date:20100426

2010-04-26 Пенетрантность Vladimir N. Indik


On 2010.04.26 7:52, Andrey Lyubimets wrote:

Расуль Нуртдинов пишет:

Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.


*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


http://bankir.ru/news/article/1725793


И как вывод - вместо попыток удовлетворить утвержения
противоречивых законов лучьше потратить деньги предприятия
на налаживание деловых связей с гос служ.

Хороший знакомый всегда может помочь.

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd542dc.9050...@bifit.com.ua

Re: установка некоторых пакетов из testing на lenny

В сообщении от Понедельник 26 апреля 2010 11:13:50 автор S R написал:
> подскажите плз как поставить обновлённый пакеты (ядро 2.6.30 или выше,
>  Squid 3.1 или выше, iptables 1.4.3.2 или выше) на lenny?

Дописать нужные репозитории, настроить приоритет (слово для гугления "apt-
pinning") и устанавливать как-то так:
# aptitude -t testing linux-image

Re: установка некоторых пакетов из testing на lenny

2010-04-26 Пенетрантность Вереск


26.04.2010 11:43, Vladimir N. Indik пишет:

В сообщении от Понедельник 26 апреля 2010 11:13:50 автор S R написал:
   

подскажите плз как поставить обновлённый пакеты (ядро 2.6.30 или выше,
  Squid 3.1 или выше, iptables 1.4.3.2 или выше) на lenny?
 

Дописать нужные репозитории, настроить приоритет (слово для гугления "apt-
pinning") и устанавливать как-то так:
# aptitude -t testing linux-image
   

Вот так настроено у меня:

http://open-club.ru/main/blogs/%D0%92%D0%B5%D1%80%D0%B5%D1%81%D0%BA/%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B0%D0%BC%D0%B8_Debian_Apt_pinning


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd55117.8070...@mail.ru

Обновление ключей ssh сервера

2010-04-26 Пенетрантность George Shuklin

Сервера клонируются (методами гипервизора). В процессе "подстройки" образа под 
шаблон, обнаружил, что нужно менять ssh-ключи (серверные) на каждом сервере. В 
гугле глухо, все рассказывают как сделать себе ключики для авторизации по ssh.

А как серверу менять? Один (варварский) способ я уже нашёл: aptitude purge 
openssh-server -y && aptitude install openssh-server -y

Но должны быть и более простые методы? 

[Нужно делать это в пакетном режиме]

---
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/129991272271...@web140.yandex.ru

Re: Проблема с ejabberd

2010-04-26 Пенетрантность Igor Goryachev

On Mon, Apr 26, 2010 at 11:13, Korona Auto Ltd./ Andrey N. Prokofiev wrote:

> пользователями с других jabber серверов, но вот беда: не видят мой
> статус. У всех отображается что я в онлайне.

Так, в онлайне или в оффлайне?

> Подскажите в чем может быть проблема. JID если что, тот же что и email.

С самим сервером вроде бы всё в порядке, s2s функционирует, по крайней
мере на запрос диско отвечает.

Какой клиент используется на твоей стороне?

-- 
Igor Goryachev  E-Mail/Jabber: i...@goryachev.org

Re: сертификация

2010-04-26 Пенетрантность Andrey Lyubimets


Victor Wagner пишет:


Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
решение, либо апдейты.

этож профанация здравого смысла!


--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd552dc.2060...@nskes.ru

Re: ejabberd зависает при заг рузке компьютера :(

2010-04-26 Пенетрантность Igor Goryachev

On Wed, Apr 21, 2010 at 12:06, alexander wrote:

> Стал зависать ejabberd при загрузке компьютера. Как начинают грузиться
> все стартовые демоны, появляется надпись: "Starting
> ejabberd." и точки появляются и появляются вновь. :

Обычно такое происходит, когда тулза ejabberdctl (и сотоварищи) не может
достучаться по RPC до эрланговой ноды. Здесь у тебя какая-то проблема в
конфигурации машины. Вручную всегда получается запустить? Не получается
только на этапе загрузки системы?

-- 
Igor Goryachev  E-Mail/Jabber: i...@goryachev.org

Re: сертификация

2010-04-26 Пенетрантность Konstantin Matyukhin

2010/4/26 Andrey Lyubimets :
> Victor Wagner пишет:
>
>> Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
>> альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
>> решение, либо апдейты.
>
> этож профанация здравого смысла!
Либо здравый смысл, либо госрегулирование.

-- 
С уважением,
Константин Матюхин

Re: Обновление ключей ssh сервера

2010-04-26 Пенетрантность Andrey Lyubimets


George Shuklin пишет:

Сервера клонируются (методами гипервизора). В процессе "подстройки" образа под 
шаблон, обнаружил, что нужно менять ssh-ключи (серверные) на каждом сервере. В гугле 
глухо, все рассказывают как сделать себе ключики для авторизации по ssh.

А как серверу менять? Один (варварский) способ я уже нашёл: aptitude purge 
openssh-server -y && aptitude install openssh-server -y

Но должны быть и более простые методы? 

А просто удалить ключи?


[Нужно делать это в пакетном режиме]

---
wBR,George.





--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd55497.9010...@nskes.ru

Re: установка некоторы х пакетов из testing на lenny

On Mon, Apr 26, 2010 at 10:13:50AM +0300, S R wrote:
> День добрый,
> 
> подскажите плз как поставить обновлённый пакеты (ядро 2.6.30 или выше, Squid
> 3.1 или выше, iptables 1.4.3.2 или выше) на lenny?
> 1. подправить временно /etc/apt/sources.list - указать зеркала testing и
> установив свежие версии пакетов вернуть назад зеркала на stable...
> 2. через http://www.debian.org/distrib/packages пошагово сливать нужные
> *.deb с необходимыми зависимостями ?

backports.org. Либо руками пересобирать пакеты, поправив зависимости.

-- 
WBR, Dmitry


signature.asc
Description: Digital signature

Re: ejabberd зависает при загрузке компьютера :(

On Mon, Apr 26, 2010 at 12:46:49PM +0400, Igor Goryachev wrote:
> On Wed, Apr 21, 2010 at 12:06, alexander wrote:
> 
> > Стал зависать ejabberd при загрузке компьютера. Как начинают грузиться
> > все стартовые демоны, появляется надпись: "Starting
> > ejabberd." и точки появляются и появляются вновь. :
> 
> Обычно такое происходит, когда тулза ejabberdctl (и сотоварищи) не может
> достучаться по RPC до эрланговой ноды. Здесь у тебя какая-то проблема в
> конфигурации машины. Вручную всегда получается запустить? Не получается
> только на этапе загрузки системы?

Наступал. Оказался нерабочим DNS.
 
-- 
WBR, Dmitry


signature.asc
Description: Digital signature

Re: OpenVZ: настройки памяти на боевом сер вере

2010-04-26 Пенетрантность Korona Auto Ltd./ Andrey N. Prokofiev

Denis Feklushkin -> debian-russian@lists.debian.org  @ Fri, 23 Apr 2010 
23:35:48 +0800:

 DF> Кто-нибудь может поделиться?

 DF> Точнее даже не самими настройками а соображениями касательно их
 DF> изменения в случае если пользователь просит увеличить объём памяти.
 DF> Скажем, 256Мб у него отображается (дефолтное значение в openvz
 DF> дебиана), а он захотел 512.  Кажется не вполне разумным просто
 DF> увеличить в 2 раза все относящиеся к настройкам памяти значения :)

 DF> Расскажите рецепт!

Не все, естественно.  privvmpages в норме.  А вообще -
http://wiki.openvz.org/UBC до просветления.

