LINUX.ORG.RU

Сообщения snaf

 

Squid transparent proxy не показывает один сайт

Форум — Admin

Добрый день Лоровцы.

В хозяйстве имеется squid который работает как прозрачный прокси. Конфиг почти что дефолтный, даже показывать нечего. Прокси работал где то пол года и проблем с ним не было. Но на днях один юзер начал жаловаться что не может пройти курс по angulaJS c codeacademy хотя с дома всё работает.

Сссылка на курс ( клац клaц )

При попытки открыть курс всплывает данное собщение

Sorry about that!

We're having trouble connecting to Codecademy. There may be too many people trying to take this course right now.

How about trying our Javascript course instead?

Если отключить прокси и пойти напрямую то курс успешно открывается. Хотя с остальным курсами с данного сайта таких проблем нет.

Попытался добавить в конфиг следующие строчки:

via off
forwarded_for off
follow_x_forwarded_for deny all
request_header_access X-Forwarded-For deny all
request_header_access Cache-Control deny all

Но ничего это не дало. Потом я решил настроить сквид как параноик

request_header_access Allow allow all
request_header_access Authorization allow all
request_header_access WWW-Authenticate allow all
request_header_access Proxy-Authorization allow all
request_header_access Proxy-Authenticate allow all
request_header_access Cache-Control allow all
request_header_access Content-Encoding allow all
request_header_access Content-Length allow all
request_header_access Content-Type allow all
request_header_access Date allow all
request_header_access Expires allow all
request_header_access Host allow all
request_header_access If-Modified-Since allow all
request_header_access Last-Modified allow all
request_header_access Location allow all
request_header_access Pragma allow all
request_header_access Accept allow all
request_header_access Accept-Charset allow all
request_header_access Accept-Encoding allow all
request_header_access Accept-Language allow all
request_header_access Content-Language allow all
request_header_access Mime-Version allow all
request_header_access Retry-After allow all
request_header_access Title allow all
request_header_access Connection allow all
request_header_access Proxy-Connection allow all
request_header_access User-Agent allow all
request_header_access Cookie allow all
request_header_access All deny all

Результат тоже не увенчался успехом.

В хромовском developer tools вижу следующие ошибки


 Failed to load resource: net::ERR_BLOCKED_BY_CLIENT
http://js-agent.newrelic.com/nr-632.min.js Failed to load resource: net::ERR_BLOCKED_BY_CLIENT
4vendor.bundle-d10c6d2e6d5140e47a5c3c7c39125617.js:572 WebSocket connection to 'ws://codecademy932369-3020.terminal.com/' failed: Error during WebSocket handshake: Unexpected response code: 400
4vendor.bundle-d10c6d2e6d5140e47a5c3c7c39125617.js:572 WebSocket connection to 'ws://codecademy932370-3020.terminal.com/' failed: Error during WebSocket handshake: Unexpected response code: 400

В /var/log/squid/access.log ничего подозрительного не вижу.

Any ideas?

Сенк ю фо ё тайм

Update :

Squid Cache: Version 3.3.8

 

snaf ()

Как вы будете действовать, если найдёте серьёзную уязвимость?

Голосования — Голосования

Представьте себе, что вы нашли уязвимость в сайте/сети средней или крупной компании. Какими будут ваши действия?

  1. Сообщу админу и ничего не буду требовать516 (59%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Оставлю баг себе и буду внычку им пользоваться171 (19%)

    **********************************************************************************************************

  3. Продам баг на черном рынке96 (11%)

    ***********************************************************

  4. Сообщу админу и потребую вознаграждение за баг96 (11%)

    ***********************************************************

Всего голосов: 879

>>> Результаты

 ,

snaf ()

Походу google.md взломан

Форум — Talks

При попытке зайти через https ругается на сертификат. А при открытие http версии выдаёт нечто такое http://s27.postimg.org/howqdfjbn/google.png

 ,

snaf ()

ssh Connection closed by....

Форум — Admin

Добрый день.

Есть FreeNAS 8.x который должен подключатся к удалённому хосту (Centos 6.6) и стягивать с него некие файлы. Я сгенерировал ключ, на удалённом хосте создал пользователя с минимальными привилегиями и залил ключ. Но при попытке подключится я получаю такую ошибку

Connection closed by 10.100.3.20

Права на ключи в порядке. К другим хостам FreeNAS подключается без проблем.

