По умолчанию в большинстве дистрибутивов Linux приложениям разрешено использовать следующий диапазон TCP портов для исходящих соединений: 32,786-65,536. По этой причине ваша система может поддерживать до 28,232 TCP сессий единовременно. В случае обычной офисной или домашней системы этого более чем достаточно, однако при использовании прокси или каких либо специфичных сервисов использующих очень большое количество сессий этого может не хватить. 

Сперва давайте посмотрим каким образом получить список доступных для создания TCP сессий портов:

Вероятнее всего вывод будет примерно следующим - “32786 65536″. Для увеличения диапазона можно использовать либо редактирование указанного выше файла (временное решение), либо добавить необходимую опцию в /etc/sysctl.conf (постоянное решение).Далее...

Довольно долго мне приходилось сталкиваться с ситуацией, при которой мне нужно было продолжать использовать физический сервер, хотя почти вся инфраструктура виртуализирована. Причиной этому было отсутствие подддержки USB устройств в самых разнообразных платформах виртуализации. В частности я использую Xen, а на сервере, который я хотел бы виртуализировать должен быть подключен USB ключ.

Конечно можно использовать аппратное оборудование, например USBoverIP, однако оно стоит значительных денег. И вот наконец решение найдено. Я обнаружил отличный бесплатный проект , доступный по этому линку - http://usbip.sourcefrge.net/

С помощью него можно преврать Linux систему в USB сервер, обслуживающий USB девайсы через IP для клиентов как под управление Linux, так и Windows.Далее...

Обзор

В данной статье рассматривается настройка почтового сервера Postfix в качестве почтового шлюза организации. Самой распространенной причиной для данных действий является повышение безопасности, даже в случае, если вы не используете Exchange. Улучшение безопасности достигается за счет того, что на шлюзе не открыты никакие порты, за исключением SMTP и на нем не хранятся почтовые сообщения пользователей. Худшее что может произойти - атакующий получит список адресов электронной почты вашего домена. Также шлюз используется для фильтрации спама, грейлистинга, сканирования на вирусы и некоторые другие полезные действия.

В интернете существует большое количество "статей", которые очень упрощают процесс использованием директивы "relayhost = internalsmtp.example.com". В данном случае возникает проблема с тем, что шлюз незнает ничего о внутренний адресах (даже в случае если он настроен на прием почты только для домена @example.com). Может возникнуть, и обязательно возникнет ситуация во время спам атаки, когда будет идти поток писем на неверные адреса, которые внешний шлюз перешлет на внутренний почтовый сервер, тот потратит время на обработку, отклонит письмо и отправит обратно на шлюз и т.д. Большое количество таких сообщений существенно снизят производительность почтового сервера.

Для корректной настройки почтового шлюза необходимо чтобы он знал правильные внутренние адреса. В данном случае любое сообщение, содержащее несуществующий адрес немедленно отсекается сервером, ещё до момента приема данных. Далее...

Полезная информация

Если вам не нравятся ваши толстые ноги никогда не поздно их исправить. По ссылку выше несколько полезных упражнений, рекомендую.

В данной статьте я покажу как можно немного модифицировать страницу входа в SquirrelMail. По умолчанию она выглядит вот так:

Далее...

Первая часть данной статьи тут.

Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:

-A INPUT -i eth0 -j INBOUND 
   -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT 
   -A INBOUND -j LSI

Ещё раз посмотрим на скриншот правил:

Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound". Далее...

В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".

Импорт конфигурации iptables

Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:

iptables-save > iptables_config.conf

Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".Далее...

В данной статье мы рассмотрим как можно ограничить количество подключений с одного IP адреса к нашему серверу. В этом нам поможет модуль connlimit, который позволяет ограничить количество параллельных TCP коннектов к серверу с IP адреса, либо блока адресов.

Синтаксис:

Синтаксис используемой поманды следующий:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset  
# save the changes see iptables-save man page, the following is redhat and friends specific command  
service iptables save

Пример: Ограничение SSH подключений с IP/хоста

Разрешим только 3 ssh подключения:Далее...

1. Как удалить пустую директорию в Unix?

