Re: wi-fi грамотно
В Пнд, 08/10/2007 в 10:58 +0400, Dmitry E. Oboukhov пишет: > > Если вы все же решите остановиться на > > решении с роутером - советую купить > > совместимый с OpenWRT: > > имхо > всякие решения требующие дополнительного вложения денег к уже вложенным > являются неправильными Ага, просто голову надо было применять до первичных вложений, а не после того как купили а теперь вопросы из разряда расскажите мне как это использовать и что с ним делать. -- With best regards Tochenyk Oleg E-mail: [EMAIL PROTECTED] PS: Жизнь как у желудя - висишь, качаешься, не знаешь когда упадешь, не знаешь какая тебя свинья съест, а кругом дубы, дубы... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
wi-fi грамотно
>> не работает >> >> а вышеописанный подход с pre-up работает и со статической и с >> динамической раздачей IP > у меня это работает и с dhcp. и всем, кому я настраивал в своей жизни > wlan карточку под линуксом, у них тоже работало. > почему это работает? > а потому что в /etc/network/pre-up.d/ лежат скрипты (для wep и wpa), > которые дёргают из /etc/network/interfaces эти самые директивы типа > wireless-essid и запускают iwconfig или wpa_supplicant с нужными опциями > скрипты туда клал не я, а туда их положили сопровождающие пакетов > wireless-tools и wpasupplicant > почему это не работает у вас - для меня просто загадка я полагаю потому что он эти скрипты вызывает не в той последовательности которая требуется. то есть треба чтобы _сперва_ делалась конфигурация а _потом_ делался dhcp-запрос, а очень похоже что так происходит не всегда. в причины я не вникал (нашел всегда работоспособное решение и забил) возможно потому что это какие-то особенности собственно вайфай карточки, а возможно потому что дистрибутив - последовательно обновленная система от woody до текущего lenny, может там что и сломано на каком-то шаге было - хез мне относительно пофиг -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Lilo долго заг ружает ядро
> Сабж на ноуте с диском сата. Появляется надпись LILO(версия) и идут точки. > Точек набирается на три строчки :) > т.е. загрузчик около 30 секунд ищет ядро. Ну и потом нормально грузится. > Загрузочный раздел - 150гб. Файловая система - Рейзерфс. Система - amd64. опцию compact в lilo.conf добавить и игнорировать варнинг об этом compact -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
wi-fi грамотно
>>> Если вы все же решите остановиться на >>> решении с роутером - советую купить >>> совместимый с OpenWRT: >> >> имхо >> всякие решения требующие дополнительного вложения денег к уже вложенным >> являются неправильными > Ага, просто голову надо было применять до первичных вложений, а не после > того как купили а теперь вопросы из разряда расскажите мне как это > использовать и что с ним делать. если ты выше читал то я уже столкнулся с ситуацией когда уже просто надо решить проблему. в любом варианте цена на распространенные девайсы и те что вы выше рекомендуете отличается в два раза. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
На Mon, 8 Oct 2007 11:08:13 +0400 "Dmitry E. Oboukhov" <[EMAIL PROTECTED]> записано: > >> не работает > >> > >> а вышеописанный подход с pre-up работает и со статической и с > >> динамической раздачей IP > > > у меня это работает и с dhcp. и всем, кому я настраивал в своей > > жизни wlan карточку под линуксом, у них тоже работало. > > > почему это работает? > > > а потому что в /etc/network/pre-up.d/ лежат скрипты (для wep и wpa), > > которые дёргают из /etc/network/interfaces эти самые директивы типа > > wireless-essid и запускают iwconfig или wpa_supplicant с нужными > > опциями > > > скрипты туда клал не я, а туда их положили сопровождающие пакетов > > wireless-tools и wpasupplicant > > > почему это не работает у вас - для меня просто загадка > я полагаю потому что он эти скрипты вызывает не в той > последовательности которая требуется. то есть треба чтобы _сперва_ > делалась конфигурация а _потом_ делался dhcp-запрос, а очень похоже > что так происходит не всегда. > в причины я не вникал (нашел всегда работоспособное решение и забил) > возможно потому что это какие-то особенности собственно вайфай > карточки, а возможно потому что дистрибутив - последовательно > обновленная система от woody до текущего lenny, может там что и > сломано на каком-то шаге было - хез > мне относительно пофиг Дим, такая проблема действительно была посередине между саржем и етчем, после того, как впа-супликант перевели из демона в ifupdown скрипты. Сейчас ее действительно нет, если не хотеть странного. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [EMAIL PROTECTED] Homepage: http://gq.net.ru -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: kvm & Intel T5500
> Не заработал KVM. > Ядро 2.6.22, процессор Intel T5500 (Core2 Dio), в Википедии пишут, что > этот процессор поддерживает "Intel VT" который нужен для KVM: > http://en.wikipedia.org/wiki/Kernel-based_Virtual_Machine > Но комадна $ egrep '^flags.*(vmx|svm)' /proc/cpuinfo не находит ничего, > и модуль kvm-intel не подгружается - вылетает с ошибкой. > Вопрос: должен ли работать KVM с таким ядром? : > Файл: cpuinfo [skip] > model name : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz [skip] > flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge > mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx А на сайте Intel пишут, что не поддерживает это процессор технологию Intel VT. /proc/cpuinfo тоже об этом информирует. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: kvm & Intel T5500
На Sun, 07 Oct 2007 22:34:04 -0400 Nicholas <[EMAIL PROTECTED]> записано: > Не заработал KVM. > > Ядро 2.6.22, процессор Intel T5500 (Core2 Dio), в Википедии пишут, > что этот процессор поддерживает "Intel VT" который нужен для KVM: > http://en.wikipedia.org/wiki/Kernel-based_Virtual_Machine > > Но комадна $ egrep '^flags.*(vmx|svm)' /proc/cpuinfo не находит > ничего, и модуль kvm-intel не подгружается - вылетает с ошибкой. > > Вопрос: должен ли работать KVM с таким ядром? : С таким - нет. > > flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr > pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm > pbe nx Нету же vmx, сам видишь. the lowest end Intel Core CPUs themselves do not support VMX, such as the T5500 -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [EMAIL PROTECTED] Homepage: http://gq.net.ru -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: хочется странного. ..
On 2007.10.06 at 14:19:05 +0400, Stanislav Maslovski wrote: > Доброго времени суток! > > Хочется, чтобы эмулятор терминала автоматически выбирал тонкий шрифт для > темного символа на светлом фоне, и полужирный - для светлого на темном. И > чтобы шрифты, порог контраста и пр. вещи настраивались =) > > Понимаю, что сейчас в меня полетят помидоры, мол, пользуйся TrueType в > терминале. Нет, увольте. Привык к битмапам. > > То есть, конечно, из двух терминусов у меня собран свой собственный > терминальный шрифт (тонкая псевдографика, полужирные символы), > но иногда хочется большего... Хочется - напиши. Допинать на эту тему xterm с его развесистой системой конфигурирования через ресурсы, должно быть не очень сложно. Сложно будет разобраться в исходнике - в каком месте пинать. А может лучше браться за rxvt - он менее развесистый, но достаточно конфигурируемый. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
On 2007.10.07 at 23:24:46 +0200, Gossen Alexey wrote: > > > > iface eth1 inet dhcp > > wireless-mode addhoc > > wireless-essid Home > > wireless-key open s:bla > > > > не работает > > > > а вышеописанный подход с pre-up работает и со статической и с > > динамической раздачей IP > > у меня это работает и с dhcp. и всем, кому я настраивал в своей жизни > wlan карточку под линуксом, у них тоже работало. > > почему это работает? > > а потому что в /etc/network/pre-up.d/ лежат скрипты (для wep и wpa), > которые дёргают из /etc/network/interfaces эти самые директивы типа > wireless-essid и запускают iwconfig или wpa_supplicant с нужными опциями > > скрипты туда клал не я, а туда их положили сопровождающие пакетов > wireless-tools и wpasupplicant > > почему это не работает у вас - для меня просто загадка У меня, кстати, тоже не работает. Возможно (глубоко не копал) потому что моя карточка требует, чтобы ей сначала сделали ifconfig wlan0 up, и только потом делали iwconfig. При попытке делать iwconfig интерфейсу, который не up, оно ругается. А ещё некоторые точки доступа требуют чтобы сначала сделали iwlist wlan0 scan, и только потом пытались делать iwconfig wlan0 ap MAC. В man interfaces я не нашел способов организации такого поведения, и в результате написал туда pre-up собственный скрипт. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
wi-fi грамотно
>> в причины я не вникал (нашел всегда работоспособное решение и забил) >> возможно потому что это какие-то особенности собственно вайфай >> карточки, а возможно потому что дистрибутив - последовательно >> обновленная система от woody до текущего lenny, может там что и >> сломано на каком-то шаге было - хез >> мне относительно пофиг > Дим, такая проблема действительно была посередине между саржем и етчем, ага вот именно посреди между саржем и етчем я и нашел описанное мной выше решение. и потому рекомендовал человеку тот путь который точно знал что работает. собственно путь вполне себе тоже Debian-way не знаю что на меня за это предложение взъелись :) > после того, как впа-супликант перевели из демона в ifupdown скрипты. > Сейчас ее действительно нет, если не хотеть странного. Debian последнее время слишком часто стал релизиться я блин не успеваю отслеживать ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Postfix: проверка получателя
Подскажите пожалуйста как заставить postfix проверять существование локального ящика сразу после RCPT TO. reject_unverified_recipient не получается настроить. Пробовал так: mailbox_transport = cyrus smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient не помогает... В гугле толком ничего не нашёл. Если у кого настроено поделитесь соответствующими параметрами конфигурации. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
Покотиленко Костик -> debian-russian@lists.debian.org @ Mon, 08 Oct 2007 12:14:34 +0300: ПК> Подскажите пожалуйста как заставить postfix проверять существование ПК> локального ящика сразу после RCPT TO. ПК> reject_unverified_recipient не получается настроить. Пробовал так: ПК> mailbox_transport = cyrus ПК> smtpd_recipient_restrictions = permit_sasl_authenticated, ПК> reject_unauth_destination, reject_unverified_recipient ПК> не помогает... В гугле толком ничего не нашёл. Если у кого настроено ПК> поделитесь соответствующими параметрами конфигурации. Локальный - это reject_unlisted_recipient. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Нет применения человеческому разуму! (c)JB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамфильтрами?
Artem Chuprina writes: > Dmitry E. Oboukhov -> debian-russian@lists.debian.org @ Fri, 5 Oct 2007 > 12:59:20 +0400: > > DEO> я вот что заметил что последнюю неделю-две спама много пропускает > DEO> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы > DEO> обратная топиковой. > > Это результат откручивания обратно тех ручек, согласно которым > нормальные письма в рассылку не ходили в массовом порядке. Это результат идиотской политики когда в рассылку могут писать все, а не только подписчики. Пока такая политика будет существовать будет или куча спама, или куча отлупов нормальных писем. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Перемудрили со спамфильтрами?
