новости
статьи
.sysadmin

а знаете ли вы, что...

... при установке контроллера домена под SAMBA-3 есть некоторые тонкости.
Только root имеет право на управление пользователями с помощью утилиты usrmgr. Члены группы Domain admins этих прав не имеют.
Комп под Windows XP вводится в домен, но виснет при входе в сеть на этапе применения личных настроек.
Вот результат исследований, как это можно обойти.

1. Управление пользоватеми утилитой usrmgr без прав root.
В smb.conf по умолчанию включены строки

add user to group script = /usr/sbin/adduser %u %g
delete user from group script = /usr/sbin/userdel %u %g

Очевидно, что ни adduser, ни userdel с такими параметрами не работают. Поэтому имеет смысл внести такие изменения в smb.conf:

add user to group script = /etc/samba/addusertogroup.sh %u %g
delete user from group script = /etc/samba/deluserfromgroup.sh %u %g


addusertogroup.sh:

username=$1
groupname=$2
test -z "$username" && exit 1
grplist=`grep $username /etc/group|awk -F : '{print $1}'`
grplist=`echo $grplist|sed -e "s/ /,/g"`
if [ -z "$grplist" ]
then
grplist=$groupname
else
grplist=$grplist","$groupname
fi
echo $grplist
sudo /usr/sbin/usermod -G $grplist $username


deluserfromgroup.sh

username=$1
groupname=$2
test -z "$username" || test -z "$groupname" && exit 1
grplist=`grep $username /etc/group|awk -F : '{print $1}'|grep -v "^$groupname\$"`
grplist=`echo $grplist|sed -e "s/ /,/g"`
echo $grplist
sudo /usr/sbin/usermod -G $grplist $username

Затем надо позволить группе Domain admins (она же ntadmins) выполнять необходимые операции через sudo.
Теперь можно рестартонуть samba и убедиться что все ОК.

2. Проблемы с Windows XP.
При входе в сеть комп виснет. В журнал служба Netlogon пишет кучу ошибок, связанных с невозможностью применения групповой политики. Убирается путем отключения локальных политик безопасности, связанных с членом домена (Domain member).

***

...существует аналог BSD Jail для Linux.
Serge Hallyn опубликовал патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер). Процессы работающие в jail окружении, привязаны к определенному IP-адресу и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw- сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail-окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6. Ниже, пример создания ssh-окружения в jail:

modprobe bsdjail
/sbin/ifconfig eth0:0 2.2.2.2;
/sbin/route add -host 2.2.2.2 dev eth0:0 (optional)
exec_private_namespace /bin/sh
mount /dev/hdc5 /opt
mount -t proc proc /opt/proc
echo -n "root /opt" > /proc/$$/attr/exec
echo -n "ip 2.2.2.2" > /proc/$$/attr/exec (optional)
exec /bin/sh
sshd
exit

***

... можно использовать компрессированный ssh.
Слишком плохая связь даже для ssh? Попробуйте запускать ssh с опцией –С, которая указывает, чтобы все передаваемые данные сжимались. Выгода по трафику очевидна, однако немного увеличится загрузка процессора.

***

...у sendmail есть вот такая интересная фишка.
Как сделать так, чтобы почта шла на провайдерский SMTP-сервер, а потом передаваласть на SMTP-клиент так, чтобы клиентский SMTP можно было держать ограниченным через TCP Wrappers на получение почты только от провайдера.
Конфигурация на стороне клиента сложностей не вызывает. Совершенно стандартная. Единственно, что в hosts.allow нужно написать:

sendmail : smtp.provider.ru : allow
sendmail : ALL : deny

Самое интересное нас ждет на нашем сервере, в смысле сервере провайдера. Включаем фичи mailertable и accesstable и, соответственно, вставляем следующие строки в файлы blabla.spb.ru esmtp:[smtp.blabla.spb.ru].
Почта, пришедшая на домен, пересылается на нужный адрес. Квадрвтные скобки используются для того, чтобы sendmail не искал MX.

To:blabla.spb.ru RELAY

Пересылка почты на другой сервер по английски называется глаголом RELAY, а почту для домена может присылать кто угодно. Поэтому, разрешаем серваку пересылать письма для указанного домена.

Максим Иванов aka ASMi.

***

... как использовать SSH без пароля?
Прежде всего, необходимо усвоить, что основой использования ssh без ввода пароля служит идентификация пользователя на основе публичного ключа. Вам необходимо создать пару ключей - публичный/частный (public/private). Покажем, как это делается на примере ssh версии 2 (отметим, что версия 1 является устаревшей, использовать ее не рекомендуется).

Шаг 1. Создаем на "клиенте" пару ключей (публичный/частный), используя утилиту ssh-keygen:
$ ssh-keygen -t rsa
Здесь мы используем опцию -t, чтобы указать на использование RSA для создания ключей. Ввод некоторого (произвольного) выражения в качестве passphrase настоятельно рекомендуется. После выполнения данной операции получаем два файла в поддиректории .ssh домашней директории: id_rsa и id_rsa.pub.

Шаг 2. Копируем файл id_rsa.pub в директорию .ssh/ на "сервере" под именем authorized_keys2.
Таким образом мы указали демону sshd, что для шифрования данных при соединении с нашим клиентом необходимо использовать указанный публичный ключ и, кроме того, данный ключ создан для протокола версии 2.

***

сущетсвует ShFs (SHell File System), которая позволяет mount'ить удаленные файловые системы over ssh (примерно так же, как можно делать это с smbfs, ftpfs, ncpfs). При этом возникает иллюзия, что удаленная файловая система является локальной. Для монтирования используется утилита shfsmount.

Иван Золотухин

***

... совокупность всего адресного пространства IP за вычетом приватных адресов описывается следующим забавным списком:

0.0.0.0/5
8.0.0.0/7
11.0.0.0/8
12.0.0.0/6
16.0.0.0/4
32.0.0.0/3
64.0.0.0/2
128.0.0.0/3
160.0.0.0/5
168.0.0.0/6
172.0.0.0/12
172.32.0.0/11
172.64.0.0/10
172.128.0.0/9
173.0.0.0/8
174.0.0.0/7
176.0.0.0/4
192.0.0.0/9
192.128.0.0/11
192.160.0.0/13
192.169.0.0/16
192.170.0.0/15
192.172.0.0/14
192.176.0.0/12
192.192.0.0/10
193.0.0.0/8
194.0.0.0/7
196.0.0.0/6
200.0.0.0/5
208.0.0.0/4
224.0.0.0/3

ezh



Собрано Alice D. Saemon из различных источников.
обсудить статью
© сетевые решения
.
.