-- 
Пользователь юникса перестаёт быть пользователем юникса если после его
пользования пользованный юникс перестаёт быть юниксом. (с)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50504...@tigger.lan.cryptocom.ru

Re: Проблема с ejabberd


Igor Goryachev пишет:

Так, в онлайне или в оффлайне?

Пардон. В оффлайне конечно.

Какой клиент используется на твоей стороне?
  
У меня gajim. Заметил что такая штука в основном у клиентов с акком на 
гмейле. С jabber.ru пока проблем не замечал.


--
WBR, Andrey N. Prokofiev
IT department of the Korona Auto Ltd.
Jabber ID: a...@korona-auto.com
E-mail: a...@korona-auto.com
Work Phone: +7-812-640-56-01



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd55ebb.3070...@korona-auto.com

Re: Проблема с ejabberd

2010-04-26 Пенетрантность Sergey Korobitsin

Korona Auto Ltd./ Andrey N. Prokofiev ☫ → To debian-russian@lists.debian.org @ 
Mon, Apr 26, 2010 13:36 +0400

> У меня gajim. Заметил что такая штука в основном у клиентов с акком
> на гмейле. С jabber.ru пока проблем не замечал.

Давно заметил, что у Google, скажем так, довольно "странный" s2s. 

-- 
Bright regards, Sergey Korobitsin | http://the-brights.net/ --
  Arta Software, http://arta.kz/  | illuminating and elevating
  xmpp:underta...@jabber.arta.kz  | the naturalistic worldview

--
Если мысли сходятся - значит, они ограничены
  -- Саша & Наташа, периодически


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426094521.gb2...@undertaker.arta.local

Re: Обновление ключей ssh сервер а

2010-04-26 Пенетрантность Andrey Lyubimets

George Shuklin -> Debian-russian List  @ Mon, 26 Apr 2010 12:38:12 +0400:

 GS> Сервера клонируются (методами гипервизора). В процессе "подстройки"
 GS> образа под шаблон, обнаружил, что нужно менять ssh-ключи
 GS> (серверные) на каждом сервере. В гугле глухо, все рассказывают как
 GS> сделать себе ключики для авторизации по ssh.

 GS> А как серверу менять? Один (варварский) способ я уже нашёл:
 GS> aptitude purge openssh-server -y && aptitude install openssh-server
 GS> -y

 GS> Но должны быть и более простые методы? 

Угу.  man ssh-keygen.

-- 
An ideal world is left as an exercise to the reader.
Paul Graham, "On Lisp"


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/84422...@tigger.lan.cryptocom.ru

Re: Обновление ключей ssh сервера


George Shuklin пишет:

Предполагается, что они после этого сами сгенерируются? Не уверен...

Бес попутал!
Во FreeBSD - достаточно удалить!
из freebsd-шного инитскрипта /etc/rc.d/sshd:

sshd_keygen()
{
(
umask 022

# Can't do anything if ssh is not installed
[ -x /usr/bin/ssh-keygen ] || {
warn "/usr/bin/ssh-keygen does not exist."
return 1
}

if [ -f /etc/ssh/ssh_host_key ]; then
echo "You already have an RSA host key" \
"in /etc/ssh/ssh_host_key"
echo "Skipping protocol version 1 RSA Key Generation"
else
/usr/bin/ssh-keygen -t rsa1 -b 1024 \
-f /etc/ssh/ssh_host_key -N ''
fi

if [ -f /etc/ssh/ssh_host_dsa_key ]; then
echo "You already have a DSA host key" \
"in /etc/ssh/ssh_host_dsa_key"
echo "Skipping protocol version 2 DSA Key Generation"
else
/usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ''
fi

if [ -f /etc/ssh/ssh_host_rsa_key ]; then
echo "You already have a RSA host key" \
"in /etc/ssh/ssh_host_rsa_key"
echo "Skipping protocol version 2 RSA Key Generation"
else
/usr/bin/ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
fi
)
}


26.04.10, 15:53, "Andrey Lyubimets" :


George Shuklin пишет:
 > Сервера клонируются (методами гипервизора). В процессе "подстройки" образа 
под шаблон, обнаружил, что нужно менять ssh-ключи (серверные) на каждом сервере. В гугле 
глухо, все рассказывают как сделать себе ключики для авторизации по ssh.
 > 
 > А как серверу менять? Один (варварский) способ я уже нашёл: aptitude purge openssh-server -y && aptitude install openssh-server -y
 > 
 > Но должны быть и более простые методы? 
 А просто удалить ключи?
 > 
 > [Нужно делать это в пакетном режиме]
 > 
 > ---



--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd565b4.4080...@nskes.ru

Re: сертификация

2010-04-26 Пенетрантность Родион Попов


Konstantin Matyukhin пишет:

2010/4/26 Andrey Lyubimets :
  

Victor Wagner пишет:



Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
решение, либо апдейты.
  

этож профанация здравого смысла!


Либо здравый смысл, либо госрегулирование.

  

Вспомните историю.
http://www.debian.org/News/2006/20060713.ru.html

А если у злоумышленника  таки появится доступ к серверу с апдейтами? Так 
что либо апдейты только от сертифицированного источника, либо 
сертифицирование идёт в лес.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd56d25.3020...@gmail.com

НЕлинуксовые разработки Debian

Кстати, любопытный момент. Насколько мне известно, маковское ядро Darwin
свободно доступно в виде исходников. Кто-нибудь вообще это как-то
использует? Теоретически ведь можно было бы сделать Debian GNU/Darwin. :)
Интересно, представляет ли это хоть какую-то ценность, т.е. выделяется ли
чем-то это ядро в сравнении с другини юниксовыми собратьями?

Re: НЕлинуксовые разра ботки Debian

On Mon, Apr 26, 2010 at 03:37:05PM +0400, Родион Попов wrote:
> Кстати, любопытный момент. Насколько мне известно, маковское ядро Darwin
> свободно доступно в виде исходников. Кто-нибудь вообще это как-то
> использует? Теоретически ведь можно было бы сделать Debian GNU/Darwin. :)
> Интересно, представляет ли это хоть какую-то ценность, т.е. выделяется ли
> чем-то это ядро в сравнении с другини юниксовыми собратьями?

Выделяется. Нормальной поддержкой только эплового железа и тормозами дискового 
I/O.

-- 
WBR, Dmitry


signature.asc
Description: Digital signature

Re: НЕлинуксовые разработки Debian

2010-04-26 Пенетрантность Родион Попов

On Mon, Apr 26, 2010 at 11:43:24AM +, Dmitry Nezhevenko wrote:
> тормозами дискового I/O.
В связи с чем? 

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

 %post_ldconfig не нужен?
<|Drool|> Скоро вообще в спеках ничего не нужно будет :)


signature.asc
Description: Digital signature

НЕлинуксовые разработки Debian

А что такое эпловое железо? Они ж ничего своего не выдумывают: интел,
ати/нвидия и т.д. Имеется в виду заточка под конкретные модели и сочетания?
А это свойство именно ядра или местных проприетарных иксов?