>DEO>> я вот что заметил что последнюю неделю-две спама много пропускает >DEO>> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы >DEO>> обратная топиковой. >> >> Это результат откручивания обратно тех ручек, согласно которым >> нормальные письма в рассылку не ходили в массовом порядке. > Это результат идиотской политики когда в рассылку могут писать все, а > не только подписчики. Пока такая политика будет существовать будет или > куча спама, или куча отлупов нормальных писем. по моему эта политика очень правильная :) человеку чтобы задать вопрос не обязательно подписываться достаточно отправить мыло и смотреть результат в интернете а спамфильтры ну чтож покрутят ручки и докрутят до приемлемого уровня :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
Mikhail Gusarov пишет: Для роутера - малопригодно, при тех процессорах, что на них обычно стоят. 100 килобайт в секунду - это слишком мало, даже для wifi. Так что ppp лучше всё-таки на отдельной машинке. Я сам никогда не пользовался такой схемой (когда беспроводное соединение защищается через OpenVPN), но я делал несколько другую вещь: на роутер WRT54G v2.0 (и WRT54GS v1.1) ставил OpenVPN сервер, чтобы иметь возможность подключаться к нему извне (из Инета) и таким образом получать доступ в "подсеть за роутером". Реальная скорость передачи файла по scp между машиной "за роутером" и Инетом составляла около 300 (трёхсот) килобайт в секунду (при этом за роутером на той же машине бегал mldonkey-сервер, который занимался активной скачкой и раздачей в несколько сотен соединений), что приближалось к верхней границе полосы пропускания трафика, установленной моим провайдером (с учётом того, что часть полосы "съедал" ослопиринг). Если это вызывает интерес -- могу попробовать поставить эксперимент. В более "чистых" условиях. Треть мегабайта в секунду -- это конечно, немного, но уже повод взвесить все плюсы и минусы в каждой конкретной ситуации. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
Alexander Vlasov пишет: А в чем глубинный смысл FreeWRT? Target Systems List там курям на смех. основа -- тот же linux 2.4/mips, тот же ipkg package manager что и в OpenWRT. Раньше (на протяжении нескольких лет) использовал OpenWRT (ветку WhiteRussian, которая через nvram). Этой весной они сделали основной ветку Kamikaze (которая без nvram). Попробовал я этого Kamikaze и показался он мне неудобным и неочевидным в настройке. Тогда я решил обратиться к проекту FreeWRT (по слухам, в этот проект перешёл один из разработчиков OpenWRT). И проект FreeWRT показался мне более удобным и "правильным" в настройке и использовании. Удобные средства для сборки, удобные средства для настройки (fwcf) -- ничего этого в OpenWRT я не видел. Размеры репозитариев не сравнивал. То, что "Target System List" у FreeWRT мизерный -- скорее иллюзия. Если трезво посмотреть на большой список поддерживаемого железа, который есть у проекта OpenWRT -- то можно увидеть, что на половине железа OpenWRT либо не работает, либо не тестировалось, либо "work in progress". Там где работает -- зачастую требуются дополнительные шаманства (которые прямо там же и описаны). А если отбирать оборудование по вменяемым характеристикам железа (производители чипов, размер флеша и оперативной памяти) -- то останутся вообще лишь некоторые модели Linksys и Asus (остальное никуда не годится). Именно эти модели проектом FreeWRT и поддерживаются. И притом поддерживаются хорошо, без шаманств с бубнами. У меня самого роутеры Linksys WRT54G (2.0) и WRT54GS (1.1). С момента приобретения и там и сям стояла OpenWRT. С этой весны -- FreeWRT. О переходе не жалею, скорее наоборот -- доволен. В ближайшем будущем собираюсь поковырять Asus WL500g Premium. Насколько я понял, эта железка поддерживается FreeWRT лучше, чем OpenWRT. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамфильтрами?
Maxim Tyurin -> debian-russian@lists.debian.org @ Mon, 08 Oct 2007 12:56:56 +0300: >> DEO> я вот что заметил что последнюю неделю-две спама много пропускает >> DEO> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы >> DEO> обратная топиковой. >> >> Это результат откручивания обратно тех ручек, согласно которым >> нормальные письма в рассылку не ходили в массовом порядке. MT> Это результат идиотской политики когда в рассылку могут писать все, MT> а не только подписчики. Пока такая политика будет существовать MT> будет или куча спама, или куча отлупов нормальных писем. У каждой палки как минимум два конца. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Вам правду резать или кусочком? Кнышев -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамф ильтрами?
Dmitry E. Oboukhov пишет: DEO>> я вот что заметил что последнюю неделю-две спама много пропускает DEO>> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы DEO>> обратная топиковой. Это результат откручивания обратно тех ручек, согласно которым нормальные письма в рассылку не ходили в массовом порядке. Это результат идиотской политики когда в рассылку могут писать все, а не только подписчики. Пока такая политика будет существовать будет или куча спама, или куча отлупов нормальных писем. Сейчас имеем и кучу спама и кучу нормальных писем, не дошедших в лист. по моему эта политика очень правильная :) человеку чтобы задать вопрос не обязательно подписываться достаточно отправить мыло и смотреть результат в интернете а спамфильтры ну чтож покрутят ручки и докрутят до приемлемого уровня :) Что-то ИМХО все в более неправильном направлении их крутят -- -- С наилучшими пожеланиями, Олег Анисимов -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамф ильтрами?
Dmitry E. Oboukhov wrote: DEO>> я вот что заметил что последнюю неделю-две спама много пропускает DEO>> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы DEO>> обратная топиковой. Это результат откручивания обратно тех ручек, согласно которым нормальные письма в рассылку не ходили в массовом порядке. Это результат идиотской политики когда в рассылку могут писать все, а не только подписчики. Пока такая политика будет существовать будет или куча спама, или куча отлупов нормальных писем. по моему эта политика очень правильная :) человеку чтобы задать вопрос не обязательно подписываться достаточно отправить мыло и смотреть результат в интернете тогда надо либо веб-форму с CAPTCHA, либо систему подстверждения. кстати говоря, ничто не мешает сделать премодерацию. а спамфильтры ну чтож покрутят ручки и докрутят до приемлемого уровня :) "поиски святого грааля" -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамфильтрами?
alex kuklin -> Dmitry E. Oboukhov @ Mon, 08 Oct 2007 15:56:47 +0400: >> человеку чтобы задать вопрос не обязательно подписываться >> достаточно отправить мыло и смотреть результат в интернете >> ak> тогда надо либо веб-форму с CAPTCHA, либо систему подстверждения. ak> кстати говоря, ничто не мешает сделать премодерацию. Премодерацию мешает сделать отсутствие героического премодератора. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] НИИ требуются: 1. Кто бы мог подумать. Кнышев. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамф ильтрами?
Artem Chuprina wrote: alex kuklin -> Dmitry E. Oboukhov @ Mon, 08 Oct 2007 15:56:47 +0400: >> человеку чтобы задать вопрос не обязательно подписываться >> достаточно отправить мыло и смотреть результат в интернете >> ak> тогда надо либо веб-форму с CAPTCHA, либо систему подстверждения. ak> кстати говоря, ничто не мешает сделать премодерацию. Премодерацию мешает сделать отсутствие героического премодератора. Премодерацию на предмет спама сделать несложно - спам очень легко фильтруется глазами. После применения базовых black-листов его не так много остается. -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
В Пнд, 08/10/2007 в 13:42 +0400, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org @ Mon, 08 Oct 2007
> 12:14:34 +0300:
>
> ПК> Подскажите пожалуйста как заставить postfix проверять существование
> ПК> локального ящика сразу после RCPT TO.
>
> ПК> reject_unverified_recipient не получается настроить. Пробовал так:
>
> ПК> mailbox_transport = cyrus
> ПК> smtpd_recipient_restrictions = permit_sasl_authenticated,
> ПК> reject_unauth_destination, reject_unverified_recipient
>
> ПК> не помогает... В гугле толком ничего не нашёл. Если у кого настроено
> ПК> поделитесь соответствующими параметрами конфигурации.
>
> Локальный - это reject_unlisted_recipient.
Не работает. Есть подозрение, что это потому что настроены контент
фильтры spamassassin и clamsmtp. Они настроены как stmp relay'и. Читал,
что можно настроить их inline, без stmp relay'ев, но настроить не смог.
Если в этом дело, подскажите как правильно настроить. В идеале хотелось
бы и по результатам контент фильтрации отшибать до разрыва smtp конекта.
Часть конфига main.cf:
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
transport_maps = hash:/etc/postfix/transport
mynetworks = 127.0.0.0/8, 10.0.0.0/16, 192.168.1.0/24
mailbox_size_limit = 1
mailbox_transport = cyrus
recipient_delimiter = +
inet_interfaces = all
local_recipient_maps =
helpful_warnings = Yes
smtpd_client_restrictions = check_client_access
cidr:/etc/postfix/access, permit_sasl_authenticated
address_verify_negative_cache = yes
address_verify_negative_expire_time = 3d
address_verify_negative_refresh_time = 2h
address_verify_positive_cache = yes
address_verify_positive_expire_time = 3d
address_verify_positive_refresh_time = 2h
address_verify_default_transport = $default_transport
address_verify_local_transport = $local_transport
address_verify_relay_transport = $relay_transport
address_verify_relayhost = $relayhost
address_verify_transport_maps = $transport_maps
address_verify_virtual_transport = $virtual_transport
smtpd_recipient_restrictions = permit_sasl_authenticated,
reject_unauth_destination, reject_unverified_recipient,
reject_unlisted_recipient
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
smtpd_sasl_security_options = noanonymous
content_filter = scan:[127.0.0.1]:10025
header_checks = regexp:/etc/postfix/header_checks
===
Часть master.cf
smtp inet n - - - - smtpd -o
content_filter=spamassassin:
# AV scan filter (used by content_filter)
scan unix - - n - 16 smtp
-o smtp_send_xforward_command=yes
-o smtp_enforce_tls=no
# For injecting mail back into postfix from the filter
127.0.0.1:10026 inet n - n - 16 smtpd
-o content_filter=
-o
receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
# To add support for spamassasin
spamassassin unix - n n - - pipe flags=Rq user=mailfilt
argv=/usr/local/bin/sa-filter.sh -f ${sender} ${recipient}
--
Покотиленко Костик <[EMAIL PROTECTED]>
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка пол учателя
On Mon, Oct 08, 2007 at 12:14:34PM +0300, Покотиленко Костик wrote: > Подскажите пожалуйста как заставить postfix проверять существование > локального ящика сразу после RCPT TO. > mailbox_transport = cyrus а откуда postfix должен знать какие мейлбоксы существуют в cyrus? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
В Пнд, 08/10/2007 в 17:07 +0400, Pavel Ammosov пишет: > On Mon, Oct 08, 2007 at 12:14:34PM +0300, Покотиленко Костик wrote: > > Подскажите пожалуйста как заставить postfix проверять существование > > локального ящика сразу после RCPT TO. > > mailbox_transport = cyrus > > а откуда postfix должен знать какие мейлбоксы существуют в cyrus? Хороший вопрос. Ответ знаете? -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамфильтрами?
