uzverss | Entries tagged with ad

Восстанавливаем состояние GPO по умолчанию

gpmc.msc
rsop.msc

dcdiag /q /e
repadmin /showrepl * /csv >showrepl.csv
dcgpofix.exe /ignoreschema /target: Domain

Средство Dcgpofix не восстанавливает параметры безопасности в исходное состояние для Политики Контроллера Домена по умолчанию(Defaul Domain Controller Policy).

Диагностика состояния контроллера домена и репликаций Active Directory

dcdiag /n:local /e /v /f:c:\logs\adtest.log /ferr:c:\logs\aderrors.log /u:local\user19 /p:Password

где:

/n:local — имя домена
/e автоматическая проверка всех серверов с ролью DC
/v расширенная проверка
/f — записать лог файл
/ferr — записать лог файл ошибок (актуально для WinSRV2003, в новых версиях — неактуально)
/u имя домена и пользователя

Межсайтовая топология отслеживается так:
repadmin /showism

Отображение партнеров по репликации и времени последней репликации выполняется следующей командой:
repadmin /showrepl

Следующей командой можно проверить
repadmin /replsummary [nameDC|wildcard]

При этом ключ /replsummary используется для быстрой проверки репликации на конкретном сервере, а ключ wildcard — для всех серверов.

Проверка USN записей:
repadmin /showutdvec

Синхронизация конкретного контроллера домена с участниками репликации:
replmon /syncall

Резервное копирование и восстановление GPO
Восстановление групповых политик в домене polygon.local
PowerShell - Резервное копирование групповых политик Active Directory (GPO)

Backup-GPO -Name Documents -Path ″C:\GPO Backups″ -Comment ″Backup with PowerShell″

для архивации всех GPO в текущем домене можно воспользоваться командой:
Backup-GPO -All -Path ″C:\GPO Backups″

команда восстановит наиболее свежую версию GPO с именем Documents:
Restore-GPO -Name Documents -Path ″C:\GPO Backups″

Для восстановления всех GPO используйте ключ -All, вот так:
Restore-GPO -All -Path ″C:\GPO Backups″

с помощью ключа -BackupID можно указать идентификатор резервной копии:
Restore-GPO -Path ″C:\GPO Backups″ -BackupID 17205BEF-6A37-4D5D-BB42-72D690922BF3

PowerShell можно использовать для автоматизации резервного копирования объектов групповых политик. Для примера запланируем бэкап всех доменных GPO ежедневно в 3 часа ночи:

$t = New-JobTrigger -Daily -At 3am
Register-SheduledJob -Name AllGPOBackup -ScriptBlock {Backup-GPO -All -Path ″C:\GPO Backups″} -Trigger $t

Инструмент состояния репликации Active Directory
Для диагностики сбоев репликации Active Directory

Восстановление удаленных доменных учетных записей в Windows 2003/2008/2008R2
Windows Server Reanimating Active Directory Tombstone Objects

ADSI Edit (adsiedit.msc)
https://download.sysinternals.com/files/AdExplorer.zip
https://download.sysinternals.com/files/ADRestore.zip

Как вручную создать GPO домена по умолчанию

Существует два объекта групповой Политики, созданные после повышения на рядовой компьютер или изолированного сервера до контроллера домена.
Эти два объекты групповой политики являются:
По умолчанию Групповая политика для домена
Контроллер домена по умолчанию Групповая политика.
Эти GPO хранятся в папке SYSVOL. Служба входа в сеть создает два постоянных GUID эти два объекта групповой политики в папке SYSVOL.
\Windows\SYSVOL\sysvol\domain.com\policies\GUID
Объект групповой Политики домена GUID {31B2F340-016D-11D2-945F-00C04FB984F9}
ОБЪЕКТ ГРУППОВОЙ ПОЛИТИКИ КОНТРОЛЛЕРА ДОМЕНА GUID {6AC1786C-016F-11D2-945F-00C04FB984F9}

C:\WINDOWS\security\templates\policies

Как восстановить права доступа по умолчанию Групповая политика для домена Windows Server 2003

Сброс локальных групповых политик в Windows
Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Как использовать Ldp.exe для просмотра все дерево каталогов и найдите контейнер Microsoft Exchange

addiag /v
nltest /sc_verify:
nslookup fqdn_вашего_домена
netdiag -v
DCDIAG /test:CheckSecurityError
dfsutil /purgemupcache

редактирование файла GptTmpl.inf

После редактирования файла GptTmpl.inf вручную увеличьте версию объекта групповой политики, чтобы изменения в политике были сохранены. Для этого воспользуйтесь одним из следующих методов.

Способ 1. Использование редактора объектов групповой политики

1 Откройте редактор объектов групповой политики.
2 Изменить.
3 Закройте редактор объектов групповой политики.

Способ 2: вручную отредактируйте файл Gpt.ini

Чтобы вручную увеличить версию объекта групповой политики, измените файл Gpt.ini, который управляет номерами версий шаблона групповой политики. Сделать это:

1 Откройте файл Gpt.ini с помощью текстового редактора, такого как Блокнот.
2 Увеличьте номер версии до достаточно большого числа, чтобы гарантировать, что при нормальной репликации новый номер версии не устареет до сброса политики. Лучше увеличивать число, добавляя число «0» в конце номера версии или число «1» в начале номера версии.
3 Сохраните файл Gpt.ini, а затем закройте его.

Более того, примените новый объект групповой политики с помощью необходимо вручную обновить объект групповой политики

gpupdate /? - отобразить подсказку по использования команды.
gpupdate - выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.
gpupdate /Target:computer - выполняется обновление политик только для компьютера.
gpupdate /Force - выполняется обновление всех политик.
gpupdate /Boot - обновление групповых политик с перезагрузкой компьютера.

В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:

Погружение в шаблоны и приручение GPO Windows

В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
В папке Documents and Settings есть настройки перенаправления пользовательских папок.
Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.

Устранение неполадок групповой политики
Устранение неполадок репликации Active Directory
Контроллер домена работает неправильно
Устранение проблем с репликацией Active Directory
Восстановление Active Directory
Как восстановить домен AD DS
Утилиты для тестирования домена
Корзина Active Directory: рекомендации по использованию
Событие с кодом 1000, 1001 регистрируется каждые пять минут в журнале событий приложений.
Инструкции по восстановлению дерева SYSVOL и его содержимого в домене

Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена

Автоматизация процессов в сети
Групповая политика (настройка на примерах)

Наводим порядок в Active Directory
AD: решаем задачи повышенной сложности

Управление групповыми политиками
Управление групповыми политиками
Кенин А.М. Практическое руководство системного администратора. — 2-е изд., 2013
Кенин А.М. Самоучитель системного администратора. — 3-е изд., 2012
Самоучитель системного администратора / А.М. Кенин, Д.Н. Колисниченко. — 4-е изд., 2016

https://live.sysinternals.com/
http://support.modelamerican.com/downloads/Utilities/
FRSDiag.exe

Ввод Linux в домен (инструкция от Eset)

http://isa.darlex.com.ua/index.php/ubuntu/69-vvod-linux-v-domen-instruktsiya-ot-eset

В этом примере:

DEMO - домен (DEMO.LOCAL)
dc-demo - контроллер домена (dc-demo.demo.local, 192.168.0.201)
era-va - имя сервера CentOS (era-va.demo.local, 192.168.0.21)

================================================================================

Открываем терминал ERA VA

--------------------------------------------------------------------------------

1. Редактируем "hosts":

[root@era-VA ~]# nano /etc/hosts

Добавляем следующую запись:

192.168.0.201 dc-demo.demo.local

Ctrl+X - Y - Enter

--------------------------------------------------------------------------------

2. Cинхронизируем время с контроллером домена:

[root@era ~]# nano /etc/ntp.conf

server dc-demo.demo.local

Ctrl+X - Y - Enter

--------------------------------------------------------------------------------

3. Настраиваем Kerberos:

[root@era-VA ~]# nano /etc/krb5.conf

Приводим к виду:

[libdefaults]
default_realm = DEMO.LOCAL
ticket_lifetime = 24h
forwardable = yes
renew_lifetime = 7d

[realms]
DEMO.LOCAL = {
kdc = 192.168.0.201
}

[domain_realm]
.demo.local = DEMO.LOCAL

Ctrl+X - Y - Enter

--------------------------------------------------------------------------------

4. Настраиваем Samba:

[root@era ~]# nano /etc/samba/smb.conf

[global]
workgroup = DEMO
realm = demo.local

Ctrl+X - Y - Enter

--------------------------------------------------------------------------------

5. Указываем DNS:

[root@era ~]#nano /etc/resolv.conf

nameserver 192.168.0.201

Ctrl+X - Y - Enter

--------------------------------------------------------------------------------

6. Вводим в домен:

[root@era ~]# net ads join -U oksana
Enter oksana's password:
Вводим пароль и получаем результат:
Using short domain name -- DEMO
Joined 'ERA' to dns domain 'DEMO.LOCAL'
No DNS domain configured for era. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

Проверяем:

[root@era ~]# kinit oksana@DEMO.LOCAL
Password for oksana@DEMO.LOCAL:
[root@era ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: oksana@DEMO.LOCAL

wbinfo -g
wbinfo -u

если не помогает
service smb stop; service winbind stop
net time set -S DEMO.LOCAL

ещё вариант
http://xgu.ru/wiki/Squid,_Kerberos_и_LDAP

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOMAIN.OFFICE.LOCAL
	dns_lookup_realm = false
	dns_lookup_kdc = false
        ticket_lifetime = 24h
	forwardable = true
	proxiable = true
        default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
        default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

[realms]
GOSTINY.SPB.RU = {
  kdc = serv1.domain.office.local
  kdc = serv2.domain.office.local
  admin_server = serv1.domain.office.local
 }

[domain_realm]
	.domain.office.local = DOMAIN.OFFICE.LOCAL
	domain.office.local = DOMAIN.OFFICE.LOCAL

[appdefaults]
pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
}

[login]
 krb4_convert = true
 krb4_get_tickets = false

в командной строке на контроллере домена создаём файл ключа
ktpass -princ HTTP/myproxy123.domain.office.local@DOMAIN.OFFICE.LOCAL -mapuser DOMAIN\squid -pass "password123" -ptype KRB5_NT_SRV_HST -out C:\myproxy123.keytab

https://docs.microsoft.com/ru-ru/windows-server/administration/windows-commands/ktpass
- KRB5_NT_PRINCIPAL является общим типом участника (рекомендуется).
- KRB5_NT_SRV_INST является экземпляром службы пользователя.
- KRB5_NT_SRV_HST является экземпляром службы узла

копируем в /etc/myproxy123.keytab и проверяем
kinit -V -k -t /etc/myproxy123 HTTP/myproxy123.domain.office.local@DOMAIN.OFFICE.LOCAL

Удалим полученный билет командой:
kdestroy

Для автоматической аутентификации через Squid, необходимо внести следующие изменения - добавляем в файл /etc/sysconfig/squid строки
KRB5_KTNAME=/etc/myproxy123.keytab
export KRB5_KTNAME

Дополнение

https://michlstechblog.info/blog/linux-kerberos-authentification-against-windows-active-directory/#more-1628
http://unixwall.ru/
kdc-has-no-support-for-encryption-type-while-getting-initial-credentials/
https://support.symantec.com/en_US/article.TECH220711.html

