки и настройки ОС, а также место для сохранения системного образа. В качестве компьютера для установки может выступать виртуальная машина. Сохранить настроенный образ можно на несистемном разделе этого компьютера. Например, во время установки системы можно создать два раздела – на один установить ОС, а на второй впоследствии сохранить образ. Также, в виртуальной машине всегда можно подключить еще один виртуальный диск. Наконец, настроенный образ можно сохранить на сетевом ресурсе или USB-диске. Как видите, вариантов много – есть из чего выбирать. прочитать полностью »
March 31, 2009 – 12:49 pm
Утилита chaosreader позволяет выделить пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP, ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.
Передав утилите chaosreader на вход накопленный дамп, на выходе получим html файл с анализом пересылок и ссылками на встретившиеся в сессии файлы. прочитать полностью »
Возникла необходимость сделать на lighttpd балансирующий ssl-прокси к веб-серверу под управлением Apache.
Другими словами, реализовать схему:
https-запрос
|
\|/
lighttpd
/ \
/ \
apache1 apache2
где apache1. apache2 выбираются, исходя из доступности. прочитать полностью »
В третьей части серии о настройке NAP с политикой внедрения IPsec мы настроили политику NAP IPsec, а затем настроили клиентов для тестирования. В этой последней части серии мы протестируем клиентов и посмотрим, как сертификаты безопасности автоматически назначаются и удаляются и как клиенты подключаются и отключаются от сети.
В этой части мы сконцентрируемся на двух основных задачах:
- Протестируем конфигурацию сертификата здоровья и автоисправления
- Проверим внедрение политики NAP на VISTASP1
Тестирование сертификата здоровья и конфигурации автоисправления
В этом разделе мы выполним следующие задачи:
- Убедимся, что обе машины VISTASP1 и VISTASP1-2 имеют сертификаты здоровья
- Присоединим VISTASP1-2 к домену
- Проверим автоисправление на VISTASP1 прочитать полностью »
Один из самых больших плюсов свободного ПО – это возможность создавать дистрибутив для собственных нужд. Сейчас доступно несколько десятков дистрибутивов, упрощающих работу админа. Выбор среди специализированных дистрибутивов на базе LiveCD действительно огромен, и здесь важно не запутаться и подыскать себе именно тот инструмент, который максимально подойдет под решение твоих задач.
У админов очень популярен целый класс дистрибутивов, реализующих функции маршрутизатора и брандмауэра. К свободным ОС многие пользователи приходят именно после знакомства с одной из подобных систем. Но есть и другие решения, с помощью которых просто установить и настроить веб или почтовый сервер, программную АТС на базе Asterisk и т.д. Все они в той или иной мере направлены на решение задач по организации определенного сервиса. Кроме того, существует великое множество дистрибутивов, направленных на обслуживание компьютеров и сетей. Именно о таких решениях и пойдет речь в этой статье. Для удобства разделим их на несколько групп: прочитать полностью »
March 27, 2009 – 12:33 pm
IPv6 и система доменных имен
IPv6-адреса представлены в системе доменных имен в виде АААА-записей (так называемых 4А-записей) для поиска вперед; для обратного поиска используется ip6 .arpa (ранее ip6 .int) с помощью отсечения адреса. Эта схема является простой адаптацией А-записей и in-addr.arpa схемы, определенной в RFC 3596.
АААА-схема была предложена одной из первых во время разработки архитектуры IPv6. Другое предложение, содержало идею A6-записей для поиска вперед и ряд других нововведений, таких, как bit-string labels и DNAME-записи. Оно представлено в экспериментальном RFC 2874 и ссылается (с последующими обсуждение преимуществ и недостатков обеих систем) на RFC 3364. прочитать полностью »
