В конце уходящего, неспеша перевожу свои email на востребованные secure/privacy сервисы.
Проверяя, испытывая и выбирая лучшее на сегодня. Бесплатные - не интересны изначально.

Познакомился, сперва с технической проблемой - у сервиса Lavabit.
Новый [account]@lavabit.com - на стороне сервера вводится/настраивается/прописывается _вручную_, что уже сделало подумать.

Затем. Необходимо использовать предоставленные 5GB по прямому назначению:
получать и отправлять быстрые электропочтовые послания.
С адреса одного из своих домейнов.

Этот сервис, оказывается Lavabit предоставляет по просьбе в Contact form. Забегая вперёд - он его не предоставляет совсем, предоставляет фальшивую информацию.

На запрос - "MX + TXT SPF/DKIM records for given domain",
получил ответ ... с tlsa, MX и DKIM

SF

host -t tlsa _25._tcp.lavabit.com_25._tcp.lavabit.com has TLSA record 3 0 1 F84154B92F0C6A50D895C58A72D84683E6CF5A142494EB861B1BAEA6 E62936DA

host -t tlsa _465._tcp.lavabit.com_465._tcp.lavabit.com has TLSA record 3 0 1 F84154B92F0C6A50D895C58A72D84683E6CF5A142494EB861B1BAEA6 E62936DA

host -t tlsa _587._tcp.lavabit.com_587._tcp.lavabit.com has TLSA record 3 0 1 F84154B92F0C6A50D895C58A72D84683E6CF5A142494EB861B1BAEA6 E62936DA

DKIM

host -t txt bazinga._domainkey.lavabit.com bazinga._domainkey.lavabit.com descriptive text "v=DKIM1\; k=rsa\; "
...
MX

mx.lavabit.com

tlsa. Что с этим делать? Это же генерируется лишь для сервера - Лажабит.
MX - записал в TXT хостера домейна custom_domain.

Теперь, при отправлении мейл по адресу post@custom_domain, ошибка:
Undelivered Mail Returned to Sender
This is the mail system at host x.y.z.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

<xyz@custom_domain>: host mx.lavabit.com[64.182.234.110] said: 551 RELAY ACCESS
DENIED - THE DOMAIN _custom_domain_ IS NOT HOSTED LOCALLY AND RELAY ACCESS
REQUIRES AUTHENTICATION (in reply to RCPT TO command)

Так понял - custom_domain у Лажабит не авторизован использовать 5GB на сервере по ошибке/лени сисадмина, что делает всё вручную?

https://ru-root.livejournal.com/2904269.html

есть назамысловатый конфиг ipsec для racoon (фактически все дефолтовое)
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log info;

padding {
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}

listen
{
isakmp 1.2.3.4 [500];}

timer {
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
# natt_keepalive 10sec;
}
remote anonymous {
exchange_mode main,aggressive;
lifetime time 24 hour;
passive on;
generate_policy on;
proposal_check obey; #obey, strict or claim
# nat_traversal on;
ike_frag on;
dpd_delay 10;
dpd_retry 5;
dpd_maxfail 5;
proposal {
encryption_algorithm aes 256;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous {

pfs_group modp1024;
lifetime time 86400 sec;
encryption_algorithm aes 256;
authentication_algorithm hmac_sha1, hmac_md5;
lifetime time 1 hour ;
compression_algorithm deflate;
}


все работает без проблем с полпинка

встала необходимость переехать на strongswan. Ну казалось бы, конфиг то же без затей

config setup
charondebug="asn 1, enc 1, job 1"

conn tun2dc
type=tunnel
keyingtries=5
auto=start
keyexchange=ikev1
authby=psk
ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
left=1.2.3.4
leftid=1.2.3.4
# leftsourceip=%config
leftsourceip=1.2.3.4
leftsubnet=192.168.101.0/24
leftfirewall=yes
right=5.6.7.8
rightid=5.6.7.8
rightsourceip=5.6.7.8
rightsubnet=172.23.16.0/24

