Το thread του Debian (v.5)

[imitheos]

Ωραία παρατήρηση, δεν το είχα σκεφτεί ποτέ, καθώς τις περισσότερες φορές το ορίζω απλά σαν DROP χωρίς κανένα κανόνα στο τέλος.

Αλλά ωραίο και αυτό με το Chain. Θα το έχω στα υπόψιν!

Έχω την εντύπωση πως τα περισσότερα "έτοιμα" firewalls το κάνουν. Επίσης όσους οδηγούς για χειροκίνητους κανόνες έχω δει, και πάλι κάνουν κάτι που ή θα προκαλέσει προβλήματα ή θα είναι άσχημο. Για παράδειγμα το Simple Stateful Firewall του ArchWiki προτείνει το παρακάτω:

Κώδικας:

# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
blah blah
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sun Mar 17 14:21:12 2013

Όπως βλέπεις, ενώ έχει ορίσει DROP σαν policy, έχει βάλει κανόνα reject με διαφορετικό τύπο επιστροφής για κάθε πρωτόκολλο. Αυτό συνήθως γίνεται ώστε όταν σε σκανάρει κάποιος να πάρει πίσω το ανάλογο πακέτο που να λέει ότι η πόρτα είναι κλειστή και έτσι να μην ξέρει ο "attacker" ότι έχεις firewall (στο βαθμό που αυτό είναι φυσικά δυνατό). Χωρίς αυτό, το nmap θα σου έδινε αποτέλεσμα FILTERED ενώ με αυτό θα σου δώσει CLOSED.

Έτσι λοιπόν, ο knockd με το "-A INPUT" θα εισάγει τον κανόνα ACCEPT μετά τους κανόνες με τα REJECT και δεν θα έχει κανένα αποτέλεσμα.

Άλλο πράγμα που βλέπεις συχνά είναι να υπάρχει ένα κανόνας που να καταχωρεί "τάδε πακέτο blocked" οπότε σε εκείνη την περίπτωση ο κανόνας με το ACCEPT σου θα προστεθεί μετά από εκείνο το κανόνα με το LOG. Έτσι λοιπόν θαα παίζει μεν σωστά αλλά στα LOGS θα φαίνεται ότι μπλοκάρεται και ίσως να μπερδευτείς στο μέλλον που θα ψάχνεις κάτι.

Αυτές είναι οι δύο πιο πιθανές περιπτώσεις που μου έρχονται στο μυαλό αλλά υπάρχουν και άλλες (πιο σπάνιες ομολογουμένως) που μπορεί να δημιουργηθεί πρόβλημα. Με μια custom chain για αυτή τη δουλειά γλυτώνεις από όλα αυτά τα θέματα.

[MitsakosGR]

Επίσης ένα άλλο είναι ότι ο κανόνας μένει στην ίδια θέση και δεν πάει πάνω κάτω με τα Insert/Append.

Άλλαξα το iptables σε:

Κώδικας:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9:528]
:ssh-chain - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ssh-chain
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A ssh-chain -j DROP
COMMIT

και το knockd σε:

Κώδικας:

start_command = /usr/sbin/iptables -I ssh-chain -s %IP% -p tcp --dport 22 -j ACCEPT
stop_command  = /usr/sbin/iptables -D ssh-chain -s %IP% -p tcp --dport 22 -j ACCEPT

[sgiak]

Παιδιά παρακολουθώ το νήμα κατά διαστήματα (έχω γράψει δυο – τρεις φορές) και σας γράφω τώρα γιατί δεν βρίσκω κάπου αλλού να ρωτήσω.

