bryn1u

Witam,

Mam przedziwny problem. Zainstalowalem pure-ftp, dziala, listuje katalogi, mozna sie polaczyc etc. ale gdy zaczynam wrzucac pliki, zalozmy cms to po paru wrzuconych plikach ftp sie zawiesza, malo tego probuje sie polaczyc z jailem, wisi. Probuje sie polaczyc z hostem tez wisi, caly server jest freeze jedyne co ratuje to reboot z panelu inaczej sie nie da polaczyc. Mam FreeBSD-10-RELEASE i 2 jaila z dwoma failover na ktorych nic szczegolnego nie ma oprocz zwyklych uslug. Teraz chcialem wrzucic CMS'a i po paru plikach zalatwil mi caly server. Nie wazne co wrzucam (sprawdzalem) efekt jest ten sam. Czy ktos mi moze powiedziec co to k... sie dzieje ? Bo takiego przypadku nigdy nie mialem.

Przeczytaj czlowieku dokladnie co jest napisane. Sam napisales ze VPS jest na x64 a komunikat jest. ze nie masz Linuxa i386 a z tego wynika, ze sciagnales chu... wersje ...

Regułki w ugidfw są przeźroczyste. Wykonywanie regułek nie zatrzymuje się na pierwszej znalezionej. Dlatego pierwsza regułka zasłania drugą. Musisz popracować nad jedną, działającą regułką, bądź inaczej rozwiązać politykęw systemie.

Udalo mi sie zrobic to co zamierzalem. Powiedz mi o ile jest to mozliwe czy jest prostszy (czyt. krotszy) zapis tego co mnie sie udalo zmajstrowac ? Bo dzialac dziala.

subject not uid root gid exec object ! gid wheel:999 filesys /j/Oksymoron type r mode arsw
subject ! gid ventrilo object gid ventrilo filesys /j/Oksymoron type a mode rs
subject gid ventrilo object gid ventrilo filesys /j/Oksymoron type r mode rswx

Witam,

Mam taka regulke Mandatory Access Control - ugidfw dla userow. Jest to odpowiednik TPE linuxowy z grsec.

ugidfw add subject not uid root gid exec object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw

Blokuje to mozliwosc wykonywania plikow binarnych stworzonych przez usera, ktorzy nie sa dodani do grupy exec.

Stworzylem katalog ventrilo w /usr/share/skel i chcialbym ograniczyc jego wykorzystanie. To znaczy, zeby mozna bylo tylko z niego korzystac jezeli user bedzie dodany do grupy ventrilo, wiec stworzylem ta grupe (na hoscie i w jailu gid tu i tu takie samo) i regulke.

pw groupadd -n ventrilo -g 1005

Regulka:

ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws

Regulka ta pozwala (a przynajmniej chcialbym) na wykonywanie r - regular files czyli pliki binarne, zeby moc odpalic ./ventrilo_srv, ktore znajduje sie w katalogu usera i user musi byc wlascicielem tego pliku. Oczywiscie jest tez dodana grupa ventrilo na katalog ventrilo:

test2@Oksymoron.edu.pl:[Ventrilo]:$> ls -lo
total 494
-rw-r--r--  1 test2  ventrilo  uarch  14388 Jul 21 10:06 LICENSE
-rwxr-x---  1 test2  ventrilo  uarch 355260 Jul 21 10:06 ventrilo_srv*
-rw-r--r--  1 test2  ventrilo  uarch  47242 Jul 21 10:07 ventrilo_srv.htm
-rw-r-----  1 test2  ventrilo  uarch    312 Jul 21 10:06 ventrilo_srv.ini
-rwxr-x---  1 test2  ventrilo  uarch  39960 Jul 21 10:06 ventrilo_status*

ugidfw add subject not uid root gid 666 object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw
ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws

test2@Oksymoron.edu.pl:[Ventrilo]:$> ./ventrilo_srv
-su: ./ventrilo_srv: Permission denied

Nie ma w tym nic przerażającego, wystarczy wywołać make z odpowiednimi zmiennymi i to tyle. Jak uda mi się znaleźć backup tej strony z wiki to ją przywrócę i Ci wkleję.

