Настраиваем VPN соединение в Linux. VPN для начинающих.

Просто о сложном. VPN для начинающих. Казалось бы — про VPN не говори, про него все сказано. В сети выложено огромное количество настроек и HOW-TO на любой вкус. Скрупулезный анализ показал, что основные проблемы новичков возникают на этапах аутентификации клиента и VPN-сервера, а также настройки роутинга. На них мы остановимся подробно. Попутно выяснилось что настройки VPN-соединения можно сильно упростить и тем самым облегчить понимание ключевых параметров. Именно для облегчения понимания мы рекомендуем всем новичкам настраивать VPN из командной строки и не пользоваться (полу)автоматическими конфигураторами VPN — как показывает практика, от их непрозрачных настроек одни неприятности. Как вы увидите ниже, этих настроек очень небольшое количество, так что незачем вставать на костыли, чтобы бежать стометровку. К тому же командная строка вам сослужит добрую службу, когда пойдет что-то не так. Вы всегда можете запостить свои конфиги и вывод консольных команд, и суровые бородатые дядьки, которые давно на «ты» с линуксом, вам помогут. Потому что вы говорите с ними на одном языке. И наоборот, что-нибудь вроде «в этом окошке я отмечаю галочкой второй снизу пункт» практически гарантирует отсутствие обратной связи.

Настраивать VPN-соединение мы будем по шагам. В конце каждого шага — шаг проверки. Все команды в командной строке вводятся от имени суперпользователя (root). Готовы? Тогда вперед! 

Наглядная схема работы iptables

На днях настраивал iptables и «заблудился в трех соснах». До такой степени, что пришлось обращаться за помощью к знатокам. Не буду вдаваться в суть проблемы, но выложенная в ответ на мой вопрос схема фильтрации пакетов в Linux заслуживает перепостинга. Давно хотел обзавестись такой. Прям из разряда «вырежи и сохрани»

OpenVPN в Windows

Автор:

Сергей Черепенин

Короткий URL: openvpn/windows

Организация соединения с использованием статических ключей

В данной главе рассматривается подготовка и организация vpn соединения с использованием статического ключа. В качестве сервера используется компьютер с операционной системой Debian GNU/Linux Etch на ядре 2.6.18-4-686, а в качестве клиента - Windows 2003 SP2.

Поиск при помощи утилиты find

Описание основных примеров для работы с утилитой для поиска файлов и каталогов find которая есть в любом Linux, BSD или Unix дистрибутиве.

Думаю каждый сталкивался с необходимостью найти какой либо файл, директорию, файлы определенного размера, или с определенным именем, или все вместе. Утилита find позволяет так же выполнять действия нужные вам с найденными файлами и каталогами. Множество примеров использования find в продолжении поста.

Автоматическое завершение работы linux и windows при отключении электричества

В наличии:

Три сервера: 2 под GNU/Debian и 1 под windows 2003.

Два UPS: APC Smart-UPS 1000 и APC Back-UPS RS 800.

Back-UPS подключен к linux. Питание мониторится через usb интерфейс.
Smart-UPS подключен к linux и windows. Питание мониторится через com интерфейс подключенный к linux.

Задача: настроить корректное завершение работы в случае отключения электричества на всех трех серверах.

Сборное руководство по установке Alfresco 3.3 на Ubuntu Server

Инструкция является солянкой из различных материалов, которые я использовал при настройке и установке Alfresco. Сейчас уже доступна версия Alfresco 3.4 и не могу поручиться, что эти советы применимы к ней. И так, поехали.

В первых версиях в коммунити версии не было секъюрити (практически), но это было сразу видно и многие только увидев это сразу-же сваливали.

Похоже, разработчики нашли решение как убить 2 зайцев, сделать коммунити версию полной (и привлечь больше народу), но совершенно неработоспособной (во всяком случае без серьёзной настройки, переделки).

Возможно я ошибаюсь и они сделали это ненамеренно, просто нет времени исправлять ошибки и делать открытую версию устойчивой.

