Настройка Linux Ubuntu/Debian

http://packages.ubuntu.com/

CheGuevara — Sat, 24 Dec 2011 13:56:25 GMT

http://packages.ubuntu.com/

Оптимизация Ubuntu (и прочих Linux-ов) под SSD

CheGuevara — Mon, 03 Oct 2011 08:07:09 GMT

Первое, с чего стоит начать — это выбор файловой системы. Если система на десктопе — то особо вопросов не возникает — брать журналируемую ext4 — у которой масса преимуществ перед остальными ФС. Да, будет больше циклов записи на носитель, но будет гарантия того, что в случае сбоя питания вы не потеряете данные. На ноутбуках, нетбуках — имеются батареи, и вероятность отключения из-за потери питания — практически нулевая (но, конечно, всякое бывает), в связи с чем журналирование, обычно рекомендуют отключать. Если это очень хочется сделать, то после установки системы грузимся с liveCD, и пишем в терминале

tune2fs -O ^has_journal /dev/sda1
e2fsck -f /dev/sda1

Другие способы не рекомендуются — потеряете поддержку TRIM. Также не стоит отключать журнал, добавляя параметр "writeback" в конфигурацию fstab — система не запустится из-за ошибки монтирования (если до этого был включен трим).

Следующее, что нужно учесть — файл подкачки. Под моим никсом (сейчас — убунту 11.04) обычно пишется код, смотрятся фильмы в HD и активно серфится интернет. За это время файл подкачки не понадобился ни разу, максимальное потребление ОЗУ было 1Гб, из 2х доступных в нетбуке.

Если Ваш сценарий использования системы подобен моему, или у Вас не десктоп — файл подкачки не нужен. Иначе стоит его перенести на HDD. Если журналирование еще можно оставить, ввиду его относительной безобидности, то своп-раздел — однозначно зло, сжирающее как ограниченные циклы перезаписи, так и недешевые гигабайты, количеством которых современные SSD пока не могут похвастаться.

Ну вот, система поставлена — можно заниматься оптимизацией! Самый первый шаг — включение TRIM — главная технология, которая должна продлить жизнь и распределить нагрузку SSD.
Делается очень просто — открываем fstab (например так)

gksudo gedit /etc/fstab

ищем строчки
«UUID=[NUMS-AND-LETTERS] / ext4 errors=remount-ro 0 1»
и заменяем на
«UUID=[NUMS-AND-LETTERS] / ext4 disсard,errors=remount-ro 0 1»

Обычно по умолчанию трим отключен, но выкладываю способ проверить — заходим под рут и выполняем команды

1. dd if=/dev/urandom of=tempfile count=10 bs=512k oflag=direct //запись 5Мб рандомных данных

2. hdparm --fibmap tempfile //Ищем любой стартовый LBA адрес у файла

3. hdparm --read-sector [ADDRESS] /dev/sdX //Читаем данные со стартового LBA адреса файла, замените [ADDRESS] на свой Starting LBA address из вывода предыдущей команды

4. rm tempfile //Теперь удалим временный файл и синхронизируем ФС:
5. sync

Повторяем пункт 3 — и смотрим на вывод консоли. Если выведутся нули — то трим работает. Если вы исправили fstab, перезагрузились, но трим не активировался — ищите ошибки в неверном отключении журналирования.

Далее стоит вспомнить о том, что наш никс очень любит вести разнообразные логи. И либо перенести их на HDD, либо держать в ОЗУ до перезагрузки системы. Я считаю, что если у Вас дома не сервер — то оптимален второй вариант, и реализуется он добавлением в fstab следующих строчек

tmpfs /tmp tmpfs defaults 0 0
tmpfs /var/tmp tmpfs defaults 0 0
tmpfs /var/lock tmpfs defaults 0 0
tmpfs /var/spool/postfix tmpfs defaults 0 0

По умолчанию, после каждого открытия файла — система оставляет отметку времени последнего открытия — лишние операции записи. Отучить просто — добавить в fstab перед параметрами

disсard,errors=remount-ro 0

еще парочку опций —
relatime,nodiratime Первая разрешает записывать только время изменения (порой необходимо для стабильной работы некоторых программ), вторая — отменяет запись времени доступа к директориям. В принципе, вместо relatime можно поставить и noatime, который вообще ничего не будет обновлять.

После этого стоит настроить отложенную запись — ядро будет копить данные, ожидающие записи на диск, и записывать их либо при острой необходимости, либо по истечении таймаута. Я ставлю таймаут на 60 секунд, кто-то — на 150.
Для этого открываем /etc/sysctl.conf и добавляем параметры

vm.laptop_mode = 5 // Включение режима
vm.dirty_writeback_centisecs = 6000 время в сСк. Т.е. 100ед = 1секунда

И, напоследок, отключаем I/O планировщик, который был когда-то нужен для лучшего позиционирования головок HDD. Для этого заходит в конфиг граба

/etc/default/grub

и в строчку

GRUB_CMDLINE_LINUX_DEFAULT=«quiet splash» вставляем параметр elevator=noop
По пути можно убрать ненужный и малоинформатиынй сплэш-скрин, сократив время старта системы еще на секунду, просто убрав quiet splash.

Вот, в общем основные моменты. Дальше стоит проявить фантазию — например, перенести куда-нибудь, или вовсе отключить кеш браузеров и тд. В награду за проделанные манипуляции Ваш SSD прослужит вам верой и правдой, и с каждым стартом будет радовать хорошей скоростью.

Многи замечают о необходимости выравнивания разделов.

http://wiki.archlinux.org/index.php/SSD#Partition_Alignment

Если не хотите рисковать — то журнал лучше не отключать. Тогда гарантированно будет работать трим, и некоторая защита данных от крупных системных сбоев.

Внизу — несколько ссылок, по которым получал информацию.

vasilisc.com/ssd_ubuntu
tokarchuk.ru/2011/01/enable-trim-support-in-ubuntu/
sites.google.com/site/linuxoptimization/home/ssd

Источник статьи http://habrahabr.ru/blogs/linux/129551/

Практическое руководство по .htaccess

CheGuevara — Tue, 01 Feb 2011 15:12:43 GMT

Практические решения по использованию файла .htaccess

 Для чего служит .htaccess?

 Набирая адрес в строке браузера, вы получаете на свой компьютер файлы,
 которые отображает браузер. Управление тем, какие файлы и как вам
 показывать (пересылать) осуществляет веб-сервер. Наиболее популярных
 серверов два: IIS и Apache.

