Domino 9.0.1 ubuntu 12.04 (и новее)

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#1
очередные перлы от ИБМ, с нарушением всех секуритей ;)
как известно существую т.н. привилегированные порты - все, с номером < 1024
к этим портам не могут биндится процессы от юзеров (только от рута), попытки обходить это с chmod +s bindsock
на большинстве ядер не работают:
-r-sr-sr-x 1 root daemon 9880 окт. 15 2013 /opt/ibm/domino/notes/90010/linux/bindsock
-r-sr-sr-x 1 root bin 9880 сент. 22 19:54 /opt/ibm/domino/notes/90010/linux/bindsock.orig
в то время как старый /opt/ibm/inst/lotus/notes/70010/linux/bindsock вродить не ругалсо (хотя не могу уже утверждать)
за рекомендациименять ядро на старое ябы наказывал
потому как часто патчат уязвимости (к коим относится и запуск с suid битом)
т.е. разрабы борются за устойчивость системы, а ИБМ класть на них хотела ;)
в тоже время - никто не мешает назначить порты в names.nsf
как пример - добавить 8 или 80 - чтобы получить 4-значное число
а перенаправлять с пом обычных правил iptables:
$ cat /etc/iptables.up.rules
# Generated by iptables-save v1.4.12 on Tue Sep 23 15:04:52 2014
*nat
:PREROUTING ACCEPT [2:465]
:INPUT ACCEPT [2:465]
:OUTPUT ACCEPT [5:341]
:POSTROUTING ACCEPT [5:341]
-A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8025
-A PREROUTING -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 8465
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
-A PREROUTING -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8143
-A PREROUTING -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 8993
-A PREROUTING -p tcp -m tcp --dport 389 -j REDIRECT --to-ports 8389
-A PREROUTING -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 8636
COMMIT
# Completed on Tue Sep 23 15:04:52 2014
и собсно файл /etc/iptables.up.rules
"подключить" в настройках интерфейсов:
$ cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules

# The primary network interface
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
......
что избавит от пробоем с секкурити и сделает жизнь проще
а как бонус - можно не редайректить 25 и 80 а просто подключить postfix и nginx и обеспечить доп. защиту штатными ср-вами

Добавлено: и таки да - залатать дыру от ИБМ - снять suid с bindsock
sudo chmod -s /opt/ibm/domino/notes/90010/linux/bindsock
Добавлено: хотя в последнем случае - нет жесткой уверенности, что ИБМ не сделало подлянку и где-то попытается заюзать bindsock по-кривому ;)
но мыж знаем - враг не пройдет! :D
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#3
дополняя картину...
домине нужно много открытых файлов, но лимит (юзеровый) 1024
никаких проблем со сменой лимитов
$sudoedit /etc/security/limits.conf
...
notes soft nofile 60000
notes hard nofile 80000

# End of file
Но в убнте, по умолчанию, для su не включен pam securyty, а потому
$ sudoedit /etc/pam.d/su
...
# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
session required pam_limits.so
раскоментить, ибо запуск домины преполагает su notes -c "/opt/ibm/domino/bin/server"
 

Мыш

Well-Known Member
Lotus team
12.02.2008
1 084
13
#4
lmike, у нас Домино 8.5.3 (100 лет нормально работавший!) перестал запускаться как раз после очередного обновления ядра (из-за bindsock'а как раз). Так что насчет подлянки - вопрос сложный :)
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#5
Мыш ну дык я и нарисовал корректный способ решения ;) патч ядра не является корректным, как и suid проги - от них стараются избавляться
 

KhNarg

Well-Known Member
16.10.2014
78
2
Киев
#6
Вроде все понятно но не могу победить эту проблему.

из того что я понял

1. создаем файл: iptables.up.rules

2. в нем указываем
# Generated by iptables-save v1.4.12 on Tue Sep 23 15:04:52 2014
*nat
:PREROUTING ACCEPT [2:465]
:INPUT ACCEPT [2:465]
:OUTPUT ACCEPT [5:341]
:POSTROUTING ACCEPT [5:341]
-A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8025
-A PREROUTING -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 8465
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
-A PREROUTING -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8143
-A PREROUTING -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 8993
-A PREROUTING -p tcp -m tcp --dport 389 -j REDIRECT --to-ports 8389
-A PREROUTING -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 8636
COMMIT
# Completed on Tue Sep 23 15:04:52 2014

3. Подключаем файл iptables.up.rules в /etc/network/interfaces
pre-up iptables-restore /etc/iptables.up.rules

4. запуск сервера

как-то не работает... ошибка не исчезла... :facepalm:
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#7
в АК поправили порты?

