DNS-c залхаагүй хүмүүст дахин нэг мэдээ... :)
DNS-тэй холбоотой real-time асуулга явуулах хэрэгтэй үедээ www.dnsstuff.com хуудсыг хэрэглэдэг билээ. Ер нь DOS юмуу, Юникс тушаалын мөрний nslookup, dig зэрэг tool-үүдийг хэрэглэн ижил мэдээллийг олж авч болох боловч, аргагүй веб интерфэйс болохоор ойлгоход хялбар байдаг юм. Манай зарим админууд энэ хуудсыг магадгүй хэрэглэдэг байх. Энэ сайтнаас forward ба reverse DNS асуулга, WHOIS, Spam Database(RBL) асуулгууд, TraceRoute, Ping зэрэг (үүгээр бас зогсохгүй) tool-үүдийг бүгдийг нэг дороос олж болно.
Саяхнаас энэ сайт шинэчлэгдэж, асуулга явуулахын тулд заавал гишүүнчлэл шаарддаг болсон боловч, үнэгүй эрхээр хуучин нийтэд нээлттэй байсан бүх tool-үүдийг хэрэглэж болох тул DNS системтэй ажилладаг, DNS асуулга явуулах хүсэлтэй хэн бүхэн энэ хуудсаар зочлоод нэг үзээрэй.
Шинээр нэмэгдсэн, миний сонирхлыг татсан хэсэг гэвэл хэлэлцүүлэг буюу forum байна. Энд DNS-тэй холбоотой асуудлууд, сонирхсон асуултуудаа бичиж, нийтээс болон DNSStuff-н мэргэжилтнээс хариултыг авч болох юм байна. Хэрвээ танд DNS-тэй холбоотой ойлгомжгүй асуудлууд байвал асуугаад үзээрэй. Бас нэг сонирхол татсан шинэ үйлчилгээ гэвэл жилийн 36$ төлөөд 24 цагын DNS Monitoring, нэмэлт DNS tool-үүдийг хэрэглэж болохоос гадна DNSStuff-c technical support авч болох юм байна. "Let us monitor your domain 24/7/365 - be DNS smart!" гэсэн хөөрхөн уриатай юм. Энд хэлж байгаа DNS Monitoring хийх нь чухал гэсэн гол санаа нь их зөв санаа байна.
Зөвхөн DNS Monitoring хийхийн тул 36$ төлөөд ч яахав, нээлттэй эхийн Nagios-г ашиглахад л болно. Nagios 5 минут тутамд таны зааж өгсөн домэйноор Root DNS Серверүүдээс асуулга явуулж, хэрэв name resolution хийж чадахгүй бол тэр дор нь танд цахим захидлаар мэдэгдэх болно. Nagios-н талаарх мэдээллийг http://nagios.org/ хуудаснаас үзээрэй.
Thursday, April 05, 2007
Tuesday, April 03, 2007
SPF - Спамаас хамгаалах арга
Энэ сар DNS-р амьсгалсан сар боллоо :). Та бүхэндээ DNS системийн талаар дахин нэг нийтлэл толилуулж байна.
SPF буюу Sender Policy Framework нь DomainKeys-н нэгэн адилаар DNS дээр тулгуурласан спамаас хамгаалах нэг арга юм. Гол ялгаа нь DomainKeys TXT бичлэг дотор өөрийн хэрэглэж буй public түлхүүрийг зарладаг бол, SPF нь authorized/бүрэн эрхт мэйл серверүүдээ зарладаг явдал юм. Domainkeys-н талаарх түрүүчийн нийтлэлийг үзнэ үү.
Тэгэхээр та танай мэйлүүд дамжин гардаг бүх мэйл серверүүдийг өөрийн домэйны TXT бичлэгт зааж өгнө гэсэн үг юм. Ажилчид чинь ажил дээрээсээ мэйл явуулах тул мэдээж эхлээд байгууллагын чинь мэйл сервер, хэрвээ гэрээсээ бас мэйл явуулдаг бол тухайн ISP-н мэйл серверүүд бас бичигдэнэ гэсэн үг.
Жишээ нь:
mx : mx бичлэгт заасан серверүүд энэ домэйны мэйл дамжуулахыг зааж байна
a:mail.isp-test.mn : mail.isp-test.mn гэсэн хост мөн мэйл явуулах эрхтэй
include:gmail.com : gmail-н зөвшөөрсөн серверүүдийг бүгдийг зөвшөөрөх
-all : бусад нь энэ домэйнтой мэйл явуулах эрхгүй
SPF бичлэгийг яаж үүсгэхээ сайн ойлгохгүй байвал SPF Төслөөс гаргасан "SPF Setup Wizard"-г хэрэглээд үзээрэй.
Хэрэв өөрийн мэйл серверийг SPF хэрэглэдэг болгоё гэвэл SPF Төслийн ЭНЭ хуудсаар зочилж өөрийн тань MTA SPF-г дэмждэг эсэхийг шалгаарай.
SPF зарим нэг талаар хязгаарлагдмал хэдий ч, Amazon, AOL, EBay, Google, GMX, Hotmail, Microsoft, ба W3C зэрэг олонд нэртэй домэйнууд өөрсдийн SPF мэдээллийг зарлах болсон байна. 2007 оны судалгаагаар .com ба .net домэйны 5% нь ямар нэг хэлбэрийн SPF бодлогыг хэрэгжүүлж байна. Мөн бидний сайн мэдэх SpamAssassin 3.0.0-с SPF-г дэмждэг болжээ.
Холбоосууд:
1. SPF Project homepage
2. Wikipedia - SPF
3. SPF Syntax
SPF буюу Sender Policy Framework нь DomainKeys-н нэгэн адилаар DNS дээр тулгуурласан спамаас хамгаалах нэг арга юм. Гол ялгаа нь DomainKeys TXT бичлэг дотор өөрийн хэрэглэж буй public түлхүүрийг зарладаг бол, SPF нь authorized/бүрэн эрхт мэйл серверүүдээ зарладаг явдал юм. Domainkeys-н талаарх түрүүчийн нийтлэлийг үзнэ үү.
Тэгэхээр та танай мэйлүүд дамжин гардаг бүх мэйл серверүүдийг өөрийн домэйны TXT бичлэгт зааж өгнө гэсэн үг юм. Ажилчид чинь ажил дээрээсээ мэйл явуулах тул мэдээж эхлээд байгууллагын чинь мэйл сервер, хэрвээ гэрээсээ бас мэйл явуулдаг бол тухайн ISP-н мэйл серверүүд бас бичигдэнэ гэсэн үг.
Жишээ нь:
v=spf1 : SPF протоколыг зааж байнаtest.mn. TXT "v=spf1 mx a:mail.isp-test.mn include:gmail.com -all"
mx : mx бичлэгт заасан серверүүд энэ домэйны мэйл дамжуулахыг зааж байна
a:mail.isp-test.mn : mail.isp-test.mn гэсэн хост мөн мэйл явуулах эрхтэй
include:gmail.com : gmail-н зөвшөөрсөн серверүүдийг бүгдийг зөвшөөрөх
-all : бусад нь энэ домэйнтой мэйл явуулах эрхгүй
SPF бичлэгийг яаж үүсгэхээ сайн ойлгохгүй байвал SPF Төслөөс гаргасан "SPF Setup Wizard"-г хэрэглээд үзээрэй.
Хэрэв өөрийн мэйл серверийг SPF хэрэглэдэг болгоё гэвэл SPF Төслийн ЭНЭ хуудсаар зочилж өөрийн тань MTA SPF-г дэмждэг эсэхийг шалгаарай.
SPF зарим нэг талаар хязгаарлагдмал хэдий ч, Amazon, AOL, EBay, Google, GMX, Hotmail, Microsoft, ба W3C зэрэг олонд нэртэй домэйнууд өөрсдийн SPF мэдээллийг зарлах болсон байна. 2007 оны судалгаагаар .com ба .net домэйны 5% нь ямар нэг хэлбэрийн SPF бодлогыг хэрэгжүүлж байна. Мөн бидний сайн мэдэх SpamAssassin 3.0.0-с SPF-г дэмждэг болжээ.
Холбоосууд:
1. SPF Project homepage
2. Wikipedia - SPF
3. SPF Syntax
Monday, April 02, 2007
Ажлын єндєр амжилт хvсье!
Голомтын админууд үнэхээр хурдан арга хэмжээ авчээ. Миний нийтлэл тэр том байгууллагын админуудад хүрсэн бол үнэхээр их баяртай байна. Ажилдаа хариуцлагатай, бас гадагшаа нээлттэй мэргэжил нэгт нөхөддөө ажлын өндөр амжилт хүсье!
Хүндэтгэсэн,
Л.Баянзул
Хүндэтгэсэн,
Л.Баянзул
Sunday, April 01, 2007
split-brain DNS, split-horizon DNS, DNS view
"Гадаадад нэг, дотоодод тусдаа мэдээлэл өгдөг DNS тогтолцоо"-г split-horizon DNS, split-brain DNS, DNS view гэх мэтчилэн олон янзаар нэрлэх болжээ. Хэдийгээр бүгд угтаа нэг утгыг агуулж байгаа хэдий ч цаад үүсэлийг нь аваад үзвэл хоорондоо нилээд ялгаатай ойлголтууд юм.
Split-horizon гэдэг нь router болон сүлжээний төхөөрөмжийн хувьд хэрэглэгддэг бөгөөд сервер DMZ(demiliterized zone)-д байрлахыг хэлнэ.
DNS View гэж split-brain DNS-г implement хийхэд зориулсан BIND 9-н View функцыг хэлж байгаа хэрэг юм.
Split-brain DNS гэж энд түрүүнээс хойш яригдаад байгаа үндсэн ойлголтыг нэрлэж байна.
Split-brain DNS-г дараах байдлаар зохион байгуулж болно.
1. Гадаад, дотоод DNS мэдээллүүд тусдаа баазуудад, тусдаа DNS серверүүд дээр байрлах
Гол санаа нь гадаадад нэг, дотоодод нэг DNS сервер(эсвэл бүлэг серверүүд) ажиллана гэсэн үг. Гадаад сервер дээр зөвхөн гадаадад зориулсан мэдээлэл, дотоод сервер дээр дотоодод зориулсан мэдээлэл байх ёстой. Дотоод серверүүд гадаад мэдээлэлд хүрч чаддаг байхын тулд гадаад мэдээллийн хуулбарыг дотоод сервер дээр байрлуулах хэрэгтэй болно. Хоёр талд байгаа ижил мэдээллийг яаж consistent байлгах вэ гэдэг дээр жинхэнэ админы шийдэл гарч ирэх байх. Энэ мэдээллийг гараар 2 дахин оруулах уу? Динамик болгохын тулд гаднах нь дотнохынхоо slave болох уу? эсвэл эсрэгээрээ байх уу? гэх мэтчилэн олон шийдэл гарч ирнэ.
Дээр нь дотоод серверүүд бусад домэйны хувьд name resolution яаж хийх вэ? гэсэн асуудал гарч ирэх болно. Гол шийдэл нь дотоод DNS хариулж чадахгүй асуулгуудаа гадаад DNS-рүү forward хийнэ. Дотоодод ганц сервер байгаад zone file-уудаа агуулаад, caching бас хийхүү? эсвэл caching-only DNS сервер тусад нь ажиллуулах уу? гэдгийг тухайн системээс хамаарч админ шийдэх болвуу. Серверийнхээ ачаалал, найдвартай ажиллагааг бодолцвол гадаадад primary ба secondary, дотоодод primary ба secondary, дээр нь caching-only DNS cервер гэсэн хувилбараар нийтдээ 5 DNS сервер ажиллуулж болох юм.
Ямар ямар хувилбарууд байж болох талаар дэлгэрэнгүйг энэ нийтлэлийн төгсгөлд байгаа "Холбоосууд" хэсэгт байгаа баримтуудаас олж уншина уу.
Нэг мэдээллийг хоёр янзаар харуулахын тулд, бичлэг бүр дээр "tag" буюу тэмдэг тавьж ялгана гэнэ. Дотоод гэж тэмдэглэсэн бол дотоодод харуулж, гадаад гэж тэмдэглэсэн бол гадаадад харуулах юм байх. BIND мэдээж одоогоор ингэж чадахгүй байгаа. Харин Daniel J.Bernstein-ы djbdns тусламжтай үүнийг хийх боломжтой. Дэлгэрэнгүйг дор байгаа "Холбоосууд" хэсгийн 2 дахь баримтаас уншаарай.
Холбоосууд:
1. Microsoft DNS Technical Articles - Split-Brain DNS Server Configuration for ISPs
2. Jonathan de Boyne Pollard's homepage - Providing "split horizon" DNS service
3. Hal Pomeranz's homepage - DNS and Sendmail(PDF file)
4. BIND 9 - Administrator Reference Manual
Split-horizon гэдэг нь router болон сүлжээний төхөөрөмжийн хувьд хэрэглэгддэг бөгөөд сервер DMZ(demiliterized zone)-д байрлахыг хэлнэ.
DNS View гэж split-brain DNS-г implement хийхэд зориулсан BIND 9-н View функцыг хэлж байгаа хэрэг юм.
Split-brain DNS гэж энд түрүүнээс хойш яригдаад байгаа үндсэн ойлголтыг нэрлэж байна.
Split-brain DNS-г дараах байдлаар зохион байгуулж болно.
1. Гадаад, дотоод DNS мэдээллүүд тусдаа баазуудад, тусдаа DNS серверүүд дээр байрлах
Гол санаа нь гадаадад нэг, дотоодод нэг DNS сервер(эсвэл бүлэг серверүүд) ажиллана гэсэн үг. Гадаад сервер дээр зөвхөн гадаадад зориулсан мэдээлэл, дотоод сервер дээр дотоодод зориулсан мэдээлэл байх ёстой. Дотоод серверүүд гадаад мэдээлэлд хүрч чаддаг байхын тулд гадаад мэдээллийн хуулбарыг дотоод сервер дээр байрлуулах хэрэгтэй болно. Хоёр талд байгаа ижил мэдээллийг яаж consistent байлгах вэ гэдэг дээр жинхэнэ админы шийдэл гарч ирэх байх. Энэ мэдээллийг гараар 2 дахин оруулах уу? Динамик болгохын тулд гаднах нь дотнохынхоо slave болох уу? эсвэл эсрэгээрээ байх уу? гэх мэтчилэн олон шийдэл гарч ирнэ.
Дээр нь дотоод серверүүд бусад домэйны хувьд name resolution яаж хийх вэ? гэсэн асуудал гарч ирэх болно. Гол шийдэл нь дотоод DNS хариулж чадахгүй асуулгуудаа гадаад DNS-рүү forward хийнэ. Дотоодод ганц сервер байгаад zone file-уудаа агуулаад, caching бас хийхүү? эсвэл caching-only DNS сервер тусад нь ажиллуулах уу? гэдгийг тухайн системээс хамаарч админ шийдэх болвуу. Серверийнхээ ачаалал, найдвартай ажиллагааг бодолцвол гадаадад primary ба secondary, дотоодод primary ба secondary, дээр нь caching-only DNS cервер гэсэн хувилбараар нийтдээ 5 DNS сервер ажиллуулж болох юм.
Ямар ямар хувилбарууд байж болох талаар дэлгэрэнгүйг энэ нийтлэлийн төгсгөлд байгаа "Холбоосууд" хэсэгт байгаа баримтуудаас олж уншина уу.
BIND болон Sendmail ашиглан mail gateway хэрхэн тохируулах талаар "Холбоосууд" хэсгийн 3 дахь баримтаас уншаарай.