 

EDIT

 

Łap, @bryn1u: http://www.wiki.mydevil.net/User_ports

Oo, widzisz, podziekowac Ci dobry czlowieku. Problem mialem z brakujacymi lib'ami. Zainstalowalem, wiec z portow (normalnie) program, a pozniej sciagnalem jako zwykly user zrodelka, skompilowalem i zaczelo dzialac. Instalacja z portow uzupelnila brakujace liby, dzieku czemu user moze normalnie uzywac skompilowanego przez siebie tego programu.

@Samu

Szczerze to mnie bardziej przeraziles niz pomogles Podziekowac.

eee zle napisalem, dupa to tylko haslo, tak powinno byc

grant usage on *.* to froxlor@192.168.0.2 identified by 'dupa';

grant all privileges on froxlor.* to froxlor@192.168.0.2 ;

@samu

Moze od poczatku bo zwariowac idzie:

2)root

grant usage on *.* to root@192.168.0.2 identified by 'dupa';

grant all privileges on root.* to root@192.168.0.2 ;

2)froxlor

create database froxlor

grant usage on *.* to froxlor@192.168.0.2 identified by 'dupa';

grant all privileges on dupa.* to dupa@192.168.0.2 ;

Cos tu jest nie tak ? Chce uzyskac dostep z jaila 192.168.0.1 (www/ssh) do jaila mysql (192.168.0.2).

Ale co z tego, że działa z roota skoro jasno masz podane, że logujesz się via froxlor?

 

User froxlor ma mieć dostęp z hostname ip228.ip-91-121-239.eu

Toz to ja wiem i jest dostep a blad nadal wypluwa.

Ehh, na panelu sa dobre chmody. Cos jest z baza nie tak. Wpisalem juz chyba wszystkie mozliwosci, ale:

	
		
			
				Testing if database and user have been created correctly...
			
				SQLSTATE[HY000] [1045] Access denied for user 'froxlor'@'ip228.ip-91-121-239.eu' (using password: YES)
		
		
			
				 
				 
			
		
	

Jak mam dopisac do bazy o nazwie froxlor mozliwosc logowania sie i korzystania z bazy z innego ip. Laczac sie z innego jaila np:

mysql -h 192.168.0.1 -u roo -p dziala bez problemu a z ta przekleta baza "froxlor" po prostu rzygac mi sie juz chce. Pomoze ktos

Witam,

Zainstalowalem przejrzysty i bardzo latwy w obsludze panel, ktorym jest Froxlor , dla bezpiecznestwa rozdzielilem na 2 jaile (freebsd), osobno mysql-server i osobno konta dla www/ssh. Ogolnie dla panelu potrzebne sa dwie bazy root i froxlor - w bazie froxlor sa przechowywani uzytkownicy a baza root w celu administracji z panela. Z konta www/ssh rozwiazalem problem laczenie sia z baza mysql root. Panel zainstalowalem tez bez problemu, dodalem nowego uzytkownika i w celu sprawdzenia poprawnosci, probowalem stworzyc baze mysql, dostalem odrazu newsa, ze uzytkownik root nie ma dostepu do bazy froxlor. Zastanawiam sie w czym jest problem skoro te dwie bazy leza "kolo" siebie w jednym jailu. Napisalem tutaj tez LXC bo nie chodzi tu o virtualizacje a raczej o problem z mysql.

Pozdrawiam,

Czyli na polskim forum polskiej pomocy nie dostanę? A poza tym, mnie chodzi tylko o tą jedną rzecz.

Jaka ?

Udalo sie:

Szukalem na forach, natrafilem na ten sam blad na forum Unrealircd, ale nie ma rozwiazania. Po prostu (w moim przypadku) config z portow jest troche z dupy.

Porownalem configi z configiem z porotw i ze zrodel, znalazlem linie listen i dopisalem brakujaca czesc:

Starting unrealircd.
 _   _                      _ ___________  _____     _
| | | |                    | |_   _| ___ \/  __ \   | |
| | | |_ __  _ __ ___  __ _| | | | | |_/ /| /  \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | |    / | |    / _` |
| |_| | | | | | |  __/ (_| | |_| |_| |\ \ | \__/\ (_| |
 \___/|_| |_|_|  \___|\__,_|_|\___/\_| \_| \____/\__,_|
                           v3.2.10.3
                     using TRE 0.8.0 (BSD)
 
* Loading IRCd configuration ..
* Configuration loaded without any problems ..
* Dynamic configuration initialized .. booting IRCd.
---------------------------------------------------------------------
 

listen          IPSERVERA:6660-6669 { options { clientsonly; }; };
listen          *:6667
{
        options
        {
                clientsonly;
        };
};

Jezeli to chodzi o ten wpis to nie wiem co mam zrobic. Probowalem roznych wariantow.

listen          *:6667
{
        options
                        clientsonly;
        };
};

Znalazles

root@irc:/usr/local/lib/Unreal # ls
cloak.so        m_cap.so        m_eos.so        m_kill.so       m_mode.so       m_pass.so       m_sasl.so       m_sqline.so     m_svsnick.so    m_time.so       m_user.so
commands.so     m_chatops.so    m_globops.so    m_knock.so      m_motd.so       m_pingpong.so   m_sdesc.so      m_squit.so      m_svsnline.so   m_tkl.so        m_userhost.so
m_addline.so    m_chghost.so    m_guest.so      m_lag.so        m_nachat.so     m_protoctl.so   m_sendsno.so    m_starttls.so   m_svsnolag.so   m_topic.so      m_userip.so
m_addmotd.so    m_chgident.so   m_help.so       m_links.so      m_names.so      m_quit.so       m_sendumode.so  m_stats.so      m_svsnoop.so    m_trace.so      m_vhost.so
m_addomotd.so   m_chgname.so    m_htm.so        m_list.so       m_netinfo.so    m_rakill.so     m_server.so     m_svsfline.so   m_svso.so       m_tsctl.so      m_wallops.so
m_admin.so      m_close.so      m_invite.so     m_locops.so     m_nick.so       m_rping.so      m_sethost.so    m_svsjoin.so    m_svspart.so    m_umode2.so     m_watch.so
m_adminchat.so  m_connect.so    m_ison.so       m_lusers.so     m_nopost.so     m_rules.so      m_setident.so   m_svskill.so    m_svssilence.so m_undccdeny.so  m_who.so
m_akill.so      m_cycle.so      m_issecure.so   m_map.so        m_oper.so       m_sajoin.so     m_setname.so    m_svslusers.so  m_svssno.so     m_unkline.so    m_whois.so
m_away.so       m_dccallow.so   m_join.so       m_message.so    m_opermotd.so   m_samode.so     m_silence.so    m_svsmode.so    m_svswatch.so   m_unsqline.so   m_whowas.so
m_botmotd.so    m_dccdeny.so    m_kick.so       m_mkpasswd.so   m_part.so       m_sapart.so     m_sjoin.so      m_svsmotd.so    m_swhois.so     m_unzline.so

root@irc:/usr/local/lib/Unreal # pwd
/usr/local/lib/Unreal

Jedna z przyczyn wyeliminowana pozostalo jeszcze 8.

root@irc:/usr/local/etc/Unreal # service unrealircd onestart
Starting unrealircd.
 _   _                      _ ___________  _____     _
| | | |                    | |_   _| ___ \/  __ \   | |
| | | |_ __  _ __ ___  __ _| | | | | |_/ /| /  \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | |    / | |    / _` |
| |_| | | | | | |  __/ (_| | |_| |_| |\ \ | \__/\ (_| |
 \___/|_| |_|_|  \___|\__,_|_|\___/\_| \_| \____/\__,_|
                           v3.2.10.3
                     using TRE 0.8.0 (BSD)
                     using OpenSSL 1.0.1h-freebsd 5 Jun 2014
                     using zlib 1.2.8
                     using libcurl/7.37.0 OpenSSL/1.0.1h zlib/1.2.8
 
* Loading IRCd configuration ..
* /usr/local/etc/Unreal/unrealircd.conf:1: unknown directive cgiWirc
[error] /usr/local/etc/Unreal/unrealircd.conf:22: illegal me::name, must be fully qualified hostname
[error] /usr/local/etc/Unreal/unrealircd.conf:22: illegal me::name contains invalid character(s) [only a-z, 0-9, _, -, . are allowed]
[error] /usr/local/etc/Unreal/unrealircd.conf:86: missing parameter
[error] /usr/local/etc/Unreal/unrealircd.conf:90: set::hiddenhost-prefix must not contain spaces or be prefixed with ':'
[error] /usr/local/etc/Unreal/unrealircd.conf:130: set::spamfilter:virus-help-channel: specified channelname is too long or contains invalid characters (help)
[error] /usr/local/etc/Unreal/unrealircd.conf:142: except tkl::mask specified without a value
[error] /usr/local/etc/Unreal/unrealircd.conf:141: except tkl without mask item
[error] /usr/local/etc/Unreal/unrealircd.conf:152: oper::from::userhost specified without a value
[error] set::default-server is missing
[error] 8 errors encountered
[error] IRCd configuration failed to pass testing
/usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd
root@irc:/usr/local/etc/Unreal #

Biore sie za poprawke. Dzieki wielkie Samuelu

Zostal mi ostatni blad z ktorym nie moge sobie poradzi, a mianowicie:

root@irc:/usr/local/etc/Unreal # service unrealircd onestart
Starting unrealircd.
 _   _                      _ ___________  _____     _
| | | |                    | |_   _| ___ \/  __ \   | |
| | | |_ __  _ __ ___  __ _| | | | | |_/ /| /  \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | |    / | |    / _` |
| |_| | | | | | |  __/ (_| | |_| |_| |\ \ | \__/\ (_| |
 \___/|_| |_|_|  \___|\__,_|_|\___/\_| \_| \____/\__,_|
                           v3.2.10.3
                     using TRE 0.8.0 (BSD)
 
* Loading IRCd configuration ..
[error] listen {} block is missing
[error] 1 errors encountered
[error] IRCd configuration failed to pass testing
/usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd
root@irc:/usr/local/etc/Unreal #

ircd.log jest pusty, nie wiem dlaczego:

[unreal@irc ~/Unreal3.2.10.3]$ ls ircd.log
ircd.log
[unreal@irc ~/Unreal3.2.10.3]$ cat ircd.log
[unreal@irc ~/Unreal3.2.10.3]$

[unreal@irc ~/Unreal3.2.10.3]$ cat /etc/make.conf
 
WITH_SSP_PORTS=YES
SSP_CFLAGS=-fstack-protector-all -fPIE
SSP_CXXFLAGS=-fstack-protector-all
 
WITHOUT_GUI=YES
WITHOUT_X11=YES
WITHOUT_XPM=YES
BATCH=YES

[unreal@irc ~/Unreal3.2.10.3]$ sysctl -a | grep aslr
kern.features.aslr: 1

root@irc:/ # cd /usr/ports/irc/unreal/
root@irc:/usr/ports/irc/unreal # make install clean
===>  Cleaning for curl-7.37.0
===>  Cleaning for ca_root_nss-3.16.1
===>  Cleaning for Unreal-3.2.10.3

root@irc:/usr/local/etc/Unreal # ls
aliases                 badwords.message.conf   cache                   ircd.motd               spamfilter.conf
badwords.channel.conf   badwords.quit.conf      help.conf               ircd.rules              unrealircd.conf
root@irc:/usr/local/etc/Unreal # service unrealircd onestart
Starting unrealircd.
 _   _                      _ ___________  _____     _
| | | |                    | |_   _| ___ \/  __ \   | |
| | | |_ __  _ __ ___  __ _| | | | | |_/ /| /  \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | |    / | |    / _` |
| |_| | | | | | |  __/ (_| | |_| |_| |\ \ | \__/\ (_| |
 \___/|_| |_|_|  \___|\__,_|_|\___/\_| \_| \____/\__,_|
                           v3.2.10.3
                     using TRE 0.8.0 (BSD)
                     using OpenSSL 1.0.1h-freebsd 5 Jun 2014
                     using zlib 1.2.8
                     using libcurl/7.37.0 OpenSSL/1.0.1h zlib/1.2.8
 
* Loading IRCd configuration ..
* /usr/local/etc/Unreal/unrealircd.conf:12: loadmodule src/modules/commands.so: failed to load: Cannot open module file: No such file or directory
[error] IRCd configuration failed to load
/usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd
root@irc:/usr/local/etc/Unreal #

My mamy własne IRCd. UnrealIRCd na FreeBSD, działa bez problemu - użyj gmake zamiast make. Jak to zrobisz, pokaż czy masz błędy i jakie

 

 

 

@samu

Poniekad wasz projekt byl inspiracja

Tutaj blad:

[unreal@irc ~/Unreal3.2.10.3]$ ./unreal start
Starting UnrealIRCd
 _   _                      _ ___________  _____     _
| | | |                    | |_   _| ___ \/  __ \   | |
| | | |_ __  _ __ ___  __ _| | | | | |_/ /| /  \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | |    / | |    / _` |
| |_| | | | | | |  __/ (_| | |_| |_| |\ \ | \__/\ (_| |
 \___/|_| |_|_|  \___|\__,_|_|\___/\_| \_| \____/\__,_|
                           v3.2.10.3
                     using TRE 0.8.0 (BSD)
 
* Loading IRCd configuration ..
* unrealircd.conf:12: loadmodule src/modules/commands.so: failed to load: tmp/22D8E654.commands.so: Undefined symbol "me                                                        "
[error] IRCd configuration failed to load
Possible error encountered (IRCd seemingly not started)
=====================================================
Check above for possible errors, and this output of
ircd.log. If you cannot solve the problem, read
Unreal.nfo on where to get support
=====================================================
[unreal@irc ~/Unreal3.2.10.3]$

Hej,

Poszukuje, jakiegos dzialajacego servera IRCD, ktorego chcialbym zainstalowac pod FreeBSD 10. Napisalem dzialajacego poniewaz probowalem zainstalowac Unrealircd i ze zrodelek i z protow niestety wali blad za bledem po kazdym nastepnym poprawionym. Z tego co wyczytalem na ich forum to wspieraja tylko linuxa. Mial ktos moze jakies doswiadczenia z innymi IRCD, ktore moglby polecic i napisal w 1 zdaniu jakas zalete.

Z gory dziekuje,

Pozdrawiam,

Moze latwiej bedzie jak napiszesz co chcesz uzyskac

Proponuje ci wez sobie 2ap.pl, pieniadze male i jakosc rewelacyjna. Hostuje tam pare stronek jestem naprawde zadowolony a oprocz tego wszystko maja autorskie, wiec widac, ze naprawde sie znaja !

A nie polaczysz --uid-owner z opcjami z Grsecurity typu: GRKERNSEC_SOCKET, GRKERNSEC_SOCKET_ALL, GRKERNSEC_SOCKET_ALL_GID, GRKERNSEC_SOCKET_CLIENT, GRKERNSEC_SOCKET_CLIENT_GID, GRKERNSEC_SOCKET_SERVER, GRKERNSEC_SOCKET_SERVER_GID nigdy sie tym nie bawilem docelowo. Tutaj masz sznurek moze ci sie przyda:

http://en.wikibooks.org/wiki/Grsecurity/Print_version#Socket_restrictions

@samu

Czy jest mozliwe, ze taki efekt jest poprzez zablokowanie jakiegos pliku w /etc/ za pomoca ugidfw a dokladnie type a mode n dla grupy users ? Czy nie powinno miec to wplywu ? PRzypomnialo mi sie, ze kiedys zablokowalem sobie w jailu /etc/hosts i nie moglem odpalic sesji na irca. Cofalem wszystko wstecz az znalazlem przyczyne, ze wlasnie /etc/hosts za to odpowiadal a dokladnie jego zle (zablokowane) chmody. Stad przyszlo mi na mysl czy moze byc podobnie z pure-ftp, choc z tego co wynika to sie laczy ale nie listuje.

Z TrustedBSD mam 4 mac'i:

mac_partition_load="YES"

mac_seeotheruids_load="YES"

mac_bsdextended_load="YES"

mac_portacl_load="YES"

Problem rozwiazany:

Your TCP connections to IRC are coming from another port than you
think, static-port fixes that.

Na koncu regulki nat wystarczy dodac static-port. Mam nadzieje, ze sie komus przyda. Sprawdzalem dziala swietnie !

W Cyfronecie poświęcili klaster o nazwie ...ZEUS (ciekawe czy ksiądz wiedział, co święci). A jeszcze.

ciekawsze, jak zareagowały na to diabły z logotypu BSD i działające na ZEUS-ie demony.

Ktos to widzial ?

I teraz przez wode swiecona transfer razy 10 ! Bog jest wszedzie nawet w klastrze !

Zrodlo: Niebezpiecznik.pl