<=====================================8<=====================================>
Posted By: Covex (mi'lius) on 'Koudink'
Date: Tue 1.2.2005 17:48.13
Title: NIS nebo LDAP
Potrebuju implementovat spolecne prihlasovani pro vsechny uzivatele na nase
linux servery. Zpocatku jsem sahl po NISu. Po te co jsem si o nem precetl vic
a zjistil jeho bezpecnostni nedostatky sem nasel jeste ruzna reseni pres LDAP.
Vsechno mi to ale prijde dost krkolomne.
Neexistuje jeste nejake jine reseni?
Nejake pekne howto jak se s nejakym bezpecnejsim resenim poprat?
(Nasel jsem treba tohle:
http://www.linuxhomenetworking.com/linux-adv/ldap.htm
nicmene to je LDAP a stunnel.)
Covex
<=====================================8<=====================================>
Posted By: semik (tak sem dojezdil) on 'Koudink'
Date: Tue 1.2.2005 19:07.14
Title: Re: NIS nebo LDAP
Potrebuju implementovat spolecne prihlasovani pro vsechny uzivatele na nase
linux servery. Zpocatku jsem sahl po NISu. Po te co jsem si o nem precetl
vic a zjistil jeho bezpecnostni nedostatky sem nasel jeste ruzna reseni
pres LDAP. Vsechno mi to ale prijde dost krkolomne.
Ja pouzivam LDAP jen pro vybrane sluzby (FTP/POP3/IMAP) v pam.d si
naspecifikuju co cim chci overovat. Neprijde mi to prilis krkolomne.
Neexistuje jeste nejake jine reseni?
Neco zalozene na Kerberosu? Ale ja nevim ani poradne co je zac NIS.
Nejake pekne howto jak se s nejakym bezpecnejsim resenim poprat?
(Nasel jsem treba tohle:
http://www.linuxhomenetworking.com/linux-adv/ldap.htmm
nicmene to je LDAP a stunnel.)
To je dlouhy, cist to nebudu, ale proc tam pouzivaji stunnel? OpenLDAP umi
sifrovat sam od sebe. Vcem mas dojem, ze je ten ldap nebezpecny?
Semik
Covex
<=====================================8<=====================================>
Posted By: Covex (mi'lius) on 'Koudink'
Date: Wed 2.2.2005 12:42.47
Title: Re: NIS nebo LDAP
Ja pouzivam LDAP jen pro vybrane sluzby (FTP/POP3/IMAP) v pam.d si
naspecifikuju co cim chci overovat. Neprijde mi to prilis krkolomne.
Dotaz posila pam.d klienta na LDAP server?
Neexistuje jeste nejake jine reseni?
Neco zalozene na Kerberosu? Ale ja nevim ani poradne co je zac NIS.
NIS slouzi ke vzdalene autentizaci a synchronizaci autentizacnich udaju. Byl
primo na to vyvinut, bohuzel pred drahnou dobou.
To je dlouhy, cist to nebudu, ale proc tam pouzivaji stunnel? OpenLDAP umi
sifrovat sam od sebe. Vcem mas dojem, ze je ten ldap nebezpecny?
stunnelem kryptuji veskerou komunikaci s LDAPem. Pokud ji LDAP umi kryptovat
sam tak jak?
O LDAP jsem netvrdil neni bezpecny, NIS neni bezpecny - vsechny informace
chodi po siti nekryptovane. Tzn. neco jako rlogin/telnet/ftp - je to take
protokol zhruba ze stejne doby.
LDAP je sam o sobe asi podobny.. pokud ovsem umi svoji komunikaci sifrovat,
sem s tim.
Semik
Covex
<=====================================8<=====================================>
Posted By: semik (tak sem dojezdil) on 'Koudink'
Date: Wed 2.2.2005 18:13.14
Title: Re: NIS nebo LDAP
Ja pouzivam LDAP jen pro vybrane sluzby (FTP/POP3/IMAP) v pam.d si
naspecifikuju co cim chci overovat. Neprijde mi to prilis krkolomne.
Dotaz posila pam.d klienta na LDAP server?