2. Гадаад, дотоод DNS мэдээллүүд тусдаа баазуудад, нэг DNS Cервер дээр байрлах
Үүнийг BIND9-н VIEW функцийн тусламжтай хийж болно. Тэгэхээр нэг DNS сервер гаднаас ч, дотроос ч DNS асуулгыг хүлээн авдаг байхын тулд 2 сүлжээний картаар гадаад, дотоод сүлжээнд шууд холбогдсон байх, эсвэл NAT-р гадагшаа гардаг байх ёстой болно. Эхнийх буюу нэг машин шууд гадаад, дотоодод зэрэг гарна гэдэг нь аюулгүй байдлын хувьд тун муу шийдэл юм. Тиймээс ихэнх тохиолдолд NAT хийгдсэн байдаг.
За тэгэхээр ямар ч байсан гаднаас ч, дотроос ч DNS асуулга хүлээж авдаг боллоо. Одоо BIND9-г тохируулах хэрэгтэй. Доорх жишээн дээр нэг гадаад slave сервертэй, split-brain DNS тогтолцооны гол сервер дээрх тохиргоог харуулав:
acl internal { 192.168.2.0/24; 192.168.0.0/24;};
acl secondary { xx.xx.xx.xx;};
options {
directory "/var/named";
pid-file "/var/run/named/named.pid";
recursion no;
notify no;
};
view internal {
match-clients { internal; };
recursion yes;
zone "test.mn" IN {
type master;
file "test.internal";
allow-update { localhost; };
};
"168.192.in-addr.arpa" IN {
type master;
file "named.internal";
allow-update { localhost; };
};
};
view external {
match-clients { any; };
recursion no;
zone "test.mn" IN {
type master;
file "test.external";
allow-update { localhost; };
allow-transfer { secondary; };
notify yes;
};
};
Нэг мэдээллийг хоёр янзаар харуулахын тулд, бичлэг бүр дээр "tag" буюу тэмдэг тавьж ялгана гэнэ. Дотоод гэж тэмдэглэсэн бол дотоодод харуулж, гадаад гэж тэмдэглэсэн бол гадаадад харуулах юм байх. BIND мэдээж одоогоор ингэж чадахгүй байгаа. Харин Daniel J.Bernstein-ы djbdns тусламжтай үүнийг хийх боломжтой. Дэлгэрэнгүйг дор байгаа "Холбоосууд" хэсгийн 2 дахь баримтаас уншаарай.
Холбоосууд:
1. Microsoft DNS Technical Articles - Split-Brain DNS Server Configuration for ISPs
2. Jonathan de Boyne Pollard's homepage - Providing "split horizon" DNS service
3. Hal Pomeranz's homepage - DNS and Sendmail(PDF file)
4. BIND 9 - Administrator Reference Manual
Wednesday, March 28, 2007
Split-horizon DNS
Энэ нийтлэлийг бичье гэж бодсоор их удлаа. Анх санаа нь Голомт банкны DNS бичлэгийг хараад төрсөн билээ.
Episode 1: Тэр үед 2005 оны 5 сард дөнгөж ажилд ороод байсан би, танайхаас Голомт банкруу мэйл явуулж чадахгүй байна гэсэн хэрэглэгчийн гомдолыг хүлээж авлаа. Эхлээд учраа сайн олохгүй нилээд материал уншиж судалсны эцэст Голомт банкны DNS бичлэг нэг домэйн нэр дээр нилээд олон A бичлэгийг дотоод, гадаад IP холин цувуулан бичсэн байлаа. Манай мэйл серверээс DNS resolution хийхэд дотоод IP нь гарч ирээд мэйл явуулж чадахгүй байсан бололтой. Нилээд хэдэн утас эргэдэж байж Голомтын DNS бичлэгийг хариуцдаг админ-тай нь ярилаа. Тэгвэл зүгээр, ингэвэл дээр гэж хэлж чадахаар юм надад үнэндээ байсангүй. "Гадаад IP-тай A бичлэгээ, дотоод IP-тайгийнхаа дээр нь тавьчиж болохгүй юу?" гэж хэлж байснаа санаж байна. Мэдээж Голомтынхон ямар нэг арга хэмжээ аваагүй, тэр хэрэглэгч дахин утасдаж байсан санагдана. Тэр үед миний хийх гэж оролдсон ганц алхам бол өөрийн DNS Cache сервер дээр Голомтын golombank.com домэйныг гадаад IP-руу нь шууд зааж өгөх гэсэн оролдлого байлаа. Тэр үед DNS системийн талаар үнэндээ ямар ч мэдлэг байгаагүй болохоор нөгөө хэрэглэгч маань ч утасдахаа больж, би ч энэ талаар таг мартав.
Episode 3: 2006 оны 9 сард, Улаанбаатарт болсон APNIC DNS Workshop... DNS-ын ойлгомжгүй олон асуудлууд байсныг хичээл заасан багшаасаа асууж нэг санаа амрав. Мэдээж Голомт банкны бичлэгийг асуухаа мартсангүй. "Манай нэг хэрэглэгч дотоод IP-гаа гадаад DNS дээрээ биччихээд байх юм. Энэ болохгүй биз дээ?" гэж асуухад минь, "It is stupid thing to annouce your private IP to the world." гэж хариулж байсан билээ. Хичээл дууссаны дараа шалгатал Голомтын DNS бичлэг хэвээрээ л байсан санагдана. Хичээл заалгасан хүн чинь юу гэж зүгээр байхав дээ. Zone transfer хийх гэж оролдсон, болоогүй. Гэхдээ сонирхолтой мэдээлэл нилээд олсон. Би сүлжээний хакер биш л дээ, үнэндээ энэ мэдээллээр юу хийхээ ч өөрөө ойлгоогүй, зүгээр л сонирхол татаж байлаа. dns, mail, web нь бүгд (Голомт банк мэдээж олон домэйнтэй байх, зөвхөн golomtbank.com-н хувьд) нэг IP-руу заагдсан байсан. 192.168.0.8 байсан шиг санаж байна. Мэдээж бүхэл бүтэн банк юм чинь энэ олон сервис нэг сервер дээр байна гэж байхгүй л дээ, proxy сервер биз гэсэн яриа манай ажлынхны дунд өрнөлөө.
Episode 4: 2006 оны 12 сар... Дөлөө, Нүүнээ хоёртой буу халж байсан, Голомт банкны DNS бичлэгийн талаар яриа өрнөлөө. (Ярих бодит жишээтэй байх сайхан юм :) ) "Дотоод сүлжээндээ DNS cервер хэрэгтэй байгаа л юм бол дотооддоо тусад нь DNS тавьчиж болдоггүй юм байх даа" гэсэн миний саналын хариуд Дөлөө "Request ирж байгаа IP-наас нь хамаарч BIND гадаадад нэг мэдээлэл, дотоодод өөр мэдээлэл өгч чадна." гэж байна. "BIND уу? Чадахгүй." гэж Нүүнээ бид 2 зөрөөд... барьдаг дээрээ туллаа.
Episode 2: SANS-н сургалтанд суухдаа split-horizon DNS зохион байгуулж, дотоод DNS мэдээллээ гаднаас хэрхэн хамгаалах талаар анх олж сонслоо.
Episode 5: Саяхан Голомт банкны бичлэгийг шалгаад орхисон, харин дотоод IP-нууд нь алга болчиж... Админууд нь нэг арга хэмжээ авсан бололтой.
Episode 6: ... гэж бодоод дөнгөж сая шалгатал, яг ч бас үгүй юм байна.
www.golomtbank.com 202.170.65.8 (A)
mail.golomtbank.com 202.170.65.8 (A)
> golomtbank.com
Server: [202.170.65.8]
Address: 202.170.65.8
golomtbank.com nameserver = glmt.golomtbank.com
glmt.golomtbank.com internet address = 192.168.1.4
glmt.golomtbank.com internet address = 202.170.65.8
DNS нь дотоод IP-гаа зарласан хэвээр байна. Байгууллагын дотоод сүлжээнээс хандаж байгаа болохоор гарч ирж байгаа байж магадгүй.
Нэмээд хэлчихэд golomtbank.com домэйнд MX бичлэг байхгүй, 2 authoritative/бүрэн эрхт DNS сервер зарласан хэдий ч glmt1.golomtbank.com-202.170.65.9 нь ерөөсөө ажилладаггүй юм билээ.
Episode 7: Уг нь split-horizon DNS, DNS view-н талаар энд бичих ёстой байлаа. Ойлгоогүй зүйлс бас байгаа тул дараагийн нийтлэлдээ гүйцээе.
PS: Голомт банкыг шүүмжилсэн өнгө аястай нийтлэл болсон бол хүлцэл өчье. Аргагүй толгойд яваад байсан болохоор энд жишээ болгон бичлээ. Дээрх мэдээллийг хялбархан nslookup хийгээд олж авч болно.
Episode 1: Тэр үед 2005 оны 5 сард дөнгөж ажилд ороод байсан би, танайхаас Голомт банкруу мэйл явуулж чадахгүй байна гэсэн хэрэглэгчийн гомдолыг хүлээж авлаа. Эхлээд учраа сайн олохгүй нилээд материал уншиж судалсны эцэст Голомт банкны DNS бичлэг нэг домэйн нэр дээр нилээд олон A бичлэгийг дотоод, гадаад IP холин цувуулан бичсэн байлаа. Манай мэйл серверээс DNS resolution хийхэд дотоод IP нь гарч ирээд мэйл явуулж чадахгүй байсан бололтой. Нилээд хэдэн утас эргэдэж байж Голомтын DNS бичлэгийг хариуцдаг админ-тай нь ярилаа. Тэгвэл зүгээр, ингэвэл дээр гэж хэлж чадахаар юм надад үнэндээ байсангүй. "Гадаад IP-тай A бичлэгээ, дотоод IP-тайгийнхаа дээр нь тавьчиж болохгүй юу?" гэж хэлж байснаа санаж байна. Мэдээж Голомтынхон ямар нэг арга хэмжээ аваагүй, тэр хэрэглэгч дахин утасдаж байсан санагдана. Тэр үед миний хийх гэж оролдсон ганц алхам бол өөрийн DNS Cache сервер дээр Голомтын golombank.com домэйныг гадаад IP-руу нь шууд зааж өгөх гэсэн оролдлого байлаа. Тэр үед DNS системийн талаар үнэндээ ямар ч мэдлэг байгаагүй болохоор нөгөө хэрэглэгч маань ч утасдахаа больж, би ч энэ талаар таг мартав.
Episode 3: 2006 оны 9 сард, Улаанбаатарт болсон APNIC DNS Workshop... DNS-ын ойлгомжгүй олон асуудлууд байсныг хичээл заасан багшаасаа асууж нэг санаа амрав. Мэдээж Голомт банкны бичлэгийг асуухаа мартсангүй. "Манай нэг хэрэглэгч дотоод IP-гаа гадаад DNS дээрээ биччихээд байх юм. Энэ болохгүй биз дээ?" гэж асуухад минь, "It is stupid thing to annouce your private IP to the world." гэж хариулж байсан билээ. Хичээл дууссаны дараа шалгатал Голомтын DNS бичлэг хэвээрээ л байсан санагдана. Хичээл заалгасан хүн чинь юу гэж зүгээр байхав дээ. Zone transfer хийх гэж оролдсон, болоогүй. Гэхдээ сонирхолтой мэдээлэл нилээд олсон. Би сүлжээний хакер биш л дээ, үнэндээ энэ мэдээллээр юу хийхээ ч өөрөө ойлгоогүй, зүгээр л сонирхол татаж байлаа. dns, mail, web нь бүгд (Голомт банк мэдээж олон домэйнтэй байх, зөвхөн golomtbank.com-н хувьд) нэг IP-руу заагдсан байсан. 192.168.0.8 байсан шиг санаж байна. Мэдээж бүхэл бүтэн банк юм чинь энэ олон сервис нэг сервер дээр байна гэж байхгүй л дээ, proxy сервер биз гэсэн яриа манай ажлынхны дунд өрнөлөө.
Episode 4: 2006 оны 12 сар... Дөлөө, Нүүнээ хоёртой буу халж байсан, Голомт банкны DNS бичлэгийн талаар яриа өрнөлөө. (Ярих бодит жишээтэй байх сайхан юм :) ) "Дотоод сүлжээндээ DNS cервер хэрэгтэй байгаа л юм бол дотооддоо тусад нь DNS тавьчиж болдоггүй юм байх даа" гэсэн миний саналын хариуд Дөлөө "Request ирж байгаа IP-наас нь хамаарч BIND гадаадад нэг мэдээлэл, дотоодод өөр мэдээлэл өгч чадна." гэж байна. "BIND уу? Чадахгүй." гэж Нүүнээ бид 2 зөрөөд... барьдаг дээрээ туллаа.
Episode 2: SANS-н сургалтанд суухдаа split-horizon DNS зохион байгуулж, дотоод DNS мэдээллээ гаднаас хэрхэн хамгаалах талаар анх олж сонслоо.
Episode 5: Саяхан Голомт банкны бичлэгийг шалгаад орхисон, харин дотоод IP-нууд нь алга болчиж... Админууд нь нэг арга хэмжээ авсан бололтой.
Episode 6: ... гэж бодоод дөнгөж сая шалгатал, яг ч бас үгүй юм байна.
www.golomtbank.com 202.170.65.8 (A)
mail.golomtbank.com 202.170.65.8 (A)
> golomtbank.com
Server: [202.170.65.8]
Address: 202.170.65.8
golomtbank.com nameserver = glmt.golomtbank.com
glmt.golomtbank.com internet address = 192.168.1.4
glmt.golomtbank.com internet address = 202.170.65.8
DNS нь дотоод IP-гаа зарласан хэвээр байна. Байгууллагын дотоод сүлжээнээс хандаж байгаа болохоор гарч ирж байгаа байж магадгүй.
Нэмээд хэлчихэд golomtbank.com домэйнд MX бичлэг байхгүй, 2 authoritative/бүрэн эрхт DNS сервер зарласан хэдий ч glmt1.golomtbank.com-202.170.65.9 нь ерөөсөө ажилладаггүй юм билээ.
Episode 7: Уг нь split-horizon DNS, DNS view-н талаар энд бичих ёстой байлаа. Ойлгоогүй зүйлс бас байгаа тул дараагийн нийтлэлдээ гүйцээе.
PS: Голомт банкыг шүүмжилсэн өнгө аястай нийтлэл болсон бол хүлцэл өчье. Аргагүй толгойд яваад байсан болохоор энд жишээ болгон бичлээ. Дээрх мэдээллийг хялбархан nslookup хийгээд олж авч болно.
Monday, March 26, 2007
DomainKeys - Спамаас хамгаалах арга
Yahoo болон Gmail-рүү явуулсан мэйлүүд BULK-руу орчихоод байвал DomainKey-г хэрэглэж эхлэх цаг болсоных ч байж мэднэ!
