Újabb rendszeradminisztrálást segítõ webes alkalmazát szeretnék bemutatni. [http://linuxbox.hu/node/712 Elõzõ bejegyzésemben] a dpkg alapú csomagrendszer böngészésére alkalmas oldalt mutattam be.

Most a ‘‘Hálózat’’ vizeire eveztem és a ‘‘‘Tũzfal’‘‘at képszerũen, a tũzfalszabályokat szimbólikusan ábrázoló [http://tuxy.dyndns.biz/cgi-bin/iptables/iptables.pl weblapot] készítettem.

A program az ‘‘‘iptables’’’ tũzfalszabályait dolgozza fel és rendel az egyes feltételekhez ikonokat.

• Feltölthetjük saját tũzfalunkat, alul kell beilleszteni az iptables táblák szabálylistáit. pl. -P INPUT DROP -A services -p tcp -m tcp –dport 80 -m comment –comment “http” -j ACCEPT
• A bejelentkezés funkció arra való, hogy ha van a webszerverhez egyébként login hozzáférésünk (vagy a CGI programban úgy állítjuk be, máshonnan tud minket authentikálni, mondjuk PAM-ból), akkor a rendszer aktuális tũzfalállapotát tölti be és tekinthetjük meg. Egyelõre egy nem folytonosan üzemelõ gépen van, ha valaki elég merész, felteheti saját kiszolgálójára!

Képek:

De régen blogoltam már! A parancssoros taskbar óta már csináltam egy-két ügyetlenséget, dehát plublikálni nem szeret úgy az ember, ha még nem érzi készen a projektjét.

Nem így esett a mai hirtelen felindulásból megírt Online Debtree Browserrel.

Létezik a dpkg-alapú disztribúciókhoz ez a csodálatos debtree, amivel szépen meg lehet vizualizálni a szoftvercsomagok egymás közti függõségi viszonyait, hogy el ne vesszünk el a dependency hell-ben.

El nem tudom képzelni, hogy nem létezik kényelmes, kézreálló frontend-je, mint amit magam is összeraktam. Persze nagy a valószínũsége, hogy miután megírtam, fogok találni funkciójában vele azonos oldalt. Így szokott lenni :-) Ezek után íme, a fenti linken böngészhetõ egy Debian 6 csomagtára.

Ha egy hosszadalmas, gépigényes folyamatot futtatunk, de nem szeretnénk, ha a többi user ebből bármit is megérezne, akkor vessük be az ionice és nice programokat.

Például kernelforgatás 5 szálon úgy, hogy csak akkor haladjon a munka, ha amúgy a processzor és a lemez nem csinálna semmit:

ionice -c 3 nice -n 20 make -j5

Csatlakozás egy távoli szerverre tehető biztonságosabbá a SSH 5.1 óta létező VisualHostKey kliens oldali opció használatával. Tudni illik ez az opció egy a kulcs ujlenyomatának egy generált képét jeleníti meg csatlakozáskor. Ami memorizálható. Így ha valaki “man in the middle” támadással akarja megszerezni az adatainkat előfordulhat, hogy könnyebben észleljük a változást…

Parancssorból így használható: ssh -o VisualHostKey=yes user@host

Avagy ha be akarjuk kapcsolni véglegesen megadott szerverekhez vagy akár minden szerverre akkor az .ssh/config állományunkhoz kell hozzáadnunk a következő két sort: Host * VisualHostKey yes Bekapcsolás után igy fog kinézni a kapcsolódás:

Az alap (vanilla) kernel sajátossága, hogy minden felhasználó láthatja mások processzeit. Erre a problémára léteznek ugyan különböző megoldások (pl. grsecurity), de ezek mind “macerásak”. Milyen jó is volna, ha különösebb varázslat nélkül el lehetne érni, hogy mindenki csak a saját folyamatait lássa pl. a ps axu parancsnál.

Úgy néz ki, hogy végre Linus is belátta az igény jogossságát és a 3.3-as kernelben megjelenik a hőn áhított funkció. Lényegében a /proc filerendszert kell a “hidepid=1” opcióval mountolni és kész is. A hírt itt találtam.

...avagy szegény ember saját dyndns-e.

Persze szegény embernek van egy tp-link vagy dlink routere, amin beállítja a megfelelő résznél, hogy milyen hozzáférési adatokkal tud beállítani egy ip-t egy megadott domain névhez.

Ez a leírás nem erről szól. Itt szükség van egy bind9 dns szerverre és isc-dhcp-serverre. Miért is? Pl. van valahol egy olcsó kis tárhellyel rendelkező szerverünk amin saját magunknak üzemeltetünk dns szervert. És van egy elfogadható sebességű internet kapcsolatunk és egy szerver a speizban, ami éjjel nappal megy :) Ez a lekvárok között helyet foglaló szerver dhcp-n keresztül kap ip címet, ami meg-megváltozik. Hát jól üzenjük meg ezt a bind-nek.