Выделяется. Нормальной поддержкой только эплового железа и тормозами
> дискового I/O.
>
> --
>  WBR, Dmitry
>

Re: НЕлинуксовые разработки Debian

On Mon, Apr 26, 2010 at 03:37:05PM +0400, Родион Попов wrote:
> Кстати, любопытный момент. Насколько мне известно, маковское ядро Darwin
> свободно доступно в виде исходников. Кто-нибудь вообще это как-то
> использует? Теоретически ведь можно было бы сделать Debian GNU/Darwin. :)
http://en.wikipedia.org/wiki/Darwin_(operating_system)#Derived_projects

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

 чем можно обламать find-requires ?
 зачем?
 он валиться
[wRAR гнобит victor`]
 victor`: wRAR - это тестирование прочности нервной системы,
которая пригодится в дальнейшем. если ты даже wRAR-а пройти не
можешь, то дальше будет еще опаснее :) поэтому не нервничай, все
будет хорошо. сейчас "добрый полицейский" Lost тебе поможет

signature.asc
Description: Digital signature

Re: Re: Обновление ключей ssh сервера

2010-04-26 Пенетрантность George Shuklin

26.04.10, 13:55, "Artem Chuprina" :

>   GS> Сервера клонируются (методами гипервизора). В процессе "подстройки"
>   GS> образа под шаблон, обнаружил, что нужно менять ssh-ключи
>   GS> (серверные) на каждом сервере. В гугле глухо, все рассказывают как
>   GS> сделать себе ключики для авторизации по ssh.
>  
>   GS> А как серверу менять? Один (варварский) способ я уже нашёл:
>   GS> aptitude purge openssh-server -y && aptitude install openssh-server
>   GS> -y
>  
>   GS> Но должны быть и более простые методы? 
>  
>  Угу.  man ssh-keygen.

Прочитал. Там написано только 'may' но не написано как. Что may это я и без 
мана знал.

---
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/53271272283...@web138.yandex.ru

Re: сертификация

Игорь Чумак -> debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 13:38:29 
+0300:

  Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
  альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
  решение, либо апдейты.
    
 >>> этож профанация здравого смысла!
 >>> 
 >> Либо здравый смысл, либо госрегулирование.
 >>
 >>   
 ИЧ> Вспомните историю.
 ИЧ> http://www.debian.org/News/2006/20060713.ru.html

 ИЧ> А если у злоумышленника таки появится доступ к серверу с апдейтами?
 ИЧ> Так что либо апдейты только от сертифицированного источника, либо
 ИЧ> сертифицирование идёт в лес.

А если у злоумышленника появится доступ к серверу сертифицированного
источника?

Ноги у дилеммы "либо сертификация, либо апдейты" растут из того, что
сертификация по замыслу защищает не от злоумышленника, а от ошибки.
Сертифицированные бинарники (по замыслу, повторюсь) проходят некие
сертификационные испытания (читай "тесты"), типа на соответствие задаче.
Не знаю как у Альта со ФСТЭК, а наши СКЗИ реально проходят.  И
сертификат, подразумевается, подтверждает, что именно вот эти бинарники
соответствуют задаче в том смысле, что эти тесты они успешно прошли.

После того, как сделан апдейт, чтобы он был сертифицированным, надо
прогнать через сертификационные испытания уже его.  Нет, не только
изменившиеся три байта.  Весь комплекс.  Ну, то есть пройти всю
процедуру сертификации для новой версии.

На практике, понятно, сертификация дистрибутива будет по сути
профанацией (ибо слишком дофига всего тестировать), ну и покупают его,
чтоб была бумажка показать проверяющим.  А уж что там на самом деле
стоит - этого проверяющий не проверяет, если его не допечь...

-- 
If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
IBM poster explaining virtual memory, circa 1978


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/18343...@tigger.lan.cryptocom.ru

хитрый cron и ротейт логов сер вера

2010-04-26 Пенетрантность Sapytsky Ilya

Добрый день!
Есть такая задача - машинка включается периодически, но при этом логи
ротейтить надо так же, как если бы она работала всю ночь.
Можно конечно использовать @reboot в crontab, но тогда все логи будут
ротейтиться при каждом стартапе за день, что тоже есть не хорошо...
Знаю про anacron, но вот там тоже нет смешения @reboot и один раз в день...
Есть ли что-нибудь уже готовое, чтобы исполнять run-parts /etc/cron.daily
только один раз в день при первом старте за день или надо изобретать свой
велосипед?
Спасибо.

Re: хитрый cron и роте йт логов сервера

On Mon, Apr 26, 2010 at 04:31:44PM +0400, Sapytsky Ilya wrote:
> Есть такая задача - машинка включается периодически, но при этом логи
> ротейтить надо так же, как если бы она работала всю ночь.
Так чем anacron-то не устраивает?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

Обидно закачивать монстра в 100 Мбайт только из-за того,
что там исправлена ошибка в Summary :)
-- lav in sisyphus@


signature.asc
Description: Digital signature

Re: хитрый cron и ротейт логов с ервера

2010-04-26 Пенетрантность Sapytsky Ilya

26 апреля 2010 г. 16:34 пользователь Andrey Rahmatullin
написал:

> On Mon, Apr 26, 2010 at 04:31:44PM +0400, Sapytsky Ilya wrote:
> > Есть такая задача - машинка включается периодически, но при этом логи
> > ротейтить надо так же, как если бы она работала всю ночь.
> Так чем anacron-то не устраивает?
>
> ниже же написано, что надо не только @reboot, но еще и только один раз в
день...
если это на anacron можно сделать - подскажите как, буду очень признателен.

Re: хитрый cron и ротейт логов сервера

Sapytsky Ilya -> Russian Debian List  @ Mon, 26 Apr 2010 16:39:37 +0400:

 >> > Есть такая задача - машинка включается периодически, но при этом логи
 >> > ротейтить надо так же, как если бы она работала всю ночь.
 >> Так чем anacron-то не устраивает?
 >>
 >> ниже же написано, что надо не только @reboot, но еще и только один раз в
 SI> день...
 SI> если это на anacron можно сделать - подскажите как, буду очень признателен.

Он это сам по себе делает.  Искаропки.

-- 
hands-free BSD
 -- (С)энта


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86182...@tigger.lan.cryptocom.ru

Re: Обновление ключей ssh сервер а

George Shuklin -> Debian-russian List  @ Mon, 26 Apr 2010 16:08:00 +0400:

 >>   GS> Сервера клонируются (методами гипервизора). В процессе "подстройки"
 >>   GS> образа под шаблон, обнаружил, что нужно менять ssh-ключи
 >>   GS> (серверные) на каждом сервере. В гугле глухо, все рассказывают как
 >>   GS> сделать себе ключики для авторизации по ssh.
 >>  
 >>   GS> А как серверу менять? Один (варварский) способ я уже нашёл:
 >>   GS> aptitude purge openssh-server -y && aptitude install openssh-server
 >>   GS> -y
 >>  
 >>   GS> Но должны быть и более простые методы? 
 >>  
 >>  Угу.  man ssh-keygen.

 GS> Прочитал. Там написано только 'may' но не написано как. Что may это
 GS> я и без мана знал.

До -f output_keyfile (вторая строчка в разделе SYNOPSIS) ты дочитать не смог?

-- 
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20101...@tigger.lan.cryptocom.ru

SYN-flooding на мой веб-серва к. Предотвратить. Nginx?

Привет.
Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак.
При этом dmesg выдал картинко:

[30942.485594] possible SYN flooding on port 80. Sending cookies.
[30951.969322] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[30960.029739] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[30966.058466] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[31003.499854] possible SYN flooding on port 80. Sending cookies.

Я тут добавил директивы limit для сервака, а потом вдруг возникла идея
nginx. Почитал как его хвалят. Если он такой хороший, то что его не
используют многие для своих нужд, например debian.org? :( Есть ли смысл
ставить nginx? Поможет ли он уменьшить syn-flooding и вообще нагрузку
на сервер?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426235900.63def...@mai1.mine.nu

Re: Проблема с ejabberd

2010-04-26 Пенетрантность Igor Goryachev

On Mon, Apr 26, 2010 at 13:45, Sergey Korobitsin wrote:

>> У меня gajim. Заметил что такая штука в основном у клиентов с акком
>> на гмейле. С jabber.ru пока проблем не замечал.
>
> Давно заметил, что у Google, скажем так, довольно "странный" s2s. 