 Как и любая программа, веб-сервер имеет определенные настройки. Но, у
 вас, как пользователя Апача может (и скорее всего не будет, если
 говорить о виртуальном хостинге) прав менять конфигурацию Апача через
 его главные файлы, действие которых распространяется на всех
 пользователей этого сервера. Но, вы можете менять некоторые
 конфигурационные файлы, который распространяют свое действие только на
 ваш сайт. Один из таких файлов - .htaccess

 Это файл гибкой настройки веб-сервера Апач. "Гибкий" обозначает, что
 как только вы поменяли что-то в этом файле, изменения тут же вступают
 в силу. С помощью него можно переопределить многие директивы из файла
 httpd.conf (этот файл является главным конфигурационным файлом сервера
 Апач и его действия распространяются полностью на всех пользователей
 данной копии Апача). В случаях, когда у вас нет доступа в файлу
 настройки Апача (тот же виртуальный хостинг), вам поможет именно этот
 файл.

 Этот файл не доступен веб-пользователю из браузера. Если файл
 .htaccess расположен в корневой директории сервера, то его действия
 распространяется на весь сервер, кроме тех папок, где находится другой
 файл .htaccess (и кроме всех папок "ниже" этой папки со вторым
 .htaccess).

 Пример:
 Структура ваших директорий на сервере такая:

 |-user
 | |
 | -user1
 | |
 | -user2
 |
 |-data
 | |
 | -data1
 | |
 | -data2
 |


 Директории user1 и user2 будут вложенными по отношению к директории
 user. Если мы поместим в директорию www файл .htaccess, то его
 действие будет автоматически распространяться и на директории user1 и
 user2.

 В директорию data помещаем другой файл .htaccess, по-сравнению, с тем,
 что находится в директории user. И для директорий data1 и data2 будет
 действовать файл .htacсess, находящийся в data.
 Теперь, в директорию user2 мы помещаем еще один файл .htaccess,
 который отличен от того, что находится в директории 2мя уровнями выше
 (это директория user). В итоге, настройки для директории user2 будут
 определяться только тем файлом .htaccess, который находится в этой
 директории.

 Так как чаще всего Апач настроен так, что всегда ищет этот файл в
 директории, то .htaccess поможет вам быстро и без останова сервера
 произвести его перенастройку.


Синтаксис .htaccess


 Вот обязательной синтаксис, несоблюдение которого приводит к ошибкам
 сервера:

 - пути к файлам (директориям) указываются от корня сервера. Пример:
 /opt/home/www.astanafoto.com/htdocs/config/.htpasswords


 - домены с указанием протокола
 Пример: Redirect / http://www.site.ru
 Файл имеет название именно "точка" htaccess
 Должен быть записан в UNIX-формате. Для оболочки FAR, достигается F4
 (редактирование файла), Shift+F2 (выбрать "сохранить как UNIX-текст").


 Как запретить веб-посетителям читать файлы в директории?

> Запрет на все файлы:

 deny from all
 
 
 Где all обозначает "все".

> Разрешить доступ с определенного ip:

 order allow deny
 deny from all
 allow from <ваш ip>


 В данном случае, <ваш ip> обозначает конкретный адрес.

 Например:

 order allow deny
 deny from all
 allow from 192.126.12.199


> Запретить доступ с определенного ip:

 order allow deny
 deny from all
 deny from <ваш ip>


 Использование <ваш ip> аналогично для примера выше.

> Запрет на группу файлов по маске:

  order allow,deny
 deny from all
 

 Определяет доступ к файлу по его расширению.
 Например запрет на доступ к файлам с расширениям "inc" для
 веб-посетителей:

  order allow,deny
 deny from all
 

 В данном примере сам веб-сервер Апач может обращаться к файлам с таким
 расширениям.

> Запрет на конкретный файл:

 Можно поставить запрет на конкретный файл по его названию и
 расширению.

  order allow,deny
 deny from all
 

 В данном примере стоит запрет на обращения к файлу config.inc.php.

> Пароль на директорию:

 AuthName "Private zone"
 AuthType Basic
 AuthUserFile /pub/home/твой_логин/.htpasswd
 require valid-user


 Значение AuthName будет выводиться для посетителя и может
 использоваться для пояснения запроса авторизации. Значение
 AuthUserFile указывает на место, где хранится файл с паролями для
 доступа к данной директории. Этот файл создается специальной утилитой
 htpasswd.exe.

 Например в директории, которую защищаем паролем создаем такой
 .htaccess:

 AuthName "For Registered Users Only"
 AuthType Basic
 AuthUserFile /pub/site.ru/.htpasswd
 require valid-user


 В этом примере, посетитель при запросе директории, будет читать фразу
 "For Registered Users Only", файл с паролями для доступа должен лежать
 в директории /pub/site.ru/ и называться .htapasswd . Директория
 указывается от корня сервера, если вы неправильно зададите директорию,
 то Апач не сможет прочитать файл .htpasswd и никто не получит доступа
 к данной директории.

> Пароль только на 1 файл:

 Аналогично паролированию директории полностью, можно ставить пароль
 только на 1 файл.
 Пример установки пароля на файл private.zip:

  AuthName "Users zone"
 AuthType Basic
 AuthUserFile /pub/home/твой_логин/.htpasswd
 

> Пароль на группу файлов:
 
 Аналогично, используя , можно ставить пароли по маске файлов.
 Пример установки пароля на доступ ко всем файла с расширением "sql":

  AuthName "Users zone"
 AuthType Basic
 AuthUserFile /pub/home/твой_логин/.htpasswd
 

> Проверка прав доступа

 Задача: есть каталог a1 и в нем два вложенных каталога a2, a3, введено
 2 уровня пользователей. 1 группа имеет доступ только к a1 и a2, 2-я ко
 всем трем каталогам. Необходимо проводить аутентификацию только 1 раз
 - при доступе к a1, но при этом соблюдать права на доступ к а2 и а3.
 Ник и пароль запрашиваются только при входе на а1 - если у пользовательа есть
 доступ на а2 пароль уже не запрашивается. Если на а3 доступа нет,
 вылетит табличка "введите пароль".

 www.site.ru/a1
 www.site.ru/a1/а2
 www.site.ru/a1/a3


 a1 - общий и вместе с тем закрытый. а2 и а3 только для отдельных
 личностей.

 файл .htaccess для каталога а1:

 AuthName "Input password"
 AuthType Basic
 AuthUserFile "/pub/home/login/htdocs/clousearea/.htpasswd"
  require valid-user
 

 файл .htaccess для каталога а2:

 AuthName "Input password"
 AuthType Basic
 AuthUserFile "/pub/home/login/htdocs/clousearea/.htpasswd"
  require user пользователь1 пользователь2 пользователь3
 

 файл .htaccess для каталога а3:

 AuthName "Input password"
 AuthType Basic
 AuthUserFile "/pub/home/абв/htdocs/clousearea/.htpasswd"
  require user пользователь1 пользователь4 пользователь5
 

> Как сделать перенаправление (редирект) посетителя?

