სისადმინის ბლოგი

Icon

Übermensch

Dovecot auth cache – პრობლემა

dovecot

თუ თქვენ იყენებთ, Dovecot – IMAP,POP3 სერვერს და მომხმარებლების ავტორიზაციის ინფორმაციას ინახავთ მონაცემთა ბაზაში, ხშირია სიტუაცია, როდესაც ახლად შექნილი მომხმარებელი ვერ გადის აუტენტიფიკაციას,
პრობლემა მდგომარეობს აუტენტიფიკაციის მოდულის ქეშირებაში, Dovecot-ი აქეშირებს აუტენტიფიკაციის მონაცემებს
თუ გსურთ ნახოით ქეშირების ნაგულისხმები პარამეტრები და Dovecot მიმდინარე კონფიგი აკრიფეთ:

doveconf  | grep cache

რაც გამოიტანს დაახლოებით ასეთ შედეგს:
Read the rest of this entry »

Apache secure ldap authentification

ვიზუალური წარმოდგენა.

საჭიროა, Apache http სერვერი, დამატებითი მოდულების გარეშე, CA, LDAP და რამე რესურსი, რაზეც გინდათ წვდომის დაშვება. ამ პოსტის შემთხვევაში ეს არის http://site.ge/look
Read the rest of this entry »

SQUID – multiple origin servers

ვებ-აქსელერატორის როლში სქვიდი გვაძლევს საშუალებას დავჰოსტოდ სხავდასხვა დომენები ერთ რევერს პროქსიზე და სერვერზე შემოსულ მოთხოვნებს სქვიდი გადაამისამართებს საწყის(origin) სერვერზე, ამის გარდა შესაძლებელია გვქონდეს რამოდენიმე საწყისი(origin) სერვერები და მოთხოვნები დომენებზე გადავამისამართოთ განსაზღვრულ საწყის სერვერებეზე მაგ. როდესაც გვინდა მოთხოვნა saite.ge, app.site.ge და kuku.ge-ზე მისდიოდეს 192.168.1.10- სერვერს და მოთხოვნა: secondiste.ge, dev.secondsite.ge და other.ge -ზე  მისდიოდეს – 192.168.1.11 სერვერს. ან სიტუაცია, როდესაც 1 საწისი სერვერი ემსახურება ASP.net ფარმს და მეორე PHP/Java-ს, მაგრამ ყველა სერვისი ‘პაბლიშდება; ერთი რევერს პროქსით. ამისათვის საჭიროა დაიწეროს წესები რვაფეხასთვის. Read the rest of this entry »

Network security part.1 – syn* attack

პოსტის მიზანია დავიცვათ საკუთარი ვებ სერვერი syn flood პირდაპირი შეტევებისგან, (iptables-ის  დონეზე) და რამოდენიმე რჩევა syn spoofing ის დროს ასეთი შეტევების ძირითადი მიზანია Dos -ის მიღწევა.

ეს შეტევა დაფუძვნებულია TCP კავშირის დამყარების პრინციპზე, როდესაც თქვენ შედიხართ ბროუზერით ვებ-გვერდზე – თქვენ აგზავნით SYN (synchronize) პაკეტს სერვერზე, სერვერი კი ამ დროს იმყოფება Listening რეჟიმში და უსმენს კონკრეტულ პორტს, როდესაც სერვერი მიიღებს თქვენს SYN პაკეტს ის პასუხობს SYN-ACK (synchronize acknowledged) პაკეტით და გიგზავნით ისევ თქვენ, რაც ნიშნავს, რომ მოთხოვნა სინქრონიზაციაზე მიღებულია, ამის შემდეგ თქვენ აგზავნით პროცედურის დამასრულებელ პაკეტს – ACK (acknowledge) სერვერთან და ნანატრი TCP კავშირი დგება თქვენს და დაშორებულ სერვერს შორის, სინამდვილეში ეს ისე სწრაფად ხდება, რომ თქვენ გაანალიზებას ვერ ასწრებთ გვერდი ისე იტვირთება თქვენს ბოუზერში. სწორედ ამას ეწოდება “TCP 3-Way Handshake” კავშირი ან ქართულად “სამგზის კავშირი” :), ამ სამგიზს კავშირიდან თითოეული პროცესი ექვემდებარება გარკვეულ კრიტრერიუმებს მაგ: განსაზღვრულია კავშირის ვადა (time-out). Read the rest of this entry »