Саяхнаас yahoo.co.jp домэйнтой мэйл хаягтай болсон билээ. Хэрэглэж байхдаа нэг анзаарвал зарим мэйл From талбартаа, мэйл хаягныхаа доод талд "DomainKeys は、このメールが yahoo.com から送信されたことを確認しました。" гэсэн бичиг байна. Монголоор "Энэ мэйл yahoo.com-с ирсэн болохыг DomainKeys шалган тогтоов ." гэсэн үг л дээ. Монголд байхад л DomainKeys гээд яригдаад байсан, нээрээ ингээд хэрэглээд эхэлчихсэн юм байх даа гэсэн бодол толгойд орж ирж байна. Wiki-дээд орхисон Yahoo бүр 2004 оноос хойш DomainKeys ашиглах болсон гэж байна. Хэрэв тийм бол яагаад анзаарайгүй байдаг билээ?...
yahoo.com-ын мэйлүүдэд From хэсэгт мэйл хаягны өмнө "дугтуйн дээрх түлхүүрний тэмдэг" байнуу? Дээр нь хулганаар очвол "This sender is DomainKeys verified" гэж гарч ирж байгаа биз...
DomainKeys гэж юу вэ?
DomainKeys гэдэг нь мэйл үнэхээр "From" хэсэгт бичигдсэн домэйноос ирсэн байнуу гэдгийг шалган тогтоох зориулалттай нэг төрлийн шинэ протокол юм. Хялбарханаар тайлбарлавал: явуулж байгаа тал нь гарын үсгээ зурна, хүлээн авч байгаа тал нь түүнийг шалгана гэсэн үг юм.
Хэрхэн ажиллах вэ?
DomainKeys-г ашиглахын тулд эхлээд private/public хос түлхүүр үүсгэх ёстой. Private түлхүүрийг MTA өөртөө хадгалж, гадагшаа явуулж байгаа бүх мэйлийн header дотор бичнэ. Public хэсгийг админ өөрийн DNS zone file-д, _domainkey дэд домэйны TXT бичлэг дотор тавьсанаар, хүлээн авч байгаа мэйл сервер энэ түлхүүрийг авч гарын үсгийг шалгах боломжтой болно. Өөрөөр хэлбэл public түлхүүрийг нийтэд тараахдаа DNS hierarchy-г ашиглаж байна гэсэн үг юм. DNS бичлэгийг зөвхөн тухайн домэйны эзэн өөрчлөх эрхтэй тул хос түлхүүрийг заавал гадны CA(Certificate Authority)-р баталгаажуулах шаардлагагүй болсон давуу талтай.
DomainKey-р баталгаажсан мэйлийн header ямар байдаг бол? гэсэн сониуч зандаа хөтлөгдөж байгаа бол мэйлийн full header-г нь нэг нээгээд хараарай. DomainKey-Signature гэсэн талбар нэмэгдсэн байгаа:
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=gmail.com; s=beta;
h=received:message-id:date:from:to:subject:cc:mime-version:content-type;
Хэрхэн хэрэглэх вэ?
Yahoo, Gmail бүгд DomainKey-г хэрэглээд нэгэнт эхэлчихсэн тул, та эдгээр домэйнуудруу мэйл явуулахын тулд ядаж гарын үсгээ зураад явуулах хэрэгтэй болох байх даа. Одоо яах вэ гэж санаа зовох хэрэггүй. Өргөн хэрэглэгддэг MTA-уудын хувьд patch/шинэ хувилбар/plugin аль хэдийнэ гарчихсан, аваад хэрэглэх л үлдэж дээ:
- Sendmail milter implementation - http://sourceforge.net/projects/dk-milter
- Qmail patch qmail-dk - http://www.qmail.org/top.html
- Exim version - http://duncanthrax.net/exim-experimental
болон бусад MTA-н талаар DomainKeys төслийн хуудаснаас орж үзнэ үү.
Холбоосууд:
1. Yahoo Anti-Spam Resource Center-с гаргасан танилцуулга - http://antispam.yahoo.com/domainkeys
2. Yahoo-гаас санхүүжүүлж буй нээлттэй эхийн DomainKeys төсөл - http://domainkeys.sourceforge.net
3. Wikipedia - http://en.wikipedia.org/wiki/DomainKeys
Саяхнаас yahoo.co.jp домэйнтой мэйл хаягтай болсон билээ. Хэрэглэж байхдаа нэг анзаарвал зарим мэйл From талбартаа, мэйл хаягныхаа доод талд "DomainKeys は、このメールが yahoo.com から送信されたことを確認しました。" гэсэн бичиг байна. Монголоор "Энэ мэйл yahoo.com-с ирсэн болохыг DomainKeys шалган тогтоов ." гэсэн үг л дээ. Монголд байхад л DomainKeys гээд яригдаад байсан, нээрээ ингээд хэрэглээд эхэлчихсэн юм байх даа гэсэн бодол толгойд орж ирж байна. Wiki-дээд орхисон Yahoo бүр 2004 оноос хойш DomainKeys ашиглах болсон гэж байна. Хэрэв тийм бол яагаад анзаарайгүй байдаг билээ?...
yahoo.com-ын мэйлүүдэд From хэсэгт мэйл хаягны өмнө "дугтуйн дээрх түлхүүрний тэмдэг" байнуу? Дээр нь хулганаар очвол "This sender is DomainKeys verified" гэж гарч ирж байгаа биз...
DomainKeys гэж юу вэ?
DomainKeys гэдэг нь мэйл үнэхээр "From" хэсэгт бичигдсэн домэйноос ирсэн байнуу гэдгийг шалган тогтоох зориулалттай нэг төрлийн шинэ протокол юм. Хялбарханаар тайлбарлавал: явуулж байгаа тал нь гарын үсгээ зурна, хүлээн авч байгаа тал нь түүнийг шалгана гэсэн үг юм.
Хэрхэн ажиллах вэ?
DomainKeys-г ашиглахын тулд эхлээд private/public хос түлхүүр үүсгэх ёстой. Private түлхүүрийг MTA өөртөө хадгалж, гадагшаа явуулж байгаа бүх мэйлийн header дотор бичнэ. Public хэсгийг админ өөрийн DNS zone file-д, _domainkey дэд домэйны TXT бичлэг дотор тавьсанаар, хүлээн авч байгаа мэйл сервер энэ түлхүүрийг авч гарын үсгийг шалгах боломжтой болно. Өөрөөр хэлбэл public түлхүүрийг нийтэд тараахдаа DNS hierarchy-г ашиглаж байна гэсэн үг юм. DNS бичлэгийг зөвхөн тухайн домэйны эзэн өөрчлөх эрхтэй тул хос түлхүүрийг заавал гадны CA(Certificate Authority)-р баталгаажуулах шаардлагагүй болсон давуу талтай.
DomainKey-р баталгаажсан мэйлийн header ямар байдаг бол? гэсэн сониуч зандаа хөтлөгдөж байгаа бол мэйлийн full header-г нь нэг нээгээд хараарай. DomainKey-Signature гэсэн талбар нэмэгдсэн байгаа:
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=gmail.com; s=beta;
h=received:message-id:date:from:to:subject:cc:mime-version:content-type;
Хэрхэн хэрэглэх вэ?
Yahoo, Gmail бүгд DomainKey-г хэрэглээд нэгэнт эхэлчихсэн тул, та эдгээр домэйнуудруу мэйл явуулахын тулд ядаж гарын үсгээ зураад явуулах хэрэгтэй болох байх даа. Одоо яах вэ гэж санаа зовох хэрэггүй. Өргөн хэрэглэгддэг MTA-уудын хувьд patch/шинэ хувилбар/plugin аль хэдийнэ гарчихсан, аваад хэрэглэх л үлдэж дээ:
- Sendmail milter implementation - http://sourceforge.net/projects/dk-milter
- Qmail patch qmail-dk - http://www.qmail.org/top.html
- Exim version - http://duncanthrax.net/exim-experimental
болон бусад MTA-н талаар DomainKeys төслийн хуудаснаас орж үзнэ үү.
Холбоосууд:
1. Yahoo Anti-Spam Resource Center-с гаргасан танилцуулга - http://antispam.yahoo.com/domainkeys
2. Yahoo-гаас санхүүжүүлж буй нээлттэй эхийн DomainKeys төсөл - http://domainkeys.sourceforge.net
3. Wikipedia - http://en.wikipedia.org/wiki/DomainKeys
Friday, March 23, 2007
"Linux Install Fest" энэ жил уламжлал болон зохиогдох уу?
Түрүү жилийн 4 сарын 7-нд "Linux Install Fest" арга хэмжээг MUUG, OpenMN хамтран анх санаачлан зохион байгуулж байсныг та бүхэн санаж байгаа байх. Анхны арга хэмжээ болохоор сонин, содон, сайхан болж өнгөрсөн санагдаж байна. Бас ч үгүй зорилтууд тавьж, түүндээ ч эхнээс нь хүрсэн байна. Linux User Group-тэй болъё гэж ярьж байсан, Дөлөөгийн маань зүтгэлээр http://www.limnux.org/ веб хуудас бий болж, олон гишүүдтэй Linux User Group-тэй ч болжээ.
4 сар ч дөхөж байна. Энэ жил "Linux Install Fest - 2007" хэзээ зохиогдох талаар, мартсан хүмүүс байвал нэг сануулаад орхиё гэсэн бодлоор LiMNux дээр нэг нийтлэл нээгээд орхилоо. Дөлөөгөөс хариу ирсэн байна. Ямартай ч энэ жил зохиогдох юм байна, гэхдээ Ubuntu "Feisty Fawn" 7.04 гарах өдөр "Монголын Нээлттэй Эхийн Санаачлага" ТББ-н байранд болох сурагтай. Удахгүй товыг та бүхэнд хүргүүлэх бололтой. Энэ талаар LiMNux-с орж уншаарай.
4 сар ч дөхөж байна. Энэ жил "Linux Install Fest - 2007" хэзээ зохиогдох талаар, мартсан хүмүүс байвал нэг сануулаад орхиё гэсэн бодлоор LiMNux дээр нэг нийтлэл нээгээд орхилоо. Дөлөөгөөс хариу ирсэн байна. Ямартай ч энэ жил зохиогдох юм байна, гэхдээ Ubuntu "Feisty Fawn" 7.04 гарах өдөр "Монголын Нээлттэй Эхийн Санаачлага" ТББ-н байранд болох сурагтай. Удахгүй товыг та бүхэнд хүргүүлэх бололтой. Энэ талаар LiMNux-с орж уншаарай.
Thursday, March 22, 2007
Блог тойм
Ойрын хэд хоногт Линукс/Юникс-чид нилээд идэвхтэй блог бичиж эхлэв бололтой. Уншсан блогнуудаасаа тоймлон хүргэе.
olloo-гийн Нүүнээ, "Галт Үнэг" ба "Аянгач шувуу"-г орчуулсан Нацаг андууд маань тус бүр өөрсдийн блогын эхлэлийг тавьж эхний нийтлэлүүдээ бичжээ.
1. Vim-г хэрхэн хэрэглэх талаар эх хэл дээрээ уншъя гэвэл Нацаг андын Вимын талаар цуврал нийтлэлийг уншаарай. Техникийн хүн гэхэд уран гоё үгтэй, сайхан нийтлэл бичжээ.
2. Нүүнээ анд маань эхний нийтлэлээрээ phishing халдлагын талаар бичжээ. Өөрийн дуртай "hacker"-н тэмдэгээ ч дээр нь тавьсан харагдана. Чухам энэ тэмдэгийн талаар Нүүнээгээс анх олж мэдэж байсан билээ.
3. Зоригтын блог дээрх хуучин нийтлэлийг сая олж уншлаа. Дээр NHK-р Google ахын талаар их сонирхолтой нэвтрүүлэг гарч байсан. Түүнийг монгол хэлээр сайхан сийрүүлсэн харагдана. Нэг сонирхоод үзээрэй.
4. Буянцогтоо ахын сүүлийн нийтлэлүүдээс түүний "Технологи ба Монгол улсын хөгжил" сэдэвт хуралд аутсорсингийн талаар өөрийнх нь тавьсан илтгэлийн талаар, өөрийнх нь хэлснээр "Монголын Silicon Valley"-г байгуулах талаар уншаарай. Мөн түүний өмнөх нийтлэлдээ тавьсан Web2.0 технологийн талаар танилцуулга видеог сонирхоорой.
5. Дөлөө маань ойрд http://www.limnux.org/-н ажилтайгаа завгүй, блог дээрээ нийтлэл бичиж амжихгүй байх шиг байна. http://www.limnux.org/ дээр өдөр тутам нэмэгдэж байгаа мэдээний тоог хараад хуучин андынхаа эрч хүчийг гайхнам.
6. Очко-гийн блог дээрээс Олон үйлдлийн систем нэг дискэн дээр, Юникс shell-ийн командууд, VI - текст засварлагч зэрэг нийтлэлийг орж сонирхоорой.
7. Google Adsense-н анхны монгол хэрэглэгчийн нэг Хүжийгийн өөрийн туршлагаас хуваалцсан болон хүмүүсийн асуултанд хариулсан нийтлэлийг уншаарай.
Мөн монголын кибермедиа хэрхэн өргөжин тэлж байгааг харахыг хүсвэл http://ask.banjig.net/, http://www.delhii.net/, http://www.bugdeeree.mn/ хуудсуудаар ороод гарна биз ээ...
olloo-гийн Нүүнээ, "Галт Үнэг" ба "Аянгач шувуу"-г орчуулсан Нацаг андууд маань тус бүр өөрсдийн блогын эхлэлийг тавьж эхний нийтлэлүүдээ бичжээ.
1. Vim-г хэрхэн хэрэглэх талаар эх хэл дээрээ уншъя гэвэл Нацаг андын Вимын талаар цуврал нийтлэлийг уншаарай. Техникийн хүн гэхэд уран гоё үгтэй, сайхан нийтлэл бичжээ.
2. Нүүнээ анд маань эхний нийтлэлээрээ phishing халдлагын талаар бичжээ. Өөрийн дуртай "hacker"-н тэмдэгээ ч дээр нь тавьсан харагдана. Чухам энэ тэмдэгийн талаар Нүүнээгээс анх олж мэдэж байсан билээ.
3. Зоригтын блог дээрх хуучин нийтлэлийг сая олж уншлаа. Дээр NHK-р Google ахын талаар их сонирхолтой нэвтрүүлэг гарч байсан. Түүнийг монгол хэлээр сайхан сийрүүлсэн харагдана. Нэг сонирхоод үзээрэй.
4. Буянцогтоо ахын сүүлийн нийтлэлүүдээс түүний "Технологи ба Монгол улсын хөгжил" сэдэвт хуралд аутсорсингийн талаар өөрийнх нь тавьсан илтгэлийн талаар, өөрийнх нь хэлснээр "Монголын Silicon Valley"-г байгуулах талаар уншаарай. Мөн түүний өмнөх нийтлэлдээ тавьсан Web2.0 технологийн талаар танилцуулга видеог сонирхоорой.
5. Дөлөө маань ойрд http://www.limnux.org/-н ажилтайгаа завгүй, блог дээрээ нийтлэл бичиж амжихгүй байх шиг байна. http://www.limnux.org/ дээр өдөр тутам нэмэгдэж байгаа мэдээний тоог хараад хуучин андынхаа эрч хүчийг гайхнам.
6. Очко-гийн блог дээрээс Олон үйлдлийн систем нэг дискэн дээр, Юникс shell-ийн командууд, VI - текст засварлагч зэрэг нийтлэлийг орж сонирхоорой.
7. Google Adsense-н анхны монгол хэрэглэгчийн нэг Хүжийгийн өөрийн туршлагаас хуваалцсан болон хүмүүсийн асуултанд хариулсан нийтлэлийг уншаарай.
Мөн монголын кибермедиа хэрхэн өргөжин тэлж байгааг харахыг хүсвэл http://ask.banjig.net/, http://www.delhii.net/, http://www.bugdeeree.mn/ хуудсуудаар ороод гарна биз ээ...
