-
Fototrend
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
bambano
titán
Ha squidon keresztül neteznek, akkor a wondershaper felesleges. A squides gépet érdemes kirakni a dmz-be és azon megcsinálni a forgalomszabályozást.
Egyébként pedig az alinterfész szerintem nem lehet ugyanabban az ip tartományban, mint a fő, mert akkor a kernel nem fogja tudni, hogy melyiken tolja ki a forgalmat. a traffic shaping meg fizikai interfész queue-kon dolgozik, tehát annak mindegy, milyen alinterfész van vagy nincs.
-
#9199
bambano
titán
Speeedfire
#9198
bambano
titán
válasz
Speeedfire
#9198
üzenetére
Miért nem a freebsd topicban kérdezed?
-
bambano
titán
more /etc/locale.gen
hu_HU.UTF-8 UTF-8hu_HU ISO-8859-2
en_GB ISO-8859-1
en_GB.ISO-8859-15 ISO-8859-15
en_GB.UTF-8 UTF-8
en_US ISO-8859-1
en_US.ISO-8859-15 ISO-8859-15
en_US.UTF-8 UTF-8nekem ilyenem van... hmm. a locale -a nekem is utf8-at ír... viszont a locale.aliasban meg ez van:
hungarian hu_HU.ISO-8859-2
na megint sikerült valamiből kuplerájt csinálni a tisztelt fejlesztőknek... -
bambano
titán
válasz
kbalazsa
#9152
üzenetére
amennyire én tudom, a dump teljesen rendszerfüggő, tehát ha valamit kiraksz egyik vason, a másikon vagy bejön, vagy nem. Meg az is kérdés, amit kidumpoltál ext2-n, vissza tudod-e tölteni ext3-4-en vagy máson.
Az biztos, hogy amit egy 32 bites linuxon kidumpolsz, azt nem fogod tudni visszatölteni mondjuk egy solarison, ezért én nem használok ilyet soha. Ha olyan mentő cucc kell, ami szabványos kimenetet tol, akkor cpio.
-
-
bambano
titán
válasz
Cathfaern
#9146
üzenetére
nekem a partíció mentés azt jelenti, hogy a vinyón található blokkokat sorban kimentem és ha gond van, akkor visszatöltöm. ez, szerintem, simán összeborulhat attól, hogy az inode-táblákat, a journaling buffert, meg a többit nem egy időpillanatban, konzisztensen mented le.
tar-ral partíciót nem lehet menteni, tarral fájlrendszert lehet menteni, a különbség az, hogy egy partíción lvm-mel lehet több fájlrendszer is és a tar átmegy több fájlrendszer között, alapértelmezésben. Ezért tarolni fájlrendszert szoktunk, ott nem akkora gubanc, hogy fájlok módosultak, tar kicsit prüszkölni fog, elvész pár logbejegyzés és annyi.
Szóval melyik?
-
-
-
bambano
titán
Úgy érted, hogy eddig nem törtek meg accot és ezzel a támadási típussal nem törnek meg accot. Azt elég bátor lenne kijelenteni, hogy más módon nem hekkelhető a rendszer...
Pár napja azt írtad, hogy az egész cucc meghaladja a képességeidet
USB-s vinyót backupra nem sok értelmét látom... Ha valami táphiba vagy tűz miatt megáll a cucc, akkor viszi a vinyót is a diszkrétre...
-
bambano
titán
mount -h
Egy már látható könyvárfa másik könyvtárba is csatolható:
mount --bind régikönyvtár újkönyvtár
vagy áthelyezhet egy részfát:
mount --move régikönyvtár újkönyvtártehát felmountolod a debianos teljes fájlrendszert valahova, majd átmountolod a rajta levő home dirt a /home alá.
-
bambano
titán
De nem marad ugyanaz, mert először a web szerveren levő cuccok segítségével megtörnek egy mezei accountot, majd utána megtörik a rootot is. Azt pedig, hogy hogy jutnak egy mezei accountról rootig, azért időközben foltozni szokás. Viszont a rootkitek első lépése, hogy pár fontos fájlt (libc-t, ps-t szinte mindig, de szerintem init-et is, meg még olyanokat, amik rendszerint setuid rootosok) lecserélnek, a takarításhoz ezeket muszáj visszaállítani.
Rendesen ezt úgy érdemes, hogy látod, hogy felnyomták, legyalulod nullára a diszkeket, pxe-vel felrámolsz egy alap debiant, utána update, visszarakod az adatokat és mehet. Mindezt természetesen felügyelet nélkül.
