Kasutaja:Jj

Personaalne jj arendusnurk ehk sodinurk kuutõrvajas

Mõte! Kuutõrvaja keskendunud liiga internetile

NB Mitte puududa

Must materjal

• jj sodinurk testimiseks ja kiireteks ideedeks
• pppoe kiire
• Haldustarkvara
• terminal server FreeBSD näitel
• atacontrol
• Promtpt
• apache ssl täiendust vajav
• apache suexec php freebsd
• vinum gvinum ja geom
• rrdool snmp ja süsteemse info alusel graafikute joonistamine
• nagios monitooring - vaja neist kahest kokku panna midagi

• syslog_põhi

tcpdump 'tcp port 80'

http://www.cyberciti.biz/faq/tcpdump-capture-record-protocols-port/

salvestatud info tagasi võrku http://tcpreplay.synfin.net/

# tcpdump -n -c 30 -w port.80.debug.txt
tcpdump: listening on nge0, link-type EN10MB (Ethernet), capture size 96 bytes
30 packets captured
308 packets received by filter
0 packets dropped by kernel

 -c     Exit after receiving count packets.

# bittwist -i nge0 port.80.debug.txt        
sending packets through nge0
trace file: port.80.debug.txt

30 packets (24057 bytes) sent
Elapsed time = 0.170292 seconds

http://bittwist.sourceforge.net/doc/bittwist.1.html saadab pcap faili tagasi kust tuli

Tüütute ussitavate ipde blokeerimiseks võib anda ka käske stiilis

# route add -host 84.15.122.115 gw 127.0.0.1

või terve subneti puhul

# route add -net 64.202.165.0/24 gw 127.0.0.1 

rakendamisel viskas praeguse (normaalse) koormuse juures loadi 20-le. Siis kommenteerisin välja suure hulga reegleid, mis spämmisaatmise vastu võitlevad (regexpi kontrollid) ja load jäi 1 ja 1.5 kanti.

Ilmselt on mõistlik badips.conf fail küljes hoida, et vähendada DDoSi võimalust pisutki, põhireeglid rules.conf kah ilmselt mõistlik. Hetkel küljes ka rootkits.conf, mis peaks tõkestama kõiksugu failide includemised jmt.

/var/log/httpd/modsec_audit.log failist saab jälgida, kelle ta ära blokib. Tundub, et üsna hoogsalt üritatakse mingit spämmi vms edastada.

Apache 1.3 puhul tasub mod_security kompileerida libpcre abil ja panin apache libpcre sisse laadima - nii ei kasutata enam apache 1.3 seesmist regexi mootorit mis on pcre-st kordades aeglasem.

Ühtlasi jätsin alles reeglid: rules.conf ja rootkits.conf (badips oli 7000 rida IP numbreid, mida võiks põhimõtteliselt tulemüüri või kuhugi toppida ja ei pea apache regexides kasutama).

Seejärel on masina load 0.4 - 0.8 kandis püsinud. Ehk võib siis käima jätta niimoodi.

PS. Kui keegi kurdab, et tal asjad ei tööta, siis tuleks auditi logist uurida ja vajadusel /etc/apache/modsecurity/exclude.conf-is sealsete näidete alusel vastavad ID-d välja lülitada (per LocationMatch või Directory vms).

Reegleid saab mõne veebi piires keelata ka näiteks .htaccess fail sisuga

  SecFilterEngine Off
  SecFilterScanPOST Off 

---

http://www.faqs.org/docs/iptables/newnotsyn.html

Lühikokkuvõte: MS Windowsi vigane TCP stack saadab peale lõpetatud ühendust veel ühe paketi, mis siis meie tulemüüris kinni jääb. Arvatavalt see ühenduseprobleeme ei tekita.

---

iperf minu masinast katsetaja vastu annab tulemuseks
[  3]  0.0-10.0 sec    112 MBytes  94.2 Mbits/sec

hdparm näitab iscsi ketta kohta järgmisi nubreid

# hdparm -tT /dev/sdc

/dev/sdc:
 Timing cached reads:   1670 MB in  2.00 seconds = 834.83 MB/sec
 Timing buffered disk reads:   34 MB in  3.11 seconds =  10.92 MB/sec

Tõstaks õige masina gigabitivõrku, siis peaks limiteerivaks saama ketta mitte võrgu kiirus.

