Szczegółowo to zapewne Pinky odpowie na ten post, bo to on przygotowywał konfigurację jądra. Ja mogę powiedzieć tylko, że jądro było patchowane, ale jakimi łatkami, to już nie wiem
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Pytanie do autorów NND - jądro http://forum.freesco.pl/viewtopic.php?f=22&t=7532 |
Strona 1 z 2 |
| Autor: | Albercik [ środa, 27 kwietnia 2005, 23:15 ] |
| Tytuł: | Pytanie do autorów NND - jądro |
Czy jąderko NND jest połatane odpowiednimi patchami spełniając wymogi poprawnego działania na interfejsach IMQ ?? Tutaj jest adres http://www.djgregor.one.pl/kernel/ z instrukcją łatania jądra. Czy brakuje czegoś w bierzącym jajku ? Mam pewne problemy z działaniem na IMQ i zastanawiam się czy to nie sprawka jąderka ..... |
|
| Autor: | Ravel [ czwartek, 28 kwietnia 2005, 23:31 ] |
| Tytuł: | |
to ja zeby nie zakladac nowego watku zapytam sie czy w jajko jest wkompilowany patch poprawiajacy bezpieczenstwo Grsecurity (http://www.grsecurity.net/)?? edit jeszcze art w PL jak to zaaplikowac: http://www.linux.slupsk.pl/index.php?op ... &Itemid=92 |
|
| Autor: | Maciek [ piątek, 29 kwietnia 2005, 00:00 ] |
| Tytuł: | |
Szczegółowo to zapewne Pinky odpowie na ten post, bo to on przygotowywał konfigurację jądra. Ja mogę powiedzieć tylko, że jądro było patchowane, ale jakimi łatkami, to już nie wiem
|
|
| Autor: | MAC!EK [ piątek, 29 kwietnia 2005, 00:09 ] |
| Tytuł: | |
patche są mniej więcej takie: -imq -patch-o-matic (ale co dokładnie to nie znam na pamięć) i chyba tyle :] |
|
| Autor: | Pinky [ piątek, 29 kwietnia 2005, 10:03 ] |
| Tytuł: | |
no i OpenWall :> W kernelu od wersji 2.4.30 są zastosowane nastepujące łaty: OpenWall, imq, esfq i aktualny snapshot pom-ng, a w nim: string, CONNMARK, TTL, connlimit, iprange, mport, TARPIT, psd, REJECT, mport, nth, random, time i ipp2p. Całość można zobaczyć w CVS: jaja 'stable': http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/ i testing: http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/ PInky |
|
| Autor: | Albercik [ piątek, 29 kwietnia 2005, 10:17 ] |
| Tytuł: | |
Pinky pisze: no i OpenWall :>
W kernelu od wersji 2.4.30 są zastosowane nastepujące łaty: OpenWall, imq, esfq i aktualny snapshot pom-ng, a w nim: string, CONNMARK, TTL, connlimit, iprange, mport, TARPIT, psd, REJECT, mport, nth, random, time i ipp2p. Całość można zobaczyć w CVS: jaja 'stable': http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/ i testing: http://cvs.devel-nnd.brb.pl/cvsweb.cgi/ ... nel24-ide/ PInky Jest już w wersji "pacmanowej" , czy w wersji "Adama Słodowego" (zrób to sam  ) ?
|
|
| Autor: | MAC!EK [ sobota, 30 kwietnia 2005, 01:24 ] |
| Tytuł: | |
Albercik pisze: Jest już w wersji "pacmanowej" , czy w wersji "Adama Słodowego" (zrób to sam
) ?jest w wersji pacmanowej tutaj: http://stacja2.huta-ujscie.pl/~macieks/nnd/ do tego iptables i iproute pod ten kernel. Zapraszam do testów  oczywiście jak ktoś ma sagema to musi nowe eagle instalnąć
|
|
| Autor: | Albercik [ poniedziałek, 2 maja 2005, 13:35 ] |
| Tytuł: | |
Jakieś dodatkowe wpisy wymagane ? Coś oprócz standardowego lilo trzeba zrobić ? Wolę zapytać bo robię to zdalnie i jakoś nie chce mi się odbyć wycieczki do serwerka ...... a znam siebie i wiem ,że skleroza jednak boli .... objawia się bólem nóg
|
|
| Autor: | MAC!EK [ poniedziałek, 2 maja 2005, 15:56 ] |
| Tytuł: | |
Albercik pisze: Jakieś dodatkowe wpisy wymagane ? Coś oprócz standardowego lilo trzeba zrobić ? Wolę zapytać bo robię to zdalnie i jakoś nie chce mi się odbyć wycieczki do serwerka ...... a znam siebie i wiem ,że skleroza jednak boli .... objawia się bólem nóg
