18-10-2003, 00:00.

Прочтите man smrsh или /usr/share/doc/sendmail/README.smrsh


18-10-2003, 00:00.

telnet (а точнее, login) не пускает root потому, что root может заходить в систему только со специальных защищенных терминалов, перечисленных в /etc/securetty. Обычно там перечислены только виртуальные консоли tty1-ttyN. Другие места считаются небезопасными, потому что пароль, вводимый оттуда, может передаваться по сети открытым текстом (что и происходит в случае использования telnet), а значит его может узнать злоумышленник, "прослушивая" сеть и анализируя "чужие" пакеты. Ответов на второй вопрос несколько:

быстрый и неправильный способ - удалить файл /etc/securetty или прописать в нем псевдотерминалы /dev/ttyP*. Это опасно потому, что дает злоумышленнику возможность не только узнать пароль, но и воспользоваться им для удаленного захода на машину.

менее быстрый, но все равно неправильный способ - заходить на машину обычным пользователем, а затем использовать команду su или sudo. И в этом случае оба пароля передаются открытым текстом, со всеми возможными последствиями.

самый правильный способ - полностью отключить сервисы telnet, не-анонимный ftp, rsh, rlogin и заменить их на ssh, шифрующий все, что передается через сеть и поддерживающий аутенификацию не только через пароль, но и с использованием криптографии с открытым ключом. Клиент и сервер ssh для Unix можно взять на openssh.com, про клиенты для Windows написано в разделе "Прочее".


18-10-2003, 00:00.

Медленно и печально идем на diald.sourceforge.net, сливаем diald, разворачиваем, читаем README, совершаем _минимальные_ телодвижения на предмет конфигурации и инсталляции, и получаем эмулятор выделенной линии. Как только требуется выйти во внешний мир, diald дозванивается до провайдера, устанавливает роутинг и можно работать. Внимание: учтите, что с ядрами 2.2.x нормально работает diald-1.99 и выше. 0.16, лежащий везде, в том числе и в некоторых дистрибутивах, предназначен только для 2.0. (почему-то эта информация пропущена в Changes) Да, еще... Рекомендации лучших линуксоводов: в файле /etc/resolv.conf надо размножить строчки nameserver xxx.xxx.xxx.xxx раза по три, чтобы он по таймауту не отваливался раньше, чем diald дозвонится. Полезно также удалить default route на eth0. А еще можно так: в diald.rc пишем
    ip-up "cp /etc/resolv.conf.connected /etc/resolv.conf" ip-down "cp /etc/resolv.conf.local /etc/resolv.conf",
где в resolv.conf.connected написано:
    search yourdomain nameserver xxx.xxx.xxx.xxx (я предпочитаю 127.0.0.1)
а в resolv.conf.local написано:
    domain yourdomain
Хорошо настроить и использовать локальный DNS-cервер в режиме caching-only. Его можно поднимать и опускать через ip-up и ip-down как сказано чуть выше, или через /etc/ppp/ip-up.local и ip-down.local. Как его настроить: раньше вариант был только один - почитать книжку и настроить таки bind. Теперь есть более простой вариант: к редхату прилагаются готовые настройки для cache-only bind-а (в пакете caching-nameserver) или можно установить демон nscd, который умеет только кешировать DNS-запросы (а также запросы к базе пользователей и групп). А еще можно сходить посмотреть на alexm.here.ru


18-10-2003, 00:00.

Есть mars -- netware server для линукса (эмуляция нетваpевского сеpвеpа) ipx*, ncp*, nw* (из дистpибутива mars) - клиент. Посмотрите Caldera Open Linux (caldera.com) - компания Caldera владеет исходными текстами Novell и переносит их на Linux. Netware for Linux - calderasystems.com/support/docs/netware/. Не забудьте про IPX-HOWTO: linuxdoc.org/HOWTO/IPX-HOWTO.html


18-10-2003, 00:00.