Egyébként sem ártana menteni a cuccokat, mert láttunk már diszket megdögleni. Az egybeparticionálással továbbra is az a fő bajom, hogy egyes területeket más mount opciókkal illene mountolni, de a /dev-et nem lehet nodev-vel, a /usr-t nem lehet noexec-cel, stb. Pontosabban lehet, de nem praktikus
Egyébként pontosan ugyanakkora valószínűséggel telik meg egy 20g-s mint egy 200g-s partíció. Ha minden rendben van, akkor a 20g-s sem telik meg. Ha meg baj van, akár hardver, akár betörtek, akár bekaptál egy ddost, akkor meg mindkettő megtelik, az egyik valamivel tovább bírja.Az se lenne baj persze, ha sok meghajtón lenne a diszkterület, hogy szét lehessen osztani az io terhelést. pl. adatbázis ideális esetben külön diszkeken, stb.
A latexet kösz, de ezekről tudtam. Az érdekelne, hogy valamelyik kedves fórumtárs azt mondaná, hogy nálam ez így működik, napi használatban.
-
bambano
titán
No, kicsit bővebben:
a te egyik nagy bajod az, hogy akkora mennyiségű ismeretlen forrásból származó cucc van a gépeden, amiért épelméjű ember nem tud felelősséget vállalni. Azt mondtad, 400 domain, ebből legalább 100-ra külsősök töltögetnek fel anyagot, Ergo lövésed nincs, hogy mit, és ennyit egyszerűen lehetetlen kézzel auditálni, átbogarászni ismert és ismeretlen programozási bugok iránt. Ha nem tudod megvédeni a gépet a feltörés ellen, akkor egy megoldásod maradt: megcsinálni, hogy baromi nagyon gyorsan újra lehessen telepíteni nulláról. Ehhez kell másik gép és pxe.Az egy partícióra rakásnak meg az a nagy hátránya, hogyha valami elszalad (pl. meglökik egy ddos-sal a kernelt és ettől sok lesz a log), akkor előfordulhat, hogy megállnak azok a cuccok, amik arra a partícióra akarnak írni. Ha egy partíciód van, akkor minden megállt.
A távoli szervizproci meg arra jó, ha nem felügyelet nélkül akarod újrahúzni, hanem kézzel... Én mostanában már nem veszek ilyen nélkül gépet. Olcsóbb 20-30 rugót kiadni egy kártyára, mert ez kb. két tank benzin.
-
bambano
titán
A következő problémához kellene gyakorlati tapasztalat: különböző dokumentumokat kellene nyomtatnom, amiket én állítok elő latex-ben. Az, amit én még sosem csináltam az, hogy két tálca van a nyomtatóban (kyocera fs 400dn), és egyes dokumentumoknak az egyik tálcában levő a4-es lapon, másoknak meg a másik tálcában levő a5-ös lapon kellene kiesniük.
Hogy kell szépen, lehetőleg nyomtató függetlenül megcsinálni, hogy a doksik megtalálják a saját tálcájukat?
-
bambano
titán
Ajjajj, nagy itt a baj...
azzal kellene kezdeni, hogy az előfizetőiddel megértetted, hogy 100%-os rendelkezésre állás nincs. Egy géppel, ilyen cuccal a 95% is elég nagy bátorság, az pedig évi 18 teljes nap leállást engedélyez. Minden további 9-es (95-ről 99-re, majd 99-ről 99.9-re és így tovább) alsó hangon duplázza, de inkább 4-5-szörösére növeli az előfizetés díjakat.
ha nem lehet a hostolt domainek gazdáival megértetni, hogy van rendszeres karbantartási időszak, amikor nem megy a cucc, akkor itt van vége a dalnak... kell lenni időpontnak, amikor lemountolhatsz egy fájlrendszert és átméretezheted. vagy majd megmondják az okosok, hogy melyiket lehet menet közben is.
A pxe arra lenne jó, hogy hálózatról újra lehessen rakni a debiant.
A második gép meg arra, hogy azon legyenek a cuccok, amit szolgáltatni kell.
A dellben távoli szervizprocesszor van? -
bambano
titán
Arra, hogy ne teljen be egy partíció, ext3-as fájlrendszer és lvm való.