ошибка KDC has no support for encryption type while getting initial credentials

Правим файл /etc/krb5.conf

В секцию [libdefaults] добавляем:

default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

Удаление из домена

https://habr.com/post/337556/
net ads leave -U %username%
net ads leave contoso.com -UAdministrator
adcli reset-computer --domain=domain.example.com host2

просто создать пользователя в samba

cоздание пользователя в системе без shell и домашней директории
sudo useradd -d /dev/null -s /dev/null username #где username - имя пользователя.
sudo smbpasswd -a username #добавляем пользователя username в samba
sudo smbpasswd -e username #активируем пользователя username в samba
sudo /etc/init.d/smbd restart

Расшариваем папку
nano /etc/samba/smb.conf

[backup]
path = /mnt/backup
valid users = username
guest ok = no
writable = yes
browsable = yes

ещё рецепт

создание пользователя
samba-tool user add "user_name"
делаем пользователя «безвременным», разблокировать пользователя:
samba-tool user setexpiry "user_name" —noexpiry
смена пароля пользователя
samba-tool user setpassword "user_name"
создание группы
samba-tool group add "group_name"
добавление созданного пользователя в группу
samba-tool group addmembers "group_name" "user_name"

можно и так:
smbpasswd -a USERNAME
smbpasswd -e USERNAME
groupadd sambashare
usermod -a -G sambashare ваше_имя_пользователя

http://wiki.lblss.ru/smbpasswd

Создание нового пользователя:
# smbpasswd -a User_name

Смена пароля у существующего пользователя:
# smbpasswd User_name

Удаление существующего пользователя:
# smbpasswd -x User_name

Приостановить действие учетной записи без удаления:
# smbpasswd -d User_name

Возобновить действие учетной записи:
# smbpasswd -e User_name

Подключение данного компьютера к существующему домену:
# smbpasswd -j Domain_name -U Administrator_name

smbpasswd в сценариях
Обычно команда smbpasswd работает интерактивно - выводит запросы и ожидает ответы. Однако, при помощи ключа -s (silent) можно подавить вывод запросов и читать ответы со стандартного ввода. Это позволит вызывать smbpasswd из скриптов. Ниже пара примеров на shell/bash, скрипт запускается от рута.

Добавить samba-пользователя:

(echo "$UserPassWord"; echo "$UserPassWord") | smbpasswd -s -a "$User_name"
Сменить пользовательский пароль:

(echo "$NewPassWord"; echo "$NewPassWord") | smbpasswd -s "$User_name"

https://www.sysadminwiki.ru/wiki/Linux_в_домене_Active_Directory
Все о Samba
Общие сведения о SAMBA
Samba как контроллер домена AD
Настройка Samba в качестве контроллера домена Active Directory
Присоединение контроллера домена Samba к существующему Active Directory
Превращаем Ubuntu Server в контроллер домена с помощью samba-tool
Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch
Аутентификация Samba в домене Windows
LDAP-репликация и Samba
Setting up Samba as an Active Directory Domain Controller
Руководство администратора OpenLDAP 2.4
Перекрестное опыление: управляем Linux из-под Windows, и наоборот

подборка сисадмина 2
подборка сисадмина видео

раскрыть тему

Сайты

Блоги

Статьи

Сайты

http://ru.manpages.org/
http://www.ciscolab.ru/
http://ciscomaster.ru/
https://nginxconfig.io/
https://technet.microsoft.com/ru-ru/
http://www.certification.ru/
http://nastroisam.ru/
http://winitpro.ru/
https://windowsnotes.ru/
http://www.vmgu.ru/
http://rsdn.org/
http://ab57.ru/
http://cmd4win.ru/
http://www.4its.ru/
http://zabrosov.ru/
http://www.f-notes.info/
http://system-administrators.info/
https://wiki.autosys.tk/doku.php
https://serveradmin.ru/
http://admin-vestnik.ru/
http://admin-gu.ru
http://www.adminia.ru/
http://freesource.info/wiki
http://it-inside.org/
http://mixed-spb.ru/
https://studylinux.ru/
http://www.zabrosov.ru/
http://wiki.dieg.info/
http://wiki.enchtex.info/
http://it-connection.ru/
https://litl-admin.ru/
https://habrahabr.ru/
https://xakep.ru/
http://www.linuxformat.ru/
https://codeby.net/
https://tproger.ru/
http://www.site-helper.ru/
http://www.oszone.net/
http://pyatilistnik.org/
http://rs232.net.ru
http://bog.pp.ru/map_full.html
http://ccienetlab.com/
http://www.script-coding.com/
https://academy.yandex.ru/

Блоги

http://uzverss.livejournal.com/tag
https://blogs.technet.microsoft.com/mark_russinovich/
http://gpo-planet.com/
http://itband.ru/
http://ixnfo.com/
http://eax.me/
http://olemskoi.ru/
https://debian.pro/
http://sysadminblog.ru/
http://www.vottak.info/
http://sonikelf.ru/
http://xaker-it.ru/
http://blogsisadmina.ru/
http://www.allwork.kiev.ua/
https://sergeysl.ru/
https://cdeblog.ru/
http://slusar.su/
http://fx-files.ru/
https://linkmeup.ru/
https://sysadminblog.ru/
https://andreyex.ru/
http://mikrotik-ukraine.blogspot.ru/
http://vladimir-stupin.blogspot.ru/
http://nosovdn-cisco.blogspot.ru/
http://prosto-seti.blogspot.ru/
https://yvoinov.blogspot.com/
https://bga68.livejournal.com/
https://interface31.ru/tech_it/index.html
https://vk.com/linuxbash
https://vk.com/sysodmins
https://vk.com/adminsclub
https://vk.com/yandex.academy

133 канала и чата в Telegram для программистов

Статьи

сеть

AD LDAP SAMBA GPO

https://ru.bmstu.wiki/Microsoft_Active_Directory

статьи по Active Directory
Samba, LDAP, Ввод Linux в домен
восстановление AD

Настраиваем и автоматизируем развёртывание Active Directory
RDS НА ОСНОВЕ СЕАНСОВ В WINDOWS SERVER 2012 R2
Настройка удаленных приложений RemoteApp в Windows Server 2008 R2
Как перенести рабочую активированную Windows 10 на другой компьютер с другим «железом»
Включаем дедупликацию в Windows 10
Команды ms-settings для быстрого доступа к настройкам Windows 10

Анализ реестра Windows
powershell команды управления виртуальными машинами
------------------------------------------------------------------------
Cтроим инфраструктуру на базе продуктов MS
Почему я люблю Microsoft. Заметки зомби
Строим инфраструктуру на базе продуктов MS
------------------------------------------------------------------------

Отсылка писем с адреса другого пользователя
Подключение общего ящика Exchange 2010
Как обнаружить, включить и отключить протоколы SMB версий 1, 2 и 3 в Windows и Windows Server

Перекрестное опыление: управляем Linux из-под Windows, и наоборот
Ввод Linux в домен (инструкция от Eset)
Устанавливаем ALDPro Astra Linux

1C подборка

Публикация базы данных 1С Предприятия на WEB сервере Apache
Инструкция по установке и настройке SQL Server и 1С
Как правильно настроить MS SQL сервер для работы с 1С
Резервное копирование 1С средствами MS SQL
Зеркалирование баз данных на MS SQL
Bacula: для тех кому надо по-быстрому и в картинках
Пошаговая инструкция обновления платформы 1С версии 8.3
Часто встречающиеся ошибки 1С и общие способы их решения
Установка PostgreSQL 10 для 1С:Предприятие на Debian / Ubuntu (сборка от 1С)
http://1c.postgrespro.ru/
Экономим на «винде». Как оптимизировать затраты на софт на примере бухгалтерии

безопасность

https://ru.wikibooks.org/wiki/Iptables
ufw - простой Firewall
ipfw Примеры из жизни
Создание и тестирование Firewall в Linux, Часть 2.2. Таблицы Firewall. Доступ к TCP\IP структурам

21 пример использования iptables для администраторов.
firewall-cmd настройка брадмаузера
изменение времени файлов, удаление истории посещения и команд в linux

------------------------------------------------------------------------
Запуск сторонних форматов в Linux или разбираемся с binfmt
Основы работы с фреймворком Radare
Используем Google для взлома: 6 приемов

Виртуальные Wi-Fi интерфейсы для одновременного использования Wi-Fi адаптера в разных режимах
перехвата трафика в Wi-Fi сети.
Тестирование на проникновение и усиление безопасности Вашей WiFi сети. Kali Linux⁠⁠
Wifi_Jammer: как глушить WiFi⁠⁠

Отслеживание Bluetooth-устройств: эксперимент и выводы

Как узнать с каких IP заходили на мой сервер через удаленный рабочий стол (RDP)?
Как узнать, какие USB устройства подключались к Linux
Аудит безопасности IP камер
Анализ и разбивка составных файлов (прошивки, образы дисков)

Как перехватить пароль SSH. Атака человек-посередине на SSH

Инструменты Kali Linux
Hashcat
Практические примеры использования Hashcat
Как в Linux взламывать пароли видеокартой и центральным процессором
------------------------------------------------------------------------

уязвимости

https://www.debian.org/security/
https://people.canonical.com/~ubuntu-security/cve/
https://cve.mitre.org/data/refs/refmap/source-DEBIAN.html
https://cve.mitre.org/data/refs/index.html
https://access.redhat.com/security/security-updates/#/cve
https://www.openwall.com/lists/oss-security/
CVE-2014-0196
Как попасть на дачу президента в пять часов утра
Как СОРМ сливает наши с вами данные всем желающим
Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах — «Хакер»

Клонируем бесконтактную карту с помощью мобильного приложения
Как украсть деньги с бесконтактной карты и Apple Pay
Мошенничество с картами с чипом по-бразильски

https://ru.wikipedia.org/wiki/AMD_Platform_Security_Processor
https://ru.wikipedia.org/wiki/Intel_Management_Engine
Безопасность прошивок на примере подсистемы Intel Management Engine
Intel ME. Как избежать восстания машин?

Анализ и разбивка составных файлов (прошивки, образы дисков)
Анализ вируса под Linux на Bash

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux

Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:

sudo sysctl kernel.unprivileged_userns_clone
cat /proc/sys/kernel/unprivileged_userns_clone

Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:
0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:

sudo sysctl -w kernel.unprivileged_userns_clone=0

Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:

Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку:

kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:

echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf
Перезагрузить параметры ядра, выполнив команду:

sudo sysctl --system

------------------------------------------------------------------------
Как принять участие в open source проекте Chromium
когда нету configure
Kali Linux в Windows
Insanity Framework. Взлом удаленного ПК с помошью PDF.
Как с помощью Linux сбросить пароль и получить права админа в Windows 7
Сброс пароля root (CentOS, Red Hat)
Скрытность в Linux. Заметаем следы
FAQ по восстановлению забытого пароля администратора в MySQL
Как взломать Telegram и WhatsApp: спецслужбы не нужны
Event Tracing for Windows на стороне зла. Но это не точно
DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения
Сейчас как заавтоматизирую Пишем скрипт который будет набирать пароли и команды за нас
Pexpect, терминалы и more ненависти
15 лучших и бесплатных инструментов компьютерного криминалиста
70+ бесплатных инструментов для компьютерной криминалистики (форензики)
uzverss Средства обеспечения безопасности в Linux
uzverss список доступных криптографических инструментов и децентрализованных сервисов.