(Zahar Kiselev, 2:5030/382) Вот что достаточно сделать чтобы работало: Взять с ftp.kernel.org ядро, которое умеет "на ходу" менять лимиты на количество открытых файлов. Hасколько я знаю, начиная с 2.2.10 это работает, как делается - сказано в том числе и в этом faq. 1С отличается совершенно неприличными аппетитами по части количества открываемых файлов - надо ставить из расчета где-то 800 на каждого виндового пользователя, потому что есть особо "продвинутые", которые две-три копии 1С у себя на компе запускают. Взять Самбу например 2.0.5a - это последняя, которая работала у меня. Важно, чтобы она понимала параметр в smb.conf "ole locking compatibility"(надеюсь теперь не наврал в написании), установить его в "no". Внимание! До меня доходили сведения, что в какой-то даже более новой чем 2.0.5а Самбе этого параметра нет. Остальное настроить в соответствии с любой из многочисленных рекомендаций по установке Самбы, главное - не запрещать ей работать с блокировками(я знаю одного человека, который до этого додумался). Запускать надо не через inetd, а как отдельный демон, вернее у Самбы их два - smbd и nmbd. Чтобы несколько пользователей могли лезть в одну базу - поместить их в одну юниксовую группу и поставить права на файлы так, чтобы был доступ на запись для группы. Есть еще одна мелкая особенность - Самба при работе хочет создать файлики browse.dat, wins.dat - так вот надо поставить права так, чтобы она могла их читать в том числе и тогда, когда работает от имени виндового пользователя - иначе могут быть большие таймауты при выполнении команды net use в виндах, и может не работать столь любимое многими чайниками "сетевое окружение". Если после очередного падения 1С винды говорят что база заблокирована - то можно подкрутить в конфиге Самбы параметр, отвечающий за принудительное снятие "зависших" блокировок(см man). Поставить например три минуты, меньше не стоит, тогда через три минуты в базу можно будет войти. Рекомендуется также поставить keepalive-таймаут, чтобы соединения не висели бесконечно. Желательно при помощи файрволла закрыть для доступа "снаружи" те два порта, через которые Самба работает. Причем не только на Линукс, а на всю сеть. А теперь - совет тем, кто хочет избавиться от проблем, вызванных наличием 1С у него в сети. Hадо запускать 1С на NT-сервере, причем желательно sql-версию, она менее критична к сбоям (не повреждаются данные), а доступ осуществлять с линуксовых машин через Citrix Meta Frame. При этом ситуация меняется "до наоборот" - вместо одного линукса и кучи виндов вокруг - получаются _одни_ винды(и те NT), а вокруг куча Линукс-терминалов, причем можно их бездисковыми сделать, загружая с линукс-сервера. Если не хотите линуксы (а напрасно) - citrix-клиент есть и под винды. Для сомневающихся - работа 1С в терминальном режиме проверена в боевой обстановке. Результат положительный. Доступ я пробовал осуществлять и с Линукса и с win95.


18-10-2003, 00:00.

Про клиент pppd + callback можно прочесть файл README.cbcp в дистрибутиве pppd. Про все остальное - читайте nitek.ru/~igor/pppd/ или nitek.east.ru/~igor/pppd/.


18-10-2003, 00:00.

hylafax - есть все, что в подобных случаях может понадобиться и сказано, где взять "клиентов" под DOS, Windows, etc. HО! принимать по одной линии (тел) и факсы и фидо не получится. :( Можно использовать mgetty, но факс-сервер придется делать самому, как делать можно подглядеть в hylafax. :)


18-10-2003, 00:00.

moretonbay.com/vpn/pptp.html


18-10-2003, 00:00.

Нужно найти (например, на freshmeat) программу stunnel. Она прописывается в конфиге inetd примерно так:
    spop3 stream tcp nowait root /usr/sbin/stunnel /usr/sbin/popa3d ssmtp stream tcp nowait root /usr/sbin/stunnel /usr/sbin/sendmail
Victor Wagner предупреждает о подводном камне: Желательно в качестве argv[0] запускаемому демону указать что-то отличное от его имени файла. А то, если программа собрана с поддержкой tcpwrappers и используется hosts.allow/hosts.deny для разрешения доступа без ssl только из локалки, то при совпадении argv[0] не-ssl-ного и ssl-ного демона, и с SSL будут не пускать откуда нельзя.


18-10-2003, 00:00.

