- Milyen okostelefont vegyek?
- Honor 200 Pro - mobilportré
- iPhone topik
- Megérkezett a Google Pixel 7 és 7 Pro
- Samsung Galaxy Watch7 - kötelező kör
- Samsung Galaxy Watch6 Classic - tekerd!
- Mobil flották
- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Google Pixel 9 Pro XL - hét szűk esztendő
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
-
Mobilarena
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
#24000
PumpkinSeed
addikt
Vladi
#23988
PumpkinSeed
addikt
Köszi majd átrágom, én is találtam párat amúgy az RPM készítésről.
-
gt7100
tag
válasz
bambano
#23997
üzenetére
Dolgoztam VMS, Solaris, HPUX, AIX rendszereken. Mondjuk AIX-en nem láttam ilyen felállást.
Annak a routingnak meg nézz utána, mert... khm...
Sajnos kellene hozzá a man, hogy meg tudjam mondani, mivel lehet szabályozni az interface-ek sorrendjét.Update: eszembe jutott. A kulcsszó: metric.
-
bambano
titán
válasz
gt7100
#23996
üzenetére
milyen gyakori rendszer van még, ami nem linux és nem windows?
azért okoz gondot, mert a routing döntés célja, hogy kiderüljön, melyik interfészen kell kifelé tolni a csomagot a célja felé. ha pedig ugyanabban a subnetben van két interfész, akkor a válasz nem egyértelmű.
-
#23992
lionhearted
őstag
gt7100
#23976
válasz
gt7100
#23976
üzenetére
Nekem is van egy J1800 és J1900 "szerverem" is. A cryptsetup benchmark ad egy becslést, hogy milyen sebességgel bírják a titkosítást. Ilyen mértékben nálam nem okoznak gondot. A különbség szerintem nem az ssh-ban keresendő hanem a transfer schemaban. Az scp lineárisan tunkolja át az adatot, az rsync sokkal komolyabb deltákban és diffekben gondolkozik. Nem tartom kizártnak, hogy összességében jobban optimalizált az ssh kapcsolati sajátosságokra. Egyébként helyi hálón gondolom nem feltétlen akarsz mindig titkosítani, én úgy tudom, hogy rsync daemon titkosítás nélkül fut.
-
sonar
addikt
agent forward ha be van kapcsolva ssh-n akkor elvileg megoldható.
De az igazat megvalva én is kíváncsi lennék rá.Más:
adott egy centos 5.3 Három darab ethernet csatolóval.
eth0 10.222....
eth1 172.17.2.1
eth2 172.17.2.2na most ha kihuzom az eth1-et akkor nem elérhető sem az eth1, sem az eth2
ha kihúzom az eth2-t, mintha semmi sem történne. Eth1 és 2 is szépen elérhető.
(eth0 -t már az elején kihúztam az jól működik és nem játszik be)
elvileg eth1 és eth2 nem alias-ok mert különbözik a MAC.
Ilyenkor WTF
-
sss
őstag
Hogy lehet "mezei" usernek root hozzáférést adni ideiglenesen? Egy bejelentkezés idejére. A root jelszó kiadása, valamint a sudoers fájt szerkesztése nem opció.
A konkrét szitu: nem volt jogosultságom módosítani egy fájlt. Bejött egy másik user, átváltott az én useremre, onnan rootba. (Vagy legalábbis a bash historyt átfutva így valahogy.) Ezek után már én is át tudtam váltani root userre. De kijelentkezés után már nem. -
#23988
Vladi
nagyúr
PumpkinSeed
#23980
Vladi
nagyúr
válasz
PumpkinSeed
#23980
üzenetére
Nem triviális. Viszont rakatnyi leírást találsz hozzá. pl: link
Nem baj, ha képben vagy a forgatással, meg a pacheléssel is. Meg jó a céldisztród repó és csomag struktúráját ismered.
ha kész és a függőségeket sem sikerütl elbacni
onnan már triviális:createrepo /könyvtár
Az egyik oldalon, majd:/etc/yum.repos.d/valami.repo fáj a másikon. Abba teszel egy elérési utat, meg a enabled=1 és gpgcheck=0 és akkor már működik. Persze cizellálhatod is, hogy gpg kulcs, meg ilyenek, de elvben ennyivel már működik.
-
sonar
addikt
válasz
vargalex
#23985
üzenetére
Jah, de a -C az aes-ben kódol még pluszban, és hanem tudja HW-ból a CPU-d akkor biza lesz teljesítmény csökkenés.
azt írják több fórumon is, hogy a cipher változtatásával lehet még sebesség növekedést elérni.
