Разработчики последнего релиза плохо оттестировали, в итоге у меня на широкоформатном экране ноутбука разрешение выставлялось совсем не типичное.

Лечил посредством правки /etc/X11/xinit/xinitrc:

добавил пару строчек:

xrandr –output HDMI-2 –off

xrandr –output VGA –off

Например:

http://www.liveinternet.ru/click?1113984360/

1113984360 – это ip адрес 66.102.13.104 (google.com) в десятичном представлении.

Странно что спамеры еще не используют этот трюк.

Необходимо:
Настроить SSL – издать сертификаты, настроить веб-сервер
При доступе к определенной директории веб-сервер должен запрашивать авторизацию по сертификату клиента.

Исходим из того что веб-сервер корректно установлен, у хоста есть полное FQDN и он корректно резолвится и доступен извне по портам 80/tcp и 443/tcp.

В первую очередь необходимо будет:
1) Настроить свой CA (Certificate Authority) для издания сертификатов веб-сервера и клиентов.
2) Сгенерировать ключ и сертификат веб-сервера
3) Сгенерировать и импортировать ключи и сертификаты веб-клиентов.

Приступим:

Создадим директорию доступную только суперпользователю:

mkdir /CA
chmod 700 /CA
cd /CA

Сгенерируем закрытый ключ CA:

openssl genrsa -des3 -out ca.key 2048
Сгенерируем сертификат CA:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
openssl x509 -in ca.crt -text -noout

Сгенерируем закрытый ключ вебсервера:

openssl genrsa -des3 -out webserver.key 1024

Сгенерируем запрос на сертификат вебсервера:

openssl req -new -key webserver.key -out webserver.csr

Сгенерируем сертификат вебсервера:

openssl x509 -req -in webserver.csr -out webserver.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650
openssl x509 -in webserver.crt -text -noout

Защитим ключи от прочтения посторонними:

chmod 0400 *.key

Конфигурацию ssl я вынес из файла httpd.conf в файл httpd-ssl.conf,
и указал в конфигурации httpd.conf:

Include etc/apache22/extra/httpd-ssl.conf

В файле httpd-ssl.conf внес следующие изменения:

#httpd-ssl.conf
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog builtin
SSLSessionCache        "shmcb:/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/var/run/ssl_mutex"
<VirtualHost _default_:443>
DocumentRoot "/usr/local/www/apache22/data"
ServerName test.lan:443 #имя указаное в Common Name сертификата веб-сервера
ServerAdmin you@example.com
ErrorLog "/var/log/httpd-error-ssl.log"
TransferLog "/var/log/httpd-access-ssl.log"
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile "/CA/webserver.crt"
SSLCertificateKeyFile "/CA/webserver.key"
SSLCertificateChainFile "/CA/ca.crt"
SSLCACertificateFile "/CA/ca.crt"

<FilesMatch "\.(cgi|shtml|phtml|php)$">
 SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/apache22/cgi-bin">
 SSLOptions +StdEnvVars
</Directory>

BrowserMatch ".*MSIE.*" \
 nokeepalive ssl-unclean-shutdown \
 downgrade-1.0 force-response-1.0

CustomLog "/var/log/httpd-ssl_request.log" \
 "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Запускаем вебсервер, проверяем работает ли, заходим по https, смотрим. Если все работает идем далее:
Издадим сертификат пользователя, настроим доступ к определенной веб-папке по сертификату.

Внесем изменения в httpd-ssl.conf, добавим строки:

<Directory /usr/local/www/apache22/data/ssl> #путь к веб-корню у меня /usr/local/www/apache22/data/
 SSLVerifyClient require
 SSLVerifyDepth 1
</Directory>

Издадим сертификат пользователя:

cd /CA
openssl genrsa -des3 -out fox.key 1024
openssl req -new -key fox.key -out fox.csr
openssl x509 -req -in fox.csr -out fox.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650
openssl pkcs12 -export -in fox.crt -inkey fox.key -name "fox cert" -out fox.p12

В процессе создания и импорта закрытого ключа, запрашивается пароль – необходимо внести. Затем переносим файл.p12 на ту систему где планируется его использование, переносим его либо в личное хранилище сертификатов, если ОС клиента – Windows, либо импортируем в хранилище Firefox`a, либо заливаем в аппаратный ключ или смарткарту.
Проверям. Пользуемся.

