Leave a comment Posted on Tech articles

Безопасный метод авторизации на PHP

Давайте посмотрим вокруг: форумы, интернет магазины, гостевые книги и т.д. используют регистрацию и последующую авторизацию пользователей. Можно даже сказать, что это почти необходимая функция каждого сайта (только если это не домашняя страничка Васи Пупкина или не визитная карточка, какой-нибудь небольшой компании). Сегодня я хочу поделиться со всеми новичками информацией, о том, как лучше это все реализовать.

1. Модель (клиент) 
Регистрация
— логин (a-z0-9)
— пароль
Вход
— логин
— пароль
Cookie
— уникальный идентификатор юзера
— хэш
Модель (сервер) MySQL
Таблица users
user_id (int(11))
user_login (Varchar(30))
user_password (varchar(32))
user_hash (varchar(32))
user_ip (int(10)) по умолчанию 0При регистрации в базу данных записываеться логин пользователя и пароль(в двойном md5 шифровании)

При авторизация, сравниваеться логин и пароль, если они верны, то генерируеться случайная строка, которая хешируеться и добавляеться в БД в строку user_hash. Также записываеться IP адрес пользователя(но это у нас будет опциональным, так как кто-то сидит через Proxy, а у кого-то IP динамический… тут уже пользователь сам будет выбирать безопасность или удобство). В куки пользователя мы записываем его уникальный индетификатор и сгенерированный hash.

Почему надо хранить в куках хеш случайно сгенерированной строки, а не хеш пароля?
1. Из-за невнимательности программиста, во всей системе могут быть дырки, воспользовавшийсь этими дырками, злоумышленик может вытащить хеш пароля из БД и подставить его в свои куки, тем самым получить доступ к закрытым данным. В нашем же случае, двойной хеш пароля не чем не сможет помочь хакеру, так как расшифровать он его не сможет(теоретически это возможно, но на это он потратит не один месяц, а может быть и год) а воспользоваться этим хешем ему негде, ведь у нас при авторизации свой уникальный хеш прикрепленный к IP пользователя.
2. Если злоумышленик вытащит трояном у пользователя уникальный хеш, воспользовать им он также не сможет(разве если только, пользователь решил принебречь своей безопастностью и выключил привязку к IP при авторизации).

2. Практика
--
— Структура таблицы `users`

CREATE TABLE `users` (
`user_id` int(11) unsigned NOT NULL auto_increment,
`user_login` varchar(30) NOT NULL,
`user_password` varchar(32) NOT NULL,
`user_hash` varchar(32) NOT NULL,
`user_ip` int(10) unsigned NOT NULL default '0',
PRIMARY KEY (`user_id`)
) ENGINE=MyISAM DEFAULT CHARSET=cp1251 AUTO_INCREMENT=1 ;

register.php 
<?
// Страница регситрации нового пользователя

# Соединямся с БД
mysql_connect(«localhost»«myhost»«myhost»);
mysql_select_db(«testtable»);

if(isset($_POST[‘submit’]))
{
$err = array();

# проверям логин
if(!preg_match(«/^[a-zA-Z0-9]+$/»,$_POST[‘login’]))
{
$err[] = «Логин может состоять только из букв английского алфавита и цифр»;
}

if(strlen($_POST[‘login’]) < or strlen($_POST[‘login’]) > 30)
{
$err[] = «Логин должен быть не меньше 3-х символов и не больше 30»;
}

# проверяем, не сущестует ли пользователя с таким именем
$query mysql_query(«SELECT COUNT(user_id) FROM users WHERE user_login='».mysql_real_escape_string($_POST[‘login’]).«‘»);
if(mysql_result($query0) > 0)
{
$err[] = «Пользователь с таким логином уже существует в базе данных»;
}

# Если нет ошибок, то добавляем в БД нового пользователя
if(count($err) == 0)
{

$login $_POST[‘login’];

# Убераем лишние пробелы и делаем двойное шифрование
$password md5(md5(trim($_POST[‘password’])));

mysql_query(«INSERT INTO users SET user_login='».$login.«‘, user_password='».$password.«‘»);
header(«Location: login.php»); exit();
}
else
{
print «<b>При регистрации произошли следующие ошибки:</b><br>»;
foreach($err AS $error)
{
print $error.«<br>»;
}
}
}
?>

<form method=»POST»>
Логин <input name=»login» type=»text»><br>
Пароль <input name=»password» type=»password»><br>
<input name=»submit» type=»submit» value=»Зарегистрироваться»>
</form>

login.php

<?
// Страница авторизации

# Функция для генерации случайной строки
function generateCode($length=6) {
$chars «abcdefghijklmnopqrstuvwxyzABCDEFGHI JKLMNOPRQSTUVWXYZ0123456789»;
$code «»;
$clen strlen($chars) — 1;  
while (strlen($code) < $length) {
$code .= $chars[mt_rand(0,$clen)];  
}
return $code;
}

# Соединямся с БД
mysql_connect(«localhost»«myhost»«myhost»);
mysql_select_db(«testtable»);

if(isset($_POST[‘submit’]))
{
# Вытаскиваем из БД запись, у которой логин равняеться введенному
$query mysql_query(«SELECT user_id, user_password FROM users WHERE user_login='».mysql_real_escape_string($_POST[‘login’]).«‘ LIMIT 1»);
$data mysql_fetch_assoc($query);

# Соавниваем пароли
if($data[‘user_password’] === md5(md5($_POST[‘password’])))
{
# Генерируем случайное число и шифруем его
$hash md5(generateCode(10));

if(!@$_POST[‘not_attach_ip’])
{
# Если пользователя выбрал привязку к IP
# Переводим IP в строку
$insip «, user_ip=INET_ATON(‘».$_SERVER[‘REMOTE_ADDR’].«‘)»;
}

# Записываем в БД новый хеш авторизации и IP
mysql_query(«UPDATE users SET user_hash='».$hash.«‘ «.$insip.» WHERE user_id='».$data[‘user_id’].«‘»);