Έχει χρησιμοποιήσει κανείς από εσάς το webex meeting?
Είναι πλατφόρμα τηλεδιασκέψεων της cisco, που χρησιμοποιεί το υπουργείο Παιδείας για τα μαθήματα εξ αποστάσεως σε όλες τις βαθμίδες, τώρα με την καραντίνα (συνεπώς αφορά πολλούς).
Σε διαφορετικά συστήματα με debian δεν μπόρεσα να λειτουργήσω την κάμερα.
Αν έχει ασχοληθεί κανείς, ας γράψει

[mzaf]

https://help.webex.com/en-us/WBX6198...ed-Hat-Linux-6
Εδώ λέει πως δεν υποστηρίζει επίσημα linux.Και θέλει και 32μπιτο firefox και java!

[famous-walker]

https://help.webex.com/en-us/WBX6198...ed-Hat-Linux-6
Εδώ λέει πως δεν υποστηρίζει επίσημα linux.Και θέλει και 32μπιτο firefox και java!

Off Topic

Και έχουν και πρόβλημα με τα πιστοποιητικά τους...

[megahead13]

Μπαίνει και από browser, αλλά το μειονέκτημα είναι ότι όταν αυτός που παρουσιάζει κάνει share multimedia περιεχόμενο (πχ, προβάλει κάποιο βίντεο) τότε χρειάζεται τον κανονικό client ή τη λύση με 32μπιτο Firefox και java όπως είπε ο mzaf (προσωπικά δεν ασχολήθηκα καθόλου με αυτό ).

[jim_p]

Δεν το πιστευω! Οχι μονο ενημερωσανε τον nvidia legacy 340 μολις ΜΙΑ μερα αφοτου ανοιξα το bug report και τους εστειλα μαζι και το patch, αλλα γραψανε και στο changelog του οτι το patch ηταν απο το arch! Και τις 2 προηγουμενες φορες απο εκει το ειχα παρει, αλλα εκεινοι ειχαν γραψει οτι το πηραν απο το ubuntu.

Κώδικας:

$ apt-get changelog nvidia-legacy-340xx-driver | head
Get:1 store: nvidia-graphics-drivers-legacy-340xx 340.108-4 Changelog
nvidia-graphics-drivers-legacy-340xx (340.108-4) unstable; urgency=medium

  * Add linux-5.5.patch from Archlinux to fix kernel module build for
    Linux 5.5.  (Closes: #956034)

 -- Andreas Beckmann <anbe@debian.org>  Tue, 07 Apr 2020 18:58:40 +0200

- - - Updated - - -

Γινεται να γυρισω το locale μου στα ελληνικα αλλα οι φακελοι desktop, downloads, pictures κλπ να μεινουν με την αγγλικη τους ονομασια?

[jim_p]

Περασε και ο signed 5.5 στο repo σημερα και τον περασα αμεσα στο δικο μου συστημα. Τι το θελα!
Βασικα τον περασα, αφησα το dkms να ξαναχτισει οτι εχει και μετα επανεκκινησα για να βεβαιωθω οτι ολα ειναι μια χαρα, και ηταν μια χαρα. Μετα εβγαλα τον 5.4 εντελως και τον εκλεισα για να κανω ενα μπανιο
Τι το θελα! Τωρα δεν εχει δικτυο γιατι δεν φορτωνει το module για την καρτα δικτυου... που δεν θυμαμαι πιο εινια, και το module για την nvidia. Παλι καλα που εχω και τα windows να μπω να ποσταρω.
Απο recovery mode λεει να τσεκαρω το journalctl -xb, αλλα αυτο ειναι απεραντο και δεν ξερω τι να πρωτοκοιταξω εκει μεσα. Cache στο apt δεν υπαρχει για να ξαναβαλω τον unsigned και δεν θυμαμαι και ποια καρτα εχω :P
Αν βοηθαει, το hwid της ειναι αυτο. Αν ξερει κανεις ποιο module χρησιμοποιει, ας μου πει να το βαλω με modprobe.

Κώδικας:

10ec:8168

[manosdoc]

Ίσως θες το παλιό r8168 και όχι το καινούριο 8169
https://unixblogger.com/how-to-get-y...updated-guide/

[jim_p]

Ισως. Απο την αλλη, εχω τον r8169 εδω και πολλα χρονια χωρις προβλημα. Γιατι να με κρεμασει τωρα?
Επιπλεον, οι οδηγιες στη σελιδα λενε για καποιο ppa repo του ubuntu, αρα δεν υπαρχει περιπτωση να δουλεψει σε debian.

