Хочу сделать себе новый сайтик. Поскольку возиться с html напрямую лениво, задумался над применением системы, облегчающей ведение сайтов.

Сайт буду делать без наворотов, с возможностью совместного редактирования некоторых разделов, решил для него использовать какой нибудь wiki движок. Пока тестирую http://www.mediawiki.org (на нем работает http://wikipedia.org). Достаочно удобно и в настройке относительно гибкий. Хотя по функционалу http://npj.ru мощнее, но в вопросах ограничения создания аккаунтов пользователей там проблема (или у меня проблема с поиском в документации) — не нашел как это можно ограничить.

Меня регулярно просят выложить заготовку скрипта для организации firewall. Ну вот, выкладываю.

Это только заготовка! Вам самим прийдется добавлять в функции init() правила, разрешающие хождения пакетов.

===================================================================

#!/bin/bash
IPT=/usr/sbin/iptables
IPTR=/usr/sbin/iptables-restore
IPTS=/usr/sbin/iptables-save
OUT=eth0

start()
{
 echo -n "Starting firewall...             "
 $IPT -F
 $IPT -t nat -F
 $IPT -t mangle -F
 $IPTR -c /etc/iptables
 echo "Done"
}

stop()
{
 echo -n "Stop firewall...                "
 $IPTS -c > /etc/iptables
 echo "Done"
}

init()
{
 echo -n "Init firewall...                "
 reset
 # DNS ENABLE ========== Просто как пример
 $IPT -A INPUT -p tcp --dport 53 -j ACCEPT
 $IPT -A INPUT -p udp --dport 53 -j ACCEPT

 # Свои правила писать тут

 # SAVE rules in file ==
 $IPTS -c > /etc/iptables
 echo "Done"
}

reset()
{
 $IPT -F
 $IPT -t nat -F
 $IPT -t mangle -F
 $IPT -P INPUT DROP
 $IPT -P FORWARD DROP
 #===================

 # STATE RULES ====== ОБЯЗАТЕЛЬНО!
 $IPT -A INPUT -m state --state INVALID -j DROP
 $IPT -A FORWARD -m state --state INVALID -j DROP
 $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 # LOCALHOST =========== ОБЯЗАТЕЛЬНО!
 $IPT -A FORWARD -i $OUT -s 127.0.0.1 -j DROP
 $IPT -A INPUT -i $OUT -s 127.0.0.1 -j DROP
 $IPT -A FORWARD -i $OUT -d 127.0.0.1 -j DROP
 $IPT -A INPUT -i $OUT -d 127.0.0.1 -j DROP
 $IPT -A INPUT -d 127.0.0.1 -j ACCEPT
 $IPT -A INPUT -s 127.0.0.1 -j ACCEPT

 # ICMP ENABLED = потому что так надо!
 $IPT -A INPUT -p icmp -j ACCEPT
 # SSH enable + защита от подбора паролей 
 $IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 20 -j DROP
 $IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT
}

case $1 in
 start)
  start ;;

 stop)
stop ;;

 init)
  init ;;

 reset)
  reset ;;

 *)
  echo "Usage ./rc.fw start|stop|init|reset"
  exit 88

esac 

=============================================================
Маленькое описание.
start() — запускает firewall. Данные читает из /etc/iptables.
stop() — останавливает firewall, сохраняя текущие правила и счетчики в /etc/iptables.
init() — первоначальная инициализация firewall. Тут надо писать правила. После изменения ОБЯЗАТЕЛЬНО запускайте ./rc.fw init. Заодно сохранит текущие правила в /etc/iptables.
reset() — используйте в том случае, когда изменяете правила на машине удаленно и не имеете к ней доступа. Добавьте rc.fw reset в crontab на время настройки. Если случайно закроете удаленный вход, rc.fw reset очистит правила и разрешит вход по ssh. После завершения редактирования, НЕ ЗАБУДЬТЕ УБРАТЬ ЕЕ ИЗ CRONTAB!

Думаю, что пора поздравить Вас с наступающим годом Собаки!

Желаю Вам удачи и что бы Собака была не бешеной, а белой (или, какого цвета она будет на этот раз?) и пушистой.

Пробки в Москве дело привычное. Но последнее время — это что то.

Я на работу обычно катаюсь по Рязанскому шоссе. В отличии от других радиальных дорог Рязанка по свободнее будет. Сказывается отсутствие продолжнения федеральных трасс.

Но последнии два дня Рязанка просто стояла! Сегодня я понял почему. На перекрестке Рязанки и Паперника я стал на светофоре. И тут выбежали два продавца полосатых палочек и напроч перекрыли движение по Рязанке в двух направлениях. Впереди трасса свободна квартала на два, но все стоят. Простоял на светофоре, наверно 8 зеленых. Потом пустили.