po instalce kernela tylko lilo i będzie OK ale nie zapomnij też o iptables i iproute bo one są kompilowane pod kernel. Wszystko inne co masz skompilowane pod kernel też trzeba wymienić. |
|
| Autor: | Pinky [ poniedziałek, 2 maja 2005, 16:35 ] |
| Tytuł: | |
'Moje' jajko pracuje ze 'starymi' tablesami i iproute, więc do testu zmiana nie jest wymagana. Przypuszcam, że wersja macieksa też bez zmian tych pakietów będzie działać, a nie wiem, czy nowe tablesy i iproute są wstecznie kompatybilne z poprzednim jajkiem. I najlepiej dopisz nowy kernel obok istniejącego, żeby w razie problemu mieć możliwość powrotu do stabilnego i sprawdzonego jajka:) kPinek |
|
| Autor: | przemek_nnd [ poniedziałek, 2 maja 2005, 17:43 ] |
| Tytuł: | |
MAC!EK pisze: jest w wersji pacmanowej tutaj: http://stacja2.huta-ujscie.pl/~macieks/nnd/
do tego iptables i iproute pod ten kernel. Zapraszam do testów oczywiście jak ktoś ma sagema to musi nowe eagle instalnąćOK Ale jak chcę zaktualizować iptables wyskakuje mi komunikat: [root@serwer przemek]# pacman -U iptables-1.3.1-1nnd.pkg.tar.gz loading package data... done. checking for file conflicts... error: the following file conflicts were found: iptables: /usr/lib/iptables/libipt_ipp2p.so: exists in filesystem errors occurred, no packages were upgraded. JUŻ TO ROZWIĄZAŁEM - PO PROSTU TO BYŁA POZOSTAŁOŚĆ PO MOICH DZIAŁANIACH - skasowałem ten plik |
|
| Autor: | Pinky [ poniedziałek, 2 maja 2005, 17:57 ] |
| Tytuł: | |
przypuszczam, że najpierw trzeba usunąć pakiet ipp2p. W najnowszym jajku/iptables ipp2p jest standardowo dołączone. pinky |
|
| Autor: | czerwo [ poniedziałek, 2 maja 2005, 17:57 ] |
| Tytuł: | |
instalowales wczesniej ipp2p, usun ipp2p i dopiero jajko |
|
| Autor: | Albercik [ poniedziałek, 2 maja 2005, 20:34 ] |
| Tytuł: | |
Po upgreadzie straciłem jednak dostęp do netu i co najgorsze do serwera  , ale nie była to wina moja ani ( w zasadzie ) autorów. Jest jednak pewna nieprzemyślana rzecz w pakiecie upgreadującym iptables. Wydaje mi się ,że błędem jest pakowac do paczki znów standardowego firewalla - ja mam swojego z zupełnie innymi regułami - kilka podsieci , inaczej rozwiązana maskarada , itd... Po upgreadzie nie spodziewałem się podmiany tego pliku , na przyszłość będę pamiętał , ale czy nie jest to bez sensu ? Każdy na pewno ma jakiegoś firewalla , więc upgrade tego elementu jest według mnie bezsensowny .
|
|
| Autor: | Mis' [ poniedziałek, 2 maja 2005, 20:56 ] |
| Tytuł: | |
Albercik pisze: Po upgreadzie straciłem jednak dostęp do netu i co najgorsze do serwera
, ale nie była to wina moja ani ( w zasadzie ) autorów. Jest jednak pewna nieprzemyślana rzecz w pakiecie upgreadującym iptables. Wydaje mi się ,że błędem jest pakowac do paczki znów standardowego firewalla - ja mam swojego z zupełnie innymi regułami - kilka podsieci , inaczej rozwiązana maskarada , itd... Po upgreadzie nie spodziewałem się podmiany tego pliku , na przyszłość będę pamiętał , ale czy nie jest to bez sensu ? Każdy na pewno ma jakiegoś firewalla , więc upgrade tego elementu jest według mnie bezsensowny .A manual do pacman Szanowny Pan czytał? Założę się że nie. A tam jak BYK jest napisane o NoUpgrade... Wybacz, wina jest 100% Twoja - pamiętaj, że pakiet musi pasować zarówno Tobie, który masz już skonfigurowany system, jak i w w zupełnie świerzej instalacji. Jeśli skonfigurowałeś system to powinieneś własne konfigi zabezpieczyć. Do tego służy opcja NoUpgrade. Gdybyś nie zaniedbał swoich obowiązków administartora nie miałbyś problemu. Pomijając już że gdybyś zastosował /etc/rc.d/iptables save Twoje regułki miałyby priorytet nad standardowym firewallem i zostały zamiast niego załadowane. Sorry Winnetou - ewidentny błąd w sztuce adminowania. P.S. swoją drogą, zastanawia mnie skąd się w narodzie bierze taka niechęć do czytania i nauczenia się czegoś nowego... |