------------------------------------------------------------------------
uzverss Как сделать простой веб-сайт за один час
Администрирование сообществ ВКонтакте
uzverss наиболее частые команды для коммутаторов
uzverss работа с сетевыми интерфейсами
------------------------------------------------------------------------

75 фактов, которые полезно знать перед тем, как выложить сайт
Опыт установки нейросети на домашний пк⁠⁠
http://torch.ch/docs/getting-started.html
Документы для фрилансеров

Файл дескриптор в Linux с примерами
Почему работать в консоли настолько приятно? Так задумано отцами-основателями Unix
Виртуальные твари и места их обитания: прошлое и настоящее TTY в Linux
Оболочка и терминал Unix — это одно и то же?
Hello, World! Глубокое погружение в Терминалы
Как Linux запускает процесс
Вперед в будущее: Wayland против X11
Назад к истокам: рулим компьютером прямо из MBR
Как работает хэширование
Схема распайки компьютерного порта COM - rs232, DE-9, DB-9, CANNON9
Виртуальный COM-порт на STM32 или как управлять контроллером через USB не привлекая внимания санитаров
Что означают флаги в / proc / cpuinfo?
Правильный выбор центрального процессора. Читаем прайс между строк
16-битная операционная система на коленках
Как написать и подключить драйвер звука
ЕРЕСЬ ЗВУКОЗАПИСИ (пособие по домашней звукозаписи и любительской звукорежиссуре)

подборка сисадмина 1
подборка сисадмина видео

раскрыть тему

Книги

Подборки

Переводы

Самоучители

Эмуляторы

Курсы

Видео

Программное обеспечение

Консоль

Вопросы, ответы, решения

Изображения

Игры

Разное

Сети для самых маленьких

Основы компьютерных сетей

Эмуляторы

http://www.dlink.ru/ru/arts/84.html
Эмуляторы интерфейса оборудования D-Link
http://tp-link.com.ua/support/tp-link-simulator/
http://demo.mt.lv/webfig/
https://vfsync.org/u/os/buildroot-x86
https://de0.tux.io/

Курсы

https://mva.microsoft.com/
http://www.specialist.ru/profession/microsoft-admin
http://www.specialist.ru/section/network-administration
Компьютерные сети
Основы сетей передачи данных

Основные протоколы интернет
Построение коммутируемых компьютерных сетей
IPv6 для профессионалов
НОУ «ИНТУИТ» Технопарк Mail.ru Group: Web-технологии
Администрирование почтовых серверов sendmail
Основы конфигурирования в системе "1С:Предприятие 8.0"
Основы разработки прикладных решений для 1С:Предприятие 8.1
https://github.com/ustu
Каналы передачи данных
Сетевое программирование
Основы Веб-программирования
Базы данных
ITVDN Курс SQL для начинающих - бесплатно! Давид Бояров
ITVDN Видео курс SQL Essential Давид Бояров
1000+ часов видео по Java на русском
Учебные курсы Кирилла Семаева
LPIC-1 exam-101 LPIC-1 exam-102
Андрей Созыкин Онлайн курс "Компьютерные сети"
coursera Нейронные сети и глубокое обучение
skillfactory Специалист по нейронным сетям
Видео лекций всего курса первой Школы разработки интерфейсов Яндекса
Презентации видеолекций

Видео

Программное обеспечение

Вместо бубна: огромная подборка инструментов сисадмина
Более чем 80 средств мониторинга системы Linux
Эмулятор большого провайдера
http://www.freshports.org/
http://www.chiark.greenend.org.uk/~sgtatham/putty/
https://launchpad.net/~llyzs/+archive/ubuntu/ppa
https://launchpad.net/~webupd8team/+archive/ubuntu/haguichi
Если не TeamViewer, то кот: почти два десятка аналогов популярного сервиса удалённого доступа
https://www.teamviewer.com/ru/
https://rustdesk.com/docs/en/
https://github.com/rustdesk/rustdesk-server
https://github.com/dchapyshev/aspia
https://null.la/
https://github.com/immense/Remotely
https://www.meshcommander.com/meshcentral2
http://www.uvnc.com/
http://www.tightvnc.com/
https://winscp.net/
https://www.wireshark.org/
https://nmap.org/
http://angryip.org/
http://3proxy.ru/
http://www.squid-cache.org/
http://wapmmc.codeplex.com/
https://www.gns3.com/software
https://www.virtualbox.org/
http://wtware.ru/
https://github.com/scarygliders/X11RDP-o-Matic
http://www.handybackup.ru/
http://helpme1c.ru/bekuper-1s-rezervnye-kopii-buxgalterii
http://www.webmin.com/
http://webacula.sourceforge.net/
https://hdd.by/victoria.html
Windows USB/DVD Download Tool
https://www.hirensbootcd.org/old-versions/
http://www.ultimatebootcd.com/
ERD Commander (Microsoft DaRT)
Windows Sysinternals
Disk2vhd
Cisco Network Assistant
http://www.clonezilla.org/
http://www.storelab-rc.ru/programs.htm
http://www.mhdd.ru/download.html
https://sourceforge.net/projects/processhacker/
https://www.hwinfo.com/
http://adminpe.ru/
https://www.gns3.com/
http://www.unetlab.com/download/index.html
https://sourceforge.net/projects/netdisco/
https://metacpan.org/pod/App::Netdisco
http://sleuthkit.org/autopsy/v2/
http://www.runtime.org/data-recovery-products.htm
http://www.cgsecurity.org/wiki/TestDisk_Download
http://www.cgsecurity.org/wiki/PhotoRec_RU
https://www.gnu.org/software/ddrescue/
https://sourceforge.net/projects/foremost/
http://rlab.ru/tools/rsaver.html
https://github.com/deemru/chromium-gost
https://www.cryptopro.ru/products/cpfox
http://www.cryptopro.ru/products/cades/plugin
Quintum Tenor Configuration Manager
https://standardnotes.org/
https://pexpect.readthedocs.io/en/stable/examples.html
Утилиты на PowerShell для системных администраторов
https://github.com/lazywinadmin/LazyWinAdmin_GUI
AI-Bolit
61 репозиторий для хакеров на Github
PentestBox — портативная сборка популярных security утилит

https://www.openshift.com/
https://www.heroku.com/pricing

https://github.com/255kb/stack-on-a-budget

http://matrix.org/

https://bitbucket.org/

https://live.sysinternals.com/
https://www.microfocus.com/en-us/products/vm-server-backup/overview
https://www.veeam.com/ru
https://www.manageengine.com/ru/desktop-central/
https://www.dameware.com/

Консоль

https://c9.io/
https://www.tutorialspoint.com/codingground.htm
https://www.tutorialspoint.com/unix_terminal_online.php
https://www.python.org/shell/
http://melpon.org/wandbox
http://ellcc.org/demo/index.cgi
https://httpie.org/run
http://http-prompt.com/

консольная подборка

Вопросы, ответы, решения

Public Route Servers and Looking Glass sites
https://social.technet.microsoft.com/Forums/ru-ru/home
http://hosting101.ru/more-providers.html
http://www.commandlinefu.com/commands/browse
http://www.shell-fu.org/lister.php?top
http://sysadmins.ru/
http://forum.ru-board.com/
https://codeby.net/forum/
http://forum.infostart.ru/forum86/
https://www.youtube.com/html5
http://html5test.com/
https://2ch.hk/s/
https://2ch.hk/pr/
https://2ch.hk/hw/

http://uzverss.livejournal.com/tag/сисадм
http://uzverss.livejournal.com/tag/cmd
http://uzverss.livejournal.com/tag/cisco
http://uzverss.livejournal.com/tag

Изображения

http://i.imgur.com/Xpok31V.png
http://risovach.ru/upload/2014/10/mem/muzhik-bleat_64813883_orig_.jpg
http://risovach.ru/upload/2014/01/mem/tyzhprogrammist_41224540_orig_.jpeg
http://s00.yaplakal.com/pics/pics_preview/5/3/9/569935.jpg
http://www.it-ep.ru/files/2012/08/23/small_c_za_edu.jpg
http://www.b-port.com/mediafiles/items/2013/07/110046/318038bf0cfd1e19b4ef1f686e44ad0c_XL.jpg
https://pbs.twimg.com/media/B54YxL2CcAA2ZRb.jpg

Игры

проверь, какой ты сисадмин
https://universe.openai.com/
https://screeps.com/
https://checkio.org/
http://www.codewars.com/?language=javascript
http://www.cyber-dojo.org/setup/show_exercises/?language=Javascript
https://codecombat.com/play
https://www.codingame.com/start
http://play.elevatorsaga.com/
https://screeps.com/
http://pencilcode.net/
https://alexnisnevich.github.io/untrusted/
http://www.hexinvaders.com/
http://flexboxfroggy.com/#ru
http://www.flexboxdefense.com/
http://www.dungeonsanddevelopers.com/
http://pixact.ly/
http://flukeout.github.io/
https://xss-game.appspot.com/

Разное

http://lurkmore.to/Админ
проверь, какой ты сисадмин
Если бы водителей нанимали по тем же критериям как и сисадминов...
Новогодний пост — БЕГИТЕ, глупцы!
https://web.archive.org/web/20150607094738/http://www.linux.org.ru/books/BOFH/
http://ithappens.me/
Кто на самом деле является администратором Windows?
https://another-it.ru/

Как то раз мы рассматривали настройку прокси squid для начинающих в среде Windows. Потом мы настраивали squid в «роутере из коробки» — pfSense. А сегодня мы покажем как создать мощный прокси сервер в Linux Debian. Зачем? Дело в том, что даже в pfSense мы не можем раскрыть всю мощь squid без бубна. Поэтому, если перед вами стоит задача сделать бескомпромиссный прокси сервер — Linux единственный вариант.
( Read more... )

http://macrodmin.ru/2012/07/proksi-squid-s-avtorizaciej-v-domene-active-directory
http://www.k-max.name/linux/squid-proxy-v-linux/
http://www.k-max.name/linux/squid-auth-kerberos-ldap-grupp-active-directory/

https://ru.bmstu.wiki/Squid
Установка Squid в Ubuntu 16.04
SQUID и NTLM-авторизация через Active Directory
CentOS 6 Squid Kerberos LDAP Active Directory Windows Server 2008 R2
Авторизация на SQUID через Active Directory

https://serveradmin.ru/nastroyka-proksi-servera-na-centos-7-squid-ad-sams2/ (ввод в домен)
https://docs.diladele.com/administrator_guide_6_4/active_directory/index.html

РЕД ОС Настройка автоматической авторизации доменных пользователей IPA в squid
Справка Kaspersky Настройка интеграции сервиса Squid с Active Directory
Настройка прокси сервера на CentOS 7 (squid+AD+sams2)
squid.conf по-русски

https://3proxy.ru/documents/
Настройка pfSense в качестве корпоративного Прокси Сервера
Настройка шлюза на базе Pfsense. Часть 1

установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть 1

полезные ссылки

https://wiki.squid-cache.org/SquidFaq/
Как создать и настроить прокси-сервер Squid
Прокси Squid с авторизацией в домене Active Directory
https://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
https://docs.diladele.com/administrator_guide_6_4/active_directory/index.html
https://serveradmin.ru/nastroyka-proksi-servera-na-centos-7-squid-ad-sams2/ (ввод в домен)
Ввод CentOS 7 в домен Active Directory и авторизация по SSH доменных пользователей
Настраиваем Squid для работы с Active Directory. Часть 1 - базовые настройки
Настраиваем Squid для работы с Active Directory. Часть 2 - Kerberos-аутентификация
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 5. Конфигурация Squid 3
Авторизация на SQUID через Active Directory
Настройка SquidGuard на CentOS 7
SQUID и Kerberos-авторизация через Active Directory
Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.
Как правильно сформировать keytab-файл с несколькими принципалами сервисов в среде Active Directory
https://wiki.rtzra.ru/software/squid/squid-active-directory
https://www.galkov.pro/install_squid_on_ubuntu/
https://kifarunix.com/install-and-configure-squid-proxy-on-centos-8/
https://www.altlinux.org/Squid/AD-auth
https://www.altlinux.org/Создание_SPN_и_Keytab_файла
Перевод комментариев к файлу конфигурации Squid (squid proxy)
Samba, LDAP, Ввод Linux в домен

https://doxfer.webmin.com/Webmin/Squid_Proxy_Server
http://break-people.ru/cmsmade/?page=unix_webmin_howto_squid
Squid на практике
Почти полный перечень параметров конфигурационного файла Squid 3
Небольшая шпаргалка по Squid

Перехват и просмотр HTTPS трафика на прокси-сервере Squid 4.9

Настройка Интернет шлюза на CentOS 7
Защищаем сервер на CentOS 7 с помощью firewalld и fail2ban

vpn pptp centos7
firewall-cmd настройка брадмаузера

антивирусы

http://www.eicar.org/anti_virus_test_file.htm
http://www.havp.org/
http://www.havp.org/havp-teamwork-with-other-proxys-e-g-squid/
http://squidclamav.darold.net/
https://github.com/darold/squidclamav
https://sourceforge.net/projects/squidclamav/
Настройка SquidClamAv
Установка HAVP в Ubuntu
CentOS 7 + Squid + SquidClamav
Squid + Dansguardian + c-icap + ClamAV на базе CentOS 7

http://bfilter.sourceforge.net/
http://adzapper.sourceforge.net/

Блокировка рекламы в браузерах
Мануал от RU AdList

https://adblockplus.org/ru/subscriptions

EasyList - https://easylist-downloads.adblockplus.org/easylist.txt
RU AdList - https://easylist-downloads.adblockplus.org/advblock.txt
RU AdList для uBlock Origin - https://easylist-downloads.adblockplus.org/advblock+cssfixes.txt
Adblock Warning Removal List - https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
Counters - https://easylist-downloads.adblockplus.org/cntblock.txt
BitBlock - https://easylist-downloads.adblockplus.org/bitblock.txt
https://easylist-downloads.adblockplus.org/ruadlist+easylist.txt

https://kb.adguard.com/ru/general/adguard-ad-filters
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://filters.adtidy.org/extension/ublock/filters/1.txt
https://filters.adtidy.org/extension/ublock/filters/2.txt

Анализаторы логов для Squid

Анализаторы логов для Squid
https://sourceforge.net/projects/sarg/
http://spohelp.ru/forums/17-gotovye-resheniya/topics/1250-sarg-centos-7/
http://lightsquid.sourceforge.net/
https://sourceforge.net/projects/screen-squid/
http://squidanalyzer.darold.net/index.html
http://samm.kiev.ua/sqstat/
https://github.com/lorf/sqstat
https://wiki.rtzra.ru/software/squid/squid-sqstat
https://github.com/alv1r/SqStat

https://wiki.squid-cache.org/SquidFaq/BinaryPackages#CentOS
yum install squid-helpers

squidview

wget http://www.rillion.net/squidview/squidview-0.86.tar.gz
# tar -xzvf squidview-0.86.tar.gz
# cd squidview-0.7x

before this, make sure you have all the package needed
# yum groupinstall "Development tools"
# yum install ncurses-static ncurses-devel

proceed to compile and install
# ./configure
# make
# cp Makefile.old Makefile
# make oldgcc
# make install

lighttpd+lightsquid

Как установить Lighttpd с PHP-FPM на CentOS 7
How to Install Lighttpd on CentOS 7
SQUID + lightsquid + lighttpd в Ubuntu
centos 7 squid AD LightSquid
Настройка lightsquid
https://www.sysadminwiki.ru/wiki/LightSquid

yum -y update
yum -y erase httpd nginx
yum -y install epel-release
yum -y update
yum groupinstall "Development Tools"
yum -y install perl-GD perl-CGI wget lighttpd lighttpd-fastcgi php-fpm php-mbstring

nano /etc/php-fpm.d/www.conf

systemctl start php-fpm
systemctl enable php-fpm

nano /etc/php.ini

nano /etc/lighttpd/conf.d/fastcgi.conf
найти server.modules += ( "mod_fastcgi" )
Добавьте следующие строки чуть ниже вышеуказанной строки:

nano /etc/lighttpd/modules.conf

проверка
nano /var/www/lighttpd/phpinfo.php
phpinfo();

systemctl restart php-fpm
systemctl restart lighttpd
http://your-IP-addr/phpinfo.php

systemctl start lighttpd
systemctl enable lighttpd
systemctl status lighttpd
mv /var/www/lighttpd /var/www/htdocs

wget -c -P $HOME/Downloads/ https://netcologne.dl.sourceforge.net/project/lightsquid/lightsquid/1.8/lightsquid-1.8.tgz
tar -zxvf $HOME/Downloads/lightsquid-1.8.tgz -C /var/www/html/; cd /var/www/html/
mv lightsquid-1.8/ lightsquid
cd lightsquid/
cp lightsquid.cfg lightsquid.cfg.asli
chown -R lighttpd:lighttpd /var/www/html/lightsquid
chmod -R 755 /var/www/html/lightsquid
chmod +x *.cgi
chmod +x *.pl
perl check-setup.pl
ln -s /var/www/html/lightsquid/ /var/www/lighttpd
systemctl restart lighttpd

Добавим обработку логов по крону раз в 30 минут (сегодняшних)
*/30 * * * * /var/www/html/lightsquid/lightparser.pl today

Cron Jobs — пособие для начинающих

запаролим доступ к статистике
https://redmine.lighttpd.net/projects/lighttpd/wiki/docs_modauth
Add A User to the Password File

sudo mkdir /etc/lighttpd/.htpasswd
nano hash.sh

chmod +x ./hash.sh

использование
./hash.sh 'username' 'myrealm' 'password'

добавить запись в /etc/lighttpd/lighttpd.conf командой

раскомментировать в файле /etc/lighttpd/modules.conf
"mod_auth",

systemctl restart lighttpd

Установка lightsquid на CentOS
Считаем Squid Proxy трафик через lightsquid
lightsquid.cfg

ошибки

Как установить Lighttpd на CentOS 7
systemctl status lighttpd

Loaded: loaded (/usr/lib/systemd/system/lighttpd.service; disabled; vendor preset: disabled)

откройте файл конфигурации /etc/lighttpd/lighttpd.conf и измените строку server.use-ipv6 с «enable» на disable.
systemctl restart lighttpd

http://repo.iotti.biz/
https://centos.pkgs.org/7/lux/lightsquid-apache-1.8-18.el7.lux.noarch.rpm.html

nginx+lightsquid

взаимодействие с CGI

sudo yum install spawn-fcgi fcgiwrap nginx

mkdir /etc/nginx/virt_host
nano /etc/nginx/virt_host/lightsquid.conf

ln -s /etc/nginx/virt_host/lightsquid.conf /etc/nginx/conf.d/

nano /etc/sysconfig/spawn-fcgi

systemctl enable --now nginx spawn-fcgi

Настройте Perl-FastCGI на сервере CentOS 7 Nginx
Centos 7 + ipcad + rsh статистика по траффику

Cron SARG

Настройка SaRG на базе Ubuntu Server
sudo nano /etc/sarg/sarg.conf
Вносим требуемые изменения:

language Russian_UTF-8
graphs yes
graph_days_bytes_bar_color orange
output_dir /var/www/squid-reports
charset UTF-8
Далее в конфиге ищем и комментируем строку:

#site_user_time_date_type table

sudo nano /etc/crontab

Вносим расписание:

00 08-18 * * * root sarg-reports today
00 22 * * * root sarg-reports daily
30 22 * * 0 root sarg-reports weekly
30 23 1 * * root sarg-reports monthly

Теперь крон настроен таким образом, что будет формировать отчеты каждый час в течении рабочего дня (с 8:00 до 18:00), в 22:00 генерируется полный отчет за сутки, по воскресеньям генерируется отчет за неделю и наконец 1го числа каждого месяца будет появляться отчет о пользовании интернетом за месяц.

Генерирование отчетов за день (если файла нет, то создаем):
sudo nano /etc/cron.daily/sarg
Вписываем эти строки (старые удаляем, на всякий случай сделайте бекап)

Крон отвечающий за генерирование отчетов за неделю:
sudo nano /etc/cron.weekly/sarg

Генерирование отчетов за месяц:
sudo nano /etc/cron.monthly/sarg

Установим свеженастроенным файлам права на выполнение:
chmod 755 /etc/cron.daily/sarg /etc/cron.weekly/sarg /etc/cron.monthly/sarg

Для запуска создания отчетов вручную используем следующие команды:

sudo sarg
sudo /etc/cron.daily/sarg
sudo /etc/cron.weekly/sarg
sudo /etc/cron.monthly/sarg

обратный прокси (доступ к ресурсу за nat)

nginx настраивается как тут добавляется файл server233_reverse.conf в /etc/nginx/virt_host, а символическая ссылка с него - в /etc/nginx/conf.d/

server {
    listen       8080 default_server;
    #listen       [::]:8080 default_server;
    listen       28080 default_server;
    #listen       [::]:28080 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

# Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

location / {
        proxy_pass http://172.16.0.233:8080;
    }

error_page 404 /404.html;
        location = /40x.html {
    }

error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

server {
    listen       8888 default_server;
    #listen       [::]:8888 default_server;
    listen       28888 default_server;
    #listen       [::]:28888 default_server;
    server_name  _;
    root         /usr/share/nginx/html;

# Load configuration files for the default server block.
    include /etc/nginx/default.d/*.conf;

location / {
        proxy_pass http://wiki.my.server; #  имя или адрес сервера
    }

error_page 404 /404.html;
        location = /40x.html {
    }

error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8888/tcp --permanent
sudo firewall-cmd --zone=external --add-port=28080/tcp --permanent
sudo firewall-cmd --zone=external --add-port=28888/tcp --permanent
sudo firewall-cmd --reload

появится доступ из внутренней сети по порту 8080, из наружной по порту 28080, к сайту на сервере 233, находящемся на порту 8080, с 8888 портом, на котором висит другой сайт - аналогично

Решение с помощью firewall-cmd

?
https://www.dmosk.ru/miniinstruktions.php?mini=router-centos
перенаправление сетевых запросов на сервер, стоящий за NAT и не имеющий прямого выхода во внешнюю сеть.

firewall-cmd --zone=external --permanent --add-forward-port=port=25:proto=tcp:toport=8025:toaddr=192.168.0.15

* где 25 — прослушиваемый внешний порт, для которого сработает перенаправление; tcp — используемый транспортный протокол; 8025 — на какой порт перенаправить запрос; 192.168.0.15 — IP-адрес сервера, на который отправляем запросы.

