Domino 9.0.1 ubuntu 12.04 (и новее)

[lmike]

очередные перлы от ИБМ, с нарушением всех секуритей
как известно существую т.н. привилегированные порты - все, с номером < 1024
к этим портам не могут биндится процессы от юзеров (только от рута), попытки обходить это с chmod +s bindsock
на большинстве ядер не работают:
-r-sr-sr-x 1 root daemon 9880 окт. 15 2013 /opt/ibm/domino/notes/90010/linux/bindsock
-r-sr-sr-x 1 root bin 9880 сент. 22 19:54 /opt/ibm/domino/notes/90010/linux/bindsock.orig
в то время как старый /opt/ibm/inst/lotus/notes/70010/linux/bindsock вродить не ругалсо (хотя не могу уже утверждать)
за

Ссылка скрыта от гостей

менять ядро на старое ябы наказывал
потому как часто патчат уязвимости (к коим относится и запуск с suid битом)
т.е. разрабы борются за устойчивость системы, а ИБМ класть на них хотела
в тоже время - никто не мешает назначить

Ссылка скрыта от гостей

в names.nsf
как пример - добавить 8 или 80 - чтобы получить 4-значное число
а перенаправлять с пом обычных правил iptables:

$ cat /etc/iptables.up.rules
# Generated by iptables-save v1.4.12 on Tue Sep 23 15:04:52 2014
*nat
REROUTING ACCEPT [2:465]
:INPUT ACCEPT [2:465]
:OUTPUT ACCEPT [5:341]
OSTROUTING ACCEPT [5:341]
-A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8025
-A PREROUTING -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 8465
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
-A PREROUTING -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8143
-A PREROUTING -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 8993
-A PREROUTING -p tcp -m tcp --dport 389 -j REDIRECT --to-ports 8389
-A PREROUTING -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 8636
COMMIT
# Completed on Tue Sep 23 15:04:52 2014

и собсно файл /etc/iptables.up.rules
"подключить" в настройках интерфейсов:

$ cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules

# The primary network interface
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
......

что избавит от пробоем с секкурити и сделает жизнь проще
а как бонус - можно не редайректить 25 и 80 а просто подключить postfix и nginx и обеспечить доп. защиту штатными ср-вами

Добавлено: и таки да - залатать дыру от ИБМ - снять suid с bindsock

sudo chmod -s /opt/ibm/domino/notes/90010/linux/bindsock

Добавлено: хотя в последнем случае - нет жесткой уверенности, что ИБМ не сделало подлянку и где-то попытается заюзать bindsock по-кривому
но мыж знаем - враг не пройдет!

 

[lmike]

про перенаправление портов прочитать

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[lmike]

дополняя картину...
домине нужно много открытых файлов, но лимит (юзеровый) 1024
никаких проблем со сменой лимитов

$sudoedit /etc/security/limits.conf
...
notes soft nofile 60000
notes hard nofile 80000

# End of file

Но в убнте, по умолчанию, для su не включен pam securyty, а потому

$ sudoedit /etc/pam.d/su
...
# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
session required pam_limits.so

раскоментить, ибо запуск домины преполагает su notes -c "/opt/ibm/domino/bin/server"

 

[Мыш]

lmike, у нас Домино 8.5.3 (100 лет нормально работавший!) перестал запускаться как раз после очередного обновления ядра (из-за bindsock'а как раз). Так что насчет подлянки - вопрос сложный

 

[lmike]

Мыш ну дык я и нарисовал корректный способ решения патч ядра не является корректным, как и suid проги - от них стараются избавляться

 

[KhNarg]

Вроде все понятно но не могу победить эту проблему.

из того что я понял

1. создаем файл: iptables.up.rules

2. в нем указываем
# Generated by iptables-save v1.4.12 on Tue Sep 23 15:04:52 2014
*nat
REROUTING ACCEPT [2:465]
:INPUT ACCEPT [2:465]
:OUTPUT ACCEPT [5:341]
OSTROUTING ACCEPT [5:341]
-A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8025
-A PREROUTING -p tcp -m tcp --dport 465 -j REDIRECT --to-ports 8465
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
-A PREROUTING -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8143
-A PREROUTING -p tcp -m tcp --dport 993 -j REDIRECT --to-ports 8993
-A PREROUTING -p tcp -m tcp --dport 389 -j REDIRECT --to-ports 8389
-A PREROUTING -p tcp -m tcp --dport 636 -j REDIRECT --to-ports 8636
COMMIT
# Completed on Tue Sep 23 15:04:52 2014

3. Подключаем файл iptables.up.rules в /etc/network/interfaces
pre-up iptables-restore /etc/iptables.up.rules

4. запуск сервера

как-то не работает... ошибка не исчезла... :facepalm:

 

[lmike]

в АК поправили порты?

Добавлено: первым же постом я дал на ИБМ хэлп для домины - какие порты и там ссылки - как их менять

 

[rinsk]

Скажу сразу - я не спец в линуксах, но может мне кто то пояснить, почему используется Ubuntu, которая обладает сомнительной всеядностью (с сайта: "Ubuntu — это операционная система, идеально подходящая для использования на персональных компьютерах, ноутбуках и серверах.") а не используется то, что рекомендовал самим IBM (Suse,RedHat)?

 

[lmike]

Скажу сразу - я не спец в линуксах, но может мне кто то пояснить, почему используется Ubuntu, которая обладает сомнительной всеядностью (с сайта: "Ubuntu — это операционная система, идеально подходящая для использования на персональных компьютерах, ноутбуках и серверах.") а не используется то, что рекомендовал самим IBM (Suse,RedHat)?

