[sisyphus] Странное поведение sshd + pam_tcb

[sisyphus] Странное поведение sshd + pam_tcb

[Ivan Adzhubey]

Приветствую!

Наблюдаю в логах сервера странные записи от sshd. Возможно, это оффтопик, но 
tcb у нас обновлялся недавно, так что может и нет.

Mar 21 03:59:00 protein pam_tcb[11810]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:00 protein pam_limits[11810]: checking if ivan is in group root
Mar 21 03:59:00 protein pam_tcb[11810]: sshd: Session closed for ivan
Mar 21 03:59:05 protein pam_tcb[11816]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:06 protein pam_tcb[11822]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:06 protein pam_limits[11822]: checking if ivan is in group root
Mar 21 03:59:06 protein pam_tcb[11822]: sshd: Session closed for ivan
Mar 21 03:59:16 protein pam_tcb[11831]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:17 protein pam_tcb[11839]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:17 protein pam_limits[11839]: checking if ivan is in group root
Mar 21 03:59:17 protein pam_tcb[11839]: sshd: Session closed for ivan
Mar 21 03:59:22 protein pam_tcb[11850]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:23 protein pam_tcb[11856]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:23 protein pam_limits[11856]: checking if ivan is in group root

И так много раз - сессия открывается и тут же закрывается, все в пределах 
одной секунды. Я в это время залогинен на сервер по ssh интерактивно и еще 
висит пара ssh с port forwarding. Это глюки pam_tcb или все-таки взлом?

Как-то можно повысить информативность логов от sshd, чтобы он всегда писал IP 
адрес клиента?

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb

[Ivan Adzhubey]

On Sunday 20 March 2005 09:56 pm, Ivan Adzhubey wrote:
> Приветствую!
>
> Наблюдаю в логах сервера странные записи от sshd. Возможно, это оффтопик,
> но tcb у нас обновлялся недавно, так что может и нет.

И вот еще подозрительно, перед этим:

Mar 21 03:54:47 protein xinetd[1526]: START: sgi_fam pid=11644 from=<no 
address>
Mar 21 03:57:26 protein xinetd[1526]: EXIT: sgi_fam pid=11644 duration=159
(sec)

И в /var/log/auth/secure:

Mar 20 19:46:10 protein xinetd[1526]: EXIT: sgi_fam pid=32445 duration=59415
(sec)
Mar 21 03:54:47 protein xinetd[1526]: START: sgi_fam pid=11644 from=<no 
address>
Mar 21 03:57:26 protein xinetd[1526]: EXIT: sgi_fam pid=11644 duration=159
(sec)
Mar 21 04:37:08 protein xinetd[1526]: START: sgi_fam pid=13792 from=<no 
address>

Кривой этот sgi_fam и что-то мне намекает, что в нем дырка. Зря я его 
запускал...

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Ivan Adzhubey]

On Sunday 20 March 2005 10:07 pm, Ivan Adzhubey wrote:
> И вот еще подозрительно, перед этим:
>
> Mar 21 03:54:47 protein xinetd[1526]: START: sgi_fam pid=11644 from=<no
> address>
> Mar 21 03:57:26 protein xinetd[1526]: EXIT: sgi_fam pid=11644 duration=159
> (sec)

С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на 
сервере. Но почему from=<no address>? Может у меня паранойа, но как-то мне 
это не нравится...

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Epiphanov Sergei]

В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на
> сервере. Но почему from=<no address>? Может у меня паранойа, но как-то
> мне это не нравится...

Я тоже удивлялся, пока в рассылке не пробежала информация про связку 
sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd параметр 
only_from или в настройках sgi_fam есть этот параметр (только наличие, 
значение не важно), то sgi_fam уже не работает... Если этот параметр 
убрать, а каждому из сервисов (за исключением sgi_fam) вписать этот 
параметр, то не нарушите (практически) защиты, но fam заработает.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Ivan Adzhubey]

On Monday 21 March 2005 02:46 am, Epiphanov Sergei wrote:
> В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на
> > сервере. Но почему from=<no address>? Может у меня паранойа, но как-то
> > мне это не нравится...
>
> Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd параметр
> only_from или в настройках sgi_fam есть этот параметр (только наличие,
> значение не важно), то sgi_fam уже не работает... Если этот параметр
> убрать, а каждому из сервисов (за исключением sgi_fam) вписать этот
> параметр, то не нарушите (практически) защиты, но fam заработает.

