Предыстория такова: Пару месяцев назад, ковырял конфиги этого самого virt-manager, дабы виртуальна машина увидела роутер, дабы его перепрошить тулзой под оффтопик. Виртуальная машина к роутеру не подключилась, а вернуть все что я там навротил взад - забыл.

Теперь, понадобилась виртуалка, а в ней сети нет. Переустановил оффтопик - без результата. Запустил виртуалку с Debian - тоже сети нет. Удалил саму програму командами: apt purge virt-manager, apt autoremove, очистил кеш. Удалил даже файлы с каталога libvirt (а то apt не удалил). Установил заново - сети нет.

VirtualBox есть, в нем сеть есть.

Вопрос: кто виноват и что делать?

Есть свой настроенный OpenVPN сервер. Есть консольный клиент OpenVPN на Debian. Отсюда есть несколько вопросов:

1. Как нормально настроить блокировку утечки DNS? Протокол UDP, в клиенте: script-security 2, up /etc/openvpn/update-resolv-conf, down /etc/openvpn/update-resolv-conf. Указывал и ignore-unknown-option block-outside-dns. Пакет systemd-resolved установлен.

На сервере: push "dhcp-option DNS 94.140.14.14", push "dhcp-option DNS 94.140.15.15", push "redirect-gateway def1 bypass-dhcp". Все равно вместе с серверами VPN, есть и DNS моего провайдера. При проверке на whoer.

2: При отключении OpenVPN на клиенте (Ctrl+Z) сеть пропадает. Выполнение systemctl restart networking и переподключение не решает. Приходится перезапускать ноутбук. Что вызывает попоболь.

Задумываюсь над поднятием копии сайта (не ЛОРа, к сожалению). Сайт без Js, статичные простые HTML странички. Если сайт весь можно дернуть даже wget, то как найти скрипт, который через N времени, дергал новые появляющиеся статьи, и вкладывал в определенный каталог на VPS? Или если платно, то подскажите как более развернуто сформировать ТЗ под хотелку свою.

Или можно сделать по другому и проще?

Появилась потребность, иметь автономный Thinkpad. Из требований, все таки X86-64, а не ARM. Потому вопрос, может ли современный Thinkpad, быть автономным? Или все таки, условно мой X260 с внутренней + усиленной внешней батареей + горячей заменой батарей - будет лучше и дешевле нежели новомодные решения?

В моем случае, при серфинге, чтении текста и работе wi-fi, часов 10-12 может продержаться. Если крутить виртуалки - конечно меньше автономность и шумит. Но, он компактный по габаритам, в хорошем внешнем состоянии. Не готов менять на 14-15 дюймовый вариант.

Что скажут владельцы более новых ноутбуков?

Перемещено hobbit из general

Захотел поднять свой, приватныйТМ coturn сервер. С шифрованием и куртизанками, для своего же приватного Matrix сервера.

Что сделал: Создал 2 поддомена: turn.example.com, stun.example.com

Прописал SRV записи:

_stun._udp.example.com.  14400 IN SRV  5 0 3478 turn.example.com.
_stun._tcp.example.com.  14400 IN SRV  5 0 3478 turn.example.com.
_stuns._tcp.example.com. 14400 IN SRV  5 0 5349 turn.example.com.

_turn._udp.example.com.   14400 IN SRV  5 0 3478 turn.example.com.
_turn._tcp.example.com.   14400 IN SRV  5 0 3478 turn.example.com.
_turns._tcp.example.com.  14400 IN SRV  5 0 5349 turn.example.com.

Даже прописал NAPTR запись:

@ IN NAPTR 10 0 "s" "RELAY:turn.udp" "" _turn._udp.example.com

Создал сертификат для поддомена: turn.example.com

Создал каталог для сертификатов, дал на него права turnserver. Сертификатам назначил права 0644.