Wednesday, March 21, 2007
Google phone interview for linux system administrator position
Өнөө өглөө Google-н 2 дахь ярилцлагаа өглөө. Энэ нь Google Japan linux system administrator авна гэсэн зарын дагуу юм л даа. 2 дахь ярилцлага гэхээр амжилттай явж байна гэж хүмүүс бодох байх. Гэхдээ надад шал өөр сэтгэгдэл төрснийг энд хэлэх хэрэгтэй болвуу. Юутай ч эхлээд ярилцлагуудын талаар товчхон сонирхуулъя.
Эхний удаа Google Japan-ы инженер япон залуутай утсаар ярилцлага хийлээ. Ярилцлага 30мин үргэлжлэх ёстой байлаа. Япон залуугийн дуудлага нилээд муу, зарим үед ялангуяа техникийн талын асуултыг хэд дахин тодруулах хэрэгтэй болж байлаа. Эхлээд мэдээж өөрийгөө танилцуулах, ирээдүйн зорилго гэх мэт байнга асуудаг асуултууд байна. "What is your strongest and weakest point?" гэсэн асуултанд эхлээд нилээд түгдэрлээ. Тэгэж байгаад гол техникийн асуултандаа орлоо. Анхан шатны, маш амархан асуултууд байна:
1. What protocol does ping use?
2. What ports and protocols(UDP or TCP) does DNS, HTTP, SSH, SMTP use?
3. How would you count words in a text file?
4. What is a pipe, and what it is used for?
5. What is a CPU load, how it is calculated?
6. How would you know the speed of your CPU? (where this information is stored?)
7. What is "mc"? (midnight commander)
Мэдэхийгээ шууд хариулаад, таамаглаж байгаагаа болохоор тийм тийм арга замаар тэгэж хийнэ гэдэг ч юмуу, ер нь бол бүгдийг хариулчихлаа... Тэгсэн 30минутынхаа дөнгөж талд нь орсон байна. Надаас асуух асуулт байнуу? гэж асуухад нь юу ч бэлдээгүй хүн чинь байхгүй л гэдэг юм байна. Тэгсэн тэр залуу 30минутаа дуустал ярих ёстой байсан юм байлгүй би чамд гүүглийн тухай ярьж өгье гээд л яриад эхлэх нь тэр... Ажлын цагынхаа 20%-г өөрийн хүссэн төсөлөө хэрэгжүүлэхэд зарцуулах эрхтэй. Төсөлөө бие дааж хийж болно, эсвэл баг бүрдүүлээд хийнэ. Хүмүүс тэгээд ямархуу төсөл дээр ажилладаг вэ гэсэн чинь (Google Japan-ы хувьд) янз бүрийн програмчлалын хэл сурах, мөн нээлттэй эхийн төсөл дээр ажилладаг гэлээ. Мэдээж нарийн ширийн юмаа хэлж болохгүй байх л даа...
Тэгэж байтал 3 хоногын дараа буюу уржигдар 2 дахь ярилцлаганы тов ч хүрээд ирлээ. Энэ удаа Google-н Sydney салбарт ажилладаг linux system admin-тай ярилцлага хийх юм байх. За одоо л нэг ярилцлагандаа бэлдэх хэрэгтэйг санаад "google telephone interview" гээд гүүглэдээд орхисон чинь... хөөх баахан юм гарч ирж байна... Асуултууд нь ч байна, ярилцлаганд орсон хүмүүсийн нийтлэлүүд ч байна. Ямар ч аймаар нарийн ширийн, хэцүү, ямар ч утгагүй жижиг сажиг зүйл асуудаг юм бэ гэмээр, ер нь хүмүүсийн ам их муу байна. Google ер нь нэр хүндээ өсгөх гэж албаар олон хүнтэй ярилцлага хийж, хэцүү асуулт асуудаг ч байх гэсэн бодол төрөөд явчихлаа... шал урамгүй юм... маркетингийн бодлогоо гэж...
За тэгээд 2 дахь ярилцлагаа дөнгөж сая өгчихөөд, одоо ёстой болъё, дахиж л тэгэж өөрийгөө тамлаад яахав гэсэн бодолтой сууж байна. Өчигдөр блог уншиж байсан нэг залуу 3 дахь байнуу ярилцлагаа шууд болиулчихсан байсан, бас нэг инженер гар 2 сар тамлуулсаны эцэст гэрээт ажил санал болгохоор нь тэр дор нь, утсаар татгалзсан гэж байсан. Одоо л тэр хүмүүсийн сэтгэлийг ойлгож байх шиг байна...
2 дахь ярилцлага маань 45 минь үргэлжлэх ёстой байлаа. Эхний минутаас аваад, сүүлийн минут хүртэл асуултанд хариуллаа. Мэддэг гэж бодсон зүйлсээ үнэндээ бол маруухан мэддэг гэдгээ ойлгосон уу, эхнээсээ л асуултуудад нь дутуу хариулаад байх шиг сэтгэгдэл төрлөө. Тэр авсралийн инженер ёстой юмийг ухаж асууна гэж ёстой үзүүлж байна. Зорилго нь энэ хүн мэддэг зүйлээ хир хэмжээнд мэддэг вэ? дээр нь толгой нь хир хурдан ажиллаж байна гэдгийг шалгах байсан байх. Ямар нэг сэдвээр их амархан асуулт тавина. Хэрвээ хариулж чадвал цааш лавшруулан асуух гэсэн маягаар ер нь бол асуултанд хариулж чадахгүй болтол нь асууна, тэр нь ч тэгээд хурдан юм билээ 3-4 асуулт асуухад тухайн сэдэв дээр унаад өгөнө. Ер нь бол нэг их сайн мэдэхгүй зүйлээ дурдахгүй байсан нь дээр санагдсан. Cая:
1. "What is the difference between hub and switch?" гэсэн асуултанд дээр
"Hub operates at OSI Layer 1, physical layer, and it has no control over the traffic. Switch operates at OSI Layer 2, and it decides which port the frame should be forwarded. In other words, switch splits a broadcast domain." гэж хариуллаа. Сүүлийн "splitting broadcast domain" гэдэг дээр сүүлдээ ороогдоод, зөвхөн switch-ны талаар 3 асуултанд хариулав. Асуусан зүйлс гэвэл:
- "How switch decides which port to send?"
- "Does a host receive a packet not addressed to it?"
- "Switch is just switched on, how does it create ARP table?"
Сайн мэдэхгүй юмаа ярих шиг хэцүү юм алга, CCNA-г хичээл хальт үзсэн гэсэндээ л энэ зэрэгт хариулсан байх. Нэг бодлын өөртөө дүгнэлт хиймээр ч юм шиг. Ер нь асуултуудаа маш бүрхэг асуудаг болохоор хүн мэдлэгийнхээ хэмжээнд л тааруулж хариулах жишээтэй.
Цааш нь:
2. how can you see the load average? (top, uptime)
- what are the 3 values stand for, in the uptime output?
3. how do you stop a process? (kill, HUP)
- what happens when you give HUP command?
4. how can you find which rpm package a file belongs to? (use rpm -h to see the help)
- what else can you use to see the help? (man)
5. what happens when a host wants to resolve a domain name? (resolver send queries, root DNS and the DNS hierarchy)
- Does resolver ask root DNS servers? (ask nameservers stated in resolv.conf)
- What kind of information is stated in resolv.conf? (IP addresses of nameservers, search domains, etc.)
- What if you want to host a web site, and want to setup own DNS server? (ask the registrar to delegate my domain to my server)
- Your domain is delegated to your server, does it all work? (should create zone files)
- What is inside named.conf? (named configurations, and directives for domains)
- What kind of mapping in named.conf? (domain name to the path of zone file that corresponds)
- What is inside zone file? (SOA header and recors)
- What kind of records are there? and what it stands for? (A, NS, MX, CNAME, PTR)
- What is the SOA looks like? (admin contact, serial number, TTL and other time parameters)
- Think you are an ISP and wants to serve your Dial-Up customers for DNS service. How would you do that? (set-up caching only DNS server with some forwarding and querying restrictions)
6. Troubleshooting: What would you do, if one of your engineers come and say one of the machines display a message "disk is full"? (use df and du to determine which partition is full)
- let's say /usr. what would you do next? (use du recursively, find unnecessary too big files and delete it, usually log files)
- what parameters do you use to see with folder under? (du -h ./ --max-depth=n etc...)
- ok you found the file which is unneccessary log file, what would you do? (check first if any process is using it, if not delete, if not stop the process and delete it)
- how can you find which process is using the file? (lsof)
- how can you stop the process?
...
за ингээд цаг нь ч дууслаа. Би ч анх удаа Linux/Unix системээс залхлаа. Ёстой хүнийг залхтал нь асууна гэдэг энэ байх. 30мин турш асуултаар бөмбөгдүүлээд ирэнгүүт, сүүлийн 15мин бол орон гаран байталтай л өнгөрлөө.
Блогоо бичээд, хэрэгтэй үедээ гүүглэдээд л явж байя. Өөр ч Google-с хүсэх юм алга...
Эхний удаа Google Japan-ы инженер япон залуутай утсаар ярилцлага хийлээ. Ярилцлага 30мин үргэлжлэх ёстой байлаа. Япон залуугийн дуудлага нилээд муу, зарим үед ялангуяа техникийн талын асуултыг хэд дахин тодруулах хэрэгтэй болж байлаа. Эхлээд мэдээж өөрийгөө танилцуулах, ирээдүйн зорилго гэх мэт байнга асуудаг асуултууд байна. "What is your strongest and weakest point?" гэсэн асуултанд эхлээд нилээд түгдэрлээ. Тэгэж байгаад гол техникийн асуултандаа орлоо. Анхан шатны, маш амархан асуултууд байна:
1. What protocol does ping use?
2. What ports and protocols(UDP or TCP) does DNS, HTTP, SSH, SMTP use?
3. How would you count words in a text file?
4. What is a pipe, and what it is used for?
5. What is a CPU load, how it is calculated?
6. How would you know the speed of your CPU? (where this information is stored?)
7. What is "mc"? (midnight commander)
Мэдэхийгээ шууд хариулаад, таамаглаж байгаагаа болохоор тийм тийм арга замаар тэгэж хийнэ гэдэг ч юмуу, ер нь бол бүгдийг хариулчихлаа... Тэгсэн 30минутынхаа дөнгөж талд нь орсон байна. Надаас асуух асуулт байнуу? гэж асуухад нь юу ч бэлдээгүй хүн чинь байхгүй л гэдэг юм байна. Тэгсэн тэр залуу 30минутаа дуустал ярих ёстой байсан юм байлгүй би чамд гүүглийн тухай ярьж өгье гээд л яриад эхлэх нь тэр... Ажлын цагынхаа 20%-г өөрийн хүссэн төсөлөө хэрэгжүүлэхэд зарцуулах эрхтэй. Төсөлөө бие дааж хийж болно, эсвэл баг бүрдүүлээд хийнэ. Хүмүүс тэгээд ямархуу төсөл дээр ажилладаг вэ гэсэн чинь (Google Japan-ы хувьд) янз бүрийн програмчлалын хэл сурах, мөн нээлттэй эхийн төсөл дээр ажилладаг гэлээ. Мэдээж нарийн ширийн юмаа хэлж болохгүй байх л даа...
Тэгэж байтал 3 хоногын дараа буюу уржигдар 2 дахь ярилцлаганы тов ч хүрээд ирлээ. Энэ удаа Google-н Sydney салбарт ажилладаг linux system admin-тай ярилцлага хийх юм байх. За одоо л нэг ярилцлагандаа бэлдэх хэрэгтэйг санаад "google telephone interview" гээд гүүглэдээд орхисон чинь... хөөх баахан юм гарч ирж байна... Асуултууд нь ч байна, ярилцлаганд орсон хүмүүсийн нийтлэлүүд ч байна. Ямар ч аймаар нарийн ширийн, хэцүү, ямар ч утгагүй жижиг сажиг зүйл асуудаг юм бэ гэмээр, ер нь хүмүүсийн ам их муу байна. Google ер нь нэр хүндээ өсгөх гэж албаар олон хүнтэй ярилцлага хийж, хэцүү асуулт асуудаг ч байх гэсэн бодол төрөөд явчихлаа... шал урамгүй юм... маркетингийн бодлогоо гэж...
За тэгээд 2 дахь ярилцлагаа дөнгөж сая өгчихөөд, одоо ёстой болъё, дахиж л тэгэж өөрийгөө тамлаад яахав гэсэн бодолтой сууж байна. Өчигдөр блог уншиж байсан нэг залуу 3 дахь байнуу ярилцлагаа шууд болиулчихсан байсан, бас нэг инженер гар 2 сар тамлуулсаны эцэст гэрээт ажил санал болгохоор нь тэр дор нь, утсаар татгалзсан гэж байсан. Одоо л тэр хүмүүсийн сэтгэлийг ойлгож байх шиг байна...
2 дахь ярилцлага маань 45 минь үргэлжлэх ёстой байлаа. Эхний минутаас аваад, сүүлийн минут хүртэл асуултанд хариуллаа. Мэддэг гэж бодсон зүйлсээ үнэндээ бол маруухан мэддэг гэдгээ ойлгосон уу, эхнээсээ л асуултуудад нь дутуу хариулаад байх шиг сэтгэгдэл төрлөө. Тэр авсралийн инженер ёстой юмийг ухаж асууна гэж ёстой үзүүлж байна. Зорилго нь энэ хүн мэддэг зүйлээ хир хэмжээнд мэддэг вэ? дээр нь толгой нь хир хурдан ажиллаж байна гэдгийг шалгах байсан байх. Ямар нэг сэдвээр их амархан асуулт тавина. Хэрвээ хариулж чадвал цааш лавшруулан асуух гэсэн маягаар ер нь бол асуултанд хариулж чадахгүй болтол нь асууна, тэр нь ч тэгээд хурдан юм билээ 3-4 асуулт асуухад тухайн сэдэв дээр унаад өгөнө. Ер нь бол нэг их сайн мэдэхгүй зүйлээ дурдахгүй байсан нь дээр санагдсан. Cая:
1. "What is the difference between hub and switch?" гэсэн асуултанд дээр
"Hub operates at OSI Layer 1, physical layer, and it has no control over the traffic. Switch operates at OSI Layer 2, and it decides which port the frame should be forwarded. In other words, switch splits a broadcast domain." гэж хариуллаа. Сүүлийн "splitting broadcast domain" гэдэг дээр сүүлдээ ороогдоод, зөвхөн switch-ны талаар 3 асуултанд хариулав. Асуусан зүйлс гэвэл:
- "How switch decides which port to send?"
- "Does a host receive a packet not addressed to it?"
- "Switch is just switched on, how does it create ARP table?"
Сайн мэдэхгүй юмаа ярих шиг хэцүү юм алга, CCNA-г хичээл хальт үзсэн гэсэндээ л энэ зэрэгт хариулсан байх. Нэг бодлын өөртөө дүгнэлт хиймээр ч юм шиг. Ер нь асуултуудаа маш бүрхэг асуудаг болохоор хүн мэдлэгийнхээ хэмжээнд л тааруулж хариулах жишээтэй.
Цааш нь:
2. how can you see the load average? (top, uptime)
- what are the 3 values stand for, in the uptime output?
3. how do you stop a process? (kill, HUP)
- what happens when you give HUP command?