alex kuklin -> Artem Chuprina @ Mon, 08 Oct 2007 16:15:08 +0400: >> >> человеку чтобы задать вопрос не обязательно подписываться >> >> достаточно отправить мыло и смотреть результат в интернете >> >>ak> тогда надо либо веб-форму с CAPTCHA, либо систему подстверждения. >> ak> кстати говоря, ничто не мешает сделать премодерацию. >> >> Премодерацию мешает сделать отсутствие героического премодератора. >> ak> Премодерацию на предмет спама сделать несложно - спам очень легко ak> фильтруется глазами. После применения базовых black-листов его не ak> так много остается. Не знаю. Я бы не взялся. Очень быстро задалбывает, знаешь ли. Либо гайки закручены так, что половина валидной почты пропадает. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Велик и могуч постмодернистский читатель (c)Elenhil Laiquendo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получ ателя
http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html > > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
В Пнд, 08/10/2007 в 17:08 +0400, Oleg Rybnikov пишет: > http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html Тут всё правильно, так как и в манах написано. Но как с cyrus'ом это связать, чтобы не надо было базу пользователей с cyrus'ом постоянно синхронизировать? -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Перемудрили со спамфильтрами?
ak>> Премодерацию на предмет спама сделать несложно - спам очень легко ak>> фильтруется глазами. После применения базовых black-листов его не ak>> так много остается. > Не знаю. Я бы не взялся. Очень быстро задалбывает, знаешь ли. Либо > гайки закручены так, что половина валидной почты пропадает. так я и говорю - текущее решение наиболее правильное ну подкрутят ручки чтобы и спама немного лезло и спамодавка особо не мешала кому спам сильно задалбывает свой спамфильтр имеет -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: kvm & Intel T5500
Admont wrote: А на сайте Intel пишут, что не поддерживает это процессор технологию Intel VT. /proc/cpuinfo тоже об этом информирует. Спасибо. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Сертификаты OpenVPN
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как генерирует сертификаты. Например, сегодня обсуждали использование сервера OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для каждого нового пользователя следует создать сертификат и зашить его в прошивку устройства. Так что сам уже начал думать о том, чтобы перенести сервер OpenVPN на "нормальный" сервер, где можно быстро прикрутить веб-интерфейс для создания сертификатов. Поделитесь, кто как решает этот вопрос. P.S. Вспомнилось - когда сервер OpenVPN сам назначает ip-адреса клиентам, в файле с соответствиями ip и имен клиентов появляются лишние записи с тем же самым именем клиента, но очередным ip из пула. Я так понимаю, это происходит при повторном подключении пользователя с одним и тем же сертификатом (с разных компов). С одной стороны, у разных компов должны быть разные ip, с другой - непонятно, как найти в сети нужного пользователя. Понятно, все эти машины я вижу в сетевом окружении (использую демон lisa), но в виде ip-адресов, хотелось бы видеть их с именами клиентских сертификатов.
Re: Сертификаты OpenVPN
On Mon, 8 Oct 2007 18:52:15 +0400, Alexey wrote: > Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, > как генерирует сертификаты. /usr/share/doc/openvpn/examples/easy-rsa/2.0 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 18:52:15 +0400: AP> Частенько проскакивают темы про OpenVPN, но ни разу никто не AP> уточнил, как генерирует сертификаты. Например, сегодня обсуждали AP> использование сервера OpenVPN в роутерах, но для меня подобный AP> подход обесценивается тем, что для каждого нового пользователя AP> следует создать сертификат и зашить его в прошивку устройства. А вот зашить - не надо. Создать надо, не вопрос. AP> Так что сам уже начал думать о том, чтобы перенести сервер OpenVPN AP> на "нормальный" сервер, где можно быстро прикрутить веб-интерфейс AP> для создания сертификатов. Поделитесь, кто как решает этот вопрос. Я - посредством openssl req/openssl ca. Но у меня нет виндовых юзеров, которым надо уметь это делать самостоятельно. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] /итд/почтопосылалка.нстрк (c) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
Покотиленко Костик -> Oleg Rybnikov @ Mon, 08 Oct 2007 16:59:53 +0300: >> http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html ПК> Тут всё правильно, так как и в манах написано. Но как с cyrus'ом ПК> это связать, чтобы не надо было базу пользователей с cyrus'ом ПК> постоянно синхронизировать? А в каком виде она у цируса? -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] А вы поподробнее, поподробнее. А заодно и быстрее будет... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
У пн, 2007-10-08 у 19:08 +0400, Artem Chuprina пише: > Покотиленко Костик -> Oleg Rybnikov @ Mon, 08 Oct 2007 16:59:53 +0300: > > >> http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html > > ПК> Тут всё правильно, так как и в манах написано. Но как с cyrus'ом > ПК> это связать, чтобы не надо было базу пользователей с cyrus'ом > ПК> постоянно синхронизировать? > > А в каком виде она у цируса? afair libdb4.x Но лазить туда не комильфо. В экзиме можно организовать "тестовую доставку" и результат закешировать. -- Alexander Vlasov ZULU-UANIC JID: zulu jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 18:57 Yury Yurevich написал(a): > On Mon, 8 Oct 2007 18:52:15 +0400, Alexey wrote: > > Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, > > как генерирует сертификаты. > > /usr/share/doc/openvpn/examples/easy-rsa/2.0 Это понятно, я так и делаю. Но это делается на стороне сервера, для каждого клиента надо на сервере сгенерить сертификат и передать его вместе с ключом клиенту.
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:19:32 +0400: >> > Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, >> > как генерирует сертификаты. >> >> /usr/share/doc/openvpn/examples/easy-rsa/2.0 AP> Это понятно, я так и делаю. Но это делается на стороне сервера, для AP> каждого клиента надо на сервере сгенерить сертификат и передать его AP> вместе с ключом клиенту. Секретный ключ, известный более чем одной персоне, называется публичным. Секретный ключ клиента не должен покидать его компьютера, если по уму. А сертификат генерируют в CA, а не на сервере. Иначе это профанация. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Рюмку взял - паяльник положил -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On 2007.10.08 at 18:52:15 +0400, Alexey Pechnikov wrote: > Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как > генерирует сертификаты. Например, сегодня обсуждали использование сервера > OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для > каждого нового пользователя следует создать сертификат и зашить его в > прошивку устройства. Так что сам уже начал думать о том, чтобы перенести Это еще зачем? Клиентский сертификат должен быть на клиенте. А на сервере - только сертификат самого сервера, и сертификат CA, на котором проверяются сертификаты клиентов. Он, естественно, должен быть ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной машине. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 19:24 Artem Chuprina написал(a): > Секретный ключ, известный более чем одной персоне, называется > публичным. Секретный ключ клиента не должен покидать его компьютера, > если по уму. А сертификат генерируют в CA, а не на сервере. Иначе это > профанация. А кто является центром авторизации, если не сервер? Или клиент сам себе центр авторизации и мы будем проверять лишь то, что он не поленился ключ сгенерить, все равно какой?
Re: Postfix: проверка получателя
Alexander Vlasov -> debian-russian@lists.debian.org @ Mon, 08 Oct 2007 18:18:14 +0300: >> >> http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html >> >> ПК> Тут всё правильно, так как и в манах написано. Но как с cyrus'ом >> ПК> это связать, чтобы не надо было базу пользователей с cyrus'ом >> ПК> постоянно синхронизировать? >> >> А в каком виде она у цируса? AV> afair libdb4.x AV> Но лазить туда не комильфо. AV> В экзиме можно организовать "тестовую доставку" и результат AV> закешировать. Тут, в общем, тоже никто не мешает действовать подобным образом. Через карту "program" или как ее там. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Машины пока еще от копирования защищены хитрой немецкой технологией "сборка трезвым"Alex Korchmar в <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
В Пнд, 08/10/2007 в 18:18 +0300, Alexander Vlasov пишет: > У пн, 2007-10-08 у 19:08 +0400, Artem Chuprina пише: > > Покотиленко Костик -> Oleg Rybnikov @ Mon, 08 Oct 2007 16:59:53 +0300: > > > > >> http://www.sys-adm.org.ua/postfix/LOCAL_RECIPIENT_README.html > > > > ПК> Тут всё правильно, так как и в манах написано. Но как с cyrus'ом > > ПК> это связать, чтобы не надо было базу пользователей с cyrus'ом > > ПК> постоянно синхронизировать? > > > > А в каком виде она у цируса? > > afair libdb4.x > Но лазить туда не комильфо. > В экзиме можно организовать "тестовую доставку" и результат > закешировать. mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp virtual_transport = lmtp:unix:/var/run/cyrus/socket/lmtp local_recipient_maps = $virtual_mailbox_maps smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient, reject_unlisted_recipient Вот с этими строчками заработало. НО, не совсем. При приёме почты, smtpd не отшибает письма, а отправляет их сразу контент фильтрам, а когда те вбрасывают письмо обратно smtpd его отшибает: Oct 8 18:27:23 darkstar postfix/smtpd[4778]: NOQUEUE: reject: RCPT from mbx.dc.utel.ua[213.186.112.2]: 450 4.1.1 <[EMAIL PROTECTED]>: Recipient address rejected: undeliverable address: host darkstar[/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO command); from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> proto=ESMTP helo= Я думаю надо контент фильтры через milter прикрутить, по этому поводу начну ка я новый тред... -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 19:25 Victor Wagner написал(a): > On 2007.10.08 at 18:52:15 +0400, Alexey Pechnikov wrote: > > Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как > > генерирует сертификаты. Например, сегодня обсуждали использование сервера > > OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что > > для каждого нового пользователя следует создать сертификат и зашить его в > > прошивку устройства. Так что сам уже начал думать о том, чтобы перенести > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > А на сервере - только сертификат самого сервера, и сертификат CA, на > котором проверяются сертификаты клиентов. Он, естественно, должен быть > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > машине. Публичный ключ клиента должен быть на сервере, иначе как проверить клиента?
Postfix: clamav и spamassassin через milter
Интересует настройка контент фильтров clamav и spamassassin в postfix через технологию milter, чтобы спам до очереди не доходил. Если кто настраивал, поделитесь конфигами пожалуйста. Месяц назад пробовал, не получилось. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 19:31 Alexey Pechnikov написал(a): > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > > А на сервере - только сертификат самого сервера, и сертификат CA, на > > котором проверяются сертификаты клиентов. Он, естественно, должен быть > > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > > машине. > > Публичный ключ клиента должен быть на сервере, иначе как проверить клиента? Если речь идет об американских центрах авторизации, то это никуда не годится - при проблемах с интернет или серверами американской компании рухнет все. Отечественные центры и того хуже - в каждом регионе свой центр сертификации, а если мне надо работать с клиентами из разных регионов, что же, регистрироваться в каждом, да и доверия отечественные центры отнюдь не вызывают. Так что остается только использовать self-signed сертификаты.