Katsetaja iscsi targeteid saab külge haakida väga lihtsalt:

# iscsiadm -m discovery -t sendtargets -p 193.40.0.194:3260
193.40.0.194:3260,1 katsetaja.eenet.ee:storage.disk1
193.40.0.194:3260,1 katsetaja.eenet.ee:storage.disk4
193.40.0.194:3260,1 katsetaja.eenet.ee:storage.disk3
193.40.0.194:3260,1 katsetaja.eenet.ee:storage.disk2

# iscsiadm -m node -T katsetaja.eenet.ee:storage.disk1 -p 193.40.0.194:3260 -l

iscsi target ilmub seejärel /dev/sdX seadmena, millega on võimalik opereerida nagu tavalise kettaga. Lahtihaakimiseks:

# iscsiadm -m node -T katsetaja.eenet.ee:storage.disk1 -p 193.40.0.194:3260 -u 

# dd if=/dev/sdb of=/dev/null bs=1024k count=1024
1073741824 bytes (1.1 GB) copied, 8.17863 s, 131 MB/s 

---

Zopenurk

Instants tuleks tekitada /srv kataloogi, katsetasi natuke nendega ja võtsin praegu enda proovid maha /usr/local/etc/rc.d/zope210 restart abil toimub nende restart /etc/rc.conf'i saab lisada zope210_instances reale täisrajaga neid vajadusel lisaks või muuta midagi vajadusel.

Uut zope instantsi saab luua minnes kausta /usr/ports/www/zope210 ja andes käsu make instance ZOPEINSTANCEBASE=/home/mingikataloog

Praegu on make.conf'i kirjutatud sisse PYTHON_DEFAULT_VERSION=python2.4, kui oleks vaja uuemad pythonit kasutada tuleb see rida sealt /etc all olevast failist kustutada

Vana zope serveri sisu asub kaustas /X/Z-Instance1/ arvatavasti sealt muud vaja ei lähegi kui ainult /X/Z-Instance1/var/Data.fs faili ? Mul on seal katsetamiseks vanem data.fs versioon mis 43G suur, hetkel on nimetatud fail paisunud producion serveris 60G ringi.

---

Pisikesed asjad

The default timeout for fully established TCP connections in pf is 24 hours:

 # pfctl -st
 tcp.established           86400s

You can change this value in pf.conf with

 set timeout { tcp.established 86400 }

When you establish an SSH connection, you should see a state like

 # pfctl -vvss | grep -A 3 ":22 "

 sis0 tcp 213.3.30.1:22 <- 83.77.96.2:57802 ESTABLISHED:ESTABLISHED
  [574539409 + 66576] wscale 0  [303632633 + 16656] wscale 3
  age 00:04:03, expires in 23:57:10, 932:894 pkts, 73171:153576 bytes, rule 106

The last part of the first line should read "ESTABLISHED:ESTABLISHED", otherwise the connection is not considered fully established by pf for some reason, and the 24 hour timeout is not applied.

The "expires in" part on the third line should equal 24 hours minus the current idle time. If it reaches zero, the state will be removed. Any activity of the connection should reset it to 24 hours.

du -h | sort -n -r

http://www.askapache.com/htaccess/apache-ssl-in-htaccess-examples.html

Hea näide vanast programeerimise õpikust, ehk kulub kuskil ära

//Näärivana1
 Korrata kuni kell pole veel 18.00
 oodata üks minut
 Siseneda ruumi; pidada tervituskõne
 
 //kingituste jagamine
 korrata kui kotis 1 on veel pakk
 võtta kotist 1 mingi pakk
  Käesoleva pakiga seotud tegevus
  kui pakil pole nime siis
   panna pakk kotti 2
  muidu
   lugeda pakil olev nimi
    //paki kätteandmine
     kui pakk on näärivanale siis
      tänada saadud paki eest; panna pakk kotti 2
     muidu
       kutsuda nimetu; nõuda pala
        kui pala esitati siis
         valida nimestikust M mingi kõne
        pidada valitud kõne; anda pakk
 Pidada lahkumiskõne; väljuda ruumist

iconv -f ISO-8859-1 -t UTF-8 filename.txt utf8 to latin

ImportError: No module named ImplPython User's solution This works! +0 Vote Up Vote Down +0 Vote Up

Start with a new site-packages folder

cd Python-2.4.4/lib/python2.4 mv site-packages/ site-packages_old mkdir site-packages

Move over some of the stuff needed

mv site-packages_old/PIL site-packages

http://cb.vu/unixtoolbox.xhtml

Ketaste liigutamine linuxist

http://fritzthomas.com/overall/491-how-to-cleaning-up-gentoo-to-get-more-free-disk-space/

http://www.brandonhutchinson.com/Moving_Linux_to_a_new_hard_disk.html

Graafilised menüüd whiptail mis kasutatav linuxis nt debianis kohe ja bsd's asub paketis newt

sarnane on ka dialog mis bsd's vaikimisi

#!/bin/sh
dialog --inputbox text 10 30 2> /tmp/input.dialog
   if [ $? = 1 ]; then
         clear
         exit 0
   fi
ANS=`cat /tmp/input.dialog`
echo "You typed: $ANS";

http://manpages.ubuntu.com/manpages/intrepid/man1/whiptail.1.html

http://stackoverflow.com/questions/1562666/bash-scripts-whiptail-file-select

http://www.rhyolite.com/dcc/ spämmiõrjet

lanis olevate arvutite liikluse joonistamiseks bandwithd, paistab ainult kaua arendamata seisnud projekt http://bandwidthd.sourceforge.net/

