» Общие вопросы по FreeBSD

К вопросу о not officially supported.
Упомянутая выше уязвимость для каких версий действительно?
У меня ряд машин на 7.* стоят. Данная уязвимость для них актуальна?

demonis123

Цитата:

упаковка tar

tar не является упаковщиком. это Tape ARhiver.
Он позволяет читать с ленты. Вот только самой лентой управлять могут другие утилиты.
Относительно недавно игрался с LTO1 ленточкой от HP, в простой ситуации просто tar'ом записал и прочитал файлы.


Добавлено:
perdun

Цитата:

зачем? все по крону ежедневно обновляется до stable

А мне аптаймы жалко. К тому же это ядерная уязвимость - надо перегружаться.
gryu

Цитата:

У меня ряд машин на 7.* стоят. Данная уязвимость для них актуальна?

Ну я помню что выпиливал в свое время SCTP из ядра.
Вот сам код патча - попробуйте похожий код найти в своих файлах.
[more=svn diff]
$ svn diff -c293898 svn://svn.freebsd.org/base/stable/9/sys/netinet6/sctp6_usrreq.cIndex: sctp6_usrreq.c
===================================================================
--- sctp6_usrreq.c    (revision 293897)
+++ sctp6_usrreq.c    (revision 293898)
@@ -393,7 +393,6 @@
         * XXX: We assume that when IPV6 is non NULL, M and OFF are
         * valid.
         */
-        /* check if we can safely examine src and dst ports */
        struct sctp_inpcb *inp = NULL;
        struct sctp_tcb *stcb = NULL;
        struct sctp_nets *net = NULL;
@@ -402,6 +401,10 @@
        if (ip6cp->ip6c_m == NULL)
            return;

+        /* Check if we can safely examine the SCTP header. */
+        if (ip6cp->ip6c_m->m_pkthdr.len < ip6cp->ip6c_off + sizeof(sh))
+            return;
+
        bzero(&sh, sizeof(sh));
        bzero(&final, sizeof(final));
        inp = NULL;
[/more]

Добавлено:
gryu

Цитата:

У меня ряд машин на 7.* стоят. Данная уязвимость для них актуальна?

Походу да.
https://svnweb.freebsd.org/base/stable/7/sys/netinet6/sctp6_usrreq.c?revision=188532&view=markup#l474
https://svnweb.freebsd.org/base/stable/9/sys/netinet6/sctp6_usrreq.c?revision=293898&view=markup#l391

goletsa
ясно.
Самое интересное что я уже непомню где я вырезал IP6 а где нет. Тогда же все говорили что "вот-вот и IP6 пойдёт по миру семимильными шагами".
Вот я и на каких то машинах оставлял его с целью "пусть будет, вдруг понадобится"

Добавлено:
Будем проверять.

gryu

Цитата:

Самое интересное что я уже непомню где я вырезал IP6 а где нет. Тогда же все говорили что "вот-вот и IP6 пойдёт по миру семимильными шагами".  

У меня есть IPv6 /32, но до практического развертывания по всей сети руки тупо не доходят, других задач хватает.

gryu

Цитата:

пусть будет, вдруг понадобится

а оно понадобится..
лучше уж патчики наложить.. или до стабле последней обновиться..
goletsa

Цитата:

А мне аптаймы жалко. К тому же это ядерная уязвимость - надо перегружаться.

ну я же не призываю инсталлироваться по крону..
достаточно "собираться", а инсталлица при необходимости (как в данном случае), ознакомившись предварительно с /usr/src/UPDATING

Вопрос на засыпку, туплю, нужно для сайта нового создать пользователя, запереть его в домашней папке и что бы был доступ через sftp
1) был создан пользователь, поместил его в группу www
Username : anekdot
Password : <random>
Full Name :
Uid : 1008
Class :
Groups : www
Home : /storage/data/www/anekdot.tv
Home Mode :
Shell : /usr/local/sbin/scponlyc
Locked : no
2)т.к. ChrootDirectory - владельцем этой папки должен быть root
chown root:www /storage/data/www/anekdot.tv поменял владельца
3) Почему то при создание нового пользователя он появился только в passwd, а в group нет, добавил его его в группу www и самого пользователя, может сможет мне объяснить кто почему не появился?
4) Так же захожу в sshd_config, добавляю пользователя и строку

AllowUsers бла бла бла anekdot

Match User anekdot
ChrootDirectory /storage/data/www/anekdot.tv
ForceCommand internal-sftp

делаю /etc/rc.d/sshd restart

Захожу через sftp, вбиваю логин пароль, заходит, но делать ничего не даёт
Доступ запрещён.
Код ошибки: 3
Сообщение об ошибке от сервера: Permission denied
Код запроса: 14


Вопрос, что не так, где я накосячил с правами?
Даю права chmod 777 /storage/data/www/anekdot.tv, anekdot вообще не заходит, даю 755 anekdot пускает, но не даёт создать ему ничего
Нужно что бы папка anekdot.tv был владелец root, а всё что внутри рулил anekdot, не пойму что сделать нужно


p.s.

сделал,
mkdir /storage/data/www/anekdot.tv/htdocs
chown -R anekdot:www /storage/data/www/anekdot.tv/htdocs

но как это не правильно

Добрый день, какую КДЕ поддерживает релиз 10,2?

Smito1
/storage/data/www/anekdot.tv 755 - это руту можно всё делать, а остальным читать...
Либо 777 на каталог, либо переделайте владельца с root на anekdot.

Anatol78

Цитата:

Добрый день, какую КДЕ поддерживает релиз 10,2?

Ту, что в портах найдете.

Цитата:

Ту, что в портах найдете.

Логично и лаконично. а что по поводу Area51?

Anatol78

Цитата:

Логично и лаконично. а что по поводу Area51?

Честно, не имею привычки ставить на сервера X11 сервер с KDE, потому ничего не смогу сказать.
Судя по описанию это тоже позволяет собрать kde через другую версию портов.
Но какая там сейчас не знаю.

Добавлено:

Цитата:

Логично и лаконично. а что по поводу Area51?

Судя по всему там 4.11
В портах 4.14


Добавлено:
А, хотя там еще есть plasma5
http://area51.pcbsd.org/branches/plasma5/README
Но не слежу, xfce за глаза хватает.

Вопрос на засыпку, даже точно не могу сказать в какой теме спросить
Есть три сайта, довольно долго всё это дело работало в связке
Apache/2.2.22 (FreeBSD) mod_wsgi/3.3 Python/2.7.3 PHP/5.4.5 mod_ssl/2.2.22 OpenSSL/0.9.8q DAV/2
Версия MySQL-клиента: mysqlnd 5.0.10

Один сайт вообще отвалился, не страшно, другие два работают, но заходит только на главную страницу, при попытке перейти на другую вкладку, перекидывает опять на главную.
нагрузки на сервер никакой судя по top, никакие процессы sql не зависли судя по mtop
Сервер ест-во пробовал перезагружать, безрезультатно, в какую сторону рыть вообще не пойму, есть мысли?

Smito1
Рыть в сторону логов апача для начала. Если логов нет, то наладить логирование. А дальше - исходя из результатов предыдущего пункта.

res2001 смотрел, особо ошибок там нет, вроде всё в пределах нормах, но наверно ты прав, лучше в ветке про апатч спросить

Как так могут быстро расти логи апатча?
/var/log/httpd
только что удалил и через пол часа уже 1гб лог весит об ошибках

Цитата:

только что удалил и через пол часа уже 1гб лог весит об ошибках

чтоб логи не росли надо ошибки устранять, а не логи..

perdunлогично
там ошибка одна
Fri Apr 29 13:19:06 2016] [error] [client 10.0.1.2] PHP Warning: Creating default object from empty value in /storage/data/www/www.fenix/htdocs/modules/GSimpleShop/action.summary.php on line 131
[Fri Apr 29 13:18:47 2016] [error] [client 5.34.242.185] PHP Warning: Creating default object from empty value in /storage/data/www/www.fenix/htdocs/modules/GSimpleShop/action.summary.php on line 131, referer: http://www.fenix

уже написал разработчикам сайта

просто в уме не укладывается как текст может забивать место с такой скоростью

Smito1
А зачем удалил сообщение от newsyslog?
newsyslog производит ротацию логов, запускается каждый час по крону, конфигурируется в /etc/newsyslog.conf
Ошибка говорит о том, что newsyslog не может найти pid файл апача, по умолчанию он находится в /var/run/httpd.pid этот путь прописан в /etc/newsyslog.conf. Видимо у вас пид файл лежит где-то в другом месте, нужно его найти и правильно сконфигурировать newsyslog, иначе ротации логов апача не будет и, возможно, логирование будет отваливаться каждый час. Пид файл нужен для того что бы оповестить сервис о том, что произошла ротация.

res2001
потому что разобрался в чём было дело, как раз логи апатча для сайта сожрало всё место и была ошибка newsyslog: log_trim: fclose: No space left on device

Вообщем все глюки сайтов вроде как из за вирусов, разработчики вот что написали

На сервере очень много завирусованных файлов. К примеру agervi.php, compbg.php, license.php, cacheplugin.php и т.д. Следует проверить на вирусы всю площадку.

вот тут честно говоря я не знаю что и делать, это всё таки не вирусы обычные компьютерные, а какие то скрипты, да и ещё на freebsd, есть идеи?

Если допустим ClamAV установить, для моей ситуации подойдёт?
Интересно ещё откуда они там появились

Smito1
Ломанули вас. Скорее всего взломали через эти же сайты, видимо там есть уязвимости.

Проверяйте все возможные варианты доступа к серверу на предмет безопасности.
Включайте фаервол с блокировкой всего по умолчанию и открытыми нужными портами.
Организуйте доступ по ssh по ключу.
Зараженные сайты упакуйте и заберите для последующего анализа, разверните новые заведомо чистые, конечно, данные нужно будет переносить. Настройте доступы в .htaccess. Проверьте, чтоб веб сервер не работал из-под рута. Отключите не используемые модули апача.

Так же рекомендую внедрить какое-либо средство проверки целостности, типа aide. Смысл такой - расчитываете базу хэшей по всем системным каталогам, не изменяемым файлам сайтов (скрипты и т.п.) + все что сочтете нужным, затем по крону сравниваете текущее состояние системы с расчитанной базой хэшей. База хэшей должна лежать где-нибудь вне сервера с доступом только на чтение, перед проверкой скачиваете базу. Отчет о проверке в почту. Это, конечно, не предотвратит взлом, но зато позволит оперативно узнать о нем.

Полезно проверить из вне доступ к серверу с помощью сетевого сканере (nmap) - узнаете что у вас открыто снаружи. На основании этой проверки откорректировать правила фаервола.

Если к серверу должны иметь удаленный доступ несколько человек, которым не нужны права рута - отберите их, установите необходимы права на файловой системе.

Вообще я бы развернул новый сервер с учетом всего вышесказанного и перенес на него сайты, потому что есть вероятность, что на существующем сумели получить рут доступ и наделать бэкдоров. Это будет быстрее, чем разбираться со старым. Разборки можно отложить на потом.

Smito1

Цитата:

На сервере очень много завирусованных файлов. К примеру agervi.php, compbg.php, license.php, cacheplugin.php и т.д. Следует проверить на вирусы всю площадку.

мошт вам хостинг сменить? совсем недорого))

res2001 Спасибо за совет

Дошли руки поразбираться с сайтами, собственно они работают, пройдясь нашлось 20-30 файликов с вредоносным кодом, пока что сижу чищу
Вопрос такой есть файлик /storage/data/check_vir.sh. Этот файл надо повесить на крон (желательно на ночь).
Как бы мне это сделать?

Smito1
Сделайте ваш скрипт исполняемым и добавьте соответствующую запись в /etc/crontab

Smito1

Цитата:

Как бы мне это сделать?

выбросить на#уй ойфоны с ойпадом и научиться уже книжки читать!

perdun не люблю apple), не ругайся, читал я, не получилось
res2001 спасибо

Smito1
исходя из формулировки вашего вопроса

Цитата:

Как бы мне это сделать?

очевидно, что книжку вы не читали (и, видимо, не собираетесь), а "работали" в сацыальных ситях на ойпаде..


Цитата:

не получилось

очень мало конкретики..
что именно не получилось? прочитать? буквы не знакомые и в слова не складываются?

Подскажите пожалуйста (может не внимательно книжку читал)
1) как понять правильному ли пользователю принадлежит внешнее устройство? (см. код ниже)
2) что означает первый символ в описании прав "lrwxr-xr-x". Есть l, c, d? это не липкий бит (тот в хвосте должен быть)
3) где почитать про эту странную связь устройств "/dev/ugen1.2 -> usb/1.2.0" (у первого есть lrwxr-xr-x, а у второго lrwx------)?
4) как понять почему minicom при обращении к модему /dev/ugen1.2 говорит о permission denided хотя запускаю всё под рутом?



Код: # ls -la /dev/ugen*
lrwxr-xr-x 1 root wheel 9 Jun 12 19:01 /dev/ugen0.1 -> usb/0.1.0
lrwxr-xr-x 1 root wheel 9 Jun 12 19:01 /dev/ugen0.2 -> usb/0.2.0
lrwxr-xr-x 1 root wheel 9 Jun 12 19:01 /dev/ugen0.3 -> usb/0.3.0
lrwxr-xr-x 1 root wheel 9 Jun 12 19:01 /dev/ugen1.1 -> usb/1.1.0
lrwxr-xr-x 1 root wheel 9 Jun 13 21:55 /dev/ugen1.2 -> usb/1.2.0

BredBred

Цитата:

что означает первый символ в описании прав "lrwxr-xr-x". Есть l, c, d?

man ls

Код: The file mode printed under the -l option consists of the entry type and
the permissions. The entry type character describes the type of file, as
follows:

- Regular file.
b Block special file.
c Character special file.
d Directory.
l Symbolic link.
p FIFO.
s Socket.
w Whiteout.

perdun, спасибо за подсказки.

пока не помогает....
вывод никак не отличается, что вставил, что вытащил модем:

Код: #ls /dev | grep tty
ctty
ttyv0
ttyv1
ttyv2
ttyv3
ttyv4
ttyv5
ttyv6
ttyv7
ttyv8
ttyv9
ttyva
ttyvb
ttyvc
ttyvd
ttyve
ttyvf