Nekem kb 3-szoros lett a gyorsulás.
Pl.:
scp -c arcfour <source> <dest> -
vargalex
félisten
válasz
gt7100
#23984
üzenetére
Én a CPU terheltségből azt gondolom, hogy azért, mert nem (vagy nem olyan erős tömörítést használ). Ha -z (vagy --compress) kapcsolóval rsync-eztél, akkor tömörített, ha nem, akkor nem.
Persze, ahogy a fentebbi példám is mutatja, még tömörítés mellett sem indokolt olyan kis sebesség, amit írtál. Nálam ugye elvileg picit erősebb a CPU, de ahogy írtam, tömörítéssel is tudott 12 MB/s környékén.
Most gyorsan megnéztem kábelen is. Az eredmény:SCP tömörítés nélkül: 60 MB/s
SCP tömörítéssel: 11.6 MB/sAzaz tömörítésnél már valóban a CPU volt a szűk keresztmetszet wifi esetén is.
-
vargalex
félisten
válasz
gt7100
#23982
üzenetére
Szia
Ha -C kapcsolóval másoltad, akkor ugye jóval magasabb a CPU terhelés a tömörítés miatt. Most kipróbáltam, nálam egy J1900 van használatban. Wifi-n másoltam, akár tömörítéssel, akár nélküle 12 MB/s körül ment a másolás. Viszont, amíg tömörítés nélkül a wifi volt a szűk keresztmetszet (a J1900-on 1 mag 16-18%-ra terhelt), addig tömörítéssel a CPU is, mivel 1 magot 100%-ra kihajtott. Szóval, ha nem tetted, akkor próbáld meg -C nélkül.
-
bencze
senior tag
válasz
gt7100
#23976
üzenetére
Ssh nem tűnik túl hatékonynak nagyobb adatátvitelre, ezt sokszor tapasztaltam. Nem tudom, hogy ez csak a cipherek miatt vagy más okokból. Ha ez fontos lenne én alternatívákat keresnék, https, ftps, vagy akár valamiféle nfs vagy rsync valami titkosított tunnel fölött... csinálj benchmarkokat
-
gt7100
tag
válasz
Jim Tonic
#23975
üzenetére
Bocs, egy nullával elírtam...
A lényeg, hogy http-n hozza a gigabites sebességet, mínusz pár százalék, míg scp-vel csak a töredékét tudja.
Nem akarom elhinni, hogy pusztán az ssh kódolás/dekódolás ennyire lelassítja.Megnéztem a linked (pontosabban átfutottam rajta), de nekem úgy tűnik, ott a sok apró fájl miatt lassú másolásról van szó, nálam meg egyetlen nagyméretű fájl van.
-
gt7100
tag
Tippet kérek! Szerver is, kliens is gigabites etherneten kapcsolódnak egy routeren keresztül.
Sima teszttel (netcat például) hozza a gigabit/sec sebességet.
Van rajta egy 600 megás Ubuntu telepítő.
Ha ezt egy a szerveren futó lighttpd-ről töltöm le, akkor kb. 700MByte/s sebességgel, úgy 10s alatt jön le.
Ha scp-vel próbálkozom, akkor legjobb esetben is 2-3MB/sec amit el tudok érni és az sshd 100%-on terheli az egyik CPU magot (N3150-es proci egyébként, szóval nem egy erőmű)
Vajon ez normális vagy valami el van kefélődve az ssh konfigomban (akár szerver, akár kliens oldalon) -
#23968
BoB
veterán
PumpkinSeed
#23967
BoB
veterán
válasz
PumpkinSeed
#23967
üzenetére
Mi az a yum installer?
-
#23967
PumpkinSeed
addikt
PumpkinSeed
addikt
Csinált már valaki yum installer-t service-hez? Tud valaki valami leírást róla?
-
dni
őstag
válasz
spammer
#23965
üzenetére
Közben kiderült, hogy nagy valószínűséggel nem PATH fogja jelenteni a megoldást csak simán egy EV kell nekem, amit be is tudtam állítani ideiglenesen az exporttal:
export K_DRIVE="/mnt/nfs/k/"
echo $K_DRIVE
/mnt/nfs/k/Már csak azt kell megoldanom, hogy ez permanens legyen és vélhetőleg akkor derül ki, hogy jó lett-e.