Команда rmdir поможет нам удалить пустую директорию, то есть директорию без файлов и папок. Синтаксис команды очень прост:

rmdir DIRNAME

 В случае если директория не пуста вы увидите следующее сообщение об ошибке.

$ rmdir test  rmdir: failed to remove `test': Directory not empty

2. Как удалить вложенные директории в Linux?

С помощью опции -p вы можете удалить директорию с вложенной в неё поддиректорией.Далее...

Первая часть статьи тут

5 Установка MyDNSConfig 3

Теперь приступаем к установке MyDNSConfig 3:

cd /tmp
   wget http://downloads.sourceforge.net/mydnsconfig/MyDNSConfig-3.0.1.tar.gz?use_mirror=
   tar xvfz MyDNSConfig-3.0.1.tar.gz
   cd mydnsconfig/install/
   php -q install.php

В результате будет запущен установщик MyDNSConfig 3:Далее...

В данной статье я опишу процесс установки и настройки MyDNS и MyDNSConfig 3 на Fedora 10. MyDNS это DNS сервер, который в качестве бэкенда использует базу данных MySQL, вместо обычных конфигурационных файлов как в Bind или djbdns. Преимущество MyDNS в том, что он просто читает записи из базы, и нет необходимости перезапускать службу в случае изменения записей зоны или создания/редактирования/удаления. Вторичный DNS сервер может быть легко установлен с доступом к той же бае, или для большей отказоустойчивости, можно использовать master / slave репликацию в MySQL.

MyDNSConfig это простой веб-интерфейс к MyDNS. MyDNSConfig может создавать все типы DNS записей, доступные в MyDNS и дополнительно имеет функции по управлению пользователями и правами доступа

1 Начальные данные

Мой сервер имеет имя server1.example.com с IP адресом 192.168.0.100. Далее...

10. Настройка общих сетевых ресурсов.

В предыдущих трех статьях мы установили ebox и настроили его в качестве первичного контроллера. В заключтельной статье из этого цикла я покажу как с помощью ebox задействовать службу общего доступа к файлам для легкого создания сетевых ресурсов.

В eBox можно создать 3 типа ресурсов:

1. Домашние директории пользователей.
2. Групповые шары
3. Основные шары

Домашние директории пользователей создаются автоматически для каждого пользователя. Они доступны для пользователя как подключенный сетевой диск после входа в систему.

Групповые шары можно создать, зайдя в окно Edit Group и заполним имя общей папки. Все члены группы имеют доступ к данному ресурсы с единственным ограничением - они не могут удалять или модифицировать файлы, владельцами которых являются другие члены группы.

Далее...

Часть 1.

Часть 2.

6. Настраиваем основные параметры PDC

Для настройки основных параметров PDC и общего доступа к файлам нажмите в левой панели кнопку File sharing.

На вкладке General settings включаем PDC отметив опцию Enable PDC. Здесь же мы можем указать имя домена, Netbios имя домена. В поле Description указываем комментарий для идентификации домена.

Поле Quota limit назначает квоту по умолчанию для новых пользователей.

Опция Enable roaming profiles позволяет нам включить перемещаемый профиль для пользователей. При включении данной опции профиль пользователя будет храниться на сервере. Минусом данного подхода будет то, что в случае большого профиля время залогинивания пользователя в систему может увеличиваться и тратится место на диске сервера. В данной статье мы эту опцию будем использовать, поэтому включаем её .

Опция Drive letter назначает букву диска для виртуального сетевого пользовательского диска.

Далее...

Данная статья пригодится тем пользователям Linux, которым по каким то причинам иногда пользоваться Windows. Ведь речь в ней пойдет о таком бесценном инструмента как Vim. Да и заядлым любителям Windows можно посоветовать познакомиться с данным приложением.

1. Скачиваем Vim для Windows

Перейдите на страницу загрузки Vim ¹⁰⁵⁴ и нажмите на “PC: MS-DOS and MS-Windows”. Далее скачайте файл gvim72.exe.Далее...

Часть 1.