Разрешаем сам порт:
firewall-cmd --permanent --zone=external --add-port=25/tcp

Чтобы правило вступило в силу:
firewall-cmd --reload

Настройка firewalld CentOS 7 с примерами команд
Разрешить диапазон портов:
# firewall-cmd --zone=public --add-port=5059-5061/udp

Перенаправить входящие на 22 порт на другой хост:
# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.23

Перенаправить входящие на 22 порт на другой хост с изменением порта назначения (с 22 на 192.168.1.23:2055):
# firewall-cmd --zone=external /
--add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.23

https://www.linode.com/docs/security/firewalls/introduction-to-firewalld-on-centos/
Allow all IPv4 traffic from host 192.0.2.0.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.0.2.0 accept'

Deny IPv4 traffic over TCP from host 192.0.2.0 to port 22.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.0.2.0" port port=22 protocol=tcp reject'

Allow IPv4 traffic over TCP from host 192.0.2.0 to port 80, and forward it locally to port 6532.
sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=192.0.2.0 forward-port port=80 protocol=tcp to-port=6532'

Forward all IPv4 traffic on port 80 to port 8080 on host 198.51.100.0 (masquerade should be active on the zone).
sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=198.51.100.0'

To list your current Rich Rules in the public zone:
sudo firewall-cmd --zone=public --list-rich-rules

Как сделать простой веб-сайт за один час
http://nginx.org/en/docs/http/load_balancing.html

https://wiki.squid-cache.org/SquidFaq/ReverseProxy
Reverse proxy from nginx to squid?
Требуется связка: client <-> nginx <-> squid <-> site.
Обратный прокси от nginx до squid

Примеры редиректов в NGINX

СКРЫВАЕМ ЧАСТЬ РЕСУРСОВ IIS СРЕДСТВАМИ NGINX AS REVERSE PROXY (CENTOS 7)
Обратный прокси на Nginx
Проксирование запросов в nginx с помощью proxy_pass
Настройка бесплатного ssl сертификата Lets Encrypt

проксирование почты

https://docs.nginx.com/nginx/deployment-guides/load-balance-third-party/microsoft-exchange/
Настройка NGINX для проксирования почты

Пошаговая инструкция по настройке публикации почтовых серверов Exchange Server 2013/2016 с помощью IIS ARR
Настройка прокси сервера на CentOS

Публикация MS Exchange OWA через NGINX
Обратный прокси Nginx к Exchange 2010/2013
Nginx и Exchange ActiveSync
Deploying Exchange 2016 Behind NGINX Free
enoch85/outlook.conf
Reverse proxy для доступа к Outlook Web App (OWA) из интернета
https://pastebin.com/ZnmjR5hH
Configuring nginx reverse proxy for Exchange 2010

Postfix (антиспам+антивирус), как почтовый шлюз с Exchange
Postfix как пограничный relay для Exchange
Простейший relay на Postfix для Exchange Server
Postfix в качестве почтового шлюза организации
Установка почтового шлюза на Postfix для почтового сервера MS Exchange 2010.

Порты используемые Microsoft Exchange Server 2010
Exchange Network Port Reference
https://docs.microsoft.com/ru-ru/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019
https://docs.microsoft.com/ru-ru/exchange/network-ports-for-clients-and-mail-flow-in-exchange-2013-exchange-2013-help

server
{
    listen 80;
    server_name owa.example.com;
    return 301 https://$host$request_uri;
}

server
{
    tcp_nodelay on;
    listen 443;
    
    # Обязательно включить SSL
    ssl on;
    
    ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
    ssl_session_timeout 5m;
    server_name owa.example.com;;

location / {
            return 301 https://Local_Address;
    }

proxy_http_version      1.1;
    proxy_read_timeout      360;
    proxy_pass_header       Date;
    proxy_pass_header       Server;
    proxy_pass_header       Authorization;
    proxy_set_header        Host $host;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass_request_headers on;
    #more_set_input_headers 'Authorization: $http_authorization';
    proxy_set_header Accept-Encoding "";
    #more_set_headers -s 401 'WWW-Authenticate: Basic realm="Local_Address"';
    proxy_buffering off;
    proxy_set_header Connection "Keep-Alive";
    location ~* ^/owa { proxy_pass https://172.16.0.117; }
    location ~* ^/Microsoft-Server-ActiveSync { proxy_pass https://Local_Address; }
    location ~* ^/ecp { proxy_pass https://Local_Address; }
    location ~* ^/rpc { proxy_pass https://Local_Address; }
    #location ~* ^/mapi { proxy_pass https://Local_Address; }
    #location ~* ^/ews { proxy_pass https://Local_Address; }
    #location ~* ^/autodiscover { proxy_pass https://Local_Address; }

#    error_log /var/log/nginx/owa-ssl-error.log;
#    access_log /var/log/nginx/owa-ssl-access.log;
}

https://www.hoelzle.net/nginx-als-reverse-proxy-fuer-exchange-201020132016/
nano /etc/nginx/nginx.conf
client_max_body_size 2000M;

Для части
more_set_input_headers 'Authorization: $http_authorization';
proxy_set_header Accept-Encoding "";
more_set_headers -s 401 'WWW-Authenticate: Basic realm="exch2016.test.local"';
требуется расширение nginx - модуль headers-more-nginx

cat /var/log/nginx/error.log
unknown directive "more_set_input_headers" in /etc/nginx/conf.d/reverse...

https://blog.friedlandreas.net/2018/10/nginx-unknown-directive-more_set_input_headers/
include /etc/nginx/modules-enabled/*.conf;

nginx -V

https://nginx.org/ru/linux_packages.html

Installing NGINX Plus
https://docs.nginx.com/nginx/admin-guide/installing-nginx/installing-nginx-plus/
sudo wget -P /etc/yum.repos.d https://cs.nginx.com/static/files/nginx-plus-7.4.repo
sudo yum install nginx-plus
yum install nginx-plus-module-headers-more

??? сторонний репозиторий
https://www.getpagespeed.com/redhat
https://pkgs.org/search/?q=nginx-module-headers-more
Install GetPageSpeed repository:
# yum install https://extras.getpagespeed.com/release-el7-latest.rpm
Install nginx-module-headers-more rpm package:
# yum install nginx-module-headers-more

https://nginx.org/ru/docs/http/ngx_http_proxy_module.html

Настройка HTTPS-серверов
How To Create a Self-Signed SSL Certificate for Nginx on CentOS 7
How to setup Let's Encrypt for Nginx on Ubuntu 18.04 (including IPv6, HTTP/2 and A+ SLL rating)
Как настроить Nginx для использования самоподписанного сертификата SSL / TLS в Ubuntu 18.04 VPS или на выделенном сервере
Как создать самоподписанный сертификат SSL для Ngin

mkdir /etc/ssl/private/
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

https://www.zipofar.ru/doku.php?id=reverse_proxy_for_owa
Самый важный пункт при создании сертификата - Common Name. В это поле надо внести доменное имя, ассоциированное с вашим доменом или более предпочтительно IP адрес сервера (этого сервера) на котором собственно и будет установлен сертификат.

Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Moscow
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyOrganization
Organizational Unit Name (eg, section) []:MyOrganization
Common Name (e.g. server FQDN or YOUR name) []:server_IP_address or domain_name
Email Address []:admin@your_domain.com

разное

Squid и Whatsapp

Работа мессанджера Whatsapp через прокси-сервер Squid
Чтобы решить данную проблему нужно чтобы Squid не пытался посмотреть HTTPS трафик в направлении whatsapp адресов, а просто выполнял соединение.

Для этого создадим файл (прим. /etc/squid/sites_webwhatsapp.txt) в котором укажем для каких сайтов не предпринимать никаких действий:

В конфигурационном файле (/etc/squid/squid.conf) указываем следующие параметры:

ВАЖНО. Обращаю внимание что действие splice должно быть до каких либо действий с HTTPS трафиком.

Steam
https://www.linode.com/docs/game-servers/install-steamcmd-for-a-steam-game-server/
http://wiki.abcvg.com/wiki/SteamCMD
steam_on.sh

sed -i "s/forums.steampowered.com/#forums.steampowered.com/g" /var/squidGuard/BL/forum/domains
sed -i "s/store.steampowered.com/#store.steampowered.com/g" /var/squidGuard/BL/shopping/domains
sed -i "s/steampowered.com/#steampowered.com/g" /var/squidGuard/BL/hobby/games-misc/domains
sed -i "s/steamcommunity.com/#steamcommunity.com/g" /var/squidGuard/BL/hobby/games-misc/domains
##
sed -i "s/bbc1live-f.akamaihd.net/#bbc1live-f.akamaihd.net/g" /var/squidGuard/BL/webtv/domains 
sed -i "s/cuatro1-vh.akamaihd.net/#cuatro1-vh.akamaihd.net/g" /var/squidGuard/BL/webtv/domains
sed -i "s/livestream-f.akamaihd.net/#livestream-f.akamaihd.net/g" /var/squidGuard/BL/webtv/domains
sed -i "s/plus-f.akamaihd.net/#plus-f.akamaihd.net/g" /var/squidGuard/BL/webtv/domains
##
sed -i "s/fbcdn-video-a-a.akamaihd.net/#fbcdn-video-a-a.akamaihd.net/g" /var/squidGuard/BL/movies/domains
sed -i "s/fbcdn-video-b-a.akamaihd.net/#fbcdn-video-b-a.akamaihd.net/g" /var/squidGuard/BL/movies/domains
sed -i "s/fbcdn-video-j-a.akamaihd.net/#fbcdn-video-j-a.akamaihd.net/g" /var/squidGuard/BL/movies/domains
sed -i "s/fbcdn-video-k-a.akamaihd.net/#fbcdn-video-k-a.akamaihd.net/g" /var/squidGuard/BL/movies/domains
sed -i "s/fbcdn-video-l-a.akamaihd.net/#fbcdn-video-l-a.akamaihd.net/g" /var/squidGuard/BL/movies/domains
##
sed -i "s/zynga1-a.akamaihd.net/#zynga1-a.akamaihd.net/g" /var/squidGuard/BL/hobby/games-online/domains
sed -i "s/zynga2-a.akamaihd.net/#zynga2-a.akamaihd.net/g" /var/squidGuard/BL/hobby/games-online/domains
sed -i "s/zynga3-a.akamaihd.net/#zynga3-a.akamaihd.net/g" /var/squidGuard/BL/hobby/games-online/domains
sed -i "s/zynga4-a.akamaihd.net/#zynga4-a.akamaihd.net/g" /var/squidGuard/BL/hobby/games-online/domains
##
sed -i "s/fbcdn-creative-a.akamaihd.net/#fbcdn-creative-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-dragon-a.akamaihd.net/#fbcdn-dragon-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-profile-a.akamaihd.net/#fbcdn-profile-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-a-a.akamaihd.net/#fbcdn-sphotos-a-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-b-a.akamaihd.net/#fbcdn-sphotos-b-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-c-a.akamaihd.net/#fbcdn-sphotos-c-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-d-a.akamaihd.net/#fbcdn-sphotos-d-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-e-a.akamaihd.net/#fbcdn-sphotos-e-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-f-a.akamaihd.net/#fbcdn-sphotos-f-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-g-a.akamaihd.net/#fbcdn-sphotos-g-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-sphotos-h-a.akamaihd.net/#fbcdn-sphotos-h-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbcdn-vthumb-a.akamaihd.net/#fbcdn-vthumb-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbexternal-a.akamaihd.net/#fbexternal-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
sed -i "s/fbstatic-a.akamaihd.net/#fbstatic-a.akamaihd.net/g" /var/squidGuard/BL/socialnet/domains
##
sed -i "s|zynga3-a.akamaihd.net/crossdomain.xml|#zynga3-a.akamaihd.net/crossdomain.xml|g" /var/squidGuard/BL/hobby/games-online/urls
sed -i "s|rvzr-a.akamaihd.net/sd/apps/adinfo-1.0/|#rvzr-a.akamaihd.net/sd/apps/adinfo-1.0/|g" /var/squidGuard/BL/adv/urls 
##
squidGuard -b -d -C all
systemctl restart squid