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:27:05 +0400: >> Секретный ключ, известный более чем одной персоне, называется >> публичным. Секретный ключ клиента не должен покидать его >> компьютера, если по уму. А сертификат генерируют в CA, а не на >> сервере. Иначе это профанация. AP> А кто является центром авторизации, если не сервер? Или клиент сам AP> себе центр авторизации и мы будем проверять лишь то, что он не AP> поленился ключ сгенерить, все равно какой? Центром авторизации в таком простом случае является админ. В более сложных это как минимум специально обученный сотрудник в комплекте с компьютером, недоступным по сети. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] mv /dev/rookie /dev/hands -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:31:17 +0400: >> > Частенько проскакивают темы про OpenVPN, но ни разу никто не >> > уточнил, как генерирует сертификаты. Например, сегодня обсуждали >> > использование сервера OpenVPN в роутерах, но для меня подобный >> > подход обесценивается тем, что для каждого нового пользователя >> > следует создать сертификат и зашить его в прошивку устройства. Так >> > что сам уже начал думать о том, чтобы перенести >> >> Это еще зачем? Клиентский сертификат должен быть на клиенте. А на >> сервере - только сертификат самого сервера, и сертификат CA, на >> котором проверяются сертификаты клиентов. Он, естественно, должен >> быть ОДИН на всех клиентов. Выписывать сертификаты можно на >> нормальной машине. AP> Публичный ключ клиента должен быть на сервере, иначе как проверить AP> клиента? Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но скажу, что клиент проверяется по переданному им в рамках сессии сертификату, подписанному CA. И лишь сертификат CA, один на всех клиентов, должен быть на сервере. Чтобы проверить подпись. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Вам правду резать или кусочком? Кнышев -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
Покотиленко Костик -> Alexander Vlasov @ Mon, 08 Oct 2007 18:30:18 +0300: ПК> Вот с этими строчками заработало. НО, не совсем. При приёме почты, smtpd ПК> не отшибает письма, а отправляет их сразу контент фильтрам, а когда те ПК> вбрасывают письмо обратно smtpd его отшибает: ПК> Oct 8 18:27:23 darkstar postfix/smtpd[4778]: NOQUEUE: reject: RCPT from ПК> mbx.dc.utel.ua[213.186.112.2]: 450 4.1.1 <[EMAIL PROTECTED]>: Recipient ПК> address rejected: undeliverable address: host ПК> darkstar[/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either ПК> there is no mailbox associated with this 550-name or you do not have ПК> authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO ПК> command); from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> ПК> proto=ESMTP helo= ПК> Я думаю надо контент фильтры через milter прикрутить, по этому поводу ПК> начну ка я новый тред... Это из разряда лечения головной боли гильотиной. По уму надо сначала проверять на наличие, и только потом отдавать контент-фильтру. Ибо фиг ли фильтровать письмо, которое ты не собираешься доставлять? -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Нет применения человеческому разуму! (c)JB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
> Вот с этими строчками заработало. НО, не совсем. При приёме почты, smtpd > не отшибает письма, а отправляет их сразу контент фильтрам, а когда те В том же экзиме можно для транспорта указать, чтоб он при "тестовых прогонах" не использовался. Думаю что-то подобное есть и у постфикса. -- Alexander Vlasov ZULU-UANIC JID: zulu jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Lilo долго загружает ядро
В сообщении от Monday 08 October 2007 11:09:00 Dmitry E. Oboukhov написал(а): > > Сабж на ноуте с диском сата. Появляется надпись LILO(версия) и идут > > точки. Точек набирается на три строчки :) > > т.е. загрузчик около 30 секунд ищет ядро. Ну и потом нормально грузится. > > Загрузочный раздел - 150гб. Файловая система - Рейзерфс. Система - amd64. > > опцию compact в lilo.conf добавить и игнорировать варнинг об этом > compact Спасибо. Стартануло мгновенно. -- Александр Владимирович Екимов, н.с. ООО "НПО "СПЕКТРОН"
Re: Сертификаты OpenVPN
> AP> Публичный ключ клиента должен быть на сервере, иначе как проверить > AP> клиента? > > Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но > скажу, что клиент проверяется по переданному им в рамках сессии > сертификату, подписанному CA. И лишь сертификат CA, один на всех > клиентов, должен быть на сервере. Чтобы проверить подпись. На сервере: # ls easy-rsa ipp.txt openvpn.conf # cd easy-rsa # ls keys # cd keys # ls 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key dh1024.pem server.crt server.key Без файлов .pem ничего не работает, их требуется класть для каждого клиента. На всякий случай: # openvpn --version OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006 Developed by James Yonan Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]>
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:40:26 +0400: >> > Это еще зачем? Клиентский сертификат должен быть на клиенте. >> > А на сервере - только сертификат самого сервера, и сертификат CA, на >> > котором проверяются сертификаты клиентов. Он, естественно, должен быть >> > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной >> > машине. >> >> Публичный ключ клиента должен быть на сервере, иначе как проверить клиента? AP> Если речь идет об американских центрах авторизации, то это никуда не годится - AP> при проблемах с интернет или серверами американской компании рухнет все. AP> Отечественные центры и того хуже - в каждом регионе свой центр сертификации, AP> а если мне надо работать с клиентами из разных регионов, что же, AP> регистрироваться в каждом, да и доверия отечественные центры отнюдь не AP> вызывают. Так что остается только использовать self-signed сертификаты. Множественное число тут неуместно. Один self-signed сертификат. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Велик и могуч постмодернистский читатель (c)Elenhil Laiquendo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получателя
В Пнд, 08/10/2007 в 19:51 +0400, Artem Chuprina пишет: > Покотиленко Костик -> Alexander Vlasov @ Mon, 08 Oct 2007 18:30:18 +0300: > > ПК> Вот с этими строчками заработало. НО, не совсем. При приёме почты, smtpd > ПК> не отшибает письма, а отправляет их сразу контент фильтрам, а когда те > ПК> вбрасывают письмо обратно smtpd его отшибает: > > ПК> Oct 8 18:27:23 darkstar postfix/smtpd[4778]: NOQUEUE: reject: RCPT from > ПК> mbx.dc.utel.ua[213.186.112.2]: 450 4.1.1 <[EMAIL PROTECTED]>: Recipient > ПК> address rejected: undeliverable address: host > ПК> darkstar[/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either > ПК> there is no mailbox associated with this 550-name or you do not have > ПК> authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO > ПК> command); from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]> > ПК> proto=ESMTP helo= > > ПК> Я думаю надо контент фильтры через milter прикрутить, по этому поводу > ПК> начну ка я новый тред... > > Это из разряда лечения головной боли гильотиной. По уму надо сначала > проверять на наличие, и только потом отдавать контент-фильтру. Ибо фиг > ли фильтровать письмо, которое ты не собираешься доставлять? Я об этом и говорю, сначала проверка заголовков, потом контент фильтры, и всё это до завершения smtp соединения, чтобы отлупы не плодить. Вопрос только в том как этого добиться. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
> AP> Если речь идет об американских центрах авторизации, то это никуда не > годится - AP> при проблемах с интернет или серверами американской компании > рухнет все. AP> Отечественные центры и того хуже - в каждом регионе свой > центр сертификации, AP> а если мне надо работать с клиентами из разных > регионов, что же, AP> регистрироваться в каждом, да и доверия отечественные > центры отнюдь не AP> вызывают. Так что остается только использовать > self-signed сертификаты. > > Множественное число тут неуместно. Один self-signed сертификат. По одному на каждый сервер OpenVPN, или я что-то не так понимаю?