Treba v /etc/pam.d/imap mam napsano:
#%PAM-1.0
auth required pam_ldap.so debug
account required pam_ldap.so debug
#password required pam_unix_passwd.so
session required pam_ldap.so
Pro ostatni to bude obdobne. Tedy krom ftp. Proftpd to umi primo bez pamu.
O LDAP jsem netvrdil neni bezpecny, NIS neni bezpecny - vsechny informace
chodi po siti nekryptovane. Tzn. neco jako rlogin/telnet/ftp - je to take
protokol zhruba ze stejne doby.
LDAP je sam o sobe asi podobny.. pokud ovsem umi svoji komunikaci sifrovat,
sem s tim.
Budes-li potrebovat presne poradit obrat se na ph. V /etc/pam_ldap.conf se
pise:
# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap://127.0.0.1/
#uri ldaps://127.0.0.1/
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator
Semik
Semik
Covex
<=====================================8<=====================================>
Posted By: JetPac () on 'Koudink'
Date: Fri 4.2.2005 10:20.10
Title: copak asi znamena tohle?
: (){ :|:& };: (man bash ; man ulimit)
Driv nez to ale budete poustet, ujistete se, ze mate vsechnu praci ulozenou a
ze pouzivate zurnalovaci filesystem - u me tehle neskodny prikaz skoncil
rebootem :-)
Jet.
<=====================================8<=====================================>
Posted By: Koles (www.jablok.cz) on 'Koudink'
Date: Fri 4.2.2005 10:44.23
Title: Re: copak asi znamena tohle?
: (){ :|:& };: (man bash ; man ulimit)
^^^^?
<=====================================8<=====================================>
Posted By: JetPac () on 'Koudink'
Date: Fri 4.2.2005 10:58.38
Title: Re: copak asi znamena tohle?
Eh, sorry - upastnuti, uprava:
: (){ :|:& };: (man bash ; man ulimit)
<=====================================8<=====================================>
Posted By: semik (tak sem dojezdil) on 'Koudink'
Date: Fri 4.2.2005 11:48.52
Title: Re: NIS nebo LDAP
O LDAP jsem netvrdil neni bezpecny, NIS neni bezpecny - vsechny informace
chodi po siti nekryptovane. Tzn. neco jako rlogin/telnet/ftp - je to take
protokol zhruba ze stejne doby.
Tak jsem zjistil ze NIS nejak tak pouzivam ;) Presneji pouzivam nscd coz je:
nscd - GNU C Library: Name Service Cache Daemon
A daemon which handles passwd, group and host lookups for running programs
and caches the results for the next query. You should install this package
only if you use slow Services like LDAP, NIS or NIS+
Stara se mi o to aby postfix vedel komu dorucit lokalni postu, moc jsem jeho
vnitrnimu mechanizmu neveril, ted kdyz o tom vim vic uz bych to nepouzil.
nscd ma ve spojeni s postfixem nechutnou vlastnost. Kdyz ho restartnete tak
to postfix nejak nezjisti a zacne tvrdit ze zadny takovy uzivatele nezna a v
dusledku toho zahazuje postu...
Ovsem na cachovani jinych dotazu do ldapu je porad uzitecny. Napsat na
webhostingu ls -lR v domacim adresari uzivatelu by tu masinu taky mohlo
polozit na kolena :))
No a to je asi vse co k tomu mam :)
Semik
Semik
Covex
<=====================================8<=====================================>
Posted By: JiMo (fuckin' weather) on 'Koudink'
Date: Fri 4.2.2005 11:51.36
Title: Re: copak asi znamena tohle?
Ahoj Jete,
Koudink, tj. tento board, post 824, pharook, 30/7/03 + nasledna diskuse.
...asi tak. :)
Jet.
JiMo:)
All I want is a warm bed, kind word and unlimited power.