Конфиг сервера:

tls-listening-port=5349
use-auth-secret
static-auth-secret=LOR_CAKE
realm=turn.example.com
verbose 3
log-file=/var/log/coturn/turnserver.log
user-quota=12
total-quota=1200
no-tcp-relay
no-tcp
no-loopback-peers
no-multicast-peers
cert=/etc/coturn/fullchain.pem
pkey=/etc/coturn/privkey.pem
cipher-list="ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384"
dh2066
no-tlsv1
no-tlsv1_1
no-tlsv1_2
no-cli

В конфиге Matrix указал:

turns_uris: [ "turn:turn.example.com?transport=udp", "turn:turn.example.com?transport=tcp" ]
turn_user_lifetime: 86400000

В логах turnserver следующее.

Вопрос: Как мне проверить, что соединения идут через мой turnserver? Я запускал аудио звонки, с двух аккаунтов на одном сервере. Но остановив coturn, я все равно смог дозвониться.

На данный момент, использую RSA 4096 ключи, для ssh и прочей криптографии. Есть ли смысл перекатываться на elliptic curve ключи? Для меня, пока, RSA простой, надёжный, работает даже на говне мамонта. В отличии от новомодных кривых.

Что уважаемые камрады и анон скажут?

Захотел настроить плагин enigma, в конфиге roundcube он добавлен. Скопировал конфиг enigma:

cp config.inc.php.dist config.inc.php

В строке: $config['enigma_php_homedir'] = /var/vmail/pgp-keys путь указал. Каталог по пути /var/vmail/pgp-keys создал, права дал:

chown www-data /var/vmail/pgp-keys
chgrp www-data /var/vmail/pgp-keys
chmod 700 /var/vmail/pgp-keys

GnuPG установлен.

Перезапустил nginx, postfix, dovecot.

При входе в веб морду - Oops... something went wrong. В логах roundcube ошибка:

PHP Parse error:  syntax error, unexpected token "/" in /var/www/mail/html/plugins/enigma/config.inc.php on line 1

Что я делаю не так?

Как делать правильно?

Интересует карманный модем, с возможностью смены IMEI (что бы мимикрировать под смартфон для ОПСОСа). Насколько вижу, такая возможность есть у модемов huawei серий E5373, E5377, E5573, E5577, E5770, E5786. Какие из этих моделей (либо других) проще для этого дела?

Навеяно данным тредом. А посоветуйте клиент под это дело? Я установил следующие: Tokodon, Whalebird, Tuba, Fedistar, где-то с Flatpak, где-то .deb пакеты. А чем они отличаются, кроме как интерфейсом? Какой тут Ъ а какой поделие от Васянов?

Есть одна тян один Prosody сервер, в котором мне не очень понятны некоторые параметры. В файле /etc/prosody/prosody.cfg.lua, указаны:

s2s_secure_auth = true
...
c2s_direct_tls_ports = { 5223 }
s2s_direct_tls_ports = { 5270 }
c2s_require_encryption = true
s2s_require_encryption = true
tls_profile = "intermediate" -- "modern" if you don't need TLS 1.2

В modules_disabled параметры закомментированы:

modules_disabled = {
	-- "offline"; -- Store offline messages
	-- "c2s"; -- Handle client connections
	-- "s2s"; -- Handle server-to-server connections
}

В файле виртуального хоста для каждого поддомена есть сертификат:

ssl = {
                key = "/etc/prosody/certs/YOURDOMAIN.COM.key";
                certificate = "/etc/prosody/certs/YOURDOMAIN.COM.crt";
                options = { "no_sslv2", "no_sslv3" }
        }

Вопрос: Нужно ли мне в файле виртуального хоста включать модули: "tls"; "saslauth"; ? Или это излишне и TLS уже используется на уровне сервера (выше по иерархии)?

Есть свой почтовик, Postfix+Dovecot+MariaDB. Работает нормально, авторизация через Thunderbird проходит, письма приходят и отправляются, SSL прикрутил.