оно взлетает, но как-то видимо не до конца. Тк пакеты не ходят

root@fbsdap:/usr/local/etc # ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.0, FreeBSD 11.1-RELEASE-p6, amd64):
uptime: 93 seconds, since Dec 18 20:33:37 2017
worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 2
loaded plugins: charon aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkc
tun2dc pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf curve25519 xcbc cmac hmac attr kernel-libipsec kernel-pfroute
resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic white
list addrblock
Virtual IP pools (size/online/offline):
5.6.7.8: 1/0/0
Listening IP addresses:
1.2.3.4
Connections:
tun2dc: 1.2.3.4...5.6.7.8 IKEv1
tun2dc: local: [1.2.3.4] uses pre-shared key authentication
tun2dc: remote: [5.6.7.8] uses pre-shared key authentication
tun2dc: child: 192.168.101.0/24 === 172.23.16.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
tun2dc[1]: ESTABLISHED 92 seconds ago, 1.2.3.4[1.2.3.4]...5.6.7.8[5.6.7.8]
tun2dc[1]: IKEv1 SPIs: ae1c03d008276614_i* 6d418d743a6d8de7_r, pre-shared key reauthentication in 2 hours
tun2dc[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
tun2dc[1]: Tasks queued: QUICK_MODE

я не вижу
INSTALLED, TUNNEL

а в лог валится
inbound ESP packet does not belong to an installed SA

fbsd11
интерфейс ng0 (mpd5 pppoe)

а что забыл понять не могу

https://ru-root.livejournal.com/2903848.html

Всем доброго времени суток дорогие коллеги. Нужен совет вот по какой теме.
Есть комп на одной плате mini-ITX в внешним блоком питания и ssd. Охлаждение полностью пассивное, как работает не слышно.
Хочу запихнуть железо в маленький пластиковый корпус и привернуть на заднюю сторону монитора. Комп будет использован исключительно
для вывода данных с сайта. Есть множество вариантов по выбору ПО для него, а именно: ubuntu 14.04, Windows XP, Windows 7 32bit starter...и.т.д.

Внимание вопрос: Есть ли образ загрузочной флешки, с минимальным весом и набором софта, в котором нет ничего кроме автоматически стартующего браузера?

Alkid и ему подобные дистрибы с кучей софта или knoppix не рассматриваю.

Очень буду признателен услышать ваши светлые идей. Заранее благодарю за ответы.

https://ru-root.livejournal.com/2903687.html

Всем привет, сорри за нубский вопрос.

Мы используем почту для домена от Google Apps
Хотим подключить сервис рассылок.
Они требуют добавить в DNS записи spf и DKIM, указывающие на их домен.
В частности, v=spf1 include:spf.mailjet.com ?all

Однако мы по-прежнему активно пользуемся gmail для переписки.
Могут ли возникнуть какие-либо проблемы с отправкой/получением почты через Гугл из-за этих записей?

https://ru-root.livejournal.com/2903460.html

Здравствуйте, товарищи.

Скоростя растут, приходит время обновлять ядра сети, в связи с чем ищутся дешевые варианты. Из того, что нашлось, самое дешевое оказывается бэушный Cisco Nexus N5K-C5010P-BF за 60 тыщ рублей. Есть варианты дешевле/лучше?

p.s.: Следующим пунктом пойдет поиск дешевых пограничных BGP маршрутизаторов хотя бы с одним портом 10G, там ценник начинается с 200тр за ASR1002-5G + карта 10G за 100тр. Но это через пару-тройку лет.

https://ru-root.livejournal.com/2903171.html

Системный администратор Linux https://spb.hh.ru/vacancy/23456979

https://ru-root.livejournal.com/2903028.html

debian 9

создаю виртуальную машину, образ типа qcow2, 20 гиг.
образы лежат на отдельном lvm разделе.

при старте виртуалка уходит в проверку корневого раздела и висит на нем, ну это ладно разберусь.

Вот меня другое удивило, список файлов:

root@rsv1:/var/vms# ls -la
total 10722324
drwxr-xr-x 3 root root 4096 Nov 27 19:44 .
drwxr-xr-x 14 root root 4096 Nov 9 21:22 ..
-rw------- 1 root root 21478375424 Nov 27 23:31 vm01.qcow2
-rw------- 1 libvirt-qemu libvirt-qemu 21478375424 Nov 28 14:19 vm02.qcow2
drwx------ 2 root root 16384 Nov 9 21:23 lost+found

а вот вывод команды df по этому разделу:

root@rsv1:/var/vms# df -h /dev/mapper/vgh01-lvh0103
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vgh01-lvh0103 99G 11G 84G 12% /var/vms

как так-то, два файла по 20 гиг лежат, а итого по разделу занято только 11 гиг?
И с владельцем странно получилось, создавались машины почти одновременно, почему разные владельцы не ясно.