вот подробный лог

ssh backup@10.100.3.20 -v
OpenSSH_5.4p1 FreeBSD-20100308, OpenSSL 0.9.8q 2 Dec 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 10.100.3.20 [10.100.3.20] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type 1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.4p1 FreeBSD-20100308
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '10.100.3.20' is known and matches the RSA host key.
debug1: Found key in /root/.ssh/known_hosts:6
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: publickey
debug1: Offering public key: /root/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: read PEM private key done: type RSA
Connection closed by 10.100.3.20

В чем может быть проблема?

Update1: Если залить ключ к руту и подключится к нему тогда такой проблемы нету. Но это не решает мою проблему.

Update2: По паролю тоже не пускает. Удаётся залогинится только от рута.

Update3: не знаю почему я раньше не заглянул в /var/log/secure при логине я получаю следующее

PAM unable to dlopen(/lib64/security/pam_winbind.so): /lib64/security/pam_winbind.so: cannot open shared object file: No such file or directory
PAM adding faulty module: /lib64/security/pam_winbind.so
fatal: Access denied for user backup by PAM account configuration

И действительно на этой машине когда то был установлен winbind. Проблема решается если установить samba-winbind-clients

Осталось узнать как решить проблему не устанавливая winbind.

 ,

snaf ()

Zimbra cluster

Форум — Admin

Добрый день. Настраивал ли кто то zimbra почту как кластер? Если да то поделитесь рецептом. Все что предлагали на офф. сайте мне показалось слегка костыльным.

Требуется зеркальный сервер который содержал бы полную копию почты и способен был принимать и отправлять письма в случае отказа основного сервера.

 ,

snaf ()

Непонятки с nginx

Форум — Admin

Кусок конфига:

        location /phpmyadmin/ {
                include hosts.conf;
                deny all;
        }

Цель: Сделать так чтобы phpmyadmin могли открывать только разрешенные ip.

Но по непонятным причинам мой конфиг действует малость иначе.
Если ip адрес пользователя не указан в hosts.conf тогда он получает 403 ( тут всё в порядке ) .
Но если страницу пытается открыть пользователь чей ip адрес указан в hosts.conf тогда он получает 404 ( вот тут какой то косяк ).

Где я допустил ошибку?

 

snaf ()

Loroogle помоги найти статью на хабре

Форум — Talks

Loroogle, помоги найти статью на хабре.

Читал год или два тому назад статью на хабре. Студентам ИБшникам дали задание написать программу на c/c++ которая компилируется но при выполнении падает. Программа должна иметь как можно меньше строк кода. В самой статье приводятся примеры от 5-ти строчных программ до одно строчных.

Гуголь не помогает :(

Update: Помню что кто то в коментах даже скомпилил пустой файл

 ,

snaf ()

Почтовик с шифрованным MailDir

Форум — Admin

Что я хочу:

  • Шифровать MailDir
  • чтобы шифрование почты не затронуло самих пользователей. Т.е. они даже не должны об этом подозревать.

Возможно ли настроить нечто подобное? Если да то как?

Update: аутентификация должна быть через LDAP

 ,

snaf ()

Небольшой рассказ в стиле Столлмана про авторское право и книги

Форум — Talks

Только что прочитал рассказ про авторское право, книги и лицензии который написан в стиле Столлмана. Может кому то понравится.

