запрет на удаление файла

Флаги.

Кто может менять флаги (и какие) подробно описывалось в разделе о флагах.

Команда, которая их ставит/убирает – chflags (“change flags”). Формат ее достаточно простой

chflags “флаги” “имя файла”

Читать далее запрет на удаление файла

Справка новичку по iptables

Из моего опыта (пусть он и не так велик), для работы с Linux-системами чаще всего используются следующие правила и возможности iptables:

iptables -L INPUT –line-numbers – просмотреть правила

iptables -D INPUT “номер” – удалить правило с данным номером

iptables -t nat -L POSTROUTING –line-numbers – просмотреть правила для NAT

iptables -t nat -D POSTROUTING “номер” – удалить правило для NAT с данным номером

iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT –to-source 111.111.111.111 – создать правило NAT для данного внутренного ip

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 –dport 21 -j DNAT –to-destination 192.168.1.1:21 – проброс порта

Максимум 5 одновременных соединений к данному порту с одного IP
iptables -A INPUT-p tcp –dport порт -m iplimit –iplimit-above 5 -j REJECT

Ограничение трафика на данном порту

iptables –new-chain car
iptables –insert OUTPUT 1 -p tcp –destination-port “порт” -o eth1 –jump car
iptables –append car -m limit –limit 20/sec –jump RETURN
iptables –append car –jump DROP

Хотим отключить интернет у пользователя? Запретим ему обмен данными по любому маршруту: iptables -A FORWARD -d 192.168.0.12 -j DROP

Бекап с помощью tar

Полезные параметры:

–atime-preserve – неизменяте дату и время файлов
–exclude=шаблон – исключает файлы по шаблону
–incremental – инкреметальный бекап
–totals – выводит размер архива
–verify – проверить архив после создания

tar -cf ./arch_name.tar -g ./meta_info_file.snar ./folder_to_backup

Инкрементальный бекап к полному

tar -cf ./inc_arch_name.tar -g ./meta_info_file.snar ./folder_to_backup

Postfix: хранение исходящей почты для POP3-клиентов на сервере

Вряде случаев необходимо сохранять исходящую почту для клиентов , использующих POP3, на сервере в IMAP-папке для того что бы в последующим иметь доступ к этим письмам через веб-интерфейс или IMAP-клиента. Предлагаемый метод основан на использовании скрытой копии письма. В postfix есть три функции управления скрытыми копиями на уровне smtp-сервиса:

Читать далее Postfix: хранение исходящей почты для POP3-клиентов на сервере

proftpd с аунтификацией пользователя из passwd

дистриб уже есть, нужно лишь его установить:

 $ USE="authfile" emerge proftpd
$ rc-update add proftpd default
$ vi /etc/proftpd/proftpd.conf

далее добавляем 2 строчки:

AuthUserFile /etc/ftpd.passwd
AuthGroupFile /etc/ftpd.group

далее запускаем proftpd

$ /etc/init.d/proftpd start

Stage4. Бэкапим систему

 Вступление

Эта статья расскажет о том как создать архив со stage4. Aрхив stage4 это образ вашего /root раздела жесткого диска. Основной причиной для создания Архива stage4 является возможность быстрого восстановления системы при сбоях на жестком диске или быстрого развертывания системы. Aрхив stage4 представляет собой тоже самое что и stage3, с тем различием, что вы будете иметь систему с теми CFLAGS и софтом, которое вы уже установили на момент создания stage4. Вы можете адаптировать этот способ под ваши личные нужды.

Если вы хотите создать систему способную устанавливаться на разные архитектуры одного типа процессоров (х86 или PowerPC), то используйте genkernel для установки вашего ядра. Это позволит загрузиться, и ядро будет работать точно также как и livecd. Вы можете также уменьшить степень оптимизации флагов CFLAGS (например, MCPU или MARCH) для создания "всеядного" архива stage4. Также придется исправить ошибки в файле /etc/fstab и изменить или использовать USE флаги после распаковки stage4, в каждом конкретном случае.

Подразумевается, что вы уже установили Gentoo. Если ещё нет, то воспользуйтесь handbook и сперва установите систему.

Также подразумевается, что вы уже установили некоторый список программного обеспечения и желаете использовать его, например, X, Xfce4, Sun’s JDK, CVS, Emacs, Thunderbird, и Firefox.

Читать далее Stage4. Бэкапим систему

Введение в IPTables, Описание работы и введение в синтаксис

Прежде всего:

http://iptables-tutorial.frozentux.net/ipt…s-tutorial.html (англ)

http://gazette.linux.ru.net/rus/articles/i…s-tutorial.html (русс)

Немного теории.

Что такое firewall знают многие, однако мало кто знает очень хорошо, как он работает. И вообще, как проходят пакеты через сам сервер, через маршрутизацию и через цепочки firewall’а.

Объясняю популярно. Есть сервер — роутер, есть клиент и есть сайт mail.ru.

Когда клиент набирает в браузере адрес сайта www.mail.ru, его компьютер в первую очередь отправляет запрос к его DNS серверу (к DNS серверу провайдера, а тот в свою очередь уже ищет IP-адрес у мирового DNS, затем у DNS самого mail.ru). Этот процесс нас особо не интересует. Идём дальше.

Получив IP-адрес сайта mail.ru, компьютер клиента отправляет на него запрос (т.е. tcp пакет, т.к. http протокол работает по 80-му и протоколу tcp) по HTTP протоколу (попросту GET http://www.mail.ru/ — просит выдать ему страничку).

У всех пакетов есть заголовок и данные. В заголовке храниться информация о IP-клиента (source ip address — исходный ip), IP-адрес сайта mail.ru (destination ip адрес — IP адрес получателя пакета/запроса), протокол (tcp), порт клиента, т.е. порт, откуда отправили запрос (он всегда меняется, может быть примено где то 30000 +- 10000). И порт получателя, т.е. mail.ru — тут он будет 80-й. Т.к. пакет у нас — запрос к веб серверу по протоколу http (tcp/80). Далее ещё идёт в заголовке всякая служебная информация, например контрольная сумма пакета и т.д. С данными всё понятно — там идёт просто текст в формате http протокола: GET http://www.mail.ru/ плюс информация о клиентском браузере и версии ОС.

Читать далее Введение в IPTables, Описание работы и введение в синтаксис

Четыре шага в защите SSH

Secure Shell можно найти повсюду. С момента выпуска в 1995 году, SSH получил широкое распространение как мощный протокол удаленного доступа для Linux.
Однако, как известно, большая сила – большая ответственность. Неправильно сконфигурированный SSH демон может быть больше угрозой, нежели помощью. В этой статье мы рассмотрим пять шагов по усилению безопасности SSH.
Читать далее Четыре шага в защите SSH

не работает .htaccess

см AllowOverride
в двух словах,

AllowOverride None <- быть не должно
AllowOverride All <- быть должно

AllowOverride is valid only in <Directory> sections specified without regular expressions, not in <Location>, <DirectoryMatch> or <Files> sections

Postfix+ClamAV+Spamassassin

Источник:
http://www.geocities.com/adilinux/postfix-clamav-clamsmtpd.html

Вступление
Сегодня существует много способов построить почтовую систему. Как правило, существует много документации для почтовых систем больших офисов, с применением реляционных баз данных в качестве хранения писем и экаунтов. Тем не менее, очень мало внимания уделяеться почтовым системам для малых и средних предприятий. Для начала определимся что нам не нужно:

1 Хранение сообщений и паролей в SQL. Думаю, что для небольшого количества почтовых эккаунтов, (от 3 до 100 пользователей), нет никакой необходимости поднимать MySQL, или другую систему баз данных.
2 Коммерческий антивирус. До написания этой статьи, я использовал антивирус для linux-почтовых систем DrWEB. Нареканий на его работу в системе у меня небыло, но к сожалению у него есть ряд серьезных недостатков в его поддержке: Вопервых, он платный. Помимо расходов предприятия на его приобретение и продление, сисадмин должен в обязательном порядке следить за его развитием. То есть, при изменении версии самой программы (исполняемого файла), бывает так, что его антивирусные базы становяться бесполезными. То есть, требуеться переустановка антивируса. В результате в офис на рабочие станции под управлением Windows,лавиной обрушиваються вирусы. На прошедшем СофтТуле, я задал этот вопрос их представителю. Он сказал что они пытаються решить эту проблему, но пока она не преодалена.
Итак, в качестве альтернативы, будем использовать свободно-распространяемый ClamAv.
В качестве проверки его работоспособности, я использовал карантин от DrWeb. Проверка папки этого карантина выявила 95% вирусов. Я считаю что, результат проверки хороший, и ClamAv достоин чтобы его применяли в офисе.

Теперь о том, что мы хотим от нашей системы, с помощью каких програм мы это достигнем:

1 Проверка писем на наличие вирусов с последующем их удалением.
2 Ведение логов этой проверки. Во избежание увеличения трафика, отсылку уведомлений не делать, а заменить ее ведением логов проверки.
3 Выявление спама, и перемещение его в imap-папку “SPAM”.
4 Раскладка писем по соответствующим их тематике imap-папкам.

Нужны програмы:

1 mail-mta/postfix-2.2.5
2 app-antivirus/clamav-0.88
3 mail-filter/clamsmtp-1.6
4 mail-filter/spamassassin-3.1.0
5 mail-filter/procmail-3.22-r7
6 net-mail/courier-imap-4.0.1

Читать далее Postfix+ClamAV+Spamassassin