<=====================================8<=====================================>
Posted By: JetPac () on 'Koudink'
Date: Fri 4.2.2005 17:10.00
Title: VIVO konektor
Konecne jsem sehnal zapojeni VIVO konektoru.
http://www.tvfreak.cz/modules.php?name=News&file=article&sid=1104
Podle tohohle schematu to vypada, ze NVIDIA graficky karty maji i video
composite vstup, nemate s tim nekdo nahodou zkusenost? Externi TV tuner treba
z videa urcite doda lepsi obraz nez interni TV karta, ktera je navic jeste
rusena ze 115 mist uvnitr bedny.
Dikec,
Jet.
<=====================================8<=====================================>
Posted By: JetPac () on 'Koudink'
Date: Tue 8.2.2005 16:03.01
Title: perl vs. pocet radku v termu
Laboruju, mozna na to casem prijdu - jak se da v perlu zjistit, jak mam velkej
terminal?
(LINES a COLUMNS promenny nechci pouzivat, ne vzdy to poustim z GNU shellu).
Dikec:)
Jet.
<=====================================8<=====================================>
Posted By: JetPac () on 'Koudink'
Date: Tue 8.2.2005 17:03.35
Title: Re: perl vs. pocet radku v termu
Laboruju, mozna na to casem prijdu - jak se da v perlu zjistit, jak mam
velkej terminal?
Tak uz vim:
# get terminal size
use Term::ReadKey;
($columns,$lines) = GetTerminalSize();
GetTermSize vraci jeste dalsi veci, viz perldoc.
Jet.
<=====================================8<=====================================>
Posted By: Tuttle (back to the konami times) on 'Koudink'
Date: Sat 19.2.2005 20:47.48
Title: Re: What's Your Shell Prompt?
Je slusne, abych sam dal k lepsimu svou promennou PS1, kdyz uz jsem tu debatu
vyvolal. :-) Nebude to zadne halo, ale aspon nebudu pozadu...
Mne wrapovani dlouheho prikazu nevadi, stejne se mu casto nevyhnu i pri
kratkem promptu. Doted jsem mel v .bashrc toto:
export PS1='\t $OLDPWD [\u@\h \w]\$ '
Tedy nejdrive cas vypsani promptu (vyhodne pro odhad doby behu programu, doby
opustenosti okna, apod.) nasledovany predchozim pracovnim adresarem (pro
rychly navrat pomoci prikazu `cd -'. Pak vcelku klasika, plny aktualni
adresar potrebuju (mj. pro copy&paste), \W me vzdycky dokaze vzteknout. :-)
Kdyz mi nekdy vadi dlouhy prompt, staci rychle `cd; cd' a je cisto...
Casto jsem zapasil s tim, ze jsem v dlouhych vypisech nemohl najit zacatek.
pharookem predvedeny napad s barvickami povazuju za bezvadny a hned jsem ho
implementoval. Nyni tedy mam (pro jasne tyrkysovou):
export PS1='\t $OLDPWD \[\e[1;36m\][\u@\h \w]\[\e[0m\]\$ '
A v /root/.bashrc (pro jasne cervenou):
export PS1='\t $OLDPWD \[\e[1;31m\][\u@\h \w]\[\e[0m\]\$ '
Prikazem su prompt zcervena a na Ctrl-D opet zmodra.
---------------------------------------------------------------------------
Dal tu bylo diskutovane tema logovani. Jsem trochu ujety na historii shellu,
hodne casto v ni hledam, abych nemusel prikazy psat znova a hledat jejich
parametry. Proto mam historii nastavenou na stovky tisic radku. Pred asi
pulrokem jsem zjistil, ze kdyz v kazdem xtermu je natazeny bash, tak se nemuzu
divit, ze pri otevrenych 15 terminalech se mi pocitac znatelne rozkasle.
`top' ukazal, ze kazdy bash zabiral asi 10 MiB RSS.