# Ставим куки
setcookie(«id»$data[‘user_id’], time()+60*60*24*30);
setcookie(«hash»$hashtime()+60*60*24*30);

# Переадресовываем браузер на страницу проверки нашего скрипта
header(«Location: check.php»); exit();
}
else
{
print «Вы ввели неправильный логин/пароль»;
}
}
?>
<form method=»POST»>
Логин <input name=»login» type=»text»><br>
Пароль <input name=»password» type=»password»><br>
Не прикреплять к IP(не безопасно) <input type=»checkbox» name=»not_attach_ip»><br>
<input name=»submit» type=»submit» value=»Войти»>
</form>

check.php

<?
// Скрипт проверки

# Соединямся с БД
mysql_connect(«localhost»«myhost»«myhost»);
mysql_select_db(«testtable»);

if (isset($_COOKIE[‘id’]) and isset($_COOKIE[‘hash’]))
{
$query mysql_query(«SELECT *,INET_NTOA(user_ip) FROM users WHERE user_id = ‘».intval($_COOKIE[‘id’]).«‘ LIMIT 1»);
$userdata mysql_fetch_assoc($query);

if(($userdata[‘user_hash’] !== $_COOKIE[‘hash’]) or ($userdata[‘user_id’] !== $_COOKIE[‘id’])
or (($userdata[‘user_ip’] !== $_SERVER[‘REMOTE_ADDR’])  and ($userdata[‘user_ip’] !== «0»)))
{
setcookie(«id»«»time() — 3600*24*30*12«/»);
setcookie(«hash»«»time() — 3600*24*30*12«/»);
print «Хм, что-то не получилось»;
}
else
{
print «Привет, «.$userdata[‘user_login’].«. Всё работает!»;
}
}
else
{
print «Включите куки»;
}
?>

Для защиты формы логина от перебора, можно использовать капчу.

Хочу отметить, что здесь я рассматривал авторизацию основоную на cookies, не стоит в комментариях кричать, что сессии лучше/удобнее и т.д. Спасибо.

Примечания:
1. mysql_select_db(«testtable»); // нелогичное название базы, testdb лучше
2. Нужно использовать mysql_real_escape_string()
3. Убирать лишние пробелы нет смысла, так как их не пропустит вот эта строка:
if(!preg_match(«/^[a-zA-Z0-9]+$/»,$_POST[‘login’]))
Leave a comment Posted on Tech articles

sipp

sipp – мощная утилита для генерации нагрузки на SIP оборудование. Обычно sipp используется для проверки отказоустойчивости систем IP-телефонии, выявления максимально-допустимой нагрузки или ddos-а конкурентов 🙂 Сценарий сессии в sipp описывается в XML файле. Можно воспользоваться одним из множества сценариев распространяемых в комплекте с sipp или создать свой.

Кроме тестирования сигнализации (SIP) sipp способен тестировать и медиа нагрузку. Для этого существуют два модуля: PCAP play и RTP echo. PCAP play – проигрывает заранее записанный сетевым анализатором (например wireshark) медиа файл. RTP echo – позволяет sipp отсылать обратно все полученные RTP потоки.

Пример использования sipp

 sipp 10.10.10.1 -s 12345 -i 10.10.10.2 -d 2h -l 60 -aa -mi 10.10.10.2 -rtp_echo -nd -r 10

10.10.10.1 – IP адрес SIP сервера, на который следует слать запросы.

-s 12345 – Указывает номер который будет вызван. Может быть числом или текстом. Значение по умолчанию – service

-i 10.10.10.2 – Локальный IP адрес. Этот адрес будет использован в SIP сообщениях в качестве адреса источника сообщений. По умолчанию используется адрес 127.0.0.1.

-d 2h – Устанавливает длительность звонков. В данном случае звонки будут длиться 2 часа. Длительность по умолчанию – 1 секунда.

-l 60 – Ограничивает максимальное количество одновременных звонков – 60.

-aa – Включает автоматические ответы 200 OK на сообщения INFO, UPDATE и NOTIFY.

-mi 10.10.10.2 – Устанавливает локальный IP для RTP.

-rtp_echo – Включает режим RTP эха. Все RTP пакеты полученные от удалённой стороны – отправляются обратно.

-nd – Отключает стандартную обработку неожиданных ситуаций – sipp будет прерывать звонки в случае получения неправильных SIP сообщений.

-r 10 – Устанавливает максимальную «скорость звонков» (CPS) в данном случае – не более 10 звонков в секунду.

Максимальной скоростью вызовов можно управлять во время работы sipp с помощью клавиш «+» и «-» – повышая и понижая её соответственно. Вообще, опустив параметры -aa -mi 10.10.10.2 -rtp_echo -nd – мы получаем отличное средство для тестирования отказоустойчивости и максимального CPS у SIP proxy.

Настройка Asterisk

Для того, что бы Asterisk принимал звонки от sipp, необходимо создать в SIP.conf специальный SIP-peer с именем sipp. К сожалению, заставить sipp совершать вызовы от имени существующего пользователя – нельзя. В стандартных сценариях sipp всегда представляется как sipp. Добавляем в SIP.conf запись:

 [sipp]
 type=friend
 context=in
 username=sipp
 host=10.10.10.2
 dtmfmode=rfc2833
 disallow=all
 allow=ulaw,alaw
 insecure=port,invite

Важными моментом, является наличие кодека ulaw в списке разрешенных т.к. именно его анонсирует sipp. Если 711u не будет в списке разрешённых кодеков, то Asterisk отклонит вызов от sipp. Вторым важным моментом, является строка insecure=port,invite. Данная строка заставляет Asterisk авторизовать sipp не по паролю, а по IP адресу указанному в поле host. Кроме записи в SIP.conf, можно создать специальный контекст в extensions.conf для обработки тестовых звонков от sipp.

Следующий пример принимает звонки на «номер» service – именно этот идентификатор используется по умолчанию:

 [in]
 exten => service,1,MusicOnHold()

Вот и всё. Успехов в стресс тестах! 🙂

P.S. Документация по sipp — http://sipp.sourceforge.net/doc3.0/reference.html

Leave a comment Posted on Tech articles

GRUB 2 — ошибка 15

Изредка, особенно при невнимательной настройке загрузчика grub2 возникает ситуация, при которой система полностью отказывается грузиться, а на экране консоли возникает ошибка — “Error 15: File not found!”. Для решения проблемы необходимо внести изменения в файл /boot/grub/menu.lst, указав правильный раздел для загрузки — раздел root.

С начала загружаемся с Live CD и открываем терминал.

Проверяем, какие разделы доступны в системе:

$ sudo fdisk -l | grep -i linux

Обычно это раздел системы и swap-раздел. Нас интересует раздел, содержащий /root.