В Debian 8 и 7 что-то такого не помню.
И у меня такое ощущение, что виртуалка виснет из-за этого.

https://ru-root.livejournal.com/2902669.html

как вам задача из егэ? я неправильно на бумажке посчитал)

В тер­ми­но­ло­гии сетей TCP/IP мас­кой сети на­зы­ва­ет­ся дво­ич­ное число, определяющее, какая часть IP-адреса узла сети от­но­сит­ся к ад­ре­су сети, а какая – к ад­ре­су са­мо­го узла в этой сети. Обыч­но маска за­пи­сы­ва­ет­ся по тем же правилам, что и IP-адрес. Адрес сети по­лу­ча­ет­ся в ре­зуль­та­те при­ме­не­ния по­раз­ряд­ной конъ­юнк­ции к за­дан­ным IP-адресу узла и маске. По за­дан­ным IP-адресу узла и маске опре­де­ли­те адрес сети.

IP-адрес узла: 135.21.171.214

Маска: 255.255.248.0

https://inf-ege.sdamgia.ru/problem?id=10288

там еще есть про "зву­ко­за­пись с ча­сто­той дис­кре­ти­за­ции 48 кГц" и про "седьмой (контрольный) разряд"

https://ru-root.livejournal.com/2902401.html

господа, а есть ли у кого данная тулза? Досталась данная железка, но пароля нема. С сайта скачать не удается, тк судя по всему она уже привязана к какому-то аккаунту. help pls!

https://ru-root.livejournal.com/2902184.html

Коллеги, с НГ буду искать новое место работы.
Администратор Windows. Стаж более 20 лет, Петербург.

Опыт запуска "с нуля" компаний есть.
Знаэ винды от NT 3.51 до последних версий
Exchange от 5.5 до 2010 (работал)
админил SQL
Работал и настраивал DocsVision
Работа одиноким админом была.

Тут постить резюме не хочу, если что-то интересует, кину куда надо.

https://ru-root.livejournal.com/2901832.html

Originally posted by dil at Загадочные грабельки в MySQL

https://ru-root.livejournal.com/2901680.html

Они почему-то занесли мой сервер в свой чёрный список, и теперь не принимают оттуда почту на hotmail.com . А туда надо отправлять, поэтому требуется с ними как-то связаться.

550 5.7.1 Unfortunately, messages from [178.63......] weren't sent. Please contact your Internet service provider since part of their network is on our block list (AS3140). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [HE1EUR01FT003.eop-EUR01.prod.protection.outlook.com]

На http://mail.live.com/mail/troubleshooting.aspx#errors никаких контактных данных найти не удалось.
HE1EUR01FT003.eop-EUR01.prod.protection.outlook.com вообще не существует.
Гуглить пробовал, тоже ничего не нашёл.

Upd: попробовал послать им запрос по ссылке, рекомендованной тут в комментариях: https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3

От них пришло письмо с адреса WINLV.EDFS.WW.00.EN.MSF.RMD.TS.T01.SPT.00.EM @ css.one.microsoft.com с указанием, что, типа, не должно быть таких ошибок с моего IP. Но они же есть, если б правда не было, я бы им не писал..

178.63.....

Note: Errors are unlikely, however, if an error is indicated, please resubmit the specific IP or IP range.

Thank you,

Outlook.com Deliverability Support

Please do not reply to this message as it is from an unattended mailbox. Any replies to this email will not be responded to or forwarded. This service is used for outgoing emails only and cannot respond to inquiries.


А потом пришло ещё одно письмо с ЭТОГО ЖЕ адреса:

Our investigation has determined that the above IP(s) qualify for conditional mitigation. These IP(s) have been unblocked, but may be subject to low daily email limits until they have established a good reputation.

Please note that mitigating this issue does not guarantee that your email will be delivered to a user’s inbox.

Ongoing complaints from users will result in removal of the mitigation.

Mitigation may take 24 - 48 hours to replicate completely throughout our system.

If you feel your issue is not yet resolved, please reply to this email and one of our support team members will contact you for further investigation.