Решил добавить Roundcube и обосрался. Стоит версия LTS 1.5.9, с гитхаба. Установил пакеты:

php-cli php8.2-mysql php-json php-gd php-ldap php-odbc php8.2-common php8.2-opcache php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap php-zip php-imap php php-fpm php-curl php-mysql aspell aspell-en fonts-glyphicons-halflings libaspell15 libjs-bootstrap libjs-bootstrap4 libjs-jquery-minicolors libjs-jstimezonedetect libjs-popper.js libjs-sizzle node-jquery php-auth-sasl php-mail-mime php-masterminds-html5 php-net-sieve php-net-smtp php-net-socket php-pspell php-intl php-imagick

enable --now php8.2-fpm

Прикрутил SSL для веб морды (она напрямую в MYDOMAIN.COM), конфиг Nginx:

server {
    listen 80;
        listen [::]:80;
    server_name YOUR_DOMAIN;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name YOUR_DOMAIN.COM;
    root /var/www/html;
    index index.php index.html index.htm;
    
    ssl_certificate /etc/letsencrypt/live/YOUR_DOMAIN/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/YOUR_DOMAIN/privkey.pem;

    location / {
        try_files  $uri $uri/ /index.php?$args;
    }

    location ~ \.php$ {
    try_files  $uri =404;
    fastcgi_pass   unix:/run/php/php8.2-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param DOCUMENT_ROOT /var/www/html/;
    fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
    fastcgi_param PATH_TRANSLATED /var/www/html$fastcgi_script_name;
    include fastcgi_params;
    }
}

Дал права: chown -R www-data:www-data /var/www/html/, chmod 775 /var/www/html/temp/ /var/www/html/logs/

Скопировал конфиг: cp /var/www/html/config/config.inc.php.sample /var/www/html/config/config.inc.php

Указал: $config['db_dsnw'] = 'mysql://mailuser:PASSWORD@127.0.0.1/mailserver;

Теперь, на странице MYDOMAIN.COM страница входа в панель. Ошибка:

Oops... something went wrong!

An internal error has occurred. Your request cannot be processed at this time.

For administrators: Please check the application and/or server error logs for more information.

В логах по пути /var/www/html/logs только файл htaccess, с содержимым:

<ifModule mod_authz_core.c>
    Require all denied
</ifModule>
<ifModule !mod_authz_core.c>
    Deny from all
</ifModule>

Кроме этого, я крутил дополнительно настройки, пытаясь через каталог installer настроить. Тогда ловил ошибку:

DB Schema:  NOT OK(Error creating database schema: [1142] CREATE command denied to user 'mailuser'@'localhost' for table `mailserver`.`session` (SQL Query: CREATE TABLE `session` (
`sess_id` varchar(128) NOT NULL,
`changed` datetime NOT NULL DEFAULT '1000-01-01 00:00:00',
`ip` varchar(40) NOT NULL,
`vars` mediumtext NOT NULL,
PRIMARY KEY(`sess_id`),
INDEX `changed_index` (`changed`)
) ROW_FORMAT=DYNAMIC ENGINE=INNODB CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci))

Создал пустую базу данных, указал информацию для подключения - не помогло. (Хотя когда крутил раньше, указывая пустую базу данных - веб морда логина отображалась). Хотел перенести информацию в пустую базу данных - получил 1045 ошибку. Видимо потому что юзера указывал не в формате 'username'@'localhost', а в формате 'username'@'127.0.0.1'. В общем, это на тестовом ВПС, бекап есть. Потому не к спеху, но хочеться разобраться, как правильно настраивать? Или же все снести и делать заново? Создать пустую базу данных, подключить, а уже после, создать таблицу и заполнить данными для логинов и паролей? Таблицу и данные я через консоль вношу.

Оказывается, Calibre не запоминает прочитанные страницы и открывает книгу, каждый раз з самого начала. Как это исправить? В FB2 запоминает корректно.

Я, конечно, могу делать закладки. Либо конвертнуть книги в формат FB2. Но может есть удобнее, чем эти фичи.

Установлен в ноутбуке модем Huawei Technologies Co., Ltd. ME906s LTE M.2 Module. Как подключаться через него к сети? Желательно через гуй. Сим-карта в нем стоит. Пробовал через гуй network manager - не видит устройство. В KDE вроде по дефолту через менеджер сетевых устройств можно подключиться. Но так как я сверхразум и спользую xfce, то страдаю.

Есть 2 стула SSD, на одном божественный Debian, а на другом Столлманопротивный Шиндовс. Но, в силу обстоятельств, нужно пользоваться программами под виндовс, которые не удобны/не стабильны под Wine. А виртуальная машина с виндовс, под Thinkpad X260, не сильно производительная.