/dev/hda5  1276  1397  979902    82  Linux swap / Solaris
/dev/hda6  1398  2550  9261441   83  Linux

/dev/hda6 — в нашем примере это раздел root. /dev/hda6 прописывается в grub, как (hd0,5). К примеру, если ваша система находится в /dev/hda1, то при загрузке нужно прописывать — (hd0,0). В grub прописывается значение на единицу меньшее, чем указано в разделе.

Откройте файл menu.lst и проверьте, что /dev/hda6 и (hd0,5) соответствуют разделу root, и никаких лишних разделов не указано. Это основная причина появления ошибки 15. В нашем примере root-раздел должен соответствовать разделу /dev/hda6, ниже указан пример файла /boot/grub/menu.lst:

title       Debian GNU/Linux, kernel 2.6.26-2-686
root        (hd0,5)
kernel      /boot/vmlinuz-2.6.26-2-686 root=/dev/hda6 ro
initrd      /boot/initrd.img-2.6.26-2-686
title       Debian GNU/Linux, kernel 2.6.26-2-686 (single-user mode)
root        (hd0,5)
kernel      /boot/vmlinuz-2.6.26-2-686 root=/dev/hda6 ro single
initrd      /boot/initrd.img-2.6.26-2-686

Далее желательно проверить файл /etc/fstab на соответствие разделов и типов файловых систем:

# /etc/fstab: static file system information.
#
# <file system> <mount point>  <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults          0     0
/dev/hda6       /               ext3    errors=remount-ro 0     1
/dev/hda5       none            swap    sw                0     0
/dev/hdc        /media/cdrom0   udf,iso9660 user,noauto   0     0

После перезагрузки, система должна нормально загрузиться.

Переустановка загрузчика

После загрузки LiveCD, открываем терминал и монтируем разделы системы:

Предварительно запускаем fdisk для того, чтобы удостовериться в правильности указания корневого раздела.

# fdisk -l

Монтирование обычных систем:

# mount /dev/sda2 /mnt/

Если /boot примонтирован отдельно:

# mount /dev/sda1 /mnt/boot

Монтирование специальных систем:

# mount --bind /dev /mnt/dev
# mount --bind /dev/pts /mnt/dev/pts
# mount --bind /proc /mnt/proc
# mount --bind /sys /mnt/sys

Заходим в chroot-систему:

# chroot /mnt

Если отсутствует файл /boot/grub/grub.cfg, или есть проблемы с настройкой:

# update-grub

Переустанавливаем GRUB2 :

# grub-install /dev/sda

(Внимание! Номер после названия раздела не пишется!)

Проверяем правильность настроек:

# grub-install --recheck /dev/sda

Выходим из chroot-системы:

# exit

# umount /mnt/sys
# umount /mnt/proc
# umount /mnt/dev/pts
# umount /mnt/dev
# umount /mnt/boot
# umount /mnt

# reboot

После перезагрузки всё должно заработать! 🙂

 

Leave a comment Posted on Tech articles

Создание RSS-канала


RSS-канал — это простой текстовый файл. Общая структура такая:

<?xml version="1.0" ?>
<rss version="2.0">
<channel>

</channel>
</rss>

1. Определите содержимое тега channel.

Содержимое сhannel может быть одинаковым для всех RSS-каналов Вашего сайта.

Эти теги должны быть обязательно:

title: название канала, может быть таким же, как название главной страницы сайта.
link: URL сайта, например: www.891rpm.arthead.ru/.
description: описание Вашего канала, примерно 200 символов.

<channel>
 <title>One title</title>
 <link>http://www.891rpm.arthead.ru/</link>
 <description>описание Вашего канала</description>
</channel>

2. Добавьте изображение.

Это необязательно, но желательно.

Сделайте небольшое изображение (например, 88×31) в формате gif или jpg или png и сохраните в том же каталоге, что RSS файл.

url — это адрес самого изображения.
link — адрес страницы которая откроется, если кликнуть по изображению.

<image>
 <url>http://www.891rpm.arthead.ru/i/a.png</url>
 <title>Fisrt title</title>
 <link>http://www.891rpm.arthead.ru/</link>
</image>

3. Добавьте новый элемент.

Теперь мы добавим информацию о веб-странице.

Это тег item, подэлемент тега channel. В RSS-канале должен быть как минимум один такой элемент:

title: название статьи.
link: URL веб-страницы.
description: описание этой веб-страницы, около 200 символов.

<item>
<title>Master title</title>
<link>http://www.891rpm.arthead.ru/master/</link>
<description>Master test ))</description>
<guid>http://www.891rpm.arthead.ru/master/</guid>
</item>

4. Добавьте ещё несколько подобных элементов.

Можно добавить ещё несколько подобных элементов, обычно, не более 10.

5. Загрузите файл на сервер

Поместите сделанный файл rss.xml на сайт.

6. Проверка файла

Вы можете использовать интерактивный валидатор RSS-канала. Для этого существует неплохой сервис.

Вводите адрес Вашего RSS-канала и нажимаете на кнопку. Через минуту Вам выдается вся информация о проверке, все возникшие ошибки, если они есть и замечания.

7. Сделайте его доступным

Для этого надо добавить текстовую или графическую ссылку на главную сраницу Вашего веб-сайта. При клике по ссылке должен открываться Ваш файл RSS-канала.

Например так:

<a type="application/rss+xml" href="http://www.891rpm.arthead.ru/rss.xml">
 RSS-канал этого сайта
 </a>

8. Обновление канала

При публикации новых веб-страниц на сайте, просто добавляйте в RSS-канал новые элементы и удаляйте старые, оставляя их количество неизменным (например, 10 или 15).

Пример полного файла RSS-канала.

<?xml version="1.0" encoding="windows-1251"?>
<rss version="2.0">
<channel>
 <title>Development on 891rpm.arthead.ru</title>
 <link>http://www.891rpm.arthead.ru/</link>
 <description>Сайт разработчика и администратора.</description>
 <language>en-ru</language>
 <copyright>2011. Copyright by 891rpm.arthead.ru</copyright>
 <image>
  <url>http://www.891rpm.arthead.ru/i/a.png</url>
  <title>First title</title>
  <link>http://www.891rpm.arthead.ru/</link>
 </image>
 <item>
  <title>Second title</title>
  <link>http://www.891rpm.arthead.ru/feed/</link>
  <description>Many, many any text's ))</description>
  <guid>http://www.891rpm.arthead.ru/feed/</guid>
 </item>
</channel>
</rss>

Как браузеры узнают, что на сайте есть RSS-канал?