 Редирект на другой url:
 Что бы сделать перенаправления посетителя на сайт http://site.ru в .htaccess
 
 Redirect / http://www.site.ru


> Показ разных страниц, в зависимости от IP адреса посетителя:

 SetEnvIf REMOTE_ADDR <нужный ip адрес> REDIR="redir"
 RewriteCond %{REDIR} redir
 RewriteRule ^/$ /another_page.html


 Например, перенаправление посетителей с ip адресом 192.12.131.1 на
 страницу about_my_sity.html:

 SetEnvIf REMOTE_ADDR 192.12.131.1 REDIR="redir"
 RewriteCond %{REDIR} redir
 RewriteRule ^/$ /about_my_sity.html


> Перенаправление посетителя при запросе определенных страниц:

 Это уже для всех сетевых вирусов и сканеров. Теперь любой запрос с
 адресом /_vti_bin будет автоматически перенаправляться на Microsoft:

 redirect /_vti_bin http://www.microsoft.com
 redirect /scripts http://www.microsoft.com
 redirect /MSADC http://www.microsoft.com
 redirect /c http://www.microsoft.com
 redirect /d http://www.microsoft.com
 redirect /_mem_bin http://www.microsoft.com
 redirect /msadc http://www.microsoft.com
 RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1


> Как сделать стартовой другую страницу?

 Что бы поменять страницу, которая будет показываться при обращении к
 директории, пишем:
 
 DirectoryIndex <нужная страница>
 
 
 Можно указывать несколько страниц.
 
 DirectoryIndex index.shtml index.php index.php3 index.html index.htm


> Как заставить Апач обрабатывать SSI директивы?

 SSI позволяют "собирать" страницу из кусочков. В одном кусочке у вас
 код меню, в другом код верхней части страницы, в третьем - нижней. А
 посетитель видет обычную страницу, которая состоит из того кода,
 который входит в ваши кусочки.

 Необходимы обязательные установки в httpd.conf:

 В блоке, начинающемся с  добавьте Includes.
 После, в файле .htaccess пишем:

 AddHandler server-parsed .shtml .shtm .html .htm


> Как заставить Апач выполнять в html документах php код?

 Иногда бывает полезно "обмануть" посетителя, выдавая ему свои
 php-скрипты или иные файлы, как html файлы. Реально используется для
 индексации поисковой системой Rambler php-скриптов. Некоторые делаю
 мелкие фишки, вроде того, что дают фалам расширения совпадающие с
 какими-либо "знаковыми" именами. Например, на сайте www.osg.ru
 используются файлы с расширением osg: index.osg, script.osg и т.п.

 RemoveHandler .html .htm
 AddType application/x-httpd-php .php .htm .html .phtml


 При большой посещаемости сервера может вызвать тормоза. Спрашивайте у
 админа.

> Как самому обрабатывать ошибки Апача?

 Наиболее интересные и полезные ошибки Апача это: 403-404, 500.
 403 - пользователь не прошел аутентификацию, запрет на доступ (Forbided).
 404 - запрашиваемый документ (файл, директория) не найден.
 500 - внутренняя ошибка сервера (к примеру, ошибка в синтаксисе файла .htaccess).
 Для того, что бы пользователю при этих ошибках были показаны ваши
 собственные сообщения об ошибках, в .htaccess пишем:

 ErrorDocument 403 /errors/403.html
 ErrorDocument 404 /errors/404.html
 ErrorDocument 500 /errors/500.html


 При этом при возникновении 404 ошибки пользователю загрузится файл
 errors/403.html.

 Удобно делать собственный обработчик на некоторые ошибки. В .htaccess
 пишем:

 ErrorDocument 403 /errors/error.php?403
 ErrorDocument 404 /errors/error.php?404
 ErrorDocument 500 /errors/error.php?500


 В error.php через $HTTP_SERVER_VARS['REQUEST_URI'] определяем какой
 документ вызвал ошибку и дальше обрабатываем. Если в .htaccess на
 ErrorDocument стоит указание файла с полным путем
 (http://site.ru/error.php), то $HTTP_SERVER_VARS['REQUEST_URI'] будет
 содержать этот файл, а не вызвавший ошибку.

 В Internet Explorer 5.0 неправильно обрабатывается файл, вызывающийся
 при ошибке, если его размер меньше 1 килобайта. Будет вызвана
 стандартная страница IE 404.

> Как поставить запрет на отображение содержимого директории при
> отсутствии индексного файла?

 Предположим, что у вас вся графика, используемая на сайте находится в
 директории img. Посетитель может набрать в адресной строке браузера
 эту директорию и увидеть список всех ваших графических файлов.
 Конечно, это не нанесет вам урона, но можно и не дать такого просмотра
 посетителю. В .htaccess пишем:
 
 Options -Indexes


> Можно ли указать кодировку на все файлы, в которой по умолчанию
> получает документы браузер?

 На заре интернета и зарождения браузеров, часто была ситуация, что
 браузер не мог автоматически определить, в какой из русских кодировок
 написан документ и в браузер выдавалась какая-то каша. Для избежания
 этого указываем, что все отдаваемые страницы будут иметь кодировку
 windows-1251:
 
 AddDefaultCharset windows-1251


> Можно ли указать кодировку на загружаемые файлы?

 При загрузке посетителем файла на сервер, возможна перекодировка его -
 указываем, что все получаемые файлы будут иметь кодировку
 windows-1251:
 
 CharsetSourceEnc windows-1251

Прием и отправка SMS в Linux

CheGuevara — Tue, 01 Feb 2011 09:55:31 GMT

Для организации автоматизации приема и отправки SMS в Linux можно использовать пакет
gnokii и подключенный к системе телефон. В
простейшем случае можно использовать возможность консольной утилиты gnokii из
пакета gnokii-cli, но при необходимости более сложной автоматизации имеет смысл
воспользоваться Perl-модулем GSM::SMS или GSMD::Gnokii.

Устанавливаем gnokii, для Debian/Ubuntu:

sudo apt-get install gnokii-cli gnokii-smsd xgnokii

, где gnokii-cli - интерфейс командной строки, gnokii-smsd демон для работы с
SMS, а xgnokii - GUI интерфейс. Последние два ставим на свое усмотрение.

