Добрый вечер. На астер ломятся постоянно товарищи с friendly-scanner и т.д. Таких деятелей баню с iptables успешно. Но начали менять User-Agent на набор символов и ессно каждый раз новое агент выцеплять и банить вручную проблемно. Есть ли решение? Понятно, что тут регулярками не обойтись. Но может натолкнете на идею?)) Спасибо!

…тысяч 10, а лучше 50. Маршруты пушатся минут эдак десять. При этом и сервер и клиент толком не нагружены. Проверял с клиентом на linux и windows. По TCP и UDP При этом с antizapret.prostovpn.org аналогичное количество маршрутов приходит гораздо быстрее. Подозреваю что дело в каком-нибудь волшебном параметре в конфиге сервера, похоже что сервер пушит маршруты небольшими пачками с некоторым интервалом

cast ValdikSS

Выкурил тонны мануалов, собрал, поставил, работает. Даже почти так как надо. Интересует следующий момент: Есть сессия. Вхожу в неё с одного компа, захожу с другого - заходит в новую сессию. Как задать xrdp чтобы он создавал для одного пользователя одну сессию? Это крайне не удобно, что он создаёт новую сессию. Мне нужно чтобы с любого компьютера вход был в уже существующую сессию, а не только с моего. И ещё момент - как перенаправить xrdp коннектить к сущемтвующим сессиям? У меня настроен X11vnc, который коннектится к существующим, но vnc требует отдельного клиент и это не удобно ни для меня, ни для других пользователей. То есть у меня есть 2 продукта, со своими плюсами и минусами. Как их подружить или как донастроить xrdp, дабы он работал так же как и x11vnc? Всё поднялось в Open SuSE.

конфиг sesman.ini:

[Globals] ListenAddress=127.0.0.1 ListenPort=3350 EnableUserWindowManager=1 UserWindowManager=startwm.sh DefaultWindowManager=startwm.sh

[Security] AllowRootLogin=1 MaxLoginRetry=4 TerminalServerUsers=tsusers TerminalServerAdmins=tsadmins

[Sessions] X11DisplayOffset=10 MaxSessions=10 KillDisconnected=0 IdleTimeLimit=0 DisconnectedTimeLimit=0

[Logging] LogFile=xrdp-sesman.log LogLevel=DEBUG EnableSyslog=1 SyslogLevel=DEBUG

[X11rdp] param1=-bs param2=-ac param3=-nolisten param4=tcp param5=-uds

[Xvnc] param1=-bs param2=-ac param3=-nolisten param4=tcp param5=-localhost param6=-dpi param7=96

конфиг xrdp.ini:

[globals] bitmap_cache=yes bitmap_compression=yes port=3389 crypt_level=low channel_code=1 max_bpp=16 fork=yes # regulate if the listening socket use socket option tcp_nodelay # no buffering will be performed in the TCP stack tcp_nodelay=yes # regulate if the listening socket use socket option keepalive # if the network connection disappear without close messages the connection will be closed tcp_keepalive=yes #black=000000 #grey=d6d3ce #dark_grey=808080 #blue=08246b #dark_blue=08246b #white=ffffff #red=ff0000 #green=00ff00 #background=626c72 #autorun=xrdp1 #hidelogwindow=yes

[Logging] LogFile=xrdp.log LogLevel=DEBUG EnableSyslog=1 SyslogLevel=DEBUG # LogLevel and SysLogLevel could by any of: core, error, warning, info or debug

[channels] # Channel names not listed here will be blocket by XRDP. # You can block any channel by setting its value to false. # IMPORTANT! All channels are not supported in all use # cases even if you set all values to true. rdpdr=true rdpsnd=true drdynvc=true cliprdr=true rail=true

[xrdp1] name=Xvnc lib=libvnc.so.0 username=ask password=ask ip=127.0.0.1 port=-1

[xrdp2] name=X11rdp lib=libxup.so.0 username=ask password=ask ip=127.0.0.1 port=-1 xserverbpp=16 code=10

X11vnc запускется путём: x11vnc -dontdisconnect -display :0 -shared -noxfixes -forever -rfbport 5900 -bg -o /var/log/x11vnc.log -rfbauth /etc/.vnc/passwd Вот где его конфиги я так, на вскидку, не помню.

Пробовал в секцию sesman.ini [Xvnc] добавлять tty1 или другой - не помогает. X11rdp не запускается. И в логах xrdp или sesman ничего не говорится про то, почему именно оно не запускается. Xvnc - запускается, но не отвечает описанным выше требованиям.

Всем привет.

Подскажите, как рулить OSD в Debian Stretch? Systemd 232, ceph 12.1.3.