Vyresil jsem to pridanim teto sekce do .bashrc:
export HISTCONTROL=ignoreboth
export HISTSIZE=5000
unset HISTFILESIZE
HISTDIR="$HOME"/.history_bash
[ -e "$HISTDIR" ] || mkdir "$HISTDIR"
if [ -d "$HISTDIR" ]; then
cat "$HISTDIR"/*.bashhist >> "$HISTDIR"/all 2>/dev/null
rm -f "$HISTDIR"/*.bashhist
[ -z "$HISTSIZE" ] && export HISTSIZE=500
tail -n "$HISTSIZE" "$HISTDIR"/all > "$HISTDIR"/$$.bashhist
export HISTFILE="$HISTDIR"/$$.bashhist
history -c
history -r "$HISTFILE"
rm -f "$HISTFILE"
fi
unset HISTDIR
V adresari ~/.history_bash (rychle se natahuje na Tab) je soubor all, ve
kterem je vsechno a kde si grepuju podle potreby a pri spusteni kazdeho shellu
se z nej vezme jen tyl.
Ted ma kazdy bash < 2MiB RSS.
--------------------------------------------------------------------------
Pro zajimavost dalsi schopnosti bashe, ktere v .bashrc vyuzivam (viz man):
FIGNORE, CDPATH a samozrejme mohutne aliasy pro sshckovani ven.
T.
<=====================================8<=====================================>
Posted By: Tuttle (back to the konami times) on 'Koudink'
Date: Wed 23.2.2005 13:48.17
Title: Par Debianich tipu
Pri konfiguraci systemu jsem narazil na Netu na par peknych tipu,
tak si je sem odlozim. :-)
To put a package on hold
echo <packagename> hold | dpkg --set-selections
To take a package off hold
echo <packagename> install | dpkg --set-selections
To list the version of an installed package
apt-cache policy <packagename> | grep Installed
To list packages containing a certain string in its package name,
version or description
COLUMNS=120 dpkg -l | grep <string>
<=====================================8<=====================================>
Posted By: Tuttle (back to the konami times) on 'Koudink'
Date: Fri 25.2.2005 15:40.08
Title: Drobny tip (realpath)
Zdar, obcas si lidi postesknou, ze v shellu je nedosazitelne C volani
realpath(3). Objevil jsem, ze jde elegantne nahradit. V debianich rc
skriptech jsem nasel tuto konstrukci:
#
# Update /etc/motd. If it's a symbolic link, do the actual work
# in the directory the link points to.
#
if [ "$EDITMOTD" != no ]
then
MOTD="`readlink -f /etc/motd || :`"
if [ "$MOTD" != "" ]
then
...
fi
fi
Moc hezky, a pritom trivialni, reseni. Viz man. :-) Chytremu napovez.
T.
<=====================================8<=====================================>
Posted By: podles (zero chance) on 'Koudink'
Date: Mon 28.2.2005 17:53.39
Title: Re: Drobny tip (realpath)
Zdar, obcas si lidi postesknou, ze v shellu je nedosazitelne C volani
realpath(3).
Debianiste nikoliv, nebot znaji (nebo casem poznaji) readlink -f :-)
Objevil jsem, ze jde elegantne nahradit. V debianich rc
Ale pozor - je treba uchovat v pameti ze je to vymozenost debianu (a to
jeste jenom tech novejsich). Jinak muzeme na jinych distribucich (o jinych OS
nemluve) tvrde narazit.
T.
Podlesh
Error reading ~/.signature: no such file or stupid content
<=====================================8<=====================================>
Posted By: Tuttle (back to the konami times) on 'Koudink'
Date: Mon 28.2.2005 21:08.08
Title: Re: Drobny tip (realpath)
Zdar, obcas si lidi postesknou, ze v shellu je nedosazitelne C volani
realpath(3).
Debianiste nikoliv, nebot znaji (nebo casem poznaji) readlink -f :-)
Nebyla tohle zbytecna poznamka? Mozna by muj post sel chapat tak, ze pomaha
zkraceni Tveho "casem".
Objevil jsem, ze jde elegantne nahradit. V debianich rc
Ale pozor - je treba uchovat v pameti ze je to vymozenost debianu (a to
jeste jenom tech novejsich). Jinak muzeme na jinych distribucich (o jinych
OS nemluve) tvrde narazit.
Divne, na mem starem RH9 je ta moznost taky. Po rychlem otestovani se zda,
ze to funguje stejne. Man readlink:
-f Using realpath(3), canonicalize by following every symlink in every
component of the given path recursively. Note that the resultant
pathname might not exist,
T.
|