Re: Сертификаты OpenVPN
On 2007.10.08 at 19:31:17 +0400, Alexey Pechnikov wrote: > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > > А на сервере - только сертификат самого сервера, и сертификат CA, на > > котором проверяются сертификаты клиентов. Он, естественно, должен быть > > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > > машине. > > Публичный ключ клиента должен быть на сервере, иначе как проверить клиента? Не должен. На эту тему есть PKI - Public Key Infrastructure. Клиент сам пришлет свой сертификат при установлении соединения. Серверу нужно только иметь способ удостовериться, что этот сертификат действительно принадлежит именно тому, кто в нем прописан в качестве Common Name. А вот это-то как раз и удостоверяет подпись CA под сертификатом. Соответственно, верить сертификату нужно ровно настолько, насколько можно верить данному CA. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Lilo долго заг ружает ядро
>> Сабж на ноуте с диском сата. Появляется надпись LILO(версия) и идут точки. >> Точек набирается на три строчки :) >> т.е. загрузчик около 30 секунд ищет ядро. Ну и потом нормально грузится. >> Загрузочный раздел - 150гб. Файловая система - Рейзерфс. Система - amd64. > У меня на amd64 то же самое. Складывалось впечатление, что amd64 в > реальном режиме работает со скоростью 486-го. 486 бы быстрее загрузился у меня на Р4-1600 на ноуте тоже самое было я кстати этот же вопрос в рассылке поднимал года два назад но никто не ответил потом нашел опцию compact и вроде решил проблему но вот _почему_ ядра так тормозят на некотором железе так до сих пор не понимаю -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On 2007.10.08 at 19:40:26 +0400, Alexey Pechnikov wrote: > В сообщении от Понедельник 08 октября 2007 19:31 Alexey Pechnikov написал(a): > > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > > > А на сервере - только сертификат самого сервера, и сертификат CA, на > > > котором проверяются сертификаты клиентов. Он, естественно, должен быть > > > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > > > машине. > > > > Публичный ключ клиента должен быть на сервере, иначе как проверить клиента? > > Если речь идет об американских центрах авторизации, то это никуда не годится > - > при проблемах с интернет или серверами американской компании рухнет все. Чушь городишь. Совершенно необязательно производить проверку статуса сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его секретрый ключ и он успел уведомить о том центр сертификации, чтобы ключ отозвали. > Отечественные центры и того хуже - в каждом регионе свой центр сертификации, > а если мне надо работать с клиентами из разных регионов, что же, Ты заведи свой центр сертификации. Который будет удостоверять исключительно твоих клиентов. Тут варианта два - либо не предполагается оспаривание в суде ошибок аутентификации и авторизации, тогда вообще никого не волнует юридический статус оного центра, либо предполагается. Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в котором (или в прилагаемых технических условиях) написано, что стороны соглашаются признавать электронную подпись сгенерированную таким-то софтом и, в частности, подпись вот этого центра сертификации. У нас до сих пор все реальные сети обмена данными, использующие электронную подпись, работают именно так. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On 2007.10.08 at 20:00:56 +0400, Alexey Pechnikov wrote: > > центры отнюдь не AP> вызывают. Так что остается только использовать > > self-signed сертификаты. > > > > Множественное число тут неуместно. Один self-signed сертификат. > > По одному на каждый сервер OpenVPN, или я что-то не так понимаю? Зачем - один на множество людей, которые владелцу этого сертификата доверяют в смысле удостоверения личностей друг друга как клиентов OpenVPN и удостооверения идентичности серверов OpenVPN. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 20:00:56 +0400: >> AP> Если речь идет об американских центрах авторизации, то это никуда не >> годится - AP> при проблемах с интернет или серверами американской компании >> рухнет все. AP> Отечественные центры и того хуже - в каждом регионе свой >> центр сертификации, AP> а если мне надо работать с клиентами из разных >> регионов, что же, AP> регистрироваться в каждом, да и доверия отечественные >> центры отнюдь не AP> вызывают. Так что остается только использовать >> self-signed сертификаты. >> >> Множественное число тут неуместно. Один self-signed сертификат. AP> По одному на каждый сервер OpenVPN, или я что-то не так понимаю? Не так понимаешь. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Молодой, дикорастущий организм... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
В сообщении от Sunday 07 October 2007 19:14:45 Dmitry E. Oboukhov написал(а): > а дальше подымаем интерфейс примерно так: > > auto eth1 > iface eth1 inet static > pre-up iwconfig eth1 mode ad-hoc essid Home key open s:a7ada6372831b [1] > address 10.1.1.2 > netmask 255.255.255.0 > gateway 10.1.1.1 > > ну и на сервере аналогично > > ну а если на сервере поднят[ь] dhcp то клиент еще проще настраивается > auto eth1 > iface eth1 inet dhcp > pre-up iwconfig eth1 mode ad-hoc essid Home key open > s:a7ada6372831b [1] > > ну а обсуждавшиеся выше ppp через это хозяйство если считаешь > необходимым - как допопция. > > ты же вопрос задал что фиг его знает на каком этапе ты там остановился и > что тебе надо подсказывать > вот поэтому и флеймим :) Попытался настроить без шифрования, в режиме ad-hoc. interfaces на ПК # The primary network interface allow-hotplug eth1 iface eth1 inet static address 10.22.13.19 netmask 255.255.255.0 broadcast 10.22.13.255 gateway 10.22.13.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 10.10.0.2 domain gnu auto eth2 iface eth2 inet static address 10.22.13.20 # вот тут адрес взял от балды. Или тут должен быть прописан 10.22.13.19? netmask 255.255.255.0 wireless-mode ad-hoc wireless-channel 1 wireless-rate auto wireless-essid first выполнил echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE на ноуте interfaces iface eth1 inet static address 10.22.13.21 #от балды netmask 255.255.255.0 gateway 10.22.13.20 #Правильно ли? dns-nameservers 10.10.0.2 wireless-mode ad-hoc wireless-chanel 1 wireless-rate auto wireless-essid first domain gnu Итог: пингуется 10.22.13.20 и все. где я наврал? -- Александр Владимирович Екимов, н.с. ООО "НПО "СПЕКТРОН"
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:56:04 +0400: >> AP> Публичный ключ клиента должен быть на сервере, иначе как проверить >> AP> клиента? >> >> Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но >> скажу, что клиент проверяется по переданному им в рамках сессии >> сертификату, подписанному CA. И лишь сертификат CA, один на всех >> клиентов, должен быть на сервере. Чтобы проверить подпись. AP> На сервере: AP> # ls AP> easy-rsa ipp.txt openvpn.conf AP> # cd easy-rsa AP> # ls AP> keys AP> # cd keys AP> # ls AP> 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key dh1024.pem AP> server.crt server.key AP> Без файлов .pem ничего не работает, их требуется класть для каждого клиента. 20:33:58 [EMAIL PROTECTED]:/etc/openvpn zsh% ls castle-openvpn.crt dh1024.pem openvpn-status.log castle-openvpn.key ipp.txt server.conf zsh% grep crt server.conf ca /etc/ssl/cacert.crt cert castle-openvpn.crt zsh% cat ipp.txt wizzle,10.16.0.4 tigger,10.16.0.8 Видимо, настраивать OpenVPN следует не первым попавшимся способом, а по здравом размышлении и при понимании того, что делаешь? AP> На всякий случай: AP> # openvpn --version AP> OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006 AP> Developed by James Yonan AP> Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]> zsh% openvpn --version OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Jan 7 2007 Developed by James Yonan Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]> -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Юзер упорствует в хождении по граблям. Образовавшиеся шишки он считает трудовыми мозолями. (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрил и со спамфильтрами?
On Mon, Oct 08, 2007 at 06:02:27PM +0400, Dmitry E. Oboukhov wrote: > ak>> Премодерацию на предмет спама сделать несложно - спам очень легко > ak>> фильтруется глазами. После применения базовых black-листов его не > ak>> так много остается. > > > Не знаю. Я бы не взялся. Очень быстро задалбывает, знаешь ли. Либо > > гайки закручены так, что половина валидной почты пропадает. > так я и говорю - текущее решение наиболее правильное > ну подкрутят ручки чтобы и спама немного лезло > и спамодавка особо не мешала > кому спам сильно задалбывает свой спамфильтр имеет > а почему собственно не принимать почту от подписчиков по-умолчанию. кто из списка подписчиков начинает спамить - ауфвидерзейн. это по крайней мере бы решило проблему тех, кто жаловался, что их письма уходят без причины в нирвану. решение было бы простое - подпишись, ничто никуда не станет уходить. -- Guten Tag, Alexey -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On Mon, 08 Oct 2007 19:46:51 +0400, Artem wrote: > > Центром авторизации в таком простом случае является админ. В более > сложных это как минимум специально обученный сотрудник в комплекте с > компьютером, недоступным по сети. > Кстати, а как сделать отзыв сертификатов в таком случае? Use case таков: в роли CA выступает админ. На сервере ключ сервера, сертификат сервера заверенный CA и самоподписанный сертификат CA. У клиента (скажем, на ноутбуке сотрудника) аналогичный клиентский набор. Сотрудник увольняется -- как сообщить серверу, что данный сертификат отозван? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
wi-fi грамотно
> Попытался настроить без шифрования, в режиме ad-hoc. > interfaces на ПК > # The primary network interface > allow-hotplug eth1 > iface eth1 inet static > address 10.22.13.19 > netmask 255.255.255.0 > broadcast 10.22.13.255 > gateway 10.22.13.1 > # dns-* options are implemented by the resolvconf package, if > installed > dns-nameservers 10.10.0.2 > domain gnu > auto eth2 > iface eth2 inet static > address 10.22.13.20 # вот тут адрес взял от балды. Или тут должен быть > прописан 10.22.13.19? > netmask 255.255.255.0 адрес взял от балды, но хорошо бы с другой сетью не пересекаться 10.22.14.1 сделай например а ноут 10.22.14.2 будет > wireless-mode ad-hoc > wireless-channel 1 > wireless-rate auto > wireless-essid first > выполнил echo 1 > /proc/sys/net/ipv4/ip_forward эту хрень надо прописать в /etc/sysctl.conf > iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE с хоста с двумя сетевыми пингуются в оба направления? команды iptables выполняй в том же файле interfaces в включении маскарадинга не надо опцию --out-interface и см ниже > на ноуте interfaces > iface eth1 inet static > address 10.22.13.21 #от балды > netmask 255.255.255.0 > gateway 10.22.13.20 #Правильно ли? > dns-nameservers 10.10.0.2 > wireless-mode ad-hoc > wireless-chanel 1 > wireless-rate auto > wireless-essid first > domain gnu > Итог: пингуется 10.22.13.20 и все. > где я наврал? в iptables (хотя я не знаю что там в полиси iptables дефолтом стоит) а где правила FORWARD? скажи что весь траффик принимаемый от ноута в FORWARD акцептить траффик принимаемый снаружи акцепить только уже установленные соединения что-то вроде того: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p ALL -s $LOCAL_NETWORK -j ACCEPT ну $LOCAL_NETWORK заменишь на 10.22.xx.0/24 первая команда дает возможность форвардить снаружи внутрь уже установленные соединения -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Перемудрили со спамфильтрами?
>ak>>> Премодерацию на предмет спама сделать несложно - спам очень легко >ak>>> фильтруется глазами. После применения базовых black-листов его не >ak>>> так много остается. >> >>> Не знаю. Я бы не взялся. Очень быстро задалбывает, знаешь ли. Либо >>> гайки закручены так, что половина валидной почты пропадает. >> так я и говорю - текущее решение наиболее правильное >> ну подкрутят ручки чтобы и спама немного лезло >> и спамодавка особо не мешала >> кому спам сильно задалбывает свой спамфильтр имеет >> > а почему собственно не принимать почту от подписчиков по-умолчанию. кто > из списка подписчиков начинает спамить - ауфвидерзейн. а потому что тогда спамерам еще большая халява настанет подписался и получи ГАРАНТИЮ доставки спам-сообщения до КАЖДОГО подписчика. можно будет объявление давать: мы доставим спам до десятков тыс человек ГАРАНТИРОВАНО ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Перемудрили со спамфильтрами?