«БУДУЩЕЕ КНИГИ»
2030 год: - Пап, можно я с твоей каpточки сниму 99 баксов? За книжку надо заплатить...
- А что за книжка?
- Hу, этот, Достоевский. «Пpеступление и наказание».
- Так зачем покупать? У нас же есть.
- Да? А в каком файле?
- Пpичём тут файлы. Вот же он, на полке стоит...
- Фу-ууу. Это же бумажная книжка!
- Hу, и что? Я ж в твои годы её читал.
- В твои годы, в твои годы... Там поиска нет. Как я, по-твоему, цитаты находить буду? Аудио-сопpовождения тут нет. Анимационных каpтинок тоже нет. Только текст, в котоpом даже шpифт, и тот поменять нельзя... Ты что? Меня же в школе всё засмеют! Сам такую читай.
- Hу, ладно. Вот, возьми DVD. Лет пятнадцать назад купил.
- Чего? DVD? А чем я этот антикваpиат, по-твоему, пpочитаю? В политехнический музей его сдай. Ты мне ещё пеpфоленту с Достоевским пpедложи!
- Если ты такой умный, то поищи сам в сети, да скачай нахаляву.
- Бесплатно скачать книжку!?
- Hу, да. А как же ещё? Hа книги Достоевского за давностью лет автоpские пpава не pаспpостpаняются... Hавеpняка, где-то она лежит.
- Ты, что пап! Это может у вас, в начале века, всё скачать нахаляву можно было. Ты что не слышал, что уже лет пять, как автоpские пpава на все книги навечно пеpеданы Амеpиканской Ассоциации Издателей Книг. Или ты хочешь, чтоб меня как члена секты Дмитpия Скляpова в тюpьму пожизненно засадили?
- Так Достоевский же не амеpиканец! Пpичём тут амеpиканские издатели?
- А кого это волнует? Ты, папа, случаем не антиглобалист?
- Hет, что ты! Hу, сынок, жалко же почти 100 доллаpов тpатить за файл. Hу, одноклассников лучше попpоси файл этот дать. У них-то точно же есть. А ты им потом свой какой-нибудь файл дашь.
- Ага! Если они мне своего Достоевского дадут, то где я его читать буду?
- В смысле, «где»? Они свою копию у себя дома, а ты свою тут.
- Hу, ты совсем отстал. Книжку можно читать лишь с того компа, с котоpого её купили. Да и код поляpизации там дpугой будет... Коpоче, пап, давай деньги! Я куплю себе ноpмальную книжку.
- Hу, ладно. Вот, тебе одноpазовый паpоль на снятие 99 баксов с нашего счета. В наше вpемя 100 доллаpов были большими деньгами...
- Ок. Скачал. Thanks.
- Hу-ка, дай и мне посмотpеть... Слушай, сынок, а что это за каpтинки? Такого вpоде бы в pомане не было...
- Дык, это же баннеpы. Без баннеpов книжка стоит 699 баксов.
Откpытый файл пестpел мигающими объявлениями:
- Axe Proffessional - совpеменные топоpы с лазеpной заточкой;
- Косметический салон «У Лизаньки» - мы не дадим вам пpевpатиться в стаpуху;
- Мучают пpоблемы? Психологическая служба довеpия «Поpфиpий»;
- Кpедитуем, обналичиваем. Hизкий пpоцент;
- RASKOLNIKOFF.COM - вызов шаловливых стаpушек в любую точку земного шаpа...
- Слушай, сынок, а что это текста pомана не видно? Подождать что-ли надо, пока баннеpы исчезнут?
- Hу, ты как будто с Луны свалился! Сто лет ждать будешь. Текст же надо чеpез поляpизационные очки читать. Без очков только pеклама видна!
- А это ещё зачем?
- Как зачем? Чтобы никто, кpоме заплатившего, не мог книжку читать! Пpикинь, если бы я купил книгу, а кто-то, ничего не покупая, у меня чеpез плечо тоже мог бы её читать...
- Глупость какая-то. Hу, а если б я тоже очки надел бы?
- Ха, ну ты даёшь! Файл же настpоен только на мои очки. Hа дpугих очках дpугой код поляpизации.
- Ладно, а ну дай-ка свои очки. Я чеpез них книжку посмотpю.
- Как посмотpишь? Они же тебя по сетчатке не опознают. Ты в них ничего кpоме сообщения, что ты надел чужие очки, не увидишь! Ладно, пап, не мешай со своими глупостями! Мне надо, пока лицензия не кончилась, быстpо всё пpочесть, а иначе надо будет либо аpенду файла пpодлевать, либо книжка сама уничтожится. Hе мешай, я читаю...
3 часа спустя...
- Уффф! Hу, всё. Я пpочитал!
- Как всё пpочитал? «Пpеступление и наказание» за тpи часа?!
- Hу, да. Я и быстpее всё пpочел бы, если б pекламных пауз каждые полчаса не было бы.
- Всё pавное не веpю! Кто такой, напpимеp, Свидpигайлов?
- Кто-кто?
- Аааа, всё понятно. Кто такой Лужин? Кто такая Соня Маpмеладова?
- Hу, ты даёшь! Откуда же я знаю! Я ж Home Edition читал. У меня только пpо то, как Раскольников стаpуху топоpом убил, а потом сдался с повинной. Пpо всяких остальных надо Professional веpсию покупать или вообще Enterprise Edition. У нас же денег столько нет.
- Мда-а, с ума сойти, куда катится миp!
- Скатился уже. Лет двадцать назад надо было думать, если не ещё pаньше...

 

snaf ()

Был я на собеседовании...

