Re: Server backup

[Michael Vlasov]

On Tue, 29 Jan 2002, Victor B. Wagner wrote:

> Date: Tue, 29 Jan 2002 21:54:37 +0300 (MSK)
> From: Victor B. Wagner <[EMAIL PROTECTED]>
> To: debian-russian@lists.debian.org
> Subject: Re: Server backup
> Resent-Date: Tue, 29 Jan 2002 22:17:01 +0300 (MSK)
> Resent-From: debian-russian@lists.debian.org
>
> On Tue, 29 Jan 2002, Ingvarr Zhmakin wrote:
>
> > Здравствуйте.
> >
> > Есть сервер -- почта (в т.ч. и хранимая на сервере), пользовательский шит
> > гига на один-два, ну и бесценные настройки.
> >
> > Хочется это по-умному бекапить.
> >
> > Чем бы копать?
>
> DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
>

Толку от этит стримеров - нема. Ценность backup-a в его быстром
восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.

> А чем - по вкусу, можно tar, можно cpio, можно dump/restore
> Лично я предпочитаю последнее, из-за наличия у restore удобного
> интерактивного режима для восстановления отдельных файликов.
>
>
>

-- 
Michael Vlasov , MICHAEL-RIPN, MVY162-RIPE
http://www.matrix.ru/michael, ICQ#12612617

Re: Server backup

[Victor B. Wagner]

On Wed, 30 Jan 2002, Michael Vlasov wrote:

> > > Есть сервер -- почта (в т.ч. и хранимая на сервере), пользовательский шит
> > > гига на один-два, ну и бесценные настройки.
> > >
> > > Хочется это по-умному бекапить.
> > >
> > > Чем бы копать?
> >
> > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> >
>
> Толку от этит стримеров - нема. Ценность backup-a в его быстром
> восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.

Толку от этих стримеров в том, что кассету можно унести в другое
здание и в сейф положить. Так что бэкапы имеют шанс пережить даже
покушение бин Ладена на вашу серверную.

А также в том, что при нормальной
схеме отец-дед-сын с тремя периодами ты всегда можешь
восстановить файл удаленный месяц назад.

И сама схема отец-дед-сын хороша тем, что в случае если сервер накрывается
в момент выполнения бэкапа и губит при этом и диск и текущую кассету,
у тебя остается кассета вчерашняя.

А что восстановление занимает полчаса, а не секунды - так пока юзер
файла хватится, пока придет с запросом на восстановление - не критично.

>
> > А чем - по вкусу, можно tar, можно cpio, можно dump/restore
> > Лично я предпочитаю последнее, из-за наличия у restore удобного
> > интерактивного режима для восстановления отдельных файликов.

Re: Server backup

[Michael Vlasov]

On Wed, 30 Jan 2002, Victor B. Wagner wrote:

> Date: Wed, 30 Jan 2002 09:26:43 +0300 (MSK)
> From: Victor B. Wagner <[EMAIL PROTECTED]>
> To: Michael Vlasov <[EMAIL PROTECTED]>
> Cc: debian-russian@lists.debian.org
> Subject: Re: Server backup
>
> On Wed, 30 Jan 2002, Michael Vlasov wrote:
>
> > > > Есть сервер -- почта (в т.ч. и хранимая на сервере), пользовательский 
> > > > шит
> > > > гига на один-два, ну и бесценные настройки.
> > > >
> > > > Хочется это по-умному бекапить.
> > > >
> > > > Чем бы копать?
> > >
> > > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> > >
> >
> > Толку от этит стримеров - нема. Ценность backup-a в его быстром
> > восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.
>
> Толку от этих стримеров в том, что кассету можно унести в другое
> здание и в сейф положить. Так что бэкапы имеют шанс пережить даже
> покушение бин Ладена на вашу серверную.
>
> А также в том, что при нормальной
> схеме отец-дед-сын с тремя периодами ты всегда можешь
> восстановить файл удаленный месяц назад.
>
> И сама схема отец-дед-сын хороша тем, что в случае если сервер накрывается
> в момент выполнения бэкапа и губит при этом и диск и текущую кассету,
> у тебя остается кассета вчерашняя.
>

Ну и что мешает иметь два диска горячей замены , что IDE что SCSI ?

> А что восстановление занимает полчаса, а не секунды - так пока юзер
> файла хватится, пока придет с запросом на восстановление - не критично.
>

А если ты загружен работой то тебе и полминуты будет трудно урвать

> >
> > > А чем - по вкусу, можно tar, можно cpio, можно dump/restore
> > > Лично я предпочитаю последнее, из-за наличия у restore удобного
> > > интерактивного режима для восстановления отдельных файликов.
>
>
>

-- 
Michael Vlasov , MICHAEL-RIPN, MVY162-RIPE
http://www.matrix.ru/michael, ICQ#12612617

Re: gnome-apt

[Victor B. Wagner]

On Wed, 30 Jan 2002, Viktor Vislobokov wrote:

>   Практически во всех руководствах по
> безопастности, первое что рекомендуют
> сделать - это таковые программы в системе
> найти и: или удалить их нафиг или снять с
> них suid'ный бит.