Подключаем телефон через USB-порт. Смотрим в /var/log/messages к какому
устройству осуществилась привязка (например, /dev/ttyACM0)

Создаем файл конфигурации /home/mc/.gnokiirc

[global]
model = AT
connection = serial
port = /dev/ttyACM0

где, model - тип устройства: AT - для большинства телефонов, series40 - для
телефонов Nokia с системой series40, gnapplet для старых телефонов Nokia Series60.

connection - тип соединения serial - USB/RS-232, irda - инфракрасный порт, bluetooth - Bluetooth.

port - порт, для USB - /dev/ttyACM0 или /dev/ttyUSB0, для Bluetooth указываем
адрес устройства ("aa:bb:cc:dd:ee:ff").

Для USB-устройств также можно попробовать сочетание connection=dku2libusb и
port = N, где N - номер устройства.

Проверяем поддерживается ли телефон:

gnokii --identify

GNOKII Version 0.6.28
IMEI : IMEI56565656565656
Manufacturer : Motorola CE, Copyright 2000
Model : GSM900","GSM1800","GSM1900","MO
Product name : GSM900","GSM1800","GSM1900","MO
Revision : R368_G_0B.A0.0FR

Для мониторинга активности:

gnokii --monitor

Возможности gnokii позволяют достаточно полно контролировать телефон, но нас
интересует работа с SMS.

Чтение SMS:

gnokii --getsms тип_памяти старт стоп

где тип_памяти: SM - для SIM-карты, ME - для внутренней памяти и MT для
комбинированных хранилищ, IN - inbox, OU - outbox. Посмотреть какое хранилище
используется на телефоне можно командой "gnokii --showsmsfolderstatus"
старт - начальная позиция сообщения
cтоп - конечная позиция сообщения, если не указать будет прочитано одно
сообщение, если указать "end" будут выведены все сообщения до конечной позиции

Пример для вывода всех сохраненных SMS:

gnokii --getsms MT 1 end

Для отправки SMS можно использовать команду:

echo "текст" | gnokii --sendsms номер

Например:

echo "тест" | gnokii --sendsms '+79094126426'

Send succeeded with reference 131!

Другой способ отправки: в комплекте с Perl-модулем SMS::Send поставляется
утилита xpl-sender, которую можно использовать не только как пример для
написания скриптов, но и отправлять через неё сообщения:

xpl-sender -m xpl-cmnd -c sendmsg.basic to=+7909344355 body="test"

Вывод содержимого адресной книги:

gnokii --getphonebook MT 1 end

Адресную книгу можно сохранить, а затем восстановить:

gnokii --getphonebook MT 1 end --vcard > phonebook.txt
gnokii --writephonebook --vcard < phonebook.txt

Настройка SMS-шлюза

В состав gnokii входит демон SMSD, который позволяет организовать работу
полноценного SMS-шлюза, на лету обрабатывающего входящие SMS. Для хранения
отправляемых и получаемых сообщений SMSD может использовать СУБД MySQL,
PostgreSQL (плагины gnokii-smsd-mysql и gnokii-smsd-pgsql) или файловое
хранилище (--module file).

Ставим недостающие пакеты:

sudo apt-get install gnokii-smsd-mysql mysql-server

Создаем БД

mysql -u smsgw
> create database smsgw;

Создаем структуру БД, используя поставляемый в комплекте с gnokii-smsd-mysql пример:

mysql -u smsgw smsgw < /usr/share/doc/gnokii-smsd-mysql/sms.tables.mysql.sql

в результате будут созданы три простые таблицы inbox, outbox и multipartinbox,
структура которых имеет следующий вид:

CREATE TABLE inbox (
id int(10) unsigned NOT NULL auto_increment,
number varchar(20) NOT NULL default '',
smsdate datetime NOT NULL default '0000-00-00 00:00:00',
insertdate timestamp DEFAULT CURRENT_TIMESTAMP,
text text,
phone tinyint(4),
processed tinyint(4) NOT NULL default '0',
PRIMARY KEY (id)
);
CREATE TABLE outbox (
id int(10) unsigned NOT NULL auto_increment,
number varchar(20) NOT NULL default '',
processed_date timestamp DEFAULT 0,
insertdate timestamp DEFAULT CURRENT_TIMESTAMP,
text varchar(160) default NULL,
phone tinyint(4),
processed tinyint(4) NOT NULL default '0',
error tinyint(4) NOT NULL default '-1',
dreport tinyint(4) NOT NULL default '0',
not_before time NOT NULL default '00:00:00',
not_after time NOT NULL default '23:59:59',
PRIMARY KEY (id)
);
CREATE TABLE multipartinbox (
id int(10) unsigned NOT NULL auto_increment,
number varchar(20) NOT NULL default '',
smsdate datetime NOT NULL default '0000-00-00 00:00:00',
insertdate timestamp DEFAULT CURRENT_TIMESTAMP,
text text,
phone tinyint(4),
processed tinyint(4) NOT NULL default '0',
refnum int(8) default NULL,
maxnum int(8) default NULL,
curnum int(8) default NULL,
PRIMARY KEY (id)
);

Запускаем smsd:

/usr/sbin/smsd -u smsgw -d smsgw -c localhost -m mysql -f /var/log/smsdaemon.log

где "-u" - имя пользователя БД, "-d" - имя базы, "-с" - хост, а "-m" - модуль хранения.

Отправив теперь SMS на подключенный к компьютеру телефон, smsd сразу перехватит
его и запишет в базу.

выполнив "select * from inbox;" увидим примерно такое:

| id | number | smsdate | insertdate |text | phone | processed |
| 1 | +7909343156224 | 2011-01-20 10:12:05 | 20110120130123 | Test | NULL | 0 |

Для отправки сообщения достаточно добавить новую запись в таблицу outbox, smsd
сразу его подхватит его и отправит. Например:

insert into outbox (number,text) values('+7909344355', 'Тест);

В заключение можно отметить, что smsd может работать без СУБД, используя
файловое хранилище. Пример запуска:

/usr/sbin/smsd -m file -c spool-директория

Для отправки SMS в spool-директории нужно создать файл с любым именем в формате:
номер
текст

после успешной отправки файл будет удален.

Через опцию "-u" можно указать путь к скрипту, который будет выполняться при
каждом получении SMS. Иначе входящие сообщения будут выводиться в стандартный
выходной поток в формате "действие номер дата < текст".

Дополнение: Вместо gnokii можно использовать интенсивно развивающийся форк [[http://wammu.eu/
gammu]], содержащий поддержку некоторых дополнительных телефонов.

Взлом беспроводной сети с протоколом WEP

CheGuevara — Mon, 31 Jan 2011 13:01:42 GMT

Собственно, утилит, специально разработанных для взлома таких сетей и доступных в Интернете, предостаточно. Правда, есть одно ‘но’. Почти все они ‘заточены’ под Linux-системы. Собственно, с точки зрения продвинутого пользователя - это не только не помеха, но и наоборот. А вот обычными пользователями операционная система Linux используется редко, поэтому мы решили ограничиться рассмотрением утилит, поддерживаемых системой Windows XP. Итак, для взлома сети нам, кроме ноутбука с беспроводным адаптером, потребуется утилита aircrack 2.4, которую можно найти в свободном доступе в Интернете.

