Прокси для apt и системы вобщем

Вот и пришли времена. Устроился на работу в шатат, а тут нате - все через непрозрачную проксю. Вот и потребовалось как-то вопрос решать:

скормим окружению и все что берет настройки из него, будет работать через проксю.
export http_proxy=http://username:password@host:port/
export ftp_proxy=http://username:password@host:port/

если желания все первешивать на проксю нет, а систему обновлять надо
то в /etc/apt/apt.conf (если его нет создаем сами) пишем:

Acquire {
       http::Proxy "http://username:password@host:port/";
       }

и вся любовь.

Iptables bruteforce ssh

Недавно случайно заметив в логах кучи попыток подключится ко мне из турций, бразилий и прочих стран забугорных через ssh, решил что защиту надо укреплять. 

Самым оптимальным на мой взгляд выходом стала защита от брута по средству простых, но хороших правил. Если с одного ip подключаются 5 раз провалив авторизацию в течении 10 минут (600 сек.) то ip заносится в бан-лист на час (примерно).

# создаём счетчик попыток подключения

iptables -N ssh_brute_check 

# лочим назойливые ip по вышеописанному принципу: свыше пяти коннектов за 10 минут.  
iptables -A ssh_brute_check -m recent --update --seconds 600 --hitcount 5 -j DROP 

# если ip новый то разрешаем, но в список заносим 

iptables -A ssh_brute_check -m recent --set -j ACCEPT 

# все новые попытки отдаем на проверку 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check

4 строчки - душевное спокойствие) 

iPod video 80gb + flac + Doom

Попал в руки iPod video 80gb (он же iPod 5.5g 80 gb) 2006 года выпуска. И все мне нравится и все хорошо красивый и большой,но не читает flac.
Решил перепрошить его линуксовой прошивкой rockbox. С сайта рокбокса качаю установщик, кстати сборки нет только под фряху. Запускаю свою 64 битную сборку из под рута. Плеер определяется, но говорит что он заточен для работы с маком "масPod" т.е. на нем стоит яблочная HFS и надо превратить его в "winPod" т.е. впилить на него FAT32 после чего только шить. Ясно, на сайте рокбокса есть заклинание (читать ман) для превращения макПода в винПод. Если в коротко, то надо запилить новый mbr, вылить и поставить прошивку, а после отформатировать все оставшееся место в FAT32 с размером сектора 2048. Все делаю, вроде получается, случился затык создании нужной ФС на плеере, прошивка не видела раздел с моим фатом. Вдобавок начала ругаться мол "восстанови меня через iTunes". Эта ругань и навела меня на мысль о легком превращении с помощью ноутбука друга с win7 и iTunes. Скачал, установил, подключил плеер, вылезло окно : " ваш плеер херово работает. Ремонтировать?" говорю ему да. И он выливает свежую прошивку на Ipod и делает его winPod одним махом ;) Вот она забота эпла о своих юзерах.
Все в winPodным плеер сделали, осталось самое главное вшить рокбокс.
И тут все оказывается очень просто, под рутом запускаю скачанный Rockbox Utility, он сразу все правильно определяет, остается нажать на установку. Мастер все сам сделает, да еще и спросит какую тему хочешь юзать и в какие игры играть. Идеал!
Плеер в ребут. Загрузился все работает: flac играет Doom запускается)
С темами нужно экспериментировать т.к. не все они правильно отображаются.
На послудок плюшку теперь подключенного к компу iPod можно управлять плеером, крутить громкость, переключать треки и все прочее!

Большие злые логи

Недавно столкнулся с проблемой - начал отваливаться squid3, но как показывает моя практика squid обычно отваливается когда заканчивается место на диске где стоит система.

Запускаю df вижу, что места осталось около одного процента, при том что обычно забито лишь 30% объема.