4. how can you find which rpm package a file belongs to? (use rpm -h to see the help)
- what else can you use to see the help? (man)
5. what happens when a host wants to resolve a domain name? (resolver send queries, root DNS and the DNS hierarchy)
- Does resolver ask root DNS servers? (ask nameservers stated in resolv.conf)
- What kind of information is stated in resolv.conf? (IP addresses of nameservers, search domains, etc.)
- What if you want to host a web site, and want to setup own DNS server? (ask the registrar to delegate my domain to my server)
- Your domain is delegated to your server, does it all work? (should create zone files)
- What is inside named.conf? (named configurations, and directives for domains)
- What kind of mapping in named.conf? (domain name to the path of zone file that corresponds)
- What is inside zone file? (SOA header and recors)
- What kind of records are there? and what it stands for? (A, NS, MX, CNAME, PTR)
- What is the SOA looks like? (admin contact, serial number, TTL and other time parameters)
- Think you are an ISP and wants to serve your Dial-Up customers for DNS service. How would you do that? (set-up caching only DNS server with some forwarding and querying restrictions)
6. Troubleshooting: What would you do, if one of your engineers come and say one of the machines display a message "disk is full"? (use df and du to determine which partition is full)
- let's say /usr. what would you do next? (use du recursively, find unnecessary too big files and delete it, usually log files)
- what parameters do you use to see with folder under? (du -h ./ --max-depth=n etc...)
- ok you found the file which is unneccessary log file, what would you do? (check first if any process is using it, if not delete, if not stop the process and delete it)
- how can you find which process is using the file? (lsof)
- how can you stop the process?
...
за ингээд цаг нь ч дууслаа. Би ч анх удаа Linux/Unix системээс залхлаа. Ёстой хүнийг залхтал нь асууна гэдэг энэ байх. 30мин турш асуултаар бөмбөгдүүлээд ирэнгүүт, сүүлийн 15мин бол орон гаран байталтай л өнгөрлөө.
Блогоо бичээд, хэрэгтэй үедээ гүүглэдээд л явж байя. Өөр ч Google-с хүсэх юм алга...
Tuesday, March 20, 2007
compiling mod_jk from source... get mod_jk.so from here
Apache/2.0-г Tomcat/4.0.3-той mod_jk-р холбох гэж өнөөдөржингийн ажил боллоо.
mod_jk.so хоёртын хэлбэрээр Jakarta/Tomcat-н веб хуудсанд бэлэн байсан бол амар байхгүй юу. Сүүлийн хувилбар болох mod_jk-1.2.21 нь болохоор Apache/2.2-той эмхэтгэчихсэн (EAPI орчинд эмхэтгэсэн), хэрэглэх гэхээр:
'mod_jk.so is garbled - perhaps this is not an Apache module DSO ?'
гэсэн алдаа өгөөд болдоггүй. Бэлэн эмхэтгэсэн хоёртын файл байвал будаа идэх санаатай интернетээр хайгаад ч олдсонгүй...
Тэгээд эхээс нь эмхэтгэж mod_jk.so файлыг гаргаж авахаас өөр аргагүй боллоо. Мэдэхгүй хүнд толгой эргэм олон эх багцууд байдаг юм байна. Google-дээд, мөн Jakarta/Tomcat-н веб хуудаснаас янз янзын багцууд оллоо.
jakarta-tomcat-connectors-4.1.31-src.tar.gz
jakarta-tomcat-connectors-4.0.2-01-src.tar.gz
jakarta-tomcat-connectors-1.2.15-src.tar.gz
tomcat-connectors-1.0-1.4.0.2.src.rpm
tomcat-connectors-1.2.21-src.tar.gz
Хараад байсан http://tomcat.apache.org/connectors-doc/нүүр хуудсанд байгаа линкийг дагаж ороод авсан хамгийн сүүлийн багц хамгийн зөв нь бололтой. (libtool-р баахан оролдоод орхисон тэрнээс болсон байж болох юм.)
Эмхэтгэхдээ:
$ tar -zxf tomcat-connectors-1.2.21-src.tar.gz
$ cd tomcat-connectors-1.2.21-src/native
$ ./configure --with-apxs=/your/path/to/bin/apxs
$ make
Үүний дараа таны Apache-н хувилбарт харгалзах директор дотор mod_jk.so файл үүссэн байх ёстой. Хэрэв үүсээгүй бол өмнөх тушаалуудын үр дүнг сайтар уншаарай. Одоо mod_jk.so хоёртын файлыг зохих газар нь хуулж тавих хэрэгтэй.
$ cp apache-2.0/mod_jk.so /usr/local/apache2/modules/mod_jk.so
Хэрэв танд Redhat ES4.0 дээр Аpache/2.0 ба Tomcat/4.0.3-н хувьд эмхэтгэсэн mod_jk.so хоёртын файл хэрэгтэй байгаа бол эндээс татаж авч болно.
Sunday, March 04, 2007
InfoSec Mongolia - 2007
ISC уламжлалт конференсоо энэ оны 4-р сарийн 19-20-ны хооронд зохион байгуулах гэж байгаа юм байна. Сая Баярсайханы нийтлэл-с олж мэдлээ.
Microsoft-н сертификатны сургалтууд явуулдаг мөн олгодог, Kaspersky-н албан ёсны төлөөлөгч гэхээр манайхан ISC Mongolia компаныг андахгүй байх. Монголын мэдээлэл, харилцаа, технологын салбарт өөрийн гэсэн өнгө төрхтэй энэ компаны үйл ажиллагаа надад таалагдсан. Түрүү жилийн InfoSec-д суусанаа лав санаж байна. Khan Palace зочид буудлын 2 давхарт болж байсан. Гол танхимд илтгэлүүд явагдаж, ил танхимд компаниуд танилцуулгаа хийж байсан санагдаж байна. Гадаадаас гэвэл Kaspersky, Alvarion компаниудаас илтгэл тавьж байсан, мөн IT-н монгол компаниудын залуухан инженерүүд бас илтгэл тавьсан. InfoSec гэсэн нэрнээс нь ч харсан, ерөнхийдөө information security-рүү голлосон конференс байсан. Зохион байгуулалт үнэхээр сайн байсныг энд хэлэх хэрэгтэй байхаа.
Харин илтгэлүүд агуулга, түвшиний хувьд нилээд зөрүүтэй байсан нь ажиглагдсан. Илтгэлүүдийг урьдчилан шалгаруулж, цензур тавиагүйгээс болсон уу, эсвэл дэндүү тулгаж зарласан уу зарим илтгэл муухан байсан шүү. Мөн нэг ажиглагдсан зүйл бол манай инженерүүдэд илтгэх чадвар үнэхээр дутмаг байдаг юм байна лээ, энэ мэдээж мэргэжлийн онцлог байх. Тиймээс илтгэл тавих гэж байгаа хүмүүстээ илтгэх урлагын талаар ганц хоёр цагын лекц хийчихвэл их зүгээр санагдсан. Мөн хурлын заал зориулалтын бус байсан уу, цонхноос гэрэл гялбаад, хаалга индэртэйгээ ойрхон байсан болохоор орж гарч байгаа хүмүүсийг харсаар илтгэлүүдэд анхаарч чадахгүй байсан санагдана... Гэхдээ энэ удаа илүү туршлагатай болохоор өшөө сайн илтгэлүүдтэй, сайхан конференс болох байхаа. Оролцож чадахгүй хүмүүст зориулж веб хуудсан дээрээ дэлгэрэнгүй мэдээлэл тавиарай гэж хэлмээр байна.
За та бүхэнд ажлын амжилт хүсье.
Friday, March 02, 2007
Блог тойм
Японд ирснээс хойш өөрийн блог дээр нийтлэл бичих нь битгий хэл хүмүүсийн блогыг ч уншиж амжсангүйээ. Зээ сая уншсан блогуудаас сонирхолтой нийтлэлүүдийг тоймлон толилуулъеөө.
1. Энд Нагоя-д ажилладаг Болдоогийн "Криллээр шууд бичье!" хөрвүүлэгч веб програм их таалагдлаа. 10 жилийн өмнө мэйл бичиж байгаа юм шиг л санагдсан. Гол нь латинаар галиглаад "yaasan sonin yum be" гэж цохиход "яасан сонин юм бэ" гээд гараад ирж байгаам даа. Монгол гарын хөтөч байхгүй үед их хэрэгтэй эд байна, нэг сонирхоод үзээрэй.
2. "Монголын Developer-үүдийн цуглах газар" - гээд хөөрхөн сайт хийчиж, дөнгөж эхэлж байгаа хэдий ч нилээд далайцтай авах шинжтэй.
3. Homeland, Honor & Candor - USA-д мастер хийж ирээд эх орондоо уул уурхайн салбарт ажиллаж байгаа энэ залуугийн "Нутагтаа буцахын өмнөх бодол", "Нутагтаа очоод төрсөн сэтгэгдэлүүд", Оюутолгойн орд газрын талаарх мэргэжлийн хүний дүгнэлт болох "Таван жилийн өмнөхийг сөхвөл" зэрэг сонирхолтой нийтлэлүүд гарчээ.
1. Энд Нагоя-д ажилладаг Болдоогийн "Криллээр шууд бичье!" хөрвүүлэгч веб програм их таалагдлаа. 10 жилийн өмнө мэйл бичиж байгаа юм шиг л санагдсан. Гол нь латинаар галиглаад "yaasan sonin yum be" гэж цохиход "яасан сонин юм бэ" гээд гараад ирж байгаам даа. Монгол гарын хөтөч байхгүй үед их хэрэгтэй эд байна, нэг сонирхоод үзээрэй.
2. "Монголын Developer-үүдийн цуглах газар" - гээд хөөрхөн сайт хийчиж, дөнгөж эхэлж байгаа хэдий ч нилээд далайцтай авах шинжтэй.
3. Homeland, Honor & Candor - USA-д мастер хийж ирээд эх орондоо уул уурхайн салбарт ажиллаж байгаа энэ залуугийн "Нутагтаа буцахын өмнөх бодол", "Нутагтаа очоод төрсөн сэтгэгдэлүүд", Оюутолгойн орд газрын талаарх мэргэжлийн хүний дүгнэлт болох "Таван жилийн өмнөхийг сөхвөл" зэрэг сонирхолтой нийтлэлүүд гарчээ.
Friday, February 23, 2007
EDU Relief - Mongolia
Монголын Боловсролыг Дэмжицгээе!
URL - http://www.youtube.com/watch?v=jPABWEYMBRM
Ишлэл: "... Монгол орон маань тээр тэнд хол байгаа болохоор бид нар эндээс юу ч хийж чадахгүй, хийсэн ч гэсэн ямар ч өөрчлөлт орохгүй гэж боддог байх... Би ч гэсэн, та ч гэсэн, хэн ч гэсэн бүх зүйлийг ганцаараа хийж чадахгүй. Харин бүх хүмүүс хувь хувьдаа ямарваа нэгэн зүйлийг хийж чадна. Тийм болохоор бүгдээрээ хамтдаа өөрсдийн эх орон Монгол улсынхаа боловсролын салбарт хувь нэмэрээ оруулцгаая. "
URL - http://www.youtube.com/watch?v=jPABWEYMBRM
Ишлэл: "... Монгол орон маань тээр тэнд хол байгаа болохоор бид нар эндээс юу ч хийж чадахгүй, хийсэн ч гэсэн ямар ч өөрчлөлт орохгүй гэж боддог байх... Би ч гэсэн, та ч гэсэн, хэн ч гэсэн бүх зүйлийг ганцаараа хийж чадахгүй. Харин бүх хүмүүс хувь хувьдаа ямарваа нэгэн зүйлийг хийж чадна. Тийм болохоор бүгдээрээ хамтдаа өөрсдийн эх орон Монгол улсынхаа боловсролын салбарт хувь нэмэрээ оруулцгаая. "
Wednesday, January 17, 2007
Шинэ .МN домэйн сервер нэмэгдлээ
МIX(Mongolian Internet Exchange) дээр гарсан гэмтлээс болж .MN домэйн нэрүүд олдохгүй болсон тухай 11 сарын нийтлэлдээ дурдаж байсан билээ. Харин энэ удаа Датакомын шинэ домэйн сервер ns3.magic.mn(202.131.224.80) нэртэйгээр МобиНет-н IP zone-д ажиллаж эхлээд байгаа тухай дуулгахад таатай байна. Асуудлыг нааштай хүлээн авч, түргэн шуурхай шийдвэрлэж өгсөн Датаком компанийн Техникийн албаны захирал Г.Энхболд-д болон инженерүүддээ талархал илэрхийлье.
MобиНетийн IP zone-д .МN домэйн сервер ажиллаж эхэлснээр, МобиНетээс интернетийн үйлчилгээ авч байгаа байгууллага, хэрэглэгчдийн хувьд MIX дээрх гэмтэлээс үл хамааран .МN домэйн нэрийн үйлчилгээг илүү найдвартай авах боломжоор хангагдах юм.
PS: Өмнө нь .МN домэйн нэрийн АНУ-д 6, Монголд 2 сервер ажиллаж байсан бол одоо Монголд байгаа сервер дээр 1 нэмэгдэж нийт 9 сервер ажиллаж байна.
MобиНетийн IP zone-д .МN домэйн сервер ажиллаж эхэлснээр, МобиНетээс интернетийн үйлчилгээ авч байгаа байгууллага, хэрэглэгчдийн хувьд MIX дээрх гэмтэлээс үл хамааран .МN домэйн нэрийн үйлчилгээг илүү найдвартай авах боломжоор хангагдах юм.
PS: Өмнө нь .МN домэйн нэрийн АНУ-д 6, Монголд 2 сервер ажиллаж байсан бол одоо Монголд байгаа сервер дээр 1 нэмэгдэж нийт 9 сервер ажиллаж байна.
Monday, December 25, 2006
Midas/Monita-гийн 2006 оны шилдэг сонголтууд
Дуугүй байя гэсэн ёстой хэл загатнаад байж болдоггүйээ... Уг нь хүмүүсийн хөдөлмөрийг доош нь хиймээргүй л байна, гэхдээ л энэ оны шилдэгүүдийг шалгаруулсан нь гэж IT-д зүтгэдэг хүмүүсийг дэндүү басамжилсан хэрэг болжээ... Номинацууд нь ч гэж үнэн шогийн, тоо нь гүйцэхгүй болохоор нь нэмээд байсан юмуу даа...
Номинацууд:
1. Интернетийн шилдэг үйлчилгээ
2. Холбооны багцийн шилдэг үйлчилгээ
3. МХХТ-н шилдэг сургалт
4. Шилдэг програм хангамж
5. Шилдэг веб
6. Борлуулалтын дараах шилдэг үйлчилгээ
7. МХХТ-н зээлийн шилдэг үйлчилгээ
8. Шилдэг компьютер
9. Шилдэг хэвлэх төхөөрөмж
10. Шилдэг хувилах төхөөрөмж
11. Шилдэг гар утас
12. Хамгийн олон нэр төрлийн цахилгаан бараа борлуулагч
13. Хамгийн олон нэр төрлийн МХХТ-н бүтээгдэхүүн борлуулагч
14. Дэвшилтэт технологийн бүтээгдэхүүнийг анхлан нэвтрүүлэгч
15. МХХТ-н шилдэг реклам
Зээ нэг иймэрхүү, хараад байхад бас ч гэж боломжийн ч юм шиг. Тэгсэн "MXXT-н зээлийн шилдэг үйлчилгээ" гэдгийг ёстой толгой хүлээж авахгүй байна. Зээлийн шилдэг үйлчилгээ нь IT-д одоо ямар хамаа байдын бол доо. Хараад байхад IT гэдгийг computer гэдэг төмөр хайрцагтай холбоотой гэж ойлгоод байх шиг байгаан. Тэрийг худалдаж авахад зээл олгохоор "IT-н шилдэг зээлийн үйлчилгээ" болчдийн байна. За тэгсэн "МХХТ-н шилдэг сургалт" гэдэгт нь "Best төв - компьютерийн анхан шатны сургалт" гэжийнэ. Анхан шатны сургалт гэдэг нь одоо Word, Excel заадаг санагдаад байхын, эсвэл 10 хуруугаар бичихийг ч заадаг билүү... Яадахад Datacom-c зохиосон APNIC-н сургалтыг оруулчихгүй яасан юм бол доо гээд энүүхэндээ ярилцаад амжтал, "өөрөө нэрээ дэмшүүлж тэрнийхээ хойноос гүйж байж шалгардаг" гэнэ гэж тайлбарлацгаах юм.
За тэгээд гадны баахан электрон барааг шалгаруулснаа ард нь компаны нэрийг нь бичиж, албан ёсны гэрээт борлуулагчийг нь хэлж байгаан байхаа. Юуг шалгаруулаад байгааг нь нэг их ойлгосонгүй... Өчигдөрхөн MCS шилдэг брэнд компьютерээр шалгаруулсан Athena-гаа рекламдаад л байна лээ... "MIDAS/Monita-г шалгаруулсан оны шилдэг компьютер" гээд л...
"Интернетийн шилдэг үйлчилгээ", "Холбооны багцийн шилдэг үйлчилгээ", "Шилдэг програм хангамж" гэдэг нь бол чихэнд арай чимэгтэй сонсогдож байна.
Энэ байгууллагаас шалгаруулсан энэ сонголтууд чинь үнэхээр ядмаг юм байна ш дээ. Бид нар үүнээс дээрхэн шалгаруулалт хийчиж чадахгүй гэжүү залуусаа...
Номинацууд:
1. Интернетийн шилдэг үйлчилгээ
2. Холбооны багцийн шилдэг үйлчилгээ
3. МХХТ-н шилдэг сургалт
4. Шилдэг програм хангамж
5. Шилдэг веб
6. Борлуулалтын дараах шилдэг үйлчилгээ
7. МХХТ-н зээлийн шилдэг үйлчилгээ
8. Шилдэг компьютер
9. Шилдэг хэвлэх төхөөрөмж
10. Шилдэг хувилах төхөөрөмж
11. Шилдэг гар утас
12. Хамгийн олон нэр төрлийн цахилгаан бараа борлуулагч
13. Хамгийн олон нэр төрлийн МХХТ-н бүтээгдэхүүн борлуулагч
14. Дэвшилтэт технологийн бүтээгдэхүүнийг анхлан нэвтрүүлэгч
15. МХХТ-н шилдэг реклам
Зээ нэг иймэрхүү, хараад байхад бас ч гэж боломжийн ч юм шиг. Тэгсэн "MXXT-н зээлийн шилдэг үйлчилгээ" гэдгийг ёстой толгой хүлээж авахгүй байна. Зээлийн шилдэг үйлчилгээ нь IT-д одоо ямар хамаа байдын бол доо. Хараад байхад IT гэдгийг computer гэдэг төмөр хайрцагтай холбоотой гэж ойлгоод байх шиг байгаан. Тэрийг худалдаж авахад зээл олгохоор "IT-н шилдэг зээлийн үйлчилгээ" болчдийн байна. За тэгсэн "МХХТ-н шилдэг сургалт" гэдэгт нь "Best төв - компьютерийн анхан шатны сургалт" гэжийнэ. Анхан шатны сургалт гэдэг нь одоо Word, Excel заадаг санагдаад байхын, эсвэл 10 хуруугаар бичихийг ч заадаг билүү... Яадахад Datacom-c зохиосон APNIC-н сургалтыг оруулчихгүй яасан юм бол доо гээд энүүхэндээ ярилцаад амжтал, "өөрөө нэрээ дэмшүүлж тэрнийхээ хойноос гүйж байж шалгардаг" гэнэ гэж тайлбарлацгаах юм.
За тэгээд гадны баахан электрон барааг шалгаруулснаа ард нь компаны нэрийг нь бичиж, албан ёсны гэрээт борлуулагчийг нь хэлж байгаан байхаа. Юуг шалгаруулаад байгааг нь нэг их ойлгосонгүй... Өчигдөрхөн MCS шилдэг брэнд компьютерээр шалгаруулсан Athena-гаа рекламдаад л байна лээ... "MIDAS/Monita-г шалгаруулсан оны шилдэг компьютер" гээд л...
"Интернетийн шилдэг үйлчилгээ", "Холбооны багцийн шилдэг үйлчилгээ", "Шилдэг програм хангамж" гэдэг нь бол чихэнд арай чимэгтэй сонсогдож байна.
Энэ байгууллагаас шалгаруулсан энэ сонголтууд чинь үнэхээр ядмаг юм байна ш дээ. Бид нар үүнээс дээрхэн шалгаруулалт хийчиж чадахгүй гэжүү залуусаа...
RBL гэж юу вэ?
RBL-г тойрсон асуудлуудтай нилээд олон тулгарч байсан, мөн хүмүүс ч нилээд асуудаг тул энэ талаар ярилцъя.
RBL гэж юу вэ? хэрхэн ажиллах вэ?
RBL гэдэг нь Realtime Blackhole List гэсэн үгийн товчлол бөгөөд спам, вирус тарааж буй IP болон домэйн нэрүүдийг бүртгэж байдаг систем юм. Хамгаалалт муутай серверээр spam trap буюу занга тавьж, түүгээр дамжуулан спам, вирус явуулахыг оролдож байгаа IP/домэйнуудыг бүртгээд сууж байна гэсэн үг юм. Ийм төрлийн нийтэд зориулагдсан нилээд олон системүүд байх ба ихэнх нь судалгаа шинжилгээний ажилд зориулагдсан байдаг. Yahoo зэрэг өргөн цар хүрээтэй мэйл системтэй газар гадны зүйлд найдалгүйгээр өөрийн RBL-тэй байх нь бий.
Мэйл серверүүд гаднаас SMTP холболт үүсэх тоолонд RBL-үүдрүү асуулга явуулж шалгана гэсэн үг юм. Хэрэв энэ мэйл серверийн асуусан аль нэг RBL-д тухайн IP бүртгэгдсэн байвал, сервер холболт үүсгэхээс татгалзаж, энэ талаар товч тодорхой хариу өгнө. Аль RBL-үүдээс асуух вэ гэдгийг админ урьдчилж зааж өгсөн байх ба олон найдвартай RBL-с асууснаар спамтай тэмцэж чадна.
RBL-д орсон тохиолдолд ямар шинж тэмдэг илрэх вэ?
Мэдээж мэйл явахгүй буцаж ирэх асуудлууд гарна(яваад таг болно гэсэн үг биш шүү!). Хүлээн авч байгаа талын SMTP мэйл сервер холболт үүсгэхээс татгалзах тул та энэ талаар тодорхой дурдсан мэйлийг хүлээн авах болно.
Миний IP RBL-д орчихсон юм болвуу?
http://www.robtex.com/rbls.html энэ хаягаар орж шалгаж үзээрэй. Хоосон цонхонд IP хаягаа бичээд GO товчин дээр дарна. 100 орчим RBL-д хайлт хийн үр дүнг танд үзүүлэх болно. Улаан мөрүүд гарч ирвэл таны IP тухайн RBL-д бүртгэгдсэн гэсэн үг юм.
Яагаад RBL-д бүртгэгддэг вэ?
Шалтгаан нь: галтхана, router зэрэг сүлжээний төхөөрөмжийн хувьд түүний цаана байгаа NAT хийгдсэн дотоод сүлжээний Windows PC-нүүд вирүстсэний улмааc сүлжээний төхөөрөмжийн гадаад IP-г ашиглан спамдаж байна гэсэн үг юм. Мэйл серверийн хувьд харин та гадны спамыг өөрөөрөө дамжуулж байна гэсэн үг дээ. Энэ нь таны мэйл сервер openrelay маягаар ажиллаж байна(хаа хамаагүй газрын мэйлийг relay хийх буюу дамжуулж байна), эсвэл таны спам/вирус филтер муу байна гэсэн үг юм. Мөн зарим тохиолдолд мэйл серверийн Reverse DNS бичлэг байхгүй бол бусад серверүүд SMTP холболт үүсгэхээс татгалздаг тул Reverse DNS бичлэг хийлгэхээ мартуузай!
Миний галтхана, router, мэйл сервер RBL-д орчиж, одоо яах вэ?
Таны галтхана, эсвэл router-н IP RBL-д оржээ. Мэдээж бүртгэгдсэн RBL-үүдийн бүртгэлээс өөрийн IP-г хасуулах арга хэмжээ авна. Хасах процесс RBL-үүдээс шалтгаалан янз янз байна. Зарим нь онлайн форм бөглүүлээд хялбархан хасчихдаг байхад, зарим нь зохисгүй зүйл хийсэн түвшинээс шалтгаалан мөнгө төлөхийг шаардана. Мөнгө төлөх шаардлагагүй ч нилээд хүнд шаардлага тавьж байж бүртгэлээс хасдаг газрууд байна. Тавигдах шаардлагууд: тухайн галтханаар NAT хийгдэн гарч буй бүх PC-ны вирусыг цэвэрлэх, хэрэв мэйл сервер бол openrelay хийхгүй байх, спам болон вирус филтерээ сайжруулах гэх зэрэг... За би ингэж, тэгэж системээ сайжрууллаа гэж мэйл бичээд хариуг нь хүлээн авах хүртэл 7-10 хоног лав шаардана. Гэтэл мэйл ажиллахгүй доголдоод байдаг...
Яаралтай арга хэмжээ авах шаардлагатай бол галтхана, router-н хувьд IP-г нь солиод хэсэгхэн хугацаанд аргалж болох юм. Харин вирусээ цэвэрлэхгүй бол дахиад л BL-д орно. Хэрэв PC-г хэрэглэж байгаа хүмүүс энэ талаар ямар ч ойлголтгүй, байгууллагa дотроо чанга дүрэм мөрддөггүй бол вирусыг цэвэрлэж дуусна гэж байхгүй. Тиймээс галтханынхаа 25-р портыг хаан, зөвхөн зөвшөөрөгдсөн ганц мэйл серверээр(дээр нь спам/вирус филтер ажиллаж байгаа) мэйл трафикийг дамжуулах арга байж болно. Энэ нь ISP зэрэг үйлчилгээ үзүүлдэг газруудад илүү тохиромжтой.
Мэйл серверийн хувьд IP-г солино гэдэг хүндрэлтэй асуудал, DNS бичлэг шинэчлэгдэхэд дор хаяж нэг өдөр шаардагдах тул тэр хооронд мэйл хүлээн авах боломжгүй болно. Мэйл серверийнхээ спам/вирус филтерийг сайжруулахаас гадна, өөрийн болон гадны RBL-г ашиглах, relay хийх IP Zone, IP хаягуудыг нарийвчлан тогтоож шаардлагагүй бол relay хийхгүй байх нь хамгийн үр дүнтэй болохыг анхаараарай.
RBL гэж юу вэ? хэрхэн ажиллах вэ?
RBL гэдэг нь Realtime Blackhole List гэсэн үгийн товчлол бөгөөд спам, вирус тарааж буй IP болон домэйн нэрүүдийг бүртгэж байдаг систем юм. Хамгаалалт муутай серверээр spam trap буюу занга тавьж, түүгээр дамжуулан спам, вирус явуулахыг оролдож байгаа IP/домэйнуудыг бүртгээд сууж байна гэсэн үг юм. Ийм төрлийн нийтэд зориулагдсан нилээд олон системүүд байх ба ихэнх нь судалгаа шинжилгээний ажилд зориулагдсан байдаг. Yahoo зэрэг өргөн цар хүрээтэй мэйл системтэй газар гадны зүйлд найдалгүйгээр өөрийн RBL-тэй байх нь бий.
Мэйл серверүүд гаднаас SMTP холболт үүсэх тоолонд RBL-үүдрүү асуулга явуулж шалгана гэсэн үг юм. Хэрэв энэ мэйл серверийн асуусан аль нэг RBL-д тухайн IP бүртгэгдсэн байвал, сервер холболт үүсгэхээс татгалзаж, энэ талаар товч тодорхой хариу өгнө. Аль RBL-үүдээс асуух вэ гэдгийг админ урьдчилж зааж өгсөн байх ба олон найдвартай RBL-с асууснаар спамтай тэмцэж чадна.
RBL-д орсон тохиолдолд ямар шинж тэмдэг илрэх вэ?
Мэдээж мэйл явахгүй буцаж ирэх асуудлууд гарна(яваад таг болно гэсэн үг биш шүү!). Хүлээн авч байгаа талын SMTP мэйл сервер холболт үүсгэхээс татгалзах тул та энэ талаар тодорхой дурдсан мэйлийг хүлээн авах болно.
Миний IP RBL-д орчихсон юм болвуу?
http://www.robtex.com/rbls.html энэ хаягаар орж шалгаж үзээрэй. Хоосон цонхонд IP хаягаа бичээд GO товчин дээр дарна. 100 орчим RBL-д хайлт хийн үр дүнг танд үзүүлэх болно. Улаан мөрүүд гарч ирвэл таны IP тухайн RBL-д бүртгэгдсэн гэсэн үг юм.
Яагаад RBL-д бүртгэгддэг вэ?
Шалтгаан нь: галтхана, router зэрэг сүлжээний төхөөрөмжийн хувьд түүний цаана байгаа NAT хийгдсэн дотоод сүлжээний Windows PC-нүүд вирүстсэний улмааc сүлжээний төхөөрөмжийн гадаад IP-г ашиглан спамдаж байна гэсэн үг юм. Мэйл серверийн хувьд харин та гадны спамыг өөрөөрөө дамжуулж байна гэсэн үг дээ. Энэ нь таны мэйл сервер openrelay маягаар ажиллаж байна(хаа хамаагүй газрын мэйлийг relay хийх буюу дамжуулж байна), эсвэл таны спам/вирус филтер муу байна гэсэн үг юм. Мөн зарим тохиолдолд мэйл серверийн Reverse DNS бичлэг байхгүй бол бусад серверүүд SMTP холболт үүсгэхээс татгалздаг тул Reverse DNS бичлэг хийлгэхээ мартуузай!
Миний галтхана, router, мэйл сервер RBL-д орчиж, одоо яах вэ?
Таны галтхана, эсвэл router-н IP RBL-д оржээ. Мэдээж бүртгэгдсэн RBL-үүдийн бүртгэлээс өөрийн IP-г хасуулах арга хэмжээ авна. Хасах процесс RBL-үүдээс шалтгаалан янз янз байна. Зарим нь онлайн форм бөглүүлээд хялбархан хасчихдаг байхад, зарим нь зохисгүй зүйл хийсэн түвшинээс шалтгаалан мөнгө төлөхийг шаардана. Мөнгө төлөх шаардлагагүй ч нилээд хүнд шаардлага тавьж байж бүртгэлээс хасдаг газрууд байна. Тавигдах шаардлагууд: тухайн галтханаар NAT хийгдэн гарч буй бүх PC-ны вирусыг цэвэрлэх, хэрэв мэйл сервер бол openrelay хийхгүй байх, спам болон вирус филтерээ сайжруулах гэх зэрэг... За би ингэж, тэгэж системээ сайжрууллаа гэж мэйл бичээд хариуг нь хүлээн авах хүртэл 7-10 хоног лав шаардана. Гэтэл мэйл ажиллахгүй доголдоод байдаг...