-
spammer
veterán
"Eredetileg azt szerettem volna elérni, hogy a k_drive változóra automatikusan kicserélje a a rendszeren futó scriptekben az útonalakat /mnt/nfs/k -ra"
Nem egészen tiszta nekem még mindig, de ha "rendszerszinten" akarod beállítani K_DRIVE változót, akkor exportálnod kell:
export K_DRIVE=/mnt/nfs/k
Ha ezt hozzá akarod adni a PATH-hoz, akkor:
PATH=$PATH:$K_DRIVE
Tehát a PATH értéke a $PATH (hogy megmaradjanak az alapértelmezett útvonalak) és ehhez adod hozzá a K_DRIVE-ot.
-
dni
őstag
válasz
gt7100
#23961
üzenetére
Most csak az alábbi útvonalakat írja ki az echo $PATH parancs:
:/mnt/nfs/k/:/root/bin
a korábbi /usr/lib64/qt 3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin helyett, így a bash parancsok nem működnek.Hogy tudom visszaállítani az eredetire? Az alábbi parancs kiadásau után, majd ki-be jelentkezést követően továbbra sem érem el a bash paracsokat.
PATH={$PATH}:/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/binA /etc/profile.d/scripts-path.sh fájlban most csak a /usr/lib64/qt 3.3/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin útvonalak vannak így működnek újra a bash parancsok.
Eredetileg azt szerettem volna elérni, hogy a k_drive változóra automatikusan kicserélje a a rendszeren futó scriptekben az útonalakat /mnt/nfs/k -ra mert Windowson futó appokból küldenénk ki renderelésre anyagokat és Winen ugye más útvonalon érjük el a hálózati tárolót... -
-
dni
őstag
Sziasztok!
egy környezeti változót szeretnék beállítani végérvényesen CentOS 6.7 alatt egy leírás alapján, de valamiért nem sikerül. Mit csinálok rosszul:
echo "PATH={$K_DRIVE}:/mnt/nfs/k/" > /etc/profile.d/scripts-path.sh && chmod 755 /etc/profile.d/scripts-path.sh
ha ellenőrzésként kiadom az echo parancsot, akkor nem ír ki semmit csak egy üres sort hagy.
Válaszaitokat, ötleteiteket előre is köszönöm.
-
meone
tag
Picit el hanyagoltam a projektet, most van újra kapacitásom így most folytatom.
A rendszer még mindig nem fordít, de most tudtam csinálni képernyőképet amit mellékeltem is.
A route, iptables, inetrfaces jelenlegi tartalma ez (ami a mellékelt képen látható).
Valakinek valami ötlete, hogy hol csúszhatok félre?
Nem vágom ezt a részt.Köszi.
-
LógaGéza
veterán
válasz
vargalex
#23910
üzenetére
Köszönöm, nem volt egyszerű, de sikerült megoldani...
Van még egy dolog (mondjuk több is), amit nem értek. Csináltam helyi hálón Apache2-vel több webszervert, főleg tesztelésre (user1.local, user2.local, stb). Ezeket belső hálón tökéletesen elérem, ha hosts fájlba beírom az összeset.
Kérdés az, mondjuk ha a user4.localt ki akarom nyitni, hogy internet felöl is elérhető legyen, mondjuk ügyfélnek mutatnám, vagy otthon szeretnék dolgozni, netán csak tesztelném, hogy hogyan reagál az oldal, azt hogyan tehetem meg? VPN most nem opció. -
gt7100
tag
Sírok a VMS ODS-2/5 fájlrendszere után...
(Komolyan)
Volt rajta egy nagyon jó dolog, amit sehol máshol nem találok: a fájloknak volt verziószáma.
Ha létrehoztam egy új fájlt egy már létezőval azonos névvel, a régi is megmaradt és az új is létrejött.
Volt egy x.x, az valójában x.x;1 formában jelent meg. Ha gyártottam belőle újat vagy pl szövegszerkesztővel módosítottam, akkor az x.x;1 mellé létrejött egy x.x;2. A fájlt x.x néven használva mindig a legmagasabb verziójút kaptam, de elérhető maradt a régi verzió is.
Erre keresek valami primitív megoldást linuxra, ext3/4 fájlrendszerre.
Tudom, hogy az ext nem támogatja, azt is, hogy bizonyos programoknál megadható... nem jut eszembe... valami bacup-suffix rémlik, de ez programfüggő. Nekem meg arra kellene (most), hogy a stdout fájlba irányításakor ne kelljen sokat trükközni a fájl nevével. Eddig a legjobb ami eszembe jutott, hogy
echo hello > x.x.$(date '+%s')Csak jelen esetben a két legfrissebb fájl tartalmát még össze is akarom hasonlítani, az meg csak így megy:
ls -1t x.x.* | head -2 | xargs diff -yKicsit gusztustalan.