Из мануала

systemctl start ceph-osd@0

Unknown unit: ceph-osd@0.service

Собственно, нужна система управления печатью. Никаких особых функций не нужно, просто добавить туда принтеры, чтобы она за ними следила, а пользователь мог выбирать куда ему отправить задание. В идеале - чтобы система делала вид, что она - сетевой принтер (ну или много сетевых принтеров, для каждого принтера отдельного создавать LPD очередь).

Линукс здесь при том, что система нужна под линукс и желательно бесплатная

На 3 нодах или 2+1 т.е. на всех трех стоят диски либо на двух стоят диски и на третьей маломощной стоит монитор.

Будет крутиться 1с 7.7 файловая в терминале, в будущем может будет 1с 8 sql Что будет лучше и производительней?

Доброго вечера. Помогите разобраться с теорией)

Есть домашний интернет со скоростью 500 Мегабит/сек

Есть OpenVPN в Швейцарии со скоростью 600in 300out Мегабит/сек (проверял speadtest-sli) (1 Core, 1 Gbit RAM, 10GB SSD)

Прямое соединение между ними (iperf запускал) 160 Мегабит/сек

Если подключаюсь по протоколу tcp, скорость 76/53 Мегабит/сек 124 ping

Если меняю протокол на udp то результаты по скорости хуже, хотя пинг становится лучше: 22/15 Мегабит/сек 55 ping

Начитался интернетов, говорят везде, что по udp скорость выше, но у меня обратная история. В чем может быть проблема? Задача максимально увеличить скорость обмена между VPN и моим ПК)

Вот конфиг сервера:

local 1.1.1.1
port 443
proto tcp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
auth SHA512
cipher AES-128-CBC
duplicate-cn
comp-lzo yes
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /dev/null
verb 0
sndbuf 0
rcvbuf 0
push "sndbuf 0"
push "rcvbuf 0"
mssfix 1400
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn-sw.crt
key /etc/openvpn/vpn-sw.key  # This file should be kept secret
dh /etc/openvpn/dh2048.pem
tls-auth /etc/openvpn/ta.key 0

Конфиг клиента:

client
dev tun
proto tcp
remote 1.1.1.1 443
nobind
resolv-retry infinite
persist-key
persist-tun
auth SHA512
cipher AES-128-CBC
comp-lzo yes
remote-cert-tls server
verb 3
key-direction 1
mssfix 1400

Пробовал менять параметры sndbuf, rcvbuf и mssfix. Результату Ноль.

Короче, я тут выяснил,что круглокуб не поддерживает php-mysqlnd, а у меня на нём весь битрикс держится. В силу того,что кубик не видит БД вопрос по сабжу.

После того как компания Microsoft объявила о создании порта своей базы данных под GNU/Linux, специалистами Red Hat было произведено тестирование. В качестве оборудования для тестирования был использован сервер HPE Proliant DL380 Gen9 в одинаковой комплектации с двумя процессорами Intel Xeon E5-2699 v4. В качестве операционных систем были использованы Microsoft Windows Server 2012 R2 Standard Edition и Red Hat Enterprise Linux 7.3. В качестве тестовой СУБД было использовано ПО компании Microsoft — Microsoft SQL Server 2017 Enterprise Edition. По итогам тестирования было выявлено, что:

1. Производительность СУБД под RHEL была больше на 6 %.
2. Использование RHEL 7.3 на этом сервере на 5 % дешевле, чем использование Microsoft Windows Server 2012 R2 Standard Edition.

По мнению сотрудников Red Hat, теперь их клиенты имеют полноценный выбор между GNU/Linux и Windows для запуска MS SQL. И делая это на Red Hat Enterprise Linux 7.3, они получают большую производительность за меньшую цену по сравнению с аналогичным решением на основе Windows.

>>> Подробности

Плод моей недельной работы, робот для проверки почтоящиков на наличие почты.
- Может администрироваться админами централизованно и каждым пользователем самостоятельно, но только свои записи
- может сыпать логи в отдельный jid и опционально - в jidы админам
- поддерживает pop3 и imap4 с ssl и без
- поддерживает локализацию (пока что ru и en)
- поддерживает исключение из проверки некоторых папок imap сервера
- отдельный поток проверки для каждого пользователя
Прошу: https://github.com/Sheridan/xmpp-mailchecker-bot

Ну как всегда: предложения, замечания, пожелания и прочее приветствуется.

Желающим поучаствовать: написано на python, велкам. :)

xmpp-mailchecker-bot

Перемещено tazhate из opensource

Всем доброго времени суток, пытаюсь решить проблему времени на виртуалках под Windows (если важно, тестирую Windows 10), после suspend или pause, время отстает. Упорное гугление не сильно помогает, либо я не понимаю что именно искать. настройки таймера:

<timer name='rtc' tickpolicy='catchup' track='wall'/>
<timer name='pit' tickpolicy='delay'/>
<timer name='hpet' present='no'/>

в Windows включен useplatformclock on

Но время отстает..