Форум — Talks

Меня радостно встретили, посадили за стол и дали 4 листа А4 с вопросами.
Мне задали кучу вопросов, а именно:

Есть ли судимость у меня или у моих близких.
Дата рождения, нр. телефона, место проживания, образование и должность: сестры/брата/папы/мамы/моя и т.д.
Женат ли я.
Есть ли у меня дети.
С кем я живу.
Прошлые места работы и заработная плата ( уж очень им было интересно сколько я получал на прошлом месте, несколько раз спрашивали )

Сколько я хочу получать на испытательном сроке и после 1/2/3/4/5 лет работы.
Оказалось что я слишком много прошу, у нас получился следующий диалог:
-Вы знаете, вы слишком много просите для испытательного срока.
-В объявлении было написано что вы предлагаете достойный уровень заработный платы, вот я и попросил достойно.
-По нашим меркам это слишком достойно.

Мне несколько раз давали понять что я слишком много прошу. В этот момент я начал пролистывать в уме места где мне столько заплатят. Я уже подумывал встать и уйти, но я таки нашёл силы чтобы продолжить.

Дальше пошли вопросы на собразительность, нужно было закончить предложения. Местами я не знал что писать и лепил всякий тупняк:
Большинство людей не знают что такое RAID.
Самая большая ошибка в моей жизни это был неправильно настроенный Apache .

Дальше я должен был поставить галочку:
Я предпочитаю работать с

  • с техникой
  • с людьми

Конечно же я должен сказать что я предпочитаю работать с техникой раз я претендую на должность сисадмина. Об этом любой мудак догадается.

Потом начались вопросы из набора школьного психолога. В своих ответах я просто пытался ей угодить.

И под конец мне говорят что меня позовут в понедельник на второе собеседование. И тут я окончательно запутался... К чему был этот цирк про что я слишком много прошу!?

Я впервые встретил HR который мнит себя психологом со своими тэстами. Это частое явление?

Я не буду кастовать сами знаете кого, он тут и так появится..

Update: местами HR будто пыталась разорвать диалог:
Я выразил своё недовольство из за тестирование на что получил ответ - «У нас это обязательная процедура в компании, если вам не нравится вы в праве уйти».

Второй случай:
-В нашей компании собеседования проходят в 3 этапа
-А меня всё время с первого брали.
-В нашей компании так принято. Вы конечно можете уйти если это вас не устраивает

 

snaf ()

Не могу вспомнить адресс сайта, аналог ютуба

Форум — Talks

Месяц тому назад натолкнулся на сайт видеохостинг.

Отличия от ютуба и подобных сайтов заключалось в следующем:

  • Полностью отсутсвует цензура
  • Каждое второе видео это кишки и мясо заснятое после или во время некой аварии
  • сайт работает на html5
  • количество рекламы просто зашкаливает, даже сквозь адблок сочилась.
  • сложилось впечатление что сайт полностью специализируется на видео не для слабонервных. Хотя и простые видосы тоже присутсвуют.
  • название сайта состоит из 5-6 букв и там точно присуствует m и k.

Если кто то знает этот сайта, поделитесь названиями.

 ,

snaf ()

Proxy с аутентификацией по LDAP'у

Форум — Admin

Лорогугл, подскажи лёгковесные Http прокси серверы которые умеют аутентификацию через ldap. Сквид не предлагать.

 

snaf ()

Прокси с балансировкой ip адресов

Форум — Admin

Здравствуй лор.

Нужен некий прокси сервер с балансировкой нагрузки между ip-адресами.

Как я себе это представляю : На сервере с 10-ью ip адресами настроен прокси. Я подключаюсь через прокси и каждый мой реквест идёт через разный ip-адрес.

Я слышал про некий HAproxy, но я не уверен что это то что мне нужно

Подскажите в сторону чего копать.

Update: Оказалось сквид такое умеет. Но я всё равно буду рад услышать альтернативные решения.

 ,

snaf ()

KDE не готов

Форум — Desktop

Я в недоумении как разработчики КДЕ могли до такого додуматься.

Суть проблемы : пользователь у которого нету никаких привилегий на компьютере может с лёгкостью подойти к заблокированному пк ( kde screen locker ) и из под него перезагрузить иксы. Как по мне так это полный идиотизм

Инструкция :

  • Блокируем клавиатуру ( у меня это ctr+alt+l)
  • жмём кнопку «switch user»
  • далее нажимаем «Start new session»
  • в опциях выбираем пункт «Console login» или alt+n
  • нажимаем ок
  • мы оказываемся в tty а иксы остановлены. Если мы покинем tty, запустятся чистые иксы

Протэстил на OpenSuse 13.2 и на Debian Testing

Может в толксы перенести? А то может начаться de-срач.

