FreeBSD, Одмінський блог - Part 2
Блог про технології, технократію та методики боротьби з граблями
Рубрика «FreeBSD»
Правимо timezone за спасибі айфоні
Аліаси ifconfig у FreeBSD
Натрапив на кумедний глюк роботи ifconfig у FreeBSD. Був собі сервачок на якому стояв шлюз і через NAT йшов прокид сітки в DMZ. У зв'язку з цим на зовнішньому інтерфейсі були підняті аліаси, що вантажилися через /etc/rc.confifconfig_em1=”inet IP1 netmask 255.255.255.248 media 100baseTX mediaopt full-duplex” ifconfig_em1_55 .255.248″ ifconfig_em1_alias2=”inet IP3 netmask 255.255.255.248″
Установка ftp-сервера із зберіганням користувачів у БД
Видаляємо історію командного рядка shell
Іноді трапляється ситуація, що треба підняти сервак і передати його в руки чужих умільців, а ви на ньому, наприклад, тестували закриття трафу в сполучені сітки, або не хочете палити процедуру налаштування сервера.
Для цього треба обнулити історію шелла, або принаймні викинути з неї якісь фрагменти. Робиться це вкрай просто, бо вона зберігається у файлі.bash_history, який знаходиться в домашній директорії користувача, і у разі будь-яких налаштувань-root. Природно, що там вона зберігається у разі використання bash, а не /sbin/nologin
Так що варіантів два або обнулити цей файл# cat /dev/null >
або відкрити його на редагування та випрати непотрібні рядки ручками.
В обох випадках треба буде перелогінитись, щоб shell очистився, оскільки дані з нього підвантажуються під час завантаження профайлу.
FTP для маленької такої компанії
Сьогодні довелося поїхати до клієнта саме з приводу багатостраждальної кульки з видяхами, і поки суть та справа-намалювався планчик для локального ftp-сервера, який потрібно поставити в конторі. Малювати не полювання, та й Visio я собі так і не поставив, тож опишу на пальцях куди рити.
Власне важлива схема роботи така: FTP-сервер працюючий під ProFTPd зі зберіганням обліків у основі MySQL. До нього есессно підрубано контроль файлів і clamav. Сам сервак знаходиться в DMZ за фаєрволом, де на нього підключені порти 20, 21 і все вище 1024, для відпрацювання пасиву. Також ставимо apache і відкриваємо 80 порт на фаєрволі, так як деяким тупим бургам знадобиться завантажувати з локалок, а за своїм досвідом роботи я неодноразово стикався з ситуацією коли у таких "васяток" банально немає чола який їм міг би пояснити як переключити ftp-клієнта пасивний режим, а факи, які їм надсилаєш на пошту, чомусь не допоможуть. Ось для таких громадян необхідно також мати web-сервер на якому завести кілька папок, запаролених на основі .htaccess.
Інші пакети – це samba сервер, через який внутрішні клієнти розкидають файли по папках, з автентифікацією на рівні користувачів. Тут можна зробити два варіанти: або дозволити проходження smb пакетів з сітки через фаєрвол, або засунути сервак другим інтерфейсом в локалку, але це не особливо гарна ідея, бо хоча шансів що нам зламають ftp вкрай мало, але все одно це виходить зайвий вхід. В принципі, можна його вивести другим шнутом у внутрішній DMZ, куди вже фільтрувати пакетики від внутрішніх мереж. Такий хід гіморніший, зате й найбільш спокійний.
Кожному юзверю, або відділу створюється папка - бажано звичайно з квотуванням, інакше ftp-сервер перетворюється на неконтрольовану файлопойку гірше за файл-сервер. У зв'язку з цим є сенс підрубати щотижневе відправлення на пошту статистики висновку: df -ah du -ch -d 1 /ftphome
Тепер із захисту всього це господарства, як я і сказав: на фаєрволі робимо мапінг по портах, або ж безумовну трансляцію, закриваючи всі порти нижче 1024 порту, крім 20, 21 і 80 назовні, а всередину від сервера пропускаємо всі або тільки smb протоколи .
Після чого всю цю справу налаштовуємо та радіємо життю.