Да, так я и сделал, но видимо fam не может получить адрес клиента, это должно 
лечиться флагом NOLIBWRAP, но похоже он не работает. Вообще, все это мелочи, 
но опасные: fam у нас явно заброшен, а всякая система защищена на уровне 
самого слабого звена. Выкину я его видимо, пусть лучше курьер ругается.

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Ivan Adzhubey]

On Monday 21 March 2005 02:54 am, Ivan Adzhubey wrote:
> On Monday 21 March 2005 02:46 am, Epiphanov Sergei wrote:
> > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на
> > > сервере. Но почему from=<no address>? Может у меня паранойа, но как-то
> > > мне это не нравится...
> >
> > Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd параметр
> > only_from или в настройках sgi_fam есть этот параметр (только наличие,
> > значение не важно), то sgi_fam уже не работает... Если этот параметр
> > убрать, а каждому из сервисов (за исключением sgi_fam) вписать этот
> > параметр, то не нарушите (практически) защиты, но fam заработает.
>
> Да, так я и сделал, но видимо fam не может получить адрес клиента, это
> должно лечиться флагом NOLIBWRAP, но похоже он не работает. Вообще, все это
> мелочи, но опасные: fam у нас явно заброшен, а всякая система защищена на
> уровне самого слабого звена. Выкину я его видимо, пусть лучше курьер
> ругается.

Гугление показывает, что этот баг был зарегестрирован и пофикшен в FC1/RHEL 
еще полгода назад. Причина - отвалившийся патч из-за случайно добаленного 
пробела. Надо бы альтовый xinetd тоже поправить?

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Epiphanov Sergei]

В сообщении от 21 Март 2005 10:54 Ivan Adzhubey написал:

> Да, так я и сделал, но видимо fam не может получить адрес клиента, это
> должно лечиться флагом NOLIBWRAP, но похоже он не работает. Вообще, все
> это мелочи, но опасные: fam у нас явно заброшен, а всякая система
> защищена на уровне самого слабого звена. Выкину я его видимо, пусть
> лучше курьер ругается.

Мои настройки (всё работает):

# cat /etc/xinet.d/sgi_fam
service sgi_fam
{
        disable = no
        type            = RPC UNLISTED
        socket_type     = stream
        user            = root
        group           = nobody
        server          = /usr/sbin/fam
        wait            = yes
        protocol        = tcp
        rpc_version     = 2
        rpc_number      = 391002
        bind            = 127.0.0.1
        flags           = NOLIBWRAP
}

# cat /etc/xinetd.conf
defaults
{
        log_type = SYSLOG authpriv info
        log_on_success = PID HOST DURATION
        log_on_failure = HOST
        instances = 100
        per_source = 5
}

includedir /etc/xinetd.d
----------------------------------
Ну и service xinetd restart

-- 
С уважением, Епифанов Сергей

[sisyphus] Re: Странное поведение sshd + pam_tcb + sgi_fam

[Michael Shigorin]

On Mon, Mar 21, 2005 at 03:03:05AM -0500, Ivan Adzhubey wrote:
> > Да, так я и сделал, но видимо fam не может получить адрес
> > клиента, это должно лечиться флагом NOLIBWRAP, но похоже он
> > не работает. Вообще, все это мелочи, но опасные: fam у нас
> > явно заброшен, а всякая система защищена на уровне самого
> > слабого звена. Выкину я его видимо, пусть лучше курьер
> > ругается.
> Гугление показывает, что этот баг был зарегестрирован и
> пофикшен в FC1/RHEL еще полгода назад. Причина - отвалившийся
> патч из-за случайно добаленного пробела. Надо бы альтовый
> xinetd тоже поправить?

Можете на него повесить?  Спасибо.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Ivan Adzhubey]

On Monday 21 March 2005 03:04 am, Epiphanov Sergei wrote:
> В сообщении от 21 Март 2005 10:54 Ivan Adzhubey написал:
> > Да, так я и сделал, но видимо fam не может получить адрес клиента, это
> > должно лечиться флагом NOLIBWRAP, но похоже он не работает. Вообще, все
> > это мелочи, но опасные: fam у нас явно заброшен, а всякая система
> > защищена на уровне самого слабого звена. Выкину я его видимо, пусть
> > лучше курьер ругается.
>
> Мои настройки (всё работает):

Настройки у меня идентичны.