Это известный факт. Можно попробовать тупо обновить версию ejabberd до
текущей, авось починится. Или забить багу в гугловский багтрекер.

Буквально только что с Андреем проверяли презенсы, всё работает как
в случае с другим ejabberd, так и с аккаунтом на gmail.com.

-- 
Igor Goryachev  E-Mail/Jabber: i...@goryachev.org

Re: сертификация

2010-04-26 Пенетрантность Victor Wagner

On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:

> Игорь Чумак -> debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 13:38:29 
> +0300:
> 
>   Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
>   альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
>   решение, либо апдейты.
>     
>  >>> этож профанация здравого смысла!
>  >>> 
>  >> Либо здравый смысл, либо госрегулирование.
>  >>
>  >>   
>  ИЧ> Вспомните историю.
>  ИЧ> http://www.debian.org/News/2006/20060713.ru.html
> 
>  ИЧ> А если у злоумышленника таки появится доступ к серверу с апдейтами?
>  ИЧ> Так что либо апдейты только от сертифицированного источника, либо
>  ИЧ> сертифицирование идёт в лес.
> 
> А если у злоумышленника появится доступ к серверу сертифицированного
> источника?

То клиент будет обязан согласно "Правилам эксплуатации" проверить
хэш-сумму критически важных бинарников  и сопоставить ее с хэш-суммой,
пропечатанной в бумажном формуляре с подписью и печатью. Это в СКЗИ так.


> Ноги у дилеммы "либо сертификация, либо апдейты" растут из того, что
> сертификация по замыслу защищает не от злоумышленника, а от ошибки.
> Сертифицированные бинарники (по замыслу, повторюсь) проходят некие
> сертификационные испытания (читай "тесты"), типа на соответствие задаче.
> Не знаю как у Альта со ФСТЭК, а наши СКЗИ реально проходят.  И
> сертификат, подразумевается, подтверждает, что именно вот эти бинарники
> соответствуют задаче в том смысле, что эти тесты они успешно прошли.
> 
> После того, как сделан апдейт, чтобы он был сертифицированным, надо
> прогнать через сертификационные испытания уже его.  Нет, не только
> изменившиеся три байта.  Весь комплекс.  Ну, то есть пройти всю
> процедуру сертификации для новой версии.

Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
апдейтов. По крайней мере для антивирусов. Система, которая позволяла
пройти весь комплекс процедур, вплоть до выпуска подписанного
электронной подписью формуляра  с хэшсуммами,  за единицы дней, а то и
часов, при условии что ТЗ не менялось, была разработана. 

Но по каким-то не зависящим от нас причинам не была внедрена.



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426140826.ga11...@wagner.pp.ru

"правильные" владелец :группа /var/{run,lock,lib}/pkg.d

2010-04-26 Пенетрантность Andrey Nikitin

Привет.

Регулируется ли чем (LSB, debian-policy) какими (рекоменд.) должны
быть владелец:группа для каталогов pkg.d внутри /var/{run,lock,lib}.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426181427.4f58e...@host19

Re: squid: запретить скач ивать exe-файлы

2010-04-26 Пенетрантность Ed

Чумак Игорь wrote:

25.04.2010 15:34, Ed пишет:
антивирусных решений для сквида много, однако все они достаточно
тяжеловесны.

хочу просто запретить скачивать файлы, начинающиеся с MZ.
как ни странно, готового решения не нашёл. ближе всего оказался
c-icap - там есть определение типов файлов по сигнатурам, но
используется только для принятия решения - проверять ли с помощью
clamav (что в общем-то достаточно бесполезное занятие - базы clamav
достаточно слабые).

вот думаю - дорабатывать c-icap напильником или же я просто плохо искал?

Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно
проверки на расширение.

расширение может быть любым - pif, scr, dll, ...
плюс есть дропперы - которые докачивают "недостающие части" по http, для
них расширение совершенно роли не играет.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a061.1010...@yandex.ru

Re: сертификация


Artem Chuprina пишет:

Игорь Чумак -> debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 13:38:29 
+0300:

  Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
  альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
  решение, либо апдейты.
    
 >>> этож профанация здравого смысла!
 >>> 
 >> Либо здравый смысл, либо госрегулирование.

 >>
 >>   
 ИЧ> Вспомните историю.

 ИЧ> http://www.debian.org/News/2006/20060713.ru.html

 ИЧ> А если у злоумышленника таки появится доступ к серверу с апдейтами?
 ИЧ> Так что либо апдейты только от сертифицированного источника, либо
 ИЧ> сертифицирование идёт в лес.

А если у злоумышленника появится доступ к серверу сертифицированного
источника?

  
Имелось в виду, что сертифицированные кем угодно (я с российсиким 
законодательством не знаком, мало ли какая контора и для каких целей 
занимается сертификацией) апдейты технически возможны (цифровые подписи 
в дебиановских пакетах есть). Но только в том случае, если если они 
принимаются к распространению после сертификации.
Иначе возможен сценарий, когда сферическая софтина версии 1.0 проходит 
сертификацию в сферической конторе, команда разработчиков через неделю 
делает версию 1.1, в которой закрыт 1 баг  и сделано ещё 3.

Длинновато получилось ;)



Ноги у дилеммы "либо сертификация, либо апдейты" растут из того, что
сертификация по замыслу защищает не от злоумышленника, а от ошибки.
  

Некоторые ошибки могут оказаться хуже целенаправленной диверсии.;)

Сертифицированные бинарники (по замыслу, повторюсь) проходят некие
сертификационные испытания (читай "тесты"), типа на соответствие задаче.
Не знаю как у Альта со ФСТЭК, а наши СКЗИ реально проходят.  И
сертификат, подразумевается, подтверждает, что именно вот эти бинарники
соответствуют задаче в том смысле, что эти тесты они успешно прошли.

После того, как сделан апдейт, чтобы он был сертифицированным, надо
прогнать через сертификационные испытания уже его.  Нет, не только
изменившиеся три байта.  Весь комплекс.  Ну, то есть пройти всю
процедуру сертификации для новой версии.

На практике, понятно, сертификация дистрибутива будет по сути
профанацией (ибо слишком дофига всего тестировать), ну и покупают его,
чтоб была бумажка показать проверяющим. 

Каких только схем не придумают, чтобы срубить бабла..

 А уж что там на самом деле
стоит - этого проверяющий не проверяет, если его не допечь...

  



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a06b.1020...@gmail.com

Re: сертификация


On 2010.04.26 17:08, Victor Wagner wrote:

On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:

А если у злоумышленника появится доступ к серверу сертифицированного
источника?


То клиент будет обязан согласно "Правилам эксплуатации" проверить
хэш-сумму критически важных бинарников  и сопоставить ее с хэш-суммой,
пропечатанной в бумажном формуляре с подписью и печатью. Это в СКЗИ так.


Если сертифицирована статическая библиотека - после линковке хеши
не проверить.

Вообще возможность изменять/поправлять реализацию СКЗИ - хорошо,
можно мелкие недочеты поправить (там проверки на NULL добавить),
изменить интерфейс и т.д.

Сертификацию стоило бы рассматривать как признание того что команда
разработчиков хороша и их продукт может использоваться.

Интересный момент что срок действия сертификата - 5 лет,
в програмном изделии за это время что моль заведется?

