Contact_changer_v1.3

(Конкретно се възмущавам от HTC Diamond)

Пишем едноредово скриптче, което ще проверява колко конекции са заети (ip_conntrack_count):
#!/bin/bash
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count

Записваме скрипта в /root/ctrack.sh
Правим го изпълним:
chmod +x /root/ctrack.sh

Някъде към края на snmpd.conf се добавя:
exec conntrac_count /root/ctrack.sh

Правим проверка:
# snmpwalk -v2c -c public localhost .1.3.6.1.4.1.2021.8
UCD-SNMP-MIB::extIndex.1 = INTEGER: 1
UCD-SNMP-MIB::extNames.1 = STRING: conntrac_count
UCD-SNMP-MIB::extCommand.1 = STRING: /root/ctrack.sh
UCD-SNMP-MIB::extResult.1 = INTEGER: 0
UCD-SNMP-MIB::extOutput.1 = STRING: 44234
UCD-SNMP-MIB::extErrFix.1 = INTEGER: 0
UCD-SNMP-MIB::extErrFixCmd.1 = STRING:

Изхода от скриптчето вече се вижда в UCD-SNMP-MIB::extOutput.1.

Сигурно стопляте колко мощен е този инструмент. Може да се добави и роботче за проверка на температурата на хард дисковете с нещо от сорта на:
/usr/sbin/smartctl -A /dev/hdа | grep -i temperaturе | awk '{print $10}'

Въпрос на фантастика
Честито на успелите!

Изваждане на списъка с “провинилите” се адреси:

# cat /var/log/secure | grep "]: Failed " | awk -F "from " '{print $2}' | awk '{print $1}' | sort | uniq -d -c | awk '{if ($1 > 5) print $2}' > /ssh-banned.txt
(всичко е на един ред)

Всички адреси, които са правили повече от 5 неуспешни опита да влязат през SSH ще се запишат в /ssh-banned.txt.

Следва да се блокира достъпа на тези адреси.
Добавя се това в началото на firewall скрипта, който ползвате:

#!/bin/bash
SSHBAN=/ssh-banned.txt
if [ -f $SSHBAN ]; then
for BAN_IP in `cat $SSHBAN`
do
iptables -A INPUT -s $BAN_IP -j DROP
done
fi

Скрипта парсва файла с адресите и добавя блокиращо iptables правило за всеки адрес от него.

За автоматизиране се добавя в cron:

*/10 * * * * cat /var/log/secure | grep "]: Failed " | awk -F "from " '{print $2}' | awk '{print $1}' | sort | uniq -d -c | awk '{if ($1 > 5) print $2}' > /ssh-banned.txt && /etc/rc.d/rc.fw

Приемам че firewall-ът е в /etc/rc.d/rc.fw, необходимо е дой да се стартира винаги след като списъка с баннатите адреси се опредни. Променете го с пътя до вашия.

(Примерът е за Red Hat базирани дистрибуции)

Конфигурира се PuTTY да направи тунел до отстрешната страна:

По желание може да се ползва и компресиране на трафика:

Закачайки се за отсрещния хост с SSH вече имате изграден тунел през локален TCP порт 45678. Не е задължително да ползвате root за да се логнете, всъщност най-добре да е ограничен акаунт с лимитиран шел – вместо bash, променете го на lynx да кажем.

Конфигурация на браузъра да ползва тунела:

Почти всяко мрежово програмче включително skype може да ползва SOCKS проксиране – настройва се елементарно, както виждате

Можете да споделите въпросите си в коментарите.

Създаваме СА (Certificate Authority):

# openssl genrsa -aes256 -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............+++
...................................................................+++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

Добре е да сложим парола на личният ключ – ако някой го докопа ще може да си вади колкото си иска сертификати с него.

# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kamenitza.ORG
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:Kamenitza.ORG
Email Address []:

Common Name: – името на организацията, която ще притежава сертификата, не е нужно да е интернет адрес.

Следва да се създаде потебителският сертификат:

# openssl genrsa -out todor.key 2048
Generating RSA private key, 2048 bit long modulus
.....................+++
..................................................................................+++
e is 65537 (0x10001)
# openssl req -new -key todor.key -out todor.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kandev
Organizational Unit Name (eg, section) []:Kandev
Common Name (eg, your name or your server's hostname) []:Todor Kandev
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# openssl x509 -req -in todor.csr -out todor.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650
Signature ok
subject=/C=BG/ST=Plovdiv/L=Plovdiv/O=Kandev/OU=Kandev/CN=Todor Kandev
Getting CA Private Key
Enter pass phrase for ca.key:
# openssl pkcs12 -export -in todor.crt -inkey todor.key -name "Todor Kandev Cert" -out todor.p12
Enter Export Password:
Verifying - Enter Export Password:

Паролата сложена тук се ползва при инсталацията на сертификата. Без нея не може да бъде импортнат в браузъра.

todor.p12 – е потребителският сертификат, който трябва да се импортне в браузъра на клиента.

За да ограничим достъпа до дадена директория от сайт слагаме това в .htaccess файла:

SSLVerifyClient require
SSLVerifyDepth 1

Или в <directory> на конфигурационния файл на Apache.

Но най-важното е да кажем на Apache, кои са “доверените” сертификати и как да ги познава. За това трябва да се постави този ред в конфигурационният файл на Apache:

SSLCACertificateFile /ssl/ca/ca.crt

(естествено заменете пътя с вашия)

След рестартиране на Апача всичко би трябвало да работи.

(В статията приемам, че сайтът е вече конфигуриран успешно да работи с SSL сертификат през HTTPS)

REGISTER STRING 35932ххххх:сип паролата(secret)@sip.cooolbox.bg/35932хххххх

PEER DETAILS

[out]
host=sip.cooolbox.bg
username=35932xxxxxx
secret=xxxxxxxxx
type=peer
canreinvite=no
fromdomain=sip.cooolbox.bg
dtmfmode=inband
dtmfmode=rfc2833
fromuser=35932xxxxxx
nat=yes
insecure=port,invite
dtmf=rfc2833
context=from-pstn

ако не сте объркали нещо имате работеща изходяща линия

openssl pkcs12 -export -in my.crt -inkey my.key -certfile my.bundle -out my.pfx

Списъкът ще бъде експортнат в CSV файла.

Проблемът се решава с инсталирането на по-стара версия на Mail for Exchange…

Прикачвам няколко работещи версии тук:
MailForExchange(2.9.158)_S60_3_0
MailForExchange(2.9.158)_S60_3_1
MailForExchange(2.9.158)_S60_3_2

Пъро се генерира личният ключ:
# openssl genrsa -out private.key 2048

С този личен ключ се генерира CSR:
# openssl req -new -key private.key -out certreq.csr

Попълват се данните за сертификата, като от най-голямо значение е Common Name, което трябва да съвпада с пълният адрес на сайта (mail.server.com).
Файлът certreq.csr съдържа “искането” за сертификат. След генерирането на подписаният сертификат, той вече не е нужен.

Текущата скорост на синхронизиране можете да видите и така:
# cat /sys/block/md1/md/sync_speed
549

Максималната и минимална разрешени скорости са тук:
# cat /sys/block/md1/md/sync_speed_max
500 (local)

# cat /sys/block/md1/md/sync_speed_min
500 (local)

В този пример ръчно съм настроил максималната и минимална скорост на 500KB/s.
По подразбиране минималната е 1000 а максималната 200000.
За да ги корегираме правим така:
# echo 500 > /sys/block/md1/md/sync_speed_min
# echo 500 > /sys/block/md1/md/sync_speed_max

Промените влизат в сила веднага, но не се запазват след рестарт. Ако желаете те да са валидни и след рестартиране на машината, добавете тези редове в rc.local.

В /etc/modules се добавя следният ред:
nf_conntrack

Това зарежда модула при стартиране на машината.
След това в /etc/sysctl.conf се добавя този ред:
net/nf_conntrack_max=100000

Един рестарт и резултата може да се види в:
sysctl -a