Tényleg nincs kulturáltabb mód? -
utas666
tag
Sziasztok!
Egy korrupt particiós táblát tartalmazó pendrive-ról kéne rá visszaírható, bit pontos, tömörítés nélküli biztonsági másolatot készítenem Linux alól, milyen progit ajánlotok? Jó lenne ha live cdvel, net nélkül is menne, amolyan portábilis progira gondoltam. Semmi extra, 2010-es i3-as PC, de amúgy a distro mindegy csak legyen elérhető live cd és fontos, hogy a progi a legelejétől a legvégéig pontosan vissza is tudja írni a kép fájlt, amolyan raw I/O módra. -
-
Hali!
Raspberry-n fejlesztek éppen. Kellene nekem az UART, ezért, gondolom, ki kellene lőnöm a Linuxban, hogy azon bármi fusson. /etc/inittab utolsó sorában bent van:
#Spawn a getty on Raspberry Pi serial line
T0:23:respawn:/sbin/getty -L ttyAMA0 115200 vt100
Ezt, gondolom, szívfájdalom nélkül kilőhetem. Hol lehet még használatban? -
-
gt7100
tag
válasz
bambano
#23937
üzenetére
Így is lehet... szerintem. Csak egy megfelelően konfigurált szerver kell a túloldalon.
Mondjuk hogy ssh-t lehet-e, azt nem t'om, de VPN-t minden gond nélkül.
(illetve... ssh over https kifejezésre keresve, jön pár izgalmas találat, csak a többség olyan domainről, ahová nem szívesen látogatnék) -
bambano
titán
válasz
gt7100
#23936
üzenetére
azért tiltja az összes nem https portot connecttel, mert ha nem tiltaná, lendületvesztés nélkül lehetne átmenni az összes tűzfalon, amiben squid van. például ha a munkaadó letiltaná az ssh portot, de a proxyban nem lenne tiltva, akkor a squidon keresztül lehetne ssh-zni kifelé.
-
gt7100
tag
válasz
gt7100
#23935
üzenetére
Részben az utókor számára, ha netán más is belefutna:
az az apróság kimaradt, hogy a nem szabványos SSL portokhoz kapcsolódás a CONNECT metódussal, tiltva vagyon a squid alap konfigurációban.
Kellett pár plusz sor és remélem, hogy nem csinálok vele valami csúf sec.hole-t:# .lichess.org settings
acl lichess dstdomain .lichess.org
acl lichess_socket_ports port 80
acl lichess_socket_ports port 9021
acl lichess_socket_ports port 9022
acl lichess_socket_ports port 9023
acl lichess_socket_ports port 9024
acl CONNECT method CONNECT
http_access allow CONNECT lichess_socket_ports lichessEzzel elvben azt érem el, hogy a .lichess.org domain alá tartozó szervereken a 80-as és a 9021-9024 portokat el lehet érni CONNECT-tel is. Nem állíthatom, hogy szép megoldás a lichess.org fejlesztői részéről, mert gondolom, nem ok nélkül tiltja a squid ezeket a portokat...
-
#23934
lionhearted
őstag
sonar
#23933
Lehet őket keverni, semmi baja nem lesz. Csak nehézkesebb a köteteket kezelni.
De gondolom azért van így, mert az OS diszkeken több partíciót is létre akart hozni (vagy ennek könnyebb esélyét megadni), míg az adatlemezt egyben akarta tartani, így felesleges volt rá egy újabb réteget húzni, ha úgy is csak egyetlen partíció lesz. -
sonar
addikt
Sziasztok,
Annak mi lehet az oka, hogy egy gépen az OS az RAID1 (HW) és LVM-ben van. Az adatok meg RAID5 (szintén HW) meg nincs lvm-ben.
Aki csinálta nem értett hozzá v lusta volt és ezért nem került bele az LVM-be?
Egyáltalán mennyire szép dolog ezt keverni egy rendszeren belül?(mármint lvm és non lvm köteteket) -
gt7100
tag
Online sakkoznék squid proxy mögül, de nem akar menni.
A hu.lichess.org szerverét használnám, érdemi hibajelzést nem látok, csak annyi van a proxy logjában, hogy a socket.hu.lichess.org-hoz próbál csatlakozni, de azt hiszem (nincs előttem a log), 503 tcp denied a válasz.
Van valakinek ötlete, hogy hogyan tudnám kinyomozni, hogy pontosan mit is akar?