A mountról a setuid bit leszedése arra jó, hogyha megtörték félig a rendszert, ne tudjanak user jogosultságból root-ba menni. Pontosabban a privilégium emelés lehetséges módozatai közül egyet akadályoz meg.csak össze kellene rakni ezt a ketyerét újra, nulláról, mert ebből csak bajod lesz folyamatosan...
pxe-t tud a hálókártyád? van kéznél tartalék gép?
-
bambano
titán
"Csak ismételni tudom magam: ha 100 domainhez tartozó web cuccot idegenek tartanak karban, akkor esélytelen vagy."
Abban ne legyél biztos, hogy semmit nem ért volna, egy apacs pótlékot eldugtak a /tmp-be, nem tudhatod, a többi hol van. Mivel futott olyan program, amit nem te indítottál, lehet, hogy a ps meg a /proc is hekkelve van, ebből még lehet bajod.
ugye azóta külön fájlrendszerre került a /tmp és a /var/www is, nodev,nosuid,noexec-cel mountolva? (értelemszerűen ha eddig nem így lett volna.)
ugye azóta lekerült a setuid bit a mountról (értelemszerűen ha eddig volt rajta)?
-
bambano
titán
fut a viharmadár vagy 13 gigányi imap postafiókkal, a tűzróka 6 tabbal, az egyikben éppen satriani nyúzza a gitárját jutúbról, két index ablak, flash reklámokkal, meg egy terminál. lenny, gnome, nvidiás xorg. Így zabál az egész tokkal-vonóval 420-450 mega ramot, meg van 500 mega körül buffer cache.
A 4g ramomat csak jávával meg netbeans-szel tudom megrakni. Mondjuk azokkal elég hamar...
-
bambano
titán
Nem kétfelé, sokfelé szoktam a vinyót particionálni, minden külön partícióra kerül, ami menet közben üzemszerűen növekszik és ha valami megszalad, elszedheti mástól a helyet.
A teljes vinyót, minden bitjét legyalulnám nullára, sosem tudhatod, hova dugta a lomját.
Az adatokból azokat, amik biztosan nem tartalmazhatnak futtatható kódot, lementeném, a többi kuka.A 10 soros tűzfalscripted semmit nem ér, ha a felpakolt php keretrendszer bugos, a mellé rakott php nem jól van konfigurálva és egyébként is local root exploitos a kerneled.
Mondom, kukába az egésszel, különben soha nem szabadulsz meg a vendégtől. És erősen fontold meg a virtualizációt, ezen a szinten erre az uml a legegyszerűbb. Vagy legalább egy sorozat chrootolt webszerver legyen rajta, nem mintha chrootból ne tudna kijönni az ügyesebbje, de a scriptkiddie-ket megfogja.
-
bambano
titán
Csak ismételni tudom magam: ha 100 domainhez tartozó web cuccot idegenek tartanak karban, akkor esélytelen vagy. Meg sem próbálnék védekezni a helyedben, csak azon agyalnék, hogy hogyan tudom gyorsan újratelepíthetővé alakítani a cuccomat.
Egy 10+ gépes szerverfarmot, amit legutóbb csináltam, szerintem egy óránál hamarabb újra tudtam volna húzni nulláról (jó, a diszkek üresre gyalulása nélkül).
Esetleg meg kellene próbálni usermode linuxszal virtualizálni az egész kócerájt, mert ez nem "A" betörés volt nálad, hanem az "első" betörés. defloreáltak:
![;]](//cdn.rios.hu/dl/s/v1.gif)
vladi: újrahúzni meg frissíteni service packkel szoktak max... debianéknak erre van normális megoldása.
-
bambano
titán
Állítólag ez:
man apt-get
--reinstall
Re-Install packages that are already installed and at the newest version. Configuration Item: APT::Get:
eInstall.az, de még sosem próbáltam. egy alapos előzetes tesztelést megérdemelne.
A jótanács a teljes gyalu és újratelepítés (ami nem tudom, miért tart 2 napig), de ha ez nem megy, akkor live cd-ről bootolva chrootolva újrarakni minden binárist. itt viszont oda kell figyelni, nehogy egy megpatkolt lib vagy bináris elinduljon, mert akkor lőttek egy pukkantósat az egésznek.
-
bambano
titán
Sosem fogod teljes biztonsággal megtalálni, főleg, ha nem is nálad van a bug... Lehet, hogy más trükkel térítették el azt a webes forgalmat?
Elvileg tudni kellene olyat a cuccnak, hogy csak a binárisok újratelepítése a konfigok piszkálása nélkül. Az nem tart két napig, csak oda kell figyelni, nehogy megint bekússzon valami.