Увидев такую фразу, я оное руководство выкидываю сразу.
Потому что все виды предоставления привелегий имеют свои
достоинства и недостатки. И если автор панически боится
какого-то одного из них он категорически не прав.

> > Чего тут интуитивно-непонятного?
>
>
>   Ладно, прикинусь полным чайником - а зачем

А ты не прикидывася полным чайником. Полным чайникам не надо
ничего давать выполнять с правами рута.

> мне вбивать какие-то команды (а их еще и искать надо), если мне с
> модулем PAM ничего вбивать не надо, более того,

Модуль PAM надо поставить.

>   Ты утверждаешь, что этот механизм не
> секурный. Я повторюсь - реальные примеры мне

Я утверждаю что этот механизм менее понятный квалифицированному админу.
Ибо про xauth он и так все знает, а аудит кода данного PAM-модуля
ему проводить некогда. То что непонятно, по определению не секьюрно.

> > И этот механизм ничего лишнего не требует не только от пользователя,
> > но и от администратора. В частности, установки непроверенного кода,
> > который в debian stable еще не попал.
>
>
>   А кто говорит про Debian? Я же сказал - в нем

А на адрес посмотри. Мы в списке рассылки debian-russian.

> такого механизма нет. Ни в stable ни где бы то
> еще. В других дистрибутивах он уже
> используется не один год и значит вполне

Ничего не значит. Я пользуюсь этим дистрибутивом и все попытки
за последние три года поиграться с другими ничего кроме рвотого
рефлекса не вызывают. Даже ALT Linux Castle. Потому что там
инсталлятор под чайников заточенный. А это значит что в нештатной
ситуации (ну вот у меня на той же машине Solaris стоял) он не может
сделать ничего, кроме того как испортить мои данные. Потому что
нет в нем ручки.

Re: Server backup

[Victor B. Wagner]

On 30 Jan 2002, Konstantin Matyukhin wrote:

> > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> 10Гб винты, по-моему еще дешевле.

Чем кассета?

Re: Server backup

[Victor B. Wagner]

On Wed, 30 Jan 2002, Michael Vlasov wrote:

> > И сама схема отец-дед-сын хороша тем, что в случае если сервер накрывается
> > в момент выполнения бэкапа и губит при этом и диск и текущую кассету,
> > у тебя остается кассета вчерашняя.
> >
>
> Ну и что мешает иметь два диска горячей замены , что IDE что SCSI ?

Поставь туда число не 2 а  20 (это вполне нормальное число кассет в
приличной схеме бэкапа).
Еще более нормальным способом являетс каждый месяц покупать новую
кассету, а одну из старых выводить из оборота и класть в сейф.

> А если ты загружен работой то тебе и полминуты будет трудно урвать

А если админ загружен работой, что-то в организации работы не так.
Админ должен сидеть и читать bugtraq.

Но вообще от тебя действительно понадобится полминуты. Дальше оно само
будет делать.

Re: gnome-apt

[Viktor Vislobokov]

Увидев такую фразу, я оное руководство выкидываю сразу.
Потому что все виды предоставления привелегий имеют свои
достоинства и недостатки. И если автор панически боится
какого-то одного из них он категорически не прав.



   Он категорически прав!
   А ты проводил аудит кода тех программ,
которые имеют suid'ный бит? Я думаю нет.
И тут уже не знаешь где тебя поджидает
огромная дыра в безопастности и пыльным
мешком по голове!
   Тот же sudo - очень показательный пример!



 Ладно, прикинусь полным чайником - а зачем



А ты не прикидывася полным чайником. Полным чайникам не надо
ничего давать выполнять с правами рута.



   Расскажи это всем тем людям которые
ставят Linux впервые или на нем недавно.
И администрять нужно или хотя бы
учится это делать.
Но тут Витус говорит - фиг вам, раз вы
чайники, то сидите без root'овых прав и
тупо уставившись в экран думайте нафига
вы себе Linux вообще поставили?



Модуль PAM надо поставить.



Не надо! Ставится вместе с PAM, а PAM
ставится по умолчанию ибо это такой же
необходимый системе пакет как passwd.





И этот механизм ничего лишнего не требует не только от пользователя,
но и от администратора. В частности, установки непроверенного кода,
который в debian stable еще не попал.



 А кто говорит про Debian? Я же сказал - в нем



А на адрес посмотри. Мы в списке рассылки debian-russian.



   А ты посмотри на начало треда. И что я там
писал.


такого механизма нет. Ни в stable ни где бы то
еще. В других дистрибутивах он уже
используется не один год и значит вполне



Ничего не значит. Я пользуюсь этим дистрибутивом и все попытки
за последние три года поиграться с другими ничего кроме рвотого
рефлекса не вызывают. Даже ALT Linux Castle. Потому что там



   Я не ставил Alt Linux Castle.
   Mandrake пробовал 8.1 - не понравилось - звезд
много и сыро ;)
   А вот RH 7.2 меня вполне удовлетворил.



инсталлятор под чайников заточенный. А это значит что в нештатной
ситуации (ну вот у меня на той же машине Solaris стоял) он не может
сделать ничего, кроме того как испортить мои данные. Потому что
нет в нем ручки.



