Сообщения Alpha789

Samba PDC + setfacl — как задать права по умолчанию для новых файлов?

Форум — Admin

Приветвую.

Подскажите, пожалуйста, по команде setfacl.
Есть домен на samba 4 и отдельная машинка с файловым сервером тоже на samba 4. На файловом сервере выставлены разграничение прав доступа к сетевым папкам в соответствии с учётками в АД. Файловая система поддерживает расширенные атрибуты прав доступа:

UUID=XXXXXXX/data1          ext4    defaults,noexec,user_xattr,acl,barrier=1        0       2

Есть следующее дерево папок, в котором пытаюсь реализовать следующее:

- share (группа «Domain Users» имеет правона просмотр содержимого каталога)
--- Файлообменник (группа «Domain Users» доступ на чтение и запись)
--- Руководство (папку видит и имеет право на запись группа «Руководство»)
--- Продажи (группа «Domain Users» - просматривает содержимое, но не может удалять\изменять фалы; группа «Продажи» может изменять\удалять\создавать фалы)

Проблемой является папка «Продажи».
При помощи команды setfacl создаю права для «Domain Users»:

setfacl -R -m g:"Domain Users":r-x Продажи

Создаю права для группы «Продажи»:

setfacl -R -m g:Продажи:rwx Продажи

Права по умолчанию:

setfacl -m default:g:Продажи:rwx Продажи

И всё хорошо, сотрудники отдела продаж имеют полный доступ, а пользователи домена только на чтение:

getfacl Продажи
# file: Продажи
# owner: root
# group: Продажи
user::rwx
group::r-x
group:Domain\040Users:r-x
group:Продажи:rwx
mask::rwx
other::---

Проблема заключается в том, что при создании новых фалов пользователями группы «Продажи», файлам присваивается группа «Domain Users», и любой пользователь автоматически имеет право на удаление или правку нового файла.

 
ls -l Продажи
...
drwxrws---+  2 user   Domain Users   4096 июл 26 16:40 1

Вопрос: Как задать автоматическое присвоение вновь созданным\скопированным\изменённым файвам нужную групп (нужные права доступа), в частности, задать по умолчанию группу «Продажи», а не «Domain Users» с соответствующими ограничениями?

На всякий случай конфиг samba файлового сервера:

cat /etc/samba/smb.conf
[global]
   workgroup = DOMAIN
   server string = Файловый сервер
   security = ADS
   realm = DOMAIN.RU
   idmap config *:backend = tdb
   idmap config *:range = 70001-80000
   idmap config DOMAIN:backend = ad
   idmap config DOMAIN:schema_mode = rfc2307
   idmap config DOMAIN:range = 500-40000

    winbind nss info = rfc2307
    winbind trusted domains only = no
    winbind use default domain = yes

create mask = 0750
directory mask = 0750
vfs objects = acl_xattr btrfs
map acl inherit = Yes
store dos attributes = Yes

[share]
   path = /data1/share
   read only = no
   hide unreadable = yes

PS: Нашёл ещё команду, которая ставил флаг группы на корневую папку

chmod g+s Продажи

После неё члены группы «Domain Users» не могут удалять новые файлы, хотя ls -l выдаёт тоже самое

 
ls -l Продажи
...
drwxrws---+  2 user   Domain Users   4096 июл 26 16:40 1

Вроде работает, но не понятно грамотно это или просто какой-то костыль. Хотелось бы грамотно.

acl, samba

Alpha789
(26.07.15 14:00:28 MSK)

1 комментарий

Как найти и обезвредить рассылку спама?

Форум — Admin

Ребят, помогите разобраться с гадостью (за $, если у кого есть время).

OS: Debian 7.8 | iRedMail

Есть шлюз: 192.168.1.100 с apache2 на котором висел lightsquid на 80 порту и 443 редиректился на web-интерфейс почтовика RoundCube.