-
bambano
titán
ha az általad hosztolt domainek tartalmát nem te állítod elő, akkor sehogy...
egyébként meg a keretrendszereket előszeretettel szoktál törögetni, azon kellene faragni, php.ini-t meg ilyeneket.
és alaposan szétnézni, hogy csak a webes tartalmat csapták-e meg vagy az alapgépet is. -
#8999
bambano
titán
WonderCSabo
#8998
bambano
titán
válasz
WonderCSabo
#8998
üzenetére
Ha ki tudod gyilkolni azt az sshd-t, ami alól kifagyott a kliens, akkor lehet, hogy a bash menti, nem tudom.
-
-
bambano
titán
Nyitva van 50 ezer fájl, és akkor mi van?
Gondolom ha fut több apacs példányod és mindegyik több domainhez tartozó kérést is kiszolgál, akkor megnyitják az összes logot, ami oda tartozik.
Szélsőséges esetben ha fut 100 apacsod, és mindegyikre bejött egy kérés mind a 400 domainről, akkor 100x700 fájlt nyitnak meg a logolás miatt.Nem látom a problémát. Meg van nyitva 50 ezer fájl és ez ... innen hiányzik, hogy milyen problémát okoz ez a tény.
-
#8942
bambano
titán
easy...rider
#8940
bambano
titán
válasz
easy...rider
#8940
üzenetére
Egyrészt további ötletek, és még újabb ötletek, másrészt az is járható út, hogy egy X-et futatsz, abban fut egy nested szerver és arra megy be a korlátozott user.
-
#8936
bambano
titán
easy...rider
#8935
bambano
titán
válasz
easy...rider
#8935
üzenetére
-
#8910
bambano
titán
Speeedfire
#8909
bambano
titán
válasz
Speeedfire
#8909
üzenetére
windowson se nagyon tudod kikapcsolni az ilyet... linuxon ha nagyon spíler vagy, meg lehet erőszakolni a rendszert, hogy elinduljon ellenőrizetlen diszkről, de utána 101% az esélye annak, hogy nagyon összeborul az egész.
ext2-t raknék és türelmesen kivárnám az indulást a szabálytalan leállítás után.
-
-
-
#8892
bambano
titán
lakatosturbo
#8891
bambano
titán
válasz
lakatosturbo
#8891
üzenetére
Nagyjából semmit se. Azóta lett hald meg udev, faragják az új cron-t meg init scripteket, szóval a lényeget már lecserélték szinte minden linux kiadásban.
-
#8890
bambano
titán
lakatosturbo
#8888
bambano
titán
válasz
lakatosturbo
#8888
üzenetére
muzeálisak.
-
bambano
titán
Jaaaaaaaaaa, hogy a kolléga a 9.10-es ubuntu repókból akarja telepíteni 9.4-esre a vlc-t... akkor valóban ezeket a hibákat fogja produkálni.
Vagy ugpradeld fel egy az egyben az egész ubuntut, vagy ha nincs rajta túl sok értékes, gyaluld nullára és rakd fel újra a 9.10-est. De ha rám hallgatsz, legyalulod az egészet és felraksz egy debian lennyt, az legalább működik.
Esetleg ki lehetne próbálni, hogy terminálból csinálsz egy apt-get update-t, majd utána egy apt-get install vlc-t. Akkor elvileg le fog tölteni mindent, ami kell neki, de könnyen meglehet, hogy az egészet letölti újra, mivel pár napja volt fő kiadás váltás ubuntuéknál.
-
#8718
bambano
titán
Speeedfire
#8716
bambano
titán
válasz
Speeedfire
#8716
üzenetére
Én nem tennék fel trunk-ból szoftvert... az a fejlesztők napi homokozója, definíció szerint kupleráj van benne.
-
bambano
titán
mostanában volt a kezem alatt egy centos meg egy fedora (redhat?).
a filerendszer meg az initscript meg nem szokott annyira problemas lenni, inkabb az, hogy adott feature eleresehez/valtoztatasahoz mindenfele misztikus helyen levo file-okat kell irogatni, amik semmilyen mas disztro alatt nem leteznek...Anno régen teszteltem suse-t. A registryjétől sikítottam.
-
#8697
bambano
titán
Speeedfire
#8696
bambano
titán
válasz
Speeedfire
#8696
üzenetére
a -t az tárgyrag akart lenni
szóval
DISPLAY=:0 conky -
#8667
bambano
titán
Speeedfire
#8664
bambano
titán
válasz
Speeedfire
#8664
üzenetére
bootolás után terminalban dmesg és amit kiír, abban benne vannak a kernel parancssori paraméterek, abban pedig a root partíció helye is.