A tcpdump és társai nem igazán segítenek, mert úgy látom, valami ssl kommunikáció lehet a hiba hátterében. -
vargalex
félisten
Minden további nélkül:
[gavarga@gavarga-e5540 test]$ ls -la
összesen 4
drwxr-xr-x 2 gavarga gavarga 6 ápr 14 17.08 .
drwxr-xr-x 23 gavarga gavarga 4096 ápr 14 17.08 ..
[gavarga@gavarga-e5540 test]$ ln -s forras cel
[gavarga@gavarga-e5540 test]$ ls -la
összesen 4
drwxr-xr-x 2 gavarga gavarga 16 ápr 14 17.08 .
drwxr-xr-x 23 gavarga gavarga 4096 ápr 14 17.08 ..
lrwxrwxrwx 1 gavarga gavarga 6 ápr 14 17.08 cel -> forras -
létre lehet valahogy hozni symlinket forrásfájl nélkül?
tehát hogy alapból olyan helyre mutasson, ami nem létezik. -
gt7100
tag
Home szervert kezdtem építeni még karácsonykor, de most nulláról kezdeném. Fontos lenne, hogy privigelizálatlan (non-root) lxc konténerben fussanak a publikus szolgáltatások.
Lehetséges op.rendszerek:
1. Debian jessie
2. Ubuntu 14.04 LTS
3. Ubuntu 16.04 LTS
Melyiket a háromból?Az SSD miatt nem ártana 4.x kernel repoból telepítve (ez Debian alatt a backportsból megvan)
Debian: Szopás a nem root usert használó lxc konténer belövése, ubuntu alatt úgy tudom, nincs vele gond, out of box működik.
Ubuntu 14.04: kicsit régi, ráadásul nem systemd, ami jelenleg a jövőnek tűnik.
Ubuntu 16.04: ha igaz, rövidesen kész, de tartok tőle, hogy ez még egy évig inkább béta, mint végleges.Egyebek, mint a RedHat vonal (incl. Fedora23) nem igazán jönnek be. CentOS, Fedora nem szeretik a hardvert, archlinux túlságosan távoli számomra, FreeBSD-t bebootolni sem nagyon lehet rajta.
Szerintetek melyiket (és _miért_?) a háromból?
-
nand
csendes tag
xen nélkül így nézne ki, amit szeretnék:
külön logikai köteten a rendszerem (külön logikai köteten a swap)
külön logiakai köteten a samba1 megosztásom
külön logikai köteteten a samba2 megosztásom, stb.(A dom0-ba természetesen nem akarom mountolni ugyanazt az lvm-et, amit a domu-ba.)
Eddig egy ilyen megoldást találtam:
dom0-ban létrehozok egy 150gigás logikai kötetet, formázom, s dom0-ban ez látszik:root@XEN3:/home/server# lvs
LV VG Attr LSize Pool Origin Data% Move Log Copy% Convert
guest2fb XEN3-vg -wi-ao--- 5.00g
root XEN3-vg -wi-ao--- 24.23g
swap_1 XEN3-vg -wi-ao--- 3.71g
tarolo XEN3-vg -wi-a---- 150.00g
root@XEN3:/home/server# pvs
PV VG Fmt Attr PSize PFree
/dev/sda5 XEN3-vg lvm2 a-- 297.85g 114.91gmajd ezzel a sorral beillesztem a domu-hoz, ami után már tudom mountolni a domu-ba.
disk = [ '/dev/XEN3-vg/guest2fb,raw,xvda,rw','/dev/XEN3-vg/tarolo,raw,xvdb,rw' ]Ez így egy életképes és jó megoldás, vagy nagyon nyakatekert?
-
bambano
titán
nem világos, mit akarsz.
olyat, hogy ugyanazt a partíciót lássa a host és a guest egyszerre, nem lehet megcsinálni.
ha ezt akarod, akkor nfs szervert javaslok a hostra és nfs klienst a guestre.ha csak a guesten kell a partíció, akkor azt az xvda-n keresztül blokkos eszköznek kell konfigurálni.
ha menteni akarod, akkor is jó ez szerintem (bár még nem próbáltam), mert a mentés idejére lehet lvm snapshotot csinálni a partícióról és azt menteni. -
nand
csendes tag
üdv,
Ubuntu 14 és Xen szerver
hogyan érem el, h a guest rendszer lássa a host-on létrehozott logikai köteteket?
hogyan tudom ezt oda permanesen felcsatolni?Elsőre naívan úgy képzelem, h a domU (guest) rendszeremhez a samba megosztásokat külön lvm-ekre teszem.