Проверил оба письма, Reply-to: в заголовках обоих писем нету, так что оба замечания об ответах явно относятся к одному и тому же адресу из From:. Кто после такого рискнёт сказать, что они не пидарасы?

https://ru-root.livejournal.com/2901460.html

А нет ли в линуксах такого странного режима, который бы рвал все tcp-сессии с ip, если у него поменялся адрес в neighbors? (ARP или его аналог в ipv6)? Мне бы очень хотелось, чтобы при перетаскивании IP с одного сервера на другой, все клиенты, у которых открыта молчаливая tcp-сессия, после первого же grace arp, радостно все коннекты оборвали без ожидания таймаутов.

https://ru-root.livejournal.com/2901192.html

Всем пятницы.

Может подскажет кто ответ, а то в гугле закопался.
Задача отдаёт сферическим конём, но всё же. Допустим есть линуксовый серверок и наборчик виндовых машин (одноранговых). Хочется залить на винду некий агент с линуксового сервера.

Есть ли какое-нибудь фришное решение с вебмордочкой, где можно было бы указать учётки и адреса машин, а дальше оно само бы закатало?

Энтерпрайзного за деньги много попадалось, а вот в таком простом варианте хоть сам на коленке ваяй

https://ru-root.livejournal.com/2900842.html

Есть: зоопарк ЭЦП/аккредитаций/сертификатов со сроками действия, рассыпанных по компьютерам неспециалистов.
Задача: отслеживать истечение сроков и вовремя совершать стимулирующие воздействия по продлению.
Есть какой-либо софт для облегчения этой задачи (при том, что токены и компы связаны M:N)?

https://ru-root.livejournal.com/2900726.html

Камрады, а есть специалисты по rainerscript?

Создал файлик /etc/rsyslog.d/remote_hosts.conf, со следующим содержимым:

$AllowedSender UDP, 127.0.0.1,10.1.0.0/22,10.1.100.0/24

# File name templates
template(name="Common" type="string" string="/var/log/remote/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%_%PROGRAMNAME%.log")

# Applying log format depending from source type
if $fromhost-ip != '127.0.0.1' and $fromhost-ip != '10.1.2.5' and $programname != '------' then
{
    action(type="omfile" dynaFile="Common")
    stop
}
else
{
   stop
}

Предполагается, что он будет раскладывать логи по каталогам с именем хоста и дальше файлы будут именоваться в духе YYYY-MM-DD_programname.log

Но оно так не работает. Как только я в условие добавляю "and $programname != '------'", всё ломается. Цель этого условия -- выпилить странные логи (источник -- ESXi), у которых TAG = "------" и хостнейм почему-то в виде IP-шника, а не FQDN. Выглядит содержимое логов так:

Oct 25 13:35:23 10.1.100.32 ------ Early init logs Z msk01-esxi03 hostd-probe: art --------
Oct 25 13:35:23 10.1.100.32 ------ Early init logs Z msk01-esxi03 hostd-probe: d   --------
Oct 25 13:40:23 10.1.100.32 ------ Early init logs Z msk01-esxi03 hostd-probe: art --------
Oct 25 13:40:23 10.1.100.32 ------ Early init logs Z msk01-esxi03 hostd-probe: d   --------

Ломается следующим образом: вместо создания пачки логов вида 2017-10-24_crond.log, 2017-10-24_Vpxa.log и т. п., создаётся только один лог-файл с именем "2017-10-24_.log". Т.е. имя программы выпиливается. Такое впечатление, что любое обращение к переменной $programname, даже для сравнения, сбрасывает её значение, и в шаблон оно уже не попадает.

Возникает закономерный вопрос -- кто виноват и что делать?

UPD: поправка -- формат логов ломается только для одного хоста -- для vCenter. Логи с ESXi продолжают падать в нормальном виде, с разбиением по сервисам.

UPD2: Закостылил решение следующим образом:

if $fromhost-ip != 'vCenter-IP' and $programname != '------'
{
  stop
}

Т. е. если пакет с IP vCenter, то для него $programname просто не проверяем. Тогда он сохраняется, и всё работает.

https://ru-root.livejournal.com/2900328.html

Доброго вечернего вторника всем.

