» Общие вопросы по FreeBSD

По VirtualoBox.
"ниччё не понимаю".
Под конец тупо повторил вот по этой инструкции
http://habrahabr.ru/post/77834/
Правда с парой поправок.
Так к примеру путь /boot/loader.conf не верен. loader.conf в 9.2 глубже в подпапке расположен
...
Мдя.
Дохожу до запуска UltraVNC на Windows.
VNC запрашивает пароль, коннектится и ... ничего не показывает.
В консоли сервера написано что клиент с IP **принят.
В окошке контроля трафика VNC пишется connecting (что уже напрягает) ... и "тишина".

Вечером скрины может выложу.
Но может кто так что посоветует?

gryu

Цитата:

Так к примеру путь /boot/loader.conf не верен. loader.conf в 9.2 глубже в подпапке расположен
...  

Если нет то создать.
По умолчанию этого файла нету.
А глубже даже не знаю, не смотрел.

Цитата:

Мдя.  
Дохожу до запуска UltraVNC на Windows.
VNC запрашивает пароль, коннектится и ... ничего не показывает.
В консоли сервера написано что клиент с IP **принят.  
В окошке контроля трафика VNC пишется connecting (что уже напрягает) ... и "тишина".
 

А VM то заупщена? Я вообще vnc из состава phpvirtualbox использовал.

gryu

Цитата:

Так к примеру путь /boot/loader.conf не верен. loader.conf в 9.2 глубже в подпапке расположен

Глубже - это в каталоге /boot/defaults - там параметры по умолчанию, его исправлять не стоит, т.к. при очередной сборке ядра он может перезаписаться и твои настройки отвалятся.
Как сказал goletsa надо создать этот файл в /boot.

res2001
goletsa
та-ак. возможно в этом и грабля.

Цитата:

А VM то заупщена?

да я проверял командой. (не помню сейчас на память)

Цитата:

вообще vnc из состава phpvirtualbox

я без WEB морды делаю. У меня www сервера нет на машине. Не нужен.

gryu

Цитата:

я без WEB морды делаю. У меня www сервера нет на машине. Не нужен.  

Не обязательно на этой же машине держать.
Там надо чтобы был запущен vboxweb от имени юзера.

goletsa
Поясню.
Я сейчас эксперементирую.
Боевую машину отставил пока.
Поставил на тестовую 9.2 и пробую.*
На ЭТУ можно что угодно поставить, но на боевой нет www и не будет. Поэтому и ориентироваться нужно на это.
А держать "на этой же" обязательно. Она там одна единственная во всех эпостасях.
И вторую не поставишь. Офис маленький. Нет даже серверной. В углу стоит тумбочка, из тумбочки вынуты ящики и в этом "серверном шкафу" UPS и сервер.
Под серверное приложение в другом углу стоит дэсктоп. Т.е. отдельная машина - шило на мыло менять...

* - разберусь под поддерживаемой, буду возвращаться к проблеме установки на 7.3 (будут сутки свободны, попробую апнуть до 7.4. Там слишком много чего накручено. Вероятность удачного апа не слишком велика.... а может и до 8.4. тогда возможно проблема с совместимостью уйдёт сама)


P.S.
Читая мои посты можно предположить что я "заврался и запутался". Слишком разные ситуации в серверных и офисах упоминаемых мною.
Просто у меня 2 постоянных работы и ещё несколько мест где занимаюсь поддержкой.
Ситуации иногда пересекаются. Иногда до смешного.

А вот этого блядства я никогда не понимал и не пойму никогда!
Имеем сервер. Именно сервер. IBM
Сервер имеет интегрированный RAID контроллер. Адаптековский.
ОС FreeBSD 7.4 стоит на сконфигурированном RAID1. 7.4 ВИДИТ RAID штатно.
Обновляю до 8.4.
После перезагрузки ОС не видит логического пространства RAID1.
Видит только отдельные диски походу..
ПИДАРАСЫ!!
Нахера убирать драйверную поддержку? УРОДЫ!
..
это я сэмулировал попытку апа с 7.3 до 8-ки на однотипном с боевым сервером.