На следующем светофоре аналогичная ситуация!!! Впереди все свободно, но движение перекрывают! Причем никаких членовозов на Рязанке отродясь не было. Да и сейчас, мимо никто не проезжал. Что ГАЙ-цы мутфт, не понятно. Наверное готовят сюрприз к Новому Году (козлы).

Наконец то случилось, я решил побаловать себя и купил видеокамеру. Остановился на JVC GZ-MG50.

Девайс все пишет на встроенный винчестер сразу в MPEG2! Потом это сливается, или не сливается, на комп в программу монтажа. Делается нормальный фильмец, загоняется на болванку и смотрится на домашнем DVD.

Сегодня попробовал эту технологию, супер! Подключил зверя к компу через USB2. Он в системе виден как обыкновенный накопитель. Программа монтажа просто обращается к файлам на нем как к локальным. Никакого перегона, оцифровки и прочих «прелестей» магнитных лент.

Сегодня привезут внешний DVD резак, и я опять начну заниматься монтажем фильмов (чем раньше довольно долго зарабатывал себе на хлеб).

Резак привезли. Хоть и не люблю HP, но пришлось взять его. Понравился. Теперь другая проблема — где купить двухслойные DVD-R.

Прочитал на www.opennet.ru ссылочку. Думаю нашим WEB преподавателям будет интересно.

Смотреть тут

Если посмотреть логи Linux серверов, то можно обнаружить большое количество сообщений от демона sshd, свидетельствующих о попытке подбора паролей по ssh.

Dec 6 11:03:11 artur sshd[2177]: Invalid user test from 193.220.141.151

Dec 6 11:03:11 artur sshd[2177]: Failed password for invalid user test from 193.220.141.151 port 46079 ssh2

Dec 6 11:03:15 artur sshd[2180]: Failed password for root from 193.220.141.151 port 46144 ssh2

Dec 6 11:03:16 artur sshd[2183]: Invalid user admin from 193.220.141.151

Dec 6 11:03:16 artur sshd[2183]: Failed password for invalid user admin from 193.220.141.151 port 46377 ssh2

Обратите внимание на задержку между попытками — несколько секунд. На той стороне находятся «роботы». Наша задача ограничить количество попыток соединения с одного IP адреса. Для этого можно воспользоваться модулем recent нетфильтра.

iptables -A INPUT -p tcp -m state —state NEW —dport 22 -m recent —update —seconds 20 -j DROP

iptables -A INPUT -p tcp -m state —state NEW —dport 22 -m recent —set -j ACCEPT

После введения этого правила логи становятся девтственно чистыми.

Dec 10 15:24:42 artur — MARK —

Dec 10 15:44:42 artur — MARK —

Dec 10 15:49:06 artur sshd[21819]: Did not receive identification string from 85.93.9.31

Dec 10 16:02:10 artur sshd[21824]: Invalid user shell from 85.93.9.31

Dec 10 16:02:10 artur sshd[21824]: Failed password for invalid user shell from 85.93.9.31 port 40288 ssh2

Dec 10 16:24:43 artur — MARK —

Dec 10 16:44:43 artur — MARK —

Dec 10 17:04:43 artur — MARK —

Все, роботы отвалились 🙂

Ндя… Опен СуСЕ начинает напоминать Федорино горе 🙁 Я не ожидал, что все настолько плохо. Обновиться напрямую по сети или с дисков мне не удалось, пришлось переставлять систему с нуля. Потратил целый день на то что бы это сделать.

Особая прелесть СуСЕ — это отсутсвие поддержки «из коробки» MP3, DVD, flash и другого по «лицензионным соображениям». Слава богу нашел подсказку где все это взять как подключить. Но это костыли. Обновление для этих пакетов работать не будет. Подумываю о возвращении на Slackware. Точнее на его 64 битную версию.

купил новую клаву Logitech DiNovo, прусь 🙂 Теперь работа над книгой в два раза быстрее пойдет 🙂

Сижу, помогаю народу перейти полностью на Linux. Хотя вру, останется несколько машин под виндами для 1С (просто карма эта 1С).

Сервера уже давно перенесли на SuSE Linux, остались только рабочие станции. Прикупили большой сервак на котором будут работать все сотрудники отделения. На рабочих местах остаются машинки без дисков, будут выступать в роли Х терминалов. Чтобы не мучаться с загрузкой системы на рабочих станциях по сети, решили пользовать LiveCD (Slax), все равно на всех машинах есть CD-ROM.

Так же для доступа техотдела к компьютерам пользователей ставим VNC, техподдержке лениво бегать по комнатам, вот они и консультируют клиентов по телефону, одновременно водя мышкой по экрану их рабочих столов :).

Сейчас перевели несколько менеджеров для работы в Linux. Отрабатываем на них возникающие проблемы.

Особых проблем замечено не было, так мелочи. Пока не могу разобраться почему при переключении на русский язык перестают работать BackSpace. Ctrl-H работает, а кнопка нет. В выходные посижу, разберусь.