SSH-туннелинг или замена VPN

В последнее время довольно большое распространение получила технология
VPN (Virtual Private Networks). В большинстве случаев ее используют
люди для шифрования передаваемой информации через локальную сеть
(защита от снифанья трафика, что довольно легко осуществить в сети,
даже на свичах) и/или последующей передачи информации через Интернет
(тут уже целями будет скрытие своего IP-адреса, защита от глобального
снифа трафика всей страны (aka СОРМ, он же нынешний СОРМ2) и.д.).
Многие уже давно используют данную технологию VPN, но не многие знают
об ее более дешевой и мобильной альтернативе. А называется это -
SSH-туннелинг.

Простой файловый хостинг на Google App Engine

 

Наверняка каждый из вас в своей жизни находил удобный для себя файловый хостинг, а через какое-то время обнаруживал, что на нем от количества рекламы начинают болеть глаза, условия уже далеко не такие лояльные и вообще пора бы уже найти что-то новое. Вариантов дальнейших действий два — или найти новый, пока еще не раскрученный файлообменник и использовать его, пока он не испортится, или организовать собственное решение. Для второго варианта, в свою очередь, можно приобрести хостинг (придется правда набить шишек, пока не найдется добросовестный хостер с качественными услугами) или воспользоваться облачным сервисом.

Бесплатное увеличение Dropbox аккаунта на 5 ГБ

Dropbox тестирует функцию автоматического расшаривания фото и видео с внешних накопителей. Пока идёт бета-тест за каждые 500 МБ выгруженного контента пользователю бесплатно начисляется 500 МБ дополнительного места вплоть до 5 ГБ.

netfilter и iptables в Linux: принципы работы, настройка netfilter

netfilter (встроенные в ядро linux в отличие от ipchains умеет отслеживать соединения (stateful packet filtering), при этом пакеты обязательно дефрагментриуются; цепочки правил объединяются в таблицы различного назначения (filter, nat, mangle), используются специальные модули для различных протоколов (в т.ч. прикладного уровня). Также позволяет менять заголовки пакетов и помечать пакеты для дальнейшего использования при маршрутизации и управлении трафиком. В основном, работает на межсетевом уровне TCP/IP, но захватывает транспортный уровень (TCP, UDP)и уровень доступа к сети (MAC адреса).Одновременное использование данных из 2 пакетов по-прежнему невозможно, для настоящей фильтрации на прикладном уровне пользуйтесь прокси серверами.

В статье описываются:

• предварительные условия использования netfilter
• основные понятия (таблицы, цепочки, правила) и путь пакета
• отслеживание соединений
• утилита управления цепочками iptables
• действия (target)
• шаблоны (match)
• утилиты iptables-save и iptables-restore
• сервис в Red Hat Linux
• примеры и советы

Настройка NAT по принципу сеть в сеть при помощи iptables NETMAP

 

В этом руководстве я опишу как настроить полный NAT из одной сети в другую, на примере двух офисных сетей. Для настройки данного решения вам понадобится iptables с поддержкой NETMAP и пакет iproute2 для настройки маршрутизации. Я настраивал эту схему на базе Linux ubuntu 8.04 server, iptables v 1.4.7 и iproute2 v ss071016. Кратко опишу, что же такое патч NETMAP для iptables, он позволяет нам делать двухстороннюю трансляцию сетей в другие сети один в один, например транслировать сеть 1.1.1.1/24 в сеть 2.2.2.2/24, и обратно, транслируя айпи адрес 1.1.1.89/32 в айпи 2.2.2.89/32 и тд.

Настройка прокси-сервера SQUID+простой контент фильтр на Ubuntu Server 10.04 / 10.10

Использование прокси серверов оправдано в локальный сетях в том случае, если скорость соединения не очень высока или есть необходимость контролировать работу сотрудников в интернет-в общем под эти требования можно подогнать, в принципе, любые задачи. Короче, прокси-серверу быть! SQUID считается огромным монстром, но если его освоить, то он работает как часы, даже в крупных сетях. С его помощью можно крутить сетевые запросы пользователей так, что неподготовленному человеку становится дурно от избытка информации. Переходим от слов к делу

Proftpd на Debian с разграничением доступа

 

Proftpd сервер – это ftp сервер для linux систем с хорошим набором настроек.И так задача такова – сделать фтп сервер,да не простой а такой чтобы,каждый пользователь смотрел в свою папку + был пользователь который мог смотреть в другие папки добавлять в них свое.Пользователей будем создавать в системе,с ограничением доступа.Приступим ..

Настраиваем VPN соединение в Linux. VPN для начинающих.

Просто о сложном. VPN для начинающих. Казалось бы — про VPN не говори, про него все сказано. В сети выложено огромное количество настроек и HOW-TO на любой вкус. Скрупулезный анализ показал, что основные проблемы новичков возникают на этапах аутентификации клиента и VPN-сервера, а также настройки роутинга. На них мы остановимся подробно. Попутно выяснилось что настройки VPN-соединения можно сильно упростить и тем самым облегчить понимание ключевых параметров. Именно для облегчения понимания мы рекомендуем всем новичкам настраивать VPN из командной строки и не пользоваться (полу)автоматическими конфигураторами VPN — как показывает практика, от их непрозрачных настроек одни неприятности. Как вы увидите ниже, этих настроек очень небольшое количество, так что незачем вставать на костыли, чтобы бежать стометровку. К тому же командная строка вам сослужит добрую службу, когда пойдет что-то не так. Вы всегда можете запостить свои конфиги и вывод консольных команд, и суровые бородатые дядьки, которые давно на «ты» с линуксом, вам помогут. Потому что вы говорите с ними на одном языке. И наоборот, что-нибудь вроде «в этом окошке я отмечаю галочкой второй снизу пункт» практически гарантирует отсутствие обратной связи.

Настраивать VPN-соединение мы будем по шагам. В конце каждого шага — шаг проверки. Все команды в командной строке вводятся от имени суперпользователя (root). Готовы? Тогда вперед! 

Наглядная схема работы iptables

На днях настраивал iptables и «заблудился в трех соснах». До такой степени, что пришлось обращаться за помощью к знатокам. Не буду вдаваться в суть проблемы, но выложенная в ответ на мой вопрос схема фильтрации пакетов в Linux заслуживает перепостинга. Давно хотел обзавестись такой. Прям из разряда «вырежи и сохрани»

Защищенный канал передачи данных с помощью самоподписанных SSL-сертификатов и Stunnel

Рано или поздно ко всем администраторам сети приходит руководство, и просит сделать доступ к внутренним ресурсам сети компании через Интернет. Руководству, чрезвычайно приятно попивая сок, на Мальдивских берегах, мониторить прогресс решения поставленных задач в корпоративной системе управления проектами. Вот и становиться задача организации доступа.
Почитав литературу, я остановился на методе создания самоподписанных SSL сертификатов и программе Stunnel. Самозаверенный (самоподписанный) сертификат — специальный тип сертификата, подписанный самим его создателем. Технически данный тип ничем не отличается от сертификата, заверенного подписью удостоверяющего центра (УЦ), только вместо передачи на подпись в УЦ пользователь создаёт свою собственную сигнатуру.

OpenVPN в Windows

Автор:

Сергей Черепенин

Короткий URL: openvpn/windows

Организация соединения с использованием статических ключей

В данной главе рассматривается подготовка и организация vpn соединения с использованием статического ключа. В качестве сервера используется компьютер с операционной системой Debian GNU/Linux Etch на ядре 2.6.18-4-686, а в качестве клиента - Windows 2003 SP2.

Amazon S3: регистрация и начало работы

C недавнего времени открыл для себя все удобства использования Amazon Web Services Simple Storage Service (S3) как внешнего удаленного сетевого хранилища для своих файлов. Далее, в нескольких статьях, постараюсь описать вам возможности сервиса Amazon S3, его удобства и возможности для применения.
А для начала познакомимся с сервисом: тарифы, регистрация, доступ, загрузка файлов и работа с ними.

