ssh protocol security
ciao a tutti ! quando un client avvia una connessione ssh con un server sshd vengono scambiate determinate informazioni utili a stabilire il tipo di autenticazione e la crittografia. in questo traffico è possibile catturare ( in chiaro ) queste due stringhe contenenti le versioni del server e del client. è proprio fondamentale regalare tutte queste informazioni ? è possibile evitare l'invio o mascherare queste info ? SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 SSH-2.0-PuTTY_Release_0.58 grazie Alberto Spelta -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Application Layer Packet Classifier for Linux
volevo sapere se qualcuno ha mai visto/usato questo modulo per iptables; potrebbe essere una ottima soluzione per bloccare software p2p oppure IM. http://l7-filter.sourceforge.net/ Grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Application Layer Packet Classifier for Linux
io ho a disposizione un PIII 450 con 400Mb ram e vorrei provare; su questa macchina è installare la stable con kernel 2.6.8, mi puoi dare qualche dritta su come procedere dato che hai già esperienza a riguardo. è proprio necessario ricompilare il kernel ? non esiste niente di già pronto ( anche prodotti simili ) ? grazie Alberto --> --> Circa un anno fa sono riuscito a fare qualche prova, ma direi poco --> attendibile. --> --> Come macchina di test avevo un Pentium Pro 200 con pochi Mb di Ram. --> Considerando che il modulo, per ogni nuova connessione, lavora --> applicando una regex sul payload dei primi pacchetti, la mia scarsa --> macchina mostrava sempre un elevato utilizzo di CPU sebbene stessi --> filtrando il traffico di soli 2 pc. --> --> In definitiva l'idea mi era sembrata buona, ma credo che per controllare --> a livello applicativo tutto il traffico di una rete abbastanza grande --> penso ti serva una macchina un po' veloce e sicuramente un buon tuning. --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
VNC server & colors
ho la necessità di collegarmi con vnc ad una macchina debian, ho installato e configurato il server VNC mantenendo la configurazione standard. faccio partire una sessione che viene attivata sulla porta 5901 a questo punto con il client mi connetto dal una workstation windows ma vedo il desktop completamente nero, anche i menu di KDE neri, praticamente impossibile da usare. è sicuramente una banalità ma non capisco dove mettere mano per risolvere. ho provato ad impostare le opzioni del client VNC a "Colour level FULL" ma niente grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
I: VNC server & colors
--> non penso sia un problema di colori. --> che server usi? --> che client? la macchina è una debian sarge il server vnc lo ho installato dai packages debian vncserver (3.3.7-7) il client lo ho scaricato da realvnc.com è la version 4.1.1 freeware thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
occupazione memoria ram
ho un dubbio sulla gestione della memoria ram di un pc che effettua solo routing e firewalling. il pc in questione ha 384 MB di ram e la quantità di memoria utilizzata da tutti i processi subito dopo il reboot è di circa 80/90 MB. la memoria utilizzata poi con il tempo aumenta fino a raggiungere i 250 MB e non capisco perchè. come posso vedere nel dettaglio l'occupazione di ram escludendo ps aux e top ? grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Iptables ...
effettivamente il man riporta ... --flush -F [chain] Delete all rules in chain or all chains ... io per sicurezza specifico sempre la tabella su cui lavorare iptables -t filter --flush iptables -t nat --flush iptables -t mangle --flush saluti Alberto --> --> --> Ho installato un proxy trasparente usando iptables/squid/dansguardian. --> E tutto funziona . --> Funziona anche quando ho bisogno che non funzioni, per esempio --> quando devo --> aggiornare dei clients windows scaricando dei files con estensione exe. --> Mi sono preparato uno script che cancelli le regole di iptables --> con iptables -F --> pensando che mi avrebbe rimosso anche --> iptables -t nat -A PREROUTING . --> ma non ha funzionato. --> Non è che il comando funziona solo con INPUT, FORWARD e OUTPUT ? --> Ciao --> -- --> Giancarlo Martini --> (Replace 'AAA' with @) --> mailto:giancarlomartiniAAAkatamail.com --> Registered Linux user number 367542 --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
moduli iptables
Ho la necessità di utilizzare il modulo ipt_random per iptables ma non essendo presente nella directory /lib/modules/2.4.27-2-386/kernel/net/ipv4/netfilter/ non viene caricato automaticamente ne con un modprobe. Ho trovato solo questo file /lib/iptables/libipt_random.so ma non so come muovermi. Qualcuno gentilmente mi spiega a cosa serve libipt_random.so e come fare per poter caricare questo modulo ? grazie per l'aiuto Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: OT PC si blocca e poi "fischia"
Ciao, a me e capitata la stessa cosa a seguito di un surriscaldamento della CPU. Dopo la prima "scottata" il processore si comporta in maniera anomala con freezes totali random. Tenendo conto del fatto che il bios non effettua ne il boot ne il post secondo me e qualche componente hw si e "scottato" saluti Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
route statica
ciao, ho un problema. ho la necessità di aggiungere una route statica all'attivazione dell'interfaccia. come da manuale, ho aggiunto nel file /etc/network/interfaces le dirrettive up e down. ma nn funziona. se disattivo e riattivo l'interfaccia non carica la route. dove sbaglio ?? Grazie Alberto auto eth0 iface eth0 inet static address 10.0.0.1 netmask 255.255.255.0 network 10.0.0.0 broadcast 10.0.0.255 up "/sbin/route add -net 10.0.2.0 netmask 255.255.255.0 dev eth1" down "/sbin/route del -net 10.0.2.0 netmask 255.255.255.0 dev eth1" -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: route statica
risolto, come da documentazione zless /usr/share/doc/ifupdown/examples/network-interfaces.gz i doppi apici non ci vanno up /sbin/route add -net 10.0.2.0 netmask 255.255.255.0 dev eth1 google mi aveva tratto in inganno grazie a NN_il_Confusionario per il suggerimento ! Alberto --> --> --> ciao, ho un problema. --> ho la necessità di aggiungere una route statica all'attivazione --> dell'interfaccia. come da manuale, ho aggiunto nel file --> /etc/network/interfaces le dirrettive up e down. ma nn funziona. se --> disattivo e riattivo l'interfaccia non carica la route. --> --> dove sbaglio ?? --> Grazie --> --> Alberto --> --> auto eth0 --> iface eth0 inet static --> address 10.0.0.1 --> netmask 255.255.255.0 --> network 10.0.0.0 --> broadcast 10.0.0.255 --> up "/sbin/route add -net 10.0.2.0 netmask 255.255.255.0 --> dev eth1" --> down "/sbin/route del -net 10.0.2.0 netmask --> 255.255.255.0 dev eth1" --> --> --> -- --> Per REVOCARE l'iscrizione alla lista, inviare un email a --> [EMAIL PROTECTED] con oggetto "unsubscribe". Per --> problemi inviare un email in INGLESE a [EMAIL PROTECTED] --> --> To UNSUBSCRIBE, email to [EMAIL PROTECTED] --> with a subject of "unsubscribe". Trouble? Contact --> [EMAIL PROTECTED] -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
script attivazione interfaccia tunnel
Ciao a tutti, ho attivato una connessione vpn da una macchina linux che mi farà da gateway verso la rete remota. Ho predisposto lo script che attiva il tunnel ma vorrei automatizzare anche la gestione nat attraverso lutilizzo di regole iptables. Il problema è che lindirizzo che mi viene assegnato allinterfaccia tun0 è dinamico e vorrei capire come posso recuperarlo per inserirlo allinterno delle regole iptables. Ho pensato ad un parametro post-up per tun0 allinterno del file /etc/network/interfaces. Ma è fattibile ? il file di configurazione delle interfacce accetta parametri per dispositivi dinamici ? Qualche esperienza in merito ? grazie Alberto
servizio ntpd
Ho installato il demone ntpd per sincronizzare l'ora da un server ntp e tutto funziona correttamente. Ora vorrei evitare che il demone resti in ascolto su tutte le interfacce di rete della mia macchina configurando solo l'interfaccia di loopback. Sembra non essere possibile ! Ho fatto delle prove ma nel file /etc/ntpd.conf non sembra esserci alcun parametro che consenta questo. Possibile ? Grazie Alberto
aiutino con regole iptables
avrei bisogno di due aiutini per alcune regole iptables. 1° in una catena definita da me come prima regola faccio il seguente controllo per loggare e droppare i pacchetti che hanno una origine non valida. IPT="/sbin/iptables" LAN_NET="192.168.0.0/24" $IPT -A landmz -s ! $LAN_NET -j LOG --log-prefix "ch=landmz :1 a=DROP " $IPT -A landmz -s ! $LAN_NET -j DROP Solo che nel segmento di rete lan interessata ho anche la classe 192.168.1.0/24. Come posso includere questo aontrollo nella regola precedente mantenendone la logica ? faccio un esempio per rendere l'idea IPT="/sbin/iptables" LAN_NET="192.168.0.0/24" LAN_NET_2="192.168.1.0/24" $IPT -A landmz -s ! $LAN_NET && ! $LAN_NET -j LOG --log-prefix "ch=landmz :1 a=DROP " $IPT -A landmz -s ! $LAN_NET && ! $LAN_NET -j DROP Ho pensato anche ad un subnetting, ma in questo caso come dovrei comportarmi con la definizione della classe LAN_NET="192.168.0.0/?". 2° Ho la necessità di rendere invisibile la macchina ad una scansione di nmap, droppando quindi tutto il traffico. Ho verificato su una macchina remota ( a cui non ho accesso per vedere la configurazione ) che tentando di collegarmi via ftp si apre la connessione, mentre se effettuo una scansione con nmap non rileva niente di aperto. Ovviamente utilizzando l'opzione di timing o --scan-delay di nmap il servizio ftp risulta attivo. Grazie anticipatamente Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: aiutino con regole iptables
--> >Scusa, spero di non dire una bestemmia, ma un semplice... --> > --> > LAN_NET="192.168.0.0/16" --> > --> >non sarebbe sufficiente? --> --> è una ottima soluzione se vuole applicare le stesse regole per tutte le --> subnet che crea ;-D --> Ho bisogno di una regola che accetti solo le classi 192.168.0.X e 192.168.1.X Con LAN_NET="192.168.0.0/16" il risultato sarebbe 192.168.0.0/255.255.0.0 Verrebbe autorizzaro anche del traffico non valido ed a questo punto si perderebbe il senso di quella regola. tks Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: aiutino con regole iptables
--> --> metti un /23 anziché /16 e sei a posto. --> mettendo 192.168.0.0/23 otterrei quindi HostMin 192.168.0.1 HostMax 192.168.1.254 Rispetto all'esempio che avevo proposto la soluzione è perfetta. Devo però fare una precisazione a causa di un mio errore, l'esempio che ho fatto non rispecchia esattamente la reatà della configurazione. A me servirebbe una cosa di questo tipo HostMin 192.168.1.1 HostMax 192.168.2.254 potrei fare 192.168.0.0/22 ma rimarrebbe inclusa anche il range 192.168.0.1 - 192.168.0.254 Grazie ancora Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: regole iptables per VPN
mi sa che ti sei dimenticato le regole nella catena FORWARD della tabella filter. prova con questa config # -t nat -A PREROUTING $IPT -t nat -A PREROUTING -p tcp -i $eth_esterna --dport 1723 -j DNAT --to-destination $ip_server_vpn $IPT -t nat -A PREROUTING -p gre -i $eth_esterna -j DNAT --to-destination $ip_server_vpn # -t filter -A FORWARD $IPT -t filter -A FORWARD -p tcp -d $ip_server_vpn --dport 1723 -j ACCEPT $IPT -t filter -A FORWARD -p gre -d $ip_server_vpn -j ACCEPT fammi sapere Alberto Spelta --> --> ciao a tutti, --> sto cercando di realizzare un firewall con iptables su una --> sarge (ho provato --> anche su una Fedora Core4), che consenta la VPN tra due --> macchine MS. Giusto --> per iniziare ho lasciato le policies su accept ed ho inserito --> le seguenti --> regole --> --> $IPT -t nat -A PREROUTING -p tcp -i $eth_esterna -j DNAT --to --> $ip_server_vpn --> $IPT -t nat -A PREROUTING -p udp -i $eth_esterna -j DNAT --to --> $ip_server_vpn --> $IPT -t nat -A PREROUTING -p gre -i $eth_esterna -j DNAT --to --> $ip_server_vpn --> $IPT -t nat -A POSTROUTING -o $WEB_IFACE -j MASQUERADE --> --> e l'ip_forward è a 1 --> --> nelle regole ho nattato tutto il traffico, ma non funziona, o --> meglio il server --> rifiuta la connessione "Failed Connection Attempt". sembra che --> la risposta --> non faccia il percorso a ritroso. --> qualcuno puo darmi qualche dritta, link o documentazione? --> --> grazie mille --> --> -- --> Pino Maiuli Crew --> -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: iptables e utente
io ti consiglio il modulo ipt_owner, dovrebbe fare proprio al caso tuo ti permette di ragionare per userid/groupid/processid per esempio con questo consenti l'invio dei soli pacchetti generati dall'utente root (uid=0) iptables -t filter -A OUTPUT -m owner --uid-owner 0 -j ACCEPT saluti Alberto Spelta --> --> --> Salve a tutto il gruppo :-) --> --> Vorrei creare delle regole con iptables che blocchi qualsiasi --> connessione --> effettuata da programmi eseguiti da un certo utente :-) --> --> che tipo di regola mi consigliate? --> Grazie! --> --> Pol --> --> --> -- --> Per REVOCARE l'iscrizione alla lista, inviare un email a --> [EMAIL PROTECTED] con oggetto "unsubscribe". Per --> problemi inviare un email in INGLESE a [EMAIL PROTECTED] --> --> To UNSUBSCRIBE, email to [EMAIL PROTECTED] --> with a subject of "unsubscribe". Trouble? Contact --> [EMAIL PROTECTED] --> --> --> __ Informazione NOD32 1.1443 (20060314) __ --> --> Questo messaggio h stato controllato dal Sistema Antivirus NOD32 --> http://www.nod32.it --> --> -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
apt non installa DSA-1018 & DSA-1017
qualche giorno fa, precisamente il 23 e 24 marzo, sono stati rilasciati due aggironamenti per il kernel ( DSA-1018 / DSA-1017 ). Ho alcuni server con entrambe le versioni del kernel interessate dagli update, ma su nessuna macchina apt rileva l'aggironamento. nasrv01:/etc/apt# uname -a Linux nasrv01 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux nasrv01:/etc/apt# cat sources.list deb ftp://debian.fastweb.it/debian/ sarge main # deb-src ftp://debian.fastweb.it/debian/ sarge main deb http://security.debian.org/ sarge/updates main contrib non-free qualche idea su cosa possa essere ? Grazie 1000 Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: apt non installa DSA-1018 & DSA-1017
--> --> Hai anche riavviato? --> non ho riavviato xchè apt non ha effettuato nessuna installazione --> --> export COLUMNS=132 --> dpkg -l|grep kernel --> nasrv01:/etc/apt# dpkg -l | grep kernel ii initrd-tools0.1.81.1tools to create initrd image for prepackaged Linux kernel ii iptables1.2.11-10 Linux kernel 2.4+ iptables administration tools ii kernel-image-2.6.8-2-3862.6.8-16sarge1 Linux kernel image for version 2.6.8 on 386. ii linux-kernel-headers2.5.999-test7-bk-17 Linux Kernel Headers for development ii module-init-tools 3.2-pre1-2 tools for managing Linux kernel modules Grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
meta paccehtti DSA-1018
scusate se ritorno sull'argomento, ma non sono ancora riuscito ad effettuare l'update del kernel rilasciato il 24 marzo. Da quanto mi è stato spiegato in questo aggiornamento è variato l'abi del pacchetto (2.4.27-2 --> 2.4.27-3) e quindi apt non lo rileva come aggironamento da installare. Come faccio ad installare il metapacchetto relativo a questo update ? devo eliminare quello relativo alla versione precedente del kernel ( quello con abi = 2 ) ? Scusate ma è la prima volta che mi trovo in questa situazione e dato che il pacchetto interessato è il kernel vorrei avere le idee chiare. Grazie anticipatamente Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: meta paccehtti DSA-1018
--> puoi specificare a mano la versione: --> apt-get install pacchetto=versione --> --> (se ho capito la tua richiesta) --> quindi partendo da un kernel 2.6.8-2-386 posso fare l'aggiornamento DSA-1017 con un apt-get install kernel-image-2.6.8-3-386 ??? ma questa è la procedura standard ? non ho trovato nessuna documentazione che chiarisse come comportarsi in questi casi con questa procedura in caso di un futuro aggiornamento del kernel apt si comporterà correttamente o cercherà sempre gli update relativi alla versione 2.6.8-2-386 ?? Grazie ancora Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
SFTP