Комбинации клавиш для работы в интерпретаторе Bash

В статье описано, какими комбинациями клавиш возможно пользоваться в интерпретаторе bash. На самом деле, на практике очень убеждаешься, на сколько упрощается жизнь и работа в шелле, когда пользуешься данными сочетаниями. Приведу пример. Допустим у нас стоит консоль на 10-15 серверов, в которой не работают клавиши Home, End, стрелки и т.п. С помощью сочетаний, допустим "^+f — На символ вперёд" или "^+a — Переводит курсор в начало строки" можно вообще не пользоваться клавишами перехода, такими как стрелки и т.п.
Хочу сказать, что кроме клавиш-модификаторов ^, Alt, Del. В Linux, исторически сложилось, что существует еще одна клавиша, которой на клавиатуре нет. Это клавиша Meta. Данную клавишу-модификатор возможно использовать, последовательно нажав Esc+ необходимую клавишу. Ниже, в приведенных комбинациях, клавиши я буду обозначать следующим образом:
Ctrl- ^
Meta - M

Об nmap для начинающих

Когда-нибудь задавались вопросом, откуда взломщики узнают о том, какие порты открыты в системе и какие службы доступны на этих портах? Как они это делают, не задавая вопросов администратору сервера? Это и гораздо больше можно делать при помощи маленькой утилиты под названием nmap. nmap — это сокращение от «Network Mapper», по-русски можно назвать «построитель карты сети». Nmap — поистине огромный набор инструментов «в одном флаконе» для сканирования сетей. Он может использоваться для поиска и определения запущенных в сети сервисов, определения типа используемой операционной системы, типа файрвола или же просто для быстрого определения хостов, находящихся в сети. Короче говоря, уметь пользоваться этой штуковиной лишним не будет. Nmap очень известная утилита в буквальном смысле. Когда вы с ней познакомитесь, вы можете узнать её в некоторых эпизодах кинофильмов. В этой заметке я покажу вам базовые приёмы работы с Nmap и покажу несколько примеров, как его использовать.

Аудит сети при помощи Zenmap

В обязанности сетевого администратора входит множество вещей и аудит сети — одна из основных. Аудит сети не является чем-то трудным, если её размер небольшой. Но что делать, если размер администрируемой вами сети делает невозможным обход «вручную» каждого устройства или хоста для того, чтобы выяснить работает он или нет, какая ОС на нём установлена, какие порты открыты, а какие нет? Если вы оказались в такой ситуации, то вам очень поможет программа, ставшая фактически стандартом в мире OpenSource утилит аудита сетей — Zenmap.

Zenmap является графической оболочкой для популярной утилиты Nmap. Nmap — это консольный OpenSouce инструмент для анализа безопасности и аудита сети. Несмотря на то, что Nmap сам по себе является очень мощной утилитой, при работе в больших сетях многие администраторы не имеют особого желания пользоваться одними консольными инструментами. Как говорят некоторые из них: «Картинка стоит тысячи слов». И в случае с Zenmap они безусловно правы, поскольку при помощи него вы можете получить интерактивную графическую карту вашей сети.

О grep для начинающих

Если вы какое-то время используете Linux, то наверняка слышали о grep, хотя могли и не использовать её никогда в работе. GNU Grep умеет выполнять поиск по шаблону в текстовых файлах или стандартном потоке вывода. Простая, эффективная и, поверьте автору, обязательная к изучению, если вы администрируете UNIX-подобную ОС. Хотите освоить grep? Давайте начнём прямо сейчас!

Пять grep-подобных программ

Все знают и любят grep. Сегодня мы с вами рассмотрим пять утилит, «заточенных» для применения функционала grep в определённых условиях, а именно: pgrep, grepcidr, ngrep,pdfgrep и taggrepper. Использовать эти утилиты вы можете из своей любимой оболочки. также в заметке приводятся примеры использования каждой утилиты.