Вы создали RSS-канал и сохранили его в каком-нибудь каталоге вашего сайта.
Вы должны сообщить браузеру, когда он откроет страницу вашего сайта, о наличии этого файла и его местоположении. Тогда Firefox будет показывать значок RSS-канала в адресной строке, Internet Explorer на панели команд.

Чтобы активировать их, надо добавить следующую строку в исходный код страницы, в любом месте внутри секции <head> </head>:

 <link
 rel="alternate"
 type="application/rss+xml"
 href="http://www.891rpm.arthead.ru/rss.xml"
 title="Название канала"
 />

Не забудьте заменить в URL www.891rpm.arthead.ru на имя Вашего домена и путь к Вашему файлу и его имя.

Leave a comment Posted on Tech articles

Настройка RSS-ленты в WordPress

Сегодня мы с Вами ознакомимся с настройками RSS-ленты в WordPress, а также с процессом настройки трансляции RSS-ленты на сервис FeedBurner.Com. Сервис Feedburner, позволяет собирать статистику подписчиков на  RSS-ленту блога, транслировать ее в различных форматах, организовать подписку на  обновления блога через E-Mail и многое другое.

Также важно заметить, что статистикой этого сервиса пользуются многие рейтинги для определения количества подписчиков блога.

Сначала необходимо зарегистрироваться на сервисе, для этого заходим на сайт FeedBurner.com, в разделе “Языки” сразу установим “Русский”, чтобы процесс настройки был понятнее и проще.

После этого мы попадаем на главную страницу сервиса с формой для прожигания RSS. В форму вводим адрес нашей RSS-ленты. Если Вы настраивали, “Постоянные ссылки” в Вашем блоге, значит адрес RSS-ленты будет выглядеть примерно так: http://test.blogmir.ru/feed/ именно этот адрес и нужно вводить в форму.

Если Вы планируете публиковать подкасты на Вашем блоге, можете установить галочку “Я подкастер!”, нажимаем кнопку “Далее”, попадаем на форму регистрации на сервисе:

После нажатия на кнопку “Activate Feed” попадаем на страницу с сообщением о том, что RSS-лента активирована, также на нам сообщают адрес нашей RSS-ленты на сервисе FeedBurner.

Адрес этот необходимо запомнить, чтобы в дальнейшем настроить переадресацию всех наших подписчиков, на  FeedBurner.

Нажимаем кнопку “Next”, страница предварительной настройки RSS-ленты, в зависимости от Ваших предпочтений, можете включать или не включать дополнительные сервисы статистики.

Нажимаем кнопку “Next”, нам сообщают что наш фид готов и уже работает, но на этом мы не остановимся, сервис FeedBurner позволяет добавить к Вашей RSS-ленте очень много различных полезных функций.

Открываем закладку “Оптимизируй”, пункт “Browser Friendly”, изменяем язык интерфейса на ClearFeed (Russian)

Не забываем сохранять настройки.

Пункт “SmartFeed” — нажимаем кнопку “Активировать”:

Переходим на закладку “Публикуй”, пункт “FeedCount”, нажимаем кнопку “Активировать”. Вы можете выбрать тип счетчика и его цвет, в поле будет сгенерирован код, который можно вставить в шаблон блога.

После того как Вы выбрали цвет и тип счетчика, нажимаем на кнопку “Сохранить”.

Открываем пункт “Подписки по электронной почте”, в списке провайдеров выбираем FeedBurner

Нажимаем кнопку “Активировать”, после этого появится окошко с кодом формы для подписки на  RSS-ленту по E-Mail, в списке необходимо выбрать русский язык и в самом низу нажать кнопку “Сохранить”

Полученный код можно вставить в шаблон блога для отображения формы подписки на  RSS через E-Mail.

На этом настройку RSS-ленты можно считать законченной.

Теперь для настройки автоматической переадресации Ваших подписчиков на RSS-ленту, настроенную на FeedBurner, необходимо установить и настроить плагин WordPress, который будет этим заниматься.

Скачиваем плагин, загружаем его на сервер в папку /wp-content/plugins/ и активируем в панели администрирование блога, раздел “Плагины.

Переходим в раздел “Параметры” — “FeedBurner”, в поле вводим адрес, который нам выдал FeedBurner, должно получится вот так:

Нажимаем кнопку “Save”, теперь все, кто будут обращаться к Вашему стандартному адресу RSS-ленты, вида http://myblog.com/feed/ будут автоматически переадресовываться на сервис FeedBurner для подписки.

Если у Вас что-то не получилось, не стесняйтесь задавать вопросы в комментариях к этому посту.

Leave a comment Posted on Tech articles

Работа с tcpdump

Tcpdump чрезвычайно удобный сетевой анализатор, очень помогающий в работе как сетевым администраторам, так и безопасникам. Естественно что для получения максимальной информации при работе с tcpdump, просто необходимо иметь представления о стеке протоколов TCP/IP. Для удобства можно использовать более удобные и интеллектуальные программы, например Wareshark, но часто возникают ситуации когда на тестируемую машину не представляется возможным установить дополнительные сервисы, и тогда tcpdump просто незаменим, не будит же админ, ради анализа пакетов, ставить на unix’овый сервак X-Windows тем более что в большинстве unix’овых систем, утилита tcpdump идет по умолчанию.
Понимание протокола TCP/IP дает широкое пространство для использование анализатора и устранения неисправностей и неполадок в работе сети, за счет разбора пакетов. Поскольку оптимальное использование данной утилиты требует хорошего понимания сетевых протоколов и их работы, то получается забавная ситуация, в которой инженеру в любом случае необходимо знать и понимать механизмы передачи данных в сети. т.ч. tcpdump полезна во все отношениях: как устранения неисправностей, так и самообразования.

Ниже приводятся несколько опций, которые помогут наиболее полно и подробно использовать эту утилиту, тем более что все эти опочки и ключики довольно легко забываются, и данные примеры весьма полезны, для освежевания памяти.
Первый используемый ключик -n который запрещает попытки преобразования адресов в доменные имена, тем самым выдавая нам чистые IP адреса с портами.
Второй это -X который задает для каждого пакета вывод как hex (шестнадцатеричная система) так и ASCII содержимого пакета.

И последняя опция это -S которая заменяет вывод относительной TCP нумерации, на абсолютную. Смысл в том, что при относительной нумерации некоторые проблемы могут скрыться от вашего внимания.