ciao a tutti, devo attivare un server sftp. Ho visto che di default sshd attiva sftp-server impostando nel file sshd_config Subsystem sftp/usr/lib/sftp-server Ho provato e tutto funziona egreggiamente. Non ho trovato però nessuna documentazione su come configurare le policy. Vorrei bloccare l'utente nella sua home evitando che possa risalire ad altre cartelle, evitare che l'utente possa accedere anche tramite ssh ecc... In alternativa, se questo non fosse possibile, quali altri demoni sftp esistono ?? Grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
classificazione nazionalità indirizzi IP
Salve a tutti, vorrei esporre una considerazione relativamente alla configurazione di un firewall, ho cercato info su google ma senza successo. L'idea parte dalla considerazione che ad un servizio esposto verso internet accedono solamente utenti residenti sul territorio italiano. Io vorrei potere inserire regole nel firewall per accettare solamente connessioni da indirizzi IP "italiani". In breve, è possibile o esiste una classificazione della nazionalità degli indirizzi IP ? Spero di non avere detto ca--ate Grazie anticipatamente Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: [OT] Recensione mai vista - parte 2
e qui google cache viene in aiuto http://72.14.207.104/search?q=cache:yrQr4GIarNwJ:www.repubblica.it/supplemen ti/af/2006/06/12/primopiano/002kandela.html+&hl=it&gl=it&ct=clnk&cd=1 --> -Messaggio originale- --> --> Il 19/06/06, Lucio Crusca<[EMAIL PROTECTED]> ha scritto: --> > Legolas Elf ha scritto: --> > --> > > Signori e signore, dopo circa un anno, il nostro --> super-Turani torna a --> > > colpire. Leggete qui: --> > > --> > > --> > --> http://www.repubblica.it/supplementi/af/2006/06/12/primopiano/00 2kandela.html > > Sembra che abbiano rimosso l'articolo. Non ho fatto in tempo a leggerlo. Vi > prego, ditemi che Clarence ne ha una copia di fianco a quello di Panerai... > > ehm...sì, effettivamente...boh...forse qualcuno gli ha fatto notare che forse forse era pieno (strapieno di imprecisioni, chiamiamole così che è meglio)...;DDD ...che cattiva che sono...:PPP -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Compilazione kernel su sistema biprocessore
Ho acquistato un notebook dell latitude d620 con un centrino core duo. Ho ricompilato il kernel abilitando l'smp e tutto funziona. Adesso sto verificando se con l'smp le tempistiche di ricompilazione si siano ridotte. Mi è sembrato però che non sia cambiato niente, apparentemente usa una sola cpu; come posso forzare l'utilizzo dei due processori ? Consigli o linksull'argomento ? Grazie anticipatamente Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Compilazione kernel su sistema biprocessore
--> In compilazione devi usare --> --> make -j2 bzImage --> io uso make-kpkg per produrre un .deb esiste questa possibilità anche con questa modalità di compilazione ? --> --> cat /proc/cpuinfo --> si, mi riconosce correttamente entrambe le cpu --> Se usi il kernel 2.6.17.7 (forse anche i precedenti, ma io arrivo dal --> 2.6.15) c'e` un'opzione apposita per i dual core. --> uso il 2.6.15 e qui puoi, dopo avere abilitato l'smp, specificare solamente l'eventuale numero di cpu. Grazie Alberto Spelta
R: [OT] ftp sicuro
--> Salve a tutti, vorrei installare un server ftp che utilizzi connessioni --> non in chiaro. Cosa consigliate? Ciao !! io uso con successo WebDAV e SSL. WebDAV non è nato x questo ma funziona molto bene e soprattutto non richiede la distribuzione di software lato client. http://openskills.info/topic.php?ID=84 http://www.linux.com/howtos/Apache-WebDAV-LDAP-HOWTO/ssl.shtml Spero diesserti stato utile Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables - limitare il numero delle connessioni
ho la necessita di limitare il numero di connessioni aperte da un singolo host. ho verificato che per iptables esistono alcuni moduli che fanno al caso mio (ipt_iplimit, ipt_ipconnlimit). la macchina su cui devo usare questi moduli e una sarge, no PoM, default kernel, default iptables. non posso installare le patch con PoM xche non posso ricompilare il kernel dato che e una macchina di produzione. che alternative ho ? eventualmente dove trovo i sorgenti di questi moduli ? grazie Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: [OT]bloccare l'uso di Messenger
purtroppo bloccare le porte non serve a niente dato che nel caso sia bloccata la porta di default il software prova anche ad usare la porta 80(http) e tante altre quindi io avevo tamponato la situazione tenendo monitorate le connessioni con software tipo ethereal e poi inibendo l'accesso ai server di login AOL ecc... questo sono alcune regole da uno script che avevo fatto durante i test $IPT -A laninet_drop_unauthorized -p tcp -d ads.web.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d talk.google.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d cb.icq.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d http.proxy.icq.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d login.oscar.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d aimhttp.oscar.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d toc.oscar.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d http.pager.yahoo.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d bucp1-vip-m.blue.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d bucp2-vip-m.blue.aol.com -j REJECT --reject-with tcp-reset $IPT -A laninet_drop_unauthorized -p tcp -d login.glogin.messaging.aol.com -j REJECT --reject-with tcp-reset l'ideale sarebbe, nel caso tu usassi netfilter e possa ricompilare il kernel patchandolo con P-O-M, usare un modulo che lavori sul layer7 della pila osi, in pratica un firewall content inspection. Prova a vedere qui se questo può esserti utile http://l7-filter.sourceforge.net/ Saluti Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables & ipt_connlimit
ho la necessità di impostare con iptables un limite di connessioni per ogni ip; questa non è una cosa fattibile con l'attuale stable senza patchare il kernel (cosa che non posso fare). a me sarebbe tanto utile il modulo ipt_connlimit; sapete xcaso se è prevista l'inclusione du questo modulo nella prossima stable release ?? alternative ? sono disposto anche a scrivere codice per un modulo per gestire le connessioni in user-space !!! qualche idea ?? Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
installare nuovo demone
ho scaricato ed installato su un server sarge il software BOINC http://boinc.berkeley.edu/ ho configurato l'account e ho verificato che tutto funziona. volendo impostarlo come demone in avvio automatico al boot ho creato lo script in /etc/init.d/boinc che avvia il programma tramite l'uso di start-stop-daemon ho poi creato un link simbolico dentro /etc/rc2.d come S99boinc ed il software parte come ultimo processo all'avvio. solamente che la fase di boot della macchina non termina dato che il programma non termina mai. questo tipo di software scarica un job da eseguire e lo esegue all'infinito. in parole povere l'errere è (penso) quello di non averlo eseguito in background. come risolvo questo problema ? adesso la schermata di boot non si conclude e non arriva alla richiesta di user/password poichè il processo BOINC resta in esecuzione. una volta risolto come posso impostare il processo per esssere eseguito in background ? grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: installare nuovo demone
>se il comando non prevede una opzione -d allora aggiungi & chiaro >che la soluzione non è molto "pulita" e sicuramente ci sono soluzioni >più eleganti sicuramente provo questa opzione, ma adesso ho il problema che non posso accedere al server, la console è bloccata xchè risulta ancora in fase di boot e ssh non mi autentica x lo stesso motivo !! come posso forzare il boot con un runlevel diverso da 2, dato che è con questo runlevel che mi parte questo processo grazie 1000 Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: installare nuovo demone