Loop-aes или как зашифровать все не спалив себе мозг

Драйвер loop-AES представляет собой, как нетрудно догадаться, модификацию стандартного Linux-драйвера loop.ko. Того самого, который используется для так называемого кольцевого подключения различных сущностей в качестве виртуальных блочных устройств (например, ISO-образов). В отличие от оригинала, создающего тонкую прослойку между чем-либо и виртуальным устройством, loop-AES еще и производит модификацию пропускаемых через него данных, шифруя записываемую или читаемую из устройства информацию.

Это делает его универсальной системой шифрования любой информации, будь то файлы (подключенные с помощью «mount -o loop»), дисковые разделы, RAID-тома, своп-области, флеш-брелки и т.п. Шифруя раздел с помощью этого драйвера, пользователь получает что-то вроде переходника в виде loop-устройства, без которого получить доступ к данным будет невозможно.

EncFS. В помощь параноикам

Какими бы надёжными и защищёнными не объявляли себя онлайн-сервисы хранения данных вроде Wuala или DropBox, всё равно нет никаких гарантий того, что до ваших файлов не доберутся особо заинтересованные в них люди или организации. Единственная гарантия — вы сами. Если ваши файлы на жёстком диске хранятся в зашифрованной файловой системе, то можно гораздо меньше беспокоится в случае, если ваш винчестер отправится куда-то «на исследование» (естественно, если вы адекватно подошли к выбору алгоритма шифрования, ключа и/или пароля). Сам-собой возникает вопрос: как быть с файлами перед отправкой их за пределы вашей системы туда, где нет никаких гарантий безопасности хранилища? Естественно, отправлять их «как есть», мягко говоря, не рекомендуется.

Настройка TLS в vsftpd

Помимо стабильности и высокой скорости работы vsftpd может предложить работу с использованием TLS для безопасного обмена данными с сервером. Используя TLS, вы сможете существенно обезопасить персональные данные ваших пользователей, если в том возникнет необходимость. Продолжая тему быстрого и надёжного FTP-демона для UNIX, в этой заметке мы с вами рассмотрим способ настройки vsftpd для работы с использованием TLS.

Файл конфигурации vsftpd в различных системах по умолчанию располагается в различных местах:

• в FreeBSD — /usr/local/etc/vsftpd.conf
• в Fedora — /etc/vsftpd/vsftpd.conf
• в Debian — /etc/vsftpd.conf

О своппинге в Linux

 

Linux, работая с оперативной памятью, разбивает её на отдельные кусочки, называемые страницами. Своппинг (swapping) — это процесс, посредством которого страницы оперативной памяти копируются в специально предназначенное место на диске, называемое свопом (swap), для того, чтобы освободить часть оперативной памяти. Суммарный объём оперативной памяти и свопа составляют общее количество доступной виртуальной памяти.

Необходимость в своппинге возникает по двум причинам. Во-первых, когда системе нужно больше оперативной памяти, чем есть в данный момент в распоряжении, ядро сбрасывает часть редко-используемые страниц в своп, освобождая затребовавшему процессу нужное количество физической памяти. Во-вторых, существенное количество страниц используется приложениями лишь в фазе инициализации, и в дальнейшем эта занятая память может вообще не понадобиться. Такие страницы ядро сбрасывает в своп, освобождая физическую память  для остальных приложений или дискового кэша.

Что такое inode

 

На просторах Сети часто-густо можно встретить обсуждения работы файловых систем. В подобных дискуссиях часто можно встретить термин «inode» — индексный дескриптор. Многие новички задаются вопросом: «что же такое, этот inode?», поскольку без понимания значения этого термина они не могут вникнуть в суть обсуждения тех или иных тонкостей работы файловых систем. В этой заметке мы с вами попробуем разобраться, что же такое inode и с чем её едят. Автор не является экспертом в области файловых систем, поэтому будет рад любым конструктивным замечаниям и поправкам.