А что значит - все работает? У меня fam тоже (кажется) работает, смущает 
только from=<no address> в логах, и то что это упорно пишется 
в /var/log/auth/secure, что как я понимаю намекает на проблемы с security. 
Впрочем, как я уже писал - может быть это слегка параноидальный взгляд.

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Epiphanov Sergei]

В сообщении от 21 Март 2005 11:16 Ivan Adzhubey написал:
> А что значит - все работает? У меня fam тоже (кажется) работает, смущает
> только from=<no address> в логах, и то что это упорно пишется
> в /var/log/auth/secure, что как я понимаю намекает на проблемы с
> security. Впрочем, как я уже писал - может быть это слегка
> параноидальный взгляд.

У меня строк from=<no address> нет, хотя почту получаю через imap, 
работающей с fam.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Ivan Adzhubey]

On Monday 21 March 2005 04:31 am, Epiphanov Sergei wrote:
> В сообщении от 21 Март 2005 11:16 Ivan Adzhubey написал:
> > А что значит - все работает? У меня fam тоже (кажется) работает, смущает
> > только from=<no address> в логах, и то что это упорно пишется
> > в /var/log/auth/secure, что как я понимаю намекает на проблемы с
> > security. Впрочем, как я уже писал - может быть это слегка
> > параноидальный взгляд.
>
> У меня строк from=<no address> нет, хотя почту получаю через imap,
> работающей с fam.

Странно, конфигурация одинаковая... А imap'ом у вас тоже courier?

-- 
Иван

Re: [sisyphus] Странное поведение sshd + pam_tcb + sgi_fam

[Epiphanov Sergei]

В сообщении от 21 Март 2005 12:45 Ivan Adzhubey написал:
> > У меня строк from=<no address> нет, хотя почту получаю через imap,
> > работающей с fam.
>
> Странно, конфигурация одинаковая... А imap'ом у вас тоже courier?

Да

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1639 bytes --]

On Mon, Mar 21, 2005 at 03:03:05AM -0500, Ivan Adzhubey wrote:
> On Monday 21 March 2005 02:54 am, Ivan Adzhubey wrote:
> > On Monday 21 March 2005 02:46 am, Epiphanov Sergei wrote:
> > > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на
> > > > сервере. Но почему from=<no address>? Может у меня паранойа, но как-то
> > > > мне это не нравится...
> > >
> > > Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> > > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd параметр
> > > only_from или в настройках sgi_fam есть этот параметр (только наличие,
> > > значение не важно), то sgi_fam уже не работает... Если этот параметр
> > > убрать, а каждому из сервисов (за исключением sgi_fam) вписать этот
> > > параметр, то не нарушите (практически) защиты, но fam заработает.
> >
> > Да, так я и сделал, но видимо fam не может получить адрес клиента, это
> > должно лечиться флагом NOLIBWRAP, но похоже он не работает. Вообще, все это
> > мелочи, но опасные: fam у нас явно заброшен, а всякая система защищена на
> > уровне самого слабого звена. Выкину я его видимо, пусть лучше курьер
> > ругается.
> 
> Гугление показывает, что этот баг был зарегестрирован и пофикшен в FC1/RHEL 
> еще полгода назад. Причина - отвалившийся патч из-за случайно добаленного 
> пробела. Надо бы альтовый xinetd тоже поправить?

У нас этот патч приложен (xinetd >= 2.3.13-alt1).
Правда, тестировать мне не на чём, fam я обхожу стороной.
Про историю с пробелом слышу впервые.  Может, у вас ссылка есть?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 928 bytes --]

On Mon, Mar 21, 2005 at 10:46:18AM +0300, Epiphanov Sergei wrote:
> В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP фолдер на
> > сервере. Но почему from=<no address>? Может у меня паранойа, но как-то
> > мне это не нравится...
> 
> Я тоже удивлялся, пока в рассылке не пробежала информация про связку 
> sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd параметр 
> only_from или в настройках sgi_fam есть этот параметр (только наличие, 
> значение не важно), то sgi_fam уже не работает... Если этот параметр 
> убрать, а каждому из сервисов (за исключением sgi_fam) вписать этот 
> параметр, то не нарушите (практически) защиты, но fam заработает.