> volendo impostarlo come demone in avvio automatico al boot ho > creato lo script in /etc/init.d/boinc che avvia il programma > tramite l'uso di start-stop-daemon > ho poi creato un link simbolico dentro /etc/rc2.d come S99boinc ed > il software parte come ultimo processo all'avvio. solamente > che la fase di boot della macchina non termina dato che il programma > non termina mai. questo tipo di software scarica un job da eseguire > e lo esegue all'infinito. in parole povere l'errere è (penso) quello > di non averlo eseguito in background. tutto lavoro inutile, esiste uno script ufficiale per fare questo http://boinc.berkeley.edu/addon_item.php?platform=linux&item=boincctl altri addons http://boinc.berkeley.edu/addons.php ma il problema del boot infinito come lo risolvo ? Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: installare nuovo demone
>dubito che per ssh il problema possa essere questo visto che >ssh parte decisamente prima di S99 si, ti confermo che il problema è quello, ssh parte prima, ma dato che rileva ancora la macchina in fase di boot non mi lascia autenticare [..] Using keyboard-interactive authentication. System bootup in progress - please wait [..] >passi il parametro 3 (o 4 ...) al boot prompt il bootmanager è grub, mi spiegheresti cortesemente come fare ? grazie -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: installare nuovo demone
>passando un parametro a grub (se sei in console...) da remoto la vedo un >po' dura... fortunatamente sono in console, ho risolto con un boot in runlevel 1, rimossolo script incriminato e poi tutto ok. grazie a tutti Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
juniper SSL VPN
ho diversi client che si connettono ad una VPN juniper tramite l'apposita home page e l'apposito software client per lavorare con un server remoto. vorrei impostare un server linux come concentratore VPN e gateway per questo particolare indirizzo ip evitando così di connettere ogni singolo computer alla VPN. a quanto ho capito esiste un client linux compatibile http://www.flexion.org/site/index.php?gadget=StaticPage&action=Page&id=50 ma richiede X e l'utilizzo di un browser per scaricare il pacchetto da installare. vorrei fare la stessa operazione da un server dove non ho e non ho intenzione di installare l'ambiente grafico X. qualche esperienza in merito Grazie Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
configurazione ntpd
ntp server, non ci capisco + niente devo configurare un servizio ntpd che sia sincronizzato con ien e niste che sia la fonte principale per sincronizzare i client della mia LAN qualche domanda: -il demone si sincronizza in automatico o devo gestirlo tramite cron ? -a cosa serve la direttiva "driftfile" ??? -a cosa serve la direttiva "fudge" ??? grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: configurazione ntpd
il parametro per la sincronizzazione automatica e minpoll maxpoll. giusto ? >A ricordardi di quanto sbaglia il tuo clock locale. intendi il ritardo sulla ricezione del segnale di sincronizzazione ? >A usare un dispositivo di sincronizzazione locale, nel tuo caso il tuo >clock. Utile se per qualche motivo rimani disconnesso dalla rete. nel file ntpd.conf di default vengono riportate queste impostazioni. non capisco 127.127.1.0 cosa indichi. server 127.127.1.0 fudge 127.127.1.0 stratum 10 e stratum a cosa serve? Grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: configurazione ntpd
ho sbagliato a scrivere. intendevo : il parametro per variare il ritardo della sincronizzazione è minpoll/maxpoll ??? Grazie 1000 Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: configurazione ntpd
servizio installato ed "apparentemente" configurato correttamente i client winXP xò non si aggiornano, cosa che dovrebbero fare nativamente a quanto ho letto. XP supporta il protocollo NTP. l'errore è "l'esempio di ora è stato rifiutato in quanto lo strato del peer riore allo strato dell'host" ?? Grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: configurazione ntpd
servizio installato ed "apparentemente" configurato correttamente i client winXP xò non si aggiornano, cosa che dovrebbero fare nativamente a quanto ho letto. XP supporta il protocollo NTP. l'errore è "l'esempio di ora è stato rifiutato in quanto lo strato del peer è inferiore allo strato dell'host" ?? Grazie Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
crash del server + log
questa mattina un server sarge presentava questo errore nel log. questo server fa da dns e dhcp. i client non riuscivano ad ottenere l'indirizzo ip, ho fatto un reboot ma senza nessun risultato, ho dovuto spegnere e riaccendere la macchina. l'errore nel log è scomparso e i servizi di rete hanno ripreso a funzionare. da dove inizio ad indagare ? qualche suggerimento ?? grazie Alberto Spelta Unable to handle kernel paging request at virtual address 8fb9ca04 printing eip: c01d9a2d *pde = Oops: [#1] PREEMPT Modules linked in: af_packet uhci_hcd usbcore esssolo1 soundcore gameport 8139too mii agpgart tsdev mousedev evdev capability commoncap psmouse ide_cd cdrom genrtc ext3 jbd ide_generic piix ide_disk ide_core unix font vesafb cfbcopyarea cfbimgblt cfbfillrect CPU:0 EIP:0060:[]Not tainted EFLAGS: 00010202 (2.6.8-3-386) EIP is at generic_make_request+0x1c/0x184 eax: 8fb9ca00 ebx: c83f86c8 ecx: cffcd940 edx: ca1ef920 esi: ca1ef920 edi: cb0d8f5c ebp: 0001 esp: cfa77d70 ds: 007b es: 007b ss: 0068 Process kjournald (pid: 290, threadinfo=cfa76000 task=cfe06050) Stack: cfa77d6c ccc366c8 0008 c8147354 ca1ef920 0010 c0148dff cfb91780 0010 c83f86c8 ca1ef920 cb0d8f5c 0001 c01d9c3e ca1ef920 0010 0001 55b8 ca1ef920 0008 Call Trace: [] bio_alloc+0x105/0x16e [] submit_bio+0xa9/0xb1 [] sync_dirty_buffer+0x5a/0x7d [] journal_commit_transaction+0x9fc/0xe72 [jbd] [] autoremove_wake_function+0x0/0x3a [] autoremove_wake_function+0x0/0x3a [] kjournald+0xbe/0x21d [jbd] [] autoremove_wake_function+0x0/0x3a [] autoremove_wake_function+0x0/0x3a [] ret_from_fork+0x6/0x14 [] commit_timeout+0x0/0x9 [jbd] [] kjournald+0x0/0x21d [jbd] [] kernel_thread_helper+0x5/0xb Code: 8b 40 04 8b 70 38 8b 58 34 0f ac f3 09 c1 fe 09 89 f7 09 df -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
MOM virtual agent
esiste un virtual agent Debian per Microsoft Operation Manager 2005 ? per intenderci una cosa tipo questa, ma free http://www.excsoftware.com/version3/version3/Product.aspx?ID=64d59614-8f83-4 feb-9a85-d55723975260 grazie Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Monit e protocollo DNS
ciao a tutti, sto configurando Monit per monitorare alcuni processi e server, sto incontrando un problema xò con bind9 e specificatamente con il protocollo dns mi segnala questo errore -> Error: syntax error 'dns'. se rimuovo "protocol dns" nel file di config tutto funziona. nella documentazione ufficiale il comando è utilizzato http://www.tildeslash.com/monit/doc/examples.php#nscd percaso il pacchetto debian non essendo l'ultima versione non supporta questa direttiva ? se rimuovo xò il protocollo, che tipo di controllo fa sul servizio dns ? a me servirebbe verificare che funzioni effettivamente il servizio e non solamente che la porta 53 risponda alla connessione. questo è il mio file di config: check process named with pidfile "/var/run/bind/run/named.pid" start program = "/etc/init.d/bind9 start" stop program = "/etc/init.d/bind9 stop" if failed host localhost port 53 type tcp protocol dns then restart if failed host localhost port 53 type udp protocol dns then restart if 5 restarts within 5 cycles then timeout qualche consiglio grazie anticipatamente Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Monit e protocollo DNS
vabbè, proprio per un pelo, lo annoto ed appena rilasciano la nuova stable faccio l'upgrade e risolvo. invece per il demone dhcpd3 come posso abilitare un controllo anche sul socket (raw in questo caso) ?? check process dhcpd3 with "pidfile /var/run/dhcpd.pid" start program "/etc/init.d/dhcp3-server start" stop program "/etc/init.d/dhcp3-server stop" if 5 restarts within 5 cycles then timeout grazie ancora Alberto -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Monit e protocollo DNS
sempre con monic devo monitorar un server https con autenticazione
con la prima regola mi restituisce un errore http 401
allora ho pensato di usare un send/expect (vedi secondo esempio) ma
mi da un errore che proprio non capisto. dove sbaglio ??