Artem Chuprina writes: > Maxim Tyurin -> debian-russian@lists.debian.org @ Mon, 08 Oct 2007 12:56:56 > +0300: > > >> DEO> я вот что заметил что последнюю неделю-две спама много пропускает > >> DEO> спамодавка на ВСЕХ дебиановских рассылках. то есть проблема вроде бы > >> DEO> обратная топиковой. > >> > >> Это результат откручивания обратно тех ручек, согласно которым > >> нормальные письма в рассылку не ходили в массовом порядке. > > MT> Это результат идиотской политики когда в рассылку могут писать все, > MT> а не только подписчики. Пока такая политика будет существовать > MT> будет или куча спама, или куча отлупов нормальных писем. > > У каждой палки как минимум два конца. Для тех кто не хочет подписываться - можно читать с gmane. Ну или, как уже говорили, web-форму сделать. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
its free for debian-russian@lists.debian.org
free adalt passwords www 32action dot cn Stetsons averaging marshaled brachydactyl -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
ip tunnel gre
хочу создать gre - туннель: ip tunnel add tunl0 mode gre local remote . На что получаю : ioctl: No buffer space available . Модуль ip_gre загружен: # lsmod Module Size Used by ip_gre 12416 0 Где находится этот буфер? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: проверка получат еля
08.10.2007 19:18, Alexander Vlasov пишет: > У пн, 2007-10-08 у 19:08 +0400, Artem Chuprina пише: А в каком виде она у цируса? О! Тот самый нужный вопрос. afair libdb4.x А вот ответу я не верю. "mailboxes.db" - дерево почтовых фолдеров, а не база пользователей. И это таки две большие разницы. Подсказка: в настоящей базе пользователей, кроме имён, лежат ещё пароли. А.Л. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Postfix: clamav и spamassassin через milter
08.10.2007 19:35, Покотиленко Костик пишет: Интересует настройка контент фильтров clamav и spamassassin в postfix через технологию milter, чтобы спам до очереди не доходил. Если кто настраивал, поделитесь конфигами пожалуйста. Месяц назад пробовал, не получилось. Интерфейс milter полностью работает начиная с Postfix 2.4. В стабильном дебиане у нас 2.3.x - и опаньки. В 2.4.0: smtpd_milters = unix:/var/run/clamav/clamav-milter.ctl unix:/var/spool/MIMEDefang/mimedefang.sock Напильник применялся только для прав доступа. Чтобы postfix мог писать в сокет clamd, а clamd - читать проверяемые файлы из спула. А.Л. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote: > > Центром авторизации в таком простом случае является админ. В более > > сложных это как минимум специально обученный сотрудник в комплекте с > > компьютером, недоступным по сети. > > > Кстати, а как сделать отзыв сертификатов в таком случае? Use case > таков: в роли CA выступает админ. На сервере ключ сервера, сертификат > сервера заверенный CA и самоподписанный сертификат CA. У клиента > (скажем, на ноутбуке сотрудника) аналогичный клиентский набор. > Сотрудник увольняется -- как сообщить серверу, что данный сертификат > отозван? man openvpn на предмет --crl-verify А также man ca (это который из комплекта openssl) на предмет -gencrl Вот OCSP openvpn по-моему всё же не умеет. А в данном случае иметь OCSP-responder на машине, оборудованной более удобным для обновления хранилищем данных имело бы смысл. Впрочем, никто не мешает хранить CRL на воткнутый в рутер флэшке, а не внутри прошивки. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: wi-fi грамотно
В сообщении от Monday 08 October 2007 22:03:44 Александр Владимирович Екимов написал(а): В последнем сообщении я ошибся. оба компа друг друга пингуют. еще бы нет наладить :( -- Александр Владимирович Екимов, н.с. ООО "НПО "СПЕКТРОН"
wi-fi грамотно
> В сообщении от Monday 08 October 2007 22:03:44 Александр Владимирович Екимов > написал(а): > В последнем сообщении я ошибся. оба компа друг друга пингуют. еще бы нет > наладить :( ну вроде я все рассказал как сделать в предыдущем письме как вариант поставить сквид на комп если вдруг iptables не осилишь сквид в Debian фактически в настроенном виде поставляется только один acl добавить для начала работы а потом уж тюнить -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 20:41 Artem Chuprina написал(a): > Видимо, настраивать OpenVPN следует не первым попавшимся способом, а > по здравом размышлении и при понимании того, что делаешь? Хорошо, а как в _ином_ случае организовать отзыв сертификата? У меня сейчас есть способ выдать клиенту сертификат и есть возможность мгновенно этот сертификат аннулировать. Другого пути получить желаемое я не знаю.
Re: Сертификаты OpenVPN
> Чушь городишь. Совершенно необязательно производить проверку статуса > сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его > секретрый ключ и он успел уведомить о том центр сертификации, чтобы ключ > отозвали. Никого он уведомлять не будет, просто позвонит мне. Соответственно, я должен на уровне сервера OpenVPN мгновенно заблокировать доступ этого клиента. > > Отечественные центры и того хуже - в каждом регионе свой центр > > сертификации, а если мне надо работать с клиентами из разных регионов, > > что же, > > Ты заведи свой центр сертификации. Который будет удостоверять > исключительно твоих клиентов. Тут варианта два - либо не предполагается > оспаривание в суде ошибок аутентификации и авторизации, тогда вообще > никого не волнует юридический статус оного центра, либо предполагается. > Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в > котором (или в прилагаемых технических условиях) написано, что стороны > соглашаются признавать электронную подпись сгенерированную таким-то > софтом и, в частности, подпись вот этого центра сертификации. > > У нас до сих пор все реальные сети обмена данными, использующие > электронную подпись, работают именно так. Если центр сертификации не зарегистрирован как таковой, то любое соглашение, подразумевающее это, не имеет юридической силы. Или получать лицензию на работу в качестве федерального центра сертификации, или получать сертификат в федеральном центре. В любом случае более чем в одном регионе работать не удастся.
Etch Apache2 + mod_fcgid-2.2 + php5-fcgi
Привет дебиановцы, В моем первом посте решил поделиться своим горем, затрагивающем падучесть связки, приведенной в сабже. Для снижения нагрузки собрал mod_fcgid, что также позволило отказаться от prefork MPM в пользу worker MPM. настройки worker MPM следующие: ServerLimit 20 StartServers 5 MaxClients 500 MinSpareThreads 25 MaxSpareThreads 75 ThreadsPerChild 25 MaxRequestsPerChild 0 переменные, для запуска php5-cgi: PHP_FCGI_MAX_REQUESTS=500 PHP_FCGI_CHILDREN=8 Есть ресурс, активно обменивающийся SOAP сообщениями при запросе. берем apache benchmark (ab): host $ ab -n 100 -c 10 http://host.com/ Видим, что fcgid начинает активно spawn'ить дочерние процессы. Среди сообщений также видим большое кол-во строк: php (pre-forking): Resource temporarily unavailable, в то же время, в таблице процессов появляются чайлды /usr/bin/php5-cgi с uid=0 (в штатной ситуации uid=33). при передергивании Apache в логи пишутся сообщения: [Sun Oct 07 19:39:45 2007] [alert] (11)Resource temporarily unavailable: apr_thread_create: unable to create worker thread При прямом вызове php скрипта и интенсивном его выполнении в лог валятся ошибки: sh: fork: Resource temporarily unavailable sh: fork: Resource temporarily unavailable В системе не сконфигурировано никаких лимитов для uid=33 (www-data). limits.conf @users softnproc 100 @users hardnproc 150 @users hardcore10 @users - maxlogins 3 @users hardnofile 1000 Нехватки вычислительных ресурсов не наблюдается (из памяти адресовано не более 25%, нет нехватки процессорного времени). Ощущение такое, что где-то проставлен лимит на кол-во форков и потоков. Но где, я не в состоянии найти. Подобное поведение заметно также на другом, практически идентичном в конфигурации, сервере. Устал бороться. Для меня эта сага длится уже несколько месяцев :-( Прошу, если кто может, помогите справиться с этой проблемой. -- Aleks Feltin System Administrator Sunset Wireless Ltd -- signature.asc Description: Digital signature
Re: Сертификаты OpenVPN
On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote: > > AP> Публичный ключ клиента должен быть на сервере, иначе как проверить > > AP> клиента? > > > > Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но > > скажу, что клиент проверяется по переданному им в рамках сессии > > сертификату, подписанному CA. И лишь сертификат CA, один на всех > > клиентов, должен быть на сервере. Чтобы проверить подпись. > > На сервере: > > # ls > easy-rsa ipp.txt openvpn.conf > # cd easy-rsa > # ls > keys > # cd keys > # ls > 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key dh1024.pem > server.crt server.key > > Без файлов .pem ничего не работает, их требуется класть для каждого клиента. > > На всякий случай: > > # openvpn --version > OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006 > Developed by James Yonan > Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]> С версией более старой, чем 2.0.9 не работал, но все равно не могу понять, как вы такого поведения добились? Дайте что-ли взглянуть на содержимое openvpn.conf, даже интересно. -- Stanislav
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 21:49 Victor Wagner написал(a): > On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote: > > > Центром авторизации в таком простом случае является админ. В более > > > сложных это как минимум специально обученный сотрудник в комплекте с > > > компьютером, недоступным по сети. > > > > Кстати, а как сделать отзыв сертификатов в таком случае? Use case > > таков: в роли CA выступает админ. На сервере ключ сервера, сертификат > > сервера заверенный CA и самоподписанный сертификат CA. У клиента > > (скажем, на ноутбуке сотрудника) аналогичный клиентский набор. > > Сотрудник увольняется -- как сообщить серверу, что данный сертификат > > отозван? > > man openvpn на предмет --crl-verify > А также man ca (это который из комплекта openssl) на предмет -gencrl > Вот OCSP openvpn по-моему всё же не умеет. А в данном случае иметь > OCSP-responder на машине, оборудованной более удобным для обновления > хранилищем данных имело бы смысл. Впрочем, никто не мешает хранить CRL > на воткнутый в рутер флэшке, а не внутри прошивки. Можно держать на сервере сертификаты валидных клиентов. Если сертификата на сервере нет - клиент не валидный. Почему предоставляемая OpenVPN возможность работы в качестве CA для себя самого вызывает у кого-то негативные эмоции, не знаю. Единственно, что мне это мешает избавиться от флэшки на железке (воткнул усб-флэш на 256 метров, запускаю ось прямо с флэши, два года работает, все в порядке, так что жизненный ресурс флэшки очень даже ничего). Стартовый ток с ней получается значительно больше, что мешает использовать с железкой блок питания от сотового телефона. Впрочем, после сдыхания родного БП подключил параллельно с роутером DI-604 к его блоку питания, что и решило вопрос.
Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski написал(a): > On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote: > > > AP> Публичный ключ клиента должен быть на сервере, иначе как проверить > > > AP> клиента? > > > > > > Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но > > > скажу, что клиент проверяется по переданному им в рамках сессии > > > сертификату, подписанному CA. И лишь сертификат CA, один на всех > > > клиентов, должен быть на сервере. Чтобы проверить подпись. > > > > На сервере: > > > > # ls > > easy-rsa ipp.txt openvpn.conf > > # cd easy-rsa > > # ls > > keys > > # cd keys > > # ls > > 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key > > dh1024.pem server.crt server.key > > > > Без файлов .pem ничего не работает, их требуется класть для каждого > > клиента. > > > > На всякий случай: > > > > # openvpn --version > > OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006 > > Developed by James Yonan > > Copyright (C) 2002-2005 OpenVPN Solutions LLC <[EMAIL PROTECTED]> > > С версией более старой, чем 2.0.9 не работал, но все равно не могу понять, > как вы такого поведения добились? Дайте что-ли взглянуть на содержимое > openvpn.conf, даже интересно. $cat openvpn.conf dev tun0 server x.y.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt persist-key persist-tun client-to-client tls-server dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem ca /opt/etc/openvpn/easy-rsa/keys/ca.crt cert /opt/etc/openvpn/easy-rsa/keys/server.crt key /opt/etc/openvpn/easy-rsa/keys/server.key user nobody group nobody comp-lzo persist-tun persist-key verb 3 $cat client.conf verb 1 cd /opt/openvpn-client dev tun nobind comp-lzo resolv-retry infinite cert client.crt key client.key ca ca.crt tls-client pull proto udp mssfix 1300 remote a.b.c.d port 1194 persist-key persist-tun ping-restart 0 mssfix 1300 насколько помню осталось после экспериментов с криво настроенным adsl-модемом.