 

Что такое Amazon S3?

Amazon Web Services Simple Storage Service (S3) — отличное решение для тех, кто желает хранить любые объемы данных (от маленьких до огромных), при этом не нагружая пропускную способность своих серверов или место на жестком диске (в случае хранения или архивации данных). Amazon S3 прекрасно подойдет как для работы с компьютером, так и для потребностей веб-хостинга.

Автоматическое завершение работы linux и windows при отключении электричества

В наличии:

Три сервера: 2 под GNU/Debian и 1 под windows 2003.

Два UPS: APC Smart-UPS 1000 и APC Back-UPS RS 800.

Back-UPS подключен к linux. Питание мониторится через usb интерфейс.
Smart-UPS подключен к linux и windows. Питание мониторится через com интерфейс подключенный к linux.

Задача: настроить корректное завершение работы в случае отключения электричества на всех трех серверах.

Сборное руководство по установке Alfresco 3.3 на Ubuntu Server

Инструкция является солянкой из различных материалов, которые я использовал при настройке и установке Alfresco. Сейчас уже доступна версия Alfresco 3.4 и не могу поручиться, что эти советы применимы к ней. И так, поехали.

В первых версиях в коммунити версии не было секъюрити (практически), но это было сразу видно и многие только увидев это сразу-же сваливали.

Похоже, разработчики нашли решение как убить 2 зайцев, сделать коммунити версию полной (и привлечь больше народу), но совершенно неработоспособной (во всяком случае без серьёзной настройки, переделки).

Возможно я ошибаюсь и они сделали это ненамеренно, просто нет времени исправлять ошибки и делать открытую версию устойчивой.

Loop-aes или как зашифровать все не спалив себе мозг

Драйвер loop-AES представляет собой, как нетрудно догадаться, модификацию стандартного Linux-драйвера loop.ko. Того самого, который используется для так называемого кольцевого подключения различных сущностей в качестве виртуальных блочных устройств (например, ISO-образов). В отличие от оригинала, создающего тонкую прослойку между чем-либо и виртуальным устройством, loop-AES еще и производит модификацию пропускаемых через него данных, шифруя записываемую или читаемую из устройства информацию.

Это делает его универсальной системой шифрования любой информации, будь то файлы (подключенные с помощью «mount -o loop»), дисковые разделы, RAID-тома, своп-области, флеш-брелки и т.п. Шифруя раздел с помощью этого драйвера, пользователь получает что-то вроде переходника в виде loop-устройства, без которого получить доступ к данным будет невозможно.

Настройка TLS в vsftpd

Помимо стабильности и высокой скорости работы vsftpd может предложить работу с использованием TLS для безопасного обмена данными с сервером. Используя TLS, вы сможете существенно обезопасить персональные данные ваших пользователей, если в том возникнет необходимость. Продолжая тему быстрого и надёжного FTP-демона для UNIX, в этой заметке мы с вами рассмотрим способ настройки vsftpd для работы с использованием TLS.

Файл конфигурации vsftpd в различных системах по умолчанию располагается в различных местах:

• в FreeBSD — /usr/local/etc/vsftpd.conf
• в Fedora — /etc/vsftpd/vsftpd.conf
• в Debian — /etc/vsftpd.conf

Установка и настройка клиента OpenVPN в Ubuntu

Когда-то давным-давно, когда арбузы на деревьях были совсем ещё зелёными, я познакомился с замечательным проектом OpenVPN, сделавшим мою работу по связыванию распределённых локальных сетей воедино. Первым опытом стала настройка сервера под FreeBSD, ну а дальше, как говорится, понеслось. На сегодняшний день почти все сервера, настроенные мной, работают под Ubuntu Linux той или иной версии.