Добавлено:
Вот. Тоже схожая проблема упоминается.
http://www.opennet.ru/openforum/vsluhforumID1/95084.html?n=vfp7
Ну "Хренли Паккарт" этим всегда страдал, но адаптековский RAID убирать это блядство.

gryu
А каким драйвером оно на 7.4 поддерживается?

goletsa
Устройство в системе ar0
Контроллер Adaptec SATA HostRAID controller (понятно что софтовый RAID ака фейковый контроллер)
Лог загрузки посмотреть не могу.
Снёс 7-ку сейчас.

Добавлено:
Мдя. Сверху несколько излишне эмоционально. Сори.
Но сути это не меняет.
9.2 тоже не видит этот RAID

В связи с этим вопрос.
Про интеграцию драйверов в Windows XP знают все.
Судя по упоминаниям в инете за адаптековсое железо отвечает модуль ядра aac.ko
Правда в 8-ке и далее появился ещё отдельный aacraid.ko в 7-ке такого нет.
Как эээээ "интегрировать" старый модуль (из 7.4) в 8-ку или 9-ку?
Тупо подменить в ISO-образе - образ перестаёт грузится.
А инете на эту тему практически нет инфы. Все упоминания на тему "изменение/создание своего/етц дистрибутива FreeBSD" сводятся к "настраиваем образ для поточного развёртывания".

Добрый день. Имеется прокси-сервер на freeBSD 6.1. Команда df -h показывает, что раздел /var заполнен на 98%, хотел почистить этот раздел путем удаления лог файлов из директории logs. Вопрос: какие лог-файлы можно удалять из этой директории, а какие нет? Нужно ли писать специальную команду для того, чтобы их (лог-файлы) пересоздать заново или они сами пересоздадутся после перезагрузки?

Hamilton67
Что у тебя там на столько много логов?
Вообще сами текстовики логов удалять не нужно - потом придется их пересоздать, чтоб syslogd мог в них писать, сам он их не создает.
Удалять можно архивы логов. Обычно они имеют расширение bz2 и лежат либо тут же /var/log, либо в подкаталоге rotate (хотя могут и в любом другом месте находится). Архивы могут и не формироваться, если не работает крон или в /etc/crontab не прописана/закоментирована строчка с newsyslog.

Добавлено:
Ротация логов с помощью newsyslog - стандартная вещь, по умолчанию включена. Единственное, что нужно делать - это добавлять в /ect/newsyslog.conf новые файлы логов, для дополнительных служб, которые не идут "из коробки". Если ротация настроена правильно, то логов обычно много не скапливается.

res2001
Я немного ошибся. Логов там действительно не так много. Переполнение идет за счет директории /var/spool/clientmquene. Можно ли удалить из нее файлы без последствий? Если да, то как сделать так, чтобы удалились все файлы разом (их там очень много)?

Hamilton67
http://greendail.ru/node/388

Описание несколько суховато. Возможно новичку не понятно.
"разовое решение"

Код: find /var/spool/clientmqueue/ -type f -delete

Hamilton67
По уму то надо настроить сендмейл на пересылку своих сообщений на твой почтовик. Иногда бывает полезно, например можно случайно узнать, что твой сервак взломали
Для этого надо добавить настройку MAIL_HUB в mc файл сендмейла.

res2001
может... но мало вероятно. Он скоро перестанет читать сообщения и всёрано пропустит.
Будет автоматом стирать и ругатся что "блин задолбал этот спам"

P.S.
Психология....
кстати я первое время тоже смотрел рапорты от File2Ban... сейчас как раз плююсь и ругаюсь. Всё руки не доходят отключить отсылку рапортов о забанивании IP

Я то же на стандартные сообщения особо внимания не обращаю, но и не удаляю, они мне валятся в отдельную папочку, когда надо, то можно всю хронологию посмотреть.
Я всегда ставлю на свои фриибсд aide, вот от нее отчеты всегда утром просматриваю - это более надежный вариант определения взломов.

Цитата:

Я всегда ставлю на свои фриибсд aide, вот от нее отчеты всегда утром просматриваю - это более надежный вариант определения взломов.

ну это разные вещи.
File2Ban это средство противодействия определённому виду атак, а aide монитор проникновения в систему.

gryu
Согласен, просто aide - более универсальная вещь, хотя и обнаруживает изменения в файловой системе уже постфактум. Но лучше поздно, чем никогда.

