Wednesday, December 05, 2007


Nationalism is an infantile disease. It is the measles of mankind.
Einstein
гэжээ. Монголоор бол:

Үндсэрхэг үзэл гэдэг бол нялхсийн өвчин. Энэ нь хүн төрлөхтний дутагдал юм.
гэж Эйнштэйн хэлжээ.

Юутай үнэн хэлээ вэ?

Өнөөгийн Монголын зарим залуучуудыг хархад. Яг үнэн хэлсэн байна шүү. Манай залуучууд жоохон яваасай, юм үзээсэй, олон хүнтэй уулзаж ярилцаасай (би ч тийм их явсан, үзсэн юм байхгүй л дээ), юм уншаасай, бодоосой гэж бодох юм. Ядаж л юм унших, уншдгүй нь уншснаараа яриулаасай даа.

Tuesday, June 05, 2007

Installing Windows XP over Vista installation "no boot" problem.

За нөхөд минь ба саяхан нэг асуудалтай тулгарлаа. Vista суучихсан машин дээр vista-г нь дээрээс нь дараад (устгаад) XP суулгасан чинь boot хийхгүй болчихдог байна шүү.
Судалтал Vista нөхөр дискний бүүт хийдэг хэсэгт шал өөр юм биччихдэг болсон байна. Урьдны DOS (BIOS) хандлагаас нилээд хөндийрсөн, шинэчлэлтэй зүйл хийсэн байна.
Тэгээд одоо дискний эхний секторуудыг устгаж байж шинээр XP суулгахаас наашгүй болсон.

Ер нь цааш унштал гадаадныхан өөрсдөө Vista-д их талгүй байна. Удаан л гэнэ, санах ой асар их шаарддаг л гэнэ, драйвер нь олдохгүй байна л гэнэ, Заавал Activation хийдэг болсон л гэнэ асуудал их байгаа юм байна. Microsoft-ийг үнэгүй хэрэглэдэг Академик байгууллагууд хүртэл SP1 гартал нь ашиглахгүй байхаар шийдсэн ч гэх шиг, сонин л юм болж байгаа юм байна.

Тэхээр та ч гэсэн Vista гэж их өндөр хүлээлттэй байгаад хэрэггүй юм шиг байна доо.

Sunday, May 13, 2007




SanDisk Cruzer Micro (U3)

Саяхан өөртөө шинээр Flash диск авах хэрэг болов. Нэг найзтайгаа (найзын блог хаяг ) зөвлөтөл "-China Brand-ийн диск битгий аваарай. Том хэмжээтэй хямд, гэхдээ нэг л өдөр алдаа заагаад гацна. Форматласны дараа хэмжээ нь 2, 3 дахин багассан байдаг, ийм тохиолдол их гарч байгаа шүү" гээд Хятадад үйлдвэрлэсэн Original Flash дискнээс авхыг санал болгов. Найзын зөвлөсныб дагуу SanDisk фирмийн 1gb Cruzer Micro (U3) диск авлаа. Үнэ боломжийн, хурд сайтай, баталгаа урт, ер нь сайн сонголт хийсэн.

Гэвч ашиглах явцад нэг асуудал үүсэв. Энэ диск өөр дээрээ Виртуал CDRom-той юм, CDRom-ноос LaunchPad гэж программ ажиллана. Зөвхөн Виндовс хэрэглэдэг хүнд их зүгээр. Энэ LaunchPad дээр нь хэд хэдэн программтай.
- АнтиВирус (даанч нэг сарын дараа шинэчлэгдэхгүй)
- Автомат backup хийдэг программ
- Нууц үг хадгалагч гм

Гэвч энэ дискийг Unix дээр форматласны дараа, эсвэл partition-оор нь оролдвол CD Rom буюу LaunchPad нь байхгүй болчихдог гэж байгаа. Unix дээр dd ашиглан энэ LaunchPad-ийг хуулж үлдэх, эргэж сэргээх аргыг нийлээн оролдов. Дэмий цагаа үрсэн байна.
эндээс татаж аваарай.

Хэрэв энэ LaunchPad хэрэггүй бол бас устгадаг багаж энд байна.
Review: эндээс хүмүүсийн шүүмжийг үзээрэй

Monday, May 07, 2007

Гадаадын иргэн Монгол улсад олон удаа орж гарах Виза авхад ямар материал бүрдүүлэх вэ?

