среда, 30 сентября 2009 г.

Проблемы с отображением шрифтов и линуксе

Земенить arial.ttf, arialbd.ttf, arialbi.ttf, ariali.ttf, times.ttf, timesbd.ttf, timesbi.ttf, timesi.ttf (взятыми с виндовз или /home/kolotay/alx/ms_fonts) по адресу /usr/share/fonts/TTF/ms

Сначала обновите систему yum update gdm

http://linuxforum.ru/index.php?mode=threaded&showtopic=12690

Советует техническая поддержка asp linux:

1. Попробуйте выключить AIGLX - модуль для поддержки 3d (от не работает
корректно).
Для этого в xorg.conf либо удалите строки:

Section "ServerFlags"
Option "AIGLX" "on"
EndSection

либо попробуйте отключить его:

Section "ServerFlags"
Option "AIGLX" "off"
EndSection

После этого перезапустите X-сервер.

2. Попробуйте переключить опиции:

Option "OpenGLOverlay" "off"
Option "VideoOverlay" "on"

на

Option "VideoOverlay" "on"
Option "OpenGLOverlay" "off"

Перезагрузите X-сервер.

3. Вы писали, что пробовали подключить русские шрифты.
Попробуйте указать их явно. В настоящий момент у Вас указаны только
следующие директории:

Section "Files"
ModulePath "/usr/lib/xorg/modules/extensions/fglrx"
ModulePath "/usr/lib/xorg/modules"
EndSection

Если добавленные шрифты не находятся в одной из этих директорий,
допишите их. Перезагрузите X-сервер.

P.S. Я постараюсь найти больше информации и прислать еще возможные
варианты. Напишите как предложенные методы (по отдельности) повлияли на
изображение, если это произойдет.

Дополнительно: попробуйте установить драйвер radeon (пакет есть в
update-ах):

xorg-x11-drv-ati-6.8.0-19.0.140asp.i386.rpm

После установки драйвера, удалите пакеты с драйвером fglrx (иначе он не
позволит проверить работу драйвера radeon).
В файле xorg.conf замените:

Driver "fglrx"

на

Driver "radeon"

И желательно удалить настройки от fglrx:

1) Section "ServerFlags"
Option "AIGLX" "on"
EndSection

2) данные из секции Section "Device":

Option "OpenGLOverlay" "off"
Option "VideoOverlay" "on"
BusID "PCI:1:0:0"

3 )Section "Extensions"
Option "Composite" "Enable"
EndSection

понедельник, 28 сентября 2009 г.

Безплатные программы для Linux

запись CD-DVD
http://infrarecorder.org
редактирование видео (вырезание музыки из фильма и т.д.)
kdenlive
работа с разделами жесткого диска
gparted 
чтение chm файлов
kchmviewer
клонирование дисков
G4L
статистика сетевого интерфейса
vnstat
Включение машины в домен
SADMS
Торент-клиенты
MLdonkey (аналог amule)
мониторинг сетевых интерфейсов
iptraf - подробная статистика реального времени сетевых интерфейсов
Анализ tcpdump файла
chaosreader
Djvu редактор
DjVuSmooth

пятница, 25 сентября 2009 г.

Cisco switch vlan ньюансы vtp mode

В режиме vtp server можно завести только vlans 1-1005, при этом в режиме transparent  (прозрачный) доступный полный список vlan 1-4096. Поэтому в режиме vtp server не получится завести vlan больше 1005

четверг, 24 сентября 2009 г.

Защита .svn директорий на web серверах

Были получены исходники 3300 глобальных интернет-проектов
Пару месяцев назад нами (2Товарища и Антон Исайкин) была обнаружена уязвимость, присущая в основном большим интернет-проектам (вроде Рамблера, Мейла, Яндекса, Оперы и пр.). Удалось получить доступ к файловым структурам известнейших сайтов (в общей сложности 3320 сайтов) и в ряде случаев их полные исходные коды.

Казалось бы, что в XXI веке трудно найти подобную уязвимость. Кажется, что уже всё найдено, а то что не найдено, сидит где-то очень очень глубоко. Оказалось, что корнем сегодняшнего зла является вполне повседневная вещь. Наверняка каждый из вас когда-нибудь имел дело с системой контроля версий SVN.

SVN является продвинутым средством для организации совместной разработки десятков, а то и сотен разработчиков. В силу особенностей архитектуры, SVN хранит в каждой директории проекта свои метафайлы, аккуратно сложенные в скрытую директорию .svn. В одном из файлов под названием entries находится список всех файлов и директорий, расположенных в той же папке, что и .svn. Так же там находится информация о расположении репозитория, размере файлов, даты их изменения и логины пользователей, работающих над проектом. Уже не плохо, правда? Объясню, получается, если проект разрабатывается с помощью SVN, то заглянув по адресу draftcopy.ru/.svn/entries мы увидим файловую структуру корня проекта с авторами, последними изменениями, ссылкой на основную ветку репозитория итп.

Но можно пойти и далее. В той же папке .svn находится директори text-base, в которой лежат последние версии всех файлов, находящихся в репозитории. Картину дополняет так же и то, что файлы имеют не стандартное расширение (например .php), которое позволяет их сразу отправить на интерпретатор, а дополнительное расширение .svn-base, благодаря которому файл отдается запросившему его человеку «как есть», т.е. голый исходный код!

draftcopy.ru/.svn/text-base/index.php.svn-base

Стоит заметить, что описанная картина является идеальной и хоть она и была таковой в большинстве случаев, все же большой процент исходных кодов не удалось получить по тем или иным причинам.

Впервые осознав, что обнаруженная уязвимость присуща большинству проектов последние девять лет, было решено полностью просканировать рунет чтобы посмотреть чем живут интернет-проекты и получить интересную статистику. Но перед историей о том как это было, следует рассказать седым админам, как защищаться от подобного…

Защита от уязвимости

Уязвимость можно обойти несколькими путями. Путь в лоб — запретить обращаться к метадиректориям SVN по 80-ому порту, т.е. средствами вебсервера.

Решение для nginx
location ~ /.svn/ {
deny all;
}

Глобальных локейшенов в nginx`е нет, поэтому прийдется подписывать для каждой server области. Чтобы правило имело силу, необходимо загружать его до других локейшенов с регулярным выражением. Универсальный способ — первым локейшеном.

Решение для Apache

Order allow,deny
Deny from all
Satisfy All


Тут немного проще, дописываем это в httpd.conf и на всех проектах под управлением apache чтение из директории .svn будет недоступно.

Решение средствами SVN
Защита от уязвимости средствами вебсервера — лечение болезни. Любой доктор скажет, что профилактика проще, легче и менее затратней, чем лечение. Поэтому лучшим решение будет отсутствие этих самых метадиректорий в корне проекта. Добиться этого можно средствами svn export из основной ветки.
Информация взята с twocomrades.ru



История исследования

Как уже было сказано, было решено просканировать весь рунет на наличие подобной уязвимости. Были подняты прокси-сервера, написан парсер и получена свежая база доменов в зоне ru. Первая версия скрипта работала две недели, получая сайт за сайтом в один поток. К завершению сканирования, база насчитывала более 3000 уязвимых сайтов и занимала более ста гигабайт исходных кодов.

Проблемой первого сканировния было то, что скачивались все сорцы без разбора, не зависимо от того, отдавали они 200 или 500 код, а так же закачивалась графика и js-скрипты. А так же часто веб-сервера были настроены таким образом чтобы отдавать 200 код, даже если файл на самом дела отсутствовал.

Вторая версия скрипта была уже шустрее, работала в несколько потоков с двух серверных машин и правильно различала коды ответа содержимое полученных страниц. Мы обошли весь рунет за 4 дня. Дальнейшими планами была база доткомов. Стало очевидно, что при текущих ресурсах обход был бы выполнен как минимум за пару лет (зона com сейчас насчитывает более 700 млн доменов (против 2 млн ru)).

К дел был привлечен отличный си-программист Андрей Сатеренко, который написал быстрого демона, который сумел бы в пару раз сократить наши временные затраты. Но, к сожалению, к этому моменту лето кончилось, навалилилась работа. Грандиозные планы было решено свернуть.

Прежде чем публиковать открыто информацию об уязвимости, необходимо было предупредить всех пострадавших. В первую очередь письма были разосланы гигантам (yandex.ru, rambler.ru, mail.ru, opera.com, rbk.ru, 003.ru, bolero.ru, habrahabr.ru, итого 19 адресов), затем, сегодняшней ночью, письма получили остальные 3000+ сайтов.

Выпуск этой статьи был задержан ожиданием пока opera.com закроет уязвимость на всех своих серверах.

Немного статистики:
Просканировано доменов: 2253388
Уязвимых: 3320

Статистики по оповещениям пока нет, возможна она будет опубликована через пару недель. Из крупных порталов, ответили шестеро. Самым оперативным оказался Яндекс, прислав ответное письмо ночью в воскресенье. Десять проектов никак не прореагировали на наши письма, три проекта закрыли уязвимость не поблагодарив.
Мы не злопамятные, мы запишем их имена…

Несколько интересных фактов:
Киберсквотеры полюбили SVN, как и оптимизаторы;
Единый CSS для календарей яндекса собирается из десятка CSS средстами $make из консоли 0_0;
На проектах Рамблера пользуются сервисами Яндекса 0_0, найдены файлы «подтверждения домена» для сервисов Яндекса;
РБК использует и сервисы яндекса и сервисы гугля и очень любят «сложные» пароли;
Опера уважает MySQL, но сайт у них на голом html с реальными директориями и поддиректориями;
Блондинка уважает CodeIgniter;
PostgreSQL уважают движок wikimedia => PostgreSQL уважают MySQL ;-)
Все проекты Футурико (и Лепра) написаны на perl.
Порядка 10 сайтов со словами в домене типа «hack» и «secure» уязвимы;
Многие уверены, что назвав директорию с phpmyadmin примерно «__xpma123uff__» но сохранив пароль в конфиг, это хорошая защита;
Многие до сих пор хранят конфиги в inc файлах, без расширения .php, которые открываются как текст в браузере.


Для вас старались 2Товарища (mobilz) и Антон Исайкин (oowl, twi).
Мы готовы к сотрудничеству ;)

P.S. Во избежании конфликтов все исходные коды, полученные за время исследования были распечатанны и сожжены :-)
P.S.S. Два пункта:
абсолютно все, кто мог пострадать, получили предупреждения об уязвимости с точной датой обнародования заранее.
никакие исходные коды ни при каких условиях не будут опубликованы или проданы. Не стоит писать нам по этому поводу.

P.P.P.S. Не обделяйте oowlкармой )
P.P.P.P.S. Никаких сорцов самого поискового механизма Яндекса получено не было, однако были получены корни веб морды некоторых ресурсов. Верстка, xmlapi, xsl шаблоны итп. Ничего серьезного, разве что все адреса репозиториев, логины разработчиков итп. Кукуц, Бобук, расслабьтесь.

четверг, 17 сентября 2009 г.

Postfix проверка почтового адреса отправителя

reject_unverified_sender (детальнее www.postfix.org раздел Documentations)

Исключение из syslog определенных логов

меня больше достало то, что при установке postfix почтовые логи пишуться как в /var/log/mail.* так и в /var/log/syslog

ну это какраз просто лечится :
в файле /etc/syslog.conf
Код
*.*;auth,authpriv.none -/var/log/syslog
заменить на
Код
*.*;auth,authpriv.none,mail.none -/var/log/syslog

У меня на redhat as 5.2 не пишутся такие сообщения cat /etc/syslog.conf | grep messa

# Log all kernel messages to the console.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages

среда, 16 сентября 2009 г.

Работа telnet c smtp/pop3

smtp:

220 relay.ukrhub.net ESMTP (ISP UKRCOM from UKRAINE) (for contacts:postmaster_at_ukrhub.net)

ehlo 123.ukrhub.net

250-relay.ukrhub.net
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

mail from:<1@1.com>

250 2.1.0 Ok

rcpt to:<123@ukrhub.net>

250 2.1.5 Ok

data

354 End data with .

aa;ghjag;aghag;hg;laghag.
. (должно заканчиваться точкой)

250 2.0.0 Ok: queued as 3B0F71ECC8

quit

221 2.0.0 Bye
Connection closed by foreign host.

pop3:

+OK ISP UKRCOM POP SERVER
user 123
+OK
pass 123
+OK Logged in.
list
+OK 0 messages:
.
stat
+OK 0 0
quit
+OK Logging out.

воскресенье, 13 сентября 2009 г.

Настройка профиля bash (сохранение истории, алиасы, функции)

cat /home/vova/.bashrc
# .bashrc

# User specific aliases and functions

# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi
shopt -s histappend
PROMPT_COMMAND='history -a'
shopt -s cdspell
export HISTCONTROL="ignoredupes"
export HISTIGNORE="&:ls:[bf]g:exit"
shopt -s cmdhist
alias rm_ape='rm -f *.ape'
function cdl () { cd "$1"; ls; }
function cdla () { cd "$1"; ls -la; }

четверг, 10 сентября 2009 г.

Проверка настройки почтовика

550 We do not accept mail from dynamic IPs. Что делать?

SPAM, smtp Pavel Nagaev Print This Post

Время от времени в форумах ИТ специалисты жалуются на то, что их пользователи получают из некоторых почтовых систем сообщение об ошибке: «#5.5.0 smtp;550 We do not accept mail from dynamic IPs. Please contact support@company.ruЧто же делать и как ее устранить?

Причиной проблемы является то, что принимающий сервер распознал IP вашего сервера, как динамический. Причин этому может быть несколько:

  • у вашего SMTP сервера нет PTR записи
  • ваш SMTP сервер в HELO/EHLO представляется, как adsl-01.mydomain.ru. Вместо adsl может быть dsl, dynamic и т.д

  • IP вашего SMTP сервера принадлежит глобальному списку динамических адресов — DNSBL, разновидность RBL

Для того, чтобы этой ошибки не возникало, необходимо еще раз проверить:

  • наличие PTR записи для IP вашего SMTP сервера
  • что ваш SMTP сервер представляется своим внешним FQDN
  • IP вашего сервера не находится в глобальной базе динамических адресов

Первых две настройки можно проверить тут в разделе “E_mail valid”, третью в по адресу: http://www.robtex.com/rbl/

Помните, что возникновение данной проблемы — это проблема неправильной настройки DNS, SMTP сервера или конфигурации сети.

Удачи вам и пусть подобных проблем никогда не возникает!

WIKI о протоколе SMTP
FAQ по настройке DNS для почтового сервера
VIDEO:Разговоры об ИТ. Выпуск 13. Решение проблем внешних SMTP серверов. Pavel Nagaev

источник http://www.exchangerus.ru/2008/06/17/550-we-do-not-accept-mail-from-dynamic-ips-chto-delat/