Domino 9.0.1 ubuntu 12.04 (и новее)

Тема в разделе "Lotus - Администрирование", создана пользователем lmike, 23 сен 2014.

  1. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    очередные перлы от ИБМ, с нарушением всех секуритей ;)
    как известно существую т.н. привилегированные порты - все, с номером < 1024
    к этим портам не могут биндится процессы от юзеров (только от рута), попытки обходить это с chmod +s bindsock
    на большинстве ядер не работают:
    -r-sr-sr-x 1 root daemon 9880 окт. 15 2013 /opt/ibm/domino/notes/90010/linux/bindsock
    -r-sr-sr-x 1 root bin 9880 сент. 22 19:54 /opt/ibm/domino/notes/90010/linux/bindsock.orig
    в то время как старый /opt/ibm/inst/lotus/notes/70010/linux/bindsock вродить не ругалсо (хотя не могу уже утверждать)
    за рекомендациименять ядро на старое ябы наказывал
    потому как часто патчат уязвимости (к коим относится и запуск с suid битом)
    т.е. разрабы борются за устойчивость системы, а ИБМ класть на них хотела ;)
    в тоже время - никто не мешает назначить порты в names.nsf
    как пример - добавить 8 или 80 - чтобы получить 4-значное число
    а перенаправлять с пом обычных правил iptables:
    и собсно файл /etc/iptables.up.rules
    "подключить" в настройках интерфейсов:
    что избавит от пробоем с секкурити и сделает жизнь проще
    а как бонус - можно не редайректить 25 и 80 а просто подключить postfix и nginx и обеспечить доп. защиту штатными ср-вами

    Добавлено: и таки да - залатать дыру от ИБМ - снять suid с bindsock
    Добавлено: хотя в последнем случае - нет жесткой уверенности, что ИБМ не сделало подлянку и где-то попытается заюзать bindsock по-кривому ;)
    но мыж знаем - враг не пройдет! :D
     
  2. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
  3. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    дополняя картину...
    домине нужно много открытых файлов, но лимит (юзеровый) 1024
    никаких проблем со сменой лимитов
    Но в убнте, по умолчанию, для su не включен pam securyty, а потому
    раскоментить, ибо запуск домины преполагает su notes -c "/opt/ibm/domino/bin/server"
     
  4. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.021
    Симпатии:
    8
    lmike, у нас Домино 8.5.3 (100 лет нормально работавший!) перестал запускаться как раз после очередного обновления ядра (из-за bindsock'а как раз). Так что насчет подлянки - вопрос сложный :)
     
  5. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    Мыш ну дык я и нарисовал корректный способ решения ;) патч ядра не является корректным, как и suid проги - от них стараются избавляться
     
  6. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Вроде все понятно но не могу победить эту проблему.

    из того что я понял

    1. создаем файл: iptables.up.rules

    2. в нем указываем
    # Generated by iptables-save v1.4.12 on Tue Sep 23 15:04:52 2014
    *nat
    :pREROUTING ACCEPT [2:465]
    :INPUT ACCEPT [2:465]
    :OUTPUT ACCEPT [5:341]
    :pOSTROUTING ACCEPT [5:341]
    -A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8025
    -A PREROUTING -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 8465
    -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
    -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
    -A PREROUTING -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8143
    -A PREROUTING -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 8993
    -A PREROUTING -p tcp -m tcp --dport 389 -j REDIRECT --to-ports 8389
    -A PREROUTING -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 8636
    COMMIT
    # Completed on Tue Sep 23 15:04:52 2014

    3. Подключаем файл iptables.up.rules в /etc/network/interfaces
    pre-up iptables-restore /etc/iptables.up.rules

    4. запуск сервера

    как-то не работает... ошибка не исчезла... :facepalm:
     
  7. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    в АК поправили порты?

    Добавлено: первым же постом я дал на ИБМ хэлп для домины - какие порты и там ссылки - как их менять
     
  8. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    797
    Симпатии:
    78
    Скажу сразу - я не спец в линуксах, но может мне кто то пояснить, почему используется Ubuntu, которая обладает сомнительной всеядностью (с сайта: "Ubuntu — это операционная система, идеально подходящая для использования на персональных компьютерах, ноутбуках и серверах.") а не используется то, что рекомендовал самим IBM (Suse,RedHat)?
     
  9. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    лично я использую из-за свежих пакетов (в сравнении со стабильным Демьяном или Шапкой) и наличие ppa на почти все случаи жизни
    в РХ на конфликты реп наталкивался часто
    ЦентОС как вариант Шапки, был с запаздыванием, с в т.ч. и по важным патчам (секурити) а платить за Шапку конские деньги - вот не всегда приемлемо ;)
    комунити у бубнты широкое набралось (хотя и мусора там много :facepalm: )

    Добавлено: Суся - история аналогична Шапке, и пакедж манагер, кот. и не rpm (yum), в классическом понимании ;) и не dkpg (apt) - мну не нра

    Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
    только задуматься - рутовые права у юзера notes
     
  10. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    797
    Симпатии:
    78
    С рутом -- понятно.
    Контекст вопроса такой - SUSE\RH имеет поддержку от топовых производителей железа, которые позволяет выжать из них по максимуму. конечно почти все линух клоны имеют дефолтовые драйвера на все случаи жизни и народ обычно не заморачивается. А для домины, особенно в высоконагруженных приложениях нужно от железа все что оно может.
     
  11. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Правильное замечания, их то я родимый и проморгал, спешил сильно...
    Теперь все работает как часы

    Добавлено:
    А есть где-то внятное объяснение дыры с bindsock
    а то поверхностный поиск ничего не дал...
     
  12. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    на этом файле установлен suid бит, что означает - запуск от рута!
    при том, что всю домину - пускают от юзера
    учитывая что этот код поддерживается ИБМ и дыры в нем могут не патчиться долго...
    а этот бит поставлен - шобы юзать привилегированные порты (кот., как показывает практика, домине юзать не надо :facepalm: )
    http://habrahabr.ru/post/84635/
    а потому я его еще и снял с bindsock
     
  13. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    вспомнил..., если мы говорим о рекомендациях от ИБМ, то там есть еще "одна" - в РХ отключить SELinux, т.е. вырубить нафиг весь мандэтори контроль прав :rolleyes:
    такая вот забота о безопасности :)
     
  14. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    ну а почему я предпочту убунту РХ - в т.ч. и по причине не вполне комфортного (мягко говоря) управления SELinux и "малому" кол-ву предустановленных профилей
    AppArmorудобнее, хотя и "менее жесткий"
    в СуСе AppArmor - https://ru.opensuse.org/SDB:AppArmor
    и так мои предпочтения сложились из:
    - более актуальный софт
    - широчайший набор реп (дебиановский)
    - launchpad с ppa, где подключение и удаления реп упрощено y-ppa
    да, есть свои заморочки, но для моего (невысокого) уровня вникания в систему - некий компромис
     
  15. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    спасибо :rolleyes: все понятно
     
  16. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
    позволяют если - тюнить ядро под каждый замысловатый случай, а то и собирать из свежатинки самому (ибо РХ не стремится портировать все прогрессивные веяния)
    XFS стала штатной ФС у РХ сравнительно недавно http://siliconangle.com/blog/2014/06/11/re...ectory-support/
    как и присутствие там контейнерых изоляций, и докерс не смый свежий (а стало быть с всякими неудобствами), на данном этапе я не пользую докерс, но планирую
    получить EnhanceIO я конечно смогу, но саппорта точно не будет и головняк обеспечен
    а это серьезное ускорение системы (на минутку)
    ИБМ "понять можно" - они свои деньги экономят, на тестирование и оптимизацию ;)
    обобщая - с выбором вендора я не согласен :) (могли бы и свой линух запилить, как это сделал Оракл)

    Добавлено: и да - рекомендовать системы - это не означает внимательно относиться к их поддержке:
    - стартовых скриптов, за цать лет, не сподобились запилить
    - инсталятор не сподобились оформить в нормальные пакеты
    - обновления - это ваще что-то с чем-то - искать разрозненную инфу - что отвалится
    - отношение к секьюрити наплевательское
    для винды - это может и нормально (наплевательство) там МС своего кала добавит, кот. непредсказуем, а вот для остальных систем - очень странное отношение
     
  17. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.082
    Симпатии:
    300
  18. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    797
    Симпатии:
    78
Загрузка...

Поделиться этой страницей