grazie 1000
Alberto Spelta
check host server1 with address 10.0.0.1
# funziona ma il sito chiede l'autenticazione e mi restituisce l'errore
http 401
if failed port 443 type tcpssl protocol http then alert
# non funziona, GENERIC: error receiving data -- Resource temporarily
unavailable
if failed port 443 type tcpssl
send "GET / HTTP/1.0\r\n"
send "Host: server1 \r\n"
send "Connection: close\r\n"
expect "HTTP/[0-9\.]{3} 401 .*"
then alert
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Monit - timeout & alert
ho installato con successo monit su sarge, ora mi resta da configurare solamente la periodicità dei controlli e la notifica via email. Per quanto riguarda l'intervallo di check il file /etc/default/monit contiene il parametro CHECK_INTERVALS=180 che serve per variare appunto l'intervallo; un parametro apparentemente simile è il "set daemon" nel file monitrc. sembra che a comandare sia CHECK_INTERVALS contrariamente a quello sche c'è scritto nella documentazione del prodotto. non è assolutamente un problema per me, ma vorrei solamente capirne il senso. l'altro aspetto è la notifica via email; il server è connesso ad internet ma non invia nessuna mail. attivando il debug (monit -v) leggo nel file di log la segnalazione di alert inviata, ma non ricevo niente nella casella di posta. la mia configurazione per questa funzionalità è la seguente: set daemon 600 set mailserver smtp.fastwebnet.it set alert [EMAIL PROTECTED] set logfile syslog facility log_daemon nel log, a fronte di un fail, trovo correttamente il messaggio: "Connection failed notification is sent to [EMAIL PROTECTED]" thanks Alberto Spelta -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
vpn ipsec da rete fastweb
Ciao a tutti, ho la necessità di creare una vpn ipsec lan-to-lan utilizzando openswan su debian4 . Il mio problema è che per una delle due lan il provider è fastweb e quindi dovrò attivate il nat-traversal. Per quella rete è disponibile un ip statico acquistato da fastweb; da quellip fastweb fa un nat verso un server firewall aziendale con ip privato il quale a sua volta effettua un secondo nat verso una dmz dedicata dove dovrà risiedere il server che aprirà la connessione vpn. Non posso attivare la vpn dal server firewall ma devo necessariamente predisporre una nuova macchina nella dmz. Con tutti questi nat non vorrei avere qualche problema. Consigli ? Esperienze ? Grazie anticipatamente Alberto Spelta
R: nuovo server debian
>Ciao a tutti, >devo installare un nuovo server che dovrebbe erogare >i calssici servizi: web application php con mysql, mailserver >postfix, amavis, spamassassins, ssh, ecc.. >Vorrei che i dischi del server fossero in raid 0 hardware e non software. >Mi sapete consigliare una scheda raid compatibile con debian ? >Oppure qualche serverino gia' pronto, hp,ibm,ecc.. che possa >fare al caso mio... >Vi ringrazio in anticipo, >Roberto Per mettere d'accordo tutti io consiglio un bel raid 0+1. Non vorrei dire una bestialità ma mi pare che in caso di raid software il MBR viene scritto su un solo disco. Se per caso è proprio il disco che si guasta sono guai Alberto Spelta
OpensWan IPSEC
Buongiorno a tutti, ho configurato un tunnel IPSEC con OpenSwan e ora avrei la necessità di impostare lattivazione e la chiusura automatica del tunnel in caso di non utilizzo. Non capisco quali parametri nel file /etc/ipsec.conf devo modificare. keylife ??? ikelifetime ??? Eventualmente dato che in assenza di traffico il tunnel comunque non usa banda se non per eventuali keep-alive, come posso impostare una connessione permanente 24h/24h? Grazie Alberto Spelta
Debian etch - traffic control
Ciao a tutti ! Ho la necessità di imporre delle limitazioni sul volume di traffico in transito attraverso un server linux (debian etch 2.6). Questa macchina dispone di regole iptables che consentono solamente il traffico autorizzato e adesso mi interesserebbe sviluppare un sistema di QoS. Sto decidendo quali tecnologie e strumenti utilizzare ma al momento ho le idee confuse. Ho il vincolo di non poter ricompilare il kernel xcui devo obbligatoriamente utilizzare la configurazione debian standard. Grazie anticipatamente Alberto Spelta
guida proftpd
ciao a tutti ! ho installato proftpd su una macchina con woody r5. il servizio è partito regolarmente, ma con nessun utente riesco a connettermi. ho provato nel file /etc/ftpusers rimuovendo l'utente root ma niente da fare qualche idea ? conoscete qualche guida che illustri la config passo-passo ? grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
woody & SCSI
ciao a tutti, ho installato la woody nella configurazione minima; la macchina su cui ho installato non ha componenti SCSI e vorrei evitare che al boot il sistema carichi il moduli e ogni volta cerchi controller e dischi è possibile farlo senza dover ricompilare il kernel ? thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
motd - issue
quale è il modo migliore per evitare che sulla console e sui terminali al login ed al logout vengano mostrati messaggi ? ( ex motd - issue ) mi interessa anche fare un bel clear al logout evitando che rimangano visibili gli ultimi comandi digitati. in giro ho trovato esempi del tipo clear > /etc/motd && clear > /etc/issue oppure mettere mano al /etc/profile non vorrei perdere però le info al login tipo ultimo login effettuato - n tentativi errati di login. qualche suggerimento ? grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
info iptables
Ciao a tutti ! sto impostando uno script per iptables per proteggere la mia LAN, avrei bisogno di una guida dove poter verificare ( anche periodicamente x aggiornamenti ) le regole da impostare per i + comuni tentativi di ping of death / furtive port scanner / syn - flood ecc... insomma vorrei essere sicuro che le impostazioni di iptables siano corrette e coprano tutte le casistiche anche quelle di cui non sono a conoscenza. grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: info iptables
intendi una cosa del genere ? iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ma queste regole mi proteggono da vari pingofdeath/portscanner/synflood ??? cioè se imposto quelle regole, aggiungere questa è inutile ?? iptables -A INPUT -p tcp -i $INTERNET --syn -m limit --limit 1/s -j ACCEPT cmq il default dello script è chiudere tutto e aprire solo il necesario thanks --> -Messaggio originale- --> Da: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] --> Inviato: mercoledì 1 giugno 2005 11.10 --> A: debian-italian@lists.debian.org --> Oggetto: Re: info iptables --> --> --> Scrive Alberto Spelta <[EMAIL PROTECTED]>: --> --> > insomma vorrei essere sicuro che le impostazioni di iptables siano --> > corrette --> > e coprano tutte le casistiche anche quelle di cui non sono a --> > conoscenza. --> --> Ciao --> secondo me così non te la cavi più; meglio impostare regole che negano --> completamente TUTTO e concedere solo quello di cui hai bisogno. --> --> ciao --> --> --> -- --> To UNSUBSCRIBE, email to [EMAIL PROTECTED] --> with a subject of "unsubscribe". Trouble? Contact --> [EMAIL PROTECTED] --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: info iptables