Она содержит три небольших утилиты: airodump.exe, aircrack.exe и airdecap.exe. Первая утилита предназначена для перехвата сетевых пакетов, вторая - для их анализа и получения пароля доступа и третья - для расшифровки перехваченных сетевых файлов.

Сама процедура взлома Wi-Fi сети достаточно проста. Начинаем с запуска утилиты airodump.exe, которая представляет собой сетевой сниффер для перехвата пакетов. При запуске программы (рис. 1) откроется диалоговое окно, в котором потребуется указать беспроводной сетевой адаптер (Network interface index number), тип чипа сетевого адаптера (Network interface type (o/a)), номер канала беспроводной связи (Channel (s): 1 to 14, 0= all) (если номер канал неизвестен, то можно сканировать все каналы). Также задаётся имя выходного файла, в котором хранятся перехваченные пакеты (Output filename prefix) и указывается, требуется ли захватывать все пакеты целиком (cap-файлы) или же только часть пактов с векторами инициализации (ivs-файлы) (Only write WEP IVs (y/n)). При использовании WEP-шифрования для подбора секретного ключа вполне достаточно сформировать только ivs-файл. По умолчанию ivs-или с ap-файлы создаются в той же директории, что и сама программа airodump. (рис. 1).
После настройки всех опций утилиты airodump откроется информационное окно, в котором отображается информация об обнаруженных точках беспроводного доступа, информация о клиентах сети и статистика перехваченных пакетов (рис. 2).
Если точек доступа несколько, статистика будет выдаваться по каждой из них.
Первым делом, запишите MAC-адрес точки доступа, SSID Wi-Fi сети и MAC-адрес одного из подключённых к ней клиентов (если их несколько). Ну а дальше нужно подождать, пока не будет перехвачено достаточное количество пакетов.

Количество пакетов, которые нужно перехватить для успешного взлома сети, зависит от длины WEP-ключа (64 или 128 бит) ну и, конечно же, от удачи. Если в сети используется 64-битный WEP-ключ, то для успешного взлома вполне достаточно захватить пол миллиона пакетов, а во многих случаях - даже меньше. Время, которое для этого потребуется, зависит от интенсивности трафика между клиентом и точкой доступа, но, как правило, составляет не более нескольких минут. В случае же использования 128-битного WEP-ключа для гарантированного взлома потребуется перехватить порядка двух миллионов пакетов. Для остановки процесса захвата пакетов (работы утилиты) используется комбинация клавиш Ctrl+C.

После того, как выходной ivs-файл сформирован, можно приступать к его анализу. В принципе, это можно делать и параллельно вместе с перехватами пакетов, но для простоты мы рассмотрим последовательное выполнение процедур перехвата и анализа. Для анализа сформированного ivs-файла потребуется утилита aircrack.exe, которая запускается из командной строки. В нашем случае (рис. 3) мы использовали следующие параметры запуска: aircrack.exe -b 00:13:46:1C:A4:5F -n 64 -i 1 out.ivs.
В данном случае ‘-b 00:13:46:1C:A4:5F’ - это указание MAC-адреса точки доступа, ‘-n 64′ - указание длины используемого ключа шифрования, ‘-i 1′ - индекс ключа, а ‘out.ivs’ - это файл, который подвергается анализу.

Результат анализа ivs-файла показан на рис. 4. Вряд ли строка KEY FOUND! Нуждается в комментариях. И обратите внимание, что секретный ключ был вычислен всего за 3 секунды.
Вот так просто и быстро проводится вскрытие Wi-Fi сетей с WEP-шифрованием, и говорить о ‘безопасности’ сетей в данной случае вообще неуместно.

Во всех точках доступа имеются ещё такие возможности, как использование режима скрытого идентификатора сети и фильтрации по MAC-адресам, которые призваны повысить безопасность беспроводной сети. Но не будьте оптимистами - это не спасает. На самом деле, не таким уж и невидимым является идентификатор сети даже при активации этого режима на точке доступа. К примеру, уже упомянутая нами утилита airodump всё равно покажет вам SSID сети, которые впоследствии можно использовать для создания профиля подключения к сети (причём несанкционированного подключения). Ну а если говорить о такой наивной мере безопасности, как фильтрация по MAC-адресам, то здесь вообще всё очень просто. Существует достаточно много разнообразных утилит и под Linux, и под Windows, которые позволяют подменять MAC-адрес сетевого интерфейса. К примеру, для несанкционированного доступа в сеть мы подменяли MAC-адрес беспроводного адаптера с помощью утилиты SMAC 1.2 (рис. 5). Естественно, что в качестве нового MAC-адреса используется MAC-адрес авторизованного в сети клиента, который определяется всё той же утилитой airodump.
Собственно, сама процедура взлома Wi-Fi сетей с протоколом WPA мало чем отличается от уже рассмотренной процедуры взлома Wi-Fi сетей с WEP-протоколом. На первом этапе используется всё тот же сниффер airodump. Однако есть два важных аспекта, которые необходимо учитывать. Во-первых, в качестве выходного файла необходимо использовать именно cap-файл, а не ivs-файл. Для этого в настройке утилиты airodump на последней вопрос ‘Only write WEP IVs (y/n)’ отвечаем ‘нет’.

Во-вторых, в cap-файл необходимо захватить саму процедуру инициализации клиента в сети, то есть придётся посидеть в ‘засаде’ с запущенной программой airodump. Если используется Linux-система, то можно провести атаку, которая заставит произвести процедуру переинициализации клиентов сети, а вот под Windows такая программка не предусмотрена. После того, как в cap-файл захвачена процедура инициализации клиента сети, можно остановить программу airodump и приступить к процессу расшифровки. Накапливать перехваченные пакеты в данном случае нет необходимости, поскольку для вычисления секретного ключа используется только пакеты, передаваемые между точкой доступа и клиентом в ходе инициализации.