Нужно понимать, что основное преимущество tcpdump перед другими утилитами заключается в том, что в ней возможен подробный и ручной разбор пакетов. Также нужно помнить что по умолчанию tcpdump использует только первые 68 байт пакета, т.ч. если необходимо видеть больше, то следует использовать ключ -s number , где number количество байт которые следует захватить. В случае задания number 0 , произойдет полный захват пакета, поэтому лучше использовать значение 1514, что даст полный захват стандартного, для сетей Ethernet, пакета.

Список наиболее часто используемых ключей:

  • -c : задается проверка размера файла захвата перед каждой очередной записью захваченного пакета, если размер больше, то файл сохраняется и запись идет в новый файл
  • -e : выводится ethernet заголовок (канальный уровень) в каждой строке дампа
  • -i any : прослушивание всех интерфейсов, на случай если вам необходим весь трафик.
  • -n : запрещает преобразование адресов в доменные или символьные имена
  • -nn : запрещает преобразование адресов и портов в доменные или символьные имена
  • -q : Красткий вывод информации, за счет уменьшения вывода информации о протоколе.
  • -X : выводит как hex так и ASCII содержимое пакета
  • -v, -vv, -vvv : задает вывод дополнительной информации о захваченных пакетах, что дает возможность более широкого анализа.

Несколько примеров для использования:

# Стандартный вывод пакетов
 tcpdump -nS
 # Расширенный стандартный вывод
 tcpdump -nnvvS
 # Глубокий разбор пакета
 tcpdump -nnvvXS
 # Наиболее подробная информация о трафике
 tcpdump -nnvvXSs 1514

Выражения позволяют производить более целевое сканирование и задавать типы трафика. Умение использовать выражения делает tcpdump весьма продуктивным инструментом, в рукам сисадмина. Существует три основных типа выражений: type, dir, and proto.

Опции выражения type бывают host, net и port.

Для выражения направления задаваемого dir существующие опции src, dst, src or dst, и src and dst.

Несколько стандартных выражений:

host // анализ трафика на основе IP адреса ( также работает с символьными именами, если не задано -n)

 tcpdump host 1.2.3.4

src, dst // анализ трафика только для определенного назначения или передатчика

 tcpdump src 2.3.4.5
 tcpdump dst 3.4.5.6

net // захват трафика принадлежащего определенной сети

 tcpdump net 1.2.3.0/24

proto // работает с tcp, udp, и icmp. Нужно помнить что proto не упоминается

 tcpdump icmp

port // анализ трафика с определенного порта (входящего или исходящего)

 tcpdump port 3389

src, dst port // фильтр базируется на входящем или исходящем порту

 tcpdump src port 1025
 tcpdump dst port 3389

Но наиболее сильным инструментом являются операнды, позволяющие задавать условия для выражений и опций, для более подробного вычленения информации об анализируемом трафике.

AND
and or &&
OR
or or ||
EXCEPT
not or !

TCP трафик с ресурса 10.15.123.33 с портом назвачения 3379:

# tcpdump -nnvvS tcp and src 10.15.123.33 and dst port 3379

Трафик переходящий из сети 192.168 с назначением на сети 10 или 172.16:

# tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

Non-ICMP трафик с точкой назначения 192.168.0.2 и из сети 172.16:

# tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net 172.16.0.0/16 and not icmp

Трафик с хостов Eros or Ares , но не идущий на стандартный SSH порт (для данного выражения требуется разрешение имен):

# tcpdump -vv src eros or ares and not dst port 22

Как видно из приведенных примеров, мы можем строить любые выражения, для любых целей. Также, используя сложный синтаксис, из анализа мы можем исключать любой тип трафика.

Также следует помнить о том, что мы можем строить запросы, включающие группы и пулы опций, заданных в одном запросе. Но для того чтобы утилита tcpdump обращала на них внимание их нужно помещать в скобки, беря выражение в одиночные кавычки:
Трафик идущий с хоста 10.0.2.4 на порты назначения 3379 или 22:

 # tcpdump ’src 10.0.2.4 and (dst port 3379 or 22)’

Также возможно производить фильтрацию на основе TCP флагов, например для вычленения SYN или RST пакетов:

Анализировать все URG пакеты:

 # tcpdump ‘tcp[13] & 32 != 0′

Анализировать все ACK пакеты:

 # tcpdump ‘tcp[13] & 16 != 0′

Анализировать все PSH пакеты:

 # tcpdump ‘tcp[13] & 8 != 0′

Анализировать все RST пакеты:

 # tcpdump ‘tcp[13] & 4 != 0′

Анализировать все SYN пакеты:

 # tcpdump ‘tcp[13] & 2 != 0′

Анализировать все FIN пакеты:

 # tcpdump ‘tcp[13] & 1 != 0′

Анализировать все SYN-ACK пакеты:

 # tcpdump ‘tcp[13] = 18′

Нужно помнить что фильтр обрабатывает данный запрос следующим образом, проверяет 13 байт заголовка TCP пакета и заданный байт флага, на соответствие условию, например:

 tcpdump ‘tcp[13] & 2 != 0′

– просмотр и сравнение 13 и 2 байтов заголовка, на условие что данные не равны 0, т.е. заданы 1.

Анализ специализированного трафика:

Анализировать весь IPv6 трафик:

 # tcpdump ip6

Анализировать весь трафик с имеющимися флагами SYN и RST:

 # tcpdump ‘tcp[13] = 6′

Анализировать весь трафик с имеющимся “evil bit”:

 # tcpdump ‘ip[6] & 128 != 0′

Естественно что приведенные примеры не могут охватить всю полноту использования столь мощного инструмента как tcpdump.

Leave a comment Posted on Tech articles

Решение проблем при размещении Cisco 7942G за NAT’ом

Весьма проблематично заставить работать телефон Cisco 7942 или Cisco 7962, если он находится за NAT-ом. Телефон не может выполнить регистрацию, а без этого не получится ни звонить, ни принимать звонки.

Проблема вызвана некоторыми особенностями в реализации SIP-стека на телефонах, которые интеграторы телефонии на Asterisk называют багами, а сами Cisco-разработчики называют фичей. Речь идет о инициирующих SIP-портах, которые начинаются с 49000.

При подключении из-за NAT, сервер Asterisk считает пир nat=yes устройством, из-за чего использует симметричный SIP/RTP и шлет ответы ровно на тот порт, с которого пришло соединение. Но на деле сама Cisco 7942 ждет ответа не на порту отправления, а на порту 5060, а точнее, на порту, указанном в <voipControlPort>. Из-за различия портов связь установить не удается, а сама Cisco 7942 упорно отвечает сообщениями типа ICMP Port Unreachable.