2. Подключаемся к веб интерфейсу

Теперь наш сервер полностью установлен и готов к работе. Зайдем с помощью браузера на страницу https://address/, где укажем IP адрес, используемый нами на этапе установки.

Далее вводим пароль администратора eBox, который мы также указывали во время установки системы.

Интересное в сети:

Качественная аранжировка и сведение музыки в центре Timeline Music.

После залогинивания мы видим перед собой страницу с суммарной информацией.Далее...

eBox Platform ¹⁰⁷ представляет собой бесплатный сервер для небольших организаций, который позволяет вам управлять всеми основными сетевыми службами: firewall, DHCP, DNS, VPN, proxy, IDS, mail, file and printer sharing, VoIP, IM и многое другое. Данная функциональность тесно интергирована, многие задачи автоматизированы для избежания ошибок и экономии времени системных администраторов.

В данном руководостве мы выполним пошаговую процедуру установки eBox в качесиве первичного контроллера домена Windows (PDC). В конце статьи я покажу как использовать eBox Platform 1.2 для управления пользователями и ресурсами в вашем домене. Далее...

Хочу представить одну незамысловатую утилиту с именем DNS-add, с помощью которой можно добавить DNS сервера в Linux или Unix. Практической ценности я в ней вижу мало, отредактировать /etc/resolv.conf достаточно просто и руками

Ссылка для скачивания - : http://sourceforge.net/projects/isp-fw/files/DNS-add/

Итак, приступаем:Далее...

В этой заметке я хочу собрать все команды, которые НЕ ДОЛЖНЫ быть запущены в Linux. Некоторые из них вызовут потерю данных, некоторые зависание системы и прочие прелести.

Ещё раз предупреждаю! Не запускайте эти команды в рабочей системе, пользуйтесь виртуалками

1. Эти команды удалят все из вашей домашней или корневой директории, либо очистят целый диск:Далее...

Switchmap - это Perl программа, которая создает HTML страницы, отображающие информацию с различных Cisco Ethernet свичей. Для получения информации с свичей программа пользуется SNMP. Я обычно ставлю Switchmap на уже существующий сервер CactiEZ.

Периодически мне приходиться поднимать CactiEZ и Switchmap в новых местах заново, и каждый раз приходиться вспоминать процедуру установки заново. В результате родилось это пошаговое руководство по правильной установке switchmap. Данное руководство базируется на версии switchmap 11.19.

Для начала скачаем switchmap, распаковываем в директорию /var/www/html и переименуем папку. Далее...

Думаю любой администратор знает команду ping, которая используется для проверки доступности хостов. Если вы опытный администратор, вероятнее всего вы не узнаете ничего нового из этой статьи. Если же ваши знания ограничиваются банальным ping ya.ru, советую дочитать статью до конца.

Пример 1. Изменение интервала времени между отправкой пакетов

По умолчанию пакеты посылаются с промежутком в одну секунду. Вы можете изменить это интервал с помощью опции -i.

Увеличение интервала

Пример: Ждем 5 секунд перед отправкой следующего пакета.Далее...

Если вам необходимо ограничить доступ к определенной команде, например расположенной в /opt/apps/start и дать доступ только определенным пользователям, одним из способов является ограничение посредством использования групп. Ниже мы рассмотрим необходимые для этого действия:

Шаг # 1: Создание группы и добавление в неё необходимых пользователей

Создадим группу с именем appsonly:

# groupadd appsonly

Добавим в эту группу нужных пользователей:Далее...

Во время управления почтовой системой особое внимание необходимо обращать на размеры почтовых ящиков и лимиты установленные по умолчанию. В postfix вам необходимо понимать разницу между лимитами на почтовые ящики и виртуальные почтовые ящики, а так же научиться ими управлять. 

Вот такую ошибку вы можете увидеть в случае превышения размера лимита почтового ящика:

mailbox /var/spool/vmaill/vmail/1: error

writing message: File too large

Mailbox Size Limit

По умолчанию почтовый ящик ограничен лимитов 50 мегабайт. Это означает, что если размер почтовых сообщений в ящике превысит значение 50 мб, вы увидите сообщение “File too large”.