Для анализа полученной информации используется все та же утилита aircrack, но с несколько иными параметрами запуска. Кроме того, в директорию с программой aircrack придётся установить ещё один важный элемент - словарь. Такие специализированные словари можно найти в Интернете, например, по ссылке http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/. После этого запускаем из командной строки программу aircrack (рис 6), указывая в качестве выходного файла cap-файл (например, out. cap) и название словаря (параметр - w all, где all - название словаря).
Программа перебора ключей из словаря даёт очень интенсивную нагрузку на процессор, так что если для этого используется маломощный ПК, то на эту процедуру потребуется много времени. Если же для этого используется мощный многопроцессорный сервер или ПК на базе двухъядерного процессора, то в качестве опции можно указать количество используемых процессоров. В результате после нескольких часов работы программы секретный ключ был найден! (рис. 7.)
Это, конечно, не несколько секунд, как в случае с WEP-шифрованием, но тоже неплохой результат, который прекрасно демонстрирует, что и WPA-PSK защита не является абсолютно надёжной. Причём результат взлома секретного ключа никак не связан с тем, какой алгоритм шифрования (TKIP или AES) используется в сети.
Выводы и рекомендации

Рассмотренные нами примеры взлома Wi-Fi сетей довольно наглядно демонстрируют их уязвимость. Если говорить о WEP-протоколе, то его можно сравнить с защитой ‘от дурака’. Поэтому по возможности лучше не использовать этот протокол вообще. Если говорить о таких мерах предосторожности, как фильтрация по MAC-адресам и режим скрытого идентификатора сети, то это вообще ‘детский лепет’, и рассматривать их как защиту нельзя. Однако даже такими средствами не стоит пренебрегать, но только в комплексе с другими мерами.

Протокол WPA хотя и куда более сложен для взлома, но также уязвим. Впрочем, не стоит падать духом - не всё так безнадёжно. Дело в том, что успех взлома секретного WPA-ключа зависит от того, имеется он в словаре или нет. Стандартный словарь, который мы использовали, имеет размер чуть более 40 Мбайт, что, в общем-то, не так уж и много. В результате после трёх попыток, мы сумели подобрать ключ, которого не оказалось в словаре, и взлом ключа оказался невозможным.

Так что не стоит отчаиваться. Шансов, что используемый вами пароль не содержится в словаре, великое множество. Просто при выборе пароля не стоит использовать слова, имеющие смысл. Лучше всего, чтобы это был абсолютно беспорядочный набор символов (что-то типа ‘FGqweRT4j563rvio’).

Настройка сервера DHCP за 5 минут ( dhcp3-server ) с чего начать?

CheGuevara — Wed, 29 Sep 2010 08:36:34 GMT

Ну вот решил небольшое Хауту состряпать... О том как я настроил dhcp3-server для своей домашней Сети.

dhcp , это очень круто, удобно, логично. Даже использование его в домашней Сети оправданно. И очень удобно. ИМХО

И так, что имеем

Сервер на Ubuntu 7.10
На нём крутятся два Сетевых Интерфейса

eth0 - смотрит в "Прогтех". И получает настройки по dhcp
eth1 - смотрит на домашний свитч и имеет настройки address 192.168.0.1 netmask 255.255.255.0 - шлюза нету, так-как настроен NAT.

Итак поехали по шагам

1 - надо поставить пакет dhcp3-server - само сабой репозитарии уже должны быть подключены, например Zorga.

sudo apt-get install dhcp3-server

* После установки демон попытается запуститься, но у него ничего не выйдет, это нормально, так-как конфиг пока не настроен как надо.

2 - надо отконфигурировать конфиг демона dhcpd

sudo nano -w /etc/dhcp3/dhcpd.conf

У меня получилось вот чего -

# Пример /etc/dhcpd.conf
# (добавьте свои комментарии здесь)
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
option domain-name-servers 62.117.85.76, 62.117.85.58;
# option domain-name "mydomain.org";

subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.2 192.168.0.100; interface eth1;}

Вот это дело можно скопировать и вставить к себе в конец конфига.

# option domain-name "mydomain.org"; —- Что это за параметр пока не очень понятно мне. Разберусь отпишу.

Всё, далее надо это дело подправить под себя и сохранить.

3 - Перезапускаем демона dhcp3-server

sudo /etc/init.d/dhcp3-server restart

При успешном старте сервера должно быть нечто вроде этого -

daldon@ubuntu:~$ sudo /etc/init.d/dhcp3-server restart
[sudo] password for daldon:
 * Stopping DHCP server dhcpd3 [ OK ] 
 * Starting DHCP server dhcpd3 [ OK ]

4 - Идём и выставляем на машине которая будет расти на домашнем свитче "получить Сетевой адрес автоматически".

После этого первая машина должна получить следующие параметры - у меня это был подопотный тазик под Маздаем.

IP 192.168.0.100
Mask 255.255.255.0
GW 192.168.0.1
Dns 62.117.85.58 и 62.117.85.76

Всё очень не трудно сделать, но есть одно, НО из-за которого я собственно и затеял я писать инструкцию...

По началу я не нашёл ничего в конфиге такого, что явно указывало-бы мне на ту плату которая будет раздавать для ПК которые кричат "ау-ау! Дайте адрес!" адреса, а так-как я очень слаб в английском то пришлось искать это дело на Русском, и вот я нашёл кусочек - http://forum.ubuntu.ru/index.php?topic=12101.0

Попробывав это дело, я вывел вот это -

subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.2 192.168.0.100; interface eth1;}

- почему-то этого как-то нету особо, может конечно сервер сам читает Сетевые конфиги, и уже понимает куда надо раздавать, но знаете ли, бережённого Бог бережёт. Мне не очень охото раздавать адреса в "Прогтех", а потом быть за это несчадно выпоротым провайдером.

И так я сначало попробывал сделать вот так subnet 192.168.0.0 netmask 255.255.255.0 {range 192.168.0.2 192.168.0.100; interface eth5;}

Такого интерфейса у меня нету в Системе, и при запуске демона получил сообщение в котором говорилось, что мол нету у тебя дядя такого девайса... Из этого я сделал вывод, что этот параметр корректно отрабатывается.

Затем я пробывал по разному перекидывал демона на другой интерфейс, и всё работало на другом. Поэтому пришедши к выводу, что адреса раздаются только во внутренню Сеть я успокоился. И теперь мне осталось привязать это дело к макам моих домашних карт - ибо нефиг! Об этом попозже расскажу как и чего у меня вышло из этой идеи.

Ну вот собственно не сложно всё, скоро я думаю, у меня побежит фтп на сервере, и вся приблуда которая успешно разгрузит мой домашний ПК, и мне удобно и всем хорошо. И самое главное получен опыт. - В общем это главня цель.