Вопрос: Насколько не Ъ переставлять физически диски по мере надобности? Скажем раз в 2 недели, или раз в месяц. Если основная система для ежедневного использования будет Debian.

Читал что не желательно так диски перетыкать, что быстрее могут умереть. Ну и прочность защелок/резьбы винтов на корпусе, при таком использовании тоже вызывает вопросы.

Я, конечно, могу купить второй Thinkpad под винду. Но пользоваться буду не сильно часто, он просто будет лежать.

Дуалбут не желательно рассматривать, так-как нужна стабильность, а не: -ОЙ ШИНДА ПРИ ОБНОВЛЕНИИ ЗАТЕРЛА ЗАГРУЗЧИК.

В общем, что скажут уважаемые ЛОРовцы?

Имеется в наличии Thinkpad X260, на нем установлен 12 Debian. Задам несколько вопросов, по улучшению:

1. По умолчанию стоят драйвера Mesa Intel(R) HD Graphics 520 (SKL GT2). С которыми наблюдаю мелкие подлагивания курсора и было пара зависаний гуя. Если я поставлю проприеритарные драйвера, то они исправят ситуацию? Если да - то какие ставить?

2. Как настроить именно полное выключение системы? В текущих настройках, я так понимаю идет глубокий сон (кнопка Fn светится, но при этом интуитивно не понятно, как вывести систему ото сна. Потому жму на кнопку включения, пока подсветка не тухнет, а затем включаю снова кнопкой). Либо же в ноутбуках принято делать по другому и выключение системы не желательно?

3. На ноутбуке 2 батареи, внешняя и внутренняя. У обоих ёмкость по 60-61% от изначальной. Это пока терпимо, или желательно поменять их? Если менять, то на что ориентироваться у продавцов? Эти батареи оригинальные.

4. У меня fxce, какой пакет поставить, что бы при переключении раскладки, это отображалось на экране, аналогично отображению в KDE? Пакетов с Qt я и так натащил уже в систему, потому не критично.

Хочу защитить ноутбук, что бы в случае кражи, не могли переставить SSD/снять SSD, накатить другую ОС и пользоваться. Если я поставлю пароль supervisor, он выполнит данную задачу?

Стоит ли мне рассматривать установку пароля на загрузку? Правильно ли я понимаю, что пароль будет запрашивать, вне зависимости от установленного диска/системы?

Либо же мне стоит поставить и пароль supervisor и пароль на загрузку, изменение порядка загрузки, отключить USB для загрузки?

В общем, Ъ, просветите пожалуйста, как лучше сделать. Ноутбук не дорогой сам по себе (ему около 8 лет, с даты выпуска), но паранойя не дремлет!

Есть несколько поддоменов, уровня my.cool.new.site.sitename.com. К основному домену второго уровня, (sitename), сертификат подключил. А как правильно подключить к остальным поддоменам? Сервер апача, подключаю через python3-certbot-apache.

На VPS, настроил перенаправление трафика через Тор. В iptables это:

iptables -A INPUT -i tun0 -s 10.8.0.0/24 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i tun0 -p udp --dport 53 -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:53530
iptables -t nat -A PREROUTING -i tun0 -p tcp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040
iptables -t nat -A PREROUTING -i tun0 -p udp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040
iptables -A OUTPUT -m conntrack --ctstate INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,FIN ACK,FIN -j DROP
iptables -A OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,RST ACK,RST -j DROP

Трафик перенаправляется в тор, но только трафик моего OpenVPN сервера, (то есть, цепочка, VPN->Tor). Shadowsocks сервер, идет в обход правил. Попытки настроить, приводят к блокировке жопы всего исходящего трафика. В общем, как правильно настроить, перенаправление всего трафика через тор?

Настраиваю сервер, работает Shadowsocks-2022 и VLESS + XTLS-Vision, а VLESS-over-Websockets не работает. Что сделал:

- Взял домен, перенаправил на IP VPS.

- Поднял вебсервер (Apache), настроил конфиг на 80 порт.

- Создал отдельно сертификаты для домена, не включая https версию для домена, в веб сервере.