De az a bajom, h a dom0-hoston létrehoztam az logikai meghajtókat, amiket a samba megsztásoknak szánom sehogyan sem akarja látni a domu-guest rendszerem.
(ugye, azért szeretném logikai kötetekre tenni a samba megosztásokat, mert úgy profibban lehetne a napi mentést beállítani.)Vagy ezt egyáltalán nem is így szokás készíteni?
S azért nem találok semmi okosat a googlen hozzá?Köszönöm.
-
gt7100
tag
válasz
jimmy399
#23914
üzenetére
Furcsa. Leírás szerint benne van a repoban, de nálam az apt-cache search azt mondja, hogy nincs.
(én meg ragaszkodom a repoból telepítéshez)
Kezdek ott tartani, hogy kihajítom a kukába az egészet. A vas jó lesz tartaléknak arra az esetre, ha kidöglik a notebookom, szerver meg... szóval teli a búrám vele.
Nem megy a non-root lxc, csomó minden nincs meg a repókban (jessie-t használnék) és még sorolhatnám...
Alig van ami leírás alapján működne. -
gt7100
tag
Házi, kis teljesítményű szerver monitorozására milyen szoftvert ajánlanátok?
Hardvert és szoftvert egyaránt szeretnék. Pl. hőmérsékletek, proci terheltség, memória telítettség, I/O és hálózati forgalom, mindez akár hetekre visszamenőleg, grafikonon megjelenítve.
Sajnos amit ismerek, az mind fizetős és ágyúval verébre kategória. -
bencze
senior tag
válasz
Cool Face
#23907
üzenetére
Hali,
Kulcsos auth kényelmes, ha teszel passphraset is rá akkor punt ugyanolyan mintha jelszóval használnád feltéve, hogy a kulcsot a kliens gépen beállítottad egyszer. Ha minden frankón megy csak akkor kapcsold ki a password authot, és akkor is legyen bent egy sessionod a biztonság kedvéért hogy letesztelhesd.
Én puttyt használok + linuxos ssh klienst és a beállítás után semmi spéci tennivaló nincs. Linux alatt ssh-keygen -nel, putynak a puttygen cuccával generálom a kulcsot a kliens géphez, a publikus kulcsot másolni szoktam a ~/.ssh/authorized_keys -be, ezen a 600 jogosultságra kell figyelni és a publikus kulcs egészben látsszon, de erről van infó neten.fail2ban: Én abszolút nem értek hozzá de annyi, hogy van egy jail.local filem amiben valami default bigyók, szolgáltatás definíciók vannak, ott az ssh be van kapcsolva, így néz ki:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root@localhost, sender=fail2ban@home]
logpath = /var/log/secure
maxretry = 5Ha defaultban ez nincs bekapcsolva (nem emlékszem) akkor nézz rá.
Én a torrentet ssh-n keresztül használnám, puttyból ssh tunnelezve és az ssh kliensben a localhost:xxx lokál portot adod meg ennyi és akkor nem kell kitenni netre.
Transmissionhöz évek óta ezt használom Windows alól:
https://sourceforge.net/projects/transgui/
teljesen jó...szerk:
Unattended upgradet nem ismerem, én kézzel szoktam, így legalább ha tudom, hogy nincs időm piszmogni vele (ha gond van) inkább nem csinálom.Email notificationnel én is sokat szenvedtem, régebben nagiosom futott és ahhoz használtam valami pythonos vagy fene tudja miféle scriptet ami a gmailes címemet használva levelezett velem. Gugli...
A sendmail manual pagébe meg guideokba bele tudnék őszülni, mindigis nagy mumusom volt a mail konfig mert dns-el kellett kezdeni és ahhoz sem értek. Azóta mondjuk van lokál dns-em legalább egy guide alapján de a "rendes" mailszerver konfiggal azóta sem foglalkoztam. -
#45997568
törölt tag
válasz
vargalex
#23910
üzenetére
Ez most nekem is jol jott, koszi
Itt kutakodom, nem is olyan bonyolult mint az ember gondolna
Jo a leiras, ha a jobb oldali menuben a "Using your Modem/Router to perform Dynamic DNS Updates"-re kattintasz es picit legorgetsz akkor ott jol el is magyarazza peldakkal mi is fog tortenni.Egy egesz hobelebanc-ot fogok igy kiprobalni (email, web, tuzfal, vpn, sftp... szervereket) felkotni a netre, meglatjuk mi sul ki belole, a routeres megoldas egyszerubb, kesobb lehet csicsazni dedikalt VM-el.