Яаралтай арга хэмжээ авах шаардлагатай бол галтхана, router-н хувьд IP-г нь солиод хэсэгхэн хугацаанд аргалж болох юм. Харин вирусээ цэвэрлэхгүй бол дахиад л BL-д орно. Хэрэв PC-г хэрэглэж байгаа хүмүүс энэ талаар ямар ч ойлголтгүй, байгууллагa дотроо чанга дүрэм мөрддөггүй бол вирусыг цэвэрлэж дуусна гэж байхгүй. Тиймээс галтханынхаа 25-р портыг хаан, зөвхөн зөвшөөрөгдсөн ганц мэйл серверээр(дээр нь спам/вирус филтер ажиллаж байгаа) мэйл трафикийг дамжуулах арга байж болно. Энэ нь ISP зэрэг үйлчилгээ үзүүлдэг газруудад илүү тохиромжтой.
Мэйл серверийн хувьд IP-г солино гэдэг хүндрэлтэй асуудал, DNS бичлэг шинэчлэгдэхэд дор хаяж нэг өдөр шаардагдах тул тэр хооронд мэйл хүлээн авах боломжгүй болно. Мэйл серверийнхээ спам/вирус филтерийг сайжруулахаас гадна, өөрийн болон гадны RBL-г ашиглах, relay хийх IP Zone, IP хаягуудыг нарийвчлан тогтоож шаардлагагүй бол relay хийхгүй байх нь хамгийн үр дүнтэй болохыг анхаараарай.
Friday, December 22, 2006
UBP 12 сар
Өчигдөр уламжлалт 12-р сарын Unix Beer Party болж өнгөрлөө. Байнга уулздаг газар болох "Их Монгол" шинэ жилийн тарифтаа шилжээд өөр болчиж, ойрхон Dublin гээд газар орцгоолоо. Байнга ирдэг хүмүүсээс Энхбаяр, Номин, Даваасүрэн ирсэн байсан. Шинэ хүмүүс гэвэл ЭМШУИС-с Баянмөнх, Ivanhoe Mines-c Баттөр гээд 2 залуу ирсэн байсан. Дөлөө, Нүүнээ хоёрын холын сониноос сонсохын дээр, шинэ хоёр залуу маань нилээд сонирхолтой яриа өрнүүллээ. Хол явсан хүнээс үг сонс гэдэг дээ, манай хоёр ч их юм сонсож мэдэж ирсэн байна. Явахаасаа өмнө LPI(Linux Professional Institue)-г Монголдоо байгуулна гэж ярьж байсан бол одоо тэр талаараа нилээд ажил хэрэгч төлөвлөгөөтэй байгаа бололтой. Бээжин дэхь LPI-н төвөөр зочилсон хийгээд сургалтынхаа талаар өөрсдөө блог дээрээ бичих байх, тэр үед нь та бүхэн сонсоно биз.
Орчуулгын талаар нилээд ярилцлаа... Мэдээллийн технологын нэр томъёог орчуулах хэрэг байна, байхгүй гэхчлэн нилээд маргалдлаа. FreeBSD Handbook-н орчуулагдсан бүлгүүдээс уншиж, ажилдаа нэмэр болж байгаа талаар Баянмөнх анд маань хэлж байсан нь нилээд урам нэмлээ.
Мөн "IT чиг хандлага" нэрийн дор болох лекцийн талаар, Их Дээд сургуулиудын мэргэжлийн ангийн хичээлийн хөтөлбөрт юникс төрлийн системийг заах талаар, за тэгээд дээрхэн ict.mn mailinglist-р тараагдсан Ерөнхийлөгчөөс эхлээд манай бүх Улсын Их Хурлын гишүүд, Яам Газрын дарга нарын мэйл хаягын жагсаалтын талаар ярилцаж баахан инээлдэв... Учир юув гэхээр миний санаж буйгаар boogii...@yahoo.com гэсэн мэйл хаягтай төрийн нарийн бичгийн дарга байвал яахуу?
Уржигдар болоод өнгөрсөн MIDAS/Monita-с зохион байгуулсан IT-н шинэ жилийн талаар нилээд шүүмжлэнгүй яриа сонслоо. "Электрон бараа шалгаруулдаг IT-н шинэ жил" гэсэн яриа гараад байгаа бололтой шүү хүмүүсээ.
За тэгээд миний хувьд хамгийн сүүлийн UBP-даа оролцоод сэтгэл өндөр байноо. Надад амжилт хүсэж, гаргаж өгсөн хүмүүстээ баярлалаа.
Орчуулгын талаар нилээд ярилцлаа... Мэдээллийн технологын нэр томъёог орчуулах хэрэг байна, байхгүй гэхчлэн нилээд маргалдлаа. FreeBSD Handbook-н орчуулагдсан бүлгүүдээс уншиж, ажилдаа нэмэр болж байгаа талаар Баянмөнх анд маань хэлж байсан нь нилээд урам нэмлээ.
Мөн "IT чиг хандлага" нэрийн дор болох лекцийн талаар, Их Дээд сургуулиудын мэргэжлийн ангийн хичээлийн хөтөлбөрт юникс төрлийн системийг заах талаар, за тэгээд дээрхэн ict.mn mailinglist-р тараагдсан Ерөнхийлөгчөөс эхлээд манай бүх Улсын Их Хурлын гишүүд, Яам Газрын дарга нарын мэйл хаягын жагсаалтын талаар ярилцаж баахан инээлдэв... Учир юув гэхээр миний санаж буйгаар boogii...@yahoo.com гэсэн мэйл хаягтай төрийн нарийн бичгийн дарга байвал яахуу?
Уржигдар болоод өнгөрсөн MIDAS/Monita-с зохион байгуулсан IT-н шинэ жилийн талаар нилээд шүүмжлэнгүй яриа сонслоо. "Электрон бараа шалгаруулдаг IT-н шинэ жил" гэсэн яриа гараад байгаа бололтой шүү хүмүүсээ.
За тэгээд миний хувьд хамгийн сүүлийн UBP-даа оролцоод сэтгэл өндөр байноо. Надад амжилт хүсэж, гаргаж өгсөн хүмүүстээ баярлалаа.
Thursday, December 21, 2006
Locking user accounts
Саяхан MUG-н хэлэлцүүлэг дээр нэг гишүүн хэрэглэгчийн эрхийг яаж түр хугацаанд хаах вэ? гэж асуусан байсан. Түүний хариултыг энд товчхон өгье.
Хэрэглэгчийн эрхийг идэвхгүй болгохын тулд 1-рт түүний нэвтрэх үгийг, 2-рт түүний ажиллах бүрхүүлийг идэвхгүй болгох хэрэгтэй.
Fedora болон Redhat дээр usermod тушаал дээрхийг хоёуланг давхар гүйцэтгэж чадна. Үүний тулд дараах тушаалыг өгнө:
# usermod -L -s /dev/null username
Энэ тушаалыг өгснөөр /etc/passwd файл доторх тухайн хэрэглэгчийн бүрхүүл /bin/bash эсвэл /bin/sh-с /dev/null болон өөрчлөгдөнө. Харин /etc/shadow файл доторх түүний кодлогдсон нэвтрэх үгийн урд "!" тэмдэг нэмэгдсэнээр энэ нэвтрэх үг хүчингүй болж, улмаар энэ хэрэглэгч системд нэвтрэх боломжгүй болно.
Solaris-н хувьд хэрэглэгчийн нэвтрэх үгийг идэвхгүй болгохын тулд:
# passwd -l username
бүрхүүлийг идэвхгүй болгохын тулд:
# passmgmt -m -s /dev/null username
тушаалыг өгнө. Администратор /dev/null-н оронд TITAN-ы noshell програмыг ашиглаж болох юм. noshell програм нь бүх амжилтгүй нэвтрэх оролдогыг syslog-руу бүртгэдэг онцлогтой.
Хэрэглэгчийн эрхийг идэвхгүй болгохын тулд 1-рт түүний нэвтрэх үгийг, 2-рт түүний ажиллах бүрхүүлийг идэвхгүй болгох хэрэгтэй.
Fedora болон Redhat дээр usermod тушаал дээрхийг хоёуланг давхар гүйцэтгэж чадна. Үүний тулд дараах тушаалыг өгнө:
# usermod -L -s /dev/null username
Энэ тушаалыг өгснөөр /etc/passwd файл доторх тухайн хэрэглэгчийн бүрхүүл /bin/bash эсвэл /bin/sh-с /dev/null болон өөрчлөгдөнө. Харин /etc/shadow файл доторх түүний кодлогдсон нэвтрэх үгийн урд "!" тэмдэг нэмэгдсэнээр энэ нэвтрэх үг хүчингүй болж, улмаар энэ хэрэглэгч системд нэвтрэх боломжгүй болно.
Solaris-н хувьд хэрэглэгчийн нэвтрэх үгийг идэвхгүй болгохын тулд:
# passwd -l username
бүрхүүлийг идэвхгүй болгохын тулд:
# passmgmt -m -s /dev/null username
тушаалыг өгнө. Администратор /dev/null-н оронд TITAN-ы noshell програмыг ашиглаж болох юм. noshell програм нь бүх амжилтгүй нэвтрэх оролдогыг syslog-руу бүртгэдэг онцлогтой.
Буцааж сэргээхдээ:
# usermod -U -s /bin/bash username
# passwd -u username
# passmgmt -m -s /bin/bash username
PS: /etc/passwd болон /etc/shadow файлуудыг гараар засаж болохгүй!
Monday, December 11, 2006
Мэдээллийн Технологын орчуулгын талаар ...
Ойрд орчуулгын ажилтай зууралдаад тэрүү энэ асуудлаар дотроо бодож явлаа. Дөлөө энэ талаар блог бичнэ гэж байсан, тэрийгээ бичжээ. Ерөнхий санааг нь гаргасан байна, дээр нь бага сага зүйл нэмье.
MUG-н зүгээс "FreeBSD Гарын Авлага"-г орчуулж эхлээд байгаа билээ. Би хувьдаа энэ орчуулгын ажилд оролцож, нэг бүлгийг нь орчуулж эхлээд байна. Зөвхөн номыг орчуулахаас гадна, Мэдээллийн Технологын нэр томъёог орчуулах ажил давхар явагдаж байгаа болохоор энэ ажил жаахан удаан явж байгаа талтай. Ер нь орчуулга хийнэ гэдэг санасан шиг амархан ажил биш юм байна гэдгийг нилээд ойлгож авсан. Хүмүүст ойлгомжтой байхын дээр, чанартай сайн орчуулга хийхийн тулд их хөдөлмөр шаардана.
Тухайн нэг өгүүлбэрийг орчуулахын тулд эхлээд англи хэлний эх өгүүлбэрийг өмнөх өгүүлбэр, бүлгийн утга санаатай авцалдуулан сайтар ойлгож авна. Өгүүлбэрийг ойлгохын тулд мэдээж мэргэжлийн дадлага туршлага их хэрэгтэй санагдсан. Хичнээн хэл мэддэг байгаад сайн орчуулга хийж чадахгүй... Нэгэнт ойлгож авсан тул монгол өгүүлбэр болгоод буулгачихна. Дараа нь нэр томъёо, үгийн сонголт гэж нилээд том асуудал тулгарнаа... Нэр томъёог орчуулахын тулд англи хэлний тайлбар толь болон тухайн нэр томъёоны мэргэжлийн тайлбарыг уншина. Жишээ нь: "stateful firewall" гэдгийг орчуулах гэж нилээд бодсон. Гаднаас үүссэн холболтууд "state" буюу ямар нэг "төлөв"-т байдаг талаар ойлголттой байсан тул "төлөвт галтхана" гэж орчуулахаар шийдсэн. Мөн "firewall" гэдгийг хоёр үг нийлж нэг шинэ үг үүсгэж байгаа тул "галт хана" биш, "галтхана" гэж бичих нь зүйтэй санагдсан тул нийлүүлж бичиж байгаа... Мөн "source IP address" гэдгийг "эхлэл IP хаяг" гээд эвтэйхэн хэлчихэж болж байхад "destination IP address" гэдгийн destination-д оноочих нэр үг олж чадалгүй "очих IP хаяг" гээд орчуулчихсан байдаг...
Зарим үг яг сайхан таарсан үг олдож байхад, заримыг үнэхээр чадахгүй тул хамгийн дөхөм үгийг сонгож тавих байдлаар одоогийн байдлаар орчуулгаа хийж байна даа. Яваандаа бүх бүлгүүдийг орчуулж дууссаны дараа нэр томъёогоо эргэж нэг харъя гэж g0mb0 ахтай ярилцсан байгаа.
Гэх мэтчилэн орчуулгын талаар нилээд олон асуултууд тулгарсан тул Галаарид гуайн блогоос "Залуу орчуулагчид өгөх зөвлөгөө-1,2"-г уншсаны дараа Мэдээллийн Технологын орчуулгын талаар зөвлөгөө өгөөч гэж гуйсан билээ. Бодвол түүний хариу байх Галаарид гуай шинэ нийлэлдээ IT-н орчуулгын талаар нилээд дурдсан байна лээ. Ер нь мэргэжлийн бус хүмүүс "үг болгоныг орчуулаад яах юм бэ? жишээ нь компьютер гэдгийг орчуулж яахийн, хүн болгон ойлгож байхад" гэсэн байр сууринаас ханддаг. Галаарид ах энэ талаар:
"Түгээмэл бөгөөд тогтвортой нэр томъёо, тухайлбал IT-гийн нэр томъёонуудыг орчуулалгүй хэрэглэх нь аль ч утгаараа зүйтэй байх. Мэргэжлийн нарийн нэр томъёонуудыг орчуулах гэж оролдон орчуулга биш, тайлбар хийчихсэн байх нь олон тохиолддог. Ингэхийн оронд тэр хэвээр нь, зарим тохиолдолд монгол дуудлагаар ашиглаж хэвших нь дээр ч юм шиг..."
гэжээ. Би хувьдаа эхний өгүүлбэртэй 100% санал нийлэхгүй байна. Би хувьдаа:
"...огт шинээр, зохиомлоор үүсгэсэн үгнээс бусдыг орчуулах боломжтой гэж боддог. Энэ салбарт ажилладаг болоод ч тэрүү, ер нь IT-н нэр томъёог орчуулах зайлшгүй шаардлагатай гэж боддог. Яахав орчуулга муу, эсвэл тухайн үг дэндүү тогтвортой байвал хүмүүс хэрэглэхгүй үлдэнэ л биз. Мөн орчуулга шаардаад байгаа үгсийг хүмүүс сайн дураараа янз янзаар орчуулж байгаагаас энэ талын хэлшил зүгширч өгөхгүй байх шиг санагддаг. Стандарт гаргаад хэвшчихвэл бүгд хэрэглээд эхлэнэ гэж боддог. Өөрөө орчуулга хийж байгаа болохоор тэр юмуу монгол үгээ хэрэглээд ирэхээр сэтгэлд ойрхон буугаад байх болсон."
Үнэхээр сүүлийн үед мэргэжлийнхээ нэр томъёог монголоороо хэрэглэх үнэхээр таалагдаад байгаа. Орчуулганд оролцож байгаа Нацаг, дээр чатлахдаа "install" гэдгийн оронд "суулгац" гэж хэрэглэсэн нь надад сайхан санагдсан... Мөн энд жишээ дурдахад "build" гэдгийг би "үүсгэх" гэж орчуулаад байсан бол g0mb0 ах "бүтээх" гэж орчуулсан байсан нь илүү оновчтой санагдаад зассан байгаа.