Решение проблемы:

1. (Опционально) Указать в теге <voipControlPort> порт, отличный от 5060. Например, 5091. Это связано с тем. что в дальнейшем мы этот порт будем пробрасывать на роутере.

2. Закрепить Cisco 7942 на статическом IP-адресе, либо присвоить статическую аренду на DHCP-сервере.

3. Прописать секцию
<natEnabled>false</natEnabled>
<natAddress></natAddress>

4. На сервере Asterisk в настройках экстеншена прописать опцию nat=no

5. На роутере, который пускает телефон в Интернет, прописать статический проброс UDP порта, который у вас указан в <voipControlPort> на внутренний IP телефона Cisco 7942G. Как правило, эта секция в веб-интерфейсе роутера называется «Virtual Server» или «NAT 1:1».

6. Перезагрузить телефон нажатием Settings-> **#**.
Убедиться, что телефон работает. Если чуда не случилось, то поможет разобраться в проблеме tcpdump. Возможно, будет иметь смысл игра с опиями nat=no и nat=never

* — Надо заметить, что IP может быть и динамическим. В этом случае нужно будет настроить роутер так, чтобы он обновлял динамическую DNS-запись, например, на сервисе DynDNS. Тогда в это поле вписывается FQDN-запись вида <natAddress>somename.dyndns.org</natAddress>. При этом нужно учитывать, что телефон резолвит это имя в IP всего один раз, при старте телефона. Если внешний IP изменится, телефон об этом не узнает, из-за чего будут наблюдаться проблемы односторонней слышимости или отсутствия регистрации.

 

Leave a comment Posted on Tech articles

Asterisk Call Forwarding and Feature Codes

To activate:
Dial * 72

1. Listen for voice prompt.
2. Dial the desired telephone number you wish your calls forward to followed by #.
3. Listen for confirmation.
Call Forwarding is established.

To deactivate:
1. Press *73.
2. Listen for confirmation.

The following list of features is the most common set of default codes found on Asterisk and used by answering service clients.  Because all feature codes may be customized it is recommended that you check with your PBX administrator to verify the correct codes for your system.

 

Handset Feature Code
Action
*30
Blacklist a number
*31
Remove a number from the blacklist
*32
Blacklist the last caller
*52
Call Forward No Answer/Unavailable Activate
*53
Call Forward No Answer/Unavailable Deactivate
*72
Call Forward All Activate (Activate Answering Service)
*73
Call Forward All Deactivate (Deactivate Answering Service)
*74
Call Forward All Prompting Deactivate
*740
Call Forward Toggle
*90
Call Forward Busy Activate
*91
Call Forward Busy Deactivate
*92
Call Forward Busy Prompting Deactivate
*70
Call Waiting — Activate
*71
Call Waiting — Deactivate
*34
Perform dictation
*35
Email completed dictation
*76
DND Toggle
*78
DND Activate
*79
DND Deactivate
*21
Findme Follow Toggle
*54
User Intercom Allow
*55
User Intercom Disallow
*97
My Voicemail
*98
Dial Voicemail
Leave a comment Posted on Tech articles

Счетчик монтирований fsck

Не многие знают, что в Linux есть такой замечательный счетчик монтирований как fsck. Если очередной вызов fsck прекращает загрузку, это значит, что либо есть ошибки в файловой системе и fsck нуждается в Вашем вводе для продолжения, либо Вы просто не дождались отработки fsck, которая требует времени. Загрузка без экрана Вам все это покажет. После успешного завершения fsck проблемы быть уже не должно, разве что Ваша система повреждена и хронически портит файловую систему.

Один из способов обойтись без автоматического запуска fsck заключается в регулярном запуске его вручную, чтобы эти 27 загрузок никогда не выполнялись без проверки. Вы также можете использовать tune2fs для установки интервалов между проверками. Команды

# tune2fs -c 0 /dev/что_то
# tune2fs -i 4w /dev/что_то

будут игнорировать cчетчик подключений первой командой, и проверять каждые четыре недели второй. Отключать проверки совсем крайне неразумно: тогда повреждения файловой системы могут втихомолку накапливаться, пока не произойдет серьезный сбой.

Leave a comment Posted on Tech articles

Оптимизация Linux

Данная заметка состоит из нескольких этапов:

-оптимизация рабочего окружения
-оптимизация сервисов и служб
-оптимизация файловых систем накопителей
-оптимизация ядра через сборку кастомизированного ядра

Оптимизация рабочего окружения:

Этот пункт зависит от того DE(desktop environment), которым Вы пользуетесь. В данном случае речь пойдёт о GNOME.
Чтобы разгрузить машину от момента ввода данных в GDM до загрузки рабочего стола, можно отключить ненужные службы в следующих местах:
System -> Preferences -> Sessions — здесь можно отключить те сервисы, которые стартуют непосредственно при входе с текущего аккаунта
System -> Administration -> Services — а здесь можно отключить сервисы системного уровня

совет. Если Вас достал синий пустой экран в окне мультимедиа-проигрывателя, которое появляется каждый раз при перетаскивании этого окна, запустите в терминале gstreamer-properties и на вкладке Video в Default Output — Plugin выберите X Window System (no XV)

совет. Также в некоторых источниках для ускорения запуска приложений рекомендуют сделать следующее: откройте на редактирование с правами суперпользователя файл /etc/fstab и добавьте строку:
127.0.0.1 localhost.localdomain localhost ИМЯ_ВАШЕГО_ХОСТА
Имя хоста можно узнать, запустив в терминале hostname.

Оптимизация сервисов и служб

Через пункт Services доступны не все службы, установленные в системе.
Установите пакет sysv-rc-conf — данный пакет облегчает включение/отключение служб для различных уровней запуска (runlevels)
Запустите его — sudo sysv-rc-conf и настройте его по Вашему вкусу — для каждого уровня запуска.

совет. Отключайте/включайте только те службы и сервисы, назначение и функционирование которых Вам известно. В противном случае, Вы рискуете остаться без жизненно необходимых системе служб.

примечание. Значение и смысл уровней запуска примерно таковы
0 — выполняет скрипт при выключении системы
1/S — однопользовательский режим (single user mode) аналогичен Safe Mode в Windows.
2 — многопользовательский режим (multiuser mode)
3 — зарезервированно (многопользовательские режимы)
4 — зарезервированно (многопользовательские режимы)
5 — зарезервированно (многопользовательские режимы)
6 — выполнение при при перезагрузки

Оптимизация файловых систем накопителей

Так как во многих дистрибутивах ОС GNU/Linux стандартом де-факто является файловая система ext3, начнём с утилиты tune2fs — утилиты для настройки файловых систем ext-семейства.

