FreeBSD, Администраторски блог - Част 2
Блог за технологиите, технокрацията и методите за справяне с гребла
Категория «FreeBSD»
Ние редактираме часовата зона благодарение на iPhone
ifconfig псевдоними във FreeBSD
Попаднах на забавен проблем с ifconfig във FreeBSD. Имаше сървър на който имаше gateway и през NAT имаше mesh forwarding в DMZ. В тази връзка псевдонимите бяха повдигнати на външния интерфейс, заредени чрез /etc/rc.confifconfig_em1=”inet IP1 мрежова маска 255.255.255.248 media 100baseTX mediaopt full-duplex” ifconfig_em1_alias1=”inet IP2 мрежова маска 255.255.255.248 ″ ifconfig _em1_alias2="inet IP3 мрежова маска 255.255.255.248"
Инсталиране на ftp сървър със съхранение на потребители в база данни
Изтриване на историята на командния ред на обвивката
Понякога се случва ситуация, в която трябва да вдигнете сървър и да го прехвърлите в ръцете на занаятчии на други хора и вие, например, сте тествали затваряне на трафика, за да свържете мрежи върху него, или не искате да изгорите процедурата за настройка на сървъра.
За да направите това, трябва да нулирате историята на черупката или поне да изхвърлите някои фрагменти от нея. Това се прави много просто, тъй като се съхранява във файла.bash_history, който се намира в домашната директория на потребителя и в случай на някакви настройки, root. Естествено, той се съхранява там, ако се използва bash, а не / sbin / nologin
Така че има две опции, или нулира този файл# cat /dev/null >
или го отворете за редактиране и изтрийте ненужните линии с химикалки.
И в двата случая ще трябва да влезете отново, за да изчистите обвивката, тъй като данните от нея се зареждат, когато профилът се зарежда.
FTP за малка такава компания
Днес трябваше да отида при клиента точно за многострадалната топка с vidyahi и засега най-важното е, че беше начертан план за местния ftp-сървър, който трябва да бъде инсталиран в офиса. Не искам да рисувам и не съм инсталирал Visio сам, така че ще опиша на пръсти къде да копая.
Всъщност основната схема на работа е следната: FTP сървър, работещ под ProFTPd със съхранение на акаунти в базата данни MySQL. Към него са добавени файлов контрол и clamav. Самият сървър се намира в DMZ зад защитната стена, където към него са свързани портове 20, 21 и всичко над 1024, за да работи пасивно. Също така инсталираме apache и отваряме порт 80 на защитната стена, тъй като някои глупави бургери ще трябва да изтеглят от локали и според моя опит многократно съм срещал ситуация, при която такива „васяки“ просто нямат чела, който да им обясни как да превключат ftp клиента в пасивен режим, а фалшификатите, които им изпращате по пощата, по някаква причина не помагат. За такива граждани също е необходимо да имат уеб сървър, на който да има определен брой папки, защитени с парола на базата на .htaccess.
Останалите пакети са самба сървър, чрез който вътрешни клиенти разпространяват файлове в папки, с удостоверяване на ниво потребител. Тук всъщност можете да направите два варианта: или да разрешите преминаването на smb пакети от мрежата през защитната стена, или да поставите сървъра с втория интерфейс в локалната зона, но това не е много добра идея, защото въпреки че шансовете да разбием ftp са изключително малки, но все пак това се оказва допълнителен вход. По принцип можете да го изведете с втори шунт към вътрешната DMZ, където вече можете да филтрирате пакети от вътрешни мрежи. Подобен ход е по-хумористичен, но и най-спокоен.
Създава се папка за всеки потребител или отдел - за предпочитане с квоти, в противен случай ftp сървърът се превръща в неконтролирано файлово хранилище, по-лошо от файлов сървър. В това отношение има смисъл да се намали седмичното изпращане на изходна статистика към пощата: df -ah du -ch -d 1 /ftphome
Сега, за да защитим цялата тази икономика, както казах: на защитната стена правим картографиране на портове или безусловна транслация, затваряйки всички портове под порт 1024, с изключение на 20, 21 и 80 отвън, а вътре от сървъра предаваме всички или само smb протоколи.
След това настройваме всичко и се наслаждаваме на живота.