Koszi
-
-
Cool Face
aktív tag
Erről valami vélemény?
-
LógaGéza
veterán
Lehet kicsit off, de hátha itt kapok választ:
Bérlek egy VPS-t (Debian 8 van rajta), amihez hozzá van rendelve egy domainnév, legyen az most valami.hu. Van ugyebár egy helyi szerverem, belső hálón. Hogyan tudnám azt megoldani, hogy server0.valami.hu címen elérjem bárhonnan a belső hálón lévő szerverem? Dolgot bonyolítja, hogy, dinamikus IP-nk van kifele.
-
gt7100
tag
válasz
Cool Face
#23904
üzenetére
Amit mindenképp tegyél meg: azt a gépet, amin ezek futnak, amennyire lehet, válaszd le a lan-ról és kezeld úgy, mintha idegen gép lenne! (Lásd még DMZ)
Authentikáció, ahogy előttem már írták, biztonságosabb kulccsal. A privát kulcsnak legyen jelszava.
Van a PuTTy-nak egy kis programja (Pageant), ami betölti a privát kulcsot és attól kezdve rajta keresztül megy az authentikáció, nem kell folyton a kulcsok betöltésével foglalkozni.Frissítést nem bíznám automatára, de ez csak a saját mániám.
-
Cool Face
aktív tag
válasz
bencze
#23902
üzenetére
Tudom, kicsit hosszúra nyúlt, így előre is köszönöm annak aki veszi a fáradságot és végigolvassa.
Ebben a témában kezdő vagyok, de remélem nem írtam túl nagy badarságot.Tulajdonképpen 2 szolgáltatást szeretnék Raspberryn futtatni 24/7-be.:
- SFTP amihez kell az SSH
- TransmissionIsmerősöknek és családtagok használnák az SFTP-t és a Transmissiont. Magyarországról és Németorszáról (talán későbbi ip blokkolások miatt még érdekes lehet) Amit szeretnék, hogy 24/7-be biztonságosan mehessen úgy a rendszer, hogy ne azon kelljen aggódnom, hogy na mikor törték fel és vágtak tönkre mindent ami csak a hálón volt.
Idáig ezeket a beállításokat végeztem el:
--SSH port csere konfigban
--Mikrotik rooter konfigolva brute force ellen
--Root User SSH-jat letiltottam (bár az igazat megvallva nem tudom, hogy ez mire szolgál, SFTP-n és ---PuTTY-n is ugyan úgy azt csinálok amit szeretnék mint korábban, semmilyen jogosultság vált. nem vettem észre..)
--Telepitettem a unattended-upgrade + apticron és a fail2ban-t
--Végül egy jó erős jelszót állítottam be. A felh. név maradt.
--SSH jelszót nem szeretnék kulcsra lecserélni mert akkor macerás lenne nagyon a belépés szerintem.Nah és itt jöttek a nehézségek. Kezdjük elsőnek az unattended-upgrade-el:
Ahogy olvastam 3 konfigurációs fájlt kell beállítani ráadásul ahány verzió frissités annyi módon néz ki a konfig fálj. A /etc/apt/apt.conf.d/50unattended-upgrades a /etc/apt/apt.conf.d/20auto-upgrades és az /etc/apt/apt.conf.d/02periodic. Továbbá szeretném ha e-mailt küldene ha valami oknál fogva nem tud lefutni a frissités.Nekem ez van alapból ami úgy néz ki, hogy semmi nincs bekapcsolva.:
Unattended-Upgrade:: origins-Pattern {
// Codename based matching:
// This will follow the migration of a release through different
// archives (e.g. from testing to stable and later oldstable).
// "o=Raspbian,n=jessie";// Archive or Suite based matching:
// Note that this will silently match a different release after
// migration to the specified archive (e.g. testing becomes the
// new stable).
// "o=Raspbian,a=stable";};
[...]
// 'mailx' must be installed. E.g. "user@example.com"
//Unattended-Upgrade::mail "root";// Set this value to "true" to get emails only on errors. Default
// is to always send a mail if Unattended-Upgrade::Mail is set
//Unattended-Upgrade::mailOnlyOnError "true";
[...]Az e-mailt, hogy tudom bekonfigurálni?
A /etc/apt/apt.conf.d/02periodic fájlba pedig ez.