Проверка ФС и восстановление удалённых файлов в Linux

Linux — одна из самых надёжных операционных систем, которую вы когда-либо видели, однако это вовсе не означает, что оборудование на котором работает Linux такое же надёжное. Жёсткие диски могут работать с ошибками и как следствие — вы получите ошибки на ваших файловых системах. Неважно насколько надёжна ваша операционная система, если вы случайно удалили нужные файлы или каталоги. Однако нее отчаивайтесь, если с вами произошло нечто подобное. Linux располагает всем необходимым, чтобы помочь вам восстановить потерянные файлы в результате удаления или сбоев в работе дисков и файловых систем. О каких инструментах идёт речь? Первым делом мы рассмотрим с вами утилиты e2fsck, scalpel и lsof. В сегодняшней заметке мы с вами посмотрим, как при помощи такого набора инструментов можно исправлять ошибки ФС и восстанавливать удалённые файлы.

 

Использование taskset

Если ваш компьютер не очень старый и не является каким-нибудь дешёвым нетбуком, то с очень большой долей вероятности ваша система является многопроцессорной. Любой сервер, выпущенный за последние лет пять, имеет на борту как минимум два CPU, а любая рабочая станция, выпущенная за последние три года, имеет по меньшей мере двухъядерный процессор. Иногда вам может понадобиться сделать так, чтобы выполняющийся процесс обслуживался только определённым процессором или же определённой их группой. Всё это легко и просто делается при помощи утилиты taskset.

Taskset позволяет вам «привязывать» процесс к определённому процессору. Представим, что вы хотите настроить Google Chrome так, чтобы он работал только на одном CPU. Делается это командой:

taskset 0x00000001 google-chrome

Теперь использование процессора для google-chrome будет ограничено только первым CPU (маска 0×00000001 обозначает первый процссор). Если же вы, например, хотите чтобы процесс работал на первом и втором CPU, воспользуйтесь командой:

taskset 0x00000003 google-chrome

Вместо масок вы можете воспользоваться опцией -c утилиты taskset (подробней об этом — на man-странице программы).

Если вы хотите узнать, на каких процессорах выполняется тот или иной процесс, вы можете воспользоваться командой:

taskset -p XXXX

где XXXX замените на PID интересующего вас процесса. Например, если вы получите информацию о любом процессе, для которого «привязка» не выполнялась, в двухпроцессорной системе, то вы увидите значение равное трём.

Может ли taskset пригодиться вам для увеличения производительности вашей системы и стоит ли ей пользоваться сплошь и рядом? Нет. Однако, taskset может очень вам помочь, когда вы имеете дело с приложениями, которые, возможно. вызывают проблемы в системе.

Оригинал статьи на ServerWarch.Com

 

Немного о Dnsmasq

Среди множества способов увеличить производительность вашей локальной сети большой популярностью пользуется настройка собственного кеширующего DNS-сервера. Каждый компьютер в вашей сети ежедневно совершает сотни, тысячи DNS-запросов в Интернет. Все эти запросы направлены к серверам, находящимся в Интернет и, естественно, создают нагрузку на ваш Интернет-канал. Настроив в своей сети кеширующий DNS-сервер, вы сможете существенно сократить количество DNS-запросов, отправляемых во внешний мир, и, как следствие, снизить общую нагрузку на внешний канал передачи данных и увеличить скорость получения ответов на DNS-запросы.

Если речь идёт лишь о вашем единственном домашнем компьютере, то программное обеспечение DNS-сервера необходимо установить на вашем компьютере, обеспечив таким образом перехват исходящихDNS-запросов ещё до того, как они достигнут сетевого интерфейса.

Если же вы администрируете сеть из более, чем одного компьютера, а выход в Интернет обеспечивается шлюзом под управлением UNIX/Linux, то программное обеспечение DNS-сервера лучше всего установить на шлюзе и перенаправить DNS-запросы рабочих станций вашей сети к нему.

Поднятие VPN соединения посредством протокола L2TP

Очень часто такой тип соединения используют провайдеры. Я
   пользуюсь услугами провайдера corbina, поэтому пример показывает, в
   первую очередь, настройку соединения именно с этим провайдером.
   Естественно, ваш провайдер должен поддерживать соединение по
   протоколу l2tp.