коротко об systemd

Просмотреть список всех активных юнитов
$ systemctl list-units

Покажет любой юнит, который система загрузила или попыталась загрузить, независимо от текущего состояния в системе
$ systemctl list-units --all

неактивные юниты:
$ systemctl list-units --all --state=inactive

Посмотреть только активные юниты служб:
$ systemctl list-units --type=service

Вывод списка всех файлов юнитов
$ systemctl list-unit-files

Посмотреть только юниты, добавленные в автозагрузку:
$ systemctl list-unit-files | grep enabled

Проверить, включен ли юнит в автозапуск при загрузке системы:
$ systemctl is-enabled юнит

Проверить, активен ли данный юнит:
$ systemctl is-active юнит

изменение времени файлов, удаление истории посещения и команд в linux

Долгое Подключение по SSH
nano /etc/ssh/sshd_config
UseDNS no
service sshd restart

мониторить сеть
yum tcpdump install iptraf iftop nload trafshow bmon bwm-ng nethogs trafshow
tcpdump -i enp3s0 -vv

обновить политики SELinux
yum update -y selinux-policy*

ошибки

после обновления:
wbinfo -t
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the trust secret for domain (null) via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret
то
systemctl restart winbind

если есть lotus
firewall-cmd --zone=public --add-port=1352/tcp --permanent
firewall-cmd --reload
https://igoldobin.wordpress.com/2016/10/20/установка-ibm-domino-на-linux/

установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть2

установка и настройка

https://unixwall.000webhostapp.com/настраиваем-squid-sams-для-работы-в-ad/
https://www.dmosk.ru/miniinstruktions.php?mini=sams2-squid
yum update
yum install mc htop ncdu wget curl nano nmap
yum install openssh-server
chkconfig --level 2345 sshd on
systemctl reload sshd.service
nano /etc/yum.conf
yum install epel-release
yum update
yum repolist
yum install yum-utils
yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
curl -O http://rpms.remirepo.net/enterprise/remi-release-7.rpm
rpm -Uvh remi-release-7.rpm

nano /etc/squid/squid.conf
squid -k parse
squid -k reconfigure
service squid restart

yum install php php-mysql php-mbstring php-devel php-xml php-gd php-mcrypt
yum install -y mariadb mariadb-server mariadb-devel
yum install zip unzip

cd /root
wget https://github.com/PavelVinogradov/sams2/archive/master.zip
unzip master.zip
cd /root/sams2-master
make -f Makefile.cvs
sh ./configure
make
make install

find / -name httpd.conf

chown apache:apache /var/www
chown -R apache:apache /usr/local/share/sams2/
chown -R apache:apache /usr/local/etc/sams2.conf
chmod -R 777 /usr/local/share/sams2/
systemctl restart httpd
Web-интерфейс SAMS требует права на запись в каталог ./data
setenforce 0
установка dokuwiki centos php nginx

посмотреть конфиг без комментариев
sudo grep -v «^#» /etc/squid/squid.conf | sed -e ‘/^$/d’

nano /etc/squid/squid.conf
squid -k check
squid -k parse
squid -k reconfigure
systemctl restart squid

failed to open /var/run/squid.pid: (2) No such file or directory
sudo killall -9 squid
systemctl start squid

Explicit Proxy c авторизацией по AD Group + Interception Proxy с авторизацией по MAC
Удалим полученный ticket, который мы получили от сервера Kerberos
kdestroy

«Авторизация администратора SAMS » и ввести учетные данные по-умолчанию: пользователь admin , пароль qwerty

https://meliorem.ru/category/backend/mysql/
https://tproger.ru/translations/sql-recap/

mysql -usams2user -psams2password
SHOW DATABASES;
USE sams2db;
SHOW TABLES;
SELECT * FROM sgroup;
DELETE FROM sgroup WHERE s_group_id IN (8,9,10,11,12);
DELETE FROM sgroup WHERE s_group_id BETWEEN 10 and 248;
DELETE FROM shablon WHERE s_shablon_id BETWEEN 4 AND 246 AND s_shablon_id <> 8;
show processlist;

элементы и опции squid

http://www.bog.pp.ru/work/squid.html
http://rus-linux.net/MyLDP/FAQ/SQUID-FAQ/FAQ-10.html
Установка и настройка SQUID
Элементы ACL

src: IP-адрес источника (клиент)

dst: IP-адрес назначения (сервер)

myip: локальный IP-адрес клиентского соединения

srcdomain: имя домена источника (клиент)

dstdomain: имя домена назначения (сервер)

srcdom_regex: шаблон регулярного выражения источника (клиент)

dstdom_regex: шаблон регулярного выражения назначения (сервер)

time: время дня и день недели

url_regex: шаблон регулярного выражения для URL

urlpath_regex: шаблон регулярного выражения для части URL, исключая протокол и имя хоста

port: номер порта назначения (сервер)

myport: номер локального порта, куда подключается клиент

proto: тип протокола передачи (http, ftp, etc)

method: метод HTTP-запроса (get, post, etc)

browser: шаблон регулярного выражения, совпадающего с заголовком user-agent из запроса

ident: строка совпадения с именем пользователя

ident_regex: шаблон регулярного выражения имени пользователя

src_as: номер Автономной Системы источника (клиент)

dst_as: номер Автономной Системы назначения (сервер)

proxy_auth: аутентификация пользователя через внешний процесс

proxy_auth_regex: регулярное выражение аутентификации пользователя через внешний процесс

snmp_community: строка SNMP-сообщества

maxconn: ограничение максимального кол-ва соединений с одного клиентского IP-адреса

req_mime_type: шаблон регулярного выражения для заголовка content-type запроса

arp: Ethernet (MAC)-адрес

Списки доступа
Существуют следующие типы списков доступа:

http_access: разрешает доступ HTTP-клиентам (броузерам) к порту HTTP. Это основной тип списка контроля доступа.

icp_access: разрешает братским кешам опрашивать ваш кеш по ICP.

miss_access: разрешает определенным клиентам передавать cache misses через ваш кеш.

no_cache: объявляет ответы, которые не должны кешироваться.

redirector_access: контролирует, какие запросы должны пройти через процесс редиректора.

ident_lookup_access: контролирует, какие запросы требуют Ident lookup.

always_direct: контролирует, какие запросы всегда должны посылаться напрямую к серверу назначения.

never_direct: контролирует, какие запросы никогда не должны посылаться напрямую к серверу назначения.

snmp_access: контролирует доступ клиентов к кешу по SNMP.

broken_posts: определяет запросы, для которых squid добавляет дополнительный CRLF после тел сообщений POST как того требуют некоторые неверно работающие сервера.

cache_peer_access: контролирует, какие запросы должны быть переданы соседскому кешу (peer).

https://wiki.yola.ru/squid/squid
Выпуск трафика с разных IP-адресов

acl net1 src 10.1.1.0/24
acl net2 src 10.1.2.0/24
acl net3 src 10.1.3.1/32
tcp_outgoing_address ВНЕШНИЙ_IP_1 net1
tcp_outgoing_address ВНЕШНИЙ_IP_2 net2
tcp_outgoing_address ВНЕШНИЙ_IP_3 net3
tcp_outgoing_address ВНЕШНИЙ_IP_4

firewall-cmd

Создание мультизональных конфигураций межсетевого экрана с помощью Firewalld
Firewalld, установка и настройка, зоны, NAT, проброс портов
Использование ipset во встроенном брандмауэре CentOS 7
vpn pptp centos7

netstat -tulpn

firewall-cmd --zone=public --remove-port=443/tcp --permanent
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --remove-port=22/tcp --permanent
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent

firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent
firewall-cmd --zone=public --add-port=3128/tcp --permanent

firewall-cmd --reload
firewall-cmd --zone=public --list-ports
firewall-cmd --zone=public --list-services

firewall-cmd --zone=external --list-ports
firewall-cmd --zone=external --list-services

firewall-cmd --zone=external --change-interface=enp3s0 --permanent
firewall-cmd --zone=external --remove-service=ssh --permanent
firewall-cmd --get-active-zones

firewall-cmd --zone=external --list-services
firewall-cmd --list-all
firewall-cmd --get-services
systemctl restart firewalld

http://fliplinux.com/ip-cen.html
«белый список»
firewall-cmd --permanent --zone=public --add-source=192.168.100.0/24
firewall-cmd --permanent --zone=public --add-source=192.168.222.123/32

firewall-cmd --permanent --new-ipset=IP-users --type=hash:net
firewall-cmd --ipset=IP-servers --add-entry=192.168.0.0/24 --permanent
firewall-cmd --ipset=IP-servers --add-entry=192.168.200.12 --permanent
firewall-cmd --ipset=IP-servers --add-entry=192.168.200.200 --permanent

firewall-cmd --ipset=IP-servers --remove-entry=192.168.20.0/24 --permanent

firewall-cmd --ipset=IP-servers --get-entries
firewall-cmd --permanent --zone=public --add-rich-rule='rule source ipset="IP-servers" service name="ssh" accept'

firewall-cmd --remove-rich-rule='rule source ipset=IP-users service name="http" drop' --permanent

firewall-cmd --permanent --zone=public --list-rich-rules

чтобы все пользователи (список ipset IP-users) ходили через squid несмотря на net.ipv4.ip_forward=1
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o enp1s0 -m set --match-set IP-servers src -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp1s0 -o enp3s0 -m set --match-set IP-servers src -j ACCEPT

firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o enp1s0 -j DROP
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i enp1s0 -o enp3s0 -j DROP

открыть Google Play
firewall-cmd --zone=public --add-port=5228/tcp --permanent
firewall-cmd --zone=external --add-port=5228/tcp --permanent

firewall-cmd --reload
systemctl restart firewalld

iptables -S

cat /etc/firewalld/direct.xml

рабочий вариант

https://wiki.archlinux.org/index.php/Active_Directory_Integration_(Русский)

/etc/sysconfig/network-scripts/
во внутренней сетевой карте не указываем GATEWAY (шлюзом будет внешняя карта)

nano /etc/NetworkManager/NetworkManager.conf
[main]
dns=none
#plugins=ifcfg-rh,ibft

nano /etc/resolv.conf
# Generated by NetworkManager
search domain.office.local
nameserver 172.16.0.1 # (dns внутренней карты)
nameserver 172.16.0.3
nameserver xxx.xxx.xxx.xxx (dns с внешней сетевой карты напр с enp3s0)

systemctl restart NetworkManager.service
nslookup serv1.domain.office.local

yum -y install squid - установка squid
systemctl start squid - запустить
systemctl enable squid - вкл авто запуск
squid -z - создаем структуру папок под кэш следующей командой