Update: KDEшники точно упоролись, я еще должен зарегистрироваться чтобы запостить баг.

 ,

snaf ()

Автоматическая установка debian/ubuntu

Форум — Admin

Здравствуй лор. Как подсунуть debian-instaler'у preseed файл уже после того как сам установщик запустился? Да я знаю что его обычно подсовывают через параметр загрузки, но мне этот способ не подойдёт т.к. все действия будут происходить на vps'ках.

 , , ,

snaf ()

Что посоветуете для анализа трафика (NetFlow) ?

Форум — Admin

Требуется удобный веб-интерфейс для анализа трафика NetFlow. На данный момент понравился ntopng, но оказалось что плагины к нему платные.

 ,

snaf ()

Samba domain controller + sudo

Форум — Admin

Есть в наличии самбовый доменный контроллер и пару тачек введенных в него. Заметив что в deb-подобных дистрибутивах в /etc/sudoers по дефолту прописана группа sudo я решил создать в домене группу sudo и добавить себя в неё.

Но при попытке запустить какую либо программу от sudo я получаю предупреждение о том что у меня нет для этого доступа. Если же в /etc/sudoers прописать любую другую группу в которой я состою и потом запустить sudo всё проходит успешно.

Подскажите как реализовать задуманный мною хак.

 , ,

snaf ()

Как узнать ip адрес dns-сервера в OpenWRT?

Форум — Admin

Как узнать ip адрес dns-сервера в OpenWRT?

Выполнил на роутере команду:

# cat /etc/resolv.conf 
search lan
nameserver 127.0.0.1
И результат меня ввёл в ступор. Других способ узнать ip dns сервера я не знаю.

Конфиг dns маска полностью закомментирован.
В cat /etc/config/network не слова про dns.

 ,

snaf ()

Установка линукса по tftp

Форум — Admin

Есть tftp сервер который успешно загружает:

  • debian-7.7.0-amd64-kde-CD-1.iso
  • ubuntu-12.04.4-alternate-amd64.iso
  • ubuntu-12.04.5-server-amd64.iso

но не загружает

  • ubuntu-12.04.4-desktop-amd64.iso
  • ubuntu-14.04.1-desktop-amd64.iso

Начинается загрузка iso диска, появляется лого Убунты, и через одну-две минуту получаю :

 (initramfs) unable to find a medium containing a live file system

Кусочки конфигов:

cat /etc/dnsmasq.conf 
enable-tftp
port=0
tftp-root=/var/lib/tftp
dhcp-boot=pxelinux.0

root@localhost:/var/lib/tftp# tree

├── debian-7.7.0-amd64-kde-CD-1.iso
├── memdisk
├── menu.c32
├── pxelinux.0
├── pxelinux.cfg
│   └── default
├── ubuntu-12.04.4-alternate-amd64.iso
├── ubuntu-12.04.5-desktop-amd64.iso
├── ubuntu-12.04.5-server-amd64.iso
# cat /var/lib/tftp/pxelinux.cfg/default
DEFAULT menu.c32
PROMPT 0

MENU TITLE PXE Boot System

LABEL Debian-7.7
MENU LABEL Debian-7.7
KERNEL memdisk
APPEND iso initrd=debian-7.7.0-amd64-kde-CD-1.iso raw

Остальной кусок конфига обрезал т.к. там одни повторы.

Вопрос: Как загружать дэсктопные версии убунты через syslinux?

Update:

Смонтировал образ убунты через

mount -o loop disk1.iso tst

Прописал в /var/lib/tftp/pxelinux.cfg/default

LABEL TST
MENU TST
KERNEL /tst/casper/vmlinuz.efi
append noprompt boot=casper integrity-check initrd=/tst/casper/initrd.lz quiet splash --

Результат тот же....

 ,

snaf ()

nfs + kerberos

Форум — Admin

Настроил nfs + kerberos. Проблема заключается в том что файлы создаются от имени компьютера

ls -all
drwxrwxrwx  2 root     users            4096 Nov 26 17:11 .
drwxrwxr-x 12 root     users            4096 Nov 25 18:17 ..
-rw-r--r--  1 client02$ domain computers    0 Nov 26 17:11 1

где client02 это hostname моего компьютера

вопрос №1: так и должно чтобы к имени владельца добавялся знак доллара?
вопрос №2: Можно ли сделать чтобы по дефолту владелец файла был доменный пользователь?

 ,

snaf ()

RSS подписка на новые темы