   Угу. А вот объясни мне пожалуйста как МНЕ удалось поставить и 
Mandrake и RH 7.2 на один винт

с Solaris причем ПОСЛЕ установки Solaris'а?
   И ничего до сих пор живут. Solaris грузится
как и RH 7.2 GRUB'ом.
   И при установке я никаким извращением не
занимался - все встало со штатным
инсталятором.
   Так что "ручки" это точно, вопрос чьи и какие!

Виктор

Re: gnome-apt

[Victor Wagner]

On Wed, 30 Jan 2002, Viktor Vislobokov wrote:

>
> Он категорически прав!
> А ты проводил аудит кода тех программ,
> которые имеют suid'ный бит? Я думаю нет.

Примерно половины из тех, которые у меня в системе - проводил.
Тем более что они на perl написаны. В соответствующее место
исходников перла я тоже лазил.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: gnome-apt

[Victor Wagner]

On Wed, 30 Jan 2002, Viktor Vislobokov wrote:
> Расскажи это всем тем людям которые
> ставят Linux впервые или на нем недавно.

Людям, которые хотят воспользоваться моим софтом, работающим
на Linux  и которым от этого становится нужным его администрить,
я рассказываю. Они мне за это деньги платят. И получают от
меня готовую настроеную железку плюс книжку на пять страниц,
где написано откуда брать security updates и все такое.

Все остальные, которые впервые ставить Linux, меня мало интересуют.
Т.е. все пользователи Linux-а, которые не платят мне денег,
интересуют меня постольку поскольку от них можно узнать что-либо
интересное или получить какой-то полезный код.

При этом очевидно, что код рассчитаный на ту же модель security
что использую я (а она достаточно разная в зависимости обстоятельств) -
более полезен.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ssh

[Alexei Khlebnikov]

On Wed, 30 Jan 2002 00:46:10 +0300
Alexander Kotelnikov <[EMAIL PROTECTED]> wrote:

>> On Tue, 29 Jan 2002 20:02:23 +0200
>> "Alexei" == Alexei Khlebnikov <[EMAIL PROTECTED]> wrote:
Alexei>> 
Alexei>> Защититься можно, если заранее сгенерить ключи для шифрования
Alexei>> и пользоваться ими для идентефикации друг друга.

AK> Мне плохо... что есть еще люди самозобвенно печатающие "yes" не глядя
AK> на бумажку с fingerprint'ом host'а?

Люди разные бывают. :) И что-то мне подсказывает, что такие тоже еще есть.

Re: ssh

[Alexei Khlebnikov]

On Tue, 29 Jan 2002 23:37:30 +0300
Wartan Hachaturow <[EMAIL PROTECTED]> wrote:

WH> P.S. man-in-the-middle -- это не взлом в общепринятом смысле. Это design
WH> flaw в коцепции, появившийся вследствии удовлетворения лени
WH> пользователей. Если бы все люди (как и следует делать) обменивались
WH> ключами не по сети, а на дискетках, подобная атака была бы невозможна.

"Если есть безопасный способ передавать ключи, почему тогда этим способом не
передавать сами данные?" (с) Фил Зиммерман, readme к pgp.

Re: ssh

[Alexander Kotelnikov]

> On Wed, 30 Jan 2002 10:46:39 +0200
> "Alexei" == Alexei Khlebnikov <[EMAIL PROTECTED]> wrote:
Alexei> 
Alexei> On Tue, 29 Jan 2002 23:37:30 +0300
Alexei> Wartan Hachaturow <[EMAIL PROTECTED]> wrote:
Alexei> 
WH> P.S. man-in-the-middle -- это не взлом в общепринятом смысле. Это design
WH> flaw в коцепции, появившийся вследствии удовлетворения лени
WH> пользователей. Если бы все люди (как и следует делать) обменивались
WH> ключами не по сети, а на дискетках, подобная атака была бы невозможна.
Alexei> 
Alexei> "Если есть безопасный способ передавать ключи, почему тогда этим 
способом не
Alexei> передавать сами данные?" (с) Фил Зиммерман, readme к pgp.

Кончайте бардак.

Сухой остаток таков: ssh (v1) из potato надежна.
Пакеты с v2 (те что стоят на почти всех .debian.org) пожно взять по
deb http://pandora.debian.org/~jgg debian-admin/

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ssh

[Alexey Vyskubov]

> > Что-то тут Вы, Саша лопухнулись, не смотря на
> > весь Ваш опломб. ;=>
> 
> Заранее прошу прощения у всех, но я не смог сдержаться.
>   
>   "_a_пломб".

Вартан, тебе должно быть стыдно. В этом предложении до слова "апломб"
было еще две ошибки.

-- 
Alexey

"Python is executable pseudocode, Perl is executable line-noise."

Re: ssh

[Alexander Kotelnikov]

> On Wed, 30 Jan 2002 12:49:24 +0200
> "Alexey" == Alexey Vyskubov <[EMAIL PROTECTED]> wrote:
Alexey> 
>> > Что-то тут Вы, Саша лопухнулись, не смотря на
>> > весь Ваш опломб. ;=>
>> 
>> Заранее прошу прощения у всех, но я не смог сдержаться.
>> 
>> "_a_пломб".
Alexey> 
Alexey> Вартан, тебе должно быть стыдно. В этом предложении до слова "апломб"
Alexey> было еще две ошибки.