// Control parameters for cron jobs by /etc/cron.daily/apt //
// Enable the update/upgrade script (0=disable)
APT::periodic::enable "1";// Do "apt-get update" automatically every n-days (0=disable)
APT::periodic::update-Package-Lists "1";// Do "apt-get upgrade --download-only" every n-days (0=disable)
APT::periodic::download-Upgradeable-Packages "1";// Run the "unattended-upgrade" security upgrade script
// every n-days (0=disabled)
// Requires the package "unattended-upgrades" and will write
// a log in /var/log/unattended-upgrades
APT:: periodic::unattended-Upgrade "1";// Do "apt-get autoclean" every n-days (0=disable)
APT:: periodic::autocleanInterval "21";// Send report mail to root
// 0: no report (or null string)
// 1: progress report (actually any string)
// 2: + command outputs (remove -qq, remove 2>/dev/null, add -d)
// 3: + trace on
APT::periodic::verbose "2";Ennyi elég az automatikus frissítés beállításához?
A fail2ban-nál ennyivel egészitettem ki a beállitást:
[ssh]
banaction = iptables-allports
bantime = -1
maxretry = 5Nem tudom, hogy az [ssh-ddos]be kell e kapcsolni, továbbá az [ssh-route] és a [ssh-iptables-ipset4] ahhoz, hogy tárolja is a bannolt ipket újraindítás után is.
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhostKell lenni egy konfigfáljnak ahol a root e-mail címét betudom állítani? Hogyan tudom a transmission-t is implementálni?
Pár napom már ráment a dologra, de ezzel a részével nem jutok dűlőlőre. Ezek amiről én tudok, hogy be kell állítani isten tudja, hogy mennyi van még amit kihagytam.
-
gt7100
tag
válasz
bencze
#23901
üzenetére
Egyelőre nem mélyedtem el a témában, de amennyire tudom, a syslog-ng csak kommunikációhoz használ SSL/TLS-t. A systemd journal meg úgy tűnt, képes aláírással ellátni a journal fájlt, amivel igazolni lehet, hogy utólag nem piszkált bele senki.
Tévedés jogát fenntartom, nem néztem eléggé utána. -
bencze
senior tag
válasz
Cool Face
#23900
üzenetére
Majd valami okos ember megszakérti de biztos, hogy ki akarod tolni a transmissionod admin felületét Internetre? Nem tudom mennyire jó az authentikációja de én ezt nem merném. Nekem csak ssh van kiengedve kizárólag kulcs authhal, ez van fail2bannal védve, azon kívül mondjuk kint van a minecraft szerverem de már azt sem tudom mennyire jó ötlet, mentségemre legyen mondva az is saját unprivileged technikai userrel, ha felnyomják valami csúnya exploittal hátha nem tudják szétverni az egész gépet.
Ha valami remote gép és kell a transmission access, én ssh tunnelbe terelném. Lehet nem annyira kényelmes de az ssh talán mégiscsak biztonságosabb, azt elegen tesztelik világszerte.
-
bencze
senior tag
válasz
gt7100
#23889
üzenetére
Nem akarok erősen off lenni de tudtommal a syslog-ng tud tls-t is manapság szóval a bizalmasság és integritás adott lehet. Ha valaki megbízik a 0 pidben és készítőiben eléggé akkor jó lehet feltéve hogy pl a kimeneti formátuma megfelel (nem tudom logelemzők mennyire támogatják jelenleg, melóban még syslogozunk én meg slackre váltottam). A syslog-ng-t mondjuk nem csak objektív okokból támogatom lévén hogy magyarok tolják.
onnan már triviális:
Új hozzászólás Aktív témák
Hirdetés
- Kazy Computers - Fehérvár - Megbízható?
- Brave
- Autós topik
- Túra és kirándulás topic
- Medence topik
- Magga: PLEX: multimédia az egész lakásban
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Milyen okostelefont vegyek?
- Milyen légkondit a lakásba?
- További aktív témák...
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Kaspersky, McAfee, Norton, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
- Bitdefender Total Security 3év/3eszköz! - Tökéletes védelem, Most kedvező áron!
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- Játékkulcsok olcsón: Steam, Uplay, GoG, Origin, Xbox, PS stb.
- Eladnád a telefonod? KÉSZPÉNZES OKOSTELEFON FELVÁSÁRLÁS azonnali fizetéssel!
- Beszámítás! Sony PlayStation 5 825GB SSD digital konzol garanciával, hibátlan működéssel
- Okosóra felvásárlás!! Samsung Galaxy Watch 6, Samsung Galaxy Watch 7, Samsung Galaxy Watch Ultra
- ÁRGARANCIA!Épített KomPhone i5 13400F 16/32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Gamer számítógép Asus B150M i3 6100 16GB DDR4 240GB SSD GTX 1050 Ti 4GB Sharkoon 500W
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest