bryn1u
-
Zawartość
320 -
Rejestracja
-
Ostatnio
-
Wygrane dni
1
Posty napisane przez bryn1u
-
-
Przeczytaj czlowieku dokladnie co jest napisane. Sam napisales ze VPS jest na x64 a komunikat jest. ze nie masz Linuxa i386 a z tego wynika, ze sciagnales chu... wersje ...
-
Regułki w ugidfw są przeźroczyste. Wykonywanie regułek nie zatrzymuje się na pierwszej znalezionej. Dlatego pierwsza regułka zasłania drugą. Musisz popracować nad jedną, działającą regułką, bądź inaczej rozwiązać politykęw systemie.
Udalo mi sie zrobic to co zamierzalem. Powiedz mi o ile jest to mozliwe czy jest prostszy (czyt. krotszy) zapis tego co mnie sie udalo zmajstrowac ? Bo dzialac dziala.
subject not uid root gid exec object ! gid wheel:999 filesys /j/Oksymoron type r mode arsw subject ! gid ventrilo object gid ventrilo filesys /j/Oksymoron type a mode rs subject gid ventrilo object gid ventrilo filesys /j/Oksymoron type r mode rswx
-
Witam,
Mam taka regulke Mandatory Access Control - ugidfw dla userow. Jest to odpowiednik TPE linuxowy z grsec.
ugidfw add subject not uid root gid exec object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw
Blokuje to mozliwosc wykonywania plikow binarnych stworzonych przez usera, ktorzy nie sa dodani do grupy exec.
Stworzylem katalog ventrilo w /usr/share/skel i chcialbym ograniczyc jego wykorzystanie. To znaczy, zeby mozna bylo tylko z niego korzystac jezeli user bedzie dodany do grupy ventrilo, wiec stworzylem ta grupe (na hoscie i w jailu gid tu i tu takie samo) i regulke.
pw groupadd -n ventrilo -g 1005
Regulka:
ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws
Regulka ta pozwala (a przynajmniej chcialbym) na wykonywanie r - regular files czyli pliki binarne, zeby moc odpalic ./ventrilo_srv, ktore znajduje sie w katalogu usera i user musi byc wlascicielem tego pliku. Oczywiscie jest tez dodana grupa ventrilo na katalog ventrilo:
test2@Oksymoron.edu.pl:[Ventrilo]:$> ls -lo total 494 -rw-r--r-- 1 test2 ventrilo uarch 14388 Jul 21 10:06 LICENSE -rwxr-x--- 1 test2 ventrilo uarch 355260 Jul 21 10:06 ventrilo_srv* -rw-r--r-- 1 test2 ventrilo uarch 47242 Jul 21 10:07 ventrilo_srv.htm -rw-r----- 1 test2 ventrilo uarch 312 Jul 21 10:06 ventrilo_srv.ini -rwxr-x--- 1 test2 ventrilo uarch 39960 Jul 21 10:06 ventrilo_status*
Z tego co sie orientuje to jest zasada white'listowania, dlatego wydaje mi sie, ze ten wpis powinien dzialac:ugidfw add subject not uid root gid 666 object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws
Niestety nie dziala, gdyz dalej mamtest2@Oksymoron.edu.pl:[Ventrilo]:$> ./ventrilo_srv -su: ./ventrilo_srv: Permission denied
User jest dodany do grupy ventrilo i nie dziala. Jezeli dodam usera do grupy exec dziala bez problemu. Efektem koncowym chcialbym, zeby byl zakaz wykonywania z mozliwoscia wykonywania tego co jest w Ventrilo a dokladnie ventrilo_srvCo tu jest skopane ? Bede mega wdzieczny,Pozdrawiam, -
Nie ma w tym nic przerażającego, wystarczy wywołać make z odpowiednimi zmiennymi i to tyle. Jak uda mi się znaleźć backup tej strony z wiki to ją przywrócę i Ci wkleję.
EDIT
Łap, @bryn1u: http://www.wiki.mydevil.net/User_ports
Oo, widzisz, podziekowac Ci dobry czlowieku. Problem mialem z brakujacymi lib'ami. Zainstalowalem, wiec z portow (normalnie) program, a pozniej sciagnalem jako zwykly user zrodelka, skompilowalem i zaczelo dzialac. Instalacja z portow uzupelnila brakujace liby, dzieku czemu user moze normalnie uzywac skompilowanego przez siebie tego programu.
-
@Samu
Szczerze to mnie bardziej przeraziles niz pomogles Podziekowac.
-
Hej,
Instalacja z portow jest to instalowanie oprogramowania po calym systemie, w sensie pliki .conf do ...../etc, wykonawcze do bin/sbin itd itd. Jak moge o ile w ogole to jest mozliwe zainstlowac cos z portow w katalogu domowym uzytkownika. Chcialbym, zeby byl to odpowiednik np sciagnietych zrodel czegos.tar.gz, rozpakowaniu i skompilowaniu w katalogu uzytkownika, that's all. Czytam dokumentacje, ale nie powiem bo wcale mnie to nie przekonuje,
Fajnie by bylo dac jakis przyklad,
Dzieki z gory. -
eee zle napisalem, dupa to tylko haslo, tak powinno byc
grant usage on *.* to froxlor@192.168.0.2 identified by 'dupa';
grant all privileges on froxlor.* to froxlor@192.168.0.2 ;
-
@samu
Moze od poczatku bo zwariowac idzie:
2)root
grant usage on *.* to root@192.168.0.2 identified by 'dupa';
grant all privileges on root.* to root@192.168.0.2 ;
2)froxlor
create database froxlor
grant usage on *.* to froxlor@192.168.0.2 identified by 'dupa';
grant all privileges on dupa.* to dupa@192.168.0.2 ;
Cos tu jest nie tak ? Chce uzyskac dostep z jaila 192.168.0.1 (www/ssh) do jaila mysql (192.168.0.2).
-
Ale co z tego, że działa z roota skoro jasno masz podane, że logujesz się via froxlor?
User froxlor ma mieć dostęp z hostname ip228.ip-91-121-239.eu
Toz to ja wiem i jest dostep a blad nadal wypluwa.
-
Ehh, na panelu sa dobre chmody. Cos jest z baza nie tak. Wpisalem juz chyba wszystkie mozliwosci, ale:
Testing if database and user have been created correctly... SQLSTATE[HY000] [1045] Access denied for user 'froxlor'@'ip228.ip-91-121-239.eu' (using password: YES)
Jak mam dopisac do bazy o nazwie froxlor mozliwosc logowania sie i korzystania z bazy z innego ip. Laczac sie z innego jaila np:
mysql -h 192.168.0.1 -u roo -p dziala bez problemu a z ta przekleta baza "froxlor" po prostu rzygac mi sie juz chce. Pomoze ktos
-
Witam,
Zainstalowalem przejrzysty i bardzo latwy w obsludze panel, ktorym jest Froxlor , dla bezpiecznestwa rozdzielilem na 2 jaile (freebsd), osobno mysql-server i osobno konta dla www/ssh. Ogolnie dla panelu potrzebne sa dwie bazy root i froxlor - w bazie froxlor sa przechowywani uzytkownicy a baza root w celu administracji z panela. Z konta www/ssh rozwiazalem problem laczenie sia z baza mysql root. Panel zainstalowalem tez bez problemu, dodalem nowego uzytkownika i w celu sprawdzenia poprawnosci, probowalem stworzyc baze mysql, dostalem odrazu newsa, ze uzytkownik root nie ma dostepu do bazy froxlor. Zastanawiam sie w czym jest problem skoro te dwie bazy leza "kolo" siebie w jednym jailu. Napisalem tutaj tez LXC bo nie chodzi tu o virtualizacje a raczej o problem z mysql.
Pozdrawiam,
-
Czyli na polskim forum polskiej pomocy nie dostanę? A poza tym, mnie chodzi tylko o tą jedną rzecz.
Jaka ?
-
Udalo sie:
Szukalem na forach, natrafilem na ten sam blad na forum Unrealircd, ale nie ma rozwiazania. Po prostu (w moim przypadku) config z portow jest troche z dupy.
Porownalem configi z configiem z porotw i ze zrodel, znalazlem linie listen i dopisalem brakujaca czesc:
Starting unrealircd. _ _ _ ___________ _____ _ | | | | | |_ _| ___ \/ __ \ | | | | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| | | | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` | | |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| | \___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_| v3.2.10.3 using TRE 0.8.0 (BSD) * Loading IRCd configuration .. * Configuration loaded without any problems .. * Dynamic configuration initialized .. booting IRCd. ---------------------------------------------------------------------
Brakujaca czesc:listen IPSERVERA:6660-6669 { options { clientsonly; }; }; listen *:6667 { options { clientsonly; }; };
Dzieki samu za pomoc !
-
Jezeli to chodzi o ten wpis to nie wiem co mam zrobic. Probowalem roznych wariantow.
listen *:6667 { options clientsonly; }; };
-
Znalazles
root@irc:/usr/local/lib/Unreal # ls cloak.so m_cap.so m_eos.so m_kill.so m_mode.so m_pass.so m_sasl.so m_sqline.so m_svsnick.so m_time.so m_user.so commands.so m_chatops.so m_globops.so m_knock.so m_motd.so m_pingpong.so m_sdesc.so m_squit.so m_svsnline.so m_tkl.so m_userhost.so m_addline.so m_chghost.so m_guest.so m_lag.so m_nachat.so m_protoctl.so m_sendsno.so m_starttls.so m_svsnolag.so m_topic.so m_userip.so m_addmotd.so m_chgident.so m_help.so m_links.so m_names.so m_quit.so m_sendumode.so m_stats.so m_svsnoop.so m_trace.so m_vhost.so m_addomotd.so m_chgname.so m_htm.so m_list.so m_netinfo.so m_rakill.so m_server.so m_svsfline.so m_svso.so m_tsctl.so m_wallops.so m_admin.so m_close.so m_invite.so m_locops.so m_nick.so m_rping.so m_sethost.so m_svsjoin.so m_svspart.so m_umode2.so m_watch.so m_adminchat.so m_connect.so m_ison.so m_lusers.so m_nopost.so m_rules.so m_setident.so m_svskill.so m_svssilence.so m_undccdeny.so m_who.so m_akill.so m_cycle.so m_issecure.so m_map.so m_oper.so m_sajoin.so m_setname.so m_svslusers.so m_svssno.so m_unkline.so m_whois.so m_away.so m_dccallow.so m_join.so m_message.so m_opermotd.so m_samode.so m_silence.so m_svsmode.so m_svswatch.so m_unsqline.so m_whowas.so m_botmotd.so m_dccdeny.so m_kick.so m_mkpasswd.so m_part.so m_sapart.so m_sjoin.so m_svsmotd.so m_swhois.so m_unzline.so
root@irc:/usr/local/lib/Unreal # pwd
/usr/local/lib/UnrealJedna z przyczyn wyeliminowana pozostalo jeszcze 8.
root@irc:/usr/local/etc/Unreal # service unrealircd onestart Starting unrealircd. _ _ _ ___________ _____ _ | | | | | |_ _| ___ \/ __ \ | | | | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| | | | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` | | |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| | \___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_| v3.2.10.3 using TRE 0.8.0 (BSD) using OpenSSL 1.0.1h-freebsd 5 Jun 2014 using zlib 1.2.8 using libcurl/7.37.0 OpenSSL/1.0.1h zlib/1.2.8 * Loading IRCd configuration .. * /usr/local/etc/Unreal/unrealircd.conf:1: unknown directive cgiWirc [error] /usr/local/etc/Unreal/unrealircd.conf:22: illegal me::name, must be fully qualified hostname [error] /usr/local/etc/Unreal/unrealircd.conf:22: illegal me::name contains invalid character(s) [only a-z, 0-9, _, -, . are allowed] [error] /usr/local/etc/Unreal/unrealircd.conf:86: missing parameter [error] /usr/local/etc/Unreal/unrealircd.conf:90: set::hiddenhost-prefix must not contain spaces or be prefixed with ':' [error] /usr/local/etc/Unreal/unrealircd.conf:130: set::spamfilter:virus-help-channel: specified channelname is too long or contains invalid characters (help) [error] /usr/local/etc/Unreal/unrealircd.conf:142: except tkl::mask specified without a value [error] /usr/local/etc/Unreal/unrealircd.conf:141: except tkl without mask item [error] /usr/local/etc/Unreal/unrealircd.conf:152: oper::from::userhost specified without a value [error] set::default-server is missing [error] 8 errors encountered [error] IRCd configuration failed to pass testing /usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd root@irc:/usr/local/etc/Unreal #