И вот недавно я обратил внимание на то, что среди барахла, хранящегося в /etc/init.d, скромненько притаился скрипт с именем «openvpn». «Ну и чё?» — тут же спросит опытный администратор. Всё дело в том, что до недавних пор поднятие сетевых интерфейсов, в том числе и TUN, я организовывал исключительно через /etc/network/interfaces, оперируя опциями pre-up для запуска демона OpenVPN и опциями pre-down для его останова. Всё это «безобразие» повсеместно разбавлялось различными командами, манипулирующими таблицами маршрутизации... В общем, довольно громоздкая картинка получалась. В принципе, всё работало вполне себе прилично, но раз есть предоставленный разработчиками иной (Ubuntu-way?) путь, то почему бы им не воспользоваться, тем более, что это позволит значительно разгрузить /etc/network/interfaces.

Использование taskset

Если ваш компьютер не очень старый и не является каким-нибудь дешёвым нетбуком, то с очень большой долей вероятности ваша система является многопроцессорной. Любой сервер, выпущенный за последние лет пять, имеет на борту как минимум два CPU, а любая рабочая станция, выпущенная за последние три года, имеет по меньшей мере двухъядерный процессор. Иногда вам может понадобиться сделать так, чтобы выполняющийся процесс обслуживался только определённым процессором или же определённой их группой. Всё это легко и просто делается при помощи утилиты taskset.

Taskset позволяет вам «привязывать» процесс к определённому процессору. Представим, что вы хотите настроить Google Chrome так, чтобы он работал только на одном CPU. Делается это командой:

taskset 0x00000001 google-chrome

Теперь использование процессора для google-chrome будет ограничено только первым CPU (маска 0×00000001 обозначает первый процссор). Если же вы, например, хотите чтобы процесс работал на первом и втором CPU, воспользуйтесь командой:

taskset 0x00000003 google-chrome

Вместо масок вы можете воспользоваться опцией -c утилиты taskset (подробней об этом — на man-странице программы).

Если вы хотите узнать, на каких процессорах выполняется тот или иной процесс, вы можете воспользоваться командой:

taskset -p XXXX

где XXXX замените на PID интересующего вас процесса. Например, если вы получите информацию о любом процессе, для которого «привязка» не выполнялась, в двухпроцессорной системе, то вы увидите значение равное трём.

Может ли taskset пригодиться вам для увеличения производительности вашей системы и стоит ли ей пользоваться сплошь и рядом? Нет. Однако, taskset может очень вам помочь, когда вы имеете дело с приложениями, которые, возможно. вызывают проблемы в системе.

Оригинал статьи на ServerWarch.Com

 

Немного о Dnsmasq

Среди множества способов увеличить производительность вашей локальной сети большой популярностью пользуется настройка собственного кеширующего DNS-сервера. Каждый компьютер в вашей сети ежедневно совершает сотни, тысячи DNS-запросов в Интернет. Все эти запросы направлены к серверам, находящимся в Интернет и, естественно, создают нагрузку на ваш Интернет-канал. Настроив в своей сети кеширующий DNS-сервер, вы сможете существенно сократить количество DNS-запросов, отправляемых во внешний мир, и, как следствие, снизить общую нагрузку на внешний канал передачи данных и увеличить скорость получения ответов на DNS-запросы.

Если речь идёт лишь о вашем единственном домашнем компьютере, то программное обеспечение DNS-сервера необходимо установить на вашем компьютере, обеспечив таким образом перехват исходящихDNS-запросов ещё до того, как они достигнут сетевого интерфейса.

Если же вы администрируете сеть из более, чем одного компьютера, а выход в Интернет обеспечивается шлюзом под управлением UNIX/Linux, то программное обеспечение DNS-сервера лучше всего установить на шлюзе и перенаправить DNS-запросы рабочих станций вашей сети к нему.

Защита и восстановление системы в Windows 7

Защита системы создает точки восстановления, в которых сохраняются системные параметры и предыдущие версии файлов. Используя восстановление системы, вы сможете исправить работу Windows 7, например, в случае неполадок из-за установки программ, кодеков и драйверов, сбоя в ассоциациях файлов и неправильной работы после чистки реестра.

Новые возможности защиты и восстановления системы

Наряду со знакомыми по Windows Vista возможностями защиты и восстановления системы, в Windows 7 имеются усовершенствования. Наиболее значимые перечислены в таблице ниже.