Хувийн шугамаар урьж байгаа бол Гадаад хэргийн яамны консулын газар очно. (Бүрдүүлэх материал доорхиос өөр)
Компанийн шугамаар урьж байгаа бол хуучнаар Тээвэрийн зохьцуулах газрын нэг давхарт байрлах Гадаад иргэн харьяатын асуудал эрхлэх алба дээр материал бүрдүүлж өгдөг юм байна. Харилцагч гадаадын нэг компанид нэг л Мulti Виза өгдөг журамтай гэсэн. Бүрдүүлж очих материал:
1. Компанийн үйл ажиллагааны чиглэл
2. Эргэлтийн хөрөнгийн хэмжээ
3. Ажилчдын тоо
4. Олон удаа орж гарах Виза авах болсон шалтгаан
5. Компанийн гэрчилгээ эх хувиараа
6. Гадаадын иргэний пасспорт эсвэл хуулбар
Дээрхи материалыг бүрдүүлэн өгсний дараа ажлын 5 хоногт хурлаар орж шийдэгдэнэ.
Хэрэв зөвшөөрөл авсан бол төлбөр төлнө. Төлбөр нь нэг жилийн 133 доллар, 5000Төгрөг төлнө.

Thursday, April 26, 2007

FreeBSD -ийн хамгаалалтын нэг механизм болох "Security run report"-ийг тохируулах.

Security run report-оор асар их лог ирж залхааж байвал доорхи зөвлөмжөөс ашиглаарай.

-------------
Check out denyhosts, it's in the tree. It works well for me and is
easy to set up.

Beech
---------

In my home server, I put SSH on a higher port and use public key to
authenticate.
This should get you rid of those messages...

Hope this helps,
Pietro Cerutti
---------

One possibility:
http://www.potentialtech.com/cms/node/16
--------

I'm a noob to *BSD, so I'm not sure if not having IPF installed means
you still have another firewall option. If you do, I'd say following
Bill's [sp]age advice is best for your system security overall.

If you don't have a firewall, another option would be to disallow ssh
password logins. i.e. only allow login via public/private key
authentication. This is a server side option, so 'man sshd_config'
and look for the PasswordAuthentication option. You'll still get the
"Invalid user..." warning messages, but short of wasting your
bandwidth and (log) diskspace, they'll be useless cracker attempts.

(And if you're looking for how to create public/private keys, 'man
ssh-keygen'.)

In general, utilizing public/private keys for remote authentication
is /much/ more secure than passwords.

HTH,

Kevin
----------

On a system I administer I put SSH to a non-standard port (in this case
1234) and the brute force attempts has gone away since then. I suggest
you trying that. Besides, you can change to RSA/DSA auth, which is more
secure.

Regards,
Gabor
---------

I'm using BruteForceBlocker quite successfully.
I take the opportunity to thank danger for it :-)

http://www.freshports.org/security/bruteforceblocker/

--
Joao Barros
----------


well you could pretty much eliminate the problem by
disabling password logins to sshd and only accepting
keyed logins. Then only a key will work.

Frequently changing the keys would ensure hackers
would have to want to get in REALLY bad in order to
gain unauthorized access by a brute force attempt.

Depending on how hosts login and their systems, you
could perhaps run a login script that regenerates keys
automatically and distributes them to the user every
so many days or whatever so the system appears
passwordless to them, and secure to the outside. This
may be more trouble then you are looking for though.

In reality using passwords with SSH kinda defeats the
purpose of SSH.

-brian

----------

Which works with pf, as far as I can see. There also seems to be
security/bruteblock, which works with ipfw2.

----------


I like to protect myself by hiding what I have, which will reduce the amount
of direct or random attacks by a lot, then deal with attacks using tools
(like bruteforceblocker).

This is especially useful when attackers are using ip-range tools to scan
common ports for their associated service.

Why keep sshd on port 22?

Nicolas

----------

I'm a fan of security/sshit

David King
Computer Programmer
Ketralnis Systems

----------


Well, this is not really an answer, yet as you bring it up,
SecurityFocus had an article last week on this:

http://www.securityfocus.com/infocus/1876

Along with some good advice. First of all: ssh is not a public service
like http or smtp where you need anyone to be able to connect. So don't
let them in the first place.

Disable direct root login, in the article more than a third attempted to
login as root. Disable shell access for service accounts such as mysql,
www or ldap.

Use a scheme for choosing usernames that avoids common names like
"james" and avoid publishing usernames on web-sites, e-mail may differ
from the username.

Disable password based authentication and require ssh-keys if possible,
best if you can ensure both pasword and key based authentication.

You may still find sshd login denied entries in your log - so what? it
was denied! This is really only a problem if the traffics saturates your
connection, or your log files grow so much that you run out of diskspace.