Данный лимит для любого локального ящика равен 50 MB, но вы можете легко изменить его в файле main.cf file.  После сделанных изменений перезапустите postfix.Далее...

В данной статье я продолжу рассказывать про отличную утилиту, которая поможет вам настроить различные файерволы. Мы уже знакомились с Firewall Builder, смотрим поиск по сайту. В данной статье я продемонстрирую как работать с объектами Network, Address Range и Groups of Objects.  

Network, Address Range Objects и Groups of Addresses Objects

Сетевой объект IPv4

Далее...

Команда ss используется для захвата статистики сетевых сокетов. Она отображает информацию, сходную с выводом команды netstat. SS может выдавать информацию о:

• Всех TCP сокетах.
• Всех UDP сокетах.
• Всех поддерживаемых ssh / ftp / http / https подключениях.
• Всех локальных процессах подключенных к X серверу.
• Все tcp сокеты в состоянии FIN-WAIT-1 и многое другое.

Задача: Суммарная информация о сокетах

Отобразим список всех установленных, закрытых или ожидающих TCP сокетов:Далее...

В данной статье описывается процесс настройки LDAP аутентификации в Red Hat Enterprise Linux 5 или CentOS 5.

Атрибуты, указанные ниже потребуются вам для использования LDAP

• uid – Имя пользователя
• userPassword – Пароль пользователя
• uidNumber – UID
• gidNumber – GID
• homeDirectory – домашняя директория
• loginShell – Шелл пользователя

Далее...

Утилита Editcap используется для выбора или удаления определенных пакетов из входного файла. В отличие от ethereal Editcap не может захватывать сетевой трафик самостоятельно. Вместо этого, он обрабатывает захваченные пакеты по каким-либо критериям и записывает их в другой файл. В данной статье мы рассмотрим различные параметры editcap.

Пример 1: Отбрасываем определенное количество пакетов в начале входного файла input_dump

Файл output_dump будет содержать все пакеты, за исключением первых 10-ти.

# editcap -v input_dump output_dump 1-10 

Пример 2: Отбрасываем пакеты из середины файла.

Файл output_dump будет содержать все пакеты, кроме вырезанный с 200 по 210.Далее...

JXplorer - бесплатный ldap браузер, с помощью которого вы сможете перемещаться по LDAP дереву и запрашивать любые атрибуты. 

Установка JXplorer

1. Установите Java.

Далее...

В данной статье рассказывается как можно настроить веб-интерфейс почты SquirrelMail в ISPConfig 3 для того чтобы пользователи почты могли менять свои пароли самостоятельно.

1 - Скачиваем и устанавливаем плагин change_sqlpass

cd /usr/share/squirrelmail/plugins/

wget http://squirrelmail.org/countdl.php?fileurl=http%3A%2F%2Fwww.squirrelmail.org%2Fplugins%2Fchange_sqlpass-3.3-1.2.tar.gz

tar zxvf change_sqlpass-3.3-1.2.tar.gz

cd change_sqlpass

2 - Патчим functions.php (исправляем проблему с md5crypt)

vi functions.php

Далее...

Poppassd - это служба для изменения паролей пользователей в системе. В данной статье описывается как установить poppassd вRed Hat Enterprise Linux 5 или CentOS 5.

1. Скачиваем и устанавливаем пакет для добавления репозитария  Razor’s Edge ⁷¹.

Далее...

В некоторых дистрибутивах Linux SELinux по умолчанию включен, и в результате могут возникать различные проблемы. Если вы не понимаете как работает SELinux и не умеете правильно его настраивать лучше всего отключить его до тех пор, пока вы не изучите основные принципы его работы

Для отключения SELinux вы можете использовать любой из 4-ех описанных методов.Далее...

В CentOS Linux в качестве репозитария для установки пакетов можно использовать установочный DVD. Данный репозитарий прописан в стандартной установке и называется CentOS-Media.repo. Откройте файл /etc/yum.repos.d/CentOS-Media.repo:

<code># vi /etc/yum.repos.d/CentOS-Media.repo</code>

Убедитесь что репозитарий подключен, то есть значение enabled установлено в 1:

<code>enabled=1</code>

Далее...