Re: Etch Apache2 + mod_fcgid-2.2 + php5-fcgi
В сообщении от Понедельник 08 октября 2007 23:07 Aleks Feltin написал(a): > Устал бороться. Для меня эта сага длится уже несколько месяцев :-( > Прошу, если кто может, помогите справиться с этой проблемой. А что мешает сделать связку nginx+FCGI php? Апач совершенно лишний довесок.
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 22:59:44 +0400: >> Чушь городишь. Совершенно необязательно производить проверку статуса >> сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его >> секретрый ключ и он успел уведомить о том центр сертификации, чтобы >> ключ отозвали. AP> Никого он уведомлять не будет, просто позвонит мне. Соответственно, AP> я должен на уровне сервера OpenVPN мгновенно заблокировать доступ AP> этого клиента. Мгновенно у тебя в любом случае не получится. Время реакции человеческого мозга на сказанную фразу существенно ненулевое. openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp ca.crl openvpn_server:/etc/openvpn/ >> > Отечественные центры и того хуже - в каждом регионе свой центр >> > сертификации, а если мне надо работать с клиентами из разных регионов, >> > что же, >> >> Ты заведи свой центр сертификации. Который будет удостоверять >> исключительно твоих клиентов. Тут варианта два - либо не предполагается >> оспаривание в суде ошибок аутентификации и авторизации, тогда вообще >> никого не волнует юридический статус оного центра, либо предполагается. >> Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в >> котором (или в прилагаемых технических условиях) написано, что стороны >> соглашаются признавать электронную подпись сгенерированную таким-то >> софтом и, в частности, подпись вот этого центра сертификации. >> >> У нас до сих пор все реальные сети обмена данными, использующие >> электронную подпись, работают именно так. AP> Если центр сертификации не зарегистрирован как таковой, то любое AP> соглашение, подразумевающее это, не имеет юридической силы. Или AP> получать лицензию на работу в качестве федерального центра AP> сертификации, или получать сертификат в федеральном центре. В любом AP> случае более чем в одном регионе работать не удастся. ... спорить о вкусе устриц с теми, кто их ел... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Творить - не делать! (c)Элхэ Ниеннах -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Странности с USB Ethe rnet TrendNet TU2-ET100
Stanislav Maslovski пишет: > On Sun, Oct 07, 2007 at 03:10:08PM +0400, Олег Анисимов wrote: > >> Stanislav Maslovski пишет: >> >>> Попробуй с помощью ifconfig разрешить promisc mode на этом инетерфейсе. >>> Отпишись, что получится. >>> >>> >> Более чем уверен, что карта в таком режиме работать будет. Как только >> доберусь >> до ноутбука - попробую. Но удивляет то, что карта нормально работает на >> десктопе. >> > > мм. Могу еще предложить посмотреть с каким MAC эта карточка видна снаружи в > сетке и с каким - изнутри из ifconfig. Чем черт не шутит. > > Картинка начинает вырисовываться. Весь фокус в том, что я проверял работоспособность карты с подмененным командой ifconfig eth2 hw ether 00:11:22:33:44:55 MAC-ом. Смысл в том, что эта карта саппорта, а в нашей сети контроль доступа на основе MAC. Подразумевается что саппорт будет проверять работоспособность нашего оборудования (исключать неполадки HW/SW клиента) загрузившись с LiveCD Knoppix и получив лиз от DHCP с использованием MAC клиента. Сегодня я сделал специально запись в базе DHCP для "родного" MAC USB карты. И получил IP без прблем и все заработало. Подозреваю, что на дэсктопе поведение будет аналогичным, завтра проверю. Собственно тогда вопрос: почему карта с измененным MAC работает только в promiscuous mode? Или это нормальное поведение? -- -- С наилучшими пожеланиями, Олег Анисимов -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Tue, 9 Oct 2007 00:08:31 +0400: >> Мгновенно у тебя в любом случае не получится. Время реакции >> человеческого мозга на сказанную фразу существенно ненулевое. AP> С точки зрения физики время дискретно, потому любое время AP> существенно не нулевое. Квантуется, вот ведь дела. Тем более. >> openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp >> ca.crl openvpn_server:/etc/openvpn/ AP> А как посмотреть список _действующих_ сертификатов? Что значит "список"? В случае с PKI такого понятия, в общем, не существует. Нету некоего "общего списка". Хотя конкретный CA вполне может держать список выданных им сертификатов. openssl ca так и делает. >> AP> Если центр сертификации не зарегистрирован как таковой, то любое >> AP> соглашение, подразумевающее это, не имеет юридической силы. Или >> AP> получать лицензию на работу в качестве федерального центра >> AP> сертификации, или получать сертификат в федеральном центре. В любом >> AP> случае более чем в одном регионе работать не удастся. >> >> ... спорить о вкусе устриц с теми, кто их ел... AP> Буду рад увидеть прецедент судебного решения, признающего такой AP> самопальный CA. Хотя и это ничего не гарантирует, в отличии от США, AP> ибо у нас иная судебная система. Я не сомневаюсь в вашем AP> техническом уровне, но полагаю, что вы не являетесь AP> профессиональными юристами и не можете дать квалифицированный AP> юридический совет. Возможно, я упустил какое-то постановление и AP> неправильно трактую закон, подскажите нужный закон или поправку и AP> требуемый пункт, это полезная информация. Мы поставляем программное обеспечение в систему, работающую таким образом. И нет, это далеко не лавочка на три конторы, там все гораздо серьезнее. Только нюанс - алгоритмы должны быть российскими... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают. Victor Wagner в <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
> AP> А как посмотреть список _действующих_ сертификатов? > > Что значит "список"? В случае с PKI такого понятия, в общем, не > существует. Нету некоего "общего списка". Хотя конкретный CA вполне > может держать список выданных им сертификатов. openssl ca так и делает. Не знал, выходит, вопрос получения списка актуальных сертификатов и списка аннулированных решается. В таком случае да, имеет смысл делать свой центр сертификации. Хотя и хорошо, что есть вариант переложить эти заботы на долю OpenVPN-сервера, как я и делаю в настоящий момент. Вопрос - что следует сделать, чтобы клиенты имели доступ к такому центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире той задачи, которую мы обсуждали, но раз все так хорошо... > Мы поставляем программное обеспечение в систему, работающую таким > образом. И нет, это далеко не лавочка на три конторы, там все гораздо > серьезнее. Только нюанс - алгоритмы должны быть российскими... Насчет "лавочки" я кой-что слышал, тут вопросов нет. А вот юридический статус в вашем варианте реализации отличен от того, что вы говорите. Это связано с тем, что сертифицированные криптосистемы имеют определенный юридический статус, а обсуждаемое решение на OpenVPN с использованием несертифицированных алгоритмов такого статуса не имеет. Как я понимаю, в последних версиях openssl российские криптоалгоритмы реализованы, хотелось бы узнать, готовы ли они для промышленного использования или еще нет? И можно ли в OpenVPN использовать российские алгоритмы?
Re: Сертификаты OpenVPN
> Мгновенно у тебя в любом случае не получится. Время реакции > человеческого мозга на сказанную фразу существенно ненулевое. С точки зрения физики время дискретно, потому любое время существенно не нулевое. Квантуется, вот ведь дела. > openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp > ca.crl openvpn_server:/etc/openvpn/ А как посмотреть список _действующих_ сертификатов? > AP> Если центр сертификации не зарегистрирован как таковой, то любое > AP> соглашение, подразумевающее это, не имеет юридической силы. Или > AP> получать лицензию на работу в качестве федерального центра > AP> сертификации, или получать сертификат в федеральном центре. В любом > AP> случае более чем в одном регионе работать не удастся. > > ... спорить о вкусе устриц с теми, кто их ел... Буду рад увидеть прецедент судебного решения, признающего такой самопальный CA. Хотя и это ничего не гарантирует, в отличии от США, ибо у нас иная судебная система. Я не сомневаюсь в вашем техническом уровне, но полагаю, что вы не являетесь профессиональными юристами и не можете дать квалифицированный юридический совет. Возможно, я упустил какое-то постановление и неправильно трактую закон, подскажите нужный закон или поправку и требуемый пункт, это полезная информация.