Получается нужно новый продукт создавать. В моей практике
сторонние компании продлевали срок действия сертификата,
не доводилось ли кому видеть что происходит когда
срок действия истек окончательно?


Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
апдейтов. По крайней мере для антивирусов. Система, которая позволяла
пройти весь комплекс процедур, вплоть до выпуска подписанного
электронной подписью формуляра  с хэшсуммами,  за единицы дней, а то и
часов, при условии что ТЗ не менялось, была разработана.


Круто!

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a18f.3090...@bifit.com.ua

Re: squid: запретить ск ачивать exe-файлы

Ed пишет:

Чумак Игорь wrote:

25.04.2010 15:34, Ed пишет:
антивирусных решений для сквида много, однако все они достаточно
тяжеловесны.

вот думаю - дорабатывать c-icap напильником или же я просто плохо
искал?

Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно
проверки на расширение.

расширение может быть любым - pif, scr, dll, ...

В конфигах того же dansguardian это учтено
плюс есть дропперы - которые докачивают "недостающие части" по http,
для них расширение совершенно роли не играет.

Я бы на месте аффтаров "недостающие части" ещё и шифровал - сигнатурный
анализ сразу идёт лесом.

Re: сертификация

On Mon, 26 Apr 2010 17:22:07 +0300
Oleksandr Gavenko  wrote:

> Интересный момент что срок действия сертификата - 5 лет,
> в програмном изделии за это время что моль заведется?

злыдни подберут бажный вариант софта, проходящий проверку по хэшу :)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426225856.2c553...@db.h-g.com

Re: SYN-flooding на мой веб-серв ак. Предотвратить. Nginx?

On Mon, 26 Apr 2010 23:59:00 +1100
alexander  wrote:

> Привет.
> Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак.
> При этом dmesg выдал картинко:
> 
> [30942.485594] possible SYN flooding on port 80. Sending cookies.
> [30951.969322] TCPv6: Possible SYN flooding on port 80. Sending cookies.
> [30960.029739] TCPv6: Possible SYN flooding on port 80. Sending cookies.
> [30966.058466] TCPv6: Possible SYN flooding on port 80. Sending cookies.
> [31003.499854] possible SYN flooding on port 80. Sending cookies.
> 
> Я тут добавил директивы limit для сервака, а потом вдруг возникла идея
> nginx.

По-моему, не тот уровень. Флудить ведь не перестанут, и tcp-соекуты так и будут 
открываться, и в dmesg этот же текст будет писаться дальше

> Почитал как его хвалят. Если он такой хороший, то что его не
> используют многие для своих нужд, например debian.org? :( Есть ли смысл
> ставить nginx? Поможет ли он уменьшить syn-flooding и вообще нагрузку
> на сервер?
> 
> 


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426230101.61214...@db.h-g.com

Re: sendmail или exim4?

On Mon, 26 Apr 2010 02:49:43 +
James Brown  wrote:

> Что лучше, какие плюсы-минусы у каждого из них? Что лучше для новичка,
> впервые конфигурирующего почтовый сервер?
> В Дебиане по умолчанию установлен exim4. В книжке Немет и др. подробно
> описана работа с sendmail, по экзим раздельчик на полстраницы, как я
> понимаю, у exim многие параметры задаются также для совместимости. Какие
> есть подводные камни?
> И еще, какие минимальные и оптимальные параметры для виртуального
> сервера для того, чтобы "поднять" почтовый сервер под Debian?
> 
> 

если вопрос возник то exim4 однозначно


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426230309.4d4c9...@db.h-g.com

Re: SYN-flooding на мой веб-серв ак. Предотвратить. Nginx?

On Mon, 26 Apr 2010 23:01:01 +0800
Denis Feklushkin  wrote:

> On Mon, 26 Apr 2010 23:59:00 +1100
> alexander  wrote:
> 
> > Привет.
> > Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак.
> > При этом dmesg выдал картинко:
> > 
> > [30942.485594] possible SYN flooding on port 80. Sending cookies.
> > [30951.969322] TCPv6: Possible SYN flooding on port 80. Sending
> > cookies. [30960.029739] TCPv6: Possible SYN flooding on port 80.
> > Sending cookies. [30966.058466] TCPv6: Possible SYN flooding on
> > port 80. Sending cookies. [31003.499854] possible SYN flooding on
> > port 80. Sending cookies.
> > 
> > Я тут добавил директивы limit для сервака, а потом вдруг возникла
> > идея nginx.
> 
> По-моему, не тот уровень. Флудить ведь не перестанут, и tcp-соекуты
> так и будут открываться, и в dmesg этот же текст будет писаться дальше
> 
> > Почитал как его хвалят. Если он такой хороший, то что его не
> > используют многие для своих нужд, например debian.org? :( Есть ли
> > смысл ставить nginx? Поможет ли он уменьшить syn-flooding и вообще
> > нагрузку на сервер?
> > 
> > 
> 
> 
ясн. ;) да я тут про nginx тут прочитал, во чо пишут гады:

"В этом примере все запросы попадающие в location / будут проксироваться
на сервер 1.2.3.4 порт 8080. Это может быть как apache, так и любой
другой http-сервер.

Однако тут есть несколько тонкостей, связанных с тем, что приложение
будет считать, что, во-первых, все запросы приходят к нему с одного
IP-адреса (что может быть расценено, например, как попытка DDoS-атаки
или подбора пароля), а во-вторых, считать, что оно запущено на хосте
1.2.3.4 и порту 8080 (соответственно, генерировать неправильные
редиректы и абсолютные ссылки). Чтобы избежать этих проблем без
необходимости переписывания приложения, мне кажется удобной следующая
конфигурация: Nginx слушает внешний интерфейс на порту 80."

Вот я и подумал что nginx еще может определять DDoS атаки ;) хыхы

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427022133.4b954...@mai1.mine.nu

Re: sendmail или exim4?

On Mon, 26 Apr 2010 23:03:09 +0800
Denis Feklushkin  wrote:

> On Mon, 26 Apr 2010 02:49:43 +
> James Brown  wrote:
> 
> > Что лучше, какие плюсы-минусы у каждого из них? Что лучше для
> > новичка, впервые конфигурирующего почтовый сервер?
> > В Дебиане по умолчанию установлен exim4. В книжке Немет и др.
> > подробно описана работа с sendmail, по экзим раздельчик на
> > полстраницы, как я понимаю, у exim многие параметры задаются также
> > для совместимости. Какие есть подводные камни?
> > И еще, какие минимальные и оптимальные параметры для виртуального
> > сервера для того, чтобы "поднять" почтовый сервер под Debian?
> > 
> > 
> 
> если вопрос возник то exim4 однозначно
> 
> 
у мну exim. Работает вери гут ;)) а у debian-russian@lists.debian.org
Postfix маеца ;))) ишь какие нихарошие - нам exim втюливают, а сами
Postfix'om пользуются. ;D


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427022513.5ff60...@mai1.mine.nu

Re: SYN-flooding на мой веб -сервак. Предотврат ить. Nginx?

alexander пишет:

Привет.
Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак.
При этом dmesg выдал картинко:

[30942.485594] possible SYN flooding on port 80. Sending cookies.
[30951.969322] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[30960.029739] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[30966.058466] TCPv6: Possible SYN flooding on port 80. Sending cookies.
[31003.499854] possible SYN flooding on port 80. Sending cookies.

Я тут добавил директивы limit для сервака, а потом вдруг возникла идея
nginx. Почитал как его хвалят. Если он такой хороший, то что его не
используют многие для своих нужд, например debian.org? :( Есть ли смысл
ставить nginx? Поможет ли он уменьшить syn-flooding и вообще нагрузку
на сервер?