Нужно настроить маскарадинг. Предположим, что внутренняя локалка имеет адреса 192.168.0.0 (как и положено по RFC-1918). Тогда :
    #!/bin/sh /sbin/insmod ip_masq_autofw /sbin/insmod ip_masq_user /sbin/insmod ip_masq_cuseeme /sbin/insmod ip_masq_ftp /sbin/insmod ip_masq_irc /sbin/insmod ip_masq_mfw /sbin/insmod ip_masq_portfw /sbin/insmod ip_masq_quake /sbin/insmod ip_masq_raudio /sbin/insmod ip_masq_vdolive /sbin/ipchains -F /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -j MASQ -s 192.168.0.0/16 -d 0.0.0.0/0
Если Linux имеет адрес 192.168.0.1, то этот ip должен быть определен на хостах внутренней сети как default gateway. Также полезно прочитать HOWTOs: Firewall linuxdoc.org/HOWTO/Firewall-HOWTO.html IPCHAINS linuxdoc.org/HOWTO/IPCHAINS-HOWTO.html IP-Masquerade linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html Русская дока есть на fima.net/masquerade.html В 2.0 ядрах вместо ipchains используется ipfwadm, в 2.4 - netfilter, про который также есть HOWTO на netfilter.kernlenotes.org Если ничего не работает - проверьте, что находится в /proc/sys/net/ipv4/ip_forward :
    $ echo "1" > /proc/sys/net/ipv4/ip_forward
(в Red Hat 6.2 и выше - не забудьте поправить /etc/sysctl.conf) Утилиты для графического управления firewall-ом : fBuilder innertek.com/ Mason users.dhp.com/~whisper/mason/


18-10-2003, 00:00.

Cофт лежит на socks.nec.com Предположим, что у вас есть машина с двумя интерфейсами (PPP/Ethernet или Ethernet/Ethernet). На внутреннем Ethernet-e адрес : 192.168.0.1. Самый простой вариант - аутентификация клиентов локалки только по адресу. /etc/socks5.conf
    permit - - 192.168.0. - - - set SOCKS5_BINDINTFC 192.168.0.1:1080 set SOCKS5_NOIDENT
ICQ 99/2000 работает. Подробнее -man socks5-, -man socks5.conf-, socks.nec.com. [там есть FAQ]


18-10-2003, 00:00.

Простейший способ - занесение соответствующих хостов - поставщиков рекламы в /etc/hosts с фиктивными ip адресами. Более сложный, но и более гибкий - при помощи прокси-сервера Squid. Чаще всего для фильтрации используют ACL (Access Control List) типа "url_regex" (squid.conf, раздел ACCESS CONTROLS) типа:
    acl Reclama_Banners url_regex ^http://www1.reklama.ru/cgi-bin/banner/* http_access deny Reclama_Banners
Или из файла :
    acl Banners url_regex "/etc/squid/banners" http_access deny Banners
В /etc/squid/banners вписываешь своих врагов (в виде регулярных выражений), например:
    ^http://banners.rambler.ru/advert/.*.gif ^http://kulichki.rambler.ru/reklama/banners/.*.gif ^http://www.*.yandex.ru/cgi-bin/banner/* ^http://www1.reklama.ru/cgi-bin/banner/* ^http://www.reklama.ru/cgi-bin/banner/* ^http://www.reklama.ru/cgi-bin/href/* ^http://www.100mb.net/images/ban/banner.*.gif ^http://www.bizlink.ru/cgi-bin/irads.cgi.* ^http://www.linkexchange.ru/cgi-bin/rle.cgi ^http://www.linkexchange.ru/users/.*/goto.map ^http://www.netcq.com/banners/banner.gif ^http://1000.stars.ru/cgi-bin/1000.cgi
Еще лучше с задачей фильтрации справляется специальная программа-фильтр squidguard squidguard.org, ставится в дополнение к squid. Более полный список баннеродержателей можно получить на pail.pu.ru/ Можно сделать Transparent Proxy lexa.ru/lexa/transparent-proxy.html Transparent Proxy MiniHOWTO: tldp.org/HOWTO/mini/TransparentProxy.html Можно поставить редиректор squirm senet.com.au/squirm/, его задача - подменять одни URLs другими.


18-10-2003, 00:00.

Идеология иксов и многие базовые вещи без привязки к Window Manager-ам и интегрированным средам хорошо описаны на ep2-ts2.inp.nsk.su/lecture/


18-10-2003, 00:00.

