https://www.opennet.ru/openforum/vsluhforumID3/4389.html &lt;h3&gt;Новое:<br>&lt;/h3&gt;<br>- в ipfw интегрировали поддержку ALTQ (это более правильный traffic-шейпер, нежели dummynet). Если правило ipfw содержит слово altq и название altq-очереди, то оно будет помечено как проходящее через эту очередь. Перед использованием altq-очередей необходимо определить их через pfctl, и если конфигурация очередей меняется, надо перегружать правила ipfw. Также можно включать и выключать altq-пометки в ipfw через ipfw enable&#124;disable altq<br><br>- флаги в ipfw для определения пакетов, прошедших через divert, и для определения длины пакетов. Новые ключевые слова: diverted - все пакеты, прошедшие через divert-сокет, diverted-loopback - все пакеты, прошедшие через divert-сокет и идущие на этот хост (т.е. from any to me diverted) и diverted-output - пакеты, прошедшие через divert-сокет и выходящие куда-либо дальше. Определение длины TCP пакетов производится с использованием ключевого слова tcpdatalen, после которого стоит значение (как в ports, т.е. 1000, 2000-3000)<br><br>- bind теперь живет в https://www.opennet.ru/openforum/vsluhforumID3/4389.html#21 Sat, 09 Oct 2004 18:30:03 GMT &gt;&gt; Мне больше bind в chroot понравилось, а то руками надоело уже ставить.<br>&gt;<br>&gt;А чем недостаточно '-u bind -g bind'? <br><br>Тем, что с '-t chroot_path' про машину вместе с bind'ом можно забыть, а при '-u bind -g bind' придется забитится о локальной безопасности, следить за дырами в портах и держать лишний груз за плечами. Перестраховка никогда не бывает лишней.<br><br>PS. '-u bind -g bind' дает возможность, в случае дыры в named, поднять прокси или другой сетевой софт, например, радавать варез, ломать других, флудить, рассылать спам, слушать трафик. C '-t chroot' как прокси тоже можно использовать, но требует гораздо более высокой квалификации атакующего, начиная с проблем отсутствия окружения и библиотек и необходимости выполения софта без закачки на диск.<br> https://www.opennet.ru/openforum/vsluhforumID3/4389.html#20 Fri, 08 Oct 2004 17:43:35 GMT uldus:<br>&gt; Мне больше bind в chroot понравилось, а то руками надоело уже ставить.<br><br>А чем недостаточно '-u bind -g bind'?<br><br><br>BlackSir:<br>&gt; Я как-то умудрился пропустить минус в строке 'kill -1 pid'.<br>А я для таких вещей специально сразу после инсталляции пишу скриптик "sighup", который берёт имя демона, вытаскивает из /var/run/demonname.pid PID процесса и посылает сигнал. https://www.opennet.ru/openforum/vsluhforumID3/4389.html#19 Fri, 08 Oct 2004 14:57:41 GMT Всё супер,но АЛТКу больше всего радует https://www.opennet.ru/openforum/vsluhforumID3/4389.html#18 Wed, 06 Oct 2004 15:58:03 GMT Смеялся аж до болезненных колик!<br><br>Никак не отойду! https://www.opennet.ru/openforum/vsluhforumID3/4389.html#17 Wed, 06 Oct 2004 09:28:51 GMT Ты читать умеешь? По умолчанию как было, так и осталось. По желанию можно сменить прям в sysinstall https://www.opennet.ru/openforum/vsluhforumID3/4389.html#16 Wed, 06 Oct 2004 09:20:32 GMT &gt;Не трожь Sendmail!!! Я с ним работаю и проблем нет! А по <br>&gt;умолчанию exim либо postfix? Из портов установишь это г..... <br><br>И что ночью не просыпаешься тревожимый мыслью взломали или нет :-) ?<br><br>Сегодня sendmail незаменим только для весьма редких клинических случаев, хотя если не держать открытым 25 порт, для локальных пересылок тоже сойдет.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/4389.html#15 Wed, 06 Oct 2004 08:57:15 GMT &gt;&gt;Кстати, по поводу бинд такая ругань идет - ужас... <br>&gt;<br>&gt;Сейчас еще не поздно сломать устоявшиеся привычки (perl же убрали, и к <br>&gt;этому уже привыкли). После выхода 5.3, глобальные перестановки уже труднее будет <br>&gt;провести. Я бы еще sendmail выкинул и вместо него включил postfix <br>&gt;или exim. <br>Не трожь Sendmail!!! Я с ним работаю и проблем нет! А по умолчанию exim либо postfix? Из портов установишь это г.....<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/4389.html#14 Wed, 06 Oct 2004 08:53:03 GMT &gt;bind теперь живет в chroot jail, причем все переехало из /etc/namedb в /var/named.<br>&gt; Инструкция по переезду в случае обновления - /usr/src/UPDATING <br><br>Зачем ?<br>Я и так bind в jail подымаю.<br>Как и многое другое.<br> https://www.opennet.ru/openforum/vsluhforumID3/4389.html#13 Wed, 06 Oct 2004 07:52:37 GMT Хех... так скоро на халте с ребутом 644 стоять по умолчанию будет... А килл 1 1 вместо -1 1 при настройке мгетти эт по моему со всеми бывало.., тоже грешен =)