Смысл syn-flood атаки:
На порт сервиса, который нужно повалить, отсылается syn-пакет. TCP-стек
, в уверенности, что это начало нового соединения, выделяет в памяти
место, отсылает в ответ ask и ждет какое-то время стабилизации
соединения. То есть обработка каждого syn-пакета требует некоторых
ресурсов. Навалить много syn-пакетов - ресурсов в системе может не
хватить. Навалить syn-пакетов с разных адресов - не поможет ничто.

Поэтому от synflood защиты на уровне приложения нет. Надо крутить
параметры ядра (google в помощь,
http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks)

Нагрузку на сервер nginx может уменьшить. Например, некоторый запрос
обрабатывается апачем (который требует N ресурсов) за n секунд.
Результат отдается клиенту за m секунд. Если m>>n (например, канал у
клиента плохой; пусть m=n*3) . Тогда для обработки этого запроса+отдача
клиенту требуется N*n*3 ресурсов. Если между толстым апачем и клиентом
есть тонкий прокси (nginx), требующий P ресурсов - тогда на 1 запрос
потребуется N*n+P*m ресурсов. Выгодно это или нет - надо смотреть.. Если
нет запросов, которые дооолго выполняются - nginx может и не помочь
(теоретически).

Re: SYN-flooding на мой веб-серв ак. Предотвратить. Nginx?

On Mon, 26 Apr 2010 18:31:14 +0300
Игорь Чумак  wrote:

> alexander пишет:
> > Привет.
> > Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак.
> > При этом dmesg выдал картинко:
> >
> > [30942.485594] possible SYN flooding on port 80. Sending cookies.
> > [30951.969322] TCPv6: Possible SYN flooding on port 80. Sending
> > cookies. [30960.029739] TCPv6: Possible SYN flooding on port 80.
> > Sending cookies. [30966.058466] TCPv6: Possible SYN flooding on
> > port 80. Sending cookies. [31003.499854] possible SYN flooding on
> > port 80. Sending cookies.
> >
> > Я тут добавил директивы limit для сервака, а потом вдруг возникла
> > идея nginx. Почитал как его хвалят. Если он такой хороший, то что
> > его не используют многие для своих нужд, например
> > debian.org? :( Есть ли смысл ставить nginx? Поможет ли он уменьшить
> > syn-flooding и вообще нагрузку на сервер?
> >
> >
> >   
> Смысл syn-flood атаки:
> На порт сервиса, который нужно повалить, отсылается syn-пакет.
> TCP-стек , в уверенности, что это начало нового соединения, выделяет
> в памяти место, отсылает в ответ ask и ждет какое-то время
> стабилизации соединения. То есть обработка каждого syn-пакета требует
> некоторых ресурсов. Навалить много syn-пакетов - ресурсов в системе
> может не хватить. Навалить syn-пакетов с разных адресов - не поможет
> ничто.
> 
> Поэтому от synflood защиты на уровне  приложения нет.  Надо крутить 
> параметры  ядра  (google в помощь, 
> http://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks)
> 
> Нагрузку на сервер nginx может уменьшить. Например, некоторый запрос 
> обрабатывается апачем (который требует N ресурсов) за n секунд. 
> Результат отдается клиенту за m секунд. Если m>>n (например, канал у 
> клиента плохой; пусть m=n*3) . Тогда для обработки этого
> запроса+отдача клиенту требуется N*n*3 ресурсов. Если между толстым
> апачем и клиентом есть тонкий прокси (nginx), требующий  P ресурсов -
> тогда на 1 запрос потребуется N*n+P*m ресурсов. Выгодно это или нет -
> надо смотреть.. Если нет запросов, которые дооолго выполняются -
> nginx может и не помочь (теоретически).
> 
> 
ясна. ;) спасиб


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427023401.3ded6...@mai1.mine.nu

Re: сертификация

2010-04-26 Пенетрантность Grey Fenrir

On Mon, 26 Apr 2010 17:22:07 +0300
Oleksandr Gavenko wrote:

> On 2010.04.26 17:08, Victor Wagner wrote:
> > On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:
> >> А если у злоумышленника появится доступ к серверу
> >> сертифицированного источника?
> >
> > То клиент будет обязан согласно "Правилам эксплуатации" проверить
> > хэш-сумму критически важных бинарников  и сопоставить ее с
> > хэш-суммой, пропечатанной в бумажном формуляре с подписью и
> > печатью. Это в СКЗИ так.
> ...
> Сертификацию стоило бы рассматривать как признание того что команда
> разработчиков хороша и их продукт может использоваться.
> ...
DNK checksum calculaton... ok.

---
Grey Fenrir


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426185037.647ad...@ibem

Re: сертификация

2010-04-26 Пенетрантность Yuri Kozlov

В Mon, 26 Apr 2010 18:50:37 +0300
Grey Fenrir  пишет:

> On Mon, 26 Apr 2010 17:22:07 +0300
> Oleksandr Gavenko wrote:
> 
> > On 2010.04.26 17:08, Victor Wagner wrote:
> > > On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:
> > >> А если у злоумышленника появится доступ к серверу
> > >> сертифицированного источника?
> > >
> > > То клиент будет обязан согласно "Правилам эксплуатации" проверить
> > > хэш-сумму критически важных бинарников  и сопоставить ее с
> > > хэш-суммой, пропечатанной в бумажном формуляре с подписью и
> > > печатью. Это в СКЗИ так.
> > ...
> > Сертификацию стоило бы рассматривать как признание того что команда
> > разработчиков хороша и их продукт может использоваться.
> > ...
> DNK checksum calculaton... ok.

DNA будет точнее.

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и 
убедиться в правильности работы комплекса?

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

-- 
Best Regards,
Yuri Kozlov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426201218.3485b...@keeper.home.local

Re: SYN-flooding на мой веб-сервак. Предотвратить. Nginx?

2010-04-26 Пенетрантность Ivan Borzenkov

> alexander пишет:
> Если нет запросов, которые дооолго выполняются - nginx может и не помочь
> (теоретически).

Такой ситуации не будет, из-за того что размер апача во много раз больше nginx 
и скорость передачи до прокси намного быстрее чем до пользователя.

Так как все на порядки отличается, то получается что всегда.

---
Иван Борзенков 


signature.asc
Description: This is a digitally signed message part.

Re: Проблема с ejabberd

2010-04-26 Пенетрантность Alexander Galanin

On Mon, 26 Apr 2010 17:42:20 +0400
Igor Goryachev  wrote:

> On Mon, Apr 26, 2010 at 13:45, Sergey Korobitsin wrote:
> 
> >> У меня gajim. Заметил что такая штука в основном у клиентов с акком
> >> на гмейле. С jabber.ru пока проблем не замечал.
> >
> > Давно заметил, что у Google, скажем так, довольно "странный" s2s. 
> 
> Это известный факт. Можно попробовать тупо обновить версию ejabberd до
> текущей, авось починится. Или забить багу в гугловский багтрекер.
> 
> Буквально только что с Андреем проверяли презенсы, всё работает как
> в случае с другим ejabberd, так и с аккаунтом на gmail.com.
> 
> 
зашел на www.debian.org, как раз увидел что ejabberd бажный. Там баг
нашли в нем, он заключается в том, что большой пакет c2s запроса от
клиента выводит из строя демон ejabberd. :( у мну такая ситуация была
пару дней назад. Мну кто та абдосил, и мой демон полетел. В итоге я
закрыл порт 5222 и продолжаю играться демоном ejabberd сам с собой. :P
Других на свой сервер не подпускаю, а сам с другими серверами
взаимодействую. Просто скачивать новый исправленный ejabberd лень,
трафик тратить не хоца. ;}


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427033547.2083a...@mai1.mine.nu

Re: сертификация

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlov  wrote:

> Подумалось: а почему бы сертифицирующим организациям просто не выложить
> тесты, которые они проводят, чтобы любой смог это сделать и 
> убедиться в правильности работы комплекса?