io ho trovato e uso questo http://easyfwgen.morizot.net/ lo conoscete altri ? --> -Messaggio originale- --> Da: int [mailto:[EMAIL PROTECTED] --> Inviato: mercoledi 1 giugno 2005 13.08 --> A: debian-italian@lists.debian.org --> Oggetto: Re: info iptables --> --> --> On Wed, Jun 01, 2005 at 12:32:49PM +0200, LoSpippolo wrote: --> > io uso questo --> --> Te lo sei fatto a manina o con l'aiuto di qualche programma/pacchetto? --> --> eventualmente, complimenti per aver usato i commenti ;-) --> --> > #--- --> > # Enabling spooginf protection --> > #--- --> > echo '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses --> > #--- --> > # Enabling SYN-flood protection - Protection from Denial of --> Service (DOS) attacks --> > #--- --> > echo "1" > /proc/sys/net/ipv4/tcp_syncookies --> > #--- --> > # Disableing the acception of ICMP-redirect messages. --> > #--- --> > echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects --> > #--- --> > # Disable responding to ping broadcasts --> > #--- --> > echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts --> > #- --> > # ICMP Dead Error Messages protection --> > #- --> > echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses --> > #--- --> > # Disable routing triangulation. Respond to queries out --> > # the same interface, not another. Helps to maintain state --> > # Also protects against IP spoofing --> > #--- --> > echo "2" > /proc/sys/net/ipv4/conf/all/rp_filter --> > #--- --> > # Drop Invalid packets --> > #--- --> > iptables -A INPUT -m state --state INVALID -j DROP --> > iptables -A FORWARD -m state --state INVALID -j DROP --> > #--- --> > # Allow world to send ICMP packets? --> > #--- --> > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --> --limit 20/second --limit-burst 100 -j ACCEPT --> > #--- --> > # Drop (NMAP) scan packets # --> > #--- --> > iptables -N VALID_CHECK --> > iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags ALL --> SYN,RST,ACK,FIN,URG -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP --> > #--- --> > # Drop packets with bad tcp flags --> > #--- --> > iptables -A VALID_CHECK -p tcp --tcp-option 64 -j DROP --> > iptables -A VALID_CHECK -p tcp --tcp-option 128 -j DROP --> > iptables -A INPUT -p tcp --dport 0 -j DROP --> > iptables -A INPUT -p udp --dport 0 -j DROP --> > iptables -A INPUT -p tcp --sport 0 -j DROP --> > iptables -A INPUT -p udp --sport 0 -j DROP --> > #--- --> > # General stealth scan drop --> > #--- --> > iptables -A INPUT -p tcp ! --syn -j DROP --> > # --> --> --> -- --> To UNSUBSCRIBE, email to [EMAIL PROTECTED] --> with a subject of "unsubscribe". Trouble? Contact --> [EMAIL PROTECTED] --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Note: 3.1r0 CD image problem
* Note: 3.1r0 CD image problem * A bug has been discovered in the 3.1r0 CD/DVD images: new installs from these images will have a commented-out entry in /etc/apt/sources.list for "http://security.debian.org/ testing/updates" rather than an active entry for "http://security.debian.org/ stable/updates", and thus will not get security updates by default. This was due to incorrect Release files on the images. If you have already installed a system using a 3.1r0 CD/DVD image, you do not need to reinstall. Instead, simply edit /etc/apt/sources.list, look for any lines mentioning security.debian.org, change "testing" to "stable", and remove "# " from the start of the line. If you installed other than from a CD or DVD (for example, netboot, or booting from floppy and installing the base system from the network), you are not affected by this bug. New 3.1r0a images will be available shortly to correct this flaw. We apologise for the inconvenience. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
log & messaggi
xchè nel syslog trovo una infinità di messaggi tipo >> Jun 8 11:03:25 debianserver -- MARK -- poi ho anche questo messaggio >> Jun 8 11:19:24 debianserver modprobe: modprobe: Can't locate module char-major-5 ma non capisco dove tenti di caricare il modulo char-major-5; nel file /etc/modules.conf e nel /etc/modutils/aliases non esiste nuente del genere thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
exim4
devo preparare una macchina in configurazione minima che gestisca firewall e NAT. ho installato la versione sarge 3.1; ho visto che exim4 è incluso per default tra i pacchetti installati, mi consigliate di rimuoverlo su questa particolare macchina ? può generare qualche problema di sicurezza su un firewall ? già che ci sono ne apprifitto per una seconda domanda, kernel 2.4 o 2.6 ?? quale scegliere sempre tenendo conto di quello che dovrà andare a fare la macchina ?? grazie 1000 anticipatamente Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: ritardi
ogni server per cui passa l'email appende una sua intestazione con data e ora di ricezione qui per esempio tu hai inviato l'email al server smtp2.libero.it che la ha inoltrata a murphy.debian.org. questo server nell'intestazione dell'e-mail ha registrato questo evento. Old-Return-Path: X-Original-To: debian-italian@lists.debian.org Received: from smtp2.libero.it (smtp2.libero.it [193.70.192.52]) by murphy.debian.org (Postfix) with ESMTP id B53C02DDB9 for ; Wed, 15 Jun 2005 04:37:18 - in questo modo puoi ricostruire tempi e percorsi dell'e-mail saluti Alberto --> -Messaggio originale- --> Da: alex [mailto:[EMAIL PROTECTED] --> Inviato: mercoledì 15 giugno 2005 10.37 --> A: debian-italian@lists.debian.org --> Oggetto: Re: ritardi --> --> --> Alle 09:41, mercoledì 15 giugno 2005, Michele Orsenigo ha scritto: --> --> > Se vi può interesare, dai log del nostro server di posta, ho --> notato che --> > almeno da un paio di settimane i server di libero e di tin (ma anche --> > altri), rifiutano la posta per molti minuti/ore con la risposta: --> > "Service not available - too busy". --> --> mhhmm, non intendevo un problema dal lato client - mail server: --> le mail mi --> escono senza (relativi) problemi. Intendo proprio dal lato mail --> sender libero --> al server delle liste debian. Talvolta alcune mail vengono --> accettate subito e --> crossate immediatamente, talaltra aspettano anche 80'. Capperi! --> Domandavo perché: --> 1) se la cosa è comune allora il problema è nei server debian --> 2) se la cosa è di libero allora debbo rompere all'assistenza libero. --> --> A. --> --> --> __ Informazione NOD32 1.1140 (20050614) __ --> --> Questo messaggio è stato controllato dal Sistema Antivirus NOD32 --> http://www.nod32.it --> --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
remove lpd
ho la necessità di rimuovere lpd da una installazione di sarge. il seguente comando è corretto ? il apckage è quello giusto ? apt-get remove --purge slpd.* thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
apt-get remove
quale è il modo giusto di rimuovere un pacchetto ? se volesi rimuovere il demone nfs-common eseguirei : update-rc.d -f nfs-common remove apt-get remove nfs-common ma nella /etc/init.d rimane lo script nfs-common; è corretto che rimanga ? come posso essere certo di fare una pulizia completa ? grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Virtualizzazione