Τελος, θεωρω οτι εκανα μεγαλο λαθος που εβγαλα μετα τον unsigned με purge. Αυτο πρεπει να εσβησε οτι module ειχε, γιατι δινω modinfo r8169 και λεει module not found!

[manosdoc]

unsigned φορέβα, όταν έμαθα ότι υπάρχει μπήκε κατευθείαν.

[jim_p]

Τα πηδηξα ολα! Μπηκα απο το live cd του parted magic να κανω chroot για να ξαναεγκαταστησω εστω τον 5.4, αλλα οταν το εκανα το apt γκρινιαζε οτι δεν εχει mounted τα proc, sys κλπ, οποτε πεταγε σφαλμα στο τελος καθε εντολης. Μετα ειχα την φαεινη ιδεα να περασω τον 5.5, αλλα παλι εβγαλε τα ιδια και τωρα δεν εκκινει επειδη δεν βρισκει το /vmlinux-5.5-blablabla.

Μπορει καποιος να μου γραψει τα επιπλεον βηματα που πρεπει να κανω για να επανεγκαταστησω τον πυρηνα τουλαχιστον?

[pap]

Τωρα εισαι στο cli του grub? δηλαδη βλεπεις
grub>
Αν ναι δοκιμασε κατι τετοιο:
https://www.linux.com/training-tutorials/how-rescue-non-booting-grub-2-linux/

Αλλιως για chroot:
Αφου κανεις mount το / στο /mnt του live cd, μετα:
mount --types proc /proc /mnt/proc
mount --rbind /sys /mnt/sys
mount --make-rslave /mnt/sys
mount --rbind /dev /mnt/dev
mount --make-rslave /mnt/dev
Και μετα
chroot /mnt /bin/bash
source /etc/profile
export PS1="(chroot)

Και ξανακανεις εγκατασταση.

[jim_p]

Παιρνω αυτα οταν κανω τα οσα λες, και γενικα σε οτιδηποτε κανω απο το chroot

Κώδικας:

# apt-get install linux-image-5.4.0-4-amd64 linux-headers-5.4.0-4-amd64 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
linux-headers-5.4.0-4-amd64 is already the newest version (5.4.19-1).
linux-image-5.4.0-4-amd64 is already the newest version (5.4.19-1).
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
1 not fully installed or removed.
After this operation, 0 B of additional disk space will be used.
Do you want to continue? [Y/n] 
Setting up linux-image-5.4.0-4-amd64 (5.4.19-1) ...
/etc/kernel/postinst.d/dkms:
dkms: running auto installation service for kernel 5.4.0-4-amd64:.
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-5.4.0-4-amd64
mkinitramfs: failed to determine device for /
mkinitramfs: workaround is MODULES=most, check:
grep -r MODULES /etc/initramfs-tools

Error please report bug on initramfs-tools
Include the output of 'mount' and 'cat /proc/mounts'
update-initramfs: failed for /boot/initrd.img-5.4.0-4-amd64 with 1.
run-parts: /etc/kernel/postinst.d/initramfs-tools exited with return code 1
dpkg: error processing package linux-image-5.4.0-4-amd64 (--configure):
 installed linux-image-5.4.0-4-amd64 package post-installation script subprocess returned error exit status 1
Errors were encountered while processing:
 linux-image-5.4.0-4-amd64
E: Sub-process /usr/bin/dpkg returned an error code (1)

[pap]

Για το συγκεκριμενο προβλημα βρηκα κατι εδω:
https://www.google.com/url?sa=t&sour...=1586436086720

Να σε ρωτησω ομως, οσο εισαι σε περιβαλον chroot, εχεις κανεις mount το boot partition σου στο /boot?