Потому что тогда можно будет сделать модификацию, формально проходящую
данные тесты, но работающую в местах, не покрытых тестами, совершенно
иначе.

-- 
Alexander Galanin

pgpoCW1qEXFqh.pgp
Description: PGP signature

Re: сертификация

2010-04-26 Пенетрантность Yuri Kozlov

В Mon, 26 Apr 2010 20:27:50 +0400
Alexander Galanin  пишет:

> On Mon, 26 Apr 2010 20:12:18 +0400
> Yuri Kozlov  wrote:
> 
> > Подумалось: а почему бы сертифицирующим организациям просто не выложить
> > тесты, которые они проводят, чтобы любой смог это сделать и 
> > убедиться в правильности работы комплекса?
> 
> Потому что тогда можно будет сделать модификацию, формально проходящую
> данные тесты, но работающую в местах, не покрытых тестами, совершенно
> иначе.

То есть они прячут свои неполные тесты? Напоминает "секретные" алгоритмы 
шифрования.
Результат известен.

-- 
Best Regards,
Yuri Kozlov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426211048.5b9dc...@keeper.home.local

Re: сертификация

2010-04-26 Пенетрантность Николай Федосов


26.04.2010 21:10, Yuri Kozlov пишет:

В Mon, 26 Apr 2010 20:27:50 +0400
Alexander Galanin  пишет:

   

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlov  wrote:

 

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?
   

Потому что тогда можно будет сделать модификацию, формально проходящую
данные тесты, но работающую в местах, не покрытых тестами, совершенно
иначе.
 

То есть они прячут свои неполные тесты? Напоминает "секретные" алгоритмы 
шифрования.
Результат известен.

   
Быстро доказываем, что сертификация существует для кормежки 
сертифицирующих органов и т.д.:

1. Баги есть есть всегда
2. за 1 год дизассемблируют и найдут дырку где угодно
3. 4 года будут делать с информацией что хотят

Или, социальная инженерия решает проблему взлома еще быстрее

Системное ПО без апдейтов  - решето, (вспомните недавнюю дырку в bind со 
смешным патчем)

соответственно вопрос в наполненности абстрактно-конкретных карманов
и т.д.
и вообще противно от государства не обсуждайте, пожалуйста эту тему и 
так все всем понятно



--
С уважением,
Николай Федосов

nikolay.fedo...@gmail.com


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5dbe2.3030...@gmail.com

Re: SYN-flooding на мой ве б-сервак. Предотвратить. Nginx?

2010-04-26 Пенетрантность Victor Wagner

On 2010.04.26 at 20:23:31 +0400, Ivan Borzenkov wrote:

> > alexander пишет:
> > Если нет запросов, которые дооолго выполняются - nginx может и не помочь
> > (теоретически).
> 
> Такой ситуации не будет, из-за того что размер апача во много раз 
> больше nginx 

Ну насчет "Много больше" это еще вопрос. У меня RSS апачей (apache2 из
lenny, правда пересобранный с более другой OpenSSL) от 2,5 до 5,5Мб.
mpm - worker. 

> и скорость передачи до прокси намного быстрее чем до пользователя.

И далеко не всегда критична именно скорость передачи. В очень многих
ситуациях получится что затраты времени на генерацию страницы больше,
чем на передачу. 

> Так как все на порядки отличается, то получается что всегда.

Далеко не все на порядки различается.

То есть в типичном для современного web-а случае - когда все страницы на
сайте генерируются динамически, и интерпретатор того языка, на которым
они генерирются, встроен в apache (mod_php, mod_perl, mod_python) - да.

А если НЕ ВСТРАИВАТЬ языков программирования в Apache и генерировать
страницы не по факту их запроса пользователем, а по факту изменения
данных из которых они генерируются, получится что nginx как бы и не
нужен.  Тем более что поддержки cgi  в нем нету. А это как раз тот
случай, когда cgi эффективнее fcgi - потому что когда cgi не
запрашивают, оно ресурсов и не жрет. Совсем. 

Кстати если уж использовать в качестве фронденда nginx, то не факт что в
качестве бэкэнда нужен апач. Может быть nginx-овский fastcgi всю
динамику, которую надо, обеспечит.

> ---
> Иван Борзенков 

-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426184603.ga17...@wagner.pp.ru

Re: ejabberd зависает при заг рузке компьютера :(

2010-04-26 Пенетрантность Stanislav Maslovski

On Wed, 21 Apr 2010 19:06:50 +1100
alexander  wrote:

> Привет.
> Стал зависать ejabberd при загрузке компьютера. Как начинают грузиться
> все стартовые демоны, появляется надпись: "Starting
> ejabberd." и точки появляются и появляются
> вновь. : Ждал минут 10... надоело, решил выключить питание компа
> нажав на кнопку "POWER OFF", и увидел надпись "INIT... Winbind
> error... ". Я загрузился в однопользовательском режиме, удалил пакет
> винбайнд: dpkg --purge winbind. Потом снова установил winbind:
> apt-get install winbind. И попробовал загрузиться в нормальном
> режиме. И ejabberd запустился нормально. Но при следующей
> перезагрузке, он опять не запустился. Там что то типо такой надписи
> было (в логах потом ее я не нашел) "Winbind error .. unknown code
> flow" Я переместил загрузочный скрипт /etc/init.d/ejabberd в домашнюю
> папку, чтобы я снова мог загружаться в нормальном режиме. Но это же
> не выход. Что могло быть причиной странного поведения
> ejabberd? : как починить?
извеняюсь что долго не отвечал, это потому что у мну домен для
динамического IP адреса, и когда я не в сети я не могу принять почтовые
сообщения. Прочел ответы на сайте по майллистингу. Да, ejabberd через
раз при загрузке не может запуститься, то есть один раз запуститься,а
последующий не запускается. Вручную запускается всегда правильно. DNS
настроен правильно. Будем считать что это глюк ejabberd ;)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427055536.77374...@mai1.mine.nu

Re: НЕлинуксовые разра ботки Debian

On Mon, Apr 26, 2010 at 08:16:27AM +0400, Вереск wrote:
> 25.04.2010 13:09, Stanislav Maslovski пишет:
> >
> >Порт Debian/kFreeBSD, в общем и целом, работоспособен, и будет официально
> >отрелизен в squeeze.
> Его ради ZFS придумали?

ZFS в более поздних ядрах. В squeeze не планируется. Доп. информация
тут: http://wiki.debian.org/Debian_GNU/kFreeBSD_why

> >C Hurd все сложнее, если хочешь потестировать на реальном железе,
> >придется подбирать железо.
> Да, у меня не пошол совершенно
> >Ты сначала реши зачем. Простому пользователю там нечего делать.
> Ну с этим вообще сложно :-) Учитывая, что пользовательское окружение
> там поднять еще совсем нереально, то смысла явно мало. Однако, по
> природному любопытству, хотелось бы знать, что это и куда оно растёт.

Проект GNU Hurd существует еще со времен, когда не было Linux (и
Debian). http://www.gnu.org/software/hurd/

> Ведь для чего то его разработали!