Что делать? первым делом убиваю бэкапы. + 30 гигов.
Бросаю это дело на время, иду к юзерам.
Прихожу сотрю снова почти нет места.
Что так забивает место? Мысль первая логи.
Без раздумий убиваю лог сквида, не жалко. Не помогает.
Запуская iotop и вижу ужасную картину, rsyslogd постоянно пишет на винт со скоростью 3 метра в секунду. Что за херь?
Убиваю rsyslogd. Начинаю разбираться в чем дело.
Оказалось demon.log, auth.log и еще всякие разрослись на 200 ГБ. быстренькао их удаляю и начинаю пилить настройки rsyslogd, но, выясняется, что он только собирает часть логов, а упралвяет, архивирует logrotate.

Трогать стандартные настройки logrotate в /etc/logrotate.conf не вижу особого смысла.
А вот перелопатить папочку /etc/logrotate.d/ стоит.

$sudo nano /etc/logrotate.d/rsyslog

по умолчанию он выглядит примерно так:

/var/log/syslog
{
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
reload rsyslog >/dev/null 2>&1 || true
endscript
}
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/mail.log
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug

и ротация включена только для syslog.
Добавим ротацию логов daemon.log, auth.log, user.log и т.д.

/var/log/daemon.log
{
rotate 3 # хранить 3 последних логов
weekaly # ротация каждую неделю, можно поставить каждый день daily
missingok # отсутствие файла не является ошибкой
notifempty # не обрабатывать пустые файлы
nodelaycompress # сразу сжимать старый лог,
# delaycompress оставляет послудний ротированный лог не сжатым
compress # сжимать ротируемый файл
# create 640 root # права и пользователей для создания новых логов. параметр необязательный.
postrotate # скрипт выполняемый после ротации
reload rsyslog >/dev/null 2>&1 || true
endscript # конец скрипта
}

Примерно такие конструкции следует поставить послу каждого лога.
Вот и вся настройка.

Теперь надо проверить.

$sudo logrotate -d /etc/logrotate.d/rsyslog

Если все правильно ошибок не будет, если они есть то внимательно смотрим что пишут.

А теперь можно и запустить ротацию

$ sudo logrotate -v -f /etc/logrotate.d/rsyslog

Все. Конфиги перечитаны, и применены.

freebsd и установка софта

Перво наперво хорошо бы обновить дерево портов:

из под рута:

получаем "живое" дерево портов, у меня на свеже установленной системе скачалось 63 mb.

portsnap fetch

распоковываем свежее дерево в порты. процесс этот занял на мое виртуальной машине минут 20.

portsnap extract

это надо делать только один раз, последующее обновление выполнять так:

portsnap fetch update

чтобы найти нужную прогу в портах пользуемся

whereis

маленький ман.

Фряха. Начало.

С установкой проблем особых нет, кроме ручного указания обязательных разделов для монтирования:

/ # корню много не надо, в манах не более 512 mb.

swap # своп, как правило вдвое больше оперативки.

/var # пару гигов сюда.

/tmp # тут все понятно, тепм он везде темп

/usr #сюда всё остальное совободное место.

вот неплохой мануальчик по установке freeBSD.

Автозагрузка правил iptables

Создаём папку ~/bin для складирования туда самописных скриптов.

Наш скрипт iptables-save.sh будет брать уже существующие настройки iptbales и складывать их в /etc/network/if-up.d/ для автозагрузки во время старта сетевых интерфейсов и в /var/backups/ для бэкапа, после я буду настраивать синхронизацию конфигов и скриптов с dropbox.com для "автоматического" создания бэкапов.

$ mkdir ~/bin

$ nano ~/bin/iptables-save.sh

#! /bin/sh

echo "#! /sbin/iptables-restore\n`iptables-save`" > /etc/network/if-up.d/iptables-rules

chmod +x /etc/network/if-up.d/iptables-rules

cp --backup=numbered -aT -- /etc/network/if-up.d/iptables-rules /var/backups/iptables-rules

$ chmod +x ~/bin/iptables-save.sh

автор оригинального скрипта AnrDaemon с форума ubuntu.ru.