Ciao a tutta la lista ! vorrei sapere che alternative esistono (anche non open source) a VMWare ESX server; ho la necessità di installare + server debian su un solo hardware e vorrei valutare tutte le alternative. thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Firewall con connessione fastweb
Ho la necessità di attivare un accesso dall'esterno verso la mia rete lan. Ho richiesto a fastweb di configurare un nat verso un ip privato della mia lan, che ora risulta perfettamente raggiungibile dall'esterno; a questo ip corrisponderà una macchina debian con firewall. Come mi consigliate di configurare la rete ? Spostare la lan su una altra classe di indirizzi ip e quindi mettere 2 schede di rete sul firewall ? lasciare tutti gli apparati nella stessa lan ? in questo caso come devo comportarmi per le regole del firewall ? Grazie 1000 anticipatamente Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: Firewall con connessione fastweb
--> --> Si. O magari 3 (una per la DMZ, dove metti le --> macchine che offrono servizi sia alla lan che verso internet) schede di --> rete... dipende dalle tue esigenze in termini di sicurezza della LAN. --> se temporaneamente dovessi mantenere tutti gli apparati nella stessa classe ip ( ipotesi peggiore ) come posso tutelarmi al meglio agendo sulle regole iptables ? ( volendo potrei anche mettere 2 nic sul firewall, ovviamente sempre stessa classe ip ) thanks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
kern.log ?? che faccio
ciao a tutti ! sto installando una sarge su un pc con 3 skede di rete. l'installazione è minimale, nientex ne demoni partcolari solo i componenti di base standard. mi trovo queste cose nel log; che cosa sono ? qualcuno sa come posso risolvere ? Sep 26 14:16:54 firewall kernel: 8139cp: 10/100 PCI Ethernet driver v1.2 (Mar 22, 2004) Sep 26 14:16:54 firewall kernel: uhci.c: USB Universal Host Controller Interface driver v1.1 Sep 26 14:16:54 firewall kernel: pci_hotplug: PCI Hot Plug PCI Core version: 0.5 Sep 26 14:16:54 firewall kernel: shpchp: acpi_shpchprm:get_device PCI ROOT HID fail=0x1001 Sep 26 14:16:54 firewall kernel: pci_hotplug: PCI Hot Plug PCI Core version: 0.5 Sep 26 14:16:54 firewall kernel: pciehp: acpi_pciehprm:get_device PCI ROOT HID fail=0x1001 > lspci :00:00.0 Host bridge: Intel Corp. 440BX/ZX/DX - 82443BX/ZX/DX Host bridge (rev 03) :00:01.0 PCI bridge: Intel Corp. 440BX/ZX/DX - 82443BX/ZX/DX AGP bridge (rev 03) :00:07.0 ISA bridge: Intel Corp. 82371AB/EB/MB PIIX4 ISA (rev 02) :00:07.1 IDE interface: Intel Corp. 82371AB/EB/MB PIIX4 IDE (rev 01) :00:07.2 USB Controller: Intel Corp. 82371AB/EB/MB PIIX4 USB (rev 01) :00:07.3 Bridge: Intel Corp. 82371AB/EB/MB PIIX4 ACPI (rev 02) :00:0a.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) :00:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) :00:0c.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) :00:0d.0 Multimedia audio controller: ESS Technology ES1969 Solo-1 Audiodrive (rev 01) :01:00.0 VGA compatible controller: NVidia / SGS Thomson (Joint Venture) Riva128 (rev 22) Grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: kern.log ?? che faccio
ho "risolto", la causa era lo script hotplug che all'avvio generava quell'errore ho messo mano allo script /etc/init.d/hotplug/ chiamando subito una exit 0 il boot si è velocizzato e non ho più i msg di errore. le funzionalità di hotplug su questa macchina non mi servono, ma mi interessarebbe cmq sapere se altri hanno incontrato lo stesso problema per sapere da cosa effettivamente dipende il fatto di avere disabilitato lo script hotplug può causare noie a qualche altro componente/pacchetto ? grazie Alberto --> --> --> ciao a tutti ! --> sto installando una sarge su un pc con 3 skede di rete. --> l'installazione è --> minimale, nientex ne demoni partcolari solo i componenti di --> base standard. --> mi trovo queste cose nel log; che cosa sono ? --> qualcuno sa come posso risolvere ? --> --> Sep 26 14:16:54 firewall kernel: 8139cp: 10/100 PCI Ethernet driver v1.2 --> (Mar 22, 2004) --> Sep 26 14:16:54 firewall kernel: uhci.c: USB Universal Host Controller --> Interface driver v1.1 --> Sep 26 14:16:54 firewall kernel: pci_hotplug: PCI Hot Plug PCI --> Core version: --> 0.5 --> Sep 26 14:16:54 firewall kernel: shpchp: --> acpi_shpchprm:get_device PCI ROOT --> HID fail=0x1001 --> Sep 26 14:16:54 firewall kernel: pci_hotplug: PCI Hot Plug PCI --> Core version: --> 0.5 --> Sep 26 14:16:54 firewall kernel: pciehp: --> acpi_pciehprm:get_device PCI ROOT --> HID fail=0x1001 --> --> > lspci --> :00:00.0 Host bridge: Intel Corp. 440BX/ZX/DX - 82443BX/ZX/DX Host --> bridge (rev 03) --> :00:01.0 PCI bridge: Intel Corp. 440BX/ZX/DX - --> 82443BX/ZX/DX AGP bridge --> (rev 03) --> :00:07.0 ISA bridge: Intel Corp. 82371AB/EB/MB PIIX4 ISA (rev 02) --> :00:07.1 IDE interface: Intel Corp. 82371AB/EB/MB PIIX4 IDE (rev 01) --> :00:07.2 USB Controller: Intel Corp. 82371AB/EB/MB PIIX4 --> USB (rev 01) --> :00:07.3 Bridge: Intel Corp. 82371AB/EB/MB PIIX4 ACPI (rev 02) --> :00:0a.0 Ethernet controller: Realtek Semiconductor Co., Ltd. --> RTL-8139/8139C/8139C+ (rev 10) --> :00:0b.0 Ethernet controller: Realtek Semiconductor Co., Ltd. --> RTL-8139/8139C/8139C+ (rev 10) --> :00:0c.0 Ethernet controller: Realtek Semiconductor Co., Ltd. --> RTL-8139/8139C/8139C+ (rev 10) --> :00:0d.0 Multimedia audio controller: ESS Technology ES1969 Solo-1 --> Audiodrive (rev 01) --> :01:00.0 VGA compatible controller: NVidia / SGS Thomson --> (Joint Venture) --> Riva128 (rev 22) --> --> Grazie 1000 --> Alberto --> --> --> -- --> To UNSUBSCRIBE, email to [EMAIL PROTECTED] --> with a subject of "unsubscribe". Trouble? Contact --> [EMAIL PROTECTED] --> --> --> __ NOD32 1.1232 (20050925) Information __ --> --> This message was checked by NOD32 antivirus system. --> http://www.eset.com --> --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: R: kern.log ?? che faccio
--> veramente non bisognerebbe mai fare cose del genere ... basta --> cancellare il link dal run level che usi di solito avrei preferito anche io rimuovere il link da /etc/rc2.d/ ma quale è ? nell'elenco no ho trovato niente di relativo ad hotplug. drwxr-xr-x 2 root root 4096 2005-09-26 15:22 . drwxr-xr-x 50 root root 4096 2005-09-26 15:56 .. lrwxrwxrwx 1 root root 18 2005-09-26 14:23 S10sysklogd -> ../init.d/sysklogd lrwxrwxrwx 1 root root 15 2005-09-26 14:23 S11klogd -> ../init.d/klogd lrwxrwxrwx 1 root root 15 2005-09-26 14:23 S20exim4 -> ../init.d/exim4 lrwxrwxrwx 1 root root 15 2005-09-26 14:23 S20inetd -> ../init.d/inetd lrwxrwxrwx 1 root root 17 2005-09-26 14:21 S20makedev -> ../init.d/makedev lrwxrwxrwx 1 root root 13 2005-09-26 13:01 S20ssh -> ../init.d/ssh lrwxrwxrwx 1 root root 14 2005-09-26 14:23 S89cron -> ../init.d/cron lrwxrwxrwx 1 root root 19 2005-09-26 14:22 S99rmnologin -> ../init.d/rmnologin lrwxrwxrwx 1 root root 23 2005-09-26 14:22 S99stop-bootlogd -> ../init.d/stop-bootlogd grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
chi chiama /etc/init.d/hotplug/ ??