Копипаст отсюдава: http://unsorted.me/viewtopic.php?t=59622

Установка свежих драйверов Nvidia на Ubuntu

CheGuevara — Tue, 28 Sep 2010 20:45:03 GMT

nVidia released the new 256.35 display drivers as stable, just 2 days after the release candidate.

nVidia 256.53 graphics drivers highlights:

Added unofficial GLX protocol support
Improved Thermal Settings reporting in nvidia-settings to accurately reflect hardware configurations with multiple thermal sensors.
Fixed an interaction problem between Compiz and 'screen-scraping' VNC servers like x11vnc and vino that caused the screen to stop updating.
Enhanced VDPAU to add basic support for Xinerama. VDPAU will now operate on a single physical X screen under Xinerama. See the README for more details.
Enhanced VDPAU's handling of corrupt clips of all formats on GPUs with VDPAU feature set C to be at least as good as on GPUs with VDPAU feature set B. This significantly improves various clips provided by nvnews.net user eamiller.
Fixed a bug in Xv attribute handling that caused hue, saturation,brightness, and contrast values to be misapplied when using an Xv overlay adaptor.
Implemented new APIs to allow sharing VDPAU surfaces with OpenGL andCUDA.
Removed precompiled kernel interfaces from the NVIDIA Linux-x86 .run file;

And many other improvements and bug fixes. The complete release notes can be found HERE.

Important note before trying to upgrade: these drivers will only work with GeForce 6 and above!

The easiest way to upgrade to the latest nVidia 256.35 display drivers in Ubuntu (Maverick, Lucid, Karmic, Jaunty, Intrepid or Hardy) is to use the following PPA (just copy/paste the commands in a terminal):

1. Add the PPA

-For Ubuntu Lucid and Maverick:

sudo add-apt-repository ppa:ubuntu-x-swat/x-updates

-For Ubuntu Karmic, Jaunty, Intrepid and Hardy:

sudo sh -c "echo 'deb http://ppa.launchpad.net/nvidia-vdpau/ppa/ubuntu UBUNTU_VERSION main' >> /etc/apt/sources.list"
sudo sh -c "echo 'deb-src http://ppa.launchpad.net/nvidia-vdpau/ppa/ubuntu UBUNTU_VERSION main' >> /etc/apt/sources.list"

Replace the "UBUNTU_VERSION" in the commands above with your Ubuntu version (karmic, jaunty, intrepid or hardy).

2. Install the nVidia display drivers

-For Ubuntu Lucid and Maverick:

sudo apt-get update && sudo apt-get install nvidia-current nvidia-current-modaliases nvidia-settings

Then go to System > Administration > Hardware Drivers and make sure "Nvidia current" is activated.

-For Ubuntu Karmic, Jaunty, Intrepid and Hardy:

sudo apt-get update && sudo apt-get install nvidia-glx-256 nvidia-256-modaliases nvidia-settings

Then go to System > Administration > Hardware Drivers and make sure Nvidia 256.35 graphics drivers are activated.

And finally, restart.

If for some reason the new drivers do not work properly, use PPA Purge to remove the PPA and revert all the changes.

To find our if your graphics card is supported, go HERE and click on the SUPPORTED PRODUCTS tab.

Автомонтирование диска при загрузке системы Ubuntu

CheGuevara — Sat, 28 Aug 2010 12:46:21 GMT

Для начала ставим программу gparted

Code

sudo apt-get install gparted

В версии 0.5.1. Под строкой меню с правой стороный окна будет выпадающий список HDD, выбираем тот который нам необходимо автоматически монтировать при загрузке. Скажем это будет /dev/sdb

Затем нажимаем на необходимом разделе правой кнопкой мыши и в открывшемся меню выбираем пункт "Информация".
В открывшемся окне ищем строку UUID копируем это поле.
Далее открываем файл fstab

Code

sudo gedit /etc/fstab

Проанализировав его можно с легкостью не смотреть дальше мануал но все же напишу как следовать дальше:

* Первое поле, (файловая система), довольно простое для понимания. Оно сообщает команде mount, что монтировать, поэтому вам следует заменить его на имя монтируемого устройства.
* Второе поле, (директория), собщает команде mount, куда монтировать .

* Поле (тип) сообщает команде mount тип файловой системы монтируемого устройства. Поддерживается много различных файловых система. Полный список поддерживаемых систем смотрите в man mount. Самые распространённые файловые системы: ext2, ext3, reiserfs, xfs, jfs, smbfs, iso9660, vfat, ntfs, swap и auto. 'auto' НЕ является файловой системой, она позволяет команде mount определять, какой тип файловой системы используется. Это удобно для съёмных устройств, дисководов и cdrom'ов.

* Следующее поле называется (опции). Приведены только самые распространённые опции. Для полного их списка смотрите .

auto Файловая система монтируется при загрузке автоматически или после выполнения команды 'mount -a'.
noauto Файловая система может быть смонтирована только вручную.
exec Это опция по умолчанию. Она позволяет вам исполнять бинарные файлы на этом разделе диска.
noexec Бинарные файлы не выполняются. НИКОГДА не используйте эту опцию на вашей корневой системе!
ro Монтирует файловую систему только для чтения
rw Монтирует файловую систему для чтения/записи
sync Все операции ввода/вывода должны выполняться синхронно
async Все операции ввода/вывода должны выполняться асинхронно
user Разрешает любому пользователю монтировать файловую систему. Применяет опции noexec,nosuid,nodev, если они не переопределены.
nouser Только суперпользователь может монтировать файловую систему. Это также настройка по умолчанию.
defaults Использовать значения по умолчанию. То же самое, что и rw,suid,dev,exec,auto,nouser,async.
suid Разрешить операции с suid и sgid битами. В основном используются, чтобы позволить пользователям выполнять бинарные файлы со временно
приобретёнными привилегиями для выполнения определённой задачи.
nosuid Запрещает операции с suid и sgid битами.
nodev Данная опция предполагает что на монтируемой файловой системе не будут созданы файлы устройств (/dev). Корневой каталог и целевая
директория команды chroot всегда должны монтироваться с опцией dev или defaults.
noatime Отключить возможность получения информации о последнем доступе/изменении файла.
notail Данная опция работает только с ReiserFS! Отключить "упаковку хвостов файлов".

Примечание: вместо указания имени устройства, вы можете показать файловую систему, которую хотите смонтировать, указывая её UUID или метку тома, написав LABEL= или UUID=, например, `LABEL=Boot' или `UUID=3e6be9de-8139-11d1-9106-a43f08d823a6'.

Теперь как добавлял я:

Добавляем в конце строчку UUID= куда и вписываем UUID который только что узнали с помощью утилиты gparted, далее прописываем путь по которому будет монтироватся раздел (скажем /media/1TB1, затем файловую систему, затем параметры монтирования (я что бы не мучатся ставил defaults).

Теперь о пятом поле, . Запись используется утилитой dump для того чтобы решить, когда делать резервную копию. Будучи установленной (dump не входит в стандартную систему установки), dump проверяет эту запись и использует число, чтобы решить, надо ли делать резервную копию. Возможные значения поля - 0 и 1. Если 0, то dump игнорирует файловую систему, если 1, то dump сделает резервную копию. У большинства пользователей dump не установлен, поэтому это могут записать в поле 0.