Biore sie za poprawke. Dzieki wielkie Samuelu
Zostal mi ostatni blad z ktorym nie moge sobie poradzi, a mianowicie:
root@irc:/usr/local/etc/Unreal # service unrealircd onestart Starting unrealircd. _ _ _ ___________ _____ _ | | | | | |_ _| ___ \/ __ \ | | | | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| | | | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` | | |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| | \___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_| v3.2.10.3 using TRE 0.8.0 (BSD) * Loading IRCd configuration .. [error] listen {} block is missing [error] 1 errors encountered [error] IRCd configuration failed to pass testing /usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd root@irc:/usr/local/etc/Unreal #
-
ircd.log jest pusty, nie wiem dlaczego:
[unreal@irc ~/Unreal3.2.10.3]$ ls ircd.log ircd.log [unreal@irc ~/Unreal3.2.10.3]$ cat ircd.log [unreal@irc ~/Unreal3.2.10.3]$
Co do /etc/make.conf[unreal@irc ~/Unreal3.2.10.3]$ cat /etc/make.conf WITH_SSP_PORTS=YES SSP_CFLAGS=-fstack-protector-all -fPIE SSP_CXXFLAGS=-fstack-protector-all WITHOUT_GUI=YES WITHOUT_X11=YES WITHOUT_XPM=YES BATCH=YES
fPIE dlatego bo jest to juz wersja 10-Stable pod, ktora dziala ASLR:[unreal@irc ~/Unreal3.2.10.3]$ sysctl -a | grep aslr kern.features.aslr: 1
Co do portów:root@irc:/ # cd /usr/ports/irc/unreal/ root@irc:/usr/ports/irc/unreal # make install clean ===> Cleaning for curl-7.37.0 ===> Cleaning for ca_root_nss-3.16.1 ===> Cleaning for Unreal-3.2.10.3
root@irc:/usr/local/etc/Unreal # ls aliases badwords.message.conf cache ircd.motd spamfilter.conf badwords.channel.conf badwords.quit.conf help.conf ircd.rules unrealircd.conf root@irc:/usr/local/etc/Unreal # service unrealircd onestart Starting unrealircd. _ _ _ ___________ _____ _ | | | | | |_ _| ___ \/ __ \ | | | | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| | | | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` | | |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| | \___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_| v3.2.10.3 using TRE 0.8.0 (BSD) using OpenSSL 1.0.1h-freebsd 5 Jun 2014 using zlib 1.2.8 using libcurl/7.37.0 OpenSSL/1.0.1h zlib/1.2.8 * Loading IRCd configuration .. * /usr/local/etc/Unreal/unrealircd.conf:12: loadmodule src/modules/commands.so: failed to load: Cannot open module file: No such file or directory [error] IRCd configuration failed to load /usr/local/etc/rc.d/unrealircd: WARNING: failed to start unrealircd root@irc:/usr/local/etc/Unreal #
-
My mamy własne IRCd. UnrealIRCd na FreeBSD, działa bez problemu - użyj gmake zamiast make. Jak to zrobisz, pokaż czy masz błędy i jakie
@samu
Poniekad wasz projekt byl inspiracja
Tutaj blad:
[unreal@irc ~/Unreal3.2.10.3]$ ./unreal start Starting UnrealIRCd _ _ _ ___________ _____ _ | | | | | |_ _| ___ \/ __ \ | | | | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| | | | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` | | |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| | \___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_| v3.2.10.3 using TRE 0.8.0 (BSD) * Loading IRCd configuration .. * unrealircd.conf:12: loadmodule src/modules/commands.so: failed to load: tmp/22D8E654.commands.so: Undefined symbol "me " [error] IRCd configuration failed to load Possible error encountered (IRCd seemingly not started) ===================================================== Check above for possible errors, and this output of ircd.log. If you cannot solve the problem, read Unreal.nfo on where to get support ===================================================== [unreal@irc ~/Unreal3.2.10.3]$
-
Hej,
Poszukuje, jakiegos dzialajacego servera IRCD, ktorego chcialbym zainstalowac pod FreeBSD 10. Napisalem dzialajacego poniewaz probowalem zainstalowac Unrealircd i ze zrodelek i z protow niestety wali blad za bledem po kazdym nastepnym poprawionym. Z tego co wyczytalem na ich forum to wspieraja tylko linuxa. Mial ktos moze jakies doswiadczenia z innymi IRCD, ktore moglby polecic i napisal w 1 zdaniu jakas zalete.