come da msg precedente, in fase di boot lo script /etc/init.d/hotplug/ mi generava errori. per disabilitarlo temporaneamente ho inserito in testa allo script un bel exit 0. lo so che non si facosì e qualcuno giustamente mi ha ricordato che l'operazione corretta è rimuovere dalla cartella rc del run level il link allo script. il problema è che nella cartella ho i seguenti link : root root 4096 2005-09-26 15:22 . root root 4096 2005-09-26 15:56 .. root root 18 2005-09-26 14:23 S10sysklogd ->../init.d/sysklogd root root 15 2005-09-26 14:23 S11klogd -> ../init.d/klogd root root 15 2005-09-26 14:23 S20exim4 -> ../init.d/exim4 root root 15 2005-09-26 14:23 S20inetd -> ../init.d/inetd root root 17 2005-09-26 14:21 S20makedev ->../init.d/makedev root root 13 2005-09-26 13:01 S20ssh -> ../init.d/ssh root root 14 2005-09-26 14:23 S89cron -> ../init.d/cron root root 19 2005-09-26 14:22 S99rmnologin ->../init.d/rmnologin root root 23 2005-09-26 14:22 S99stop-bootlogd ->../init.d/stop-bootlogd chi chiama lo script hotplug ? grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
.bash_history
come posso mantenere la .bash_history di tutti gli utenti impedendogli di cancellarla ? mi interesserebbe mantenerla anche del caso di un nuovo utente quale è il metodo meno invasivo e + sicuro ? grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: .bash_history
e se utilizzassi un pacchetto tipo acct ?? http://packages.debian.org/stable/admin/acct grazie --> --> -BEGIN PGP SIGNED MESSAGE- --> Hash: SHA1 --> --> --> On Sep 28, 2005, at 10:07 PM, Cristian Versari wrote: --> --> > Riccardo Tortorici wrote: --> > --> >> chattr +a .bash_history --> >> gli metti l'attributo "append", l'utente può aggiungere ma non --> >> togliere.. :-) --> >> --> > --> > Se l'utente ha i permessi totali sulla propria home (come in genere --> > accade) tutto cio' e' inutile... --> --> Non con chattr. --> --> Cerberus:/home/ricky# lsattr .bash_history --> - - .bash_history --> Cerberus:/home/ricky# chattr +a .bash_history --> Cerberus:/home/ricky# lsattr .bash_history --> - -a--- .bash_history --> Cerberus:/home/ricky# su - ricky --> [EMAIL PROTECTED]:~$ chattr -a .bash_history --> chattr: Operation not permitted while setting flags on .bash_history --> --> Ric --> --> - - Riccardo Tortorici - --> Linux Registered User #365170 --> Count yourself @ http://counter.li.org/ ! --> - -- --> no1984.org member - Stop TCG! --> - -- --> HTML email can be dangerous, is not always readable, wastes bandwidth --> and is simply not necessary please don't send them to me! --> --> http://www.georgedillon.com/web/netiquette.shtml --> --> --> --> --> --> -BEGIN PGP SIGNATURE- --> Version: GnuPG v1.4.1 (Darwin) --> --> iD8DBQFDOyKrSiJn2/P84wYRAj81AJ9MMDslQlf8ZGWkao/tuK0XHuvvDgCdGjN3 --> dDywlCAUtGBkoVjWc+JSzyk= --> =cOhw --> -END PGP SIGNATURE- --> --> --> __ NOD32 1.1236 (20050928) Information __ --> --> This message was checked by NOD32 antivirus system. --> http://www.eset.com --> --> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
lsmod (unused)
ciao a tutti ! ho 2 domande relative ai moduli che il kernel carica al boot, di seguito ne riporto l'elenco. 1 ° come faccio a non caricare i moduli a me inutili all'avvio ? [gameport, esssolo1, soundcore] ho letto che per fare questo devo rimuoverli da /etc/modules.conf, ma li non trovo niente ed in testa al file c'è scritto di non modificare il file manualmente. 2 ° su questa macchina non mi interessa il supporto usb, come faccio a rimuovere l'usbcore che risulta in uso ? non ho nessun dispositivo usb in uso attualmente, xchè il contatore risulta 1 ? grazie 1000 Alberto $ lsmod Module Size Used byNot tainted usb-uhci 19504 0 (unused) usbcore52268 1 [usb-uhci] esssolo1 22888 0 (unused) soundcore 3268 4 [esssolo1] gameport1388 0 [esssolo1] ide-scsi8272 0 scsi_mod 86052 1 [ide-scsi] 8139too12328 3 mii 1952 0 [8139too] crc32 2848 0 [8139too] agpgart39108 0 (unused) ide-cd 27072 0 cdrom 26212 0 [ide-cd] rtc 5768 0 (autoclean) ext3 65388 1 (autoclean) jbd34628 1 (autoclean) [ext3] ide-detect 288 0 (autoclean) (unused) piix7784 1 (autoclean) ide-disk 12448 2 (autoclean) ide-core 91832 2 (autoclean) [ide-scsi ide-cd ide-detect piix id e-disk] unix 12752 5 (autoclean) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: lsmod (unused)
ho provato modconf ma penso faccia esattamente l'equivalente di rmmod dato che al riavvio della macchina tutto è esattamente come prima. dimenticavo di specificare la versione: sarge kernel 2.4 any idea ? thanks -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
dhcp bootp & iptables
Ciao a tutti ! ho la necessità di attivare un server dhcp per la mia lan; il server in questione risiede però nella DMZ, rete collegata alla lan tramite un firewall dove è abilitato l'ip_forward. coma faccio a fare si che i client della lan al boot prendano le informazioni dal dhcp che sta nella dmz ? quali regole devo impostare in iptables ? devo gestire l'arp ? grazie Alberto Spelta -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables --destination security.debian.com
ciao a tutti ! volevo inserire una nuova regola nella catena output della tabella filter per consentire alla macchina di connettersi verso l'esterno solamente per effettuare apt-get, quindi inserendo gli url contenuti nel file /etc/apt/source.list il problema che mi si presenta è che iptables non accetta il parametro --destination security.debian.org iptables -t filter -A OUTPUT -p tcp -o eth0 -d security.debian.org -j ACCEPT iptables v1.2.11: host/network `security.debian.org' not found Try `iptables -h' or 'iptables --help' for more information. dove sbaglio ? grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: iptables --destination security.debian.com
--> --> Prova a mettergli l'IP; altrimenti devi permettere anche la risoluzine --> del DNS. ovviamente con l'ip funziona, ma la mia intenzione era proprio quella di utilizzare l'url senza inserire l'ip cosa intendi per "permettere la risoluzione del DNS" ? la macchina ha già impostato un nameserver in /etc/resolv.conf tks Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables --destination
scusate se re-inoltro la domanda, ma è caduta nel dimenticatoio :) ho la necessita di specificare in una regola il parametro -d ( --destination ) in formato URL e non IP questo è l'errore che ottengo. dove sbaglio ? devo caricare qualche modulo specifico ? iptables -A OUTPUT -p tcp -o eth0 -d security.debian.org -j ACCEPT iptables v1.2.11: host/network `security.debian.org' not found Try `iptables -h' or 'iptables --help' for more information. grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables --destination
scusate se re-inoltro la domanda, ma è caduta nel dimenticatoio :) ho la necessita di specificare in una regola il parametro -d ( --destination ) in formato URL e non IP questo è l'errore che ottengo. dove sbaglio ? devo caricare qualche modulo specifico ? iptables -t filter -A OUTPUT -p tcp -o eth0 -d security.debian.org -j ACCEPT iptables v1.2.11: host/network `security.debian.org' not found Try `iptables -h' or 'iptables --help' for more information. grazie Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
R: iptables --destination
--> No devi permettere che il tuo PC contatti il server DNS. Non --> mi ricordo --> quali porte devi aprire: la 53? Cerca in internet e vedrai che troverai --> la risposta. --> --> Un saluto --> --> Piviul risolto!!! effettivamente il pc non dialogava con il DNS, iptables droppava le comunicazioni UDP necessarie per un dns lookup grazie 1000 Alberto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables & sanity check del traffico
ciao a tutti ! sto rivedendo lo script iptables e le sue regole. la mia intenzione è rinforzare il "controllo qualità" dei pacchetti in entrata dall'interfaccia internet. girando per internet si trovano varie regole e molti esempi presi da casi personali Esiste una risorsa "ufficiale" in internet dove verificare la correttezza di questo tipo di regole e dove rimenere costantemente aggironati sull'argomento ? Di seguito riporto alcune delle le mie regole; per esempio, la riga 2 effettuerà dei controlli di validità tramite il modulo "state", come faccio ad essere certo di non avere inserito successivamente altre regole che duplicano il controllo già effettuato ? grazie 1000 Alberto Spelta #drop frammenti 1- iptables -A bad_packets -i $INTERNET -p ALL -f -j DROP # drop pacchetti non validi 2- iptables -A bad_packets -i $INTERNET -p ALL -m state --state INVALID -j DROP 3- iptables -A bad_packets -i $INTERNET -p tcp ! --syn -m state --state NEW -j DROP 4- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL NONE -j DROP 5- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL ALL -j DROP 6- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP 7- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP 8- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags SYN,RST SYN,RST -j DROP 9- iptables -A bad_packets -i $INTERNET -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP # drop spoofing 10- iptables -A bad_tcp_packets -i $INTERNET -s 192.168.0.0/24 -j DROP 11- iptables -A bad_tcp_packets -i $INTERNET -s 172.16.0.0/12 -j DROP 12- iptables -A bad_tcp_packets -i $INTERNET -s 10.0.0.0/8 -j DROP 13- iptables -A bad_tcp_packets -i $INTERNET -s 127.0.0.0/8 -j DROP # port scanner 14- iptables -A bad_tcp_packets -i $INTERNET -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 15- iptables -A bad_tcp_packets -i $INTERNET -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j DROP # syn-flood 16- iptables -A bad_tcp_packets -i $INTERNET -p tcp --syn -m limit --limit 1/s -j ACCEPT 17- iptables -A bad_tcp_packets -i $INTERNET -p tcp --syn -j DROP -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