|
| Autor: | Albercik [ poniedziałek, 2 maja 2005, 21:31 ] |
| Tytuł: | |
Manual czytał - NoUpgrade zna, ale jakoś nie myślał , że jak kupię ciągnik to w zestawie jest przyczepa - a pozwolenia na jazdę z przyczepą nie mam  . Zawsze staram się postapić rozsądnie - jak zauważyłeś od długiego czasu nic nie pisałem , dopiero ostatnio . Jak dotąd żadnych kłopotów , ale jakoś uważam ,że firewall w pakiecie iptables to niespodzianka typu gacie z zaszytymi otworami na nogi  . Nie obraź się , ale to jest nieprzemyślane. To moje zdanie , jeżeli nie mam racji przekonaj mnie 
|
|
| Autor: | Mis' [ poniedziałek, 2 maja 2005, 22:30 ] |
| Tytuł: | |
Albercik pisze: Nie obraź się , ale to jest nieprzemyślane. To moje zdanie , jeżeli nie mam racji przekonaj mnie
Cóż... ja jestem za to odpowiedzialny więc spróbuję wyjaśnić dlaczego jest tak a nie inaczej. Każdy plik w systemie należy do jakiegoś pakietu. W tej chwili nie ważne do jakiego. Ważne że należy. Więc jeśli jakiś plik edytuję i nie chcę starcić zmian, które wprowadziłem to zabezpieczam go poprzez NoUpgrade... aż tak proste. Powtórzę - każdy plik jest w jakims pakiecie! Teraz bardziej szczegółowo - to że firewall jest w pakiecie iptables wynika z dwóch rzeczy: 1. właśnie iptables służy do budowy firewalla więc logiczne jest tu włśanie umieszczenie defaultowego firewalla. 2. system dysponuje poleceniem /etc/rc.d/iptables save, które ma służyć do zapisania aktualnych ustawień firewalla. I wynik tego polecenia jest priorytetowy w stosunku do standardowego firewalla. 3. Na etapie przygotowań nie mieliśmy (zresztą nadal nie mamy) firewalla z prawdziwego zdarzenia, z możliwością konfiguracji, zintegrowanego z systemem i zgodnego z jego założeniami. Script /etc/iptables/firewall Zciech napisał dla mnie z dnia na dzień jako coś co zawsze w systemie będzie, i tuż po instalacji będzie stanowiło jakąś choćby minimalną osłonę systemu/sieci. Założenie było takie, że administrator w krótkim czasie po instalacji przygotuje swój, zorientowany na własną sieć firewall i wykorzysta mechanizmy systemowe (/etc/rc.d/iptables save) aby tego właśnie używać. (wyszły trzy, ale mam nadzieje że nie będziesz drobiazgowy.) Tak czy siak - twoje problemy są wynikiem zaniedbania jednej z dwóch rzeczy - posłużę się hasłami: NoUpgrade lub /etc/rc.d/iptables save. |
|
| Autor: | Albercik [ poniedziałek, 2 maja 2005, 22:47 ] |
| Tytuł: | |
OK , przyjąłem , ale zamykając temat uważam , że podmiana wody w akwarium razem z akwarium jest bez sensu . Przynajmniej nowy firewall powinien w razie znalazienia już istniejącego zapisac się jako np. firewall.pacnew . Z mojej strony wszystko.
|
|
| Autor: | Mis' [ poniedziałek, 2 maja 2005, 23:07 ] |
| Tytuł: | |
Albercik pisze: OK , przyjąłem , ale zamykając temat uważam , że podmiana wody w akwarium razem z akwarium jest bez sensu
. Przynajmniej nowy firewall powinien w razie znalazienia już istniejącego zapisac się jako np. firewall.pacnew . Z mojej strony wszystko.i dokładnie tak zrobi jeśli w pacman.conf znajdzie się wpis: NoUpgrade = etc/iptables/firewall Ten plik w zasadzie nie jest przeznaczony do edycji przez użytkownika... |
|
| Autor: | Albercik [ środa, 4 maja 2005, 03:16 ] |
| Tytuł: | |
Mis' pisze: i dokładnie tak zrobi jeśli w pacman.conf znajdzie się wpis:
NoUpgrade = etc/iptables/firewall Ten plik w zasadzie nie jest przeznaczony do edycji przez użytkownika... ten plik nie jest przeznaczony do edycji ? dobre , podoba mi się
z innej beczki : czy nowy kernel ma wkompilowaną obsługę EQL ?? Przydałby się listing z kompilacji , czyt. config
|
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|