В принципе, проблему можно решить: на хосте запускать:

virsh domtime $name_vm --now

И время синхронизируется, через крон повесить это задание через каждые 5 минут и забыть о проблеме..

Но мне интересно, есть ли другие способы решения данной проблемы? к примеру в VirtualBox этой проблемы нет, как там работает этот таймер?

Требуется запретить выдачу динамического адреса для заданного MAC адреса (точнее некого списка mac-адресов) в локальной сети.

На машине, где и пытаемся настроить блокировку, стоит dhcp-сервер, который выдает всем желающим адреса из пула 10.0.0.0/24.

Предположительно, правило вида 
iptables -I INPUT -i eth0 -p udp --sport 68 --dport 67 -m mac --mac-source 11:22:33:44:55:66 -j DROP 
в iptables должно бы заблокировать для MAC адреса 112233445566 выдачу ему динамического адреса от dhcpd, 
стоящего на той же машине. Ан нет, адреса продолжают выдаваться, 
хотя счетчик в iptables, говорящий о том, что правило сработало, исправно увеличивается:

iptables -nxvL INPUT

Chain INPUT (policy DROP 13 packets, 668 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       3     1728 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:6
7 MAC 11:22:33:44:55:66

Более того, прописав правило вида
iptables -I INPUT -m mac --mac-source 11:22:33:44:55:66 -j DROP 
(т.е. уничтожаем вообще все пакеты с этого MAC-адреса), тоже не приводит к блокировки выдачи
этому хосту динамического IP, в логах DHCP наблюдаем:

dhcpd: DHCPDISCOVER from 11:22:33:44:55:66 via eth0
dhcpd: DHCPOFFER on 10.0.0.63 to 11:22:33:44:55:66 via eth0
dhcpd: DHCPREQUEST for 10.0.0.63 (10.0.0.1) from 11:22:33:44:55:66 via eth0
dhcpd: DHCPACK on 10.0.0.63 to 11:22:33:44:55:66 via eth0

хотя по iptables -nxvL видно, что счетчик пакетов/байтов для этого правила после каждого
запроса увеличивается, т.е. правило (теоретически?) работает.
Да и практически оно тоже работает, так как после ввода второго правила с того хоста с MAC-ом 11:22:33:44:55:66
мы таже пинговать машину, где стоит dhcp-сервер не можем.
Тем не менее, можем исправно получать от нее адрес по dhcp :(

Получается, что dhcp сервер получает пакеты раньше, чем срабатывает iptables?

К сожалению, я не нашел в iptables возможности создать правила, 
где можно было бы анализировать исходящий MAC адрес, например
iptables -I OUTPUT -o eth0 -p udp --sport 67 --dport 68 -m mac --mac-destination 11:22:33:44:55:66 -j DROP 

Эта ситуация проверялась на трех машинах
dhcp-3.0_p2-r6 и  dhcpcd-1.3.22_p4-r5 (Gentoo Linux)
Linux kernel 2.6.9
iptables v1.2.11

Товарищи, добрый день. Возникла проблема: Админ говорит, что сервер на centOS настроен верно. ( письма на любой ящик приходят через команду

echo "The test body" | mail -s "The test subject" zma@mail.ru

Разраб отвечает, что не настроен сервер на отправку писем через PHP.

В свою защиту выдает вот скрипт

$to = 'test@test.ru'; //получатель
if (mail($to, 'test', 'test msg', 'From: info@mail.ru')) {
  echo 'Спасибо! Ваше письмо отправлено.';
} else {
  echo 'Ошибка!';  
}

Помогите увидеть общую картину. LDAP без домена.

Несколько дней ковыряюсь, в голове много понятий, и они выстраиваются в общую картину. Без этого перебор разных мануалов не дает результата.

Что понятно.

Что LDAP - это служба каталогов, в которой хранятся данные о логинах и паролях (в частном случае, а вообще, могут храниться любые данные). Служба каталогов предоставляет данные всем, кто обратится и подтвердит свою подлинность. Подлинность свою можно подтвердить через kerberos (еще варианты??) - протокол взаимной проверки подлинности. Kerberos настраивается на контроллере домена (может ли настраиваться без домена?), и каждый хост, который входит в домен, получает билет от kerberos. Именно таким образом подтверждается подлинность каждого хоста в домене.

Если моя картина верна, то каким образом мне лучше решить такую задачу:

1. Несколько компов в локальной сети, не в домене. На большинстве компов (на centos 7) нужна авторизация через ldap (openfire, asterisk, redmine). Возможно ли поднять ldap-сервер без поднятия домена, но с возможностью авторизации пользователей с этих компов на общем ldap-сервере?

2. В этой же локалке есть терминальный сервер на win7 (знаю, что решение не лучшее, но решение работает, трогать не буду). Возможно ли, при подключении пользователей по удаленке, перенаправлять авторизацию на ldap-сервер?