Юутай ч энэ орчуулгын ажил дуусвал нилээд гайгүй үгсийн сан үүсэх байх гэж найдаж байгаа. IT-гийнхан хэдий завгүй ч орчуулгын ажилд идэвхтэй оролцоно гэж найдаж байгаа шүү.
MUG-н зүгээс "FreeBSD Гарын Авлага"-г орчуулж эхлээд байгаа билээ. Би хувьдаа энэ орчуулгын ажилд оролцож, нэг бүлгийг нь орчуулж эхлээд байна. Зөвхөн номыг орчуулахаас гадна, Мэдээллийн Технологын нэр томъёог орчуулах ажил давхар явагдаж байгаа болохоор энэ ажил жаахан удаан явж байгаа талтай. Ер нь орчуулга хийнэ гэдэг санасан шиг амархан ажил биш юм байна гэдгийг нилээд ойлгож авсан. Хүмүүст ойлгомжтой байхын дээр, чанартай сайн орчуулга хийхийн тулд их хөдөлмөр шаардана.
Тухайн нэг өгүүлбэрийг орчуулахын тулд эхлээд англи хэлний эх өгүүлбэрийг өмнөх өгүүлбэр, бүлгийн утга санаатай авцалдуулан сайтар ойлгож авна. Өгүүлбэрийг ойлгохын тулд мэдээж мэргэжлийн дадлага туршлага их хэрэгтэй санагдсан. Хичнээн хэл мэддэг байгаад сайн орчуулга хийж чадахгүй... Нэгэнт ойлгож авсан тул монгол өгүүлбэр болгоод буулгачихна. Дараа нь нэр томъёо, үгийн сонголт гэж нилээд том асуудал тулгарнаа... Нэр томъёог орчуулахын тулд англи хэлний тайлбар толь болон тухайн нэр томъёоны мэргэжлийн тайлбарыг уншина. Жишээ нь: "stateful firewall" гэдгийг орчуулах гэж нилээд бодсон. Гаднаас үүссэн холболтууд "state" буюу ямар нэг "төлөв"-т байдаг талаар ойлголттой байсан тул "төлөвт галтхана" гэж орчуулахаар шийдсэн. Мөн "firewall" гэдгийг хоёр үг нийлж нэг шинэ үг үүсгэж байгаа тул "галт хана" биш, "галтхана" гэж бичих нь зүйтэй санагдсан тул нийлүүлж бичиж байгаа... Мөн "source IP address" гэдгийг "эхлэл IP хаяг" гээд эвтэйхэн хэлчихэж болж байхад "destination IP address" гэдгийн destination-д оноочих нэр үг олж чадалгүй "очих IP хаяг" гээд орчуулчихсан байдаг...
Зарим үг яг сайхан таарсан үг олдож байхад, заримыг үнэхээр чадахгүй тул хамгийн дөхөм үгийг сонгож тавих байдлаар одоогийн байдлаар орчуулгаа хийж байна даа. Яваандаа бүх бүлгүүдийг орчуулж дууссаны дараа нэр томъёогоо эргэж нэг харъя гэж g0mb0 ахтай ярилцсан байгаа.
Гэх мэтчилэн орчуулгын талаар нилээд олон асуултууд тулгарсан тул Галаарид гуайн блогоос "Залуу орчуулагчид өгөх зөвлөгөө-1,2"-г уншсаны дараа Мэдээллийн Технологын орчуулгын талаар зөвлөгөө өгөөч гэж гуйсан билээ. Бодвол түүний хариу байх Галаарид гуай шинэ нийлэлдээ IT-н орчуулгын талаар нилээд дурдсан байна лээ. Ер нь мэргэжлийн бус хүмүүс "үг болгоныг орчуулаад яах юм бэ? жишээ нь компьютер гэдгийг орчуулж яахийн, хүн болгон ойлгож байхад" гэсэн байр сууринаас ханддаг. Галаарид ах энэ талаар:
"Түгээмэл бөгөөд тогтвортой нэр томъёо, тухайлбал IT-гийн нэр томъёонуудыг орчуулалгүй хэрэглэх нь аль ч утгаараа зүйтэй байх. Мэргэжлийн нарийн нэр томъёонуудыг орчуулах гэж оролдон орчуулга биш, тайлбар хийчихсэн байх нь олон тохиолддог. Ингэхийн оронд тэр хэвээр нь, зарим тохиолдолд монгол дуудлагаар ашиглаж хэвших нь дээр ч юм шиг..."
гэжээ. Би хувьдаа эхний өгүүлбэртэй 100% санал нийлэхгүй байна. Би хувьдаа:
"...огт шинээр, зохиомлоор үүсгэсэн үгнээс бусдыг орчуулах боломжтой гэж боддог. Энэ салбарт ажилладаг болоод ч тэрүү, ер нь IT-н нэр томъёог орчуулах зайлшгүй шаардлагатай гэж боддог. Яахав орчуулга муу, эсвэл тухайн үг дэндүү тогтвортой байвал хүмүүс хэрэглэхгүй үлдэнэ л биз. Мөн орчуулга шаардаад байгаа үгсийг хүмүүс сайн дураараа янз янзаар орчуулж байгаагаас энэ талын хэлшил зүгширч өгөхгүй байх шиг санагддаг. Стандарт гаргаад хэвшчихвэл бүгд хэрэглээд эхлэнэ гэж боддог. Өөрөө орчуулга хийж байгаа болохоор тэр юмуу монгол үгээ хэрэглээд ирэхээр сэтгэлд ойрхон буугаад байх болсон."
Үнэхээр сүүлийн үед мэргэжлийнхээ нэр томъёог монголоороо хэрэглэх үнэхээр таалагдаад байгаа. Орчуулганд оролцож байгаа Нацаг, дээр чатлахдаа "install" гэдгийн оронд "суулгац" гэж хэрэглэсэн нь надад сайхан санагдсан... Мөн энд жишээ дурдахад "build" гэдгийг би "үүсгэх" гэж орчуулаад байсан бол g0mb0 ах "бүтээх" гэж орчуулсан байсан нь илүү оновчтой санагдаад зассан байгаа.
Юутай ч энэ орчуулгын ажил дуусвал нилээд гайгүй үгсийн сан үүсэх байх гэж найдаж байгаа. IT-гийнхан хэдий завгүй ч орчуулгын ажилд идэвхтэй оролцоно гэж найдаж байгаа шүү.
Wednesday, December 06, 2006
Centralized Logging буюу SyslogNG-н талаар товчхон
Central Logging Server буюу Төвлөрсөн Бүртгэлийн Серверийг SyslogNG буюу Syslog New Generation-ий тусламжтай хэрхэн зохион байгуулах талаар товчхон танилцуулъя.
Ач холбогдол: Хүмүүс ийм юм болохгүй байна, тэр нь сонин ажиллаад байна гэхэд миний хэлдэг ганц үг бол "Логоо шалга!". Системийнхээ логыг уншина гэдэг нь өвчтэй хүнээс таны юу өвдөж байна? гэж асуусантай яг адилхан санагддаг. Ихэнх тохиолдолд системийн яг юу нь болохгүй байгаа нь лог дээр дурайтал бичээтэй байдаг. Гэхдээ... лог уншина гэдэг цаг авсан ажил... хэрвээ олон сервертэй бол логыг уншаад дуусна гэж байхгүй юм болно. Тэгэхээр нэг арга зам бол бүх серверүүдийн логыг нэг сервер дээр цуглуулж, түүнийгээ өгөгдлийн баазруу хийгээд түүн дээрээ хайлт шүүлт хийх арга юм. Мэдээж веб интерфэйс байвал бүр сайн хэрэг... Тэгвэл энэ бүхнийг "SyslogNG + MySQL + php-syslog-ng"-н тусламжтай хийж болно.
Ажилллах зарчим: Тэгэхээр бүх логыг цуглуулж байх нэг сервер байна. Түүн дээр SyslogNG, MySQL суусан байх ба веб интерфэйс байдлаар php-syslog-ng ажиллана(мэдээж Apache+PHP суусан байх ёстой).
- Бусад серверүүд(client) логоо энэ серверрүү шиддэг байхаар тохируулагдсан байна.
- SyslogNG TCP/UDP 514-р портон дээр логуудыг хүлээн авч энгийн файлруу эсвэл pipe файлруу SQL Insert query байдлаар бичнэ.
- Бид энэ pipe файлыг аван цааш MySQL баазруу бичнэ.
- Хэрэглэгч php-syslog-ng веб интерфэйсээр бааз дээр хайлт шүүлт хийх боломжтой болох юм.
1. Client машиныг тохируулах
Ер нь бол бүх л сервер машин, сүлжээний төхөөрөмжүүд системийн логыг өөр дээрээ бүртгэж байдаг бөгөөд түүнийгээ syslog гэсэн програмын тусламжтай гүйцэлдүүлж байдаг. Client дээр зарчмын хувьд syslog болон syslog-ng аль нь ажиллаж болно. Гэхдээ syslog-ng-г шинээр суулгаж ажил удаж байснаас бэлэн суучихсан syslog-г ашиглах нь хялбар тул syslog-г хэрхэн тохируулах жишээг харуулав.
Ач холбогдол: Хүмүүс ийм юм болохгүй байна, тэр нь сонин ажиллаад байна гэхэд миний хэлдэг ганц үг бол "Логоо шалга!". Системийнхээ логыг уншина гэдэг нь өвчтэй хүнээс таны юу өвдөж байна? гэж асуусантай яг адилхан санагддаг. Ихэнх тохиолдолд системийн яг юу нь болохгүй байгаа нь лог дээр дурайтал бичээтэй байдаг. Гэхдээ... лог уншина гэдэг цаг авсан ажил... хэрвээ олон сервертэй бол логыг уншаад дуусна гэж байхгүй юм болно. Тэгэхээр нэг арга зам бол бүх серверүүдийн логыг нэг сервер дээр цуглуулж, түүнийгээ өгөгдлийн баазруу хийгээд түүн дээрээ хайлт шүүлт хийх арга юм. Мэдээж веб интерфэйс байвал бүр сайн хэрэг... Тэгвэл энэ бүхнийг "SyslogNG + MySQL + php-syslog-ng"-н тусламжтай хийж болно.
Ажилллах зарчим: Тэгэхээр бүх логыг цуглуулж байх нэг сервер байна. Түүн дээр SyslogNG, MySQL суусан байх ба веб интерфэйс байдлаар php-syslog-ng ажиллана(мэдээж Apache+PHP суусан байх ёстой).
- Бусад серверүүд(client) логоо энэ серверрүү шиддэг байхаар тохируулагдсан байна.
- SyslogNG TCP/UDP 514-р портон дээр логуудыг хүлээн авч энгийн файлруу эсвэл pipe файлруу SQL Insert query байдлаар бичнэ.
- Бид энэ pipe файлыг аван цааш MySQL баазруу бичнэ.
- Хэрэглэгч php-syslog-ng веб интерфэйсээр бааз дээр хайлт шүүлт хийх боломжтой болох юм.
1. Client машиныг тохируулах
Ер нь бол бүх л сервер машин, сүлжээний төхөөрөмжүүд системийн логыг өөр дээрээ бүртгэж байдаг бөгөөд түүнийгээ syslog гэсэн програмын тусламжтай гүйцэлдүүлж байдаг. Client дээр зарчмын хувьд syslog болон syslog-ng аль нь ажиллаж болно. Гэхдээ syslog-ng-г шинээр суулгаж ажил удаж байснаас бэлэн суучихсан syslog-г ашиглах нь хялбар тул syslog-г хэрхэн тохируулах жишээг харуулав.
Жишээ нь: /etc/syslog.conf файл дотор байгаа:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
гэсэн мөрүүдийг:
*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv
*.info;mail.none;authpriv.none;cron.none @xxx.xxx.xxx.xxx
.* /var/log/secure
.* @xxx.xxx.xxx.xxx
mail.* /var/log/maillog
mail.* @xxx.xxx.xxx.xxx
PS: xxx.xxx.xxx.xxx оронд лог цуглуулах серверийн хаягыг бичнэ.
болгон өөрчилнө. Syslog-н level, facility-н талаар болон хэрхэн тохируулах талаар дэлгэрэнгүй мэдээллийг интернетээс аваарай.
2. SyslogNG серверийг суулгах болон тохируулах
Интернетээс нэг аятайхан заавар олсон юм. Энэ нь "Implementation of Central Logging Server using syslog-ng" гээд Энэтхэгийн CERT-с гаргасан гарын авлага байгаан. Syslog-ng серверийг суулгах тохируулах талаар маш дэлгэрэнгүй ойлгомжтой бичсэн байгаа тул энд нуршаад хэрэггүй биз. Та бүхэн
6.1 Installation
6.2 Configuring Server
6.4 Filter syslog messages
хэсгүүдийг уншаарай. Суулгахад libol багцийг заавал суулгах хэрэгтэй болно. Тохируулга хийхийн тулд syslog-ng.conf файлыг шинээр үүсгэх хэрэгтэй байгаа. Мөн хэрэггүй логуудыг шүүж хадгалахын тулд filter{} директивийг ашиглах хэрэгтэй болно. За тэгээд жишээ тохиргооны файлыг харвал бүх юм ойлгогдох байх.
Pipe файлыг дараах байдалтай үүсгэнэ:
# mkfifo /tmp/mysql.pipe
# chmod 660 /tmp/mysql.pipe
Бүх тохиргоог зөв хийсэн бол та логуудыг Insert query байдлаа /tmp/mysql.pipe файд дотор харах болно. Мөн энэ файл томорсоор байх ёстой.
3. pipe файлыг MySQL баазруу бичих
Юуны түрүүнд MySQL сервер дээрээ logs нэртэй өгөгдлийн сан үүсгэх хэрэгтэй. Ямар талбартай үүсгэхийг "Implementation of Central Logging Server using syslog-ng" зааврын 11-р хуудаснаас үзнэ үү.
Үүний дараа дараах командыг өгч pipe файлыг өгөгдлийн санруу оруулах процессыг эхлүүлнэ:
# mysql syslog < /tmp/mysql.pipe &
4. php-syslog-ng ажиллуулах
php-syslog-ng нь энгийн php файлууд тул source tarball-г задлан веб серверийнхээ document root дотор байрлуулна. Үүний дараа эдгээр php скриптээс өгөгдлийн санруу хандах эрхтэй хэрэглэгчийн эрхийг MySQL сервер дээр үүсгэн, нууц үгийн хамт config/config.php файл дотор кодлож өгнө.
Одоо та вебээр хандан admin/admin гэсэн хэрэглэгчийн нэр нууц үгийг оруулан хайлт шүүлтийг хийх боломжтой болно. Бүх зүйл ажиллаж байвал таны лог дараах байдалтай харагдах болвуу.
Та анх удаа логин хийж орсны дараа нууц үгээ солихоо мартуузай. Мөн хязгаарлагдмал эрхтэй өөр хэрэглэгчдийн эрхийг нээж өгөх боломжтой санаарай.
NOTE: syslog-ng-н нэг давуу тал гэвэл UDP-с гадна(syslog зөвхөн UDP протоколыг дэмждэг) TCP протоколыг дэмждэг болсон явдал юм. Ингэснээр галтханын цаана наанаас SSH Tunneling ашиглан логыг аюулгүйгээр бүртгэх боломжтой болдог.
Subscribe to:
Posts (Atom)