The article also comments on moving ssh to a different port, but this
causes confusion and annoyance if you have many users and is
non-standard. Doing the other things works great, an ssh-key on a
usb-keyring is great.

Personally, I created a script for parsing the delegated files from the
different regional registries such as only to allow connection from EU
countries.

Since then, I get at most one attempt a week, few enough to manually
look up the ip with whois and decide if the host or network should be
blocked.

Cheers, Erik
--------------


If using pf, you can write rules like (original is one line):

pass in on $ext_if proto tcp from any to $ext_if port $tcp_login
flags
S/SA keep state (max-src-conn-rate 6/25, overload
flush global)

The rule follows traffic in ssh port (aliased $tcp_login in my config)
and in this case if the connection attempts exceed 6 in 25 seconds,
the offending IP is moved into "bad_hosts" table and ruleset is
flushed to get the blocking effective. The conn attempt/time ratio can
be about anything, I've found the one used good enough.

Then in the top of ruleset I have the following (the filtering rule
from above is further down):

block in quick on $ext_if from

The bad host table is initialised in my ruleset like this:

table persist { }

Just remeber to put it into right section of pf.conf.

pf is neat, thanks for the dev effort of getting it into FreeBSD
kernel!

-Reko

-----------

Сонголтоо та өөрөө хийгээрэй.
Амжилт хүсъе

Tuesday, April 24, 2007

chroot-тэй ssh эсвэл sftp үйлчилгээ хэрхэн нээх вэ?

(энэ бичлэг дуусаагүй бичиж байгаа гэж ойлгоорой)

Юуны өмнө шаардлагыг тодруулъя.

Юникс серверт дагаж суусан байдаг ssh, ftp нь файл зөөх, нийтийн үйлчилгээ гм нээхэд нууцлал хамгаалалт муутай байдаг. Жишээ нь: заавал системийн хэрэглэгч үүсгэнэ, эрхээрээ хандаж орсны дараа бусад хэрэглэгчдийн, системийн директорид хандах боломжтой байдаг. Гэтэл би тэгүүлмээргүй байна. Яг заасан директоридоо л орно, бусад хэсэгт хандах боломжгүй болгомоор байна. Үүнийг нилээн дээр хийг гэж үзээд орхисон байсныг одоо шаардлага тулгарсан тул сэргээн хийе гэж бодож байна.

эхний алхам. мэдээлэл цуглуулах.

FreeBSD Questions ML-ээс

> Using the SSHD server, how can I lock users SSH'ing into a box into their
> home directory, without having access to the /usr/home directory as a
> whole?

You can try to use the security/ssh2 port to replace the base system's
sshd(8). This version of ssh supports additional chroot configuration
options which lets you do exactly what you're looking for.

Here's a link to the port:
http://www.freebsd.org/cgi/url.cgi?ports/security/ssh2/pkg-descr

Here's an article which shows you how to do what your looking for:
http://freebsdrocks.net/index.php?option=com_content&task=view&id=51&Itemid=1

Have fun,

David
-----------------


You might setup 700 rights for the home directories, then the users
won't see each other's files. Is it what you want?

If you want to hide all directories, except their homes, then you are in
trouble. There are some essential files needed to run a "shell". I'm not
sure, but you might be able to use a special shell that does chroot and
makes / the home directory?

If you do not want them to run programs, just access their files over
SSH/SCP, then the "scponlyc" port can be a good solution for you.

Best,

Laszlo
--------------


You could set them up with a restricted shell. Use e.g. 'bash -r' or the
equivalent 'rbash'. See the RESTRICTED SHELL section in the bash manual
to understand what it does.

Roland
--------------


What about creating a jail? Whis wikipedia article explains it ;
http://en.wikipedia.org/wiki/Freebsd_jail

Cheers,
Gabriel
-----------------

google-ээр хайгаад
http://www.maxlor.com/howto-jailed-sftp.shtml -ийг олов.

-------------
wikipedia-аар жоохон аялав.

FTP - нууцлал муутай, та мэдэж байгаа
FTPS - буюу FTP over SSH/TLS нууцлал арай дээр, гэхдээ Дата суваг шифрлэгдээгүй.(SFTP, SH-FTP, FTP/SSH)
SFTP - SSH file transfer protocol. SSH-ийн дэд хэсэг. нууцлал сайн боловч хувийн директорит нь түгждэггүй.
SFTP - Simple File Transfer Protocol нууцлал байхгүй. бараг хэрэглэдэггүй. Дээрхитэй андуурагддаг.
SCP - Secure Copy. Нууцлал сайн боловч SSH2 -ийн SFTP гарч ирснээр ашиглахгүй болсон.