Добавлено: первым же постом я дал на ИБМ хэлп для домины - какие порты и там ссылки - как их менять
 

rinsk

Well-Known Member
Lotus team
12.11.2009
895
84
Казань
#8
Скажу сразу - я не спец в линуксах, но может мне кто то пояснить, почему используется Ubuntu, которая обладает сомнительной всеядностью (с сайта: "Ubuntu — это операционная система, идеально подходящая для использования на персональных компьютерах, ноутбуках и серверах.") а не используется то, что рекомендовал самим IBM (Suse,RedHat)?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#9
Скажу сразу - я не спец в линуксах, но может мне кто то пояснить, почему используется Ubuntu, которая обладает сомнительной всеядностью (с сайта: "Ubuntu — это операционная система, идеально подходящая для использования на персональных компьютерах, ноутбуках и серверах.") а не используется то, что рекомендовал самим IBM (Suse,RedHat)?
лично я использую из-за свежих пакетов (в сравнении со стабильным Демьяном или Шапкой) и наличие ppa на почти все случаи жизни
в РХ на конфликты реп наталкивался часто
ЦентОС как вариант Шапки, был с запаздыванием, с в т.ч. и по важным патчам (секурити) а платить за Шапку конские деньги - вот не всегда приемлемо ;)
комунити у бубнты широкое набралось (хотя и мусора там много :facepalm: )

Добавлено: Суся - история аналогична Шапке, и пакедж манагер, кот. и не rpm (yum), в классическом понимании ;) и не dkpg (apt) - мну не нра

Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes
 

rinsk

Well-Known Member
Lotus team
12.11.2009
895
84
Казань
#10
лично я использую из-за свежих пакетов (в сравнении со стабильным Демьяном или Шапкой) и наличие ppa на почти все случаи жизни
в РХ на конфликты реп наталкивался часто
ЦентОС как вариант Шапки, был с запаздыванием, с в т.ч. и по важным патчам (секурити) а платить за Шапку конские деньги - вот не всегда приемлемо ;)
комунити у бубнты широкое набралось (хотя и мусора там много :facepalm: )

Добавлено: Суся - история аналогична Шапке, и пакедж манагер, кот. и не rpm и не apt - мну не нра

Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes
С рутом -- понятно.
Контекст вопроса такой - SUSE\RH имеет поддержку от топовых производителей железа, которые позволяет выжать из них по максимуму. конечно почти все линух клоны имеют дефолтовые драйвера на все случаи жизни и народ обычно не заморачивается. А для домины, особенно в высоконагруженных приложениях нужно от железа все что оно может.
 

KhNarg

Well-Known Member
16.10.2014
78
2
Киев
#11
в АК поправили порты?

Добавлено: первым же постом я дал на ИБМ хэлп для домины - какие порты и там ссылки - как их менять
Правильное замечания, их то я родимый и проморгал, спешил сильно...
Теперь все работает как часы

Добавлено:
Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes
А есть где-то внятное объяснение дыры с bindsock
а то поверхностный поиск ничего не дал...
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#12
на этом файле установлен suid бит, что означает - запуск от рута!
при том, что всю домину - пускают от юзера
учитывая что этот код поддерживается ИБМ и дыры в нем могут не патчиться долго...
а этот бит поставлен - шобы юзать привилегированные порты (кот., как показывает практика, домине юзать не надо :facepalm: )
http://habrahabr.ru/post/84635/
а потому я его еще и снял с bindsock
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#13
вспомнил..., если мы говорим о рекомендациях от ИБМ, то там есть еще "одна" - в РХ отключить SELinux, т.е. вырубить нафиг весь мандэтори контроль прав :rolleyes:
такая вот забота о безопасности :)
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#14
ну а почему я предпочту убунту РХ - в т.ч. и по причине не вполне комфортного (мягко говоря) управления SELinux и "малому" кол-ву предустановленных профилей
AppArmorудобнее, хотя и "менее жесткий"
в СуСе AppArmor -
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

и так мои предпочтения сложились из:
- более актуальный софт
- широчайший набор реп (дебиановский)
-
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
с ppa, где подключение и удаления реп упрощено
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

да, есть свои заморочки, но для моего (невысокого) уровня вникания в систему - некий компромис
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 439
351
homepage.mac.com
#16
С рутом -- понятно.
Контекст вопроса такой - SUSE\RH имеет поддержку от топовых производителей железа, которые позволяет выжать из них по максимуму. конечно почти все линух клоны имеют дефолтовые драйвера на все случаи жизни и народ обычно не заморачивается. А для домины, особенно в высоконагруженных приложениях нужно от железа все что оно может.
позволяют если - тюнить ядро под каждый замысловатый случай, а то и собирать из свежатинки самому (ибо РХ не стремится портировать все прогрессивные веяния)
XFS стала штатной ФС у РХ сравнительно недавно http://siliconangle.com/blog/2014/06/11/re...ectory-support/
как и присутствие там контейнерых изоляций, и докерс не смый свежий (а стало быть с всякими неудобствами), на данном этапе я не пользую докерс, но планирую
получить EnhanceIO я конечно смогу, но саппорта точно не будет и головняк обеспечен
а это серьезное ускорение системы (на минутку)
ИБМ "понять можно" - они свои деньги экономят, на тестирование и оптимизацию ;)
обобщая - с выбором вендора я не согласен :) (могли бы и свой линух запилить, как это сделал Оракл)

Добавлено: и да - рекомендовать системы - это не означает внимательно относиться к их поддержке:
- стартовых скриптов, за цать лет, не сподобились запилить
- инсталятор не сподобились оформить в нормальные пакеты
- обновления - это ваще что-то с чем-то - искать разрозненную инфу - что отвалится
- отношение к секьюрити наплевательское
для винды - это может и нормально (наплевательство) там МС своего кала добавит, кот. непредсказуем, а вот для остальных систем - очень странное отношение