/opt/noc/var/log/web-*

cd /opt/noc

./noc ctl status

посмотри

2016-05-09 20:04:00,027 [tornado.access] 200 GET /mon/ (10.112.42.50) 0.61ms

А какая служба интересует?

посмотри логи nginx'a

2016-05-09 20:04:00,027 [tornado.access] 200 GET /mon/ (10.112.42.50) 0.61ms

это разве все?

/opt/noc/var/log/web-*

здесь криминала не видно

ок

посмотри логи nginx'a

здесь тоже...

тут всё ок, покажи что nginx в логи пишет

error.log или noc-error.log

они пустые

гм.... второй)

гм....

вернее только старые записи

я стер содержимое noc.error.log в процесе изысканий потому, что не было нужной информации. Хотел удостоверится, что пишется...

Сейчас сделаю новый deploy и соберу новые логи

Может чего -то накрутил...

если зайти на https://ip/notebook показывает страницу, если на любую другую ошибка 500 Гляньте, пожалуйста, какие сервисы не запущены

Да вроде все что надо запущено

жаль

ТЫ по ip заходишь?

да

зоны пока не создавал...

вернее записи...

Так я заходил /etc/nginx/conf.d/noc.conf

Закомментируй в /etc/nginx/conf.d /noc.conf строчку server_name

там 10.112.42.50 server name

server { listen 443; server_name 10.112.42.50;

Я ее закомментировал пока что.

хорошо..

на 443 порту правильно?

угу

не пошло...

на всякий даже перезапустил nginx

не вижу сервиса login:login-000

сейчас попробовал у себя - если его остановить, как раз выскакивает ошибка 500

это ldap?

наверное) но он называется login

находится под influxdb

+ radius

А если у меня не будет radius и ldap?

значит будет пользоваться локальной базой

Все равно надо ставить

там отмечено красными звездочками

т.е. обязательны?

поля

делаю deploy... Скорее всего это оно ... Спасибо... Я думал, что ненужные сервисы можно отключать...

можно) но он нужный

я сейчас пишу страничку с описанием сервисов

надо будет туда добавить последствия

Хорошо! Я наверное тоже запишу процесс установки и все советы, которые мне дали за эти 3 дня...

лучше поправь инструкцию для Debian в вики

а то она уже устарела:)

https://kb.nocproject.org/pages/viewpage.action?pageId=21233723

На ее основе и напишу... Если получится можно будет внести

Эм... Пока поля и ldap и radius игнорчтся

Понятно!

Эм... Пока поля и ldap и radius игнорчтся

Можно было бы придумать механизм другой для remote auth

А то получается создается пользователь и ему еще надо права задавать потом другим пользователем

Как в jspace, например

Передается vendor id и если есть пользователь в нужной группе, то сразу дает доступ

Если нет его в этой группе, то ошибка с описанием

Ща сяду за пк

Не, на acs доступа нет, завтра тогда уж

народ, кто-нибудь знает? есть такая предположительная ситуация. комп с линуксом, на залогинен один пользователь допустим в КДЕ, но сеанс заблокирован. Возможно ли получить доступ к этой сессии или залогиниться тем же пользователем или получить рута на этом компе, не перезагружая его

никак - это тоже ответ, но хочется быть уверенным

можно. проблема в чем?

Ctrl-Alt-Fx - переключаешься на текстовую консоль и хоть облогинься

не, про это я знаю. я про несанкционированный доступ говорю

то есть пароля юзера у меня нет

я не ломаю никого, а оцениваю возможность взлома

ну разнообразные remote-дыры никто не отменял

и ребут с флешки тоже

ребут исключается

важные данные доступны только пока комп включен

а что именно remote? настроен стандартный firewall

firewall не поможет от специально сформированной картинки например - см недавнюю дыру в ImageMagic

или см недавнюю дыру в git

чтобы открыть картинку юзер должен выполнить действие

нифакт

достаточно запущенного браузера с рекламным баннером

например

а это как

ну вот есть комп

пользователь работал

что-то может открывал

заблокировал комп

баннерные сервисы обеспечивают регулярную ротацию показываемых картинок.

оно или уже скомпрометировано и тогда не важно заблокирован комп или нет

или не скомпрометирован, тогда баннер такому компу уже не страен

блокировка компа при удаленном доступе не существенна абсолютно

да