Разнос так разнос: одна пунктуационная, а вторая на слитное и
раздельное написание наречий.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

òÁÚÎÏÓ (was: Re: ssh)

[Vladimir N.Velychko]

On Wed, 30 Jan 2002, Alexander Kotelnikov wrote:

> > On Wed, 30 Jan 2002 12:49:24 +0200
> > "Alexey" == Alexey Vyskubov <[EMAIL PROTECTED]> wrote:
> Alexey> 
> >> > Что-то тут Вы, Саша лопухнулись, не смотря на
> >> > весь Ваш опломб. ;=>
> >> 
> >> Заранее прошу прощения у всех, но я не смог сдержаться.
> >> 
> >> "_a_пломб".
> Alexey> 
> Alexey> Вартан, тебе должно быть стыдно. В этом предложении до слова "апломб"
> Alexey> было еще две ошибки.
> 
> Разнос так разнос: одна пунктуационная, а вторая на слитное и
> раздельное написание наречий.
А кто-то в предыдущем письме командным голосом сказал "хватит
 заниматься ерундой!" ;=>
BTW выход вижу простой - буду писать без запятых волопюком. Так
будет "безопаснее". :
Согласен, что "не суди да несудим будеш". За что и получил.
Uhoghu uhoghu uhoghu (c) anekdot pro Vovochku.

-- 
ICQ UIN# 3159256
VEL-RIPE

Re: gnome-apt

[Ilya Anfimov]

On Wed, Jan 30, 2002 at 08:47:25AM +0500, Viktor Vislobokov wrote:
> > 

[skipped]

> 
>  Дело не в славе, а в том, что цели разные у
> PAM и Xauth.

 Так вот оригинальный вопрос был про то, как уговорить xauth (ну,
фактически). Куда ты (или не ты?) здесь приплел PAM, и как он мог
бы помочь я в общем плохо понимаю.
 Но  еще  хуже  я  понимаю  --  о чем вы здесь 2 дня спорите.  Не
врубаюсь. Слова вроде все понятны, а в чем смысл -- нет.

 Топик -- что лучше, PAM или xauth выглядит как-то совсем  глупо.
Тогда о чем же?

Re: gnome-apt

[Victor Wagner]

On Wed, 30 Jan 2002, Ilya Anfimov wrote:

> врубаюсь. Слова вроде все понятны, а в чем смысл -- нет.
>
>  Топик -- что лучше, PAM или xauth выглядит как-то совсем  глупо.
> Тогда о чем же?

По-моему, о двух подходах к использованию компьютера вообще.

Мой подход - знать несколько основополагающих принципов,
и по возможности лучше знать то что у тебя есть в системе.
Если возникает проблема - сначала пытаться решить ее имеющимися
в системе средствами исходя из этих принципов.

Т.е. правильнее написать 20 строчек на sh, чем полчаса читать то,
что рассказал apt-cache search, и выбирать из этого подходящую программу
для решения твоей задачи.

Всю литературу, которая попадается, критически оценивать с точки зрения
своего опыта.

Подход Виктора - не знать ничего, и безоглядно доверять авторам софта
включенного в дистрибутив и авторам руководств по безопасности.
Проще потратить два часа на поиск программы у которой в description:
написано что она решает твою задачу, чем решить задачу за пять минут
самому (и точно знать как она решается).

Если Виктор изложит эти два подхода со своей точки зрения, то
будет наоборот - изложение его подхода займет экран и будет убедительным.
Изложение моего займет пять строчек и у тех, кто не читал моего письма,
вызовет инстинктивное отвращение к этому подходу.
-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

sendmail 8.9.3

[Roman Kovalenko]

Всем спасибо за ответы на вопросы по SSH!

Ну а теперь по существу:
можно ли к sendmail 8.9.3 прикрутить аутентификацию (или авторизацию?)? нужно 
дать возможность юзерам писать письма с любых, а не только с жестко заданных 
ip, и при этом не превратить сервер в spam-relay. MTA менять на другой очень не 
желательно...

Re: gnome-apt

[Viktor Vislobokov]

По-моему, о двух подходах к использованию компьютера вообще.

Мой подход - знать несколько основополагающих принципов,
и по возможности лучше знать то что у тебя есть в системе.
Если возникает проблема - сначала пытаться решить ее имеющимися
в системе средствами исходя из этих принципов.



   Мой подход - не усложнять себе жизнь, если в системе уже
есть готовые механизмы решения проблемы. Да я им доверяю,
потому что если я не буду доверять дистрибутиву и Linux'у, то
зачем мне на них работать?



Т.е. правильнее написать 20 строчек на sh, чем полчаса читать то,
что рассказал apt-cache search, и выбирать из этого подходящую программу
для решения твоей задачи.



   А может лучше задать apt-cache такую опцию после указания
которой ты получишь такой же результат, как и написав скрипт
на шеле? Только при этом ты экономишь время, и пользуешься
штатными средствами?



Всю литературу, которая попадается, критически оценивать с точки зрения
своего опыта.



