On Tue, 30 Jun 2009 14:21:51 +0400
Alexander Tiurin wrote:

> https://bugs.launchpad.net/ubuntu/+source/openoffice.org/+bug/257087
> может что-то здесь удасться подчерпнуть.
благодарю, весьма похоже. Привело сюда:
http://www.openoffice.org/issues/show_bug.cgi?id=77322
Касался только writer'a. Первый репорт с версии 2.3. Исправление бага в
версии 3.2

Тему можно считать закрытой.

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36248; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879640

Strong and Humble wrote:

>> И конечно регулярный анализ /var/log/secure, /var/log/messages,
>> /var/log/xferlog
>
> 1ый и 3ий - как получают?
>

В моем дистре (клон RHEL 5.3) в файле /etc/syslog.conf строки

# The authpriv file has restricted access.
authpriv.* /var/log/secure

обеспечивают ведение файла /var/log/secure

В файле /etc/vsftpd/vsftpd.conf строки

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog

отвечают за /var/log/xferlog

Кроме того есть хорошая команда lastlog, выдающая время последнего входа
в сисиему, с какого терминала или IP для каждого пользователя,
имеющегося в системе. Правда в ее выводе присутствует множество
пользователей с состоянием "Never logged in". Поэтому лучше эту команду
давать в виде:

lastlog | grep -v logged

При этом останутся только пользователи реально входившие в систему.

Конечно на взломанной системе полностью доверять выводу этой команды не
стоит, но поскольку ее информация хранится не в текстовом виде, ее не
так то просто подчистить. По крайней мере мне она позволила узнать IP
взломщика.

В Втр, 30/06/2009 в 18:32 +0400, Timothy Silent пишет:
> On Tue, 30 Jun 2009 17:58:28 +0500
> Alexey wrote:
>
> > On Tuesday 30 June 2009 14:22:28 Timothy Silent wrote:
> > > Доброго времени суток.
> > >
> > > У пользователя сабж падает в следующей ситуации:
> > > Новый документ - вставка абзаца из firefox - попытка сохранения.
> > > Офис не отзывается секунд 15, после чего захлопывается и (иногда)
> > > перезапускается. Места на устройствах есть, другие софтины пишут
> > > туда без проблем. С другими документами тот же офис работает как
> > > часы. Если кто-нибудь встречал что-то подобное - пните плиз в
> > > нужную сторону.
> > >
> > > зы: Возможно, переведу человека на ОО.3 но пока это не желательно ни
> > > мне, ни ему.
> > Ни какая ОС, ни какая сборка ООО, ни версия ФФ...
> Не написал потому, что не считал важным (возможно ошибочно).
> > Может расскажите про это?
> "у меня секретов нет" (с)
> os: debian lenny
> oo: дистрибутивный
> ff: 3.0.6
> > Ну и заодно, почему нежелательно ООО 3.0.1/3.1.0 ?
> Мне нежелательно - потому что туда переться надо. Пользователю -
> потому что пока у него имеется (нужная по работе) проверка орфографии
> белорусского языка. Проблема в том, что метод её настройки в оо2 для
> оо3 не катит. Разумеется, можно разобраться. Разумеется, вскоре так и
> сделаю. Но почему нежелательно думаю понятно.
>
В принципе аналогично при тех же словиях. Только сборка amd64. Writer
вылетел после вставки части информации, скопированной с сайта. Хотя
после повторного запуска предложил восстановить битый файл. Восстановил
успешно.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36246; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879635

Strong and Humble wrote:

>> У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
>> а кому надо потом ручками /bin/bash прописываю.
>
> А где Вы это изменили?

В файле /etc/default/useradd заменил SHELL=/bin/bash на SHELL=/sbin/nologin

>
> Аналогично... Как взломали?!
>

Не знаю :-(
Мой сервер ломали дважды. Первый раз через пользователя, имевшего шелл и
слабый пароль. Второй -- через PHP-скрипт. Вовремя не обновил версию
moodle (система дистанционного образования). В moodle обнаружилась
уязвимость и по миру прокатилась серия взломов сайтов с ним на борту.
Под раздачу попал и я :(

> Вход по ssh был по ключу. Тут вот интересно? воз-но ли было взломщикам создать
> ключ, если, они видели pub-часть на предыдущей установке (взломанной ими),
а
> новый ключ был изготовлен на той же машине, что и предыдущий? - Т.е. насколько
> воз-но вычислить другую часть?
>
Насколько понимаю -- нет. Но в этом вопросе я не эксперт.

>> вам советовали обратить внимание на утилиту fail2ban, входящую в
>> большинство дистров. Повторно обращаю Ваше внимание на эту утилиту.
>
> Да, тут не учёт... У Вас нет ссылки на хорошую док-цию? Или пошаговое рук-во
> с
> объяснением шагов?
Это не учет. Это сервис, следящий за попытками подбора паролей и при их
обнаружении блокирует на некоторое время IP источника. Пошагового
руководства для моего Scientific Linux (пересборка RHEL 5.3) нет да и не
нужно. После установки пакета достаточно слегка подправить хорошо
документированный конфиг. Для Debian нашел что-то вроде:
http://blog.sozinov.eu/2007/03/fail2ban.html
Там же есть ссылка на Homepage проекта, где есть документация. (я не
знаю какой у Вас дистр).

Спасибо за Ваш ответ, Eugene:
> И конечно регулярный анализ /var/log/secure, /var/log/messages,
> /var/log/xferlog

1ый и 3ий - как получают?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36243; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879590

Здравствуйте.

Как можно сделать сеть для KVM?

Безуспешно, я пытался так:

kvm -hda a -m 200 -net nic -net tap
Incorrect number of arguments for command
Usage: brctl addif <bridge> <device> add interface to bridge
/etc/kvm/kvm-ifdown: could not launch network script

kvm -hda a -m 200 -net nic
Warning: vlan 0 is not connected to host network

Спасибо за Ваше время.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36242; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879587

Спасибо за Ваш ответ, Eugene:
> Очень помогает если у всех юзверей которым шелл не нужен в качестве
> оболочки задан
>
> /sbin/mologin

У нас - где nologin, где false. Да из "живых" пользователей - всего несколько
записей, причём с доступом к оболочке - только для одного человека...

> У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
> а кому надо потом ручками /bin/bash прописываю.

А где Вы это изменили?

> Еще очень полезно если ssh нужен, повесить его на нестандартный порт.

Было... :-(

> И в /etc/ssh/sshd_config прописать PermitRootLogin no

Аналогично... Как взломали?!

> Если предложенные меры не помогли, возможно повторного взлома не было, а
> bad boy воспользовался известным ему паролем одного из пользователей.

Исключено- пароли для оболочки только у одного меня и "километровые". -
Параноя, знаете ли :-)

Вход по ssh был по ключу. Тут вот интересно? воз-но ли было взломщикам создать
ключ, если, они видели pub-часть на предыдущей установке (взломанной ими), а
новый ключ был изготовлен на той же машине, что и предыдущий? - Т.е. насколько
воз-но вычислить другую часть?

> вам советовали обратить внимание на утилиту fail2ban, входящую в
> большинство дистров. Повторно обращаю Ваше внимание на эту утилиту.
> Очень эффективна.

Да, тут не учёт... У Вас нет ссылки на хорошую док-цию? Или пошаговое рук-во
с
объяснением шагов?

> И еще. Если у Вас на сервере используются PHP-с-крипты, погуглите на тему
> взлома мспользованной Вами версии PHP-скриптов.

Нету, специально.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36241; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879586

On Tue, 30 Jun 2009 17:58:28 +0500
Alexey wrote:

> On Tuesday 30 June 2009 14:22:28 Timothy Silent wrote:
> > Доброго времени суток.
> >
> > У пользователя сабж падает в следующей ситуации:
> > Новый документ - вставка абзаца из firefox - попытка сохранения.
> > Офис не отзывается секунд 15, после чего захлопывается и (иногда)
> > перезапускается. Места на устройствах есть, другие софтины пишут
> > туда без проблем. С другими документами тот же офис работает как
> > часы. Если кто-нибудь встречал что-то подобное - пните плиз в
> > нужную сторону.
> >
> > зы: Возможно, переведу человека на ОО.3 но пока это не желательно ни
> > мне, ни ему.
> Ни какая ОС, ни какая сборка ООО, ни версия ФФ...
Не написал потому, что не считал важным (возможно ошибочно).
> Может расскажите про это?
"у меня секретов нет" (с)
os: debian lenny
oo: дистрибутивный
ff: 3.0.6
> Ну и заодно, почему нежелательно ООО 3.0.1/3.1.0 ?
Мне нежелательно - потому что туда переться надо. Пользователю -
потому что пока у него имеется (нужная по работе) проверка орфографии
белорусского языка. Проблема в том, что метод её настройки в оо2 для
оо3 не катит. Разумеется, можно разобраться. Разумеется, вскоре так и
сделаю. Но почему нежелательно думаю понятно.

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36240; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879571

В Втр, 30/06/2009 в 13:22 +0400, Timothy Silent пишет:
> Доброго времени суток.
>
> У пользователя сабж падает в следующей ситуации:
> Новый документ - вставка абзаца из firefox - попытка сохранения.
> Офис не отзывается секунд 15, после чего захлопывается и (иногда)
> перезапускается. Места на устройствах есть, другие софтины пишут туда
> без проблем. С другими документами тот же офис работает как часы.
> Если кто-нибудь встречал что-то подобное - пните плиз в нужную сторону.
>
> зы: Возможно, переведу человека на ОО.3 но пока это не желательно ни
> мне, ни ему.
>

https://bugs.launchpad.net/ubuntu/+source/openoffice.org/+bug/257087
может что-то здесь удасться подчерпнуть.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36239; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879542

On Tuesday 30 June 2009 14:22:28 Timothy Silent wrote:
> Доброго времени суток.
>
> У пользователя сабж падает в следующей ситуации:
> Новый документ - вставка абзаца из firefox - попытка сохранения.
> Офис не отзывается секунд 15, после чего захлопывается и (иногда)
> перезапускается. Места на устройствах есть, другие софтины пишут туда
> без проблем. С другими документами тот же офис работает как часы.
> Если кто-нибудь встречал что-то подобное - пните плиз в нужную сторону.
>
> зы: Возможно, переведу человека на ОО.3 но пока это не желательно ни
> мне, ни ему.
Ни какая ОС, ни какая сборка ООО, ни версия ФФ...
Может расскажите про это? Ну и заодно, почему нежелательно ООО 3.0.1/3.1.0 ?

Доброго времени суток.

У пользователя сабж падает в следующей ситуации:
Новый документ - вставка абзаца из firefox - попытка сохранения.
Офис не отзывается секунд 15, после чего захлопывается и (иногда)
перезапускается. Места на устройствах есть, другие софтины пишут туда
без проблем. С другими документами тот же офис работает как часы.
Если кто-нибудь встречал что-то подобное - пните плиз в нужную сторону.

зы: Возможно, переведу человека на ОО.3 но пока это не желательно ни
мне, ни ему.

Timohty Silent

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36237; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879300

Крохин Анатолий Александрович wrote:
> :( надо же какая неприятность - я ее удалил. Буду пытаться сегодня
> вечером искать ее на сайте...
>

Зачем искать? Повторю :-)

Сразу оговорюсь: имею опыт работы только с семейством RedHat. Возможно
для Debian-like дистрибутивов придется внести некоторые коррективы.

Тормоза при запуске некоторых программ связаны с тем, что при их запуске
проверяется имя и IP Вашего хоста. Чтобы при этом не происходило
обращение к DNS надо, чтобы первым делом эта информация искалась в
другом месте (файл /etc/hosts). Для этого в файле /etc/nsswitch.conf
должна быть строка:

hosts: files dns

а в файле /etc/hosts должны быть определены все имена и IP Вашего
компьютера. У меня, например там записано:

127.0.0.1 localhost.localdomain localhost
192.168.1.22 ses-h.localnet ses-h

ses-h.localnet надо заменить на строку, которую у Вас выдает команда

hostname

а ses-h на часть этой строки до первой точки.

Найдя нужную информацию в файле /etc/hosts система не будет обращаться к
DNS.

Успехов Вам :)

В Tue, 30 Jun 2009 10:26:45 +0400
Eugene Saenko <caspar***@m*****.ru> пишет:

> См. мой ответ в ветке "Тормоза запуска программ при недоступности DNS" в
> этой рассылке несколько дней назад.

:( надо же какая неприятность - я ее удалил. Буду пытаться сегодня
вечером искать ее на сайте...

Крохин Анатолий Александрович wrote:

> 2) Как бы все сконфигурить, чтобы он стартовал быстро и не было бы

См. мой ответ в ветке "Тормоза запуска программ при недоступности DNS" в
этой рассылке несколько дней назад.