/etc/krb5.conf

ещё вариант krb5.conf

http://xgu.ru/wiki/Squid,_Kerberos_и_LDAP

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[realms]
DOMAIN.OFFICE.LOCAL = {
  kdc = serv1.domain.office.local
  kdc = serv2.domain.office.local
  admin_server = serv1.domain.office.local
 }

[domain_realm]
	.domain.office.local = DOMAIN.OFFICE.LOCAL
	domain.office.local = DOMAIN.OFFICE.LOCAL

[appdefaults]
pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
}

[login]
 krb4_convert = true
 krb4_get_tickets = false

realm discover domain.office.local
Получаем тикет пользователя, имеющего права администратора домена.
kinit -V Administrator@DOMAIN.OFFICE.LOCAL
вводим в домен
realm join -U adminuser domain.office.local # adminuser - администратор в AD

в командной строке на контроллере домена создаём файл ключа
ktpass -princ HTTP/myproxy123.domain.office.local@DOMAIN.OFFICE.LOCAL -mapuser DOMAIN\squid -pass "password123" -ptype KRB5_NT_SRV_HST -out C:\myproxy123.keytab

https://docs.microsoft.com/ru-ru/windows-server/administration/windows-commands/ktpass
- KRB5_NT_PRINCIPAL является общим типом участника (рекомендуется).
- KRB5_NT_SRV_INST является экземпляром службы пользователя.
- KRB5_NT_SRV_HST является экземпляром службы узла

net ads keytab flush - очистить кейтаб
net ads keytab create - создать кейтаб
net ads keytab add HTTP - добавим принципал HTTP для прокси или веб сервера
net ads keytab list - посмотрим что получилось

kdestroy - очистим все прошлые попытки логона.
kinit -V -k -t /etc/krb5.keytab HTTP/sq.mydomain.name@MYDOMAIN.NAME

копируем в /etc/myproxy123.keytab и проверяем
kinit -V -k -t /etc/myproxy123 HTTP/myproxy123.domain.office.local@DOMAIN.OFFICE.LOCAL

выставляем права
chown squid:squid /etc/myproxy123.keytab
chmod u+rwx,g+rx /etc/myproxy123.keytab

если забыл пароль пользователя, то можно проверить так:
Есть ли аналог SU для Windows

Для локального аккаунта
runas /profile /user:computernamehere\username cmd
Для учетной записи домена
runas /profile /user:domainname\username cmd
runas /profile /user:username@domainname cmd

проверка

wbinfo -t
wbinfo -g
wbinfo -u

/usr/lib64/squid/basic_ldap_auth -b 'dc=domain,dc=office,dc=local'

getent passwd
getent group
net ads info
net ads lookup
net ads status -U administrator | less
klist -k /etc/krb5.keytab

Удалим полученный билет командой:
kdestroy

echo test1234 inet-users | /usr/lib64/squid/ext_wbinfo_group_acl
OK
id test1234
uid=16777893(test1234) gid=16777216(пользователи домена) группы=16777216(пользователи домена),...,16777248(inet-users),...

/usr/bin/ntlm_auth --username=test1234
Password:
NT_STATUS_OK: The operation completed successfully. (0x0)

проверка ext_kerberos_ldap_group_acl
/usr/lib64/squid/ext_kerberos_ldap_group_acl -a -d -i -g InetUsers -D DOMAIN.OFFICE.LOCAL
/usr/lib64/squid/ext_kerberos_ldap_group_acl -d -a -i -g InetUsers@DOMAIN.OFFICE.LOCAL -D DOMAIN.OFFICE.LOCAL

ошибка
kerberos_ldap_group: ERROR: Error while starting keytab scan : Key table file '/etc/krb5.keytab' not found
лечение
ln -s /etc/myproxy123.keytab /etc/krb5.keytab

Для автоматической аутентификации через Squid, необходимо внести следующие изменения - добавляем в файл /etc/sysconfig/squid строки
KRB5_KTNAME=/etc/myproxy123.keytab
export KRB5_KTNAME
и отключаем replay-кэш (для снижения нагрузок)
KRB5RCACHETYPE=none
export KRB5RCACHETYPE

/etc/sysconfig/squid

добавить в /etc/squid/squid.conf

positive_dns_ttl 4 hours #жизнь успешных dns запросов
negative_dns_ttl 10 minutes #жизнь ошибочных dns запросов

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/myproxy123.domain.office.local@DOMAIN.OFFICE.LOCAL
auth_param negotiate children 20 # startup=0 idle=1
auth_param negotiate keep_alive on

external_acl_type AD_Group ipv4 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
authenticate_ttl 4 hour
.....
acl Inet-Users external AD_Group inet-users # inet-users - группа в AD
.....
acl url_filtred1 src 172.16.10.1-172.16.10.255
acl url_filtred2 src 172.16.11.1-172.16.11.255
#acl BlackList dstdomain "/etc/squid/BlackList.txt"
acl BlackList1 dstdomain "/etc/squid/BlackList1.txt"
acl BlackList2 dstdomain "/etc/squid/BlackList2.txt"
.....

#########################################
# Правила ограничений доступа клиентов #
#########################################
# Запретить доступ к портам, отсутствующим в списке выше
http_access deny !Safe_ports
# Запретить метод CONNECT не на SSL-порт
http_access deny CONNECT !SSL_ports
# Блокировать запрещенные сайты
#http_access deny BlackList
http_access deny BlackList1 url_filtred1
http_access deny BlackList2 url_filtred2
#########################################
.....
http_access allow Inet-Users
.....

ext_kerberos_ldap_group_acl тоже работает, но нужно поставить параметр ipv4

Настройка squid или как не купить платное решение
children — максимальное количество процессов доступные для запуска, startup количество процессов которые запущены всегда, idle максимальная очередь к помощнику при превышении указанного числа будет запускаться новый процесс помощника.

squid -k check
squid -k parse
squid -k reconfigure
systemctl restart squid

failed to open /var/run/squid.pid: (2) No such file or directory
sudo killall -9 squid
systemctl start squid

ошибки и логи
1. access.log - для записи запросов клиентов;
2. store.log - для записи действий с кэшем;
3. cache.log - для записи ошибок возникающих при работе с Squid.

tail -f /var/log/squid/cache.log
tail -f /var/log/squid/access.log

Чистим кэш Squid
grep cache_dir /etc/squid/squid.conf
service squid stop
rm -r /var/spool/squid/*
squid -z
service squid start

/etc/sysctl.conf

net.ipv4.ip_forward=0 - иначе можно будет ходить мимо squid (прописать роутинг и выставить "без прокси")

sudo sysctl -p
sudo sysctl --system

На клиентских машинах адрес прокси сервера должен быть указан в FQDN-формате (myproxy123.domain.office.local)

squidGuard

http://squidguard.mesd.k12.or.us/
https://itzx.ru/linux/install-squidguard-db4-from-source

/etc/squid/squid.conf

positive_dns_ttl 4 hours #жизнь успешных dns запросов
negative_dns_ttl 10 minutes #жизнь ошибочных dns запросов

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/proxy123.domain.office.local@DOMAIN.OFFICE.LOCAL
#auth_param negotiate children 20 # startup=0 idle=1
#auth_param negotiate children 5 startup=0 idle=1
auth_param negotiate children 20 startup=10 idle=10
auth_param negotiate keep_alive on

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN.OFFICE.LOCAL
auth_param ntlm children 20
auth_param ntlm keep_alive off

external_acl_type kerberos_ldap_group1 ttl=300 negative_ttl=60 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g "Internet Users" -D DOMAIN.OFFICE.LOCAL
external_acl_type squid_users_from_ad_ntlm %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl -d
#external_acl_type AD_Group ipv4 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
authenticate_ttl 4 hour

.....
#acl Inet-Users external AD_Group inet-users # inet-users - группа в AD
acl group1 external kerberos_ldap_group1
acl squid_users_acl_ntlm external squid_users_from_ad_ntlm "Internet Users"
.....
acl admin src 172.16.22.22
acl server src 172.16.1.0/24
acl kassa src 172.16.11.0/24
.....

# squidGuard 
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
.....

#########################################
# Правила ограничений доступа клиентов #
#########################################
# Запретить доступ к портам, отсутствующим в списке выше
http_access deny !Safe_ports
# Запретить метод CONNECT не на SSL-порт
http_access deny CONNECT !SSL_ports
#########################################
.....
http_access allow admin
http_access allow server
http_access allow kassa
.....
#http_access allow Inet-Users
http_access allow group1
http_access allow squid_users_acl_ntlm

.....
cache_dir ufs /var/spool/squid 4096 32 256
.....

проверка работы прокси на admin server и kassa
curl --proxy 172.16.0.123:3128 check-host.net/ip

$ export http_proxy="http://ЛОГИН:ПАРОЛЬ@ПРОКСИ_СЕРВЕР:ПОРТ"
$ export https_proxy="https://ЛОГИН:ПАРОЛЬ@ПРОКСИ_СЕРВЕР:ПОРТ"
$ export ftp_proxy="http://ЛОГИН:ПАРОЛЬ@ПРОКСИ_СЕРВЕР:ПОРТ"
Если прокси без авторизации, то строки должны быть вида:
$ export <бла-бла>_proxy="http://ПРОКСИ_СЕРВЕР:ПОРТ"

$ export {http,https,ftp}_proxy="http://ПРОКСИ_СЕРВЕР:ПОРТ"
$ unset {http,https,ftp}_proxy

для отключения прокси:
$ unset http_proxy
$ unset https_proxy
$ unset ftp_proxy

nano /etc/environment
https_proxy="https://user:pass@proxy:port/"
http_proxy="http://user:pass@proxy:port/"
ftp_proxy="ftp://user:pass@proxy:port/"
socks_proxy="socks://user:pass@proxy:port/"
no_proxy="localhost,127.0.0.1,::1,*.my.lan
Если прокси без авторизации, то строки должны быть вида:
<бла-бла>_proxy="https://proxy:port/"

yum install squidGuard

nano /etc/squid/squidGuard.conf

dbhome /var/squidGuard/BL/
logdir /var/log/squidGuard/

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
#
#time workhours {
#       weekly mtwhf 08:00 - 16:30
#       date *-*-01  08:00 - 16:30
#}

# SOURCE ADDRESSES:
#src bigboss {
#  ip 192.168.1.100 #Компьютер директора
#  ip 192.168.1.101 #Компьютер зама
#}
#src admin {
#  ip 192.168.1.7 #Мой компьютер
#}
# DESTINATION CLASSES:

dest deny {
  domainlist manual/domains
  urllist manual/urls
}

dest adv {
  domainlist adv/domains
  urllist adv/urls
#  log adv
}

dest costtraps {
  domainlist costtraps/domains
  urllist costtraps/urls
# log costtraps
}

dest drugs {
  domainlist drugs/domains
  urllist drugs/urls
# log drugs
}

dest fortunetelling {
  domainlist fortunetelling/domains
  urllist fortunetelling/urls
#  log fortunetelling
}

dest gamble {
  domainlist gamble/domains
  urllist gamble/urls
  log gamble
}

dest hacking {
  domainlist hacking/domains
  urllist hacking/urls
  log hacking
}

dest porn {
  domainlist porn/domains
  urllist porn/urls
  log porn
}

dest redirector {
  domainlist redirector/domains
  urllist redirector/urls
#  log redirector
}