Re: wi-fi грамотн о
On Mon, Oct 08, 2007 at 08:33:50PM +0400, Александр Владимирович Екимов wrote: > В сообщении от Sunday 07 October 2007 19:14:45 Dmitry E. Oboukhov написал(а): > > > а дальше подымаем интерфейс примерно так: > > > > auto eth1 > > iface eth1 inet static > > pre-up iwconfig eth1 mode ad-hoc essid Home key open s:a7ada6372831b [1] > > address 10.1.1.2 > > netmask 255.255.255.0 > > gateway 10.1.1.1 > > > > ну и на сервере аналогично > > > > ну а если на сервере поднят[ь] dhcp то клиент еще проще настраивается > > auto eth1 > > iface eth1 inet dhcp > > pre-up iwconfig eth1 mode ad-hoc essid Home key open > > s:a7ada6372831b [1] > > > > ну а обсуждавшиеся выше ppp через это хозяйство если считаешь > > необходимым - как допопция. > > > > ты же вопрос задал что фиг его знает на каком этапе ты там остановился и > > что тебе надо подсказывать > > вот поэтому и флеймим :) > > Попытался настроить без шифрования, в режиме ad-hoc. > interfaces на ПК > # The primary network interface > allow-hotplug eth1 > iface eth1 inet static > address 10.22.13.19 > netmask 255.255.255.0 > broadcast 10.22.13.255 > gateway 10.22.13.1 > # dns-* options are implemented by the resolvconf package, if > installed > dns-nameservers 10.10.0.2 > domain gnu > auto eth2 >iface eth2 inet static >address 10.22.13.20 # вот тут адрес взял от балды. Или тут должен быть > прописан 10.22.13.19? >netmask 255.255.255.0 >wireless-mode ad-hoc >wireless-channel 1 >wireless-rate auto >wireless-essid first > выполнил echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE > > на ноуте interfaces > iface eth1 inet static > address 10.22.13.21 #от балды > netmask 255.255.255.0 > gateway 10.22.13.20 #Правильно ли? > dns-nameservers 10.10.0.2 > wireless-mode ad-hoc > wireless-chanel 1 > wireless-rate auto > wireless-essid first > domain gnu > > Итог: пингуется 10.22.13.20 и все. > где я наврал? на клиентском ноуте не забудь прописать dns в resolv.conf -- Guten Tag, Alexey -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Tue, 9 Oct 2007 00:54:45 +0400: >> AP> А как посмотреть список _действующих_ сертификатов? >> >> Что значит "список"? В случае с PKI такого понятия, в общем, не >> существует. Нету некоего "общего списка". Хотя конкретный CA вполне >> может держать список выданных им сертификатов. openssl ca так и делает. AP> Не знал, выходит, вопрос получения списка актуальных сертификатов и AP> списка аннулированных решается. В таком случае да, имеет смысл AP> делать свой центр сертификации. Хотя и хорошо, что есть вариант AP> переложить эти заботы на долю OpenVPN-сервера, как я и делаю в AP> настоящий момент. AP> Вопрос - что следует сделать, чтобы клиенты имели доступ к такому AP> центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире AP> той задачи, которую мы обсуждали, но раз все так хорошо... Это лучше Витус помнит, пусть он расскажет. У него где-то прикручен скриптик с openssl ca... AP> юридический статус в вашем варианте реализации отличен от того, что AP> вы говорите. Это связано с тем, что сертифицированные криптосистемы AP> имеют определенный юридический статус, а обсуждаемое решение на AP> OpenVPN с использованием несертифицированных алгоритмов такого AP> статуса не имеет. Как я понимаю, в последних версиях openssl AP> российские криптоалгоритмы реализованы, хотелось бы узнать, готовы AP> ли они для промышленного использования или еще нет? И можно ли в AP> OpenVPN использовать российские алгоритмы? С юридическим статусом как обычно. Ну, в смысле, точно так же, как у обыкновенных провайдеров с их CHAP. Который тоже базируется на MD5, и потому, строго говоря, до суда не доходит. А вот нестрого говоря может и дойти. Что же до алгоритмов, то в последней стабильной (0.9.8) требуется патч, и бинарная совместимость отсутствует. Т.е. приложения тоже пересобирать. Витус, опять же, для дебиана делал пакет, уживающийся со "штатной" библиотекой, т.е. пересобирать надо только те приложения, которым требуются гостовские алгоритмы. Конкретно на OpenVPN не смотрели, насколько там гвоздями прибит "родной" DH. Может потребоваться патч. Патченая OpenSSL в данный момент в процессе сертификации. В 0.9.9 необходимая инфраструктура по алгоритмам уже в комплекте, по TLS в процессе. Т.е. с ее выходом ожидается возможность подключения сертифицированной реализации российских алгоритмов совершенно штатным образом. Но это еще надо доделать, а потом дождаться выхода 0.9.9. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Пользователь юникса перестаёт быть пользователем юникса если после его пользования пользованный юникс перестаёт быть юниксом. (с) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov пишет: AP> А как посмотреть список _действующих_ сертификатов? Что значит "список"? В случае с PKI такого понятия, в общем, не существует. Нету некоего "общего списка". Хотя конкретный CA вполне может держать список выданных им сертификатов. openssl ca так и делает. Не знал, выходит, вопрос получения списка актуальных сертификатов и списка аннулированных решается. В таком случае да, имеет смысл делать свой центр сертификации. Хотя и хорошо, что есть вариант переложить эти заботы на долю OpenVPN-сервера, как я и делаю в настоящий момент. Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены доверять), а в общем случае не должны и ваш вариант работать не будет. Вопрос - что следует сделать, чтобы клиенты имели доступ к такому центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире той задачи, которую мы обсуждали, но раз все так хорошо... Мы поставляем программное обеспечение в систему, работающую таким образом. И нет, это далеко не лавочка на три конторы, там все гораздо серьезнее. Только нюанс - алгоритмы должны быть российскими... Насчет "лавочки" я кой-что слышал, тут вопросов нет. А вот юридический статус в вашем варианте реализации отличен от того, что вы говорите. Это связано с тем, что сертифицированные криптосистемы имеют определенный юридический статус, а обсуждаемое решение на OpenVPN с использованием несертифицированных алгоритмов такого статуса не имеет. Как я понимаю, в последних версиях openssl российские криптоалгоритмы реализованы, хотелось бы узнать, готовы ли они для промышленного использования или еще нет? И можно ли в OpenVPN использовать российские алгоритмы? А причём здесь "юридический статус сертифицированных криптосистем"? Если админ криво настроил продукт, но продукт имеет сертификат, то при взломе (или каком другом инциденте) сертификатом будет прикрыта жопа админа или его конторы, так что ли? В нынешнем виде система сертификации не что иное как поле для всевозможных спекуляций и коррупции (imho). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
Alexey Pechnikov wrote: Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как генерирует сертификаты. 1. Если делать серитфикаты вручную, то лучше это делать спомошью скриптов openvpn, то как это делается в переведенных доках по SSL, с использованием openssl.conf, тоже можно, но это не удобно, и в этих русских доках много ошибок - видно что авторы в результате тоже стали пользоваться скриптами openvpn... Но лучший способ - это использовать EJBCA. 2. PKI и p12 это одно и тоже, openvpnу все равно что использовать p12 или pem, с pem надо отдельно указывать в конфиге ca.pem, key.key и key.crt, а в p12 все три в одном файле. p12 не обязательно должен быть зашифрованным, но сжимается он в любом случае и по cat что внутри не видно. Сертификаты клиента и сервера могут быть однотипные, просто серитфикат сервера должен содержать какую опцию "может быть сертификатом сервера", с клиентом аналогично. Сертификат может иметь обе опции. На сервере не надо держать сертификаты клиентов (можно, но для openvpn ненужно), главное что бы сертификаты клиента и сервера были подписанны одним ca. P.S. Вспомнилось - когда сервер OpenVPN сам назначает ip-адреса клиентам, в файле с соответствиями ip 3. Можно указать диапазон ip для случайного распределения или использовать файлы с указанием статического ip клиента, в этом случае: имя файла = common name сертификата, а содержимое файла примерно такое: ifconfig-push 192.168.1.1 255.255.255.0 эти файлы помещаются в директорию, например, ccd которая указывается в конфиге openvpn.conf: client-config-dir /etc/openvpn/ccd 4. Что касается юридических тонкостей - там важнее алгоритм, они могут быть разные, обычно rsa, но есть и советские. 5. Что касается центров сертификации - umho лучше иметь свой CA 509, если хочеться помудрить можно использовать "взаимную сертификацию", но это еще толком не работает - в простом случае разрастается с геометрической прогрессией при добавлении сторонних CA - практической ценности не имеет. Если использовать классическое дерево - покупать дорогой сертификат раскрутившейся фирмы особого смысла нет - по идее ее "все знают", вот и все, и что это гарантирует ? 6. Отзывать сертификат можно с помощью crl, что просто, или OCSP, XKMS (последними двумя не пользовался). crl - это список отозванных сертификатов для ca, генерируется в файл (по крону) с которым сверяется openvpn при каждом коннекте. 7. Что бы программы не ругались cn должно быть такое же как и домен (особо вредные иначе вообще не работают) - это касается сертификатов сервера и не для openvpn, а для апача, почты... Удачи. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Сертификаты OpenVPN
On Mon, Oct 08, 2007 at 11:18:53PM +0400, Alexey Pechnikov wrote: > В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski > написал(a): [ съел злобный гоблин ] > > С версией более старой, чем 2.0.9 не работал, но все равно не могу понять, > > как вы такого поведения добились? Дайте что-ли взглянуть на содержимое > > openvpn.conf, даже интересно. > > > $cat openvpn.conf > > dev tun0 > server x.y.0.0 255.255.255.0 > ifconfig-pool-persist ipp.txt > persist-key > persist-tun > client-to-client > tls-server > dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem > ca /opt/etc/openvpn/easy-rsa/keys/ca.crt > cert /opt/etc/openvpn/easy-rsa/keys/server.crt > key /opt/etc/openvpn/easy-rsa/keys/server.key > user nobody > group nobody > comp-lzo > persist-tun > persist-key > verb 3 > > > $cat client.conf > verb 1 > cd /opt/openvpn-client > dev tun > nobind > comp-lzo > resolv-retry infinite > cert client.crt > key client.key > ca ca.crt > tls-client > pull > proto udp > mssfix 1300 > remote a.b.c.d > port 1194 > persist-key > persist-tun > ping-restart 0 > Просмотрел, кроме некоторой избыточности, ничего криминального не заметил. В упор не вижу, зачем вашему серверному openvpn для работы обязательно нужны .pem c клиентскими сертификатами :-\ -- Stanislav
Re: Странности с USB Ethernet TrendNet TU2-ET100
On Mon, Oct 08, 2007 at 11:55:13PM +0400, Олег Анисимов wrote: > Stanislav Maslovski пишет: > > On Sun, Oct 07, 2007 at 03:10:08PM +0400, Олег Анисимов wrote: > > > >> Stanislav Maslovski пишет: > >> > >>> Попробуй с помощью ifconfig разрешить promisc mode на этом инетерфейсе. > >>> Отпишись, что получится. > >>> > >>> > >> Более чем уверен, что карта в таком режиме работать будет. Как только > >> доберусь > >> до ноутбука - попробую. Но удивляет то, что карта нормально работает на > >> десктопе. > >> > > > > мм. Могу еще предложить посмотреть с каким MAC эта карточка видна снаружи в > > сетке и с каким - изнутри из ifconfig. Чем черт не шутит. > > > > > Картинка начинает вырисовываться. Весь фокус в том, что я проверял > работоспособность карты с подмененным командой > > ifconfig eth2 hw ether 00:11:22:33:44:55 > > MAC-ом. Смысл в том, что эта карта саппорта, а в нашей сети контроль > доступа на основе MAC. Подразумевается что саппорт будет проверять > работоспособность нашего оборудования (исключать неполадки HW/SW > клиента) загрузившись с LiveCD Knoppix и получив лиз от DHCP с > использованием MAC клиента. > > Сегодня я сделал специально запись в базе DHCP для "родного" MAC > USB карты. И получил IP без прблем и все заработало. Подозреваю, > что на дэсктопе поведение будет аналогичным, завтра проверю. > > Собственно тогда вопрос: почему карта с измененным MAC работает > только в promiscuous mode? Или это нормальное поведение? Мм. Я не в курсе всех деталей, знающие меня подправят, если что. Дело в том, что если карта не в promics mode, то она хардварно отсекает все Ethernet frames, адресованные не её (хардварно зашитому в карту) маку. Поскольку зашитый в карту адрес можно сменить далеко не всегда, линукс идет по пути наименьшего сопротивления и софтварно подменяет МАС в исходящих кадрах. Ну а чтобы ответы не резала карта - она должна быть в promisc mode. -- Stanislav
Re: Сертификаты OpenVPN
Alexey Pechnikov пишет: Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как генерирует сертификаты. Например, сегодня обсуждали использование сервера OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для каждого нового пользователя следует создать сертификат и зашить его в прошивку устройства. При желании можно генерировать прямо на роутере. Например, для FreeWRT есть пакет openvpn-easy-rsa. Конечно, на роутере слабый процессор, поэтому это будет не мгновенно. Но за приемлимое время. Я делал именно так просто чтобы не разводить бардака. В то же время никто не мешает делать всё это на сторонней машине. Процедура описана в официальном HOWTO: [1]. [1] http://openvpn.net/howto.html#pki -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