   Угу. Только вот тогда получается, что ты захватив какой-то
объем знаний некоторое время назад больше не хочешь учиться!
Там кто-то статью написал? Во фигню какую - ведь Я ЗНАЮ что
действительно лучше! Причем для всех!



Подход Виктора - не знать ничего, и безоглядно доверять авторам софта
включенного в дистрибутив и авторам руководств по безопасности.



   Свой подход я уже описал - не усложнять себе жизнь там где
это возможно. А авторы руководств по безопастности как правило
весьма неглупые люди со своим ОПЫТОМ работы.



Если Виктор изложит эти два подхода со своей точки зрения, то
будет наоборот - изложение его подхода займет экран и будет убедительным.



   Как видишь оно заняло не больше твоего.



Изложение моего займет пять строчек и у тех, кто не читал моего письма,
вызовет инстинктивное отвращение к этому подходу.



   На вкус и цвет...

Виктор

Re: sendmail 8.9.3

[Viktor Vislobokov]

Ну а теперь по существу:
можно ли к sendmail 8.9.3 прикрутить аутентификацию (или авторизацию?)? нужно 
дать возможность юзерам писать письма с любых, а не только с жестко заданных 
ip, и при этом не превратить сервер в spam-relay. MTA менять на другой очень не 
желательно...



  Пытаюсь решить подобную задачу на Exim.
  Похоже, что разные почтовые клиенты имеют
разные механизмы авторизации через SMTP.
   Мне удалось замучать Netscape, Mozilla и BAT,
а вот ни один из продуктов M$ не хочет работать!

Виктор

Re: gnome-apt

[Dmitry Borodaenko]

On Wed, Jan 30, 2002 at 03:02:25PM +0300, Ilya Anfimov wrote:
>  Топик -- что лучше, PAM или xauth выглядит как-то совсем  глупо.

Голос разума прозвучал...

> Тогда о чем же?

Шворцами меряются ;o)

-- 
Дмитрий Бородаенко

Re: ssh

[Pavel Orehov]

On Tue, 29 Jan 2002, Victor Wagner wrote:

> On Tue, 29 Jan 2002, Roman Kovalenko wrote:
> 
> > > Roman>  какое ПО на данный момент
> > > Roman> наименее дырявое, и если ставить ssh/ssh2, то какую именно
> > > Roman> реализацию этого протокола?
> > > OpenSSH v2, вероятно.
> >
> > а для potato бинарник в deb'е есть или только из исходников собирать?
> 
> У меня на ftp.ice.ru посмотри.
Только, Виктор, добавь, чтобы сказали PasswordAuthentication yes, а то
sshd с клавы не примет пароль :)

Re: gnome-apt

[Victor Wagner]

On Wed, 30 Jan 2002, Viktor Vislobokov wrote:

> Угу. Только вот тогда получается, что ты захватив какой-то
> объем знаний некоторое время назад больше не хочешь учиться!
> Там кто-то статью написал? Во фигню какую - ведь Я ЗНАЮ что
> действительно лучше! Причем для всех!

Ну насчет "для всех" это ты за меня домыслил.

> Свой подход я уже описал - не усложнять себе жизнь там где
> это возможно. А авторы руководств по безопастности как правило
> весьма неглупые люди со своим ОПЫТОМ работы.

Мир бывает настолько разный, и не факт что их ОПЫТ приложим к твоей
ситуации. Поэтому их ОПЫТ следует оценивать критически на основании


>
> > Если Виктор изложит эти два подхода со своей точки зрения, то
> > будет наоборот - изложение его подхода займет экран и будет убедительным.
>
>
> Как видишь оно заняло не больше твоего.

Совершенно верно. Ровно это я имел в виду.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ssh

[Victor Wagner]

On Wed, 30 Jan 2002, Pavel Orehov wrote:

> > >
> > > а для potato бинарник в deb'е есть или только из исходников собирать?
> >
> > У меня на ftp.ice.ru посмотри.
> Только, Виктор, добавь, чтобы сказали PasswordAuthentication yes, а то
> sshd с клавы не примет пароль :)

А зачем? Кому надо - сам добавит. У меня, например, PasswordAuthentication
разрешена далеко не на всех машинах. И вообще я в кармане все время
дискетку с identity таскаю.

Кстати, запрет PasswordAuthentication плюс-минус спасает от man in the
middle - юзер не проверит fingerprint от сервера, так сервер не пустит
юзера с неизвестным ему ключом.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: Server backup

[Mikhail Sobolev]

On Wed, Jan 30, 2002 at 09:07:44AM +0300, Michael Vlasov wrote:
> > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> 
> Толку от этит стримеров - нема. Ценность backup-a в его быстром
> восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.
Хе.  Ценность бэкапа не в быстром восстановлении, но надежном создании копии и
возможности ее хранить там, где компутерами даже и не пахнет. :) Например в
несгораемом сейфе.

--
Миша

Re: squid + sarg

[Oles Stovbenko]

Greetings...

Monday, January 28, 2002, 5:41:19, Evgenii Yurkin <[EMAIL PROTECTED]> wrote:

EY> никто не подскажет случаем что можно поставить на squid для получение
EY> статистики..
EY> sarg конечно хорошо но в нем нет резултирования данных за период времени
EY> нужно смотреть отчеты по дням по машинам (это sarg умеет)
EY> и за месяц в такой же форме
EY> может кто сталкивался с таким?