#dest sex {
#  domainlist sex/domains
#  urllist sex/urls
#  log sex
#}

dest sexeducation {
  domainlist sex/education/domains
  urllist sex/education/urls
  log sexaccess
}

dest sexlingerie {
  domainlist sex/lingerie/domains
  urllist sex/lingerie/urls
  log sexlingerie
}

dest spyware {
  domainlist spyware/domains
  urllist spyware/urls
  log spyware
}

dest suspect {
  domainlist suspect/domains
  urllist suspect/urls
  log suspect
}

dest warez {
  domainlist warez/domains
  urllist warez/urls
  log warez
}

#acl {
#   bigboss {
#       pass !costtraps !redirector !porn !spyware !tracker all
#       redirect http://192.168.1.1/squidguard.html
#   }
#   admin {
#        pass any
#   }
acl {
    default {
        pass !adv !deny !costtraps !drugs !fortunetelling !gamble !hacking !porn !redirector !sexeducation !sexlingerie !spyware !suspect !warez all
        redirect  http://www.server.world/error.html
    }
}

https://github.com/StevenBlack/hosts
https://someonewhocares.org/hosts/hosts
https://adaway.org/hosts.txt
http://www.squidguard.org/blacklists.html
http://squidguard.mesd.k12.or.us/blacklists.tgz
http://www.shallalist.de/
http://www.shallalist.de/Downloads/shallalist.tar.gz
https://raw.githubusercontent.com/zapret-info/z-i/master/nxdomain.txt

wget http://www.shallalist.de/Downloads/shallalist.tar.gz
tar -xvf shallalist.tar.gz
mkdir -p /var/squidGuard/BL/manual/
nano /var/squidGuard/BL/manual/domains
nano /var/squidGuard/BL/manual/urls

из blacklists.tgz скопировать каталог suspect в каталог BL (иначе при преобразовании в БД выдаст ошибку)

squidGuard -b -d -C all

chown -R squid:squid /var/squidGuard
chown root:squid /etc/squid/squidGuard.conf
chmod 0640 /etc/squid/squidGuard.conf
chown -R squid:squid /var/log/squidGuard

протестируем SquidGuard, прежде, чем объединять его со Squid:
# echo "http://www.porno.com / - - GET" | squidGuard -d

в /etc/squid/squid.conf Добавляем:
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

squid -k reconfigure
systemctl restart squid

логи
tail -f /var/log/messages
tail -f /var/log/squidGuard/squidGuard.log

squid -k rotate # очистить логи

если не применяет правила, то отключить Selinux ()
sestatus
временно
setenforce 0
постоянно
nano /etc/selinux/config
#SELINUX=enforcing
SELINUX=disabled
reboot

Изменение записей в списках доменов и URL
Пример. Рядом с файлом domains.db в папке /var/lib/squiguard/db/webmail создаём файл domains.diff. В него заносим строку или несколько строк, по одной на каждую запись:
-google.com (что означает вычеркнуть этот домен из базы)
или +google.com (что означает добавить этот домен в базу)
Даём команды:
$ squidGuard -u (обновить базы db из файлов diff. В логах squidguard'а можно посмотреть сколько добавилось/убылось.)
$ squid -k reconfigure (перечитать настройки без перезапуска.)
Файл domains.diff удалять, или стирать из него записи, не надо. При глобальном обновлении баз этот файл ещё пригодится. И при многократном обновлении не происходит дублирования записей в БД.

Webmin

sudo rpm --import http://www.webmin.com/jcameron-key.asc
sudo yum install webmin
sudo chkconfig webmin on

раскрыть тему

Настраиваем и автоматизируем развёртывание Active Directory
Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 1: Введение в Active Directory (понятия, применение, отличие от Workgroup)
Работаем с защищёнными группами, SDProp и AdminSDHolder
Группы Windows NT и Active Directory – детально
Работаем с LAPS (Local Administrator Password Solution)
LDAP Policy в Active Directory
NTDS Quotas и Forest Trust Quotas в Active Directory
Active Directory. Клонирование виртуального контролера домена в Windows Server 2012
Настройка Active Directory Domain Services
Делегирование административных задач в Active Directory
Восстановление Active Directory
Как обнаружить, включить и отключить протоколы SMB версий 1, 2 и 3 в Windows и Windows Server

Разворачиваем контроллер домена на базе Windows Server 2012 R2. Настройка служб AD DS, DNS, DHCP.
Разворачиваем дополнительный контроллер домена на базе Windows Server 2012 R2. Репликация, настройка работы DHCP с основным контроллером домена.

Перекрестное опыление: управляем Linux из-под Windows, и наоборот

Анализ реестра Windows

FSMO

FSMO Roles, или хозяева операций
Мастера операций – FSMO-роль Infrastructure Master
Мастера операций – FSMO-роль Schema Master
Мастера операций – FSMO-роль Domain Naming Master
Мастера операций – FSMO-роль RID Master

Перенос ролей FSMO
Передача и захват ролей FSMO
Миграция роли Active Directory и перенос контроллера домена на другой сервер
Передача и захват ролей FSMO с главного контроллера домена Windows Server 2012 R2 на резервный контроллер домена Windows Server 2012 R2.

GPO

удаление 1с через GPO

самым простым способом будет удаление через cmd
msiexec /x {8FA22A4C-8B09-4257-BC37-B4C677DB00DE}
где {8FA22A4C-8B09-4257-BC37-B4C677DB00DE} id установки 1с, можно найти в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\WindowsInstaller

Group Managed Service Accounts (MSA) в Windows Server 2016
Managed Service Accounts – MSA
Защита Lan Manager в корпоративной сети: LM, NTLMv1, NTLMv2 – настройка и тюнинг

Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory

Аудит доменных служб Active Directory в Windows Server 2008 R2

PowerShell Web Access в Windows Server 2012
powershell команды управления виртуальными машинами

Как сбросить пароль администратора домена
Сброс или изменение пароля Windows с помощью Linux
Как сбросить пароль Windows
Как УЗНАТЬ пароль Windows?

http://www.atraining.ru/kb/

восстановление AD

Dsquery

Dsquery или Управление AD в командной строке

Мы хотим увидеть всех юзеров домена. Нет ничего проще, выполним.
net user /domain

Однако вывод в 3 столбца нас не порадует, особенно если мы захотим использовать его в скрипте. Очень неудобно. Вот тут нам и придет на помощь DSQUERY что бы представить результат в одну колонку удобную для использования в скриптах.

Посмотреть информацию о конкретном пользователе можно так

Создать нового пользователя тоже не проблема

Список групп доступных в домене

Добавляем вновь созданного пользователя в группу

Получение списка неактивных пользователей/ компьютеров с помощью dsquery

http://pk-help.com/server/dsquery
опции:

dsquery computer - поиск компьютеров в каталоге.
dsquery contact - поиск контактов в каталоге.
dsquery subnet - поиск подсетей в каталоге.
dsquery group - поиск групп в каталоге.
dsquery ou - поиск подразделений в каталоге.
dsquery site - поиск сайтов в каталоге.
dsquery server - поиск контроллеров домена Active Directory или экземпляров
службы Active Directory облегченного доступа к каталогам в
каталоге.
dsquery user - поиск пользователей в каталоге.
dsquery quota - поиск квоты в каталоге.
dsquery partition - поиск разделов в каталоге.
dsquery * - поиск в каталоге любых объектов с помощью общего запроса LDAP.
Для получения справки о конкретной команде введите "dsquery <тип_объекта> /?",
где <тип_объекта> - один из вышеперечисленных типов.

Для получения справки о конкретной команде введите "dsquery <тип_объекта> /?",
Где <тип_объекта> один из вышеперечисленных типов.
Например, dsquery computer /?

Предлагаю разобрать эту команду на примерах:

1) В домене test.ru необходимо получить список пользователей не подключавшихся более 10 недель из подразделения User (без указания подразделения «ou=User,ou=Departments,dc=test, dc=ru» данные будут со всего домена) и импортировать данные в файл User.csv на диск С в папку temp:

dsquery user -inactive 10 ou=User,ou=Departments,dc=test, dc=ru -limit 1000 >c:/temp/User.csv

2) В домене test.ru определяем компьютеры не подключавшиеся к домену в течении 10 недель и этот список экспортируем в файл Computers.csv на диск С в папку temp.

dsquery computer -inactive 10 -limit 1000 >c:/temp/Computers.csv

Как вы можете понять с помощью dsquery можно получить гораздо больше информации, чем выяснить неактивных пользователей и компьютеров в AD, надеюсь я указал вам правильное направление для получения необходимой информации из AD.

dsquery user -inactive 8 -o samid -s DC -limit 1000 >c:/temp/User.csv

Добавил параметр -o samid- выводит логин пользователя (по умолчанию выдается DistingushedName, что может быть неудобно).

Команда Dsquery для поиска объектов в Active Directory

общие понятия, работающий пример см ниже

dsquery group ‘DC=vmblog,DC=ru’ -name ‘domain admins’ | dsget group -members > ExportUsersinGroup.txt

Либо вы можете отключить учетные записи найденных пользователей:

dsquery user –name Seme* | dsmod user -disabled yes

Найти и удалить из AD все компьютеры, которые неактивны более 10 недель:

dsquery computer -inactive 10 | dsrm

Добавить всех пользователей из определенной OU в группу безопасности AD:

dsquery user ‘ou=SPB,dc=vmblog,dc=ru’ | dsmod group ’cn=SPBUsers,ou= SPB,dc=vmblog,dc=ru -addmbr

Чтобы получить список пользователей, которые не меняли свой пароль в домене более 60 дней, выполните:

dsquery user -stalepwd 60 -limit 0

поиск неактивных пользователей
dsquery user -inactive 4 -limit 1000 > inactive-user.txt
dsquery user -inactive 4 -o samid -limit 1000 > inactive-user1.txt
dsquery user -inactive 4 -limit 1000 | dsget user -display > inactive-user.txt

удаление компов из AD
dsquery computer –inactive 10 | dsrm -noprompt -c
dsquery computer –disabled | dsrm -noprompt -c
dsquery computer -inactive 30 -limit 400 | dsrm -noprompt -subtree -c

https://ss64.com/nt/dsquery-user.html
Ищем объекты командой DSQUERY

активация
Узнать ключ активации Windows

Profile

uzverss

December 2024

S	M	T	W	T	F	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Syndicate

Page Summary

восстановление AD
Samba, LDAP, Ввод Linux в домен
подборка сисадмина 1
подборка сисадмина 2
Прокси Squid с авторизацией в домене Active Directory
установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть2
установка squid с доступом по группам в AD, squidGuard, lighttpd+lightsquid, sams2 в centos часть 1
статьи по Active Directory

Style Credit

Base style: Abstractia by chiming
Theme: Oceanic II by nornoriel

Expand Cut Tags

No cut tags

Page generated Jun. 10th, 2025 04:48 am

Entries tagged with ad

Сайты

Блоги

Статьи

Книги

Подборки

Переводы

Самоучители

Эмуляторы

Курсы

Видео

Программное обеспечение

Консоль

Вопросы, ответы, решения

Изображения

Игры

Разное

Syndicate

Page Summary

Style Credit

Expand Cut Tags