P.S. Немного сумбурно описал, но это в первую очередь для себя =)

P.P.S: Есть такой момент – при перезапуске вебсервера будет требоваться ввести пароль закрытого ключа вебсервера в консоли. Это определяется параметром

SSLPassPhraseDialog builtin

Решается следующим образом: в каталоге доступном только пользователю root создаем скрипт.

У меня, например, /root/webpass.sh

#!/bin/sh
echo "somepassword"

И в конфиге прописал:

SSLPassPhraseDialog exec:/root/webpass.sh

Файл /etc/resolv.conf как бы подсказывает:

# /etc/resolv.conf.head can replace this line
nameserver 192.168.1.1
# /etc/resolv.conf.tail can replace this line

То есть создав эти файлы (/etc/resolv.conf.head, /etc/resolv.conf.tail) и прописав в них необходимые значения мы получим их в сформированном демоном файле /etc/resolv.conf

Но есть еще метод – /etc/dhcpcd.conf
Добавляем туда, например эти строки:

interface eth0
static ip_address=192.168.1.237/24
static routers=192.168.1.1
static domain_name_servers=192.168.1.1 8.8.8.8 8.8.4.4

И получаем автонастройку интерфейса на необходииые нам значения.

Уважаемый All, может еще есть интересные методы поставить свои значения в /etc/resolv.conf в дополнение к полученым dhcp-сервера?

Код эксплоита можно найти по ссылке: http://seclists.org/fulldisclosure/2009/Nov/371

Патч еще не вышел, но вроде, как говорят некоторые лица, уже есть пострадавшие.

Во всей этой истории мне не понятно только одно: а зачем вообще держать компилятор на сервере? Или если держать то зачем разрешать его использование пользователями?

Ведь вы же не держите газосварочный аппарат перед входной дверью своего дома.

Что понравилось:

• Управление службами в FreeBSD-like стиле. Да, там есть /etc/rc.conf =)
• Пакетный менеджмент – богатством опций, разделением пользовательских (AUR) и официальных репозитариев, простотой сборки собственных пакетов, например, для использования на другой машине.
• Низкие требования к ресурсам. Вероятно из-за оптимизации под i686, ну и из-за того что не тянется куча хлама, если он тебе не нужен.
• Возможность собрать только то что тебе нужно не заморачиваясь на ключах компилирования, зависимостях и т.д.
• Документацией – отличная документация на Вики-разделе официального сайта: wiki.archlinux.org.

P.S.: я пробовал много дистрибутивов и у всех есть свои плюсы и минусы, вполне возможно, я настолько привык к общим минусам что теперь их не замечаю, и пока все нравится. Было бы интересно услышать-увидеть ваше мнение о данном дистрибутиве.

С трудом понял что дело в nautilus, запуская который (когда примонтирован cd) я через пару секунд получал ошибку undefined symbol g_mount_is_shadowed.

Ранее подобное наблюдалось когда после очередного апдейта “вешался” gdm и было невозможно зайти. Наконец решил разобраться.

Секрет оказался прост, я в свое время ставил некоторый софт отдельно от репозитариев (в т.ч. nessus из исходников, скайп из внешнего пакета). Коварные создатели тех пакетов прописали некоторые файлы в /usr/local/lib – в том числе так называемый glib

Соответственно в /lib у меня была новая версия glib, но некоторые приложения при старте сначала проверяли папку /usr/local/lib в которой оставались ошметки старых либов, о которых пакетный менеджер естесственно не знал. Поэтому с новыми приложениями использовались старые либы и соответственно приложения не работали.

А находится такое достаточно просто;
which nautilus
ldd /usr/bin/nautilus | grep /usr/local

после этого я перенес все либы из /usr/local в другое место (а можно было и грохнуть) и nautilus завелся, диски сами примонтировались и все заработало.

Кстати интересно, по идее это наверное типовой сценарий проблем, при установке софта из внешних источников. По идее маинтернеры дистрибутивов могли бы после установки софта, проверять что либы для нового софта используются из репозитариев а не локальные версии.. Хотя наверное это не юникс-вей, когда лишних действий не производится.. Потому что определенный смысл в том чтобы при апдейте продолжать использовать локальные либы тоже есть….

Собственно брали потестить, но прижилась. Одна проблема – отчеты, она их не умеет, точнее показывает лог за небольшой период (ну или я не нашел ).  Они с одной стороны не нужны никому, а с другой стороны всетаки обидно – может кто то к нам ломится, а я и не знаю. По идее я и не должен знать,  должность другая,  но мне же интересно!