3. Домен сам по себе не нужен, компы внутри локалки, стоят за шлюзом. Нужен ldap.

4. Почему хочу без домена. Поднимала домен на Samba 4, но то kerberos отвалился, компы не доступны, а плюсов LDAP’а так и не увидела. smbldap-tools установила, но не разобралась, в верном ли направлении иду, то ли это, что нужно для решения задачи.

5. Если моя картина не верна, как в домене на Samba 4 настроить ldap - пните в направлении поиска по каким-то тегам…

Привет всем. На сервере есть скрипт, блокирующий атакующие IP адреса через iptables командами вида:

iptables -A INPUT -s 11.22.33.44 -j DROP

Проблема в том, что таких адресов уже накопилось более 100.000, и планируется еще столько же.

Есть способ сделать это более эффективно? Возможно, есть способ объединить IP адреса в список, но будет ли это эффективнее в плане нагрузки на процессор и использования памяти?

Команда разработчиков Asterisk рада представить новую основную ветку свободной реализации программной АТС — Asterisk 14. Версия последнего релиза — 14.0.2 (за 4 дня вышли две версии).
Это стандартная (не LTS) ветка, как и Asterisk 12. Она будет полноценно поддерживатся в течение одного года, а в течение следующего будут производиться только исправления ошибок безопасности. Релизы с длительной поддержкой (LTS) полностью поддерживаются в течение четырёх лет, а обновления безопасности прекращают поступать спустя пять лет после выпуска.

( Краткий список новых возможностей )

Важная информация для тех, кто хочет обновиться

Более подробная информация о новых возможностях

Полный список изменений

>>> Анонс

Ребята, посоветуйте.

У нас в студии мы очень активно работаем с видео. На данный момент в студии настроена 1 Gbit сетка. По ней постоянно гоняет видео, последовательности картинок (кадров), в общем зрузим сетку сильно. Но хочется работать не на пределах сети, а иметь запас. Плюс технологии не стоят на месте и если сейчас full HD ещё пока основной формат, то очень скоро основным будет 4к.

Соответственно я давно начал задумываться о переводе сетки на 10-20Gbit, но т.к. я не спец в сетях и максимум на что меня хватило, это настроить гигабитку в студии, то мне нужен совет профессионалов.

У нас в студии порядка 10ти рабочих станций, плюс 1 файловый сервер и 1 медиа-сервер. Файлы в основном гоняются между рабочими станциями и файловым хранилищем. Расстояние между компами от 3 до 10 метров.

Вопрос. На чем лучше поднимать сеть в указанной скоростью? Вопрос стоимости тоже очень важен, поэтому мне скорее важен бюджетный вариант.

Спасибо за советы

Разработчик операционных систем «Astra Linux» АО «НПО РусБИТех» и разработчик общенациональных шрифтов ООО НПП «ПараТайп» представили общедоступные отечественные шрифты PT Astra Sans и PT Astra Serif, являющиеся полноценными метрическими аналогами зарубежного шрифта Times New Roman.

Использование этих шрифтов вместо Times New Roman не приводит к искажению документов, а свободное распространение и кроссплатформенность делают их доступными для применения в любых операционных системах и офисных программных средствах.

Новые шрифты доступны на условиях свободной лицензии Open Font License (OFL) и распространяются без ограничений.

Прямая ссылка на архив со шрифтами

>>> Подробности

Вышла новая версия мощной мониторинговой системы Zabbix 3.2, ставшая ещё более удобной, гибкой и эффективной в использовании. Zabbix — бесплатная система с открытым исходным кодом для мониторинга IT-инфраструктуры, подходящая как для маленьких компаний, так и для больших корпораций.

( читать дальше... )

>>> Подробности

Когда то у меня был thinstation (и сейчас есть на паре компов). Прикольно было то, что на нем вообще ничего не нужно было настраивать - он работал с любыми принтерами, любыми мониторами, любым железом и т.д.. Но в винде нужно было ставить драйвера на принтеры.

Ну вот а сейчас я обнаглел и хочу сделать так, чтобы при печати из винды на тонкий клиент (полноценный дебиан линукс) не требовалось вообще ничего. Нужно чтобы винда отправляла печать на некий принтер (который всегда один), который бы перенаправлял печать тому юзеру, который подсоединился (можно по IP - их легко иметь статичные с помощью openvpn). И чтобы юзер мог работать с любой машины (разные принтеры).

Зачем я хочу так сделать? - потому что это круто!

Короче - винда одна, дебиан линукс на флешке один, ip адрес возможен один, а железо каждый раз разное (дом, работа, ноут, стационар).

VPN круто, линукс круто, принтеры - не круто, а должно быть круто.

Есть же дефаулт аудио девайс - почему нет дефаулт принт?