Selinux nsa toel arendatud http://www.nsa.gov/research/selinux/

Mingi programm screeni

/usr/local/bin/screen -dmS rtorrent /usr/local/bin/pebrot

Failimuudatuste jooksev vaatamine

http://en.wikipedia.org/wiki/Inotify

#spam viirus
content_filter = smtp-amavis:[127.0.0.1]:10024

ja faili master.cf lõppu lisada

smtp-amavis     unix -        -       n     -       5  smtp
 -o smtp_data_done_timeout=1200
 -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n        -       n     -       -  smtpd
 -o content_filter=
 -o local_recipient_maps=
 -o relay_recipient_maps=
 -o smtpd_restriction_classes=
 -o smtpd_client_restrictions=
 -o smtpd_helo_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks=127.0.0.0/8
 -o strict_rfc821_envelopes=yes
 -o smtpd_error_sleep_time=0
 -o smtpd_soft_error_limit=1001
 -o smtpd_hard_error_limit=1000 

mpt

do sysctl -a | grep nonoptimal_volumes this should find an oid somewhere under mpt branch, and it should reflect the number of raid volumes in state other than "optimal". in most cases this means that a disk has gone bad.

FreeBSD all erinevate raidide monitooringud

http://www.nico.schottelius.org/docs/freebsd-raid-monitoring/

http://www.freebsdwiki.net/index.php/Megarc

Monitooring smartmontoolsiga

http://smartmontools.sourceforge.net/docs/raid-controller_support.html

Nagu nimi jutustab

http://nixify.blogspot.com/2009/10/getting-reports-on-intrusion-attempts.html

viiskümmend suurimat kausta sorteerituna

du -k . | sort -nr | head -50

Paging http://en.wikipedia.org/wiki/Paging

pagesize

Mõned regexpi mustrid

as 112233 sdf
asd 0.0232 ads

Muster:
\s(0\.)?[0-9]+\s

Selgitus:

\s - tühik
(0\.)? - luba numbrijada ees 0.
[0-9]+ - vähemalt 1 number 

Nt rida

OUTPUT="HTTP OK HTTP/1.0 200 OK - 3376 bytes in 0.093 seconds" 

Selle analoogia põhjal proovi äkki sellist:

"output:tm:/- (\\d+) bytes/" "output:tma:/in =  (\\d+\\.?\\d*) seconds/"

Nimelt, kuna originaalis ilmselt on kirjutatud \\d, siis tähendab see, et \ tuleb veel topelt escapeda, ehk \\, millest võis minu esialgne rida mitte töötada. Teine asi on nende sulgudega - sulgude sees olev regexi osa on see, mis pannakse väljundisse, seega peab sulge õigesti panema.

Pikk lohisev käsk abiks liiga pikkade vanade rippuvate protsesside tarbeks

for P in `links --dump http://nw.eenet.ee/server-status | egrep "space:+Kspace:+digit:\.digit:{2}space:+digit:{3,}" | cut -c 6- | cut -d ' ' -f 1`; do echo "$P tapetakse"; kill -USR2 $P; done 

http://www.gtkpod.org/about.html linux/bsd ipod kasutus

http://www.cgsecurity.org/wiki/PhotoRec failide taastamine ntfs/fat/ext

http://www.mastershaper.org/index.php/Main_Page linuxil powertool neti koormuste kontrolliks

http://l7-filter.sourceforge.net/ filtreerida teenuseid ja nt muula, torrentit blokeerida

õpetussõnu

https://help.ubuntu.com/community/Servers lugeda ja kirjutada ka ise huvitavatest ideedest

http://www.defcon1.org/html/articles.html

http://www.freebsd.org/cgi/url.cgi?ports/www/rt36/pkg-descr

http://wiki.bestpractical.com/view/FreeBSDInstallGuide

RIPE aadressid LIRidel

ftp://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt

Saadetud ideed

Lingid

http://geektechnique.org/projectlab/796/how-to-build-a-fully-encrypted-nas-on-openbsd

http://akadeemia.kakupesa.net/VR1/loengud

http://www.cinepaint.org/

http://www.openmaniak.com/inline_final.php

http://www.bsdcan.org/2007/schedule/track/Tutorial/index.en.html

http://sourceforge.net/projects/snoop/

http://wiki.wifi.ee/index.php?title=Eri:Allpages

Mõned samba lingid

http://www.freebsddiary.org/samba-pam.php

FreeBSD lingid

http://www.freebsd.org/projects/ideas/

http://blizzard.rwic.und.edu/~nordlie/miniwulf/ Beowulf cluster running under FreeBSD

Raua lingid

http://www.soekris.com/

Võrk

http://6to4.version6.net/

http://www.routeviews.org/dynamics/

http://en.wikipedia.org/wiki/Border_Gateway_Protocol

http://www.cyberciti.biz/tips/howto-monitor-and-restart-linux-unix-service.html

iconv -t utf-8 /etc/passwd

iconv -t latin /etc/passwd

iconv --from-code= --to-code=UTF-8 ./fail1 > ./fail2

/usr/sbin/apache-modconf apache enable mod_info vaja uurida kas uuel töötab ka