Поискать название вашей карточки в xfree86.org/FAQ/ или /usr/X11R6/lib/X11/doc/ Взять последнюю версию иксов, собранную производителем вашего дистрибутива, или, если производитель ее еще не собрал, то на ftp://ftp.xfree86.org. Стоит сперва ограничиться _только_сервером_ под эту самую карточку, и, как правило, лучше на этом и остановиться (вот если он работает, но ищет конфиги где-нибудь не там, где они у вас лежат - можно подумать о замене всего остального.) Hамек: если вы не видите сервера с именем вашей карты - проверьте, не поддерживает ли ее сервер SVGA. Он не так прост, как можно подумать по названию. В XFree 4 остался единственный сервер, а поддержка конкретных карточек вынесена в подгружаемые модули. Поэтому (теоретически), если у вас четвертые иксы, то нужно найти только модуль для вашей карточки.


18-10-2003, 00:00.

По идее, если вы правильно указали максимальные возможности вашего монитора в утилите настройки иксов (xf86config, XF86Setup, Xconfigurator), то эта утилита должна сама прописать в файле конфигурации ModeLine, выжимающий максимум из вашего монитора. Если вы не хотите полагаться на ее интеллект, то можно посмотреть готовые стандартные Modeline через strings `which xf86setup` и найти подходящую. Если по каким-то причинам с этой ModeLine возникают проблемы, то воспользуйтесь советом от "Alexei Dets" mailto:dets@china.formoza.ru: Для начала находите Modeline с требуемым вам разрешением, но не устраивающей вас частотой, т.е. слишком низкой, например. Hайти такую строчку можно, например, в XF86Config, сгенеренным инсталлятором дистрибутива. Проверяете работоспособность данного видеорежима на вашем мониторе. Если видеорежим устанавливается, пусть даже с некоторым смещением картинки от центра экрана, чуть-чуть другим размером и т.п. можно идти дальше. Иначе рекомендуется выбрать другую Modeline или подогнать эту при помощи xvidtune. Скажем, у нас имеется строчка:
    Modeline "640x480" 25.175 640 664 760 800 480 491 493 525
Какая здесь сейчас установлена частота развертки? Ответ: 25175000/800/525=59,9 Гц. Т.е. необходимо первую цифру, умноженную на миллион, разделить на пятую и на последнюю. Соответственно, как получить требуемые нам, например, 120 Гц? Ответ: 800x525x120/1000000=50,4 Соответственно, результирующая строчка:
    Modeline "640x480" 50.4 640 664 760 800 480 491 493 525
Можете пробовать :-) Скорее всего, картинка будет неправильно центрирована и будет иметь неверный размер, но это легко лечится при помощи xvidtune. Полученная при помощи него строчка будет уже окончательной. Владельцы современных мониторов могут просто подстроить размеры и центровку из меню :-) Примечание: все данное "шаманство" подробно объяснено в /usr/X11R6/lib/X11/doc/VideoModes.doc или на русском в knot.pu.ru/faq/xfaq.html. Примечание 2 от Alex Kanavin: в XFree86 4.x произошли некоторые изменения. Во-первых, в X cервере теперь определен набор стандартных VESA режимов, из которых подбирается оптимальный, исходя из параметров конфигурационного файла HorizSync и VertRefresh. То есть очень возможно, что вы получите наилучший результат, вовсе не прописывая ModeLine в конфиге, но только если интересующая вас частота развертки - одна из 60, 70, 75, 85 Hz. Имена у этих режимов традиционные - "640x480" и т.д., вплоть до "1920x1444" :-) Во-вторых, в будущем X сервер сможет получать информацию о возможностях монитора непосредственно от него самого через VESA DDC. Для некоторых чипсетов она печатается при загрузке сервера, но пока не используется. Неясно также, как можно будет выбирать из режимов с одинаковым разрешением, не полагаясь на интеллект сервера.


18-10-2003, 00:00.

При работающем X сервере уже не переключиться, но можно запустить рядышком еще один - если это XFree, а не какой-нибудь коммерческий сервер (через startx -- :1 -bpp 8 или добавив аналогичную строку в /etc/X11/xdm/Xserver, если используется xdm). В XFree 4 глубину цвета можно переключать на лету через DGA2, но подробности пока неизвестны.

Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.