На замену (коммерческому) Unix. ИМХО, проект мёртворождённый, т.к.
микроядро Mach, на котором основан Hurd, - сама по себе
неудачная (и давно заброшенная) разработка. Была попытка портировать
Hurd на L4, но провалилась, так что я особых перспектив у проекта не
вижу.

-- 
Stanislav

-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426193058.ga15...@kaiba.homelan

Re: сертификация

2010-04-26 Пенетрантность Dmitri Samsonov

Николай Федосов пишет:
> Системное ПО без апдейтов  - решето, (вспомните недавнюю дырку в bind со
> смешным патчем)

  Теоретически ("сферически-в-вакууме") обнаружение уязвимости в
сертифицированном продукте должно лишать лицензии сертифицирующую
организацию. Иными словами сам факт наличия патчей безопасности
свидетельствует о некомпетентной сертификации.

  То есть в рамках правового поля идея сертификации должна умереть
довольно быстро -- вместе с сертифицирующими организациями. Отсутствие
умирания можно объяснить только тем, что корень кроется вне рамок
правового поля (кто бы сомневался). Таким образом мы доказали очевидное:
коррупция, лоббирование, откаты.

  А значит подход к решению проблемы -- ни разу не технический, а
административно-взяткодательный (революционно-сметающий отвергнем как
неактуальный).
  Казалось бы, причём тут Debian?

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5eb4b.7020...@gmail.com

Re: "правильные" владе лец:группа /var/{run,lock,lib}/pkg.d

2010-04-26 Пенетрантность Stanislav Maslovski

On Mon, Apr 26, 2010 at 06:14:27PM +0400, Andrey Nikitin wrote:
> Привет.
> 
> Регулируется ли чем (LSB, debian-policy) какими (рекоменд.) должны
> быть владелец:группа для каталогов pkg.d внутри /var/{run,lock,lib}.

В пределах Debian policy, насколько я знаю, нет. Де-юре
требуется соблюдение FSH и рекомендаций пункта 10.9. Де-факто -
зависит от демона, от того нужен ли ему отдельный юзер, как он
сбрасывает привилегии и т.п.

-- 
Stanislav

-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426194733.gb15...@kaiba.homelan

Re: НЕлинуксовые разра ботки Debian

On Mon, Apr 26, 2010 at 05:41:29PM +0600, Andrey Rahmatullin wrote:
> On Mon, Apr 26, 2010 at 11:43:24AM +, Dmitry Nezhevenko wrote:
> > тормозами дискового I/O.
> В связи с чем? 
> 

Понятия не имею. Но от svn co урля-на-большой-репозиторий работать уже
невозможно. Какой-то bonnie++ позже как-то запущу.

-- 
WBR, Dmitry

signature.asc
Description: Digital signature

Re: НЕлинуксовые разра ботки Debian

On Mon, Apr 26, 2010 at 03:47:05PM +0400, Родион Попов wrote:
> А что такое эпловое железо? Они ж ничего своего не выдумывают: интел,
> ати/нвидия и т.д.

И вендор-локают его =)

> Имеется в виду заточка под конкретные модели и сочетания?

Да

> А это свойство именно ядра или местных проприетарных иксов?

Иксы есть опенсорсные

-- 
WBR, Dmitry


signature.asc
Description: Digital signature

Re: openvz venet и ipv6

On Sun, 25 Apr 2010 20:46:26 +0400
Mikhail A Antonov  wrote:

> Denis Feklushkin пишет:
> > On Sun, 25 Apr 2010 18:45:36 +0400
> > Mikhail A Antonov  wrote:
> > 
> >> Denis Feklushkin пишет:
> >>> У кого нибудь работает? Из коробки?
> >>>
> >> Да. Мелкие допиливания напильником.
> >>
> > 
> > у меня в контейнерах (debian, suse, centos) сами не поднимаются маршруты, 
> > приходится рукой их дёргать - это нормально?
> > 
> Да. Это та ситуация для "допиливания".
> 

Кроме дебиана ни один дистрибутив не заработал! пробовал suse, arch, ubuntu, 
fedora, centos, altlinux

ггг)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427063006.44811...@db.h-g.com

Re: сертификация

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlov  wrote:

> Подумалось: а почему бы сертифицирующим организациям просто не выложить
> тесты, которые они проводят, чтобы любой смог это сделать и 
> убедиться в правильности работы комплекса?
> 
> Или опять имеем нескромное желание продать кучку воздушных
> никчёмных бумажек и фантиков?
> 

Я бы с другой стороны зашёл: есть ещё страны, в которых существует подобная 
сертификация?

Параллельная тема: в США АНБ (это аналог нашей ФАПСИ, на сколько я понимаю) 
выложило SELinux - пользуйтесь, граждане. И сами им пользуются, надо полагать, 
под себя ведь делали.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427015342.69e45...@db.h-g.com

Re: НЕлинуксовые разра ботки Debian

On Mon, 26 Apr 2010 23:30:58 +0400
Stanislav Maslovski  wrote:

> On Mon, Apr 26, 2010 at 08:16:27AM +0400, Вереск wrote:
> > 25.04.2010 13:09, Stanislav Maslovski пишет:
> > >
> > >Порт Debian/kFreeBSD, в общем и целом, работоспособен, и будет официально
> > >отрелизен в squeeze.
> > Его ради ZFS придумали?
> 
> ZFS в более поздних ядрах. В squeeze не планируется. Доп. информация
> тут: http://wiki.debian.org/Debian_GNU/kFreeBSD_why

не впечатлило

кажется что они опоздали на несколько лет с перечисленными там фичами


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427084051.401a9...@db.h-g.com

Display Manager - kdm, gdm, xdm ,slim, wdm, qingy

2010-04-26 Пенетрантность Alise

Какая разница между все этим добром, кроме того что каждый тянет свои
зависимые пакеты :?
Из каких  религиозных соображений делается выбор,если  wm  не kde & gnom :?

Re: Display Manager - kdm, gdm, xdm ,slim, wdm, qingy

On Tue, Apr 27, 2010 at 08:36:45AM +0400, Alise wrote:
> Какая разница между все этим добром, кроме того что каждый тянет свои
> зависимые пакеты :?
Фичи разные.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

 Voins: ты вообще о генетике или конкретно о konqueror ? ;)


signature.asc
Description: Digital signature

Re: Display Manager - kdm, gdm, xdm ,slim, wdm, qingy

2010-04-26 Пенетрантность Boris Pihtin


27.04.2010 7:36, Alise пишет:
Какая разница между все этим добром, кроме того что каждый тянет свои 
зависимые пакеты :?
Из каких  религиозных соображений делается выбор,если  wm  не kde & 
gnom :?

kdm = KDE
gdm - Gnome
xdm - Xfce
Разница в запусках и потнах, а так они идеологически одинаковы.

а остальное фиге его знает =)

Выбор делается из по ставленой задачи. и железа на котором все будет 
пуляться.


Xfce и дальше после него легковесные оболочки.

Gnome и Кеды потяжелее.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd681aa.4010...@links.md

Re: сертификация

On 2010.04.26 19:12, Yuri Kozlov wrote:

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Потому что организация сертифиц. органов иерархическая -
главные выдают лицензию на возмождность проводить сертифик. работы.
Соответственно это *оплачивается* лицензиатом.
Далее каждая испытательная лаборатория изобретает *свои* тесты
и главный сертиф. орган утверждает этот набор тестов.
Соответственно это *оплачивается* лицензиатом.

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

фантиков - нет, когда билетики по 5 нулей в условных единицах ))

--
С уважением, Александр Гавенко.

Re: сертификация