В итоге давно, когда читал про syslog, завернул какие-то логи с этой “дуры” на другую машину, и там они долго-долго копились. А тут мы взяли сотрудника на испытательный срок, он его успешно провалил и стало интересно, чем же он вместо работы занимался…

Итак – общий смысл такой, сначала делаем из общего лога (логов) интересующую выборку (например все пакеты от “Васи”, или все “прибитые пакеты”), и анализируем ее, например, по следующим критериям:

“Анализ пользователя”
1. Список хостов, которые посещал Вася, (с сортировкой по популярности + первые 20 отдельно резолвятся в имена)
2. Список портов, на который ломился Вася (с сортировкой по популярности)

Все “прибитые пакеты”
1. Список таргет-хостов – “куда хотели прорваться пакеты” с сортировкой по популярности
2. Отдельный список из 20 таргет хостов, с именами (отрезолвлеными).
3. Список популярных заблокированных портов (с сортировкой по популярности)
4. Список сорс-хостов – “потенциальных нарушителей”.

В моем случае стало видно что:
1. В инет рвутся восновном внутренние виртуалки, которым настройки прописаны но доступ не дан.
2. Нарушители рвутся восновном на корневые днс сервера, и на сервера апдейтов касперского. см п.1.
3. По портам нарушители DNS, SAMBA и DHCP. Что впрочем правильно (DNS наружу разрешен только нашему DNS)
4. С наружи к нам особо никто не ломится.

Выводы..  Скрипты в общем то жуть какие простые, но в этом и в общем соль, все оказалось просто. Но с точки зрения статистики неудобно анализировать пользователей – мало что говорят цифры 20 000 посещений сервера крупного хостера, например cp333.agava.net… но – каков лог, таков и приход.

Скрипты вложил, основные скрипты
analyse [Ip.addr.e.s] (анализ пользователя)
secreport (отчет по заблокированным пакетам)

При этом “внутре” этих скриптов нужно прописать путь к логам и куда класть статистику.

Кусок изначального лога:

Nov  1 00:00:00 webserver newsyslog[19521]: logfile turned over
Nov  1 00:00:01 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:08 00:08:da:56:1c:90 <50000> Accepted Outbound packet (Custom rule) Src:192.168.0.161 SPort:1073 Dst:94.100.177.6 DPort:110 IPP:6 Rule:8 Interface:LAN
Nov  1 00:02:34 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:17 00:08:da:56:1c:90 <50000> Rejected Outbound packet (Custom rule) Src:192.168.5.146 SPort:1036 Dst:128.8.10.90 DPort:53 IPP:17 Rule:39 Interface:LAN
Nov  1 00:02:44 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:36 00:08:da:56:1c:90 <50000> Rejected Outbound packet (Custom rule) Src:192.168.5.146 SPort:1036 Dst:198.41.0.4 DPort:53 IPP:17 Rule:39 Interface:LAN
Nov  1 00:02:46 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:38 00:08:da:56:1c:90 <50000> Accepted Outbound packet (Custom rule) Src:192.168.0.161 SPort:1074 Dst:74.125.79.111 DPort:995 IPP:6 Rule:8 Interface:LAN
Nov  1 00:02:47 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:40 00:08:da:56:1c:90 <50000> Rejected Outbound packet (Custom rule) Src:192.168.5.146 SPort:1036 Dst:198.32.64.12 DPort:53 IPP:17 Rule:39 Interface:LAN
Nov  1 00:02:47 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:40 00:08:da:56:1c:90 <50000> Rejected Outbound packet (Custom rule) Src:192.168.5.146 SPort:1036 Dst:193.0.14.129 DPort:53 IPP:17 Rule:39 Interface:LAN
Nov  1 00:02:49 ourhost.ourdomain.spb.ru 2009 Nov  1 00:05:44 00:08:da:56:1c:90 <50000> Rejected Outbound packet (Custom rule) Src:192.168.5.146 SPort:1036 Dst:192.36.148.17 DPort:53 IPP:17 Rule:39 Interface:LAN

Пример отчета (заблокированные порты):

37757 53
3650 137
1368 67
288 80
179 123
63 138
22 5222
18 8080
8 6881
6 2002

Порты пользователя:

10820 80
240 443
68 53
10 5222
8 6881
6 5190
6 123

Заблокированные таргет-хосты:

4338 193.0.14.129 129.14.0.193.in-addr.arpa domain name pointer k.root-servers.net.
4330 198.41.0.4 4.0.41.198.in-addr.arpa domain name pointer a.root-servers.net.
4330 198.32.64.12 12.64.32.198.in-addr.arpa domain name pointer as-20144-has-not-registered-the-use-of-this-prefix.
4329 192.36.148.17 17.148.36.192.in-addr.arpa domain name pointer i.root-servers.net.
4311 192.58.128.30 30.128.58.192.in-addr.arpa domain name pointer j.root-servers.net.
3722 202.12.27.33 33.27.12.202.in-addr.arpa domain name pointer m.root-servers.net.

Статистика по хостам пользователя:

242 88.212.196.101 101.196.212.88.in-addr.arpa is an alias for 101.64/26.196.212.88.in-addr.arpa. 101.64/26.196.212.88.in-addr.arpa domain name pointer host01.rax.ru.
233 91.212.60.162 162.60.212.91.in-addr.arpa domain name pointer h0001.friendit.net.
233 78.140.142.125 Host 125.142.140.78.in-addr.arpa. not found: 3(NXDOMAIN)
223 88.212.196.102 102.196.212.88.in-addr.arpa is an alias for 102.64/26.196.212.88.in-addr.arpa. 102.64/26.196.212.88.in-addr.arpa domain name pointer host02.rax.ru.
219 94.100.178.219 219.178.100.94.in-addr.arpa domain name pointer top9.mail.ru.
191 83.222.4.246 Host 246.4.222.83.in-addr.arpa. not found: 3(NXDOMAIN)
191 217.73.200.222 222.200.73.217.in-addr.arpa domain name pointer tns-counter.ru.
190 93.186.225.1 1.225.186.93.in-addr.arpa domain name pointer cs11.vkontakte.ru.
175 174.37.230.144 144.230.37.174.in-addr.arpa domain name pointer 174.37.230.144-static.reverse.softlayer.com.
160 93.186.224.23 23.224.186.93.in-addr.arpa domain name pointer cs23.vkontakte.ru.

Пример работы:

[dimka@webserver ~]$ analyze 192.168.0.131
rm: /hdd2/stat/192.168.0.131.dat: No such file or directory
rm: /hdd2/stat/192.168.0.131.hosts: No such file or directory
rm: /hdd2/stat/192.168.0.131.stat: No such file or directory
analysing /var/log/checkpoint.0.bz2...
analysing /var/log/checkpoint...
get dest ports...
counting port stats...
get unique destinations...
counting destination stats...
sorting...
resolving...
[dimka@webserver ~]$

PS врятли кому то интересно, но файл со скриптом я счас попробую залить. Хотябы для себя )  Архив

В итоге, для переключения раскладки сделал следующее:

root@darkstar:~# cat /etc/hal/fdi/policy/10-keymap.fdi
<?xml version="1.0" encoding="ISO-8859-1"?> <!-- -*- SGML -*- -->
<deviceinfo version="0.2">
<device>
<match key="info.capabilities" contains="input.keymap">
<append key="info.callouts.add" type="strlist">hal-setup-keymap</append>
</match>
<match key="info.capabilities" contains="input.keyboard">
<merge key="input.xkb.rules" type="string">base</merge>
<merge key="input.xkb.layout" type="string">us,ru(winkeys)</merge>
<merge key="input.xkb.options" type="string">grp:ctrl_shift_toggle,grp_led:scroll</merge>
</match>
</device>
</deviceinfo>

Переключение раскладки заработало, индикация по лампочке Scroll Lock.

Удобства.
Не нравятся мне коробочные курсоры, сделал симлинк:

ln -s /usr/share/icons/redglass ~/.icons/default

теперь redglass мои основные курсоры.

Ненормальный размер букв в меню приложений и т.д., лечил так:

root@darkstar:/home/netf0x# cat ~/.Xresources
Xft.dpi: 96

Затем в .xinitrc добавил строчку:

xrdb -merge ~/.Xresources

Настраивать с нуля меню ужасно обламывало, а старое брать за основу не хотелось – слишком много правок. Проблему решил найдя на просторах интернета программу menumaker – http://sourceforge.net/projects/menumaker/. Очень помогло.