Руководство по установке и настройке OpenConnect VPN.
pdf
OpenConnect Server.pdf9.33 Mb
Подробный учебник по установке и настройке сервера OpenConnect VPN.
gns3 openconnect debian vmware linux man
Ринат Фахрутдинов
Технический писатель.
5subscribers
26posts
Showcase
3About
Системный и сетевой инженер с более чем 40 летним стажем. Начинал карьеру в информационных технологиях в конце 70-х годов прошлого века на советских еще транзисторных мэйнфреймах ЭВМ "Минск-32" программистом на языке программирования Кобол, затем была эпоха машин серии ЕС ЭВМ и языков Фортран, PL/I и Паскаль, конец 80-х годов 20 века отмечен интересными машинами серии СМ-4 и СУБД Адабас-М. В 90-е осваивал первым персоналки фирмы IBM и программирование баз данных FoxBase. Тогда же и освоил построение первых локальных сетей для предприятия уровня большого горно-обогатительного комбината на Севере. Конец века застал меня сотрудником курчатовского института в одном из первых интернет сервис провайдеров страны - Релком. С тех пор моя работа неразрывно связана с сетями передачи данных , с сетевым оборудованием и операционными системами для них. Работаю с ОС Unix/Linux разных типов, Windows с самых первых выпусков. Сейчас изучаю оборудование отечественного производителя. Для обучающихся работе с ним написал две книги.
Критическая уязвимость в OpenSSH
" Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируемая на стадии до аутентификации
В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость (CVE-2026-3497), приводящая к разыменованию указателя, повреждению памяти и обходу механизма разделения привилегий (Privsep). Уязвимость может быть эксплуатирована удалённо на стадии до осуществления аутентификации. Выявивший проблему исследователь продемонстрировал инициирование аварийного завершения процесса через отправку на SSH-сервер одного модифицированного сетевого пакета. Не исключается, что помимо отказа в обслуживании, существуют более опасные варианты эксплуатации уязвимости.
👉@sysadminoff
https://www.opennet.ru/opennews/art.shtml?num=64983"
Это действительно критическая информация, особенно учитывая, что уязвимость CVE-2026-3497 проявляется еще до стадии аутентификации. Это делает её крайне опасной, так как атакующему не нужно иметь учетную запись на сервере.
Поскольку этот патч (gssapi.patch) исторически не является частью ванильного (основного) кода OpenSSH, а накладывается мейнтейнерами дистрибутивов (таких как Debian, RedHat/Fedora, SUSE), ситуация требует быстрой реакции.
Вот что вам стоит сделать прямо сейчас на ваших серверах Debian:
1. Срочная проверка через ldd
Это самый надежный способ понять, затронут ли ваш бинарный файл sshd этим патчем. Если в выводе есть библиотека GSSAPI, значит, код с уязвимым патчем активен в памяти процесса.
Bash
ldd /usr/sbin/sshd | grep gssapi
2. Временная мера (Workaround)
Если вы видите, что библиотека подгружена, например так:
root@debian-11:/home/rinat# ldd /usr/sbin/sshd | grep gssapi
libgssapi_krb5.so.2 => /lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x00007f2262ac9000)
Дебиан избавляется от старого наследия.
В Debian 14 намерены удалить слой для совместимости systemd со скриптами sysv-init
Команда сопровождающих Debian изначально планировала удалить слой совместимости systemd-sysv-generator в Debian 13 (Trixie), но решение было отложено на следующий релиз (Debian 14). Прошло два года, и полный переход на юнит-службы systemd планируется к концу февраля 2026 года. Переход аргументируется повышением уровня безопасности запускаемых служб systemd, а также более надёжным контролем над запуском и циклом работы службы. Кроме того, проект systemd ранее объявил о решении удалить в выпуске systemd 260 поддержку скриптов служб в формате System V и прекратить поставку компонентов systemd-sysv-install, systemd-rc-local-generator и systemd-sysv-generator.