примечание. Так как tune2fs является системной утилитой, все манипуляции с накопителями, выполняемые с её помощью, требуют привелегий суперпользователя.

Для начала можно установить метки имеющихся разделов — иногда это бывает очень полезно:
sudo tune2fs -L HOME /dev/sda1
sudo tune2fs -L ROOT /dev/sda2

справка. по умолчанию, при форматировании раздела в ext3, на разделе резервируется 5% от всего объёма для использования приложениями, выполняющихся от имени суперпользователя, этого пространства.
Чтобы изменить это значение, используйте ключи -m X или -r Y, где X — количество процентов резервируемого объёма от общего пространства, а Y — соответствующее количество _блоков_ такого пространства. Например, чтобы установить резерв до 1го %, нужно выполнить:
tune2fs -m 1 /dev/sda2
А чтобы полностью отключить резервирование (это особенно актуально для /home где нет и не может быть файлов суперпользователя), нужно выполнить:
tune2fs -r 0 /dev/sda1 или tune2fs -m 0 /dev/sda1
Также среди полезных ключей:
-с N, который устанавливает количество монтирований, после которых будет произведена проверка ФС утилитой fsck
-C N, который устанавливает _текущее_ количество монтирований, сбрасывая предыдущее значение

совет. Если у Вас появились подозрения на дефекты в ФС, загрузитесь с любого LiveCD и выполните с правами суперпользователя:
fsck -fyv /dev/sdXY
Данное сочетание ключей автоматически проверит файловую систему(-f) на накопителе sdXY, выведет информацию о её состоянии(-v) и, в случае обнаружения ошибок, автоматически попытается исправить их(-y).

Настройка журналирования.
Файловая система ext3 поддерживает следующие режимы журналирования:
journal — все данные и метаданные о состоянии ФС заносятся в журнал перед записью — надёжно/медленно;
ordered — (используется по умолчанию) приоритет журналирования отдаётся метаданным, которые помогут восстановить целостность файловой системы в случае сбоя, но не обязательно сами данные — оптимальное соотношение скорости/надёжности;
writeback — журналирование как данных, так и метаданных осуществляется только после записи — ненадёжно/быстро;

внимание! операция изменения типа журнала корректно применима только для отмонтированного раздела; если планируется изменять корневой или домашний раздел, он должен быть отмонтирован; для этого можно воспользоваться практически любым LiveCD-дистрибутивом.
Настройка журналирования через tune2fs происходит следующим образом:
tune2fs -O has_journaled -o journal_dataТИП /dev/sdXY где ТИП = <> (journal), , , а XY — буква и цифра раздела.
Например, установим режим journal для /home и writeback для /:
tune2fs -O has_journaled -o journal_data /dev/sda1
tune2fs -O has_journaled -o journal_data_writeback /dev/sda2

Не забудьте после этого добавить соответствующую информацию в /etc/fstab:
/dev/sda1 / ext3 data=journal …
/dev/sda2 / ext3 data=writeback …

Индексирование директорий.
Также возможно включение режима, при котором, в случае, если иерархия каталогов раздела достаточно громоздка, скорость навигации по разделу немного увеличится.
За это отвечает режим индексирования каталогов. Чтобы включить его, выполните следующую команду:
tune2fs -O dir_index /dev/sda1
а чтобы включить индексирование уже существующих каталогов, выполните:
e2fsck -D /dev/sda1

Конфигурирование файловых систем через /etc/fstab
Через настройку данного файла также возможна некоторая оптимизация. Вот некоторые, достаточно полезные опции для файловых систем семейства ext2/3:
acl — поддержка списка управления доступом POSIX
user_xattr — включение расширенных атрибутов файлов для использования при индексировании
noatime/nodiratime — отключение записи времени последнего доступа для файлов/каталогов (не рекомендуется применять для корневого раздела, т.к. работа некоторых программ полагается на это время)
barrier=1 — команда очистки кэша
commit=N — запись данных и метаданных каждые N секунд. По умолчанию N=5.
async(по умолчанию)/sync — весь ввод/вывод данных файловой фс происходит а/синхронно. Синхронный режим не рекомендуется для устройств с ограниченным циклом записи (flash/SSD)
dirsync — все обновления данных, связанные с каталогами, происходят синхронно.

Значения dump и pass
Запись используется утилитой dump для того чтобы решить, когда делать резервную копию. Будучи установленной (хотя во множество дистрибутивов dump по умолчанию не входит), dump проверяет эту запись при загрузке и использует число, чтобы решить, надо ли делать резервную копию. Возможные значения поля — 0 и 1. Если 0, то dump игнорирует файловую систему, если 1, то dump сделает резервную копию.
Запись используется утилитой fsck при загрузке. В зависимости от числа определяется порядок проверки файловой системы. Возможные значения:
0 — не проверять
1 — высший приоритет
2 — приоритет ниже по сравнению с 1

Настройка временных файловых систем.
Если корневой раздел находится на накопителе с ограниченным числом циклов записи (flash/SSD), но при этом Вы не используете падкие на оперативную память приложения и Вам её хватает, то имеет смысл разместить временные разделы системы прямо в оперативной памяти. Для этого в /etc/fstab достаточно добавить следующие строки:
tmpfs /tmp tmpfs defaults,noatime,nodiratime 0 0
tmpfs /var/tmp tmpfs defaults,noatime,nodiratime 0 0
tmpfs /var/log tmpfs defaults,noatime,nodiratime 0 0

Установка параметра интенсивности обращения к swap’у.
За тонкую подстройку ядра и его параметров при работе отвечает служба sysctl. У неё есть достаточно много опций, но в данный момент рассмотрим только одну из всех возможных: vm.swappiness=N, где N — число от 0 до 100, обозначающее интенсивность обращения к swap-разделу. Чтобы сохранить изменения и при следующем запуске, добавьте строку vm.swappiness=N в конец файла /etc/sysctl.conf и сохраните изменения. Оптимальным считается N в районе от 15 до 40.

Оптимизация ядра

Данный этап повлияет не только на работу всей системы, но и позволит значительно сократить процесс загрузки системы.