Public Key Cryptography

ამ პოსტის სათაურად ვაპირებდი რომ ყოფილოყო “საჯარო გასაღების კრიპტოგრაფია”, მაგრამ ქართულად სამწუხაროდ არაკეთილხმოვნად  ჟღერს, თანაც ცოტათი დაგაბნევდათ ამ სიტყვების კომბინაცია,  არადა აშკარად საჭიროა ასეთი “IT სიტყვების” ლოკალიზაცია თორემ მერე მივიღებთ “პაჩემნიკის” ანალოგებს. მცირე პროლოგის მიწურულს,  ვინც თვლის რომ ეს პოსტი მისთვისაა  და აინტერესებს რა კეთილ საქმეში შეიძლება მისი გამოყენება ვსქროლავთ ქვევით.

Public key cryptography ეს არის ასიმეტრიული ალგორითმების ნაკრები (ცალმხრივი შიფრაციის მათემატიკური მოდელები). გასული საუკუნის 70-იან  წლებში აქტიურად დაიწყო ამ ალგორითმების ციფრულ სამყაროში ინტეგრაცია და დღეისთვის ინფორმაციის დაშიფვრის ყველაზე გავრცელებულ და გამართლებულ მეთოდად ითვლება.  Public key cryptography ყოველთვის შედგება წყვილი, საჯარო და პირადი (public & private) გასაღებებისგან.

როგორი იქნებოდა public key cryptography-ის გამოყენება ჩვეულებრივ ცხოვრებაში? წარმოვიდგინოთ მაგალითი: გამოჩენილი ამერიკელი “წყვილის” ელისის და ბობის მაგალითზე ( Alice & Bob. ამ “წყვილის” სამეცნიერიო ტესტირებაში გამოყენება იმდენად გავრცელებულია, რომ ქართული ანალოგის შექმნა ზედმეტი იქნებოდა).

ელისი უგზავნის ბობს წერილს, რომელსაც ათავსებს ყუთში და ადებს თავის ბოქლომს (public), რომლის გასაღებიც მხოლოდ ელისს გააჩნია, ყუთს კი უგზავნის ბობს ფოსტის მეშვეობით. როდესაც ბობი მიიღებს ყუთს ისიც დაადებს თავის ბოქლომს  და უკან გაუგზავნის ელისს. როდესაც ელისი მიიღებს ყუთს ორი ბოქლომით, მოხსნის თავის ბოქლომს და კვლავ გადაუგზავნის ბობს. ბოლოს კი როდესაც ბობი მიიღებს ყუთს მხოლოდ თავისი ბოქლომით, მას შეუძლია გახსნას ის თავისი გასაღებით და წაკითხოს წერილი ელისისგან.  ამ “ჰეფი ენდს” ალტერნატიული ფინალიც ააქვს რომელსაც ქვია: მელორი, ანუ  ამ სცენარის ერთადერთი სისუტე      Read the rest of this entry »

ვზრდით ext3/ext4 დანაყოფებს (partition)

ვიზუალური დანაყოფები

ტუქსიLinux ოპერაციულ სისტემებში შესაძლებელია partition-ის შემდგომში “დანაყოფი” (დროა ქართულადაც ვიცოდეთ ამ სიტყვების მნიშვნელობები :z ) მოხერხებული-ადვილი-გრაფიკული მართვა, მაგ. ზომის გაზრდა/შემცირება, parttition tables შექმნა, შემოწმება შეცდომებზე და სხვა მრავალი სასარგებლო ოპერაციის გაკეთება commandline-ის გარეშე, მააგრამ linux ჯერ-ჯერობით რჩება სერვერ ოპერაციულ სისტემად და შესაბამისად ხშირად სერვერებზე გრაფიკული გარსი არ არის გაშვებული (99.99% არც არის საჭირო). Read the rest of this entry »