Вот тут надыбал страничку нечаянно...
http://www.granch.ru/~shelton/

А там текст вот такой:
SquidCount - Squid proxy logs reports viewer and generation wrapper.
SquidCount is a set of scripts, which can automatically generate reports
by squid logs (use Calamaris) and backup it to easily further processing,
generate/renew HTML indexes to view statistic by ordinary HTML browser
and generate (by Calamaris) detail statistic about some or all hosts.

Вспомнил что кто-то о таком вопрошал...
Покопался в мусорке вытянул Ваше письмо...
Решил ответить...





-- 
Regards...

 +--
 | Oles Stovbenko aka $LY Lord of GloomDaemons
 +--
 | Registered Linux User # : 232886
 | ICQ UIN : 27308195
 | NIC-Handle  : OS11-UANIC

Re: Server backup

[Michael Vlasov]

On Wed, 30 Jan 2002, Mikhail Sobolev wrote:

> Date: Wed, 30 Jan 2002 16:47:11 +0300
> From: Mikhail Sobolev <[EMAIL PROTECTED]>
> To: debian-russian@lists.debian.org
> Subject: Re: Server backup
> Resent-Date: Wed, 30 Jan 2002 17:09:02 +0300 (MSK)
> Resent-From: debian-russian@lists.debian.org
>
> On Wed, Jan 30, 2002 at 09:07:44AM +0300, Michael Vlasov wrote:
> > > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> >
> > Толку от этит стримеров - нема. Ценность backup-a в его быстром
> > восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.
> Хе.  Ценность бэкапа не в быстром восстановлении, но надежном создании копии и
> возможности ее хранить там, где компутерами даже и не пахнет. :) Например в
> несгораемом сейфе.
>

Кому нужна копия ОС полугодичной давности ?

> --
> Миша
>
>
>

-- 
Michael Vlasov , MICHAEL-RIPN, MVY162-RIPE
http://www.matrix.ru/michael, ICQ#12612617

xfsdump

[Maxim Kalinkevich]

Раз уж зашел разговор о бэкапах спрошу следующее ...
Вот есть машина -- стоит на xfs -- 2  IDE винта.
На одном система -- на другом пусто.
решил посмотреть как xfsdump работает (хотя тут уже нет разницы какой dump)
Куда дампить ?? -- на второй винт.
А как лучше ??
Так ?
xfsdump -f /dev/hdc1 / (в простейшем варианте)
или так??
mkfs.xfs /dev/hdc1
mount /dev/hdc1 /mnt/back
xfsdump -f /mnt/back/dump1 /
ls -la /mnt/back
total 611516
drwxr-xr-x2 root root 18 Jan 30 15:47 .
drwxr-xr-x   17 root root   4096 Jan 28 15:04 ..
-rw-r--r--1 root root  626186400 Jan 30 15:45 dump1
Какие есть мнения ??

Re: ssh

[Vladimir N.Velychko]

On Wed, 30 Jan 2002, Victor Wagner wrote:

> On Wed, 30 Jan 2002, Pavel Orehov wrote:
> 
> > Только, Виктор, добавь, чтобы сказали PasswordAuthentication yes, а то
> > sshd с клавы не примет пароль :)
> 
> А зачем? Кому надо - сам добавит. У меня, например, PasswordAuthentication
> разрешена далеко не на всех машинах. И вообще я в кармане все время
> дискетку с identity таскаю.
> 
> Кстати, запрет PasswordAuthentication плюс-минус спасает от man in the
> middle - юзер не проверит fingerprint от сервера, так сервер не пустит
> юзера с неизвестным ему ключом.
Ugu. Moghno esche propisat' host'i, s kotorih imenno mogno puskat'
via ssh.
A identity taki da, udobnaja shtuka. :)
-- 
ICQ UIN# 3159256
VEL-RIPE

Re: xfsdump

[Pavel V. Ammosov]

On Wed, Jan 30, 2002 at 03:59:19PM +0200, Maxim Kalinkevich wrote:
> решил посмотреть как xfsdump работает (хотя тут уже нет разницы какой dump)

dump больше не работает.

http://lwn.net/2001/0503/a/lt-dump.php3 :

Note that dump simply won't work reliably at all even in 2.4.x: the
buffer cache and the page cache (where all the actual data is) are
not coherent.

[..]

...anybody who depends on "dump" getting backups right is already playing
russian rulette with their backups.

[..]

Dump was a stupid program in the first place. Leave it behind.


> Куда дампить ?? -- на второй винт.
> А как лучше ??
> Так ?
> xfsdump -f /dev/hdc1 / (в простейшем варианте)
> или так??
> mkfs.xfs /dev/hdc1

На файловую систему.  Меньше вероятности чего-нибудь угробить, ошибившись
с именами устройств в /dev.