лично я использую из-за свежих пакетов (в сравнении со стабильным Демьяном или Шапкой) и наличие ppa на почти все случаи жизни
в РХ на конфликты реп наталкивался часто
ЦентОС как вариант Шапки, был с запаздыванием, с в т.ч. и по важным патчам (секурити) а платить за Шапку конские деньги - вот не всегда приемлемо
комунити у бубнты широкое набралось (хотя и мусора там много :facepalm: )

Добавлено: Суся - история аналогична Шапке, и пакедж манагер, кот. и не rpm (yum), в классическом понимании и не dkpg (apt) - мну не нра

Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes

 

[rinsk]

лично я использую из-за свежих пакетов (в сравнении со стабильным Демьяном или Шапкой) и наличие ppa на почти все случаи жизни
в РХ на конфликты реп наталкивался часто
ЦентОС как вариант Шапки, был с запаздыванием, с в т.ч. и по важным патчам (секурити) а платить за Шапку конские деньги - вот не всегда приемлемо
комунити у бубнты широкое набралось (хотя и мусора там много :facepalm: )

Добавлено: Суся - история аналогична Шапке, и пакедж манагер, кот. и не rpm и не apt - мну не нра

Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes

С рутом -- понятно.
Контекст вопроса такой - SUSE\RH имеет поддержку от топовых производителей железа, которые позволяет выжать из них по максимуму. конечно почти все линух клоны имеют дефолтовые драйвера на все случаи жизни и народ обычно не заморачивается. А для домины, особенно в высоконагруженных приложениях нужно от железа все что оно может.

 

[KhNarg]

в АК поправили порты?

Добавлено: первым же постом я дал на ИБМ хэлп для домины - какие порты и там ссылки - как их менять

Правильное замечания, их то я родимый и проморгал, спешил сильно...
Теперь все работает как часы

Добавлено:

Добавлено: а дыра с bindsock достаточно серьезна, чтобы её игнорить
только задуматься - рутовые права у юзера notes

А есть где-то внятное объяснение дыры с bindsock
а то поверхностный поиск ничего не дал...

 

[lmike]

на этом файле установлен suid бит, что означает - запуск от рута!
при том, что всю домину - пускают от юзера
учитывая что этот код поддерживается ИБМ и дыры в нем могут не патчиться долго...
а этот бит поставлен - шобы юзать привилегированные порты (кот., как показывает практика, домине юзать не надо :facepalm: )

Ссылка скрыта от гостей

а потому я его еще и снял с bindsock

 

[lmike]

вспомнил..., если мы говорим о рекомендациях от ИБМ, то там есть еще "одна" - в РХ отключить SELinux, т.е. вырубить нафиг весь мандэтори контроль прав
такая вот забота о безопасности

 

[lmike]

ну а почему я предпочту убунту РХ - в т.ч. и по причине

Ссылка скрыта от гостей

(мягко говоря) управления SELinux и "малому" кол-ву предустановленных профилей

Ссылка скрыта от гостей

удобнее, хотя и "менее жесткий"
в СуСе AppArmor -

Ссылка скрыта от гостей

и так мои предпочтения сложились из:
- более актуальный софт
- широчайший набор реп (дебиановский)
-

Ссылка скрыта от гостей

с

Ссылка скрыта от гостей

, где подключение и удаления реп упрощено

Ссылка скрыта от гостей

да, есть свои заморочки, но для моего (невысокого) уровня вникания в систему - некий компромис

 

[KhNarg]

спасибо все понятно

 

[lmike]

С рутом -- понятно.
Контекст вопроса такой - SUSE\RH имеет поддержку от топовых производителей железа, которые позволяет выжать из них по максимуму. конечно почти все линух клоны имеют дефолтовые драйвера на все случаи жизни и народ обычно не заморачивается. А для домины, особенно в высоконагруженных приложениях нужно от железа все что оно может.

позволяют если - тюнить ядро под каждый замысловатый случай, а то и собирать из свежатинки самому (ибо РХ не стремится портировать все прогрессивные веяния)
XFS стала штатной ФС у РХ сравнительно недавно

Ссылка скрыта от гостей

как и присутствие там контейнерых изоляций, и докерс не смый свежий (а стало быть с всякими неудобствами), на данном этапе я не пользую докерс, но планирую
получить

Ссылка скрыта от гостей

я конечно смогу, но саппорта точно не будет и головняк обеспечен
а это серьезное ускорение системы (на минутку)
ИБМ "понять можно" - они свои деньги экономят, на тестирование и оптимизацию
обобщая - с выбором вендора я не согласен (могли бы и свой линух запилить, как это сделал Оракл)

Добавлено: и да - рекомендовать системы - это не означает внимательно относиться к их поддержке:
- стартовых скриптов, за цать лет, не сподобились запилить
- инсталятор не сподобились оформить в нормальные пакеты
- обновления - это ваще что-то с чем-то - искать разрозненную инфу - что отвалится
- отношение к секьюрити наплевательское
для винды - это может и нормально (наплевательство) там МС своего кала добавит, кот. непредсказуем, а вот для остальных систем - очень странное отношение

 

[lmike]

походу скрипт (еще один) нашел

Ссылка скрыта от гостей

 

[rinsk]

Вот и разродился ИБМ с bindsock

Ссылка скрыта от гостей

А планировали вроде только в 9.0.1 FP4. Так что может быть и корявым ))