- Установил XTLS/Xray-core/v1.8.13

Сервер работает, но вывод команды journalctl -u xray таков:

V2Xray systemd[1]: Started xray.service - XRay.
V2Xray xray[8339]: Xray 1.8.13 (Xray, Penetrates Everything.) 3120ca4 (go1.22.3 linux/amd64)
V2Xray xray[8339]: A unified platform for anti-censorship.
V2Xray xray[8339]: [Info] infra/conf/serial: Reading config: /opt/xray/config.json
V2Xray xray[8339]: [Info] transport/internet/websocket: listening unix domain socket(for WS) on @vless-ws
V2Xray xray[8339]: [Info] transport/internet/tcp: listening TCP on 0.0.0.0:23
V2Xray xray[8339]: [Info] transport/internet/udp: listening UDP on 0.0.0.0:23
V2Xray xray[8339]: [Info] transport/internet/tcp: listening TCP on 0.0.0.0:443
V2Xray xray[8339]: [Warning] core: Xray 1.8.13 started
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: firstLen = 0
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: fallback starts > proxy/vless/inbound: fallback directly
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: realName = dl.google.com
V2Xray xray[8339]: [Info] [2421907542] proxy/vless/inbound: realAlpn = http/1.1
V2Xray xray[8339]: [Info] [2421907542] app/proxyman/inbound: connection ends > proxy/vless/inbound: fallback ends > proxy/vless/inbound: failed to fallback request payload > read tcp IP.MY.VPS:443->MY.REAL.IP:42258: failed to fallback request payload > read tcp IP.MY.VPS:443->MY.REAL.IP:42258: read: connection reset by peer

Конфиг сервера:

{
  "log": {
    "loglevel": "info"
  },
  "routing": {
    "rules": [],
    "domainStrategy": "AsIs"
  },
  "inbounds": [
    {
      "port": 23,
      "tag": "ss",
      "protocol": "shadowsocks",
      "settings": {
        "method": "2022-blake3-aes-128-gcm",
        "password": "MY_SECRET_LONG_PASSWORD",
        "network": "tcp,udp"
      }
    },
    {
      "port": 443,
      "protocol": "vless",
      "tag": "vless_tls",
      "settings": {
        "clients": [
          {
            "id": "MY-RANDOME-ID",
            "email": "user1@myserver",
            "flow": "xtls-rprx-vision"
          }
        ],
        "decryption": "none",
        "fallbacks": [
          {
            "path": "/var/www/my.site.com/html",
            "dest": "@vless-ws"
          },
          {
            "dest": "80"
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "tls",
        "tlsSettings": {
          "alpn": [
            "http/1.1",
            "h2"
          ],
          "certificates": [
            {
              "certificateFile": "/etc/letsencrypt/live/my.site.com/fullchain.pem",
              "keyFile": "/etc/letsencrypt/live/my.site.com/privkey.pem"
            }
          ]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      }
    },
    {
      "listen": "@vless-ws",
      "protocol": "vless",
      "tag": "vless_ws",
      "settings": {
        "clients": [
          {
            "id": "MY-RANDOME-ID",
            "email": "user2@myserver"
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "ws",
        "security": "none",
        "wsSettings": {
          "path": "/var/www/my.site.com/html"
        }
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "tag": "direct"
    },
    {
      "protocol": "blackhole",
      "tag": "block"
    }
  ]
}

В общем, что я делаю не так, и как делать правильно?

Перемещено hobbit из general

В общем, хочу более глубоко разбираться в работе сети. Из книг есть «Компьютерные сети, 6 издание» Таненбаума. «Создание, администрирование и обслуживание сетей на 100%» Ватаманюка. Но там только теория, а мне хочется больше практики. Потому как, прочитал теорию, а как и что можно реализовать на практике, уже сложно понять.

Есть виртуальные машини, с линуксом/виндой/виндой серверной (XP, Server 2008). Есть два физических маршрутизатора, с поддержкой Wi-Fi, один стандартный, на 2.4GHz, второй на OpenWRT, с поддержкой Wi-Fi 5GHz в том числе. Есть 4G модем. Есть 2 ПК, физических, линукс и макос (мак мини). Есть VPS.

В общем, что посоветуете?