-
#8646
bambano
titán
Speeedfire
#8645
bambano
titán
válasz
Speeedfire
#8645
üzenetére
én csak sda-t láttam eddig, sha-t partíciónévként nem...
-
#8611
bambano
titán
Major Major
#8609
bambano
titán
válasz
Major Major
#8609
üzenetére
kevesebb. mint fele
-
-
bambano
titán
Én 70 napja cseréltem a marha drága fbdim ecc reg ramomat egy ibm szerverben, mert fogta magát és elpusztult. Mondjuk nekem annyiból szerencsém volt, hogy nem ilyen mágikus hibákat produkált hanem merevre fagyott, amikor belefutott a ramba.
A dell biosa nem logolja, hogy volt-e hiba? Nem tudom, milyen szervizproci van egy dell gépben, de azt meg kellene nézni, hogy mit mond.
A hardver raid esetén meg a vezélrőhöz való segédprogrammal lehet megnézni a raid státuszát. Lehet, hogy csak hp-s cuccot fogsz találni, de ez ne zavarjon.
-
-
bambano
titán
a távoli procedúra hívásban résztvevő szerver szoftverek és a kliens progik összetalálkozását segítő program, rpc.portmapper a teljes neve. Tudtommal csak nfs használja, szerintem apacs nem, nem sok közük lehet egymáshoz. Ha nem használsz nfs-t, nem kellene, hogy kapcsolata legyen, meg le is szedheted.
-
bambano
titán
akkor meg csináld azt, hogy felraksz egy lokál dns szervert a debianra
apt-get install bind9
átírod a resolv.conf-ban 127.0.0.1-re a dns szerver címét, újraindítod a böngészőt és megnézed, hogy mi a helyzet
arra számíts, hogy a következő dhcp update fejbeveri a resolv.conf-ot, de azt később kikezeljük, ha ez így megy.szerk: az "itt nem használ" azért van, mert a dhcp kliens progi mindig átírja a resolv.conf-ot. ezt ki lehet belőle gyógyítani, ha ez az igény.
-
bambano
titán
a /etc/resolv.conf-ban kellene látnod a dns-ek címeit, de ha az nincs, számmal még lehet netezni. nézd meg egy-két oldal ip címét windowson, próbáld ki, hogy számmal meg tudod-e nézni windows alól és utána ugyanazt linuxról.
esetleg próbáld meg az mtu-t levenni 1400-ra, egyes pppoe alapú szolgáltatásoknál ez is segíthet. ifconfig eth0 mtu 1400
-
Egyébként pontosan ugyanakkora valószínűséggel telik meg egy 20g-s mint egy 200g-s partíció. Ha minden rendben van, akkor a 20g-s sem telik meg. Ha meg baj van, akár hardver, akár betörtek, akár bekaptál egy ddost, akkor meg mindkettő megtelik, az egyik valamivel tovább bírja.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
eInstall.
szóval 
Új hozzászólás Aktív témák
- MWC 2026: Műholdakkal tömné ki a Telekom a lefedettségi réseket
- Tarr Kft. kábeltv, internet, telefon
- Samsung Galaxy S23 Ultra - non plus ultra
- Mibe tegyem a megtakarításaimat?
- Tápos kibeszélő offtopik
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- Samsung Galaxy Watch8 - Classic - Ultra 2025
- Villanyszerelés
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
- Itt a Galaxy S26 széria: az Ultra fejlődött, a másik kettő alig
- További aktív témák...
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- MS SQL Server 2016, 2017, 2019
- Játékkulcsok olcsón: Steam, Uplay, GoG, Origin, Xbox, PS stb.
- Adobe Előfizetések - Adobe Creative Cloud All Apps - 12 Hónap - 15% AKCIÓ
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- BESZÁMÍTÁS! 16GB G.skill Ares 2400Mhz DDR3 memória garanciával hibátlan működéssel
- Apple Watch Series 8 41mm GPS, Újszerű, 1 Év Garanciával
- TP Link HS100 Távolról vezérelhető Wi-Fi-s dugalj (Smart Plug)
- Lenovo IdeaPad Slim 3 Ryzen 7 8840HS 15" FHD+ 16GB 1000GB Teljeskörű garancia
- Lenovo X390 i7 8665U, 16GB RAM, 512GB SSD, jó akku, számla, 6 hó gar
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest