Viestit

1

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Ubuntu Server, Postfix ja mailin lähettäminen, firewall blockkaa ?

« : 16.09.14 - klo:13.43 »

Koodia: [Valitse]

sudo iptables -F
sudo iptables -A INPUT -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Tämähän näyttää toisaan ainakin ensi vilkaisulla siltä, että ensimmäinen rivi sujuvasti sallii (lähes) kaiken saapuvan TCP-liikenteen, joten tällä

siellä tuolla yllä ekoissa viesteissä puuttui tuo "input -j reject", mutta nyt löytyy.

ei taida olla juuri merkitystä.

Mainitsit, että olet lähettämässä postia tuolta palvelimelta (samalta, kuin miltä iptables-listaus on?) En nyt ihan heti hahmota, kuinka tuon NEW-staten lisääminen INPUTiin voisi vaikuttaa, enemmänkin pitäisi lisätä OUTPUT-chainiin sopiva sääntö, jos sitä nyt ylipäänsä on rajattu.

Tästä on muutenkin vähän hankala ottaa selvää pelkästään antamasi listauksen perusteella. Komennolla

Koodia: [Valitse]

iptables -L -v


saa kokonaisvaltaisemman listauksen juuri sillä hetkellä ajossa olevasta säännöstöstä.

2

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Apache htaccess uudelleenohjaus

« : 14.08.14 - klo:14.40 »

Piti oikein kokeilla. Tuo FilesMatch-direktiivi näkyy tosiaan rikkovan rewriten, vaikka asettaisikin sen sisälle RewriteEngine On. En nyt ihan heti keksi syytä.

Voit kommentoida nuo FilesMatch-rivit, tai paremminkin vaikka poistaa 'php':n listasta.

3

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Apache htaccess uudelleenohjaus

« : 13.08.14 - klo:16.17 »

Olisko jotenkin näin:

Koodia: [Valitse]

RewriteEngine On
RewriteCond %{QUERY_STRING} ^main_page=product_info&products_id=76
RewriteRule ^index.php http://www.uusiosoite.fi/fi/sitruspuristimet.html? [L,R=301]


4

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Ubuntu Server ja Sambajaot

« : 30.01.14 - klo:16.25 »

Tämä ei ole ihan (tai siis lähellekään) toivomasi rautalankaohje, mutta vastaan nyt jotain pitkälti ulkomuistista. Muut - tai minä paremmalla ajalla - voivat sitten korjailla. Perinteisestihän vääriin ohjeisiin saa hyvin palautetta, vaikka vastaamattomaan kysymykseen tulisi vähemmän

Käyttöoikeudet riippuvat pitkälti siitä, miten tarkasti oikeuksia on tarpeen rajata. Jotenkin seuraavasti asiaa voisi lähestyä:

- luodaan tunnukset käyttäjä1...käyttäjä4
- synkataan paikalliset salasanat Samba-salasanoiksi (smbpasswd -a <tunnus>)
- luodaan uusi ryhmä ja lisätään kaikki käyttäjät siihen
- määritetään jaettavan hakemiston ryhmäomistajaksi kyseinen ryhmä ja hakemiston käyttöoikeuksiin kirjoitusoikeus ryhmälle
- luodaan Samba-jako smb.confiin, esim. määrityksillä
  "writable=yes"
  "valid users=käyttäjä1 käyttäjä2"
  "read list=käyttäjä3 käyttäjä4"

Huom! tässä "vain luku" -oikeudet ovat rajattu vain tuon samba-jaon kautta, joten jos noilla tunnuksilla pääsee jaettavaan hakemistoon muuta kautta (palvelimen konsolilta tms.), niillä on myös kirjoitusoikeus. Parempi tapa olisi rajata oikeudet hakemistoon tarkemmin pääsylistoilla (Posix ACL). Tällöin ACL-tuen on oltava käytössä hakemiston sisältävässä mountissa, en muista onko näin jo oletuksenakin nykyään.

 
 

5

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Q: kiinteä piuha ja wlan samassa koneessa

« : 22.03.13 - klo:11.06 »

- Kotiin tulee kaksi nettiliittymää, toinen työnantajan puolesta (ADSL) ja toinen "siviili" soneran 2Mbit/2Mbit
- ADSL on kytketty Linksysin reititin wlan purkkiin

Työnantajan liittymä on siis tuossa ADSL-modeemissa ja Linksys reititin/WLAN-AP on sen perässä? Liittyykö tuo siviililiittymä tähän setupiin mitenkään?

Jonka jälkeen luodaan Linksysillä rule, jolla estetään pääsy internettiin päin wlan-donglen MACistä. Tuosta seuraa automaagisesti että sisäverkon osoitteet (192.168... 10.16...) menevät Wlanin yli, mutta ulkoverkon reititys menee ETH0:aa pitkin?

Ei sen ihan automaattisesti näin mene. Jos liikenne haluaa reititysmääritysten perusteella kulkea jotain reittiä, mutta se estetään, ei toista reittiä valita automaattisesti. Liikenteen rajaus MAC-osoitteen perusteella kuulostaa muutenkin vähän erikoiselta, vaikka kai se voi toimiakin.

Ilmeisesti siis tuo Linksys luo oman verkkoavaruuden, eli suoraan ADSL-modeemin takana oleva verkko on eri kuin WLAN-verkko? Jos näin on, kannattanee määrittää koneen WLAN-liitännälle osoite tuosta Linksysin verkosta, mutta jättää default gateway kokonaan määrittämättä tälle liitännälle, jolloin WLAN-liitännän kautta kulkee ainoastaan kyseiseen verkkoon menevä liikenne. Jos Linksysin takana on muitakin sisäverkkoja, näihin voi luoda staattiset reitit.

UFW:lla tehty palomuuraus koskee kumpaakin liityntää?

Eipä ole UFW:stä oikein kokemusta, mutta man-sivun mukaan oletusarvoisesti se näyttäisi tosiaan käsittelevän kaikkia verkkoliitäntöjä.

6

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Koneelta löytynyt apache2 aiheuttaa ihmetystä

« : 20.02.13 - klo:15.14 »

Tuossahan noita vastauksia jo yllä onkin. Lisätään nyt vielä sen verran, että suuntaamalla selaimella osoitteeseen http://[::1] voi vilkaista mitä sisältöä se Apache tarjoilee etusivullaan, jos nyt tarjoilee mitään. Näkyy kuuntelevan vain IPv6-osoitteissa, siksi tuo muoto. Apachen konfiguraatioista ja lokeista voi sitten hämmästellä lisää jos ei noilla selviä.

dhclient ja cupsd ovat myös jääneet jossain määrin mysteereiksi.

Dhclient on IP-osoitteiden automaattimääritykseen  (DHCP) käytettävä asiakasohjelma, cupsd taas tulostuspalvelu. Cupsd on koneen paikallinen palvelu eikä siihen pääse oletusarvoisesti ulkoa käsiksi. Dhclient taas juttelee koneeltasi ulospäin pyytäessään osoitetta. Tilanne on siis noiden osalta ihan normaali.

Minua kyllä ihmetyttää ”peruskotikoneessasi” myös dnsmasq

Eikös tämäkin tule nykyään oletuksena (ja paikallinen palvelu sekin on). Nimenselvitykseen tehtiin mielestäni viime versioissa (12.04?) jotain isompia muutoksia.

7

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: ssh hostkey fingerprint

« : 29.01.13 - klo:13.18 »

Palvelimella on itse asiassa avainpari, jossa on sekä julkinen (public key) että yksityinen (private key) osa. Nämä säilytetään yleensä erillisissä tiedostoissa, joista julkinen .pub-päätteellä. Julkisen avaimen fingerprint on sitten julkisesta avaimesta laskettava tunniste avaimelle.

Julkisen avaimen fingerprint näkyy esim. yhdistettäessä SSH-palvelimelle ensimmäistä kertaa tai muuten silloin, kun kyseistä fingerprintiä ei ole tallennettu mihinkään. Tämä, samoin kuin koko julkinen avain, on nimensä mukaisesti julkista tietoa.

Yksityinen avain on taasen nimensä mukaisesti yksityinen. Jos joku saa sen haltuunsa, sitä voi toki käyttää väärin esim. suorittamalla man-in-the-middle-hyökkäyksen ja esiintymällä luotettuna palvelimena tuota avainta käyttäen.

8

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: proftpd kirjautumis ongelmia

« : 14.12.12 - klo:10.15 »

Uudessa listauksessasihan tilanne on selvästi edellisestä poikkeava. Kirjautuminen onnistuu, mutta yhteys katkeaa, kun siirrytään FTP-passiivimoodiin ja annetaan MLSD-komento.

Ensimmäisenä tulee mieleen, että yhteys tyssää nyt johonkin välissä olevaan palomuuriin. FTP:n kontrolliyhteyshän on varsinaisesta datayhteydestä ikään kuin erillinen, joten kirjautuminen voi tietoliikenneyhteyksien puolesta onnistua, vaikka datayhteys ei toimisikaan.

Ensimmäisenä voisit kokeilla, saatko ftp-clienttisi yhdistämään aktiivimoodissa (löytynee jostain asetuksista). Jos sekään ei toimi, pitää tarkistaa mahdollisten välissä olevien palomuurien asetukset. FTP-palvelun tarvitsemat portit eivät ehkä avaudu ihan ensi silmäyksellä, koska asia on jossain määrin monimutkainen (ks. esim. http://slacksite.com/other/ftp.html) ja tarvittavat toimenpiteet riippuvat lisäksi palomuuritoteutuksesta (tunnistaako FTP-istunnon yhdeksi ja samaksi istunnoksi ym.) Kannattaa mahdollisuuksien mukaan testata kokonaan ilman palomuureja, jotta varmistutaan vian olevan siinä.     

9

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: proftpd kirjautumis ongelmia

« : 13.12.12 - klo:12.11 »

SFTP toimii SSH-palvelun kautta, FTP taas tuon ProFTPd-palvelun, joten käyttäjänhallinnassa voi olla poikkeavuuksia. ProFTPd:n konfiguraatiosta kannattaa tarkistaa, käytetäänkö järjestelmän yleistä käyttäjähallintaa vai jotain palvelun sisäistä. Lisäksi valideja käyttäjiä voi konfiguraatiossa rajoittaa, joten tarkista, että "user1" on olemassa ja sille on sallittu kirjautuminen ProFTPd:n konfiguraatiossa. Palvelun lokitiedoista voi myös saada tarkemmin vihiä siitä, mikä menee pieleen.

SFTP-tiedostonsiirronkin voi toki rajoittaa niin, ettei tarjota lainkaan shell-istuntoa ja rajataan pääsy tiettyyn hakemistorakenteeseen. Tuossa näkyy olevna joku ohje, jota en tosin ole sen enempää testannut: http://library.linode.com/security/sftp-jails

10

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Sendmailin domain

« : 13.12.12 - klo:10.52 »

Vähän riippuu siitä, mitä olet tekemässä. Jos haluat saada kaikkien sendmailin läpi lähetettävien viestien lähettäjän domainin vaihdettua, se onnistuu sendmailin masquerade-toiminnolla. Ehkä jopa suunnilleen seuraavasti (ei testattu):

Koodia: [Valitse]

FEATURE(`masquerade_entire_domain')dnl
FEATURE(`masquerade_envelope')dnl
MASQUERADE_AS(`domainnimi.com')dnl
MASQUERADE_DOMAIN(hostname.lan)dnl
MASQUERADE_DOMAIN(toinen.muutettava.domain)dnl

Edellä muokataan sekä viestin otsikkotietoja (headers), että varsinaisia viestin sisäisiä lähettäjätietoja (envelope).

Lisää tarinaa aiheesta: http://waterlovinghead.com/SendmailMailFrom

Jos haluat vain lähettää yksittäisiä viestejä sendmaililla, from-osoitteen voi antaa "-f"-vivulla.

11

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Error mounting....

« : 07.12.12 - klo:12.35 »

Osaatteko neuvoa miten Photorec asennetaan komento riviltä etsimään ainoastaan kuva tiedostot ?

Photorecin oletusarvoisesta, valikkopohjaisesta käyttöliittymästä löytyy laitteen valinnan jälkeen kohta "File Opt", josta voi valita etsittävät tiedostotyypit.

12

Ubuntu tietokoneissa / Vs: RSA key fingerprint -vaihto?

« : 23.11.12 - klo:15.24 »

Vähän riippuu siitä, mitä olet tekemässä. Jos arvaan oikein ja yrität SSH-yhteyttä jollekin palvelimelle, jolta saat tuon 'fingerprint muuttunut' -varoituksen, niin tiedostosta ~/.ssh/known_hosts voi poistaa kyseistä palvelinta vastaavan rivin.

13

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: SMTP Ongelma

« : 12.09.12 - klo:16.18 »

TeliaSoneran kuluttajaliittymillä oikea smarthost-osoite on tosiaan mail.inet.fi. Se on kuitenkin annettava postfixin konffikseen hakasulkeissa [mail.inet.fi], jotta posti välitetään suoraan tuolle palvelimelle selvittämättä ko. DNS-osoitteen MX-tietueita. MX-tietueet viittaavat syystä tai toisesta palvelimelle mta.inet.fi, jonne taas ei pääse, koska TCP-porttiin 25 suunnattu liikenne lähtökohtaisesti blokataan.   

14

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: (Virtuaali)palvelimet, mistä, miten ja hintaan?

« : 21.11.11 - klo:13.45 »

Koko lafka otti ja katosi, vei rahat mennessään. Sellasta se on, nettiaika.

Kuulostaa varsin tutulta. Mulla on urgentVPS-nimisestä putiikista varsin saman kaltaisia kokemuksia. Joskus keskellä kesälomasesonkia tuli (yksi!) maili, jossa todettiin, että alusta vaihtuu kolmen päivän(!) päästä ja kaikki data häviää. Pitivät sanansa ja hävittivät samalla ystävällisesti tunnuksen koko hallintasivustolle. Pariin otteeseen lupailivat sähköpostitse tunnusta ja uutta VPS-palvelinta, mutta eipä kuulunut ja lakkasivat sitten vastaamasta kokonaan.

Rahallinen menetys oli tietysti aika lailla mitätön ja kaikki data varmistettua, mutta kannattaa tosiaan suhtautua noihin halpoja virtuaalipalvelimia tarjoaviin putiikkeihin - uusiin varsinkin - vähintäänkin varauksella.

15

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: ProFTP ja porttimääritys

« : 24.10.11 - klo:15.30 »

Näyttää siltä, että kontrolliyhteys muodostuu (pääset esim. kirjautumaan), mutta datayhteyttä ei (et näe hakemistolistausta).

Jos nyt joku valistunut arvaus pitäisi heittää, niin arvaan, että käyttäessäsi oletusporttia 21, palomuuri osaa tulkita myös tuon dataliikenteen kuuluvaksi samaan FTP-istuntoon kuin porttiin 21 suuntautuva kontrolliliikenne, kun taas muutetulla portilla palomuuri estääkin dataliikenteen. Jos näin on, dataliikenne on erikseen sallittava. Portit näet/voit säätää FTP-palvelimen konfiguraation kohdasta "PassivePorts".

FTP-protokollan toimintaan tietoliikennetasolla voi tutustua vaikkapa osoitteessa http://slacksite.com/other/ftp.html. Kannattaa huomata, että erikseen on olemassa aktiivi- ja passiivimuotoiset FTP-yhteystavat, joista käytät näköjään tuota passiivista.

 

Musta on vähän outoa että se näyttää sisäverkon ip-osoitteen ftp-clientille.

Mistäpä se palvelin muusta tietäisi, ellei sille erikseen kerrota muuta osoitetta. Osoitteen voi näköjään kertoa konfiguraation rivillä "MasqueradeAddress". Antamasi tulosteen

Tila:   Palvelin lähetti passiivisen vastauksen osoitteesta, jota ei voi reitittää. Käytetään palvelimen osoitetta.

perusteella voisi kylläkin olettaa, että client-sovelluksesi huomaa, ettei osotie ole internetissä reititettävä ja osaa käyttää sitä osoitetta, jolla palvelimeen on otettu yhteys. Voihan tuohon silti kokeilla ulkoverkon osoitetta.

16

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: ProFTP ja porttimääritys

« : 20.10.11 - klo:11.15 »

Jos tuo kerran sisäverkosta toimii (muualtakin kuin samalta koneelta), niin ongelma on luultavasti muualla kuin FTP-palvelimen asetuksissa.

Onko ulkoverkon ja FTP-palvelimen välillä palomuuria tai porttiohjauksella varustettua NAT-toiminnallisuutta? Jos on, muuttunut portti on tietysti huomioitava myös näissä.

17

Yleistä keskustelua / Vs: Operaattoreiden netti sekoilee

« : 17.10.11 - klo:13.26 »

Suurin osa nimipalvelimista ei tarkoituksella vastaa DNS-kyselyihin oman verkkonsa ulkopuolelta kysyttäessä silloin, kun kyselyn kohteena on muu kuin kyseisen nimipalvelimen "oma" domain.

Jos siis kysyy esim. Elisan nimipalvelimelta osoitetta sonera.fi siten, että on itse Soneran verkossa, saa varsin luultavasti juuri tuon query refused -virheen. Elisan DNS-nimiä siltä toki voi kysyä.

Poikkeuksena tietysti nimen omaan kaikille avoimiksi tarkoitetut nimipalvelimet, kuten Googlen ja OpenDNS:n palvelimet.

18

Yleistä keskustelua / Vs: Vain .fi päätteiset domainit toimii

« : 17.06.11 - klo:16.16 »

Soneralla oli vikaa nimipalveluissa: http://www.sonera.fi/vihtiInSonerafiWeb/viewAnnouncement.do?announcementId=26929

19

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Hyödyllisimmät ja elämää helpottavimmat käskyt ja temput -ketju

« : 12.05.11 - klo:09.35 »

Eli salattu yhteys mysqllän etäkäyttöön, jolloin se toimii omalla koneella localhostina, toimii myös internetin yli.

Tämä on tosiaan kätevää, jopa niin kätevää, että ...

... ja palomuureihin ja reitittimiin avattava portti 3306

... MySQL-postin avaaminen on tarpeetonta (ja usein suorastaan haitallista, ainakin internetiin avattaessa).

Ideana on tunneloida sovellusliikenne - tässä MySQL - SSH:n läpi, jolloin mikään SSH-clientin ja -palvelimen välissä oleva laite ei näe kuin tuon salatun SSH-liikenteen. Sovelluksen käyttämän portin ei siis tarvitse olla mitenkään näkyvillä sen koneen ulkopuolelle, jolle SSH-yhteys päätetään.

Ajatusta voi vielä jatkaa niin, että locahost-osoitteen korvaa jonkin muun koneen nimellä/osoitteella, esim seuraavasti:

Koodia: [Valitse]

ssh -L 8080:JokuWebProxyJohonEiPääseSuoraan:8080 etakoneenkayttajatunnus@etakoneen_ipnumero
Nyt voidaan esim. asettaa asiakaskoneen web-selain käyttämään proxy-palvelimena osoitetta localhost:8080, josta yhteys ohjautuu SSH-tunnelin läpi SSH-palvelimelle. Tästä yhteys jatkaa JokuWebProxyJohonEiPääseSuoraan-palvelimelle, jonka näkökulmasta liikenne näyttää tulevan SSH-palvelimelta. 

20

Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Verkkotyökalut Linukassa

« : 04.05.11 - klo:10.53 »

Onko kellään tiedossa, että onko Linuxille olemassa mitään kehittyneempiä verkkotyökaluja.

Varmasti, mutta kysymys on varsin laaja.

Tarvetta olisi ainakin erittäin nopealle pingille

Missä mielessä nopealle? Pingin oletusarvoisesti ilmoittama latenssi on se mikä on, eikä sovellusta muuttamalla muuksi muutu. Jos ICMP-pakettien lähetysväliä haluaa pienemmäksi, se toki onnistuu aivan perus-pingillä näin:

Koodia: [Valitse]

ping -i 0.5 <ip>

,missä 0.5 on lähetysväli sekunteina.

kaistanleveyden mittaukselle

käytetyn kaistanleveyden monitorointiin sopii vaikka tuo jo mainittu Cacti tai esim ntop, joka tarjoaa helppokäyttöisen web-käyttöliittymän tietyn työaseman yhteyksien ja niiden käyttämän kaistan seuraamiseen. Linkin maksimikapasiteetin mittaamiseen kuormittamalla sopinee esim. iperf. Ohjelmia on tietysti vaikka kuinka, etsiä voi vaikka hakutermeillä "bandwidth monitoring".

softa joka piirtää verkosta automaattisesti kuvan yhteyksineen (vaikea selittää Smiley).

Jos tässä haetaan kuvaa, josta käy ilmi verkossa olevat palvelut, tarkoitukseen voisi sopia esim. nmap ja sen graafisen käyttöiittymän (Zenmap) topologianäkymä. Jos oikeasti halutaan tieto kaikista avoimista yhteyksistä koko verkossa, niin niitä pitäisi sitten monitoroida jollakin verkkoliikenneanalysaattorilla (esim. tcpdump tai graafisena Wireshark). Homma menee kyllä nopeasti aika hankalaksi, jos haluaa noista jotain järkevää kuvaa. Tällaisen ohjelman pitäisi tietysti lisäksi pyöriä jossain keskeisessä laitteessa, jonka läpi liikenne kulkee.