А подскажите, пользует ли кто Bareos (форк Bacula)?
Вроде все прикрутил, даже работает, клиенты в основном виндовые, штук 15. Директор с сторадж на Debian 8.
Все бы ничего, но Storage демон собака иногда уходит в свой мир и в результате очередь из заданий валит мне всю малину. Пока его не перезагрузишь ничего не происходит.
Отловить причину пока не могу, сам он никакой диагностики не дает, или я пока не понял как ее получить. В журнал директора сыпятся сообщения о неправильно авторизации и отсылка к документации где и как прописывать ключи авторизации. Может в этом проблема и была бы, если бы перезагрузка не лечила. А разе лечит, значит проблема не в ключах.

Ну в общем не торопясь ищу решение.

https://ru-root.livejournal.com/2899973.html

В хорошую и дружную команду - неспешно ищется виндовый сисадмин (опыт работы с никсами приветствуется но не обязателен).

Расположение - станция метро "Бутырская" - 10 минут пешком. Есть парковка. Оклад обсуждается (не обидим :-) ). Особое предпочтение - отдается "прекрасной половине человечества": девушка-сисадмин что бы разбавить наш дружный коллектив и привнести нотку джентльменства :-)

По требованиям:

1) Линейка MS WS2K8R2 и выше. Уровень знаний - администрирование домена, развертывание Hyper-V, в том числе в конфигурации отказоустойчивого кластера. Развертывание, настройка и администрирование WSUS, терминальный сервер, в том числе с применением RDCB ну и так далее. Короче - "малый типовой набор".

2) Symantec Backup 12 и выше. Планирование резервного копирования, отслеживание бэкапов, создание новых заданий, поиск причин сбоев в копировании, если происходят. Оперативное восстановление данных и так далее.

3) MS Exchange 2010 - управление самим почтарем, управление пользователями, ящиками и прочим обвесом.

4) Mdaemon - все тоже самое.

5) Сети - на уровне понимания маршрутизации между VPN-сетями и ручной правки таблицы на WIN-серверах.

6) MS SQL и/или FireBird на уровне администратора - не обязательно, но прямо очень желательно. Особенно Firebird.

7) Умение писать скрипты CMD, PS. Умение читать и редактировать чужие. Знание VBS - так же преимущество.

8) Умение читать логи, внимательность, собранность, ответственность.

9) Готовность учиться чему-то новому.

10) Ну и последнее, но не по значению: открытость, коммуникабельность, хорошее чувство юмора и желание вписаться в дружный, веселый и крепко сыгранный коллектив.

Вопросы можно писать в камменты. Емейл для резюме - отправляю на личку, по запросу.

Резюме, прошу присылать подробное (в формате HH подойдет), в виде PDF, крайне желательно с фотографией.

В резюме - обязательно указать желаемый уровень заработной платы, на руки, после испытательного срока. Разница с испытательным, как правило, в районе 5 - 10 тысяч (в зависимости от желаемого вами оклада).

https://ru-root.livejournal.com/2899741.html

В интернетах пишут, что закон о запрете VPNов, которые позволяют залезать на запрещённые сайты, уже принят а июне, хотя вроде как действовать будет только с 1 ноября.

Так как оно нынче на самом деле? Провайдеры за этим уже следят, или ещё нет? И которые VPNы они должны блокировать - IPsec, PPTP, L2TP, или ещё что?

Запрещённые сайты меня не интересуют, мне просто для работы надо будет использовать VPN, но поскольку снаружи не видно, куда я через него хожу, то могут не пустить?

Ну хотя бы по ssh можно на свои сервера заходить, или как?

https://ru-root.livejournal.com/2899505.html

Приветствую.

А есть линуксойды в чяте? :-)

Хотел поинтересоваться на следующий предмет: методичка по безопасной настройке центоси от CIS рекомендует отрубить модули ядра, отвечающие за различные неиспользуемые файловые системы, путём создания файла /etc/modprobe.d/CIS.conf следующего содержания:

install cramfs /bin/true
install freevxfs /bin/true
install jffs2 /bin/true
install hfs /bin/true
install hfsplus /bin/true
install squashfs /bin/true
install udf /bin/true

Возникает закономерный вопрос -- почему именно так, если есть module blacklisting?

Причём CIS benchmark не каких-то мохнатых годов, а самый свежий, 31-01-2017.

https://ru-root.livejournal.com/2899378.html