вторник, 24 ноября 2020 г.

возможные улучшения /tmp

 Если /tmp является частью раздела /, это может быть проблемой. В том числе - можно поймать майнера, как через redis, docker, так и php

https://www.sourceclear.com/vulnerability-database/security/remote-code-execution-rce/php/sid-4487

https://github.com/docker-library/redis/issues/217


В общем, читаем https://stackoverflow.com/questions/60151640/kdevtmpfsi-using-the-entire-cpu


И непосредственно по модификациям

echo 'tmpfs /tmp tmpfs rw,nosuid,nodev,relatime,size=816800k,mode=777,uid=0,gid=0 0 0' >> /etc/fstab

# rename or clean /tmp, create empty, then 

mount /tmp

chmod go-rwx /var/tmp

chmod 1777 /tmp


Может быть актуально и для centos, и для debian

воскресенье, 8 ноября 2020 г.

WSL и нормальные права на файлы

 Хоть винда это не совсем в этот блог, но там есть WSL, в котором работает линух. И там - если посмотреть в /mnt то будут виндовые диски, с правами 777 на всё. Благо, есть решение - чуть покопав, узнаём что там drvfs, и можно перемонтировать нужные диски так:

sudo umont /mnt/d

sudo mount -t drvfs D: /mnt/d -o metadata,uid=1000,gid=1000,umask=22,fmask=111

это даёт 755 на папки, 644 на файлы, возможность менять атрибуты (опция metadata), и юзер - под которым мы входим (можно завести ещё юзеров и выставить нужного)

взято тут

https://devblogs.microsoft.com/commandline/chmod-chown-wsl-improvements/

Можно отдельные диски настраивать через fstab, правда пока не очень понятно как.

Также, тут

https://devblogs.microsoft.com/commandline/automatically-configuring-wsl/ (читать оба, про options - первый линк)

читать про otions, чтобы применить опции при старте (сразу для всех дисков).

Минимальный конфиг /etc/wsl.conf:

[automount]
options = "metadata"

Чуть посложнее

[automount]
 enabled = true
 root = /mnt/
 options = "metadata,umask=22,fmask=11"
 mountFsTab = false

четверг, 5 ноября 2020 г.

skynet, mikrotik, ipv6

Первым делом нужно в личном кабинете включить v6.

Далее, нужно проверить DUID, который должен совпасть с маком Lan1. "Особенность"==корявость v6 - тут применяют DUID - ид устройства. А оно привязано на мак 1 лана.

Теперь смотрим https://zametkit.blogspot.com/2014/04/ipv6-mikrotik-dhcp-client.html

Есть ещё такое

https://wiki.rtzra.ru/software/mikrotik/mikrotik-ipv6


PS Несколько доставляет, что запись на board.sknt.ru появилась в сентябре 2016, "и до сентября тест". И уже 4 года оно "тест".