То, что вы предлагаете, противоречит логике использования xinetd.
Я настоятельно рекомендую не менять настройки одних сервисов с целью
настройки других сервисов.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 773 bytes --]

On Mon, Mar 21, 2005 at 10:15:07AM +0200, Michael Shigorin wrote:
> On Mon, Mar 21, 2005 at 03:03:05AM -0500, Ivan Adzhubey wrote:
> > > Да, так я и сделал, но видимо fam не может получить адрес
> > > клиента, это должно лечиться флагом NOLIBWRAP, но похоже он
> > > не работает. Вообще, все это мелочи, но опасные: fam у нас
> > > явно заброшен, а всякая система защищена на уровне самого
> > > слабого звена. Выкину я его видимо, пусть лучше курьер
> > > ругается.
> > Гугление показывает, что этот баг был зарегестрирован и
> > пофикшен в FC1/RHEL еще полгода назад. Причина - отвалившийся
> > патч из-за случайно добаленного пробела. Надо бы альтовый
> > xinetd тоже поправить?
> 
> Можете на него повесить?  Спасибо.

Нечего туда вешать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 975 bytes --]

On Mon, Mar 21, 2005 at 11:04:11AM +0300, Epiphanov Sergei wrote:
[...]
> Мои настройки (всё работает):
> 
> # cat /etc/xinet.d/sgi_fam
> service sgi_fam
> {
>         disable = no
>         type            = RPC UNLISTED
>         socket_type     = stream
>         user            = root
>         group           = nobody
>         server          = /usr/sbin/fam
>         wait            = yes
>         protocol        = tcp
>         rpc_version     = 2
>         rpc_number      = 391002
>         bind            = 127.0.0.1
>         flags           = NOLIBWRAP
----------^^^^^^^^^^^^^^^^^^^^^^^^^^^
это лишнее, xinetd-2.3.13-alt1 выставляет этот флаг для rpc автоматически.

> # cat /etc/xinetd.conf
> defaults
> {
>         log_type = SYSLOG authpriv info
>         log_on_success = PID HOST DURATION
>         log_on_failure = HOST
>         instances = 100
>         per_source = 5
> }

А зачем only_from выкинут?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Ivan Adzhubey]

On Tue, 22 Mar 2005 02:02:37 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Mon, Mar 21, 2005 at 10:46:18AM +0300, Epiphanov Sergei wrote:
> > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP
> > > фолдер на сервере. Но почему from=<no address>? Может у меня
> > > паранойа, но как-то мне это не нравится...
> > 
> > Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> > 
> > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd
> > параметр only_from или в настройках sgi_fam есть этот параметр
> > (только наличие, значение не важно), то sgi_fam уже не работает...
> > Если этот параметр убрать, а каждому из сервисов (за исключением
> > sgi_fam) вписать этот параметр, то не нарушите (практически) защиты,
> > но fam заработает.
> 
> То, что вы предлагаете, противоречит логике использования xinetd.
> Я настоятельно рекомендую не менять настройки одних сервисов с целью
> настройки других сервисов.

А что делать? Я так и не понял - это баг или фича fam'а, что он с
only_from не работает. В протоколе RPC stream+wait я не копенгаген. Но
факт остается фактом - работает только в такой конфигурации.

-- 
Иван

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1419 bytes --]

On Mon, Mar 21, 2005 at 06:30:29PM -0500, Ivan Adzhubey wrote:
> On Tue, 22 Mar 2005 02:02:37 +0300, Dmitry V. Levin wrote:
> > On Mon, Mar 21, 2005 at 10:46:18AM +0300, Epiphanov Sergei wrote:
> > > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP
> > > > фолдер на сервере. Но почему from=<no address>? Может у меня
> > > > паранойа, но как-то мне это не нравится...
> > > 
> > > Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> > > 
> > > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd
> > > параметр only_from или в настройках sgi_fam есть этот параметр
> > > (только наличие, значение не важно), то sgi_fam уже не работает...
> > > Если этот параметр убрать, а каждому из сервисов (за исключением
> > > sgi_fam) вписать этот параметр, то не нарушите (практически) защиты,
> > > но fam заработает.
> > 
> > То, что вы предлагаете, противоречит логике использования xinetd.
> > Я настоятельно рекомендую не менять настройки одних сервисов с целью
> > настройки других сервисов.
> 
> А что делать? Я так и не понял - это баг или фича fam'а, что он с
> only_from не работает. В протоколе RPC stream+wait я не копенгаген. Но
> факт остается фактом - работает только в такой конфигурации.