-- 
Павел Аммосов, email: [EMAIL PROTECTED], icq uin: 19210183
www: http://isabase.philol.msu.ru/~apavel/

Re: Server backup

[Mikhail Sobolev]

On Wed, Jan 30, 2002 at 04:51:14PM +0300, Michael Vlasov wrote:
> > Date: Wed, 30 Jan 2002 16:47:11 +0300
> > From: Mikhail Sobolev <[EMAIL PROTECTED]>
> > To: debian-russian@lists.debian.org
> > Subject: Re: Server backup
> > Resent-Date: Wed, 30 Jan 2002 17:09:02 +0300 (MSK)
> > Resent-From: debian-russian@lists.debian.org
> >
> > On Wed, Jan 30, 2002 at 09:07:44AM +0300, Michael Vlasov wrote:
> > > > DDS-2 стримера нынче не так уж дороги. А с компрессией - гига 4 влезет.
> > >
> > > Толку от этит стримеров - нема. Ценность backup-a в его быстром
> > > восстановлении. Тут уж лучше второй зеркальный диск и dd + gtar.
> > Хе.  Ценность бэкапа не в быстром восстановлении, но надежном создании 
> > копии и
> > возможности ее хранить там, где компутерами даже и не пахнет. :) Например в
> > несгораемом сейфе.
> >
> 
> Кому нужна копия ОС полугодичной давности ?
Мммм..  Я, наверное, не очень хорошо понял вопрос. :(

Что именно хранится полгода -- это вопрос политики.  Например, в Англии есть
требование по хранению всей документации связанной с бизнес процессом в течении
7 лет.

--
Миша

Re: sendmail 8.9.3

[Dmitry Rojkov]

   On Wed, Jan 30, 2002 you wrote:

> > Ну а теперь по существу:
> > можно ли к sendmail 8.9.3 прикрутить аутентификацию (или авторизацию?)? 
> > нужно дать возможность юзерам писать письма с любых, а не только с жестко 
> > заданных ip, и при этом не превратить сервер в spam-relay. MTA менять на 
> > другой очень не желательно...
> > 
> 
>Пытаюсь решить подобную задачу на Exim.
>Похоже, что разные почтовые клиенты имеют
> разные механизмы авторизации через SMTP.
> Мне удалось замучать Netscape, Mozilla и BAT,
> а вот ни один из продуктов M$ не хочет работать!

Outlook Express использует так называемую AUTH LOGIN аутентификацию, которая
не описывается ни одним RFC.
В мануале на Exim сказано как из plaintext-аутентификатора сделать LOGIN.
Однако plaintext ожидает от клиента строчку с именем пользователя и паролем,
закодированную в base64, а Outlook, как я подозреваю, такого преобразования
не делает. Или использует вместо base64 что-то другое.

Никаких упоминаний о smtp-аутентификации в мануале на потатовский sendmail 
мне найти не удалось. Но начать читать можно, наверное, здесь
http://www.sendmail.org/~ca/email/auth.html

RE: sendmail 8.9.3 and etc

[Valentin S. Ryabinin]

Dmitry Rojkov wrote:

<которая не описывается ни одним RFC.

<<В мануале на Exim сказано как из plaintext-аутентификатора сделать LOGIN.
<<Однако plaintext ожидает от клиента строчку с именем пользователя и 
паролем, закодированную в base64, а Outlook, как я подозреваю, такого 
преобразования не делает. Или использует вместо base64 что-то другое.

##
Совсем недавно прикрутил smtp auth к Exim через PAM (Спасибо ребятам с 
#debian-russian). Все достаточно чётко работает c MUA : MS Outlook 
Express, The Bat!, Mozilla_Mailnews, Evolution.

вот кусок с exim.conf:
host_auth_accept_relay = *
#AUTHENTICATION CONFIGURATION#
plain:
  driver = plaintext
  public_name = PLAIN
  server_prompts = "Username:: : Password::"
  server_condition = "${if pam{$2:$3}{1}{0}}"
  server_set_id = $1
login:
  driver = plaintext
  public_name = LOGIN
  server_prompts = "Username:: : Password::"
  server_condition = "${if pam{$1:$2}{1}{0}}"
  server_set_id = $1
###
Единственная проблема, о которой я спрашивал недавно, но получил 
совершенно другой ответ из другой области. Наверно я плохо её 
формулирую, но вот суть её возникновения:
Попробуйте при включенном smtp auth зайти телнетом на 25 порт и послать 
письмо на локальный адресат, а в качестве сендера указать любой из 
локальных адресатов без всякой авторизации и совершенно свободно 
письмо уйдет.
Таким образом или способом спамеры достают локальных адресатов 
реджект их айпи ни к чему не приводит, поскольку они в большинстве 
случаев фейковые.


С уважением, Валентин Рябинин

Re: sendmail 8.9.3 and etc

[Anton Petrusevich]

On Thu, Jan 31, 2002 at 09:42:13AM +0800, Valentin S. Ryabinin wrote:
> реджект их айпи ни к чему не приводит, поскольку они в большинстве 
> случаев фейковые.