В логах apache2 видно, что кто-то ломал веб-сервер:

[Thu Apr 09 09:53:16 2015] [error] [client 104.243.47.26] File does not exist: /var/www/muieblackcat
[Thu Apr 09 09:53:16 2015] [error] [client 104.243.47.26] File does not exist: /var/www/phpMyAdmin
[Fri Apr 10 01:58:15 2015] [error] [client 59.108.91.237] File does not exist: /var/www/img

Хотя взломали и сам почтовик, т.к. после переустановки шлюза без web-сервера повторилось всё тоже самое.

Теперь с почтового сервера iRedMail 192.168.1.5 идёт отправка спама.

Судя по логам, отправка идёт от шлюза [192.168.1.100], от чужих IP [63.20.194.21] и самого почтовика 127.0.0.1

Apr 10 17:04:56 mail postfix/smtp[11064]: 3E89424A007E: to=<irene025@yahoo.com.tw>, relay=127.0.0.1[127.0.0.1]:10024, delay=16, delays=13/0.02/0.01/3.5, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 3C39424A0086)
Apr 10 17:04:58 mail postfix/smtpd[11075]: connect from mail.mydomain[127.0.0.1]
Apr 10 17:04:58 mail postfix/smtpd[11075]: 1B18024A0088: client=mail.mydomain[127.0.0.1]
Apr 10 17:04:58 mail postfix/cleanup[11039]: 1B18024A0088: message-id=<XCJEPIYOIJQWCWQPNTGSVF@163.com>
Apr 10 17:04:58 mail postfix/smtpd[11075]: disconnect from mail.mydomain[127.0.0.1]
Apr 10 17:04:58 mail postfix/qmgr[11021]: 1B18024A0088: from=<sqldqh@163.com>, size=7382, nrcpt=1 (queue active)
Apr 10 17:04:58 mail amavis[8783]: (08783-01) Passed SPAM {RelayedTaggedInternal}, MYNETS/MYUSERS LOCAL [192.168.1.100]:3719 [63.20.194.21] <sqldqh@163.com> -> <janeisq@yahoo.com.tw>, Queue-ID: 3E89424A007E, Message-ID: <XCJEPIYOIJQWCWQPNTGSVF@163.com>, mail_id: RZ2ZpksUjUzT, Hits: 16.795, size: 5950, queued_as: 1B18024A0088, 5356 ms
Apr 10 17:04:58 mail postfix/smtp[11065]: 3E89424A007E: to=<janeisq@yahoo.com.tw>, relay=127.0.0.1[127.0.0.1]:10024, delay=18, delays=13/0.03/0.01/5.4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1B18024A0088)

Почтавил логирование php5 в /etc/php5/apache2/php.ini

mail.add_x_header = On
mail.log = /var/log/php.mail.log

Но в логах пусто...

В очереди было более 6000 писем... Удалил их. Как это обезвредить?

спам

Alpha789
(10.04.15 17:58:44 MSK)

78 комментариев (стр. 2)

Squid3.4 + ssl_bump. Ошибка сертификата, Доступ запрещён

Форум — Admin

Выражаю благодарность двум формучанам blind_oracle и leg0las,читая топики которых, я немного разобрался в теме.
Тем не менее, безуспешно бьюсь над этим вопросом, в котором прощу помощи:
HTTP работает нормально, а при попытке, например, зайти на Гугл, пишет «Ошибка сертификата» ---> «Доступ запрещён»..
ОС: Debian 7.8
В Debian стоит старая версия squid, у которой есть трудности с https. Ставить новую версию из исходников не хотелось, поэтому, временно подключив тестовый репозиторий, качнул оттуда библиотеки и исходники squid3.4.8 для создания .deb-пакета.
Если кому интересно - подробности:

apt-get install libecap2-dev libnetfilter-conntrack-dev nettle-dev
...
cd /usr/src
apt-get source squid3

Отрубил тестовый репозиторий.
Делаю squid. Ставлю пакеты для сборки (из обычного репозитория):

apti-get install dpkg-dev squid-langpack devscripts build-essential fakeroot

Стандартные шаги по сборке:

apt-get  build-dep squid3
apt-get  build-dep openssh
apt-get  build-dep openssl

Дабавки:

nano debian/rules
--enable-ssl \
--enable-ssl-crtd \
--with-openssl \

Ещё добавки:

nano src/ssl/certificate_db.cc
#include <unistd.h>

Собрал и установил:

./configure
...
debuild -us -uc -b
...
cd ..
dpkg -i squid3_3.4.8-6_i386.deb squid3-common_3.4.8-6_all.deb squid3-dbg_3.4.8-6_i386.deb squid-cgi_3.4.8-6_i386.deb squidclient_3.4.8-6_i386.deb squid-purge_3.4.8-6_i386.deb

Squid собран с поддержкой SSL:

squid3 -v
Squid Cache: Version 3.4.8
Debian linux
configure options:  '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--enable-ssl-crtd' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-openssl' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'

Сделал сертификаты:

mkdir /etc/squid3/ssl && cd /etc/squid3/ssl
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem
openssl x509 -in squid.pem -outform DER -out squid.der
rm -rf /var/lib/ssl_db && /usr/lib/squid3/ssl_crtd -c -s /var/lib/ssl_db && chown -R proxy:proxy /var/lib/ssl_db

В squid прописал настройки для HTTPS:

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem key=/etc/squid3/ssl/squid.pem
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
always_direct allow all
ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/ssl_db -M 4MB

Отключил IPv6, включил маршрутизацию и завёл всех на squid:

$IPT -t nat -A PREROUTING -i $LAN -p TCP --source $LAN_NET --dport 80 -j DNAT --to-destination $LAN_IP:3129
$IPT -t nat -A PREROUTING -i $LAN -p TCP --source $LAN_NET --dport 443 -j DNAT --to-destination $LAN_IP:3130

На клиенты добавил сгенерированный сертификат squid.der. В итоге HTTP работает нормально, а при попытке, например, зайти на Гугл, пишет «Ошибка сертификата» ---> «Доступ запрещён».

debian, https, squid

Alpha789
(17.03.15 21:50:34 MSK)

63 комментария (стр. 2)

OpenVPN: клиент не видит доменные компы за сервером

Форум — Admin

Доброго времени суток, коллеги. Помогите, пож, неделю не могу понять. Клиент (debian-6) конектиться к OpenVPN-серверу (тоже debian-6), пингует его внешнюю и внутреннюю сетевуху. Пингует компы за сервером, которые не включены в домен. Те же компы, что включены в домент, клиент не видит :(

Конфиг сервера:
---------------------
cat server.conf
local xx.xx.xx.xx.
port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/debian.crt
key /etc/openvpn/easy-rsa/keys/debian.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push «route 10.8.0.0 255.255.255.0»
push «route 10.232.129.0 255.255.255.0» #ЛОКАЛЬНАЯ СЕТЬ
client-to-client
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
max-clients 100
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 5

Iptables на сервере открыт:
---------------------------------
#! /sbin/iptables-restore
# Generated by iptables-save v1.4.8 on Wed Oct 26 11:34:14 2011
*nat
:PREROUTING ACCEPT [19:1346]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [7:2855]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Oct 26 11:34:14 2011
# Generated by iptables-save v1.4.8 on Wed Oct 26 11:34:14 2011
*filter
:INPUT ACCEPT [184:22337]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [153:24017]
COMMIT
# Completed on Wed Oct 26 11:34:14 2011

Конфиг клиента:
--------------------
client
dev tun
proto tcp
remote xx.xx.xx.xx 1194
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
log-append /etc/openvpn/openvpn.log
comp-lzo
verb 3

Таблица маршрутизации на клиенте:
---------------------------------------------
netstat -rn
Kernel IP routing table
Destination-----Gateway-------Genmask-------Flags---MSS--Window--irtt Iface
10.8.0.5---------0.0.0.0---------255.255.255.255 UH 0 0 0 tun0
10.8.0.0---------10.8.0.5--------255.255.255.0 UG 0 0 0 tun0
192.168.1.0-----0.0.0.0---------255.255.255.0 U 0 0 0 eth1
10.232.129.0---10.8.0.5-------255.255.255.0 UG 0 0 0 tun0
0.0.0.0----------192.168.1.254--0.0.0.0 UG 0 0 0 eth1