Это ошибка xinetd: однажды назначенный only_from нельзя отменить
полностью.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: sgi_fam vs xinetd

[Michael Shigorin]

On Tue, Mar 22, 2005 at 02:03:25AM +0300, Dmitry V. Levin wrote:
> > > Гугление показывает, что этот баг был зарегестрирован и
> > > пофикшен в FC1/RHEL еще полгода назад. Причина - отвалившийся
> > > патч из-за случайно добаленного пробела. Надо бы альтовый
> > > xinetd тоже поправить?
> > Можете на него повесить?  Спасибо.
> Нечего туда вешать.

Сам же URL и спросил... ну да тебе видней. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1591 bytes --]

On Tue, Mar 22, 2005 at 02:48:06AM +0300, Dmitry V. Levin wrote:
> On Mon, Mar 21, 2005 at 06:30:29PM -0500, Ivan Adzhubey wrote:
> > On Tue, 22 Mar 2005 02:02:37 +0300, Dmitry V. Levin wrote:
> > > On Mon, Mar 21, 2005 at 10:46:18AM +0300, Epiphanov Sergei wrote:
> > > > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP
> > > > > фолдер на сервере. Но почему from=<no address>? Может у меня
> > > > > паранойа, но как-то мне это не нравится...
> > > > 
> > > > Я тоже удивлялся, пока в рассылке не пробежала информация про связку
> > > > 
> > > > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd
> > > > параметр only_from или в настройках sgi_fam есть этот параметр
> > > > (только наличие, значение не важно), то sgi_fam уже не работает...
> > > > Если этот параметр убрать, а каждому из сервисов (за исключением
> > > > sgi_fam) вписать этот параметр, то не нарушите (практически) защиты,
> > > > но fam заработает.
> > > 
> > > То, что вы предлагаете, противоречит логике использования xinetd.
> > > Я настоятельно рекомендую не менять настройки одних сервисов с целью
> > > настройки других сервисов.
> > 
> > А что делать? Я так и не понял - это баг или фича fam'а, что он с
> > only_from не работает. В протоколе RPC stream+wait я не копенгаген. Но
> > факт остается фактом - работает только в такой конфигурации.
> 
> Это ошибка xinetd: однажды назначенный only_from нельзя отменить
> полностью.

Попробуйте fam-2.6.10-alt3 + xinetd-2.3.13-alt3.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Ivan Adzhubey]

On Fri, 25 Mar 2005 16:15:20 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Tue, Mar 22, 2005 at 02:48:06AM +0300, Dmitry V. Levin wrote:
> > On Mon, Mar 21, 2005 at 06:30:29PM -0500, Ivan Adzhubey wrote:
> > > On Tue, 22 Mar 2005 02:02:37 +0300, Dmitry V. Levin wrote:
> > > > On Mon, Mar 21, 2005 at 10:46:18AM +0300, Epiphanov Sergei
> > > > wrote:
> > > > > В сообщении от 21 Март 2005 06:33 Ivan Adzhubey написал:
> > > > > > С sgi_fam разобрался - он висит пока я залогинен в свой IMAP
> > > > > > фолдер на сервере. Но почему from=<no address>? Может у меня
> > > > > > паранойа, но как-то мне это не нравится...
> > > > > 
> > > > > Я тоже удивлялся, пока в рассылке не пробежала информация про
> > > > > связку
> > > > > 
> > > > > sgi_fam и xinetd. Смысл: пока есть в общих настройках xinetd
> > > > > параметр only_from или в настройках sgi_fam есть этот параметр
> > > > > (только наличие, значение не важно), то sgi_fam уже не
> > > > > работает... Если этот параметр убрать, а каждому из сервисов
> > > > > (за исключением sgi_fam) вписать этот параметр, то не нарушите
> > > > > (практически) защиты, но fam заработает.
> > > > 
> > > > То, что вы предлагаете, противоречит логике использования
> > > > xinetd. Я настоятельно рекомендую не менять настройки одних
> > > > сервисов с целью настройки других сервисов.
> > > 
> > > А что делать? Я так и не понял - это баг или фича fam'а, что он с
> > > only_from не работает. В протоколе RPC stream+wait я не
> > > копенгаген. Но факт остается фактом - работает только в такой
> > > конфигурации.
> > 
> > Это ошибка xinetd: однажды назначенный only_from нельзя отменить
> > полностью.
> 
> Попробуйте fam-2.6.10-alt3 + xinetd-2.3.13-alt3.

