| Q:. | Почта не ходит!! |
| A:. | По умолчанию в соответствии с политикой безопасности
postfix настроен на работу только с
локальными почтовыми клиентами, а также может отправлять почту на
внешние SMTP-сервера. Если вам необходимо получать
или пересылать почту через данный сервер с внешних хостов,
отредактируйте соответствующим образом файлы конфигурации
postfix. Для нормальной работы
postfix с “внешней” почтой
необходим доступ к корректно настроенному серверу
DNS. |
| Q:. | Почему после установки сервера и его активации (в
ntsysv,
DrakConf,
/etc/xinetd.d/*) он недоступен из
сети? |
| A:. | По умолчанию в дистрибутивах ALT Linux
xinetd сконфигурирован с опцией
only_from = 127.0.0.1, разрешающей доступ к сервисам,
запускающимся из-под xinetd, только с
локальной машины. Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf. В
последнем случае настоятельно рекомендуем ввести ограничения в
индивидуальные файлы настройки сервисов в каталоге /etc/xinetd.d/. После внесения изменений в
конфигурацию xinetd необходимо перезагрузить
сервис командой:
# service xinetd reload
Если проблема не в этом — обратите внимание на настройки
межсетевого экрана (firewall), которые можно получить при помощи
команд:
# service iptables status (для Linux 2.4.X)
# service ipchains status (для Linux 2.2.X)
Проверьте содержимое файлов /etc/hosts.allow
и /etc/hosts.deny. |
| Q:. | Обнаружил в Sisyphus FTP-серверы:
ProFTPd,
vsftpd,
tftp-server. К чему так много? И
какой из них будет установлен по умолчанию? |
| A:. | Мы советовали бы руководствоваться следующими
соображениями при выборе
FTP-сервера: vsftpd — считается наиболее
защищённым и удобным в плане настройки сервером. ProFTPd — считается наиболее
гибким и многофункциональным в настройке сервером. tftp-server — несмотря на
своё “похожее” название TFTP
(Trivial File Transfer Protocol) не имеет никакого отношения к
стандартному протоколу FTP и предназначен для
начальной загрузки (boot) бездисковых рабочих станций по
сети.
|
| Q:. | Как можно в ssh сделать так, чтобы
определённые пользователи могли заходить только с определённых машин,
причём другие пользователи с этих машин всё же могли бы зайти. Если
такое возможно, конечно. |
| A:. | Возможно при помощи
RSA(DSA)-ключей, если
используется RSA(DSA)
Authentication. В нашем openssh-сервере
присутствует не анонсированная возможность хранить ключи не только в
$HOME/.ssh, но и в
/etc/openssh/authorized_keys*, что даёт
возможность администратору контролировать ключи пользователей. |
| Q:. | Как отключить рекламу с помощью
squid? |
| A:. | Вот реальный пример:
acl QUERY urlpath_regex banner banners recklama linkexch banpics
no_cache deny QUERY
acl BANNER url_regex banners recklama linkexch banpics us\.yimg\.com
http_access deny BANNER
Первая строка запрещает squid
помещать указанные в ней объекты в свой кэш (помогает не засорять кэш
всяким хламом, очень хорошо помогает против чатов). Вторая
“режет” всё что попадёт под эти слова. |
| Q:. | Насколько я понял, настройки ipchains
по умолчанию практически закрывают доступ по всем портам, и их надо
править для того чтобы открыть нужный сервис. Так ли это? |
| A:. | Не совсем. Такие настройки сети, о которых вы говорите, создаёт
программа Fwctl. Возможно, эту программу
следует устанавливать без явной необходимости. |
| Q:. | Т.е. предлагаете не использовать межсетевой экран (firewall)? Или
использовать другой? |
| A:. | Просто Fwctl — очень
своеобразный пакет для настройки fw.
Возможно, следует использовать что-нибудь другое для этих целей. Если в
используемом вами дистрибутиве есть данный пакет — ознакомьтесь с
документацией перед его использованием. |