Каноническая упрощённая схема загрузки ядра Linux приблизительно такова. Сначала грузится vmlinuz, который содержит базовый образ ядра. Потом initrd «передаёт» загружаемому ядру из файла initrd те модули, которые ему необходимы, чтобы дотянуться до корневой файловой системы и подключить модули уже из /lib/modules. И после этого, ядро, со всеми подключёнными внешними модулями, начинает запускать сервисы.
Однако, если пересобрать ядро без поддержки initramfs, но включить все те модули, которые необходимы ядру, чтобы «дотянуться» до корневого раздела, в само ядро (т.е. не «модулем», а вкомпилировать — за это отвечает опция «y» вместо «m» в конфигурационном файле ядра), то этап загрузки, включающий запуск initrd системе не понадобится — ядро сможет загружаться без его участия и, надо сказать, в разы быстрее. Кроме того, пересборка ядра — достаточно хорошая возможность во-первых, узнать лучше своё имеющееся оборудование, во-вторых, чуть лучше разобраться во внутреннем устройстве работы ядра, в-третьих, получить ядро, заточенное под Ваше оборудование и Ваши нужды без кучи лишних дополнительных модулей, поддерживающих ненужное экзотическое оборудование.
Далее не последует подробнейшей инструкции по компиляции и установке ядра; необходимые сведения Вы можете найти здесь:
http://linux4u.jinr.ru/docs/add04/kernel-2.6-install-2.0.html
http://mydebianblog.blogspot.com/2006/12/blog-post_20.html

Но некоторые советы я всё же дам:

-во время конфигурирования ядра Вам наверняка не раз понадобиться узнать подробные сведения о том или ином оборудовании, чтобы включить поддержку только этого оборудования и отключить модули, отвечающие за оборудование, которого у Вас нет и не предвидится. В этом могут помочь следующие утилиты:
*hwinfo — выводит информацио об оборудовании
*dmidecode — выводит информацию об оборудовании, доступную через BIOS
*lspci — выводит информацию об оборудовании, подключённом через шину PCI
*lsusb — выводит информацию об оборудовании, подключённом через шину USB
*lshw — выводит информацию об оборудовании, подобно hwinfo
*hdparm — выводит информацию о жёстких дисках и позволяет их настраивать
*hddtemp — выводит информацию о температуре жёстких дисков
*smartctl — выводит информацию о жёстких дисках с помощью технологии S.M.A.R.T.
*discover — выводит информацию об оборудовании, подобно hwinfo
*sysctl — выводит информацию о службе ядра
*hardinfo — GTK-утилита, подобная hwinfo и подобным.

Например, чтобы узнать информацию об установленных модулях оперативной памяти, выполните:
sudo dmidecode -t memory
А чтобы, например, узнать модель установленной видеокарты, выполните:
hwinfo —gfxcard
За дополнительной информацией просьба обращаться в соответствующие man-страницы.

-чтобя ядро наиболее эффективно использовало всю установленную оперативную память, добавьте в строке загрузчика (GRUB/LILO) параметр ядра mem=M, где — в мегабайтах, точное количество имеющейся оперативной памяти

-если Вас по какой-то причине не устраивает разрешение на виртуальных терминалах tty[1-6] по умолчанию, то за его настройку отвечает параметр ядра vga; чтобы установить нужное разрешение, добавьте vga=XYZ, где XYZ — необходимый режим разрешения; таблица режимов с их кратким описанием доступна здесь — http://en.wikipedia.org/wiki/VESA_BIOS_Extensions#Linux_video_mode_numbers
примечание. На некоторых машинах для корректной работы ядра с параметром vga ядро должно быть скомпилированно (причём в некоторых случаях поддержки модулем не достаточно — необходимо включение _не модулем_) с поддержкой видеодрайвера vesa и видеорежима framebuffer.

-также, для уменьшения скорости загрузки самого ядра, добавьте в строке загрузчика параметр ядра clocksource=hpet.
справка. Параметр clocksource отвечает за то, какой тип таймера будет использоваться ядром для отсчитывания своих тактов. На данный момент, помимо hpet, существуют tsc и 8254, но т.к. hpet является более «современным», его работа может (конечно, в зависимости от оборудования) уменьшить скорость загрузки

-чтобы дать ядру собственное имя, отредактируйте Makefile и в самом начале исправьте строчки типа
EXTRAVERSION = .3
NAME = Err Metey! A Heury Beelge-a Ret!
на что-то вроде
EXTRAVERSION = -3.1-mykernel
NAME = GNU/Linux

-при конфигурировании ядра, чтобы после запуска оно смогло дотянуться до корневого раздела без init-образа, нужно отключить «Device drivers -> ATA/ATAPI/MFM/RLL support» и включить «Device drivers -> Serial ATA (prod) and Parallel ATA (experimental) drivers» (не модулем), потом зайти в этот раздел и включить поддержку Вашего чипсета/контроллера, а также нужно включить (опять же, не модулем) в разделе «Device drivers -> SCSI device support» опции «SCSI disk support», «SCSI CDROM support» и «SCSI generic support». Эти требования обуславливаются тем, что современные версии ядер Linux используют для доступа к накопителям (независимо от их реального физического типа) эмуляцию SCSI-устройств; в противном случае ядро не сможет подключить корневой раздел. Также не забудьте включить не модулем драйвер той файловой системы, которая используется на корневом разделе. Проверьте также, отключён ли пункт Kernel Debugging в меню Kernel Hacking — его _включение_ _существенно_ замедляет загрузку и работу ядра.

-собственно, самое главное — _отключите_ параметр Initial RAM filesystem and RAM disk (initramfs/initrd) support.

-остальные пункты конфигурации — по вкусу, в зависимости от Вашего оборудования 🙂

-скомпилировать ядро с последующей перезагрузкой можно, выполнив с правами суперпользователя:
make all && make modules_install && make install && reboot

-если Вы собираете и устанавливаете ядро вручную (т.е. не через пакетный менеджер Вашего дистрибутива), то не забудьте проверить, скопировался ли после компиляции получившийся файл vmlinuz в каталог /boot и добавилась ли запись о свежем ядре в файл menu.lst

Теперь, перезагрузившись после установки нового оптимизированного ядра, попробуйте заметить, насколько быстрее стала загрузка и работа всей системы.

P.S. Если вдруг Вы это прочитали, но Вам известны какие-то другие краткие, но полезные советы по оптимизации системы, то, пожалуйста, поделитесь ими в комментариях. Если совет действительно будет полезен и Вы не будете возражать, то я обязательно добавлю его в эту заметку.