Для администратора сервера спам подразделяется на:
Входящий спам - спамовые сообщения для пользователей сервера
Исходящий спам - спамовые сообщения, рассылаемые с сервера, соответствующими скриптами

В целях обнаружения, устранения и предупреждения спама каждого вида, следует использовать нижеприведенные методики.

В сети фирмы есть почтовый сервер (MS Exchange 2003 с локальным IP), который всю почту отправляет через smart-host (Exim 4-54), с двумя интерфейсами (локальный IP и реальный IP).

Сменить пароль можно следующим образом:


Загрузиться в режиме «Single user».
Перемонтировать корневую ФС в режиме чтения/записи


Изменить собственно сам пароль root


Выйти из режима «Single user» и продолжить загрузку системы

С версии FreeBSD 6.0 штатным средством обновления портов является portsnap - утилита использующая моментальные, заранее сделанные снимки портов.
Главное на мой взгляд преимущество перед утилитой cvsup в простоте использования и отсутствии необходимости что либо устанавливать, тоесть сразу после установки FreeBSD можно обновить порты тремя нехитрыми командами.

Скачиваем заранее сделанные снимки портов. Первый раз качает ~50М, потом только новые пакеты.


Распаковуем дерево портов:


Обновляем дерево портов:

exipick -
exipick - показывает сообщения в очереди экзима
exipick -z - показывает замороженные сообщения
exipick -i - показывает ID сообщений

exim -Mrm ID - удаляет из очереди сообщение с айдишником ID

В итоге получаем:
exipick -zi | xargs exim -Mrm //очистит все замороженные сообщения из очереди

exipick -i | xargs exim -Mrm //очистит все сообщения из очереди

P.S.
Это самый корретный способо очистки очереди самим экзимом.


Другой способ:

service exim stop;
rm -rf /var/spool/exim/input.bak;
mv /var/spool/exim/input /var/spool/exim/input.bak;
mkdir /var/spool/exim/input;
chown mailnull.mail /var/spool/exim/input;
chmod 750 /var/spool/exim/input;
service exim start;

Это не просто киляет очередь, но бекапит ее и создает пустой input - очень удобно!
Добавлю только что этот скрипт сработает на linux.
Для FreeBSD команды остановки и запуска exim другие.

Задача.

Необходимо аутентифицировать пользователей в squid на основе доменных
аккаунтов. Не всегда подходит классическая схема учета трафика по IP
адресам примеры случаев когда подобная ситуация не устраивает достаточно
полно описаны в [1]. Кроме того, стояла задача защищать подключение к
Internet в большой сети от приносимых ноутбуков.

Инструменты.

1. OC FreeBSD использовались версии 4.11-RELEASE и 5.3-RELEASE-p5
2. Windows 2003 - контроллер домена.
3. samba-3.0.11
4. squid-2.5.8


Сеть и топология.

Домен - piva.net
Контроллер домена - lab002.piva.net
Рабочие станции соответственно - labxxx.piva.net
Машина на которой установлен squid - lab003.piva.net

Готовое решение для обьединения трех отдельных локалок с разными
провайдерами в единую сеть.

Эта задачка достаточно просто решается с помощью NEТGRAPH

Исходные данные:

1. есть три офиса в каждом из офисов локалка 192.168.210.0/24
2. каждая локалка ходит в интернет через nat+ipfw FreeBSD 4.3
3. в каждом из офисов свой провайдер.

Задача:

1. сделать, чтобы все клиенты локалок могли пользоваться сетевыми
дисками и принтерами независимо от того в каком из офисов они находятся.

Предистория.В канторе где мне довелось работать я застал такую картину: часть почтовых ящиков находилась на FreeBSD со встроенным sendmail, а часть уже успели перенести на MS Exchange внутри локалки. При этом чтобы создать рабочий ящик нужно было проделать уйму телодвижений, к тому же сработала моя личная неприязнь к sendmail. Короче было решено переходить на MTA EXIM, почту с ящиков, которые на FreeBSD раздавать пользователям с помощью courier-imap, остальную передавать на MS Exchange. За основу были взяты конфиги с нескольких статей написанных Лисом ( http://www.lissyara.su) за что ему большое спасибо.

Для проверки существоваания пользователей в домене (цель - генерить отлупы до приёма сообщения, на уровне "rcpt to:" - иначе, они могут пойти по фальшивому обратному адресу), exim будет лазить напрямую в виндовый ldap - для этого заведён специальный пользователь в домене, без права логинитсья.
Для удобства, конфиг почтаря был разбит на несколько кусков. Была реализована схема с т.н. "белыми списками". Также, с сайта http://www.iana.org/ был утянут список всех доменов верхнего уровня - он используется в проверках HELO - существует ли такой домен (проверка регулярным выражением на синтаксис - всё же не так эффективна).

Предистория.В канторе где мне довелось работать я застал такую картину: часть почтовых ящиков находилась на FreeBSD со встроенным sendmail, а часть уже успели перенести на MS Exchange внутри локалки. При этом чтобы создать рабочий ящик нужно было проделать уйму телодвижений, к тому же сработала моя личная неприязнь к sendmail. Короче было решено переходить на MTA EXIM, почту с ящиков, которые на FreeBSD раздавать пользователям с помощью courier-imap, остальную передавать на MS Exchange. За основу были взяты конфиги с нескольких статей написанных Лисом ( http://www.lissyara.su) за что ему большое спасибо.