ვუმკლავდებით SSH შეტევებს

Dictionary Attack საიტების უმრავლესობა არ ტყდება SQL Injection, XSS, XMLRPC, ან HTTP სერვერის ბაგების გამო, ისინი ტყდება მარტივი გადასინჯვის მეთოდით ftp სერვერზე, ssh-ზე (“ტუპოი პერებორით”). სცენარი მარტივია: ირჩევა სამიზნე საიტები, ეშვება პაროლების გადასინჯვის პროგრამა  “შემტევის” ლოკალურ კომპიუტერზე ან რომელიმე გატეხილ სერვზე, ციკლი აგენერირებს მომხმარებლის სახელებს და პაროლებს და სინჯავს -უგზავნის მათ სამიზნე სერვერს სანამ არ მოხდება პაროლის დამთხვევა. ეს ციკლი შეძლება რამოდენიმე დღე გრძელდებოდეს წამში 10 ან მეტი გადასინჯვის ინტრევალით.

ქართული web რეალობა: ტყდება რამოდენიმე საიტი, მერე კიდევ მათი გარკვეული რაოდენობა, შემდეგ კიდევ რამოდენიმე და ცოტა ხანში ირკვევა, რომ გატეხილა ჰოსტინგი და არა უშუალოდ საიტები. ამის შემდეგ “შემტევს” ანუ ადამიანს ვინც ეს მარტივი ციკლი გაუშვა აქვს ტოტალური კონტროლი ყველა საიტზე რაც ამ ჰოსტინგზეა განთავსებული. მარტივი და ეფექტური გამოსავალი ასეთ სიტუაციში არის iptables გამოყენება. Iptables -ს საშუალებით შეგვიძლია შევზღუდოთ კავშირების რაოდენობა დროის მიხედვით (შეტევის მცდელობების რაოდენობა). ჩავწეროთ ლოგებში შეტევის მცდელობები და სამუდამოდ ავკრძალოთ წვდომა შემტევის IP მისამართი(ები)დან. Read the rest of this entry »

chmod კალკულატორი



Raid კალკულატორი chmod კალკულატორი



Permissions:   

owner group other
read
write
execute


Raid კალკულატორი




Raid კალკულატორი RAID კალკულატორი






დისკების რაოდენობა:
დისკის მოცულობა: გიგაბაიტებში

აირჩიე RAID კონფიგურაცია

Raid 0 --- სეგმენტებად დაყოფა
Raid 1 --- მხოლოდ 2 დისკი
Raid 10 --- ან 0+1 მინიმუმ 4 დისკი
Raid 5 --- მინიმუმ 3 დისკი
Raid 6 --- მინიმუმ 4 დისკი
Raid 50 --- მინიმუმ 6 დისკი
Raid 60 --- მინიმუმ 8 დისკი

მთლიანი ასათვისებელი მოცულობა: გბ





EIGRP Metric Calculator

Bandwith:
Delay:
    
Bandwith:
Delay:

Metric: Bandwith + delay =

ღრუბელიზატორი

networking public key SQUID ssh SSL Apache (1)
attacks (1)
Authentication (1)
cache (1)
Dovecot (1)
iptables (2)
kernel (1)
LDAP (1)
Linux (6)
Mail (1)
Net Tools (1)
Networking (4)
partitioning (1)
revers-proxy (1)
Security (4)
SSL (1)
Sys Tools (2)
Uncategorized (1)

WP Cumulus Flash tag cloud by Roy Tanck and Luke Morton requires Flash Player 9 or better.

ბლოგროლი