Команда сопровождающих Debian изначально планировала удалить слой совместимости systemd-sysv-generator в Debian 13 (Trixie), но решение было отложено на следующий релиз (Debian 14). Прошло два года, и полный переход на юнит-службы systemd планируется к концу февраля 2026 года. Переход аргументируется повышением уровня безопасности запускаемых служб systemd, а также более надёжным контролем над запуском и циклом работы службы. Кроме того, проект systemd ранее объявил о решении удалить в выпуске systemd 260 поддержку скриптов служб в формате System V и прекратить поставку компонентов systemd-sysv-install, systemd-rc-local-generator и systemd-sysv-generator.
Когда буду редактировать лабы с учетом перехода на 14 версию Дебиан нужно будет особо коснуться этой темы.
Протокол QinQ в vESR Eltex. Проверка работы.
pdf
Глава 19 vesr-gns3.pdf908.87 Kb
Настройка QinQ в
маршрутизаторе vESR Eltex
Это часть
текста главы 19, которая не вошла в вторую книгу "Руководство для
продвинутых". Почему будет показано ниже по тексту. План работы
предполагал дать вводный параграф что такое этот протокол QinQ. Для чего нужен
и где его лучше всего применить. Далее описание задачи и схема с решением.
текста главы 19, которая не вошла в вторую книгу "Руководство для
продвинутых". Почему будет показано ниже по тексту. План работы
предполагал дать вводный параграф что такое этот протокол QinQ. Для чего нужен
и где его лучше всего применить. Далее описание задачи и схема с решением.
Вводную часть здесь
опустим, поскольку уже сказано, что во вторую книгу (которая состоит из
выше опубликованных глав с 11 по 18-приведена нумерация, включающая первые
десять глав первой книги), этот текст не войдёт и не будет смущать неокрепший
ум неофита. перейдем сразу к схеме.
опустим, поскольку уже сказано, что во вторую книгу (которая состоит из
выше опубликованных глав с 11 по 18-приведена нумерация, включающая первые
десять глав первой книги), этот текст не войдёт и не будет смущать неокрепший
ум неофита. перейдем сразу к схеме.
1.1.
Что такое QinQ
QinQ — это технология, которая позволяет пакетам с
двойным тегом VLAN перемещаться по магистральной сети оператора.
Она стандартизирована в IEEE 802.1ad.
двойным тегом VLAN перемещаться по магистральной сети оператора.
Она стандартизирована в IEEE 802.1ad.
Принцип работы: тег VLAN частной сети
оборачивается в тег VLAN публичной сети. Когда пакеты проходят по сети, они
маршрутизируются в публичной сети на основе внешнего тега VLAN. Внутренний тег
VLAN рассматривается как данные и проходит по публичной сети вместе с ними.
оборачивается в тег VLAN публичной сети. Когда пакеты проходят по сети, они
маршрутизируются в публичной сети на основе внешнего тега VLAN. Внутренний тег
VLAN рассматривается как данные и проходит по публичной сети вместе с ними.
Основная область
применения технологии QinQ — сети передачи данных операторского
класса. Она предназначена для прозрачного пропуска трафика клиентов,
использующих в своих сетях VLAN, через сеть оператора.
применения технологии QinQ — сети передачи данных операторского
класса. Она предназначена для прозрачного пропуска трафика клиентов,
использующих в своих сетях VLAN, через сеть оператора.
Преимуществом применения
технологии QinQ для такой услуги является отсутствие необходимости согласования
тегов VLAN между клиентом и оператором. Это предоставляет клиенту практически
безграничные возможности по расширению своей сети передачи данных.
технологии QinQ для такой услуги является отсутствие необходимости согласования
тегов VLAN между клиентом и оператором. Это предоставляет клиенту практически
безграничные возможности по расширению своей сети передачи данных.
1.2.
Некоторые ограничения протокола QinQ
· Ограничение на количество
идентификаторов VLAN. Поле VID (VLAN Identifier) имеет размер 12 бит, что позволяет
заложить до 4096 VLAN. Однако значения 0 и 4095 (0x000 и 0xFFF)
зарезервированы, поэтому реальное количество VLAN — 4094.
идентификаторов VLAN. Поле VID (VLAN Identifier) имеет размер 12 бит, что позволяет
заложить до 4096 VLAN. Однако значения 0 и 4095 (0x000 и 0xFFF)
зарезервированы, поэтому реальное количество VLAN — 4094.
Subscription levels1
Просто подписка
$1.32 per month