У меня получилась строчка вида:

Code

UUID=76d539dd-452c-438f-8b73-815e4714e663 /media/1TB2 ext4 defaults 0 2

Утилита mysqldump и шпаргалка по параметрам

CheGuevara — Fri, 27 Aug 2010 12:21:05 GMT

Утилита mysqldump позволяет получить дамп
содержимого базы данных или совокупности баз для создания резервной
копии или пересылки данных на другой SQL-сервер (не обязательно
MySQL-сервер). Дамп будет содержать набор команд SQL для создания и/или
заполнения таблиц.

Так же mysqldump имеет возможность развертывания баз данных из созданного sql-файла.

Создание дампа

Разберем пример простейшее использования, задампим базу данных «database» при помощи перенаправления потока в файл «database.sql»:

Code

mysqldump -uroot -h82.82.82.82 -p database > database.sql

* -u или -–user=... — имя пользователя
* -h или --host=... — удаленный хост (для локального хоста можно опустить этот параметр)
* -p или --password — запросить пароль
* database — имя базы данных
* database.sql — файл для дампа

Для того чтобы сделать дамп несколько баз данных, необходимо использовать параметр --databases (или сокращенно -B), пример:

Code

mysqldump -uroot -h82.82.82.82 -p -B database1 database2 database3 > databases.sql

А для того чтобы сделать дамп всех баз данных, необходимо использовать параметр --all-databases (или сокращенно -A), пример:

Code

mysqldump -uroot -h82.82.82.82 -p -A > all-databases.sql

Развертывание дампа

Перенаправляем поток в обратную сторону и развертываем базу данных:

mysql -uroot -h82.82.82.82 -p database < database.sql

Или через mysql-console:

Code

mysql> use database;
mysql> source database.sql

Пример использование некоторых параметров

Например, нам нужны данные с «продакшен версии базы» для «версии разработчика», то есть нам нужна «песочница». Выбираем не более 100 записей:

Code

mysqldump -uroot -h82.82.82.82 -p --where="true limit 100" database > database.sql

Или нам нужна только структура, без данных:

Code

mysqldump -uroot -h82.82.82.82 -p --no-data database > database.sql

Как настроить VPN-сервер в Linux Ubuntu

CheGuevara — Thu, 26 Aug 2010 11:41:55 GMT

Решил я как-то поднять на домашнем серваке с Ubuntu Linux VPN сервер, для того чтобы можно было подключаться к нему из офиса, иметь удаленный доступ, брать нужные файлы, запускать закачки, смотреть через web-камеру, что делается в квартире и т.п. Поднял я его без особых трудностей, и теперь опишу, как я это делал и как это делать Вам если вдруг понадобиться.
Если у Вас еще не установлен пакет pptpd – запускаем его установку следующей командой:

Code

sudo apt-get install pptpd ipx ipxripd

Необходимые пакеты установлены, теперь перейдем к изменению конфигурационных файлов VPN-сервера, для начала правим файл /etc/ppp/pptpd-options.

Вводим в терминале:

Code

sudo gedit /etc/ppp/pptpd-options

Вот что пишем внутри:

Code

  name pptpd

  refuse-pap

  refuse-chap

  require-mschap

  require-mschap-v2

  require-mppe-128

  ms-dns 10.0.0.1

  ms-dns 10.0.0.2

  proxyarp

  nodefaultroute

  lock

  nobsdcomp

  #IPX (todo)

  ipx

  ipx-network 4

  ipx-node 1:0

  ipx-routing 2

  ipx-router-name Linux_router

  ipxcp-accept-remote

После этого правим файл /etc/pptpd.conf выполнив в терминале:

sudo gedit /etc/pptpd.conf

Вот как этот файл выглядит у меня:

Code

  option /etc/ppp/pptpd-options

  logwtmp

  localip 172.16.16.1

  remoteip 172.16.16.2-254

Затем в файл /etc/ppp/chap-secrets добавляем пользователей которые будут иметь право подключатся к VPN-сети. Пишем в терминале:

sudo gedit /etc/ppp/chap-secrets

Добавляем в него информацию в таком виде:

Code

  # Secrets for authentication using CHAP

  # client server secret IP addresses

  youruser pptpd yourpassword «*»

Таким образом мы наделили пользователя youruser с паролем yourpassword правом подключаться к нашей VPN сети с любого IP-адреса. Если же Вы планируете подключатся к VPN серверу исключительно с определенного IP, тогда вот этом – «*» меняйте на желаемый айпишник.

С настройками VPN-сервера мы завершили, теперь нужно его перезапустить для того, чтобы изменения которые мы внесли вступили в силу. Для этого выполним в терминале:

/etc/init.d/pptpd restart

Теперь VPN-сервер работает с новыми параметрами которые мы только что ему задали. Осталось лишь разрешить доступ к нему через файервол и настроить форвардинг. Для этого как один из вариантов, можно написать специальный скрипт. Пишем в терминале по очереди:

Code

  touch /home/vpn-firewall.sh

  chmod +x /home/vpn-firewall.sh

  gedit /home/vpn-firewall.sh

Вводим содержание скрипта в редактор:

Code

  #!/bin/sh

  echo 1 > /proc/sys/net/ipv4/ip_forward

  echo 1 > /proc/sys/net/ipv4/ip_dynaddr

  iptables –flush

  iptables –delete-chain

  iptables –table nat –flush

  iptables –table nat –delete-chain

  iptables -P FORWARD ACCEPT

  modprobe iptable_nat

  modprobe ip_conntrack_ftp

  modprobe ip_nat_ftp

  iptables –table nat –append POSTROUTING –out-interface eth0

  echo vpn firewall loaded OK.

В предпоследней строке вместо eth0 подставляйте название Вашего сетевого соединения. Неплохо было бы, чтобы этот скрипт запускался сам, при старте системы, верно? Значит нужно добваить его в автозагрузку. За автозагрузку отвечает следующий файл: /etc/rc.local

sudo gedit /etc/rc.local

… и добавим в него следующие строки (вернее среднюю, т.к. первые две по идее должны уже у Вас быть):

Code

  #!/bin/sh -e

  /home/vpn-firewall.sh

  exit 0

Затем запускаем скрипт фаервола, выполнив следующую команду: /home/vpn-firewall.sh и если все ОК, то последней строчкой он выведет: ”vpn firewall loaded OK.”

Всё, готово, можете подключаться к VPN-серверу со стороны клиента, где нужно естесственно указать логин и пароль, который Вы забили в файл /etc/ppp/chap-secrets. Удачного VPN-соединения!