Вопросы работы сетей

Frequently Asked Questions about ALT Linux products

Q: Установил Master 2.2, при попытке запустить kppp из-под пользователя получаю сообщение: You're not allowed to dial out with kppp. Contact your system administrator. От пользователя root все работает. Как выдать права пользователю?
Q: Почта не ходит!
Q: Почему после установки сервера и его активации (в ntsysv, DrakConf, /etc/xinetd.d/*) он недоступен из сети?
Q: Обнаружил в Sisyphus FTP-серверы: ProFTPd, vsftpd, tftp-server. К чему так много? И какой из них будет установлен по умолчанию?
Q: Как можно в ssh сделать так, чтобы определённые пользователи могли заходить только с определённых машин, причём другие пользователи с этих машин всё же могли бы зайти. Если такое возможно, конечно.
Q: Как отключить рекламу с помощью squid?
Q:

Установил Master 2.2, при попытке запустить kppp из-под пользователя получаю сообщение: “You're not allowed to dial out with kppp. Contact your system administrator”. От пользователя root все работает. Как выдать права пользователю?

A:

Добавьте имя пользователя, которому вы даете право на запуск kppp, в файл /etc/kppp.allow. Учтите также, что для каждого пользователя необходимо задавать параметры модемного соединения.

Q:

Почта не ходит!

A:

По умолчанию в соответствии с политикой безопасности postfix настроен на работу только с локальными почтовыми клиентами, а также может отправлять почту на внешние SMTP-сервера. Если вам необходимо получать или пересылать почту через данный сервер с внешних хостов, отредактируйте соответствующим образом файлы конфигурации postfix. Для нормальной работы postfix с “внешней” почтой необходим доступ к корректно настроенному серверу DNS.

Q:

Почему после установки сервера и его активации (в ntsysv, DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A:

По умолчанию в дистрибутивах ALT Linux xinetd сконфигурирован с опцией only_from = 127.0.0.1, разрешающей доступ к сервисам, запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или закомментируйте эту строку в /etc/xinetd.conf. В последнем случае настоятельно рекомендуем ввести ограничения в индивидуальные файлы настройки сервисов в каталоге /etc/xinetd.d/. После внесения изменений в конфигурацию xinetd необходимо перезагрузить сервис командой:

# service xinetd reload
        

Если проблема не в этом — обратите внимание на настройки межсетевого экрана (firewall), которые можно получить при помощи команд:

# service iptables status (для Linux 2.4.X)
        
# service ipchains status (для Linux 2.2.X)
        

Проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny.

Q:

Обнаружил в Sisyphus FTP-серверы: ProFTPd, vsftpd, tftp-server. К чему так много? И какой из них будет установлен по умолчанию?

A:

Мы советовали бы руководствоваться следующими соображениями при выборе FTP-сервера:

  1. vsftpd — считается наиболее защищённым и удобным в плане настройки сервером.

  2. ProFTPd — считается наиболее гибким и многофункциональным в настройке сервером.

  3. tftp-server — несмотря на своё “похожее” название TFTP (Trivial File Transfer Protocol) не имеет никакого отношения к стандартному протоколу FTP и предназначен для начальной загрузки (boot) бездисковых рабочих станций по сети.

Q:

Как можно в ssh сделать так, чтобы определённые пользователи могли заходить только с определённых машин, причём другие пользователи с этих машин всё же могли бы зайти. Если такое возможно, конечно.

A:

Возможно при помощи RSA(DSA)-ключей, если используется RSA(DSA) Authentication. В нашем openssh-сервере присутствует не анонсированная возможность хранить ключи не только в $HOME/.ssh, но и в /etc/openssh/authorized_keys*, что даёт возможность администратору контролировать ключи пользователей.

Q:

Как отключить рекламу с помощью squid?

A:

Вот реальный пример:

acl QUERY urlpath_regex banner banners recklama linkexch banpics 

no_cache deny QUERY 

acl BANNER url_regex banners recklama linkexch banpics us\.yimg\.com 

http_access deny BANNER 

        

Первая строка запрещает squid помещать указанные в ней объекты в свой кэш (помогает не засорять кэш всяким хламом, очень хорошо помогает против чатов). Вторая “режет” всё, что попадёт под эти слова.