Z gory dziekuje,
Pozdrawiam,
-
Moze latwiej bedzie jak napiszesz co chcesz uzyskac
-
Proponuje ci wez sobie 2ap.pl, pieniadze male i jakosc rewelacyjna. Hostuje tam pare stronek jestem naprawde zadowolony a oprocz tego wszystko maja autorskie, wiec widac, ze naprawde sie znaja !
-
A nie polaczysz --uid-owner z opcjami z Grsecurity typu: GRKERNSEC_SOCKET, GRKERNSEC_SOCKET_ALL, GRKERNSEC_SOCKET_ALL_GID, GRKERNSEC_SOCKET_CLIENT, GRKERNSEC_SOCKET_CLIENT_GID, GRKERNSEC_SOCKET_SERVER, GRKERNSEC_SOCKET_SERVER_GID nigdy sie tym nie bawilem docelowo. Tutaj masz sznurek moze ci sie przyda:
http://en.wikibooks.org/wiki/Grsecurity/Print_version#Socket_restrictions
-
@samu
Czy jest mozliwe, ze taki efekt jest poprzez zablokowanie jakiegos pliku w /etc/ za pomoca ugidfw a dokladnie type a mode n dla grupy users ? Czy nie powinno miec to wplywu ? PRzypomnialo mi sie, ze kiedys zablokowalem sobie w jailu /etc/hosts i nie moglem odpalic sesji na irca. Cofalem wszystko wstecz az znalazlem przyczyne, ze wlasnie /etc/hosts za to odpowiadal a dokladnie jego zle (zablokowane) chmody. Stad przyszlo mi na mysl czy moze byc podobnie z pure-ftp, choc z tego co wynika to sie laczy ale nie listuje.
Z TrustedBSD mam 4 mac'i:
mac_partition_load="YES"mac_seeotheruids_load="YES"mac_bsdextended_load="YES"mac_portacl_load="YES" -
Problem rozwiazany:
Your TCP connections to IRC are coming from another port than you
think, static-port fixes that.Na koncu regulki nat wystarczy dodac static-port. Mam nadzieje, ze sie komus przyda. Sprawdzalem dziala swietnie !
-
W Cyfronecie poświęcili klaster o nazwie ...ZEUS (ciekawe czy ksiądz wiedział, co święci). A jeszcze.
ciekawsze, jak zareagowały na to diabły z logotypu BSD i działające na ZEUS-ie demony.
Ktos to widzial ?
I teraz przez wode swiecona transfer razy 10 ! Bog jest wszedzie nawet w klastrze !
Zrodlo: Niebezpiecznik.pl
[FreeBSD] pure-ftpd wywala/zawiesza caly server.
w Administracja Serwerów
Napisano · Raportuj odpowiedź
Witam,
Mam przedziwny problem. Zainstalowalem pure-ftp, dziala, listuje katalogi, mozna sie polaczyc etc. ale gdy zaczynam wrzucac pliki, zalozmy cms to po paru wrzuconych plikach ftp sie zawiesza, malo tego probuje sie polaczyc z jailem, wisi. Probuje sie polaczyc z hostem tez wisi, caly server jest freeze jedyne co ratuje to reboot z panelu inaczej sie nie da polaczyc. Mam FreeBSD-10-RELEASE i 2 jaila z dwoma failover na ktorych nic szczegolnego nie ma oprocz zwyklych uslug. Teraz chcialem wrzucic CMS'a i po paru plikach zalatwil mi caly server. Nie wazne co wrzucam (sprawdzalem) efekt jest ten sam. Czy ktos mi moze powiedziec co to k... sie dzieje ? Bo takiego przypadku nigdy nie mialem.