К вопросу о VirtualBox

Запуск машины с подключённым VNC по старому более не работает.
Они опять перекроили запуск.
Было
# VBoxHeadless -s MicroXP -n -m 5900 -o password

Теперь вместо ключа -n для запуска VNC нужно запускать последовательно следующие команды
# VBoxManage setproperty vrdeextpack VNC    # указание на запуск VNC сервера
# VBoxManage modifyvm MicroXP --vrdeproperty VNCPassword=password    # Задание пароля для коннекта к серверу
# VBoxManage modifyvm MicroXP --vrdeauthlibrary null    # Указание на тип авторизации. В данном случае null что означает "типа только по паролю"
# VBoxManage modifyvm MicroXP --vrdeport 5900    # указание порта VMC сервера
# VBoxHeadless --startvm MicroXP    # собссно сам запуск VM.

... Мдя. Упростили... "всё для пользы пользователя"...

res2001
gryu
Спасибо, воспользовался разовым решением. В будущем настрою сендмейл как надо.

Пара вопросов по работе ipfw и natd

1. на сколько это годный вариант настройки роутера:
Код: # ipfw show
00100 61556 7309080 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
01100 12223598 8438127373 allow ip from any to any via nfe0
02100 52335 4344843 deny ip from any to 192.168.0.0/16 in recv rl0
02200 4149 1129648 deny ip from 192.168.0.0/16 to any in recv rl0
02300 0 0 deny ip from any to 172.16.0.0/12 in recv rl0
02400 1 28 deny ip from 172.16.0.0/12 to any in recv rl0
02500 50 4314 deny ip from any to 10.0.0.0/8 in recv rl0
02600 10 408 deny ip from 10.0.0.0/8 to any in recv rl0
02700 53078 4541506 deny ip from any to 169.254.0.0/16 in recv rl0
02800 1078 160465 deny ip from 169.254.0.0/16 to any in recv rl0
03100 5554 311026 allow ip from any to any icmptypes 8 in recv rl0
04100 40085113 11198472796 divert 8668 ip from any to any via rl0
04200 11968184 8529880942 allow ip from any to any via rl0
65534 0 0 deny log logamount 50 ip from any to any
65535 0 0 allow ip from any to any

Цитата:

00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any

Чито?

goletsa
Да. Для ipfw весёлое правило.
Однако что то подобное я уже видел и часто.
https://www.google.ru/search?q=deny+ip+from+127.0.0.0/8+to+any+&ie=utf-8&oe=utf-8&rls=org.mozilla:ru:official&client=firefox-a&gws_rd=cr&ei=JOCDUvqhN9Db4QSJuoCICw

Добавлено:
P.S.
А шото я не понял, однако..
потупил немного и однако не понял вашего возмущения.
Это же запрет петли(ээ лупбэк в смысле). Обращение к/от lo0. Нахрен к нему разрешать?

gryu

Цитата:

Нахрен к нему разрешать?

Мне больше интересно зачем это запрещать?

mark74
Вариант вполне годный вроде.
В правиле 65534 я бы убрал logamount 50 - пусть все пакеты логируются.
Но для такого простого фаера есть смысл воспользоваться стандартной генерилкой правил с помощью firewale_type="CLIENT" и других связанных настроек (или возможно других более подходящих значений firewall_type). Смотри /etc/rc.firewall
На счет статистики natd - статистика там куцая, фактически никакая, смотри man natd. И, кстати, рекомендую пересесть с natd на ipfw nat. Правда там статистика такая же куцая.
И вот у gryu с natd была проблема с загрузкой проца, смотри его пост на 73 странице.
Чтоб получить более внятную статистику надо пользоваться какими-нить счетчиками трафика или, как вариант, попробовать правила с ipfw count.

goletsa

Цитата:

Чито?

Смотри правило 100. Вообще эти 2 можно смело убрать - на них все равно ничего не попадает.

gryu
Кстати, чем у тебя кончилась история с natd? Перешел на pf?

res2001

Цитата:

Кстати, чем у тебя кончилась история с natd? Перешел на pf?