Давно хочу спросить, что такое "фейковый айпи"? Как может происходить
tcp сессия с таким айпи? Мне казалось, что такие адреса можно
подставлять только тогда, когда тебя не интересует ответ, т.е. всяческие
атаки типа syn-flood, во всех остальных случаях ответные пакеты
протокола tcp должны дойти обратно. Другое дело, когда спам
идет через сокс5-прокси, таких открытых прокси в интернете есть, их
списки пытаются вести различные сайты, например:
inputs.orbz.org, spamcop.net, relays.ordb.org, relays.osirusoft.com. 
-- 
Anton Petrusevich

Re:Re: sendmail 8.9.3 and etc

[Valentin S. Ryabinin]

Anton Petrusevich wrote:


On Thu, Jan 31, 2002 at 09:42:13AM +0800, Valentin S. Ryabinin wrote:

реджект их айпи ни к чему не приводит, поскольку они в большинстве 
случаев фейковые.




Давно хочу спросить, что такое "фейковый айпи"? Как может происходить
tcp сессия с таким айпи? Мне казалось, что такие адреса можно
подставлять только тогда, когда тебя не интересует ответ, т.е. всяческие
атаки типа syn-flood, во всех остальных случаях ответные пакеты
протокола tcp должны дойти обратно. Другое дело, когда спам
идет через сокс5-прокси, таких открытых прокси в интернете есть, их
списки пытаются вести различные сайты, например:
inputs.orbz.org, spamcop.net, relays.ordb.org, relays.osirusoft.com. 

я неправильно выразился насчёт 'фейковые айпи'. тут я имел ввиду, что 
эти айпи, c которых спаммеры достают, бесполезно реджектить, ибо это 
могут быть айпишники нормальных во всех отношениях доменов, просто с них 
выходят спаммеры.
(против натуральных спаммерных хостов у меня и подключена база 
blackholes.mail-abuse.org). Сорри.


p.s. всех писем всем администраторам этих доменов не напишешь :(

С уважением, Валентин Рябинин

Re: Re: sendmail 8.9.3 and etc

[Anton Petrusevich]

On Thu, Jan 31, 2002 at 12:02:25PM +0800, Valentin S. Ryabinin wrote:
> я неправильно выразился насчёт 'фейковые айпи'. тут я имел ввиду, что 
> эти айпи, c которых спаммеры достают, бесполезно реджектить, ибо это 
> могут быть айпишники нормальных во всех отношениях доменов, просто с них 
> выходят спаммеры.

dialup? Для спама? Эти спамеры не опасны, они физически не могут много
наворотить :)

> p.s. всех писем всем администраторам этих доменов не напишешь :(

Хех. Earthlink просто запретил со своих диалапов идти на любой 25-й
порт. А толку? Просто у меня перестал нормально работать exim.
-- 
Anton Petrusevich

Re: sendmail 8.9.3 and etc

[Viktor Vislobokov]

Совсем недавно прикрутил smtp auth к Exim через PAM (Спасибо ребятам с 
#debian-russian). Все достаточно чётко работает c MUA : MS Outlook 
Express, The Bat!, Mozilla_Mailnews, Evolution.



   Я вчера тоже домучал M$ Outlook Express.
   Спасибо докам на www.exim.org



вот кусок с exim.conf:




  server_prompts = "Username:: : Password::"



   У меня грабли были здесь.
   Согласно доке по RFC здесь должно быть "User name" и "Password",
но у M$ все через жо...
   В samples'ах про это написано и как только я сделал все
как там - заработало.

   У меня еще сложность в том, что exim стоит старый без поддержки
pam и я для авторизации использую макрос crypteq и линейный поиск
в passwd файле.

   Что касается твоего вопроса - это нормальное поведение.
   У моего провайдера все точно также.
   Это в общем-то логично! Твой сервер ведь принимает с других
почтовых серверов почту для твоих пользователей? А почему он
здесь не должен этого делать?
Если ты хочешь, чтобы почта к тебе приходила только с
определенного mail сервера (скажем с сервера провайдера, а
остальным ты не доверяешь) дык так в конфиге и скажи. А провайдер
тогда должен поправить MX запись в своем DNS (если конечно
ваш домен поддерживается их DNSом), чтобы приоритет
в доставке шел через них.

Виктор

Re: sendmail 8.9.3 and etc

[Anton Petrusevich]

On Thu, Jan 31, 2002 at 09:55:59AM +0500, Viktor Vislobokov wrote:
> Если ты хочешь, чтобы почта к тебе приходила только с
> определенного mail сервера (скажем с сервера провайдера, а
> остальным ты не доверяешь) дык так в конфиге и скажи. А провайдер
> тогда должен поправить MX запись в своем DNS (если конечно
> ваш домен поддерживается их DNSом), чтобы приоритет
> в доставке шел через них.

Логичнее было бы разрешить брать почту без авторизации от любого MX.
-- 
Anton Petrusevich

inn2 & unstable

[Anton Petrusevich]

Hi народы,

Кто-нибудь пользует inn2(2.3.2) на unstable? У меня чудеса какие-то, в
тине смотрю список тредов -- одно написано (автор/тема), захожу в 
тред -- другое (автор/тема). Раньше такое было при неправильном
overview, но в inn2 я привычного overview не вижу, и вообще содержимое
каталога /var/spool/news/overview убиваю -- эффекта ноль. Щас попробую
inn 1.7.2 поставить, но все равно бардак.

-- 
Anton Petrusevich

where-are-for-debian-FAQ updated

[Pavel Orehov]

http://oniltz.da.ru/~opa/debian/whereare-FAQ.txt