Для проверки существоваания пользователей в домене (цель - генерить отлупы до приёма сообщения, на уровне "rcpt to:" - иначе, они могут пойти по фальшивому обратному адресу), exim будет лазить напрямую в виндовый ldap - для этого заведён специальный пользователь в домене, без права логинитсья.
Для удобства, конфиг почтаря был разбит на несколько кусков. Была реализована схема с т.н. "белыми списками". Также, с сайта http://www.iana.org/ был утянут список всех доменов верхнего уровня - он используется в проверках HELO - существует ли такой домен (проверка регулярным выражением на синтаксис - всё же не так эффективна).

Существует огромное количество статей, обзоров и инструкций в которых
описаны методы защиты вашей FreeBSD системы. Но все они описывают отдельные
методы и способы. Этот документ является списком, который
удобно использовать при настройке сервера. В документе собраны
рекомендации, которые помогут вам, настроить наиболее защищенный сервер.
Более подробное описание всех настроек и проблем безопасности вы можете
найти, обратившись к списку использованных источников, в конце этого
документа.

Окончательной версии этого документа не существует, он постоянно
дополняется различными советами и рекомендациями. Рекомендуем вам
распечатать этот документ и использовать при каждой настройке нового
сервера.

Мониторинг загрузки канала интернет-шлюза на FreeBSD
В этой небольшой статье я постараюсь описать простой и часто необходимый способ постороения графиков загрузки интернет-канала (общий график, график www, график pop3, график smtp). Это может быть полезно системным администраторам для того, чтобы они знали, в какое время их офис потребляет много интернета, забита ли их полоса пропускания постоянно или только перед обедом, на что именно расходуется полоса пропускания канала – на просмотр сайтов (тогда, возможно, кто-то качает всякую фигню), на получение почты (тогда, возможно, надо рассмотреть вопрос настройки собственного почтового сервера), на отправку писем (возможно, какой-либо компьютер заражен вирусом и рассылает спам). Применений этому может быть множество. Итак, приступим.

При отображении строк в RRD используется кодировка UTF-16, в которой есть таблица русских символов,
соответствующая таблице CP1251, только со смещением.
Чтобы rrdgraph смог отображать русские символы на графиках
необходимо внести изменения в файл src/rrd_afm.h.

Скрипт для снятия статистики за день с графиками используя встроеный eximstats и p5-GD-Graph





И за неделю но уже без графиков


Ну и сам exim логи пишет так:


За всю последнюю неделю каждый день идет с графиками и картинками, ну а всё что старее уже просто складируется по дням и неделям но уже без графиков.

В данной статье мы расскажем о настройке роутера на базе FreeBSD
выполняющего роль шлюза в инернет с установкой firewall-a, и
поддерживающем статическую arp таблицу mac адресов в локальной сети.
Речь пойдет о IPFW который в FreeBSD служит верой и правдой уже много лет,
тем более что в последней версии в составе c FreeBSD 4.0 исправленны
ошибки и добавленна корректная возможность ограничивать полосу пропускания
по интерфейсу (использование pipe с опцией bw).

squid - "быстрая настройка"

1. cd /usr/ports/www/squid/

2. make config

3. make

4. make install

5. Далее в /usr/local/etc/squid/squid.conf добавить следующее (пример):

http_port 3128

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 64 MB
cache_dir ufs /usr/local/squid/var/cache 800 16 256
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_effective_user nobody
cache_effective_group nobody
error_directory /usr/local/etc/squid/errors/Russian-1251

visible_hostname proxy.your_domain

dns_nameservers 127.0.0.1 # Через пробел можно записать еще и ДНС прова.

logfile_rotate 10

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

acl my_network src 192.168.0.0/24

http_access allow my_network
http_access deny all

http_reply_access allow all

6. Создать директории: mkdir /usr/local/squid/var/ mkdir /usr/local/squid/var/cache mkdir /usr/local/squid/var/logs

7. chown -R squid /usr/local/squid/

8. chgrp -R squid /usr/local/squid/

9. chmod -R ug=rwx /usr/local/squid/

10. Запускаем squid: /usr/local/sbin/squid -z

11. /usr/local/sbin/squid

Данная статья описывает установку и настройку прокси сервера на основе squid-2.5.14 с использованием аудентификации по mac адресу с ограничением скорости закачки с помощью пулов задержки, анализа статистики лога с помощью sarg-2.2. А также в кратце описан процесс поднятия WWW сервера на основе apache-1.3.36 для удобства доступа до статистики полученной sarg.

Система портов обладает множеством неоспоримых достоинств и в своем первозданном виде. Силою тройного волшебного заклинания

$ make install clean
легко установить "с нуля" любую. программу (при наличии сети и толики времени, конечно).

Чуть похуже она проявляет себя при обновлении пакета, требуя еще двух пар страшных заклятий - make deinstall и make reinstall. Что, впрочем, не столь уж обременительно - если речь идет о единичном порте. А вот если требуется обновить целый программный комплекс, подобный KDE, да еще имеющий сложные и неоднозначные зависимости, - тут становится немножечко скучно. Не под впечатлением ли подобных процедур родились идеи о прикручивании к FreeBSD инфраструктуры Debian'овского apt или портежей Gentoo?

Однако, как известно, спасение утопающих - дело рук самих утопающих. И резервы кардинального усовершенствования системы портов лежат в них же самих. А именно - внутри порта sysutils/portupgrade/, разработанного и поддерживаемого Akinori Musha. Каковой и призван облегчить жизнь пользователя, время от времени обновляющего большие пакетные комплексы или даже все установленные порты оптом.

В этой небольшой статье я хотел лишь описать самые первые шаги, которые нужно делать после того, как вы скачали и установили пакет для работы с базами данных MySQL. Я совсем не собирался здесь описывать сам MySQL и не рассчитывал вдаваться во всякие технические подробности относительно безопасности. Если вы хотите подробной информации, Read The Fine Manual. Если вы хотите как можно быстрее начать делать базы данных, читайте это маленькое руководство.