Нет. Я там написал.
Все эти проблемы были пока фаервол жил в режиме "опен".
Как только подключил рабочую заготовку конфига они исчезли.
http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1500#5

goletsa
Цитата:

Мне больше интересно зачем это запрещать?

Ну-у-у.
Я тут поднял свои "записки". txt-шники с надёрганной информацией в данном случае по ipfw. Источники разные. В основном форумы.
Так вот там среди всего прочего есть фраза со смыслом "а этим закрываем лупбэк. Вот за всю жизнь ни разу не видел туда обращения. И не надо."
... вероятно по принципу "лучше перебдеть, чем недобдеть"



Добавлено:
goletsa
Кстати у меня эти правила тоже стоят
00200 0 0 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
из моих записок. (надёрганых из инета)
[more]# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0

# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? )
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any[/more]

gryu

Цитата:

Вот за всю жизнь ни разу не видел туда обращения. И не надо.

Я видел, даже сам настраивал и сейчас использую. (например прикручивал ssl через stunel для некоторых сервисов - сендмыл, лдап авторизация.
К тому же в приведенном выше примере правил обращения через локалхост явно были и не мало.

Вообще всегда оставляю разрешенным - сам к себе обращается, зачем запрещать - обе стороны доверенные
Понятно - могут сломать, тогда может какой-нить хакерский сервис обращаться, но этим запретом взлом не предотвратишь, а если уже сломали и нужен подобный доступ то кулхацкер его без труда организует - фря то уже к тому времени сломана будет. Так что смысла это запрещать нет, имхо.

Добавлено:
300 и 400 правила видимо подразумевают обращение из вне на локалхост, но это не возможно, разве что злоймышленник сломает соседний комп в локалке и подделает IP пакет, указав МАС фряхи, а адрес локалхоста. Наверное есть такая атака. Но, думаю, подобные вещи должны отсекаться еще до фаервола, на уровне приема пакет стеком.
Кстати, интересно, отсекаются ли?

res2001
Ну может.
Правило это весьма распространено. Достаточно просто поиском это правило в инете поискать.

Добавлено:

Цитата:

разве что злоймышленник сломает соседний комп в локалке и подделает IP пакет, указав МАС фряхи, а адрес локалхоста.

а вот это может быть..

О как!.
А кто знает что может означать 199% загрузки процессора? [more]
PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
4153 root 23 20 0 1268M 1202M uwait 1 27:56 199.66% VBoxHeadl
691 root 1 20 0 9544K 1132K select 1 0:09 0.00% powerd
688 root 1 20 0 11256K 2196K select 1 0:02 0.00% ntpd
730 root 1 20 0 11296K 2816K select 1 0:01 0.00% sendmail
4157 root 10 20 0 45640K 11052K uwait 1 0:01 0.00% VBoxSVC
4155 root 1 20 0 19000K 6224K select 0 0:00 0.00% VBoxXPCOMI
737 root 1 20 0 9584K 1320K nanslp 1 0:00 0.00% cron
611 root 1 20 0 9544K 1244K select 1 0:00 0.00% syslogd
4199 root 1 20 0 9872K 1724K CPU0 0 0:00 0.00% top
4190 root 1 20 0 15852K 3768K select 0 0:00 0.00% sshd
779 root 1 20 0 10092K 1664K wait 1 0:00 0.00% login
... [/more]

И ещё.

Чисто тупая ситуация. Я несколько растерялся даже.
Дано.
Сервер на FreeBSD на котором крутится VBOX в ВМ которого работает Windows.
Есть доступ к этой винде. По тимвьюверу.
К хостовой системе доступа нет.
Задача:
Изменить настройки той самой BM в которой крутится та самая Windows XP через которую только и есть возможность подключится к хостовой FreeBSD.
(сервер стоит за двумя NAT-ами и пробрость что бы то ни было для коннекта напрямую к серверу, невозможно )

Т.е. putty из гостевой я запустил и на FreeBSD вышел.. а дальше?
Для изменения настроек нужно:
1. Выключить VM
2. Запустить командную строку изменяющую настройки VM.
3. Запустить VM опять последовательно несколькими командами
(http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1580#6)

ну и каким образом выдернуть из под ХР табуретку так, чтобы пока она падает, успеть подсунуть другую?