Попробовал, действительно - fam теперь работает с only_from = 127.0.0.1
в секции defaults /etc/xinetd.conf. Но по-прежнему жалуется в
/var/log/auth/secure:

Mar 26 01:10:40 protein xinetd[24485]: START: sgi_fam pid=24516 from=<no
address>
Mar 26 01:11:04 protein xinetd[24485]: EXIT: sgi_fam pid=24516
duration=24(sec)

Чего ему не хватает для счастья-то???

-- 
Иван

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 545 bytes --]

On Fri, Mar 25, 2005 at 05:18:39PM -0500, Ivan Adzhubey wrote:
> Попробовал, действительно - fam теперь работает с only_from = 127.0.0.1
> в секции defaults /etc/xinetd.conf. Но по-прежнему жалуется в
> /var/log/auth/secure:
> 
> Mar 26 01:10:40 protein xinetd[24485]: START: sgi_fam pid=24516 from=<no
> address>
> Mar 26 01:11:04 protein xinetd[24485]: EXIT: sgi_fam pid=24516
> duration=24(sec)

А почему вы считаете, что это жалоба?

> Чего ему не хватает для счастья-то???

Так оно 24 секунды работало или нет?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] sgi_fam vs xinetd

[Ivan Adzhubey]

On Sunday 27 March 2005 07:25 am, Dmitry V. Levin wrote:
> On Fri, Mar 25, 2005 at 05:18:39PM -0500, Ivan Adzhubey wrote:
> > Попробовал, действительно - fam теперь работает с only_from = 127.0.0.1
> > в секции defaults /etc/xinetd.conf. Но по-прежнему жалуется в
> > /var/log/auth/secure:
> >
> > Mar 26 01:10:40 protein xinetd[24485]: START: sgi_fam pid=24516 from=<no
> > address>
> > Mar 26 01:11:04 protein xinetd[24485]: EXIT: sgi_fam pid=24516
> > duration=24(sec)
>
> А почему вы считаете, что это жалоба?

Просто так в /var/log/auth/secure не пишут.

> > Чего ему не хватает для счастья-то???
>
> Так оно 24 секунды работало или нет?

Работает, работает. И даже дольше работает ;).

-- 
Иван

Re: [sisyphus] sgi_fam vs xinetd

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 981 bytes --]

On Sun, Mar 27, 2005 at 07:35:36AM -0500, Ivan Adzhubey wrote:
> On Sunday 27 March 2005 07:25 am, Dmitry V. Levin wrote:
> > On Fri, Mar 25, 2005 at 05:18:39PM -0500, Ivan Adzhubey wrote:
> > > Попробовал, действительно - fam теперь работает с only_from = 127.0.0.1
> > > в секции defaults /etc/xinetd.conf. Но по-прежнему жалуется в
> > > /var/log/auth/secure:
> > >
> > > Mar 26 01:10:40 protein xinetd[24485]: START: sgi_fam pid=24516 from=<no
> > > address>
> > > Mar 26 01:11:04 protein xinetd[24485]: EXIT: sgi_fam pid=24516
> > > duration=24(sec)
> >
> > А почему вы считаете, что это жалоба?
> 
> Просто так в /var/log/auth/secure не пишут.

Почему вы так считаете?

Лог от xinetd традиционно попадает в этот файл.
Возможно зря, возможно нет, но меня это уже не удивляет.

> > > Чего ему не хватает для счастья-то???
> >
> > Так оно 24 секунды работало